«Si vives en un pueblo con buena conectividad digital y un aeropuerto cerca, puedes tener clientes de todo el mundo»

A 59 kilómetros de Sevilla está La Campana, pueblo de 5.000 habitantes. En él no solo se puede vivir de la agricultura. Lo demuestra a diario Francisco Caballero Calzada, nacido en La Campana hace 37 años. Con su empresa, Apeiroo Labs, y con su sofisticación tecnológica en un campo global y crucial: la ciberseguridad. Da servicio a importantes empresas de países como Estados Unidos, Holanda, México, España, y a organismos policiales nacionales e internacionales. Para montar sistemas de seguridad informática o para esclarecer ciberataques. En su pueblo vive con su esposa, y tienen una niña de seis años.

¿Cómo es su entorno familiar?

Mi padre, que ya está jubilado, siempre ha sido jornalero en la agricultura vinculada a La Campana. Mi madre se ha dedicado a limpiar, tanto casas de algunas familias como trabajando en empresas de limpieza, en Sevilla, en Benidorm, en Mallorca. Ellos se separaron cuando yo tenía dos años. Mis padres me han educado a saber asumir responsabilidades, a saber tomar decisiones.

¿Dónde estudió?

En colegios e institutos de Sevilla, Constantina y Carmona. Terminando COU en el IES Maese Rodrigo, de Carmona, me salió un trabajo en Fuentes de Andalucía como administrador de sistemas y redes, y montar servidores, para una pequeña empresa. Y empecé a compaginarlo con estudiar un módulo de Informática. Desde entonces, he ido compaginando trabajar y formarme, invertir ahorros en hacer formación muy especializada.

¿Por ejemplo?

Como me gusta mucho hacer deporte, en el último año de bachillerato me saqué un título de socorrista y de monitor de natación. Conseguí trabajar de monitor de natación y de socorrista en la piscina municipal de La Campana, y con el dinero de ese sueldo me pagué un curso que se hacía en Madrid sobre seguridad avanzada en sistemas Unix. Era el año 2000 y yo había terminado COU. Duraba solo una semana y costaba casi medio millón de pesetas.

¿De chaval ya le atraía la seguridad informática?

Mi gran curiosidad era saber cómo funcionaban las cosas y cómo transformarlas. Me aburrían los juegos de ordenador o de consola. El primer ordenador que me compró mi padre, en 1996, solo tardé un día en desmontarlo, y en descomponer sus ficheros. Me cargué el software y tuvo que venir el chico que nos lo había vendido para repararlo. Saqué una gran lección ese día: hay cosas que no se pueden eliminar ni cambiar. A partir de ahí, empecé a estudiar por mi cuenta sobre los sistemas informáticos y me llamó mucho la atención el ámbito del 'hacking'. Siendo muy joven fui en los años 1999, 2000 y 2001 a Mallorca para estar en los primeros congresos de 'hackers' que se hicieron en España. En ellos conocí a expertos en seguridad que trabajaban en bancos y en grandes empresas, esos contactos fueron importantes para mi carrera profesional.

¿Cómo se es 'hacker' con criterios éticos?

Compartiendo conocimiento sobre cómo funcionan los sistemas y cómo se pueden romper. Es detectar un fallo en algún tipo de software para hacerte con el control de una máquina o de un programa. Y muchas veces lo que se hace es buscar en internet un sitio que pueda ser vulnerable, para probar cómo buscar el fallo y cómo hacerte con el control. O bien para que nada funcione, que podría ser como una negación del servicio, o bien para meterle una instrucción y que haga lo que tú quieres.

¿Cuáles fueron sus primeros trabajos de enjundia?

