Introducción.
Avast CISO, Jaya Baloo, discute las soluciones de ciberseguridad para las PYMES de hoy en día.
La "talla única" no sirve para todos cuando se trata de PYMES. Algunas pueden tener un equipo de TI completo en su personal. Otras no, y muchas están limitadas por los recursos y el presupuesto. Con los ciberataques dirigidos a las PYMES en su punto más alto, es crítico para los MSP tener esas conversaciones con las PYMES sobre la protección de seguridad de grado empresarial, adaptada exactamente a sus necesidades.
En una entrevista con Richard Tubb, el experto en crecimiento de negocios de TI, Jaya Baloo cubre:
- Las mejores formas de presentar la ciberseguridad a las PYMES y explicar su importancia.
- Las mayores amenazas cibernéticas que enfrentan las PYMES hoy en día y la mejor estrategia de defensa.
- Cómo las PYMES con presupuestos y/o recursos de TI limitados pueden seguir estando protegidas.
- La importancia de un plan de respuesta en caso de que una PYME sea impactada por un ataque cibernético.
- El futuro del panorama de la ciberseguridad y el papel de las tecnologías emergentes.
Jaya Baloo.
Jaya
es la Jefa de Seguridad de la Información de Avast (Chief
Information Security
Officer - CISO), donde es responsable
de la seguridad de la información y los datos, y de
la supervisión de la ciberseguridad. Ha trabajado en
el campo de la seguridad de la información durante 20
años, centrándose en la arquitectura de redes seguras.
Jaya está incluida en la lista de los 100 principales CISO a nivel mundial y se encuentra entre los 100 especialistas en seguridad más influyentes de todo el mundo.
Es miembro de la facultad de la Universidad de la Singularidad y también forma parte de varias juntas de infoseguridad. Ha dado numerosas charlas en conferencias de alto perfil como RSA, TEDx y Codemotion sobre temas como Interceptación legal, VoIP y seguridad móvil, criptografía y redes de comunicaciones cuánticas.
El papel de un CISO.
RICHARD TUBB: Para la gente que no esté familiarizada con el término Jefe de Seguridad de la Información (CISO), ¿cómo explicaría lo que es un CISO?
JAYA BALOO: Un CISO es básicamente el lugar donde se detiene el dinero en términos de seguridad. Proporcionan la seguridad y la misión de la organización, y el plan a seguir en términos de tener una buena comprensión de los riesgos que la organización está enfrentando, y cómo evitar que esos riesgos se manifiesten.
Las PYMES, la ciberseguridad y el papel de los MSPs.
RICHARD TUBB: Muchos MSP (proveedor de servicios gestionados), proveedores de soluciones de TI y PYMES pueden no tener el presupuesto para tener un CISO en plantilla - para un MSP o una PYME sin CISO, ¿cómo explicaría un MSP la necesidad de la ciberseguridad a una pequeña empresa?
JAYA BALOO: Fundamentalmente, la necesidad de ciberseguridad es la misma para cualquier empresa. Sólo tienes que asegurarte de que puedes seguir haciendo negocios al final del día, y si la ciberseguridad supone una amenaza para la continuidad de los negocios, entonces tienes que manejarla de forma efectiva. Es diferente para una empresa de seguridad, donde la seguridad básica ES tu negocio. Siempre solía pensar que facilitaba las cosas, pero en realidad no es así. Casi todas las empresas necesitan hacer lo mismo. Necesitan entender de dónde vienen sus mayores dolores de cabeza. Necesitan identificar esos dolores de cabeza en sus sistemas de red y datos, y luego necesitan ser capaces de actuar sobre ellos cuando se produzcan. Y eso es básicamente todo. Si podemos hacer esas tres cosas bien, eso es tan válido para una empresa multinacional como para una panadería.
RICHARD TUBB: Ha habido un cambio en los últimos años. La ciberseguridad antes se consideraba algo de lo que sólo las empresas tenían que preocuparse, pero las pequeñas empresas se sentían como si fueran inmunes. Sin embargo, eso ha cambiado, ¿no? Hoy en día, cualquier empresa es considerada un objetivo de los ciberdelincuentes.
