31 dic 2013

Lo mejor del año 2013, por Pablo González

Me pedí el último día del año para escribir mi resumen del año 2013, un año que ha sido realmente muy importante para mí, quizá a principios de año no pensaba que sería tan intenso y tan importante para mí como al final ha resultado ser. Es cierto que 365 días dan para mucho, sobretodo cuando eres una persona que siempre quiere estar haciendo cosas, pensando en qué cosas pueden mejorar, qué cosas pueden ayudar a otras personas, y por supuesto cómo ganarse la vida. También es cierto que las personas durante los 365 días del año pasan por diversos estados anímicos, y puedo decir sin miedo a equivocarme que este año he podido vivir todos, o casi todos, y eso me  ha hecho sentir aún más vivo (he estado malo, nervioso, enfadado, triste, contento, contento++ , iluminado, creativo, poco creativo, irascible, ilusionado, pero siempre... vivo). Sin mucho más paso a contaros mi resumen del año 2013

El año comenzó, como ya mencionó Juan Antonio ayer, con la buena noticia de que iríamos a la Rooted CON, el congreso que siempre tuvimos en mente cuando empezábamos hace 4|5 años, y que muchos de los jóvenes que empiezan deberían tener en mente, pensar, pensar, volver a pensar y conseguir algo que os diferencie y resuelva un problema o lo genere, y sin miedo presentarlo. 

En Informática 64 seguíamos como acabamos el año 2012, a tope. Las auditorias de seguridad seguían siendo interesantes, seguíamos realizando buenos trabajos y no imaginábamos lo que poco después sabríamos, nuestra mudanza... Por supuesto, el volumen de trabajo no bajaba y seguían apareciendo nuevas auditorias, nuevas formaciones, nuevas charlas, nuevas consultorias, etc. Por otro lado, nuevas ideas de libros seguían surgiendo, estaba inmerso en la escritura del libro de Hacking de dispositivos iOS, junto a un elenco de grandes profesionales de la seguridad (no nombraré por si me dejo alguno :)), y por otro lado junto a mi buen amigo Carlos Álvarez, en la escritura de Hardening de Servidores GNU/Linux. Tener estos dos libros en las manos fue una gran satisfacción, viendo el resultado y la calidad de lo que entre todos conseguimos plasmar. Hay algunos cursos que recuerdo con cariño que impartimos en i64, allá por Enero, sobre Metasploit, tanto presencial como online, el de Seguridad Anti-Hacking donde no pude ir mucho, pero si impartí algunas clases, grandes experiencias. 

Tuve la oportunidad de volver a disfrutar dando una charla en la gira Up To Secure 2013 (Getafe - Madrid), donde hablé de Metasploit, aprovechando el libro que escribí y que salió a la venta en Noviembre de 2012. Tengo que hacer un inciso, porque siempre que hablo de este libro es algo especial para mi, y quiero agradecer a las casi 1500 personas que lo tienen y que reportan sus experiencias y su feedback. Sin vosotros, nada de esto tendría sentido ;) Volviendo al tema de la Up To Secure, es un evento especial, ya que en Enero de 2011 supuso mi primera charla seria en Pamplona, Zaragoza y Barcelona (dónde conocí al gran Marc Rivero). 

Poco después puedo recordar la charla en la Universidad Carlos III (Leganés - Madrid). La charla se encontraba dentro del evento Tech Fest que organizó la Universidad, yo representando a i64 impartí la charla de Metasploit para pentesters. La verdad que la experiencia y el recibimiento fue muy agradable, estudiantes interesados en el ámbito de la seguridad. Ese mismo mes, Juanan y yo volvimos a nuestra querida Universidad, para impartir una charla sobre seguridad en los videojuegos. Recuerdo que el Real Madrid acababa de eliminar al Barcelona en la copa del rey, y el comienzo de la charla fue sumamente... blanco :) Sinceramente, me quedo con el primer tech fest de la URJC, el del 2012, por varios motivos, pero creo que se deben seguir apoyando este tipo de eventos, y yo como Pablo, y Flu Project seguiremos apoyando estas causas, y asistiendo dónde sean invitados para apoyar a los estudiantes.

No quiero olvidarme que por aquellas fechas seguíamos inmersos en la novena promoción, y última, del FTSAI. Seguramente el curso/máster más completo e interesante que teníamos en i64. Quiero recordar a todas aquellas personas a las que tuve el placer de poder enseñar algo, tanto en esta promoción como en las anteriores. Espero que hayan aprovechado al máximo todo el esfuerzo que nosotros pusimos en esas clases y en nuestra forma de impartir. Como curiosidad decir que este FTSAI hizo que volviera a coincidir con gente de mi época universitaria, y eso siempre agrada. Nostalgia++. Comentar que también me hizo conocer el proyecto HighSec, unos chicos que no van a tener límite (ánimo a todos sus integrantes, tenéis mucho futuro por delante). 

