CLAVES DE LA ENTREVISTA
La seguridad ha pasado de percibirse como una barrera que frenaba la actividad a entenderse como un habilitador del negocio, especialmente cuando clientes y empresas confían sus datos a la organización.
El riesgo cero no existe en ciberseguridad: cualquier empresa, independientemente de su tamaño o sector, puede sufrir un ataque en cualquier momento.
La ciberresiliencia se ha convertido en un eje estratégico: no solo se trata de prevenir ataques, sino de estar preparados para resistir y recuperarse cuando ocurren.
El modelo de defensa se basa en un servicio gestionado de ciberseguridad, con monitorización continua, SOC y SIEM que analizan las alertas y anomalías en tiempo real.
La organización cuenta con un plan de continuidad de negocio actualizado periódicamente, que contempla distintos escenarios de crisis —desde ciberataques hasta apagones o pandemias— para garantizar la recuperación de los sistemas.
Índice de temas
Para situar al lector, ¿cuál es exactamente tu rol dentro de Ecoembes?
Trabajo dentro de la Dirección de Tecnología Digital. Dentro de esa dirección existen varios departamentos y yo estoy en el de Plataforma Digital y Ciberseguridad. Eso significa que, por un lado, tengo un rol de CISO o responsable de seguridad —según el documento o el contexto se utiliza una denominación u otra—. Y por otro lado, también gestiono lo que antiguamente se llamaba infraestructuras, aunque ahora lo denominamos Plataforma Digital. Básicamente se trata de todas las infraestructuras necesarias para que los sistemas funcionen. En mi caso no tengo un perfil de CISO completamente separado del área tecnológica.
¿Tu trayectoria profesional siempre ha estado ligada a la seguridad?
No. Mi carrera comenzó en el mundo tecnológico en general, concretamente en desarrollo de aplicaciones. Esto fue hace más de veinte años.
Cuando entré en Ecoembes cambié de rol hacia el ámbito de las infraestructuras. No tenía experiencia específica en ese campo, pero fui adquiriéndola aquí. Con el tiempo empezamos a incorporar cada vez más elementos de seguridad.
En el pasado, la seguridad dentro de las empresas solía depender directamente de las infraestructuras. Era el modelo clásico del “castillo”: firewalls, dispositivos y barreras que protegían el perímetro.
A partir de ahí fui evolucionando en ese entorno. Hace aproximadamente ocho o diez años empezamos a hablar de responsable de seguridad y, más recientemente —desde hace unos dos años—, ya utilizamos formalmente el título de CISO.
¿Cuánto tiempo llevas en Ecoembes y desde cuándo ejerces como CISO?
Estoy en Ecoembes desde 2003. Oficialmente como CISO llevo aproximadamente dos años.
Dentro de Ecoembes, ¿la seguridad se percibe hoy como un freno o como un habilitador?
Depende del momento histórico. En el pasado se veía más como un freno. Desde el negocio se percibía como una fuente de impedimentos: la seguridad parecía poner trabas o dificultar el trabajo de los usuarios. También había una cuestión presupuestaria. Invertir en seguridad no “lucía”, porque es como un seguro: te gastas el dinero y lo mejor que puede pasar es que no ocurra nada.
Durante mucho tiempo existía la idea de que quizá no merecía la pena gastar dinero en seguridad porque “a nosotros no nos va a pasar nada”. Esa mentalidad ha cambiado poco a poco.
Por un lado, quienes trabajamos dentro del área hemos contribuido a generar una cultura de seguridad. Pero también ha influido mucho el entorno: los incidentes que se ven en otras empresas o sectores hacen que la alta dirección tome conciencia de la importancia de la ciberseguridad.
