Hoy entrevistamos a Álvaro Nuñez. Un amigo. Una persona que conozco bien y estoy encantado de poder entrevistarle hoy. Un trabajador incansable al que no se le cae el boli. Siempre pensando en positivo y queriendo sacar el máximo rendimiento de todo lo que hace. Como dirían en el fútbol, yo le quiero siempre en mi equipo. Álvaro tiene muchas facetas ocultas, ya que empezó en el mundo de la imagen y el sonido y no directamente en el mundo de la ciberseguridad, pero eso seguro le sirve para poder ver las cosas desde otro punto de vista.
Sin más, os dejo con Álvaro Nuñez.
1.- ¿Quién es Álvaro Nuñez-Romero?
Hola soy Álvaro Núñez @toolsprods y actualmente soy investigador de seguridad y en mi tiempo libre hago cosas tales como jugar con microcontroladores, dar clases o enredar con alguna tecnología que me pueda enseñar algo nuevo. Tal y como suelo me suelo definir en mi biografía de dos lineas: “Entusiasta de la tecnología, la seguridad informática y el mundo maker. Me gusta hacer diferentes proyectos orientados a hardware hacking e investigaciones para la integración del mundo maker y la ciberseguridad.”
2.- ¿A qué has dedicado el tiempo en estos últimos 5 años?
Prácticamente los últimos 5 años son los que llevo dedicándome profesionalmente a la ciberseguridad. Desde que terminé los estudios, a parte de tener la suerte de trabajar en lo que me apasiona, no he parado de realizar nuevos proyectos como la creación de un curso de Arduino, la creación de un bootcamp de ciberseguridad, la preparación de charlas para eventos del sector e incluso escribir un libro en 0xword de una de las áreas que más me gusta, el mundo maker. También me he unido bastante al área de la docencia, volviendo a las universidades pero esta vez con la visión desde el otro lado, aportando lo máximo que puedo y viendo cómo las nuevas generaciones se forman para el día de mañana.
3.- Hace unos años hiciste el Máster de Seguridad de la Información de la UEM. Allí nos conocimos, ¿Cómo fue tu experiencia en el Máster?
La experiencia con el máster fue muy positiva, no únicamente por las puertas que pueda abrirte el título, también por conocer de primera mano a profesionales que dedican su día a día a la ciberseguridad y sobretodo por todo lo que se aprende a lo largo del curso. Allí tuve la suerte de conocerte como profesor y aprender gran cantidad de cosas que desconocía, ya que no estudié el grado de informática y había alguna cosas que me faltaban por aprender, pero como buen autodidacta, no tarde en ponerme al día. La sensación final es que terminas aprendiendo un poco de muchas cosas, lo justo para identificar que es lo que más te gusta y comenzar un nuevo camino de aprendizaje en ese sentido, bien de manera autodidacta o a través de las numerosas certificaciones o cursos que hay disponibles.
4.- ¿Cómo empezaste en el mundo de la ciberseguridad? ¿Qué recomendarías a una persona que quiera introducirse en el sector de la ciberseguridad?
Desde siempre me ha gustado cacharrear con cualquier dispositivo tecnológico, abrirlos y ver sus piezas. Hace bastantes años, cuando las redes se protegían con WEP, comencé a ver tutoriales sobre cracking de estas protecciones. Probé varias distros como BackTrack, WifiSlax y Bugtraq. No tenía mucha idea de lo que pasaba por debajo, pero me llamaba la atención y me gustaba. Tras acabar el grado me decidí por enfocarme en esta rama, ya que era algo que siempre me había llamado la atención y quería conocer a fondo qué es lo que estaba pasando por debajo cuando se realizaba un ataque de ese tipo. Como recomendación para alguien que quiere introducirse en este sector, lo primero es que se informe y lea mucho, bien a partir de videos, libros específicos o blogs y comunidades del sector donde se puede aprender gran cantidad de cosas para todos los niveles. Y lo segundo: practicar. Montar un buen entorno de prácticas y poner a prueba lo que se va aprendiendo. Se debe ser constante e intentar estar actualizado a las noticias relevantes del sector.
5.- ¿Cómo fue tu primera charla? ¿Qué recuerdos tienes de ello?
Recuerdo mi primera charla en la Hack&Beers IX de Madrid. Antes ya había impartido algún pequeño curso online pero no charla con público en directo. Siempre hay bastantes nervios la primera vez por saber si lo que vas a enseñar va a gustar y/o si lo vas a hacer bien. El Rubber Ducky ya era algo bastante conocido en el sector,y no iba a enseñar nada nuevo, sin embargo, no llevaba un Rubber Ducky normal, sino una placa Arduino UNO modificada para poder ser identificada como un teclado ante un sistema y a partir de ahí realizar los ataques automáticas de inyección de teclas. Al final era darle una pequeña vuelta de tuerca a un concepto ya conocido y enseñar como puede hacer ese desarrollo cada uno en su casa con una simple placa de Arduino. El ambiente fue muy bueno y la charla gustó, por lo que salí contento y motivado para seguir por ese camino.
6.- Has sido ponente en BlackHat Europe en dos ocasiones y una en RootedCON, Cuéntanos un poco que hiciste y cuál fue tu experiencia.