Algo que no había hecho hasta este año es el camino de la asesoría como tal, es decir, comunicar tu opinión sin más que hacer, ni romper, ni construir, si no indicar el camino hacia puntos seguros. Esto es algo que me llamo la atención, y empezamos haciéndolo con dispositivos móviles, y la experiencia también fue gratificante. Eso sí, nosotros siempre tendemos a ir a lo técnico, por lo que nuestra asesoría acababa en pruebas de concepto, y cacharreando...

El evento de Rooted CON supuso para mí un antes y un después, tanto en lo profesional como en lo personal. Impartí mis primeros Rooted Labs con unos grandes resultados, de los cuales me siento orgulloso. Impartí el lab de Hacking a dispositivos iOS junto a Chema Alonso, y al día siguiente el lab de Metasploit, del cual guardo un gran recuerdo. El día de la charla, la primera en Rooted, fue un día intenso, ¿nervios? No ha sido el día de más nervios, sinceramente, pero sabíamos que era un día importante y siempre piensas más de la cuenta: Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection. Dos días después... La noticia bomba, Telefónica, nace Eleven Paths.

Otra de las cosas curiosas de este año es una charla de motivación y autoempleo en seguridad que tuve que dar en el Centro Regional de la Comunidad de Madrid, en Getafe. La verdad que fue algo muy interesante y que me llamó la atención, y también me preocupó, el enfoque que había que darles y explicarles como funcionaba el mundo laboral en el mercado (en auge) de la Seguridad de la Información. CosasCuriosas++.

Hacia el mes de Abril llegábamos a las auditorias finales de i64, cerrábamos trabajos y algunos trabajábamos en Pentesting con Kali, libro con gran éxito de ventas en 2013. También se acercaban las últimas formaciones, recuerdo una de Ethical Hacking que hicimos Germán y yo, donde pusimos la carne en el asador, los dos echamos de menos aquellos tiempos de estrés preparando material y cursos. Algunas formaciones eran muy especiales, cuerpos de seguridad del estado hasta aquí puedo leer, siempre han sido formaciones que gustaban ya que el reto de lo complejo siempre se encontraba ahí. La verdad que serán formaciones que recordaré, quién sabe si en un futuro nos volvamos a encontrar. 

Tuve la oportunidad de organizar junto a Juan Antonio, Angelucho y Blanca el evento de X1redmassegura, el cual tuvo una gran acogida, grandes patrocinadores y colaboradores, y un respaldo por la comunidad de la seguridad enorme. Gracias a todos por hacer que la primera edición fuera un éxito. Prometo involucrarme más en la segunda edición.

Una de las cosas que siempre he querido hacer es impartir clase en la Universidad, siempre he sido un caso extraño entre los compañeros de promoción, y es que me gustaba eso de dar clase a otras generaciones, motivar, inculcar (algo de) conocimiento, hacer pensar, generar inquietudes, ganas de hacer cosas, no pasar por la vida sin más... Y en Junio tuve la suerte de poder hacerlo en un máster de seguridad de la UEM. Los alumnos me acogieron muy bien, y quiero agradecer a Beatriz, Umberto, Javier, Jonás y todos los demás, por hacerme sentir tan bien, y por la invitación a la cena de profesores del máster... (pero eso ya es otra historia).

El Project Manager. Con la llegada a Eleven Paths y Telefónica, mi puesto cambió de Responsable de Seguridad en una pequeña y a la vez gran empresa de seguridad, por un gestor de proyecto de un nuevo producto que teníamos que diseñar, para su posterior implementación, FaasT, y nada menos que en Telefónica. La experiencia a día de hoy es muy positiva, estamos haciendo las cosas bien, con un equipo joven, dinámico, con ilusión y muy motivado. En 2014, vamos a oír mucho más a FaasT, ese es uno de mis objetivos. 

No me olvido del FesTICval de la URJC que desde hace años acercan la Universidad y su mundo a jóvenes de varios institutos de Móstoles. Flu Project estuvo impartiendo dos talleres en 2013, igual que ya hicimos en 2012. La experiencia con los chavales fue enriquecedora, y ver como los más jóvenes de 14-15 años se preocupan por la seguridad informática es algo que me llama, y mucho, la atención. Posiblemente, Flu Project seguirá participando en 2014.

