29 dic 2016

Lo mejor del año 2016, por Pablo González

Otro año más ha pasado. Desde hace unos años hacemos este sano ejercicio de reflejar en unas líneas lo que ha deparado el año en el ámbito profesional, y por qué no, en algunas ocasiones también en lo personal. Al final lo profesional como lo personal va muy ligado, uno no puede dar el 100% en lo profesional, si su mente no está en un equilibrio en lo personal, y viceversa. Por desgracia, no siempre podemos tener ese equilibrio y el rendimiento se ve afectado. 

Comienzo diciendo que 2016 ha mejorado las expectativas, he mejorado en casi todo, pero lo cierro con un sabor agridulce. Recuerdo. Es mi palabra para definir mis últimos días de 2016.

Ahora sí, comienzo mi resumen anual. Telefónica sigue siendo mi casa, dónde puedo innovar junto a grandes compañeros, y dónde puedo hacer pruebas de conceptos, probar ideas locas y dar conferencias y comunicar nuestras ideas, en la mayoría de las ocasiones, locas. Cambié de posición internamente, para centrarme en las pruebas de concepto y la ejecución de ideas innovadores que ayuden a impulsarnos o, simplemente, probar diferentes cosas. Resultados como Wordpress in Paranoid Mode o los esquemas Sappo fueron algunos resultados de esto. 

Telefónica seguirá siendo mi casa, aunque nunca se sabe lo que puede traernos el año 2017, ya que vivimos en un sector de continuos cambios y nosotros no somos inmunes a ellos. Allá por el mes de enero tuve una gran despedida de una idea que cogí en los comienzos de ésta (cuando Miguel y Eduardo nos ofrecieron la dinamización), mi querido hack and beers Madrid. En enero hicimos la V edición e impartí la charla 'How can (bad boys or even u) rule the world?'. Además, tuve la oportunidad de volver a mi segunda casa, mi querida Cantabria, a la II Edición de la Sh3llcon dónde impartí el taller 'Los niños y los pentesters nunca mienten' y la charla 'How can (bad boys or even u) rule the world?'. Por segunda vez, estuve en el evento de la UAH denominado Ciberseg 2016, dónde impartí una charla nueva denominada 'Scanning & Port-Knocking: 1F Authentication + 1F Authorization'. Cómo se puede ver, el comienzo del año fue intenso. Comencé un nuevo año de docencia en la Universidad Europea de Madrid en el Máster de Seguridad. Además, realicé una formación sobre Pentesting con Powershell, de la que tendréis noticias pronto. Para finalizar el mes, me entrevistaron para un artículo en genbeta, denominado:  ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?

En Febrero la cosa no se relajó. 'Vísteme despacio que tengo prisa' fue el nombre de una charla en el Data Science Spain 2016, dónde hablé de Tacyt y las posibilidades del Big Data contra las nuevas amenazas. Me sentí un extranjero que aborda una nueva tierra, gente de la seguridad entrando en el Big Data Land. Creo que les puse bandera ;) Esos mismos días llegó una nueva edición del URJC TechFest, y era la quinta. Impartí una charla junto a mi amigo Rafa Sánchez denominada 'El silencio de los backends' y otra denominada 'OSINT: La verdad está ahí fuera'. Tuve la oportunidad de hablar con prensa de Cataluña sobre el hacking ético, dejo por aquí el enlace. Ese mismo mes, de la mano del amigo Rafa Otal, llegó la Morteruelo CON. Era mi primera vez, y espero que no sea la última. Impartí un taller denominado 'A mi me daban 2: Powershell y Metasploit Mix'. Aproveché para hacer una entrevista con la Tribuna de Cuenca. Hay que recalcar que de todo lo que conté, solo se quedaron con lo de un hacker es un curioso, no es un delincuente, lo cual tampoco fue dicho así, pero aceptamos barco ;)


Además, estuve hablando en la Cadena SER sobre el incidente de los juguetes que podían filtrar datos privados de menores. Viaje a Valencia, otra de mis segundas tierras, muy querida y tremenda paella, para hacer la formación 'Pentesting con Kali' en TAES. Uno de los hechos curiosos de este mes de febrero fue una charla que tuve que dar en la AIE, Asociación de Intérpretes Ejecutantes, dónde coincidí con varios cantantes de grupos famosos de los 80-90. Nacha Pop, Los Secretos o Los Tahúres Zurdos, entre otros, estaban allí. Concienciación para ellos y sus negocios en Internet con la charla 'Reality exceeds fiction!'.


