22 mar 2021

Entrevista Alfonso Muñoz

Hoy tengo el placer de entrevistar a un amigo del gremio, del sector, al que conozco hace mucho (y mucho) tiempo. Analizando la situación, Alfonso, podemos decir que nos estamos haciendo mayores, pero es parte de la vida y lo bonito de ésta. Espero seguir viéndote avanzar en tu carrera profesional como lo has hecho. Yo creo que nos conocimos allá por 2013, tampoco sé decirte una fecha concreta, entre 2012 y 2013. En una de las primeras ocasiones, tuve el honor de tenerte en el taller de RootedCON de Metasploit. Un poco más tarde coincidimos en ElevenPaths allá por 2014 y te tengo admiración por todo lo que has trabajado. Hemos coincidido en muchas CON y espero que sigamos viéndonos en el futuro a corto plazo. 

También recuerdo la invitación de Jorge Ramió y tuya al ciclo de conferencias del TASSI de la UPM en 2014. Creo que quedó algo bastante "chulo" por aquel entonces. Os la dejo después de la entrevista.

Sin más, os dejo con la entrevista a Alfonso Muñoz.

1 - ¿Quién es Alfonso Muñoz? 

Creo que responder esta pregunta va a ser complicado XD. Me gusta definirme como un chico de barrio que aprovechó y luchó todas las oportunidades que la vida le ofreció y que su esfuerzo e intuición le ha permitido cumplir muchos de sus sueños. Viajar a más de 20 países, vivir en el extranjero, trabajar en lugares, empresas u organismos muy particulares en el campo de la ciberseguridad o conocer a seres increíbles. Son algunos de los regalos que me llevo de esta profesión/pasión. 

La lectura del libro la última lección de Randy Pausch cambio mi forma de ver el mundo. Me liberé del miedo hace tiempo y eso me facilita tomar decisiones a priori "arriesgadas" que me han hecho crecer mucho como persona y profesional. Ya sabes, la muerte está tan segura que va a ganar la partida que te da toda una vida de ventaja :) 

2- ¿Qué recuerdos tienes de tu etapa de estudiante? ¿Cómo fue esa etapa de tu vida en la que fuiste conquistando hitos: carrera, máster, doctorado? 

Mi etapa de estudiante la dividiría en dos bloques, antes y después de los 14 años, y ese es un ejemplo clásico de potencial no utilizado debidamente o cuando buscas tu sitio en este mundo. Antes de los 14 años no tenía ningún interés por estudiar y estaba mas cerca de ser un pequeño delicuente a alguien de provecho. En 8EGB (el equivalente a 3ESO hoy día) en mi clase había una chica que me gustaba y sacaba todo sobresalientes y claro me interesaba "un poco" que se fijara en mí, un chico de todo suficientes, asique empecé a estudiar y pasé a ser el primero de la clase y mi estrategia, algo primitiva por cierto XD, surgió efecto ;). "El problema" es que me empezo a gustar lo de estudiar y no se me daba mal. Acabé el instituto con matrícula de honor, inicié una carrera de ingeniería técnica, luego una superior, luego un máster, luego un doctorado y luego un postdoc. Siempre tuve claro dos cosas: quería dedicarme a la investigación lo más cerca posible del mundo universitario y que tenía que tener preparado un plan B por si no salían bien las cosas. Durante todo ese tiempo tuve la suerte de trabajar en proyectos con empresas y organismos de todo tipo, hacer herramientas, escribir papers, libros, encontrar y repotar vulnerabilidades, etc, etc. 

3 - ¿Qué recuerdos tienes de tus comienzos en seguridad? ¿Qué es lo que te invitó a hacerlo? 

