Royal Hansen es el hombre detrás de la seguridad global de Google. Es el máximo responsable de la ciberseguridad, privacidad y seguridad en Google a nivel global, y lidera un equipo de entre 2000 y 3000 personas encargado de proteger a miles de millones de usuarios en todo el mundo: desde gobiernos y empresas hasta quienes usan Gmail o YouTube todos los días.
Hansen coordina políticas que cruzan fronteras y disciplinas: inteligencia artificial, legislación, experiencia de usuario y estrategia empresarial. “Nuestra misión es que la tecnología sea segura por defecto, sin que el usuario tenga que hacer nada”, señala.
“Protegemos a miles de millones de personas y organizaciones en el mundo digital. Para hacerlo, usamos inteligencia artificial que detecta y previene ciberataques de manera automática en productos como YouTube, Chrome, Android o Cloud”, explica Hansen en su breve paso por la Argentina, en el mes de la concientización en ciberseguridad.
-¿Y qué hacen para eso?
-Desarrollamos modelos de IA de avanzada que identifican patrones de fraude y estafas en tiempo real, aprendiendo constantemente de nuevos ejemplos para bloquear posibles ataques antes de que sucedan. Un ejemplo es el poder de la IA aplicada a Gmail, que bloquea casi 10 millones de correos spam cada minuto, evitando que el 99,9% de los intentos de phishing y malware lleguen a la bandeja de entrada de los usuarios. Mi trabajo es asegurar que todo funcione de manera segura en esa inmensa escala. Nuestra misión, que la tecnología sea segura por defecto, de forma invisible, integrada y activada por defecto.
-¿Cuáles son los problemas más comunes que enfrenta?
–Varían mucho. Pueden ir desde conversaciones sobre políticas y leyes con un gobierno que buscan proteger a sus ciudadanos, hasta problemas técnicos complejos que afectan a un usuario de Gmail, Chrome o Android. Sin embargo, en el fondo, la mayoría de los problemas tienen que ver con la dinámica entre personas. Mi rol muchas veces es negociar para encontrar la solución correcta entre las distintas partes involucradas. La complejidad del mundo digital, desde el hardware que diseñamos hasta las políticas de un navegador, es la principal fuente de desafíos. El mayor desafío no es solo la tecnología, sino la coordinación entre las personas y los equipos para encontrar soluciones adecuadas. Por otro lado, constantemente combatimos los anuncios y estafas falsas, ya que nuestro equipo desarrolla modelos de IA que no solo detectan palabras clave, sino que aprenden a reconocer la intención del ataque para bloquearlos automáticamente, incluso si los estafadores cambian sus tácticas.
-Pero, si un usuario encuentra un anuncio falso en el Buscador, ¿es responsabilidad de su equipo?
–Es nuestra responsabilidad diseñar la tecnología para detectarlo. Nosotros desarrollamos modelos de IA que identifican patrones de fraude o estafas. Cuando el equipo de operaciones detecta un anuncio falso, nos envía estos ejemplos. Nosotros usamos esa información para “reentrenar” al modelo, para que la próxima vez pueda detectar y bloquear ese tipo de ataque de forma automática, incluso si usan palabras distintas pero con la misma “intención” -o spirit– del ataque. Gracias a esta evolución, nuestra tecnología puede detectar y bloquear automáticamente este tipo de amenazas, incluso si los estafadores cambian sus tácticas. Este trabajo nos permitió bloquear 5,1 mil millones de anuncios maliciosos en 2024, protegiendo a los usuarios de forma proactiva.
-¿De quién es la responsabilidad cuando hay un problema de seguridad: de Google o del usuario?
–Nosotros aspiramos a que la tecnología funcione de forma segura por defecto, sin requerir una acción del usuario. Es un desafío difícil, porque buscamos que sea fácil de usar pero a la vez muy seguro. Los malos equipos de seguridad simplemente dicen “no” o fuerzan al usuario a tomar acciones complicadas. Los buenos equipos, como el nuestro, intentan que la seguridad sea invisible para la persona. Aunque la concientización del usuario es una responsabilidad compartida, el trabajo de un buen equipo de seguridad es facilitar su uso y, al mismo tiempo, proteger a las personas de manera proactiva.