Seguí con mis clases en la Universidad Europea de Madrid y comencé un nuevo Máster de Seguridad Informática en la Universidad Internacional de La Rioja. Además, seguí con los TFM en la UOC y con la asignatura de Seguridad en Sistemas Operativos. Tengo el gran honor de estar en las principales Universidades dónde la temática de Seguridad de la Información se encuentra. Por último, acabé el mes comenzando mi participación con la Universidad de Extremadura y el DTIF, Derecho Tecnológico e Informática Forense, dónde aporté con mi visión sobre el hacking ético y el forense en Linux. Los últimos días de Febrero comenzó una nueva edición, y van 7, de la Rooted CON. Por cuarto año consecutivo tuve un taller, en esta ocasión 'Metasploit on Fire!', dónde los asistentes pueden ir viendo el framework en distintos ámbitos y escenarios. Lab recomendado :D

Llegó marzo. Me puse malo. Justo antes de dar la charla en Rooted CON 'Solo hay que besar un sappo para encontrar un príncipe' junto a Chema Alonso. Los dos estábamos malos, pero no podíamos faltar a la cita, y allí estuvimos.


Mientras en la UEM, seguían mis clases, en esta ocasión sobre seguridad en las comunicaciones. Por otro lado, nos invitaron al IES Virgen de la Paloma a unas Jornadas de Ciberseguridad. La charla fue 'Phishing, rats & bad boys: Navegar seguro está en tu mano'. En marzo finalicé, junto a Felipe Colorado, la novela Got Root: El poder de la mente. Esta ha sido mi primera novela y he de decir que ha sido un trabajo gratificante y muy motivador, poder hablar de ciberseguridad desde otro punto y con unos lectores técnicos y no tan técnicos en el foco.

En abril salió a la luz el caso de los Panamá Papers y me tocó hablar en Capital Radio y en la COPE, en el programa de Carlos Herrera. Fue interesante explicarles la teoría del insider, ante lo que ellos veían un claro ataque externo. El periodista Pipo Serrano me entrevistó para su sección en la televisión catalana, el tema fue uno de los estrella en este 2016, explicar al gran público que era eso del cifrado extremo a extremo en WhatsApp. Junto a mi ex-compañero, y gran tipo, Adolfo Hernández participé en una entrevista para Expansión en la que se nos preguntaban por mitos y verdades sobre las contraseñas a prueba de hackers. La Policía de Alcorcón nos invitó a unas charlas de concienciación en la que pude impartir mi charla 'Reality exceeds fiction!' Fue uno de los momentos del año, ya que nos sentimos como en casa. Grandes! y grande Daniel ;)


Seguimos con las clases en la UEM, nos fuimos a dar un curso a Orense en el Colegio de Ingenieros de Galicia sobre Hardening de sistemas GNU/Linux. Seguimos con las clases de la UNIR y grabamos para Cuatro un reportaje para el programa Infiltrados, el título del reportaje 'La casa de cristal', el cual va sobre la privacidad de los datos en los dispositivos móviles.

En mayo seguimos con las clases en UNIR, UEM y en UCLM dónde soy co-organizador del título propio de Especialista en Seguridad Informática y de la Información. Internamente, participé en una Begeekie, gran concepto de charla, comida y networking dónde hable de Network Packet Manipulation. Publicamos el paper del SAPPO. Por último, participé en el programa de youtube 'Palabra de hacker' sobre seguridad ofensiva.