En los últimos años ese equilibrio ha cambiado claramente. En Ecoembes, al menos, empezamos a verlo como un habilitador. Nuestro negocio ha cambiado en los últimos años por motivos regulatorios y nuestros clientes tienen ahora un papel todavía más estratégico. Si una empresa deposita su información en Ecoembes —por ejemplo, para declaraciones de envases— necesita confiar en que nuestros sistemas y nuestro modelo de seguridad son fiables y maduros. En ese sentido, la seguridad se convierte en un factor que habilita el negocio.
Entonces, ¿tu papel como CISO dentro de la organización también ha evolucionado?
Sí, aunque no formo parte del comité de dirección. El representante de tecnología en ese comité es mi director, el CIO, que es de quien dependo. En algunos modelos teóricos se propone que el CISO no dependa de tecnología, pero la realidad en la mayoría de las empresas todavía es diferente.
Históricamente la seguridad nació dentro del ámbito tecnológico, especialmente en infraestructuras, y esa herencia sigue existiendo. Es cierto que cada vez más organizaciones están separando ambas funciones, pero todavía es una transición gradual.
En nuestro caso, cuando es necesario, yo participo directamente en el comité para hacer presentaciones o explicar determinados aspectos, aunque normalmente es el CIO quien traslada esos temas.
¿Dispones de un presupuesto propio para ciberseguridad?
El presupuesto se define a nivel superior, como ocurre en cualquier área. En realidad, el presupuesto pertenece a la dirección tecnológica. Dado que mi departamento combina Plataforma Digital y Ciberseguridad, el presupuesto anual se divide entre ambas áreas: una parte destinada a infraestructuras y otra a seguridad.
¿Cómo está organizada la defensa de Ecoembes desde el punto de vista operativo?
Hace bastantes años apostamos por un modelo de servicio gestionado de ciberseguridad. La idea era pasar de actuaciones puntuales a una gestión continua, con monitorización 24 horas al día.
Inicialmente trabajamos con Deloitte cuando implantamos este modelo, alrededor de 2013 o 2014. Estuvimos con ellos durante bastante tiempo y hace aproximadamente tres años cambiamos a Telefónica Tech.
Dentro de ese servicio externalizado contamos con distintos equipos especializados: seguridad en movilidad, seguridad en puestos de trabajo, un SOC y un SIEM donde se monitorizan todos nuestros sistemas. Toda nuestra infraestructura está conectada a ese SIEM y cualquier alerta o anomalía se gestiona desde ahí.
Además, tenemos varias líneas de trabajo continuas: programas de formación y concienciación, seguimiento de un plan director de seguridad —que revisamos cada tres años— y la figura de un security manager que, además de gestionar el servicio, me apoya en decisiones más estratégicas.
¿Qué recursos internos tenéis dedicados a la seguridad?
En mi caso, aproximadamente el 30% de mi tiempo está dedicado a ciberseguridad; el resto sigue centrado en la plataforma digital.
Además, contamos con una persona interna especializada en seguridad que dedica el 100% de su tiempo a este ámbito. Su trabajo consiste en gestionar el día a día, colaborar con Telefónica Tech en proyectos y hacer seguimiento de las tareas relacionadas con el proveedor de ciberseguridad.
¿Cómo abordáis actualmente la seguridad en el desarrollo de software?
Es una línea de trabajo relativamente reciente dentro de nuestro modelo de servicio gestionado. Nosotros desarrollamos muchas aplicaciones y durante mucho tiempo la seguridad estaba centrada en infraestructuras —en el ‘castillo’, por decirlo así—.
Ahora también incorporamos seguridad en el propio desarrollo del software. Todo el código que se genera y que posteriormente pasa a producción se somete antes a herramientas de análisis que detectan posibles vulnerabilidades.
Esto forma parte del concepto de seguridad por diseño. Es una idea que lleva muchos años en los libros de buenas prácticas, pero que ahora hemos implantado realmente. Desde el inicio de cada proyecto de desarrollo existe una capa de seguimiento de seguridad integrada en el proceso.
Hay una pregunta casi obligada cuando se habla con un CISO: ¿Duermes tranquilo o el riesgo constante de ataques te quita el sueño?
Todos estamos expuestos. En cualquier momento puede ocurrir un incidente. El famoso principio de que el riesgo cero no existe es completamente cierto. Puede tocarte en cualquier momento. Pero al final tienes que asumirlo como parte del trabajo. Sabes que algún día puede ocurrir y convives con ello. En nuestro caso llevamos muchos años sin un incidente importante. Cuando ocurrió el último yo todavía no era CISO oficialmente, aunque ya tenía responsabilidades relacionadas con seguridad.
¿Habéis sufrido incidentes relevantes en el pasado?
Sí, hemos tenido dos sustos importantes. Uno ocurrió alrededor de 2009, cuando sufrimos un ataque de ransomware. Fue incluso antes de que apareciera WannaCry, así que en aquel momento estos ataques no eran tan conocidos.
Antes de eso tuvimos otro episodio importante relacionado con continuidad de negocio. En aquel momento estábamos ubicados en el edificio que estaba junto a la Torre Windsor cuando se produjo el incendio.
Aquella situación fue un punto de inflexión para muchas empresas. Nosotros no teníamos todavía un plan de continuidad de negocio y tuvimos que improvisarlo. Estuvimos casi un mes sin poder trabajar en nuestras oficinas.
En aquel momento Ecoembes era una organización más pequeña y las soluciones fueron bastante artesanales, pero con un poco de suerte y bastante creatividad conseguimos seguir operando en un escenario crítico.
Hoy en día las empresas reconocen más abiertamente los ataques que sufren. ¿Ha cambiado esa mentalidad?
Sí. Antes existía cierto pudor a la hora de admitir que una empresa había sufrido un ataque. Era algo que se intentaba ocultar, casi como si fuese un fallo vergonzoso. Hoy el convencimiento general es que todos estamos siendo atacados constantemente. No es una cuestión de si ocurrirá o no, sino de cuándo. Por eso ahora se habla mucho de ciberresiliencia.
¿La resiliencia forma parte de vuestra estrategia de seguridad?
Sí, completamente. En nuestro plan de ciberseguridad —tanto en el anterior como en el actual— la resiliencia es uno de los ejes estratégicos. La lógica es asumir que en algún momento algo ocurrirá. Lo ideal es que llegue lo más tarde posible y que el impacto sea lo más pequeño posible, pero hay que prepararse.
La estrategia actual consiste en preguntarse: si todas las medidas de prevención fallan y el ataque se materializa, ¿cómo voy a ser capaz de resistir? Por eso la resiliencia implica tanto capacidades tecnológicas como procedimientos organizativos que permitan reaccionar ante un incidente.
En términos de infraestructura, ¿cómo está preparado Ecoembes para afrontar un incidente grave?
Tenemos un plan de continuidad de negocio que se revisa aproximadamente cada tres años. La última actualización fue aprobada por el Consejo en octubre de 2025, después de un proceso de revisión durante la primavera y el verano.
En ese plan analizamos distintos escenarios de riesgo. No solo ciberataques, sino también situaciones como pandemias, apagones u otros eventos inesperados.
Siempre aparecen escenarios que no se habían contemplado previamente. Por ejemplo, el apagón del año pasado fue algo que prácticamente nadie había previsto. Incluso grandes compañías tecnológicas no estaban preparadas para ese escenario. Las incidencias tienen también ese lado positivo: permiten aprender y mejorar para el futuro.
¿Tenéis un sistema específico de recuperación ante desastres para los sistemas tecnológicos?
Sí. Dentro del plan de continuidad tenemos un plan específico de recuperación para sistemas, lo que normalmente se conoce como disaster recovery.
Este plan define cómo recuperar los sistemas y los servicios tecnológicos en caso de que se produzca un incidente grave que afecte a la infraestructura. Forma parte del enfoque global de continuidad de negocio y resiliencia de la organización.