-Un tema en la actualidad son las contraseñas. ¿Cómo evolucionaron y hacia dónde vamos?
–Ha sido una larga evolución. Primero fueron las contraseñas simples, luego las complejas. Después vinieron los administradores de contraseñas, y nosotros integramos uno directamente en Chrome y Android para que sugiera y guarde claves seguras automáticamente. Ahora estamos impulsando las “passkeys” o llaves de acceso. Con esta tecnología, el usuario ya no necesita escribir ni recordar una contraseña, el dispositivo genera un token criptográfico único y seguro para iniciar sesión. Es más seguro porque un atacante no puede robar algo que no se escribe, y además está vinculado a tu dispositivo.
-Pero además está lo que viene respecto al acceso. Con la IA capaz de imitar voces y rostros, ¿la biometría (huella digital, reconocimiento facial) ya no será suficiente?
–Efectivamente, las características humanas son cada vez más imitables. Por eso, el futuro de la autenticación no se basará en un solo factor, sino en analizar el contexto completo. Usaremos modelos de IA que aprenden tu comportamiento: desde qué computadora usas y a qué hora, hasta tus hábitos de navegación. No se trata de escribir reglas fijas, sino de que un modelo sofisticado “te conozca” y detecte si algo es inusual. Si un día cambias tus hábitos, el sistema no te bloqueará, sino que podría pedirte una verificación extra, como enviar un código a tu email de recuperación. La clave es poner al usuario en control solo cuando es realmente necesario. El objetivo es ofrecer una alta protección, sin interrumpir la experiencia del usuario.
-El robo de datos o data breach es una gran preocupación. ¿Sigue siendo la principal amenaza?
-Ha sido la amenaza de más alto perfil, y aquí ya pensamos en los siguientes niveles: la integridad y la disponibilidad de los datos. Un data breach es como la primera etapa. En un mundo cada vez más digital, nos enfocamos en dos conceptos importantes: la integridad y la disponibilidad de los servicios. Para nosotros, la seguridad no es solo evitar que la información se filtre, sino también asegurar que los datos sean correctos (integridad) y que los servicios estén accesibles cuando más se necesitan (disponibilidad). Por ejemplo, es más importante que tu dinero esté seguro en el banco y que puedas acceder a él en una emergencia, que el simple hecho de que se filtre una transacción sin importancia.
-¿Es posible sufrir un ataque de ransomware (secuestro de datos) en servicios de Google como Drive o en una Chromebook?
-Es prácticamente imposible en el sentido tradicional. Por ejemplo, nunca hemos tenido un caso de ransomware en una Chromebook, porque fue diseñada desde cero para separar los procesos y aislar al usuario de posibles problemas. Lo mismo aplica a los datos en Drive. El ransomware que vemos en las noticias cifra los archivos en una computadora local o en una red, y la arquitectura de Google impide que eso suceda en nuestros servicios en la nube.
-¿La inteligencia artificial es un problema o una solución para la seguridad?
-La IA puede usarse para ambas cosas. Por un lado, es una solución fundamental para desarrollar defensas de seguridad a gran escala. En Google, usamos IA para detectar y prevenir ciberataques de manera masiva, bloquear correos spam y detener miles de millones de anuncios maliciosos. La IA nos da una ventaja para anticipar y neutralizar amenazas antes de que afecten a los usuarios. Por otro lado, también plantea desafíos. Contamos con equipos dedicados a investigar cómo los atacantes podrían aprovechar la IA para generar amenazas más sofisticadas. Ese conocimiento nos permite diseñar defensas más sólidas y adelantarnos a posibles riesgos.
-¿Cree que todavía falta concientización sobre seguridad en los usuarios?
-Sí, todos tenemos más trabajo por hacer, tanto las empresas como los usuarios. El mundo está desigualmente distribuido: hay personas que son nativos digitales y otras que apenas usan la tecnología. Por eso, la responsabilidad es compartida para seguir educando y, al mismo tiempo, construyendo herramientas que protejan a todos, sin importar su nivel de conocimiento técnico.