En junio seguimos con las clases en la UCLM, antes del parón de verano. Publicamos el paper del Wordpress in Paranoid Mode, participé en ElevenPaths Talks Temporada 1 con una charla sobre el Wordpress in Paranoid Mode. Por último, participé en Tilo Motion de la mano de Sonia Frías. Gracias por la invitación.






En julio, impartí un curso sobre Metasploit, el cual tuvo un gran número de inscritos. Además, estuve involucrado como tribunal en los TFM de la URJC y la UEM. Por último, tuve en mis manos, tras meses de revisión e imprenta, mi querido Got Root: El poder de la mente.

En agosto, volví a un programa que aprecio, el cual es 'Aquí Madrid'. He participado varias veces y volvieron a grabarme esta vez para el tema de WhatsApp y las estafas que por aquel mes crecían. También tuve la posibilidad de estar en 'A fondo', programa con el que en el 2015 ya tuve la suerte de colaborar. En esta ocasión el tema era Shodan y las cámaras expuestas en Internet. Por último, por segundo año tuve la oportunidad de estar en Tomatina CON. Gran experiencia y gran paella.


Llegó el mes de septiembre, y como se ha podido ver los meses de verano uno está más parado. En septiembre pude participar en la Bsides Colombia 2016 con la charla 'Cómo los malos pueden conquistar el mundo'. Además, por tercera vez participé en la Rooted Satellite celebrada en valencia. Tercer taller consecutivo, en esta ocasión sobre Ethical Hacking y Pentesting. También impartí la charla 'PSBot: No tools, no problem! with Powershell'. A mediados de septiembre se celebró la segunda edición de Qurtuba, en la que tuve el honor de volver a participar. En esta ocasión, junto a mi amigo Carlos García, dimos un taller sobre Red Team & Blue Team, en definitiva distintas estrategias a seguir. En tema de congresos cerré el mes con mi participación, junto a Rafa Sánchez y Carmen Torrano, en Navaja Negra. Tuve la suerte de impartir una charla denominada 'Hacking devices around world: Playing 'Gallinita Ciega''. Por otro lado, junto a Carmen, impartí el taller 'HSTS y HPKP: Los batman y robin de la seguridad web'. En la parte de comunicación, volví al programa 'Aquí Madrid' de Telemadrid para hablar de espionaje en el móvil. Por último, hablé en el programa de Herrera, con el que estoy colaborando desde las últimas 7 semanas, para hablar de bugs en el iPhone 7.

En octubre hubo que parar un poco, pero aún así arranqué cosas. Comencé por segundo año a dar clases de la asignatura de Seguridad Avanzada en el Máster de Ingeniería Informática de la Universidad Rey Juan Carlos. De nuevo un reto, y de nuevo muy gratificante. Participé en COPE, en el programa de Herrera, hablando de las nuevas funcionalidades de WhatsApp, esta vez como experto tecnológico. Por último, estuve en el Movistar Series Cine para hablar, junto a Angelucho, de Mr.Robot y los paralelismos con la seguridad informática. Interesante experiencia, con gran expectación.

En noviembre, estuve en las IV jornadas de seguridad de Villamuriel de Cerrato con Amador Aparicio y todo el equipo del centro. Gran experiencia. Por otro lado, estuve en una charla para un bufete en Valladolid dónde pude conocer a una ex-ministra de un gobierno anterior. Otra gran experiencia que sumar al saco. Noviembre fue un mes muy ajetreado.


Mientras tanto, seguía participando en la COPE en el programa de herrera hablando de Signal, de la cuenta fake de Messi en twitter o de los selfies como contraseñas. También estuve con Germán 'El gris' en unas jornadas de militares celebradas en Toledo sobre técnicas OSINT. Tuve la oportunidad de estar en el EOI, Escuela de Organización Industrial, la cual es una Escuela de Negocios que lleva más de 60 años con nosotros, para debatir sobre la empleabilidad del sector de la seguridad de la información. Gran experiencia con compañeros de tertulia de lujo.