JAYA BALOO: Creo que eso ha sido así durante mucho tiempo. Si miras las violaciones de datos, tienden a ser las empresas las que piensan, "Ocurrirá en otro lugar, pero no a mí. No están interesados en mis datos, no me están apuntando", pero creo que lo que tendemos a olvidar es que no sólo hay atacantes que tienen como objetivo a los que están ahí fuera. También hay atacantes muy oportunistas a los que no les importa a quién atacan, siempre y cuando ataquen a alguien. Y ves este tipo de prevalencia sucediendo, específicamente en áreas como el ransomware, donde enormes porciones de la población están muy mal equipadas para manejar un ataque. Y cuando son golpeados, debido a su falta de preparación para manejar la situación, son completamente víctimas y a menudo terminan pagando el rescate. Creo que esa es en realidad la situación más triste, que se sienten tan desesperados por recuperar esa continuidad comercial y volver a "lo de siempre". Simplemente siguen adelante y pagan a los malos, sin ninguna garantía de que alguna vez recuperen sus datos.
RICHARD TUBB: ¿Cuán frustrante encuentras eso, cuando ves que eso sucede en el mundo?
JAYA BALOO: Está afectando a los más débiles de nuestra población. Me siento igual que cualquier otra población vulnerable que sea atacada, ya sean animales o personas que no pueden valerse por sí mismos. Siento que tenemos la responsabilidad como planeta de ayudarlos, y no sólo las empresas que son capaces de hacerlo por sí mismos. Siento que tenemos la responsabilidad de protegernos unos a otros en esta sociedad que hemos creado.
RICHARD TUBB: Volviendo a las pequeñas empresas, la prensa destaca muchos de los desafíos de seguridad que están enfrentando hoy en día, y más y más gente se está dando cuenta de que esto puede sucederle a cualquiera. Esto no sólo está sucediendo en el ámbito de las empresas y los grandes negocios, los ciberdelincuentes están apuntando a cualquiera. Para los proveedores de servicios de seguridad que intentan educar a las pequeñas empresas que no creen que les suceda, ¿cómo les aconsejaría que transmitieran a esas pequeñas empresas el mensaje de que todo el mundo es un objetivo?
JAYA BALOO: Me gusta mucho el material basado en pruebas. No creo que el miedo, la incertidumbre y la duda sea la forma de hacer llegar el mensaje. Sólo mira los hechos. Si se trata de un individuo o de hackers oportunistas que están hackeando por diversión, o ciber criminales que están hackeando desde una perspectiva de lucro, realmente no les importa a quién golpeen. Mira los hechos. El malware suele ser etiquetado como altamente enfocado y dirigido a entidades muy específicas. En realidad, ese no es el caso. Si miras a Regin, el malware que se utilizó para infectar a un operador de telecomunicaciones muy grande, supuestamente se originó en la NSA y GCHQ trabajando juntos para atacar a este operador. Lo que en realidad verás es que las infecciones verificadas en realidad se dirigieron a un montón de pequeñas-medianas empresas y particulares en ese espacio. Hay una clara evidencia de que las pequeñas empresas deben preocuparse por los ataques patrocinados por el estado. Pueden quedar atrapadas en el fuego cruzado como daño colateral que sobreviene, porque todos estamos muy interconectados entre sí.
MSP y la eficacia de la seguridad.
RICHARD TUBB: Ha dicho que es una gran fan de usar métricas y estadísticas para transmitir este mensaje en lugar de miedo, incertidumbre y duda. ¿Qué métrica o KPIs sugeriría que los MSPs usen para medir la efectividad de la seguridad? ¿En qué KPIs debería centrarse un MSP?