El culpable de mis inicios en seguridad informática fue mi hermano. Mi padre compró un ordenador, 486DX con un flamente MS-DOS 6.2 y un Win 3.11, para que mi hermano pudiera hacer sus trabajos de la universidad. Mi hermano decidió poner un sistema "anti-hackers" para que yo no utilizara y rompiera el ordenador que tanto había costado a mi padre. La protección fue modificar el autoexec.bat añadiendo al final el mensaje "Para continuar pulsa la contraseña"... durante unas semanas le funcionó (es importante recordar que no existía todavía Internet en los hogares XD). Aquel reto intelectual me pareció apasionante asique me recorrí las bibliotecas públicas en la búsqueda de libros de MS-DOS 6.2. Me los leí y descubrí la técnica hacker "mágica" para anularlo, un mísero Control+C XD. Desde entonces, empezé a tener un conocimiento bastante amplio de los sistemas operativos y me introduje en el mundo del hacking principalmente por las disciplinas del cracking, viring, phreaking, carding y el manual del anarquista. Los que hayan pasado ya los 30 años se acordarán que todo lo hacíamos por correo postal, e-zines, revistas con CDs de kioskos, algunos cibercafes a 400 pesetas la hora, etc. 

De 14 a 18 años el mundo del cracking, el viring y la programación fue lo que centró mi mayor atención y me ayudó a no aburrirme excesivamente en el instituto :). Al entrar en la universidad continuaría con el hacking, las redes y la protección de la información. 

4 - Eres una persona con un background extenso entre empresas, universidades, papers, conferencias, etcétera. ¿Qué diferencias ves entre los que empezaban en seguridad hace 15 años y ahora? ¿Crees que puede existir una sobreinformación? 

Es una pregunta interesante. Antes el acceso a la información era más restringido pero era posible ser bueno en muchas disciplinas y creo que mucha de la información disponible era de calidad. A día de hoy, hay una saturación de información en la mayoría de los casos superficial, las múltiples disciplinas han avanzado mucho y requiere necesariamente de especialización, siendo cierto que en algunas de estas la curva de aprendizaje puede ser muy dura, como puede ser en el campo del reversing o exploiting avanzado. 

Soy de la opinión que hay que ser bueno o muy bueno en una disciplina y saber todo lo que se pueda de las demás. La ciberseguridad es una profesión que requiere necesariamente de una visión amplia para abordar con éxito los problemas, desde el diseño de una arquitectura de seguridad, hasta un pentesting, reversing, forense, etc. 

5 - Tú y yo sabemos lo que es escribir un libro. La de horas que hay que echarle y no solo a escribir, documentarse, pruebas, etc. ¿Qué experiencia sacas de tu labor más escritora? 

En mi caso particular, aunque considero que no sé escribir, escribo para aprender. Ordenar las ideas, preparar un discurso con lógica, pensar si tu fueras el lector que echarías en falta (actitud crítica ante tu trabajo) y ayudar a otras personas del sector a avanzar en una disciplina. Escribir un libro es duro, entre otras cosas porque no nos dedicamos a ello, habitualmente se hace robando horas al sueño pero el resultado, mejorable o no, siempre es muy gratificante y de alguna forma estás dejando un pequeño legado. 

6 - Cuéntanos un poco sobre tus proyectos más personales. ¿Cómo está siendo compartir proyecto con Roman, Raúl o Jorge? 

Soy una persona bastante inquieta asique estoy continuamente pensando como generar cosas de valor y que tengan impacto tanto en mi sector de la ciberseguridad como en la sociedad para dejar un mundo mejor a nuestros hijos. He montado varias empresas, en paralelo a mi carrera profesional en grandes compañías, siempre con dos objetivos en mente: abordar temas intelectualmente complejos y rodearme de personas de las que pueda aprender. Con Jorge Ramió desde hace 20 años llevamos la red temática Criptored y multitud de proyectos relacionados principalmente con la formación en ciberseguridad y el asesoramiento técnico. Jorge es un ser extraordinario y es una de esa personas que he tenido la suerte de encontrarme en mi camino. Criptored ha sido un "proyecto" exitoso con multitud reconocimientos aunque siempre nos quedará la espina que en otro país que no fuera España quizás muchos de los proyectos que hemos desarrollado, mucho antes que grandes multinacionales extranjeras o grandes universidades de prestigio, hubieran tenido gran recorrido y quizás un gran retorno económico. 