En el año 2002 llegó a La Campana la empresa Aster Sistemas de Control para montar internet en ADSL pero a través de satélite. Como no había en el pueblo infraestructura para ADSL, esa empresa llevaba una conexión por satélite y, a través de redes wifi, desplegaban por el pueblo el ADSL. Y no se me ocurrió otra cosa que 'hackearles', en el buen sentido, para ver cómo era su sistema, y me conecté gratis. Fui a ver al proveedor que se encargaba de los contratos en el pueblo, y le dije: “Está mal diseñado, la gente se puede conectar gratis”. Se lo dijo a la directora de telecomunicaciones y, el mismo día, me llamaron y se presentaron en el pueblo para entrevistarme y ofrecerme trabajar con ellos. Tenía 19 años y conseguí un contrato indefinido, con un sueldo mensual de mil euros, para montar toda la infraestructura de conexiones por satélite y por wifi en doce municipios en Andalucía y uno en Galicia. Estuve dos años con ellos. Y después di el salto a Madrid a la empresa S21sec, la pionera en España en seguridad informática, y puntera en Europa, donde ya me habían entrevistado en el 2003 porque les molaba mi perfil y mis conocimientos.

¿Cuánto le ofrecieron?

Un salario de 24.000 euros al año, más 6.000 euros en variables. Y me pagaban el piso y las dietas. Con S21sec estuve nueve años. Empecé en el 2004 como auditor junior de seguridad para bancos y grandes empresas. En el 2006 ya era senior. Y en 2007, me propusieron irme de gerente a América Latina para desarrollar negocio. La empresa vio que en México podía haber muy buenos clientes y montamos una sede en su capital, durante tres años fui el director técnico y llegamos a tener un equipo de 20 personas. En 2010 regresé a España, atendía a grandes clientes, y en 2011 contactó conmigo la consultora KPMG para liderar todo su equipo de ciberseguridad en España. Por entonces yo percibía 60.000 euros al año. Me hicieron una oferta superior, y con muchos beneficios sociales (seguro médico, más días de vacaciones al año,...).

¿Cuándo empezó a poner en marcha su propia empresa, Apeiroo Labs?

En diciembre de 2013 me fui de KPMG. Empecé en Barcelona mi andadura como emprendedor pero me salió rana un socio, descubrí que estábamos facturando más del doble de lo que me decía. En enero de 2015, ya desde La Campana, empecé como autónomo y contraté a dos personas para hacer desarrollos en herramientas de seguridad a clientes que conocía en Madrid. Pronto también empezamos a dar servicio en auditorías, a resolver incidencias. Y, además, durante año y medio, entre 2015 y 2016, me contrató Grupo Barrabés para ser el director técnico de su empresa Think Big Factory, dedicada al Internet de las Cosas (IoT), y ayudarles a hacerla crecer. Me llamó para ello Luis Martín, que entonces era director general de Barrabés y ahora es su presidente. Estaba tres días a la semana con todo su equipo de desarrolladores en Madrid, además de poder ofrecerles mis servicios de ciberseguridad.

¿Cómo es capaz de desdoblarse trabajando por cuenta propia y por cuenta ajena?

También está desdoblada mi empresa. Con Francisco Pérez Muñoz, que era el director de Aster Sistemas de Control, y con quien no perdí la relación, creamos la empresa Ufreedoms, en ella vamos al 50% cada uno. Para comercializar un desarrollo propio en sistemas de mensajería, es como el WhatsApp pero mucho más seguro, garantizamos el anonimato y la privacidad en las comunicaciones. Tenemos más de 12.000 usuarios, de ellos mil son recurrentes, y queremos conseguir inversores para que su potencial se materialice en un saldo positivo. Y otro desarrollo propio, para el que he creado otra empresa, es Retail Stories.

¿En qué consiste?

Es un sistema para recoger y analizar toda la información sobre los dispositivos que están activos en una zona. Lee todo lo que se capta mediante todas las frecuencias de protocolos de wifi, de bluetooth, de las estaciones de de telefonía, de las estaciones base, de las PlayStation,... Lo he enfocado a dos líneas de negocio. Una es para determinar la autoría de un robo en una joyería, en un banco, en una casa, etc. Porque, aunque no queden imágenes de quién ha sido, si lleva un teléfono móvil ha dejado rastro de su presencia en ese lugar. Y se puede descubrir si ha estado previamente, y se puede detectar y prevenir si se acerca de nuevo. La otra línea de negocio es para análisis sobre usuarios en una tienda, en un centro comercial, y analizar cuántos entran, por dónde se mueven, qué ven en el escaparate, etc. Para la primera opción, montamos un prototipo en La Zagaleta, la urbanización más lujosa de Europa, que está en Benahavís (Málaga). Para la segunda, hicimos el piloto en el Centro Comercial Nevada (Granada).