JAYA BALOO: No veo que la diferencia sea muy drástica. Lo que tienes que pensar es que cuando creces como empresa, tiendes a hacer más de todo. No significa necesariamente que añadas un mayor grado de diversidad, sino que añades un mayor grado de profundidad a las cosas que estás cubriendo. Para mí, aquí está la métrica única: si hiciéramos una cosa que significara la madurez real de CUALQUIER organización, grande o pequeña, sería el tiempo promedio para responder a las vulnerabilidades e incidentes. Y eso es todo. He estado diciendo eso desde que trabajaba en KPN, cuando trabajaba con Verizon, y lo estoy diciendo aquí también. Si medimos una métrica, para significar la madurez, son esos días en medio, porque es el momento oportuno para que un hacker entre y haga todo tipo de daño. Si hemos conocido vulnerabilidades que son descubiertas por un escáner de vulnerabilidades (y hay otras gratuitas por ahí, así como los servicios por los que se paga, que escanearán tanto su perímetro exterior como el interior de su red en busca de vulnerabilidades), una vez que conocemos una debilidad, ¿cuánto tiempo le lleva a nuestras organizaciones dar un paso adelante y arreglar la vulnerabilidad? Ese tiempo intermedio, ese momento de apertura y cierre, que lo dice todo acerca de cuán preparado está para hacer frente a nuevos problemas a medida que se presentan, específicamente en lo que respecta a la gravedad de esos incidentes, y ese tiempo de cierre. Así que, si vemos, por ejemplo, el último Microsoft Patch Tuesday, y echamos un vistazo a los tipos de vulnerabilidades de ejecución de código remoto de alta criticidad, si no las cerramos en 24 o 48 horas, te dice todo lo que necesitas saber sobre la preparación de una organización.
RICHARD TUBB: ¿Crees que esto podría ser utilizado como una herramienta de ventas y una oportunidad para que los MSPs digan, "Hey, aquí está nuestro tiempo de cierre efectivo para estas amenazas." ¿Podría ser una métrica en la industria para decir quién lo hace bien y quién no?
JAYA BALOO: Aunque no me gusta tanto que sea una táctica de ventas, lo que realmente me gusta es tener esta comprensión madura de que nunca vamos a evitar que las vulnerabilidades ocurran. Si miras algo del código que está ahí fuera, tenemos millones y millones de líneas de código, es casi imposible eliminar todos los bichos, los que están colocados accidental o intencionadamente. Así que la forma más inteligente de tratar con él, es decir, "Oye, sabemos que va a suceder, sabemos que las cosas van a salir mal, pero vamos a ser capaces de rodar con los golpes mejor, más rápido y más inteligente que el atacante", y creo que eso es realmente todo lo que cualquiera puede hacer. Así que, en lugar de usarlo como un incentivo de ventas, que, de nuevo, podría hacer que sólo arreglaras las cosas por fuera y no por dentro, soy partidaria de tener una buena práctica de seguridad, como un nivel de madurez que forma parte de toda tu responsabilidad corporativa.
Tendencias actuales en amenazas de ciberseguridad.
RICHARD TUBB: Trabajas con pequeñas empresas y con MSPs, en todo el mundo, todos los días en amenazas de ciberseguridad. ¿Cuáles son las principales amenazas a la seguridad cibernética que están viendo surgir y a las que se enfrentan las PYMES hoy en día?
JAYA BALOO: Realmente creo que el mayor problema es que las PYMES no tienen mucho presupuesto y recursos. La mayoría no tienen a nadie en el personal que sólo se ocupe de la seguridad, así que, como resultado, tienden a carecer, necesariamente, de su defensa, sino que son más lentas para reaccionar, o no tienen toda la preparación habilitada. Nadie va a ser víctima de un ransomware si tiene copias de seguridad en línea y fuera de línea y es disciplinado al respecto. Las empresas que no consideran esto parte de sus prácticas comerciales principales son las que deben preocuparse. Creo que las mayores amenazas que vemos son las que se aprovechan de la falta de recursos y de la falta de planificación, como: el ransomware, los intentos de phishing (que todavía tienen mucho éxito), los ataques a la cadena de suministro y la capacidad de mantenerse al tanto de todas las cosas que suelen ir mal. Otras amenazas ocurren donde hay parches. Las PYMES sólo necesitan tiempo de recuperación, pero ese tiempo de recuperación también las deja vulnerables. Por ejemplo, si usted vio la brecha de Citrix recientemente, lo que vio fue que para el momento en que el parche estaba disponible, ya había explotaciones activas. Así que una PYME podría no ser lo suficientemente ágil o rápida para saber eso, e incluso cuando aplicaron el parche, tendrían que tener la capacidad de hacer análisis forenses también, que es lo que se habría requerido si se utilizara Citrix.
Sin CISO, no hay problema - Seguridad "imprescindible" para las PYMES.
RICHARD
TUBB: Has mencionado cuántas PYMES están limitadas por
el presupuesto y los recursos informáticos. ¿Cuál diría
que es la mejor estrategia de defensa cibernética que
los MSP pueden recomendar a sus PYMES que tal vez no
tienen el presupuesto para ayudar a mantenerlas seguras?