Además, la gente del canal Non Stop People Tv grabaron un reportaje denominado 'Desmontando a Mr. Robot'. De nuevo, fue entretenido. Viaje a Cáceres para estar en el primer Foro Ciber de la mano de Andrés Caro y todo el equipo de la Universidad. Grandes ponentes como Ruth Sala, Silvia Barrera o el Magistrado Eloy Velasco. Allí hablé de las amenazas a las que estamos expuestos los usuarios de Internet a día de hoy. Además, participé en el telediario del canal Extremadura.



En el mismo año, volví a ser invitado por los amigos del IES Virgen de la Paloma para la II edición de sus jornadas sobre seguridad informática. En esta ocasión hablé de 'Repositorios de código, ¿Fuente de vulnerabilidades potenciales? y participé en la mesa redonda con compañeros como Enrique Serrano y Mónica Valle. En esta mesa hablamos sobre la empleabilidad del sector, de nuevo un tema que interesa a muchos y os recomiendo que echéis un ojo.



Quizá noviembre haya sido uno de los meses con más trabajo y con más actividades por mi parte. Participé con la UPM en un máster orientado a la ciberinteligencia, en el que un grupo que llegó de México para hacer dicho máster participaron. Además, hacia finales de noviembre participé por segundo año en las SecAdmin de Sevilla. Gran evento, han dado un paso al frente y tienen una gran organización. Enhorabuena chicos.


Por último, en este largo mes, participé en un piloto de la UEM para intentar acercar el máster de seguridad a los grados. Impartí mi asignatura de ARD en el título de la UCLM e impartí un seminario en mi casa, la Universidad Rey Juan Carlos, sobre 'Ciberseguridad: Presente y futuro'.

Llegamos al último mes del año. Es un mes que siempre me ha encantado. Me llegaron los 30 y llega la navidad. Este mes no lo olvidaré nunca... Comenzó con mi participación en la COPE hablando sobre cookies, otra semana sobre WhatsApp y los phishing y mi última colaboración sobre Yahoo y el hackeo de más de mil millones de identidades. Llegó el III Cybercamp, esta vez en León. Y por tercera vez consecutiva pude estar en este gran evento de la ciber seguridad en España. Allá nos fuimos, Carmen Torrano y yo teníamos un taller de 2 horas sobre HSTS y HPKP, el cual os dejamos a continuación.


Comencé con mis clases en la UEM, en esta nueva edición del Máster de seguridad. Comencé las clases de Análisis de vulnerabilidades en la UNIR. Me entrevistaron a través de una OpenClass en la UNIR para hablar de Ciberseguridad y el futuro de ésta. Participé en Eleven Paths Talks Temporada 2, con una charla sobre Network Packet Manipulation.


El día 23 de diciembre cerré el año con una tertulia en Radio Internacional sobre ciberseguridad y los riesgos que existen en Internet. Como se puede ver ha sido un año lleno de actividades y de experiencias. He conocido a mucha gente, y gente muy interesante. Por desgracia, seguro que se me olvidan cosas interesantes que me han pasado o actividades que he realizado. Brindaré por esas cosas también el próximo día 31.

He de decir que a los que tengo hace muchos años no los cambio por nada. En este pequeño rincón de Internet dónde hacemos Flu Project tengo a Juan Antonio y él siempre ha sido un gran apoyo, confesor y un tío con visión. Gracias JA. Espero que el año 2017 traiga el mismo número de cosas, aunque os puedo adelantar que alguna sorpresa pronto habrá. Cerramos el año, y damos la bienvenida al año 2017. Felices fiestas. 

2 comentarios:

  1. Que buen año Pablo! y para este 2017 a conquistar más éxitos.

    Un abrazo a la distancia.

    ResponderEliminar
  2. Enhorabuena! y gracias por la mención ;)

    ResponderEliminar