¿Los tiene patentados?

Sí, y los hemos presentado en Reino Unido, Alemania, China, Estados Unidos. Gustan, pero para montarlo y convertirlo en un producto comercial necesito una estructura que dé soporte a todo lo que requiere. Admito que aún no hemos buscado intensamente los inversores que necesitamos, porque, por otro lado, se ha logrado mucho crecimiento de nuestra actividad como empresa matriz.

¿Cuál es una de sus principales actividades?

Tenemos desde junio de este año un contrato de colaboración con una empresa holandesa que atiende casos de fraude en internet por importe superior al millón de dólares. Nosotros hacemos para ellos y para las policías nacionales o internacionales todo el análisis técnico para averiguar cómo se ha producido el ciberataque, qué rastro queda, por dónde se ha movido el dinero. Toda esa información se la facilitamos a los equipos policiales para que ellos intervengan y puedan actuar contra esas mafias.

¿En cuántos casos se ha llegado hasta el final?

Hasta ahora, en la mitad se ha conseguido la devolución del dinero, y en un tercio se ha encontrado a los delincuentes. Los perjudicados están en diversos países, porque la empresa 'hackeada' que da el servicio informático puede ser de un lugar, y de otros países los clientes a los que han robado, o a los que han engañado con transferencias fraudulentas. En los casos que hemos trabajado, ha habido afectados en Alemania, Holanda, Mónaco, China,...

¿En qué país van a desarrollar más actividad próximamente?

A través de una multinacional en Emiratos Árabes, hemos llegado a un acuerdo para asesorar a importantes empresas de Arabia Saudí y para montarles, tanto en Riad como en Jeddah, centros de respuesta ante incidentes de ciberseguridad que afecten a empresas estatales, ya sean fraudes, ataques a infraestructuras... Durante los próximos meses, voy a estar allí dos o tres semanas de cada mes.

¿Cuántas personas están trabajando en Apeiroo Labs?

Tengo cuatro en La Campana, todos son del pueblo. Y tengo un asociado en EEUU, otro en Panamá, otro en Holanda, otro en Córdoba y mi socio desde Sevilla.

¿Qué aconseja a la ciudadanía para tomar medidas en su vida cotidiana y no ser víctima de la ciberdelincuencia?

Ser consciente de que en nuestra sociedad es muy escasa la educación y la concienciación sobre ciberseguridad. Es fundamental mantener actualizados en todos los ordenadores los antivirus y también activar la actualización de todos los programas informáticos que se usan. Y aprender a distinguir los mensajes que no debes abrir ni cliquear, porque sabes intuir que son un fraude. Muchas veces el ataque se sufre no por un fallo técnico sino por un fallo humano. En el 90% de los casos que han sufrido en España grandes empresas, había alguna vulnerabilidad técnica en sus sistemas que no estaba parcheada, y un equipo que no estaba actualizado, lo que fue aprovechado para extenderse por su red, gracias a que alguien ha abierto un correo electrónico que no debía abrir. La cultura de la ciberseguridad está muy implantada en sectores como la banca. Hay que extender esos estándares de formación y prevención a las pymes, a los autónomos, a cualquier persona.

¿Cómo se protegen ustedes? Pueden ser objetivo de quienes quieran atacar a sus clientes.

Nos protegemos con todo lo que recomendamos. Y, como me enseñó un alto mando de un cuerpo policial, mantenemos un perfil bajo. Para ser buenos en este sector, no tenemos que ser famosos. Por ejemplo, hemos formado a cuerpos policiales a nivel nacional e internacional en temas muy específicos de 'hacking'. Cuanta menos información demos, mejor. Lo que no tengas por qué decirlo, no lo digas. E intentar que no se sepa con qué clientes trabajas. Y menos aún en tiempo real.

¿Son para toda la vida los acuerdos de confidencialidad?

Lo habitual es entre dos y cinco años, algunos incluso fijan un periodo de 10 años. Hay clientes que nos permiten, para promocionarnos ante otros, decir que le hemos hecho un servicio de ciberseguridad, y otros lo prohíben totalmente en sus cláusulas. Además, lo usual es que se obligue borrar a los seis meses en tus sistemas buena parte de la información que tienes sobre esa empresa o institución. Se lo comunicamos previamente al cliente para que ratifique la decisión de destruirla. Y si le estás haciendo un trabajo recurrente, lo usual es que cada año se elimine casi todo.

A los jóvenes que quieran dedicarse profesionalmente a la ciberseguridad, o a los adultos que necesitan resituarse en el mercado laboral, ¿qué formación les recomienda?

Por mi experiencia, veo que las empresas se fijan en el conocimiento y habilidades que demuestras, el título les importa mucho menos. Si tienes inquietudes, el mejor conocimiento se puede buscar y conseguir. Haciendo bien una carrera y un master, y siendo autodidacta, no tienes que pagar un curso muy caro. Es verdad que ahora hay un debate muy amplio sobre si establecer certificaciones o no. Las certificaciones más reconocidas son caras: el curso de una semana cuesta 5.000 dólares y el examen cuesta otros 1.000. Insisto, hay otra opción, que tengas ese conocimiento y que lo puedas demostrar. En mi caso, no acabé la carrera de Informática y tengo una maestría: hice un máster en investigación digital y análisis forense con la University College en Dublín. Me lo recomendaron desde un cuerpo de seguridad y el director del máster, tras entrevistarme, me habilitó. Duró dos años, era semipresencial, con clases on line dos días por semana, y cada semestre tenía que ir dos semanas a Irlanda. Me costó más de 10.000 euros.

¿Conoce dentro o fuera de España otras empresas tecnológicas que estén radicadas en pueblos pequeños?

Sí. Teniendo buena conectividad digital, puedes trabajar desde cualquier lugar y dar servicio a cualquiera en el mundo. Y si tienes cerca un aeropuerto, te puedes mover adonde haga falta. En España tenemos, por lo general, buena infraestructura de comunicaciones y de desplazamientos. Hay que aprovechar la tendencia que se aprecia, por ejemplo en grandes ciudades de países como Estados Unidos, donde algunas empresas prefieren situarse fuera de Silicon Valley o de Nueva York y ubicarse en poblaciones pequeñas desde la que pueden dar el mismo tipo de servicio a clientes ubicados en cualquier parte del mundo, y sus trabajadores tienen así mayor calidad de vida, menos estresante y más barata.

¿Cómo se organiza para tener vida personal, en este frenesí de trabajos y viajes?

Cada noche, planifico todo el día siguiente. Me gusta levantarme muy temprano, y empiezo a resolver y cumplir objetivos, uno, y otro, y otro... A piñón fijo. Y he conseguido no solo poder estar con mi mujer y mi hija, viajes aparte, sino volver a hacer deporte a diario. Se equivoca quien diga que no es posible llevar una empresa y hacer deporte. Si quieres, puedes. Me encanta correr, lo hago entre cuatro y seis días a la semana, corro entre 30 y 60 minutos, me sienta muy bien para soltar tensiones. Cuando estoy en ciudades de Arabia Saudí, como allí no hay parques, salgo del hotel a correr y le doy vueltas a alguna gran zona de edificios. Al atardecer, cuando la temperatura baja ¡a 35 grados!. Tengo de gran ejemplo a mi padre, Pastor Caballero, que empezó muy tarde en el atletismo, con más de 40 años, y continúa con más de 65, hasta el punto de que en su franja de edad ha sido segundo en el maratón de Nueva York, y primero de España y cuarto del mundo en campeonatos de veteranos. Este año he corrido en Sevilla mi primer maratón, estoy satisfecho de mi marca: 3 horas y 23 minutos.

¿Qué pensó tras lograrlo?

Me ratifiqué en lo bueno que es ser soñador, plantearse retos, personales y profesionales. No quedarte solo con el día a día, sino crearte metas a largo, medio y corto plazo. Enfocarte en lo que quieres, activarte, moverte, ser muy constante, y si te caes, volver, y seguir. Y si vuelves a caerte, volver, y seguir... Con trabajo disciplinado y constante se pueden hacer muchas cosas en la vida.