En otra aventura, que sigue en curso, hace unos años tuve la suerte de liar a Raúl Siles en una idea que lleva tiempo pensando, crear la primera certificación de protección de la información y criptografía Criptocert. Me quedo con el talento, conocimiento y capacidad de sacrificio de Raúl. Un profesional de esos que no abundan. 

En cuanto a Roman (patowc) hemos colaborado en múltiples proyectos, hemos montado una empresa juntos y muchas otras cosas que no se pueden contar :). Román tiene una particularidad que a mi me resulta muy interesante. Tiene un pensamiento divergente, intenta siempre ir más allá con la forma de ver el mundo y eso en un mundo en el que las personas tienden a pensar siempre igual o a no expresarse por el miedo a mi personalmente me suma mucho. Me gusta mucho escucharle y sobretodo discutir con él :) 

7 - Después de, ¿15 años? en ciberseguridad, ¿Crees que debes aportar tu granito de arena a los que vienen detrás? ¿En qué forma crees que se puede lograr esto? 

La pregunta tiene trampa para que revele mi edad, ¿verdad? Digamos, contando el primer trabajo remunerado, 18 años ;) 

Actualmente estoy en ese momento vital, contribuir con lo mucho o poco que sé o con la influencia que pueda tener para dejar un mundo mejor a nuestros hijos. En mi profesión, la manera que encuentro es compartiendo mi conocimiento, estar abierto ayudar a generaciones más jóvenes a buscar su camino y a intentar compartir esta pasión. 

8 - La pandemia ha cambiado muchas cosas, muchas reglas del juego. ¿Crees que es un viaje sin retorno? ¿Crees que volveremos a ver el trabajo cómo lo conocíamos antes? ¿El teletrabajo no se irá? Parece que las amenazas que han tomado más protagonismo durante la pandemia son nuevas, pero no son así, ¿Crees que hemos sabido estar a la altura? 

El hombre es el único animal que tropieza dos veces con la misma piedra. Creo que la pandemia ha permitido que personas con responsabilidad, quizás más clásicas a la hora de entender el trabajo, vean que es posible tener empresas o proyectos exitosos sin tener personas físicas en una oficina. Creo sin duda que cada vez será más común los trabajos full-remote y en España se tenderá a fórmulas mixtas del tipo 3 (oficina) + 2 (teletrabajo) dias por semana o 2 (oficina) + 3 (teletrabajo) días por semana. ¿Hemos estado a la altura durante la pandemia? Creo que en España falta mucho esfuerzo e inversión en la digitalizacion de multitud de tareas y servicios y la ciberseguridad (o la ausencia de la misma) ha ido de la mano. He visto compañía de más de 4000 empleados pasar de 0 teletrabajo al 100% en pocas semanas, no sin sacrificios y protecciones mejorables. Sin duda, estamos en una nueva realidad donde por suerte nuestra profesión tiene mucho que decir y aportar. 

9 - Un consejo para los lectores de Flu Project y que quieran meterse en ciberseguridad 

La ciberseguridad es una disciplina que requiere pasión y si se quiere ser bueno o muy competente hay que dedicarle mucho tiempo y esfuerzo. Si ese es el camino deseado yo aconsejo que considere su carrera profesional como una maratón y no como un spring, hay tiempo de sobra para hacer las cosas bien sin dejar ningún cadáver por el camino. Formáte todo lo que puedas, atrévete a equivocarte y rodéate siempre de personas mejor que tú. Al menos a mí me fue bien con estos simples pasos :) 

Gracias Alfonso ;) un abrazo! 

Gracias Pablo. Un fuerte abrazo a todos los lectores


No hay comentarios:

Publicar un comentario