Los dos años que he asistido a BlackHat ha sido al Arsenal, es decir, a la presentación de herramientas. El primer año fue la presentación de DirtyTooth para Raspberry Pi y el segundo año compartimos experiencia al presentar nuestra herramienta iBombShell. En los eventos internacionales siempre hay muchos nervios hasta que pasan. Son muchas horas de preparación tanto para el discurso en un idioma que no es nuestro nativo como para dejar las demos perfectamente preparadas para que no fallen. Y aún así siempre puede pasar de todo como en la siguiente anécdota. En la presentación del DirtyTooth, Apple lanzó una actualización que corregía la debilidad cuatro días antes del evento :S por suerte disponía de un teléfono no actualizado para poder realizar la demostración. Pero por si eso fuera poco, apareció el gran “efecto demo”. Fue entrar al stand, empezar a montar todo, encender la Raspberry y cuando parece que está todo en orden… la Raspberry no enciende. ¡En qué momento! Misteriosamente, tras varios intentos de arrancar la Pi, conseguí que funcionase. Fueron 5 minutos muy intensos, en los que realmente quieres desaparecer de ahí (risas). El segundo año, con la presentación de iBombShell fue todo bien, tal y como estaba previsto. Con respecto a RootedCON, presentamos una investigación basada en la tecnología BLE y sus debilidades. También fue un gran momento ya que, después de asistir 4 años como público, tener la oportunidad de exponer tu trabajo a toda la comunidad es una gran sensación. En general, podría decir que todas las experiencias han sido muy satisfactorias.
7.- ¿Qué opinión te da la cultura del esfuerzo en el mundo de la ciberseguridad?
Está claro que todo esfuerzo tiene su recompensa, y en el área de ciberseguridad pasa lo mismo. La tecnología avanza muy rápido. De un año para otro pueden cambiar muchas cosas. A la vez que se van creando nuevos sistemas más seguros, la comunidad hacker busca las vulnerabilidades para demostrar que cualquier sistema no es 100% seguro. Tenemos un ejemplo de ello en el jailbreak de iOS, donde es cierto que hoy en día no tiene la importancia que tenía hace años. Por un lado, año tras año, la propia Apple va cogiendo ideas que se han visto en aplicaciones homebrew y las integra de manera nativa en el sistema, haciendo que el jailbreak pierda un poco el sentido. Por otro lado, es cierto que cada vez es más complejo encontrar un fallo de seguridad en el sistema, y quizás tardan demasiado tiempo en encontrar algo, pero por lo general terminan llegando. La moraleja de todo esto es que hay que ser constantes, trabajar y nunca dejar de aprender ni dar nada por supuesto ya que no podemos afirmar estar 100% seguros.
8.- Eres docente en diferentes másteres de seguridad y, recientemente, has sido designado como Director del Bootcamp de Ciberseguridad de Geekshubs, ¿Cómo está siendo la experiencia con todo esto?
En la parte de la docencia, empecé con la creación del curso de Arduino para hackersClub, que después de un tiempo ha terminado en la plataforma Udemy. Después empecé a colaborar en alguna universidad y poco a poco empecé a entrar como docente en otros másters de ciberseguridad en la impartición de sesiones. En cada sitio he tenido que llevar una temática diferente, lo que me hace estar constantemente al día. Más adelante surgió la oportunidad de ayudar en la creación de cursos intensivos (bootcamps). No todo ha salido a la primera. Se ha requerido de varios intentos hasta conseguir que una edición pudiera salir, en este caso de la mano con GeeksHubs Academy y ya está en preparación la segunda edición. Al igual que me ocurre con los eventos, la experiencia es satisfactoria y me “obliga” a estar actualizado y no perder las ganas de seguir trabajando en ello.
9.- ¿Cómo crees que ha cambiado la formación hoy en día con la pandemia? ¿Crees que habrá un boom de formación en los próximos meses/años?
Personalmente estoy acostumbrado a la impartición de formación online. Es verdad que con este modelo de enseñanza se pierde el contacto humano, sin embargo las ventajas son muchas, por ejemplo, para aquellos que no tienen tiempo y prefieren estudiar a su ritmo cursando una formación online sin horarios aunque también están las formaciones que ofrecen clases en directo de la misma manera que si fuera presencial. Hemos visto como debido a la pandemia nos hemos tenido que adaptar a la nueva situación y no por ello dejar de aprender. La formación online siempre está activa. Cada vez hay mayor oferta y seguro que hay alguna formación que se ajuste a las necesidades de cada uno. Creo que en los próximos meses/años mucha gente buscará nuevas maneras de formarse para ampliar sus conocimientos y sus habilidades profesionales, y muchos elegirán la modalidad online por lo sencillo que es adaptarse y las comodidades que ofrece. Que la situación no sea una excusa para dejar de aprender.
10.- Para finalizar, ¿Cómo descubriste Flu Project? Y ésta más compleja, ¿Cómo ha sido trabajar conmigo?
Cuando buscaba tutoriales sobre hacking encontraba rápido comunidades como elhacker, DragonJAR e incluso sitios Taringa! en donde se podía encontrar posts de todo tipo y podías encontrar algunos tutoriales con temática de hacking. Por supuