«Incendiaron la casa»: entrevista con Michael Lynton

«El cisne negro» de Michael Lynton se materializó a finales del año pasado, cuando alguien —el gobierno de los Estados Unidos dice que fue Corea del Norte— llevó a cabo el hackeo más devastador de la historia empresarial. Lynton, el CEO de Sony Pictures Entertainment, tuvo que ver que información empresarial altamente confidencial —detalles salariales, correos electrónicos privados (algunos de ellos con duras críticas a los mejores talentos de Hollywood), películas inéditas— se filtraba para que todo el mundo la viera. Por si acaso, los hackers borraron enormes cantidades de datos de los servidores de la empresa.

El ataque llevó a un reacio Lynton a la vanguardia de las relaciones exteriores de los Estados Unidos cuando los hackers amenazaron con tomar represalias si La entrevista, se estrenó una comedia de Sony Pictures ambientada en Corea del Norte que incluye el asesinato de Kim Jong-un. Por temor a las represalias, muchos cines se negaron a proyectar la película y Sony tuvo que buscar una distribución alternativa. El presidente Barack Obama intervino y reprendió a Sony por lo que, a su juicio, era ceder a la presión de Pyongyang. La película de hermanos con clasificación R se convirtió de repente en un icono de la Primera Enmienda.

¿Cómo logra una institución superar todo eso? ¿Cómo mantiene su cultura y conserva su talento, a medida que cada información lasciva, embarazosa y ultrasecreta se hace pública? Visité a Lynton en su suntuosa oficina del legendario complejo art déco de Sony Pictures en Culver City (California) para hablar sobre la experiencia. Parecía desprevenido y optimista, y reconoció libremente las dificultades a las que se enfrentó Sony en las semanas posteriores al ataque, pero parecía esperanzado de que la empresa hubiera sobrevivido intacta.

Ataques como este bien podrían ser la nueva normalidad. Lynton dice que solo puede esperar que la pesadilla de su empresa sirva de llamada de atención para otras empresas estadounidenses.—Adi Ignatius

HBR: Volvamos a finales del año pasado. Sony acababa de ser hackeada. ¿Qué fue lo primero que pensó?

Lynton: Iba de camino al trabajo. Eran alrededor de las 8:00 de la mañana y nuestro CFO llamó para decir que nos habían infiltrado. Cuando llegué a la oficina, todo el estudio estaba desconectado.

Y eso fue solo el principio.

Sí. Recibimos una serie de mensajes amenazantes que advertían de un volcado de datos con la información que los piratas informáticos habían robado, y entonces empezaron las revelaciones. Pronto nos ocupamos de algunas cosas a la vez. Estábamos intentando mantener el negocio en funcionamiento. Se trataba de empleados que temían que su información se hiciera pública. Estábamos hablando con la prensa, que publicaba algunos de los correos electrónicos. Y luego vino el FBI para hacer un análisis forense.

Se le conocía como un CEO que tendía a delegar. ¿Cambió eso?

Sí, mi puesto cambió radical y rápidamente. La crisis me obligó a ser muy práctico. Creamos una central de mando para asegurarnos de que todas las decisiones se tomaban con mi comprensión, conocimiento y aprobación. Básicamente, eso pasó a ser un trabajo a tiempo completo, lo que significaba que todos los demás tenían que dirigir el negocio, cosa que hicieron con mucho éxito.

¿Qué implicó la creación de la central de mando?

Lo primero era establecer un medio de comunicación en ausencia de correo electrónico. Estuvimos básicamente analógicos durante un tiempo. Teníamos teléfonos y ya está. Así que creamos árboles de mensajes de texto y luego pasamos a nuestro sistema de notificaciones a los empleados. Eso significaba que podíamos enviar mensajes de texto de forma centralizada a nuestra población de empleados, cosa que hacíamos con frecuencia.

¿Era solo para la comunicación relacionada con la crisis o para mantener las cosas como de costumbre?

Era para que todo siguiera igual, para asegurarnos de que la gente pudiera comunicarse entre sí sobre las cosas que hacemos a diario: hacer películas, hacer programas de televisión, asegurarnos de que todo se distribuya. Entonces tuvimos que crear un sistema de correo electrónico temporal. Y tuvimos que configurar sistemas para hacer la nómina, pagar a los vendedores, etc. Hacer la nómina por sí solo era una tarea monumental: el departamento de finanzas sacó máquinas viejas del sótano para pagar cheques.

Días de pesadilla: cronología del hackeo de Sony de 2014

24 de noviembre: Cuando los empleados de Sony Pictures Entertainment (SPE) inician sesión en sus

…

Parece una pesadilla. No puedo imaginarme ver toda mi información personal hecha pública de repente.

Bueno, eso era solo una parte. El mayor desafío fue que la gente que hizo esto no solo robó prácticamente todo de la casa, sino que la incendió. Se llevaron nuestros datos. Luego borraron cosas de nuestros ordenadores. Y luego destruyeron nuestros servidores y ordenadores.

Así que ellos lo tenían y usted no.

Correcto. Teníamos copias de seguridad, pero no podíamos acceder a ellas hasta que tuviéramos ordenadores, servidores y sistemas que nos permitieran hacerlo. Así que tiene esos correos electrónicos tan públicos por ahí, algunos de los cuales son lascivos. Y luego tiene el desafío de operar el negocio cuando los servicios de red en los que ha confiado no están disponibles.

Contener los daños

¿Qué es lo que más necesitaban sus empleados de usted en ese momento?

Necesitaban tranquilidad. Les preocupaba que su información personal estuviera disponible y teníamos que explicarles exactamente lo que hacíamos para protegerlos. Algunos temían que la empresa se hundiera como resultado de todo esto.

«Cuando acepta un trabajo en un estudio de cine, no es lo que cree que se está apuntando».

¿Cómo se puso en contacto con ellos?

Celebramos grandes reuniones en el ayuntamiento, con entre 3000 y 4000 personas a la vez, para hablar de lo que estaba sucediendo. Y organizamos pequeños foros en los que reunimos a grupos de 50 a 80 personas y escuchamos sus preocupaciones. Normalmente comía solo en la cafetería y me aseguraba de que la gente podía venir y hablar conmigo. La presencia física era muy importante. Me fui en medio de todo esto para ir a Japón alrededor de un día y medio, porque tenía que hacer una presentación en la junta sobre nuestro presupuesto. Cuando regresé, nuestro director de Recursos Humanos, George Rose, dijo: «¿Por qué lleva tanto tiempo fuera?» Y le dije: «George, ya no estoy 36 horas.» El tiempo parecía muy reducido, porque las cosas sucedían muy rápido.

¿Sus empleados también estaban enfadados?

Algunos lo eran, sí. Y cuando se enteraron de que el gobierno de los Estados Unidos pensaba que el hackeo lo había hecho Corea del Norte, algunos se enfurecieron porque íbamos a liberar La entrevista. Cuando acepta un trabajo en un estudio de cine, no es lo que cree que se está apuntando.

¿Cómo hizo frente a la exposición de tanto material privado?

Era complicado, por un par de razones. Había cosas relacionadas con famosos que la gente leía en los periódicos, que distraían a los empleados, especialmente a aquellos cuyos correos electrónicos se publicaban. Y luego estaba el hecho de que los empleados podían buscar los correos electrónicos de los demás y leerlos.

¿Había alguna forma de contener eso?

Animamos a la gente a no dar el cuello de goma, es decir, «No vaya a mirar los correos electrónicos».

¿Qué podría hacer con los correos electrónicos que se hicieron públicos?

Nada, aparte de tratar de hacer la vista gorda y decir que era una distracción que había que tratar precisamente como eso.

¿Cómo sobrevivió a las críticas a las celebridades que aparecían en los correos electrónicos?

En su negocio, se enfrenta a algunos de los mayores egos del mundo. En algunos casos teníamos que coger el teléfono y pedir disculpas. Pero en su mayor parte, la gente se encogió de hombros. La comunidad de Hollywood, si bien es cercana, también es transaccional. La gente quiere hacer películas y programas de televisión. Y francamente, creo que se pueden perdonar muchas cosas en ese proceso.

¿Ha perdido algún talento?

No, no lo hemos hecho.

Perdió a una colega de alto rango: Amy Pascal, que renunció a su trabajo como copresidenta. ¿Era necesario para que la empresa siguiera adelante, sobre todo porque había escrito algunos de los correos electrónicos más preocupantes?

No, ese no era el tema. Nuestra decisión mutua de que pasara a ser productora coincidió con la fecha de vencimiento de su contrato. Era hora de cambiar de grupo cinematográfico.

No será la última empresa en entrar en quiebra. ¿Qué lecciones puede aprender de su experiencia?

Creo que todo el mundo es más cauteloso con lo que pone en el correo electrónico, y el instinto hoy en día es más a menudo coger el teléfono o quedar en persona, sobre todo cuando se habla de cosas difíciles.

¿No sabíamos ya que no debemos poner cosas en el correo electrónico?

Sí, pero se dice a sí mismo: Ah, nunca va a suceder. Y debo decir que la memoria a corto plazo de la gente es increíblemente corta. Ahora recibo correos electrónicos que me hacen pensar al leerlos, ¿En serio?

¿Ha mirado los correos electrónicos filtrados?

No lo he hecho. Y no se filtraron. Los robaron.

Así que el único contenido que conoce personalmente es el que se convirtió en noticias de los medios.

Sí. Ni siquiera miré el mío. Y analizar minuciosamente los correos electrónicos de otras personas requeriría miles de horas. No le veía sentido a eso.

Además de cautela con el correo electrónico, ¿cuáles son las conclusiones de todo esto?

Está la cuestión fundamental de qué debe o no debe estar en la red. El FBI dijo que el 90% de las empresas no habrían podido resistir el ataque. Sin embargo, todo lo que hay en la red es, por definición, susceptible de sufrir una infracción. Es complicado, porque la facilidad de comunicación y el acceso a los datos son parte de lo que hace que las operaciones empresariales funcionen de manera eficiente. Pero cuanto más tenga ahí arriba, más vulnerable será al hackeo.

Incluso perdió películas enteras, ¿verdad?

Los hackers robaron algunas películas que estrenaron, entre ellas Annie y Sigue siendo Alicia. Creemos que también pueden haber robado La entrevista, pero si lo hacían, optaban por no publicarlo.

¿Publicar o no publicar?

¿Acepta la teoría de que Corea del Norte hizo el hackeo?

La verdad es que no me preocupa quién lo hizo. Me preocupa más poner en marcha el negocio y garantizar que la gente de aquí se sienta lo suficientemente tranquila y segura como para seguir con su trabajo. Lo que me han dicho el FBI y otros miembros del gobierno, y lo que ha dicho el presidente de los Estados Unidos, es que fue Corea del Norte. Tengo que creerles. Hicieron el análisis forense, hicieron el trabajo de inteligencia.

Como sabe, algunas personas piensan que eso no es cierto por varias razones, incluido el hecho de que los hackers no dijeron nada sobre La entrevista en sus primeras comunicaciones.

El gobierno de los Estados Unidos tiene acceso a más información sobre esto que ningún otro, y no tengo motivos para estar en desacuerdo. Los expertos me han dicho que el nivel de destrucción y sofisticación sugieren que se trataba de una operación muy cara que requería mucha gente. Personalmente, no sé si fueron los norcoreanos u otra entidad, pero no creo que fuera un empleado descontento. Era demasiado sofisticado.

Dado que puede haber sido Corea del Norte, ¿se arrepiente de algunos aspectos de La entrevista— ¿tal que identificaba a Kim Jong-un y a Corea del Norte por su nombre?

No. Una vez que decida seguir adelante con la película, tiene la obligación consigo mismo y con la comunidad creativa de asegurarse de que se estrene. Nos mantuvimos fieles a eso.

Como cinéfilo, me preocupaba un poco que La entrevista—este repentino ejemplo de la Primera Enmienda— no era mejor. Todo el asunto no se parecía a la fatwa sobre Salman Rushdie.

Bueno, ha leído¿Los versos satánicos? No lo es Los niños de medianoche. Quiero decir, no era el mejor libro de Rushdie. Y me atrevería a decir que los dibujos animados de París no eran obras de arte. Así que la cuestión no es lo que defiende. Es su obligación defenderse. La entrevista probablemente recibió mucho más escrutinio del que habría tenido si la hubiéramos publicado en Navidad como una comedia con clasificación R. Sí, ojalá fuera algo genial. No es una gran obra de arte. Pero los ejemplos que acabo de describir tampoco lo eran.

Recibió muchas críticas cuando pospuso inicialmente el estreno de la película en cines.

Fue un momento oscuro. Y entonces el presidente Obama se pronunció y nos criticó. No es que no quisiéramos sacar la película, sino que los cines no querían proyectarla. Y ya estábamos intentando encontrar socios de distribución digital. Pero no es divertido que el presidente mueva el dedo contra su empresa.

¿Cómo se esforzó por hacer que las cosas sucedieran cuando estaba claro que no podía tener un estreno normal en cines?

Empecé a llamar a la gente para preguntarles si lo publicarían digitalmente. La mayoría dijo que no. A muchos de los actores del comercio electrónico y a los grandes operadores de cable y satélite les preocupaba que los hackearan ellos mismos. Por primera vez, pensé: Puede que no podamos sacar esto a la luz. Pero luego hablé con Eric Schmidt, de Google, y me dijo: «Este es justo el momento que estábamos esperando. Creemos que nuestra seguridad está a la altura». Y Google ayudó a publicar la película en YouTube y Google Play.

¿Surgió algo útil del modelo de distribución de retazos que puso en marcha con Google y otros?

La gente pregunta eso a menudo, porque hay un debate continuo en nuestra industria sobre si debemos estrenar las películas en formato digital al mismo tiempo que las estrenamos en cines. Sigo creyendo firmemente en la experiencia teatral. Y lo que pasó aquí fue único en su clase. Creamos un sitio de comercio electrónico con un par de pequeñas empresas, Kernel y Stripe; participamos Google y Microsoft; y otras llegaron más tarde.

«Este suceso fue un canario relativamente barato y muy ruidoso en la mina de carbón».

¿Hubo intentos de hackear Google?

Deduzco que estaban pasando muchas cosas. Pero al final, no le pasó nada malo a Google, Microsoft ni a los demás.

¿Se acaba alguna vez?

¿Se acabó la crisis? ¿Terminará alguna vez?

No quiero estropear las cosas, pero creo que se acabó. Eso espero. La mayoría de nuestros sistemas han vuelto a funcionar. Y no creo que aún quede ninguna revelación por llegar.

He leído que el coste final para la empresa fue de 15 millones de dólares.

Los 15 millones de dólares que Sony informó eran el coste al 31 de diciembre. Pero la conclusión —y es un testimonio para la gente de aquí— es que no nos perdimos ni un solo día de inicio en un solo programa de televisión o película.

Mientras tanto, WikiLeaks mantiene públicos los datos robados y los cataloga para facilitar la búsqueda. Creo que el argumento de Julian Assange es que Sony es una empresa pública grande e influyente y, por lo tanto, estos documentos merecen ser de acceso público. Supongo que no está de acuerdo.

No estoy de acuerdo, sobre todo porque hay mucha información personal ahí. Creo que las personas tienen derecho a su privacidad. Y en fin, robaron los correos electrónicos. De hecho, no estoy de acuerdo con la forma en que la prensa ha revisado los correos electrónicos.

¿Cuánto éxito tuvo al detener las noticias de prensa?

Algunas publicaciones se comportaron de manera honorable. Básicamente, se abstuvieron de profundizar en los correos electrónicos. Otros no; asignaron a grandes grupos de reporteros para que revisaran los correos electrónicos.

¿Le sorprendió o decepcionó la falta de solidaridad de otros miembros de su sector porque no dijeron: «Todos somos Sony»?

Al principio me sorprendió. Pero en retrospectiva, creo que a nuestros competidores les preocupaba que los hackearan ellos mismos y les preocupaban las demandas de los accionistas si se presentaban en apoyo de nosotros y luego los hackeaban.

¿Ha salido algo positivo de esta debacle?

Si lo piensa bien, este suceso fue un canario relativamente barato y muy ruidoso en la mina de carbón de los Estados Unidos. Imagínese si le hubiera pasado a General Electric y se hubieran abierto los correos electrónicos de Jeff Immelt. No tengo ni idea de lo que contienen, pero me atrevería a decir que no son correos electrónicos sobre grandes estrellas de cine. El daño a una organización del tamaño de GE habría sido mucho mayor que el que ha ocurrido aquí. Así que si hay un resquicio de esperanza, es que fue un llamado para que los Estados Unidos se despertaran y prestaran atención. Esto va a suceder; de hecho, ya está sucediendo, de forma regular.

¿Su seguridad es mejor que antes del hackeo?

Estamos a punto de lanzar nuevos sistemas a Internet, que tendrán nuevos protocolos y seguridad. Pero gran parte, como he mencionado, tiene que ver con lo que pone en la red. Mi mujer me lo hizo evidente en un momento dado, cuando me recordó que guarda sus joyas en una caja fuerte y que solo las saca cuando tiene previsto ponérselas durante un fin de semana. No lo deja en casa. Así es como tiene que ver una cadena. Tiene que pensar detenidamente qué datos tienen que estar ahí arriba.

¿Por qué está dispuesto a hablar de este incidente?

Por varias razones. En primer lugar, no creo que la gente aprecie adecuadamente lo que pasó la gente de Sony Pictures y el espectacular trabajo que hicieron para mantener la empresa en marcha. Tampoco creo que la gente entienda el nivel de destrucción que hemos sufrido. La cobertura sobre los correos electrónicos robados contribuyó en gran medida a ocultar lo que realmente estaba en juego aquí. Cuando lo atacan de esta manera, todo su negocio corre peligro.

La voz de la experiencia

¿Qué otro consejo daría a los ejecutivos atrapados en una crisis de hackeo como esta?

Mantener la calma es esencial. Y tiene que ser abierto y sincero y comunicarse constantemente. Si no lo está, la moral se verá afectada y la gente se irá. También tiene que fijar prioridades. Los negocios que recuperamos primero fueron los que generaron ingresos, aun cuando otras cosas se quedaron en el camino. Por último, es importante que el FBI llegue pronto. Algunas empresas se muestran reacias a hacerlo; creo que es un error.

¿Han cambiado sus prioridades personales?

Va a parecer ingenuo, pero la crisis ha demostrado lo exageradamente que dependemos del correo electrónico y de la red. Deberíamos dejar de hacerlo. No es que tengamos que andar por ahí con ábacos, pero no obstante.

¿Sony Pictures ha conseguido preservar su cultura?

No puede prepararse para un evento de cisne negro. Simplemente sucede. Pero esto sí unió el lugar. Obligó a todo el mundo a trabajar en estrecha colaboración de una manera que no lo habían hecho en el pasado. Y les gustó esa experiencia. Conocí a mucha gente con la que normalmente no conocería y escuchar sus preocupaciones. Estamos intentando averiguar ahora cómo preservar todo eso.

¿Qué le enseñó esta experiencia sobre el liderazgo?

Tiene que ser increíblemente optimista en todo momento a la hora de superar una crisis, aunque no esté muy seguro de cómo va a superarla. Tiene que estar cien por cien convencido en su cabeza o no cruzará la línea de meta.

¿No es solo temperamento?
¿No es solo una persona optimista?

La verdad es que no soy muy optimista, en su mayor parte. Pero en tiempos de crisis me vuelvo irrazonable.

¿Quiere decir falsamente optimista?

No, no se trata de un falso optimismo, porque —y esto sonará como un mal diálogo cinematográfico— el fracaso simplemente no es una opción. Tiene que proyectar una especie de optimismo como porrista o no va a encontrar su camino.