Este año también me ha hecho "debutar" en un espacio el cual, todavía, no me siento demasiado cómodo, pero intentaré mejorar en 2014. Estuve en el programa de Javi Nieves (3 de Junio) - La Mañana. El tema sobre el que hablé fue el ciber lunes, nuestra adaptación del black friday. ¿Cómo comprar seguro en Internet? La verdad que me sentí cómodo para ser la primera vez, y por suerte no fue la última! Sin acabar el mes de Junio, Juan Antonio y yo fuimos entrevistados por Pilar Movilla en Radio 3W. Una entrevista cercana, donde solo teníamos que contar cosas de nuestras vidas, y de nuestro día a día, una tertulia amena y divertida con Pilar. También he estado en la SER en León, respondiendo a preguntas sobre hackers, y por úlitmo mi intervención en el programa de Ramón García para hablar sobre Microsoft y Google, y sus medidas contra la lucha de pedófilos. Hoy hace 9 años que toda España esperaba que el propio Ramón nos felicitase el año 2005 para gritarle... ¡Qué grande eres Ramón!

Después de i64 he tenido alguna formación que otra, una que quiero mencionar fue la de Ciberseguridad de Criptored, en la cual tuve el placer de compartir cartel con profesionales muy respetados en el ámbito nacional e internacional (no nombro que si me dejo alguno...) :D Esperemos repetir... (guiño guiño).

Otro de los eventos del año para mí ha sido el ENISE, en su séptima edición, el evento de INTECO. Invitaron a Flu Project a participar en el debate de blogueros de seguridad. Mi primera mesa redonda, acompañado de grandes como José Selvi, Dabo y Lord Epsilon, de todos me llevo algo. Callarse, escuchar y aprender de ellos, fue algo que puse en práctica y hoy puedo decir que de cada uno de ellos me llevé algo, una experiencia más.

Este año hay algo que echaba de menos y que me propuse hacer. Tengo como objetivo llegar al doctorado si mi vida personal/profesional me lo permite, y quería realizar un máster de seguridad informática. No tenía la oportunidad de hacerlo presencial, por razones casi obvias, falta de tiempo. Elegí la opción de hacerlo a distancia, la Universidad es la UNIR. He tenido contacto casi directo ya con profesores y la verdad que es muy interesante ver como Flu Project ha llegado a los profesores, y conocen lo que hacemos, incluso alguno tiene alguna camiseta de Flu Project (un abrazo para Valentín). Espero que la experiencia sea positiva y que pronto pueda decir que tengo un máster en seguridad informática. Iré informando vía Flu de la evolución...

Casi llegando al final del año, Juan Antonio y yo tuvimos la oportunidad de ir a No cON Name. Esta vez no ha dar charla, como en 2011, si no a dar unos labs. Mi lab era de Metasploit, y solo decir que el trato recibido por la organización fue fantástica, mandar un saludo a Nico, Dani, Deborah, Victor, Miriam, Pedro... Ojalá pueda volver en 2014.

También recordar la charla de la HighSec CON II, donde pude compartir y creo que concienciar a la gente de los peligros y la pedofilia en Internet. Expliqué que era Flu-AD, el cual fue presentado en Rooted, y como aportábamos nuestro granito a la lucha contra esa lacra. El video pronto estará disponible en YouTube, si no lo está ya...

El Innovation Security Day fue el evento de cierre del año en Telefónica y tuve la suerte de poder hablar junto a David Barroso de FaasT. Este evento si que me puso más nervioso de lo habitual, porque 11Paths presentaba su gama de productos, porque me sentía como un niño con un juguete y porque creo que estamos haciendo cosas increíbles. Todo eso sumado a que se retransmitía en 20 países y que miles de personas seguían el evento... Pero todo salió genial, y de nuevo aprendizaje++.

Flu Project cumplió esta año, 3 años, y desde mi punto de vista llegará el día en el que seguramente acabé toda su actividad como la conocemos a día de hoy, espero que aún quede mucho Flu, pero tenemos que estar preparados para todo. Flu ha crecido mucho más de lo que Juanan y yo pensábamos en un principio, y es difícil de compatibilizar con el día a día laboral. En 2014 seguiremos luchando para que Flu siga creciendo, y que sigamos aportando nuestro punto de vista y nuestro granito de arena al mundo de la seguridad.

Seguramente me deje cosas, pero creo que es suficiente como resumen, por lo que no hay mucho más que contar, que este año ha sido largo, intenso, con gran cantidad de cosas hechas y muchas por hacer en 2014, pero con algo que me quedo en lo profesional es ver como tu jefe habla a otras personas de ti, y cuando tu jefe se llama Chema Alonso... son palabras mayores. 

Pablo.

El límite es tu imaginación

2 comentarios:

  1. Sin duda un gran año de logros y éxitos, que son consecuencia del esfuerzo, la dedicación y el trabajo. Enhorabuena por todo lo sucedido en 2013 y os deseo lo mejor para el 2014.

    Saludos

    ResponderEliminar