¿Cuáles son los elementos absolutamente esenciales que
recomendaría que las PYMES adoptaran hoy en día?
JAYA BALOO: Sabes, hay una gran cita de Sun Tzu: "Trata de manejar los problemas cuando son pequeños". Creo que esto es algo que una PYME puede hacer absolutamente. Es difícil para las grandes empresas ser rápidas, ágiles y rodar con ciertas cosas, pero una PYME puede aprovechar la falta de burocracia y aprovechar la fuerza de ser pequeña. Pueden pensar en cómo planificar con anticipación, antes de que haya una crisis real. Por ejemplo, pueden planear con anticipación teniendo esas copias de seguridad, o teniendo un antivirus, o teniendo alguna forma de supervisión de la red, y una defensa básica. También pueden tener un régimen de parches automatizados muy simple. Estos son pequeños pasos. Pasos de bebé. Si planifican con antelación al incidente real, no tendrá que haber una gestión de crisis más tarde.
Cumplimiento de la ciberseguridad.
RICHARD TUBB: Así que hemos hablado de la ciberseguridad. Una de las cosas que creo que ha fomentado una mayor conciencia de la seguridad cibernética es el cumplimiento. En Europa, tenemos el RGPD y en todo el mundo hay normas regionales de cumplimiento, que están obligando a las empresas a tomar la ciberseguridad en serio. ¿Cómo recomendaría que una PYME se mantenga al tanto de estas diversas rutinas de cumplimiento?
JAYA BALOO: En general, creo que el cumplimiento es el suelo y no el techo. Por lo tanto, el cumplimiento es el mínimo de cosas que necesitas hacer. No asegura ninguna forma de seguridad, y para una PYME, yo diría que, si apuntas a la seguridad, siempre encontrarás conformidad. El enfoque debe ser en la seguridad y la privacidad. Habrá conformidad y regulación que siguen llegando, pero ese no es el lugar para mantener tu ojo. Mantén el enfoque en ese techo de buena seguridad y buena práctica de privacidad. Ahí es donde debemos apuntar. Si miramos allí, aterrizaremos allí, en lugar de hacer el mínimo de cumplimiento. El cumplimiento tiene que ser algo que todos puedan adoptar, y que todos puedan manejar. Considere las cosas más inteligentes que podemos hacer, cómo podemos planear con anticipación, y cómo podemos pensar en asociaciones inteligentes para asegurar que nuestras cadenas de suministro estén haciendo las mismas cosas que nosotros. Esas son las cosas que creo que una PYME puede hacer para ser poderosa y actuar, una vez más, utilizando su tamaño y su capacidad para aprovechar esas asociaciones inteligentes y su presupuesto. Necesitan hacerlo bien, al principio, sin esperar a que se cumpla.
El cumplimiento es lo mínimo, y esforzarse por más debería ser el enfoque de toda empresa
Estar preparados en caso de ciber ataque.
RICHARD TUBB: En el caso de que una PYME experimente un ataque de seguridad cibernética, ¿cuál sería su recomendación para una respuesta?
JAYA BALOO: Planificar con antelación. Aunque no se puede planear todo, hay que tener un plan en marcha en caso de que algo malo suceda. De lo contrario, ¿cómo vamos a averiguar lo que ha pasado? No son sólo las PYMES, son todas las empresas. Quieren superar ese incidente lo más rápido posible y volver a los negocios como de costumbre, olvidar que nunca ocurrió, y dejarlo atrás. Nunca desperdicies un buen incidente cuando ocurre, es una regla empírica. Con suerte, si ocurre, no vas a borrar todos los datos del incidente que te dicen lo que salió mal, porque entonces realmente destruyes tu propia capacidad de aprender de ese evento y seguir adelante. Además, para entender el alcance o la extensión de los daños, se hace realmente importante preservar ese material forense y esa evidencia. Aquí hay tres cosas que recomiendo:
- Ten un plan. Comprende lo que harás y las cosas que puedes prever. No puedes preverlo todo.
- Ten una estrategia de respaldo o un socio con el que puedas trabajar. Una de las opciones es trabajar con una empresa forense en retención, así que, si algo sucede, tienes una empresa que puede ayudarte inmediatamente en el lugar y ayudarte a volver a los negocios como de costumbre. Por eso es tan importante planificar con antelación. No quieres todos estos costes inesperados, así que debes saber cuál va a ser ese coste, y saber si van a tratar de extorsionarte en el momento del incidente real.
- Tener un profundo conocimiento sobre todos esos activos super vitales, así que, durante la duración del incidente, todavía puedes seguir haciendo negocios. Ya sea que eso signifique entender que el activo vital se vio comprometido y tener una copia de seguridad, o tener un plan de recuperación de desastres incluso si está en papel u hoja de cálculo, eso es algo grandioso. Muchas grandes empresas no lo tienen, así que, de nuevo, aprovecha el pequeño tamaño para pensar inteligentemente sobre esto. Si no puedes ser más grande, tienes que ser más inteligente.
RICHARD TUBB: ¿Hay algún recurso en línea que recomiende a las PYMES para ayudar a armar este plan de respuesta?
JAYA BALOO: Trato de compartir todo lo que he trabajado en mi carrera. Cuando estaba en KPN, nuestra política de seguridad era de código abierto, así que siempre estaba ahí fuera. ¡Yo diría que copiar con orgullo! No hay que avergonzarse de tomar buenas lecciones de los demás, y si sólo buscas en Google "planes simples de recuperación de desastres", los encontrarás. Todo esto se puede encontrar, gracias a Google, y gracias a esa comunidad abierta de gente de seguridad en línea.
El papel del personal de la PYME.
RICHARD TUBB: Hablemos del papel que juega el personal de la PYME. Y específicamente, cómo los MSP pueden educar a esos miembros del personal. Ambos sabemos que el eslabón más débil de cualquier cadena de seguridad es un ser humano, y no hay ninguna explicación para eso. ¿Cómo pueden las PYMES concienciar a sus empleados sobre la ciberseguridad?
JAYA BALOO: Creo que tendemos a olvidar que somos polifacéticos. Somos empleados, pero también somos humanos, con nuestra propia esfera privada de cosas que hacemos, y cosas que hacemos en línea también. Una cosa muy simple es hacer que entiendan la seguridad por sí mismos. Una cosa es que la motivación para entender la seguridad provenga de un empleador, pero otra muy distinta es que se hable de la motivación de estar seguro para el individuo, no para el empleado. Cuando se trata del individuo, se trata de estar seguro en línea desde la perspectiva de su familia, desde la perspectiva de su hogar, desde su propia situación bancaria en línea y sus propias credenciales personales. Así que animaría a los usuarios, por ejemplo, a tomar sus direcciones de correo electrónico privadas y usar el servicio gratuito haveibeenpwned.com. Configure una alerta para su propia dirección de correo electrónico y vea si ha sido comprometida previamente en alguna violación de datos de alguna de las marcas en las que confía. Todos hemos estado allí, porque ha habido muchas violaciones de datos. Así que es muy poco probable que no tengas direcciones en los últimos X años que no hayan sido encontradas en uno de esos sitios en haveibeenpwned.com. Eso suele ser una llamada de atención para la gente que no entiende de seguridad. Y desde una perspectiva corporativa, desde la perspectiva de un empleado, usted podría suscribirse a un servicio como SpyCloud. Hay tantos servicios en los que puede introducir sus direcciones de correo electrónico corporativas y ver si se han visto comprometidas en una posible violación de datos.
Una vez más, insto a la precaución de no crear miedo, incertidumbre o duda. Usted quiere que la gente pueda disfrutar de la tecnología y todos sus beneficios sin preocuparse por su seguridad y privacidad. Sólo tienen que entender la compensación.
Tecnologías emergentes y el futuro panorama de la ciberseguridad.
RICHARD TUBB: Hemos hablado del estado actual de la ciberseguridad y de que hay algunas cosas que dan miedo ahí fuera, pero se puede manejar. ¿Cómo es el futuro panorama de la ciberseguridad? ¿Qué tecnologías emergentes espera que jueguen un papel importante en la defensa de la ciberseguridad?
JAYA BALOO: Hay un montón de bombo y platillo alrededor de todas las cosas de la IA, pero tengo que separar el miedo aquí. Siempre hay preguntas como: "¿Usarán los atacantes inteligencia artificial para lanzar superataques de los que no podemos defendernos?" La respuesta honesta es no. Nadie ha visto un ataque lanzado por la IA. El único lugar donde se ve es con el aprendizaje de la máquina y los algoritmos de generación de dominio donde se utilizan continuamente. Pero en lo que respecta a los ataques de la IA contra nuestras defensas, esto todavía no se ha visto. Esto es simple para los defensores en el sentido de que tenemos un marco de tiempo, donde la ventaja está en manos de los defensores para defender. Pero esa ventaja es de corta duración. En el momento en que no capitalizamos esa ventaja y apuntalamos todas nuestras defensas globalmente, más fácil es que los atacantes obtengan esa misma tecnología y la usen para atacar. En ese momento, el coste de usar las técnicas de IA disminuirá inevitablemente, y llegaremos demasiado tarde. Así que, realmente creo que tenemos que empezar a averiguar cómo usar la IA para la detección de anomalías (es decir, identificar el comportamiento anormal dentro de un conjunto de datos). Tenemos que empezar a consolidar todos nuestros datos (información que a menudo se encuentra en registros en diferentes lugares), y usar la IA para identificar tendencias para anticipar mejor los ataques.
Hay una matriz que puedes haber visto para los defensores de Mitre llamada el marco Mitre ATT&CK. Básicamente te muestra el ciclo de vida de un ataque y cómo ocurriría. Es un marco maravilloso para usar y para que un defensor lo entienda. Muestra cómo el atacante se mueve a través de las etapas de ataque hasta un eventual compromiso. Utilizando herramientas como el marco Mitre ATT&CK y la IA para la detección de anomalías, podremos aprender a anticipar mejor los ciberataques basados en los grandes volúmenes de datos históricos que tenemos, y actuar más rápidamente. Comprender realmente cómo se produjo un ataque de principio a fin, así como los diferentes componentes implicados, nos ayudará a estar más preparados en el futuro.
La postura de Jaya sobre la ciberseguridad.
RICHARD TUBB: Hablamos de las implicaciones de la ciberseguridad y lo aterrador que puede ser para las PYMES. Estás trabajando con las mayores empresas del mundo. Estás viendo las hazañas a medida que suceden, en tiempo real. ¿Te asusta la ciberseguridad? ¿Qué es lo que te excita del papel que estás desempeñando? ¿Qué te excita de la ciberseguridad?
JAYA BALOO: Empezaré con la primera pregunta. ¿Me asusto? Lo que más me asusta es nuestra incapacidad como humanos para adaptarnos al cambio. Somos terribles para adoptar nuevos estándares. Somos lentos. No estamos dispuestos a enfrentarnos a los hechos o a las pruebas. Somos mucho más propensos a saltar a la publicidad, a saltar al miedo. Esas son las cosas que nos mueven, y es realmente desafortunado porque siento que son los incentivos equivocados, las razones equivocadas para movernos. Pero ya sabes, esto es invariablemente lo que funciona entre nuestra población y aunque ese es el caso, hace que la cara de este paisaje de la ciberseguridad sea increíblemente dinámica. Significa que se está moviendo rápidamente. Y lo que más me emociona es que las empresas para las que he trabajado nos permiten tener un impacto real y significativo, para proteger a los más débiles de nuestra población.
MSPs: Atrayendo el talento adecuado.
RICHARD TUBB: Para cualquier MSP que diga: "Queremos a alguien como Jaya trabajando para nosotros", ¿cómo pueden atraer a la gente de su mentalidad, para trabajar en su negocio?
JAYA BALOO: Creo que ante todo debería ser una meritocracia. Debería ser gente que merezca estar donde están, que sean como espíritus con mente. Y eso es otra cosa. Dentro de la comunidad de seguridad, hay un montón de gente que se conoce, y se cruzan en la red y se recomiendan mutuamente. Así que creo que mirar y acercarse a la comunidad como, "Oye, ¿a quién conoces?" es la manera de hacerlo. Si estás completamente fuera de esa comunidad, ve en línea, ve a Twitter, ve a Google, ve a LinkedIn, todos estos son grandes recursos y todos los grandes lugares para encontrar personas con ideas afines. Hay tanta buena gente ahí fuera, y siempre me sorprende que no sepamos cómo encontrarlos, atraerlos y animarlos de la manera que deberíamos. Esto también es sólo una cuestión de divulgación por nuestra parte. Si vamos a ser muy tradicionales y muy cerrados, nunca vamos a conseguir a esas personas que son lo contrario, así que realmente sólo tenemos que extender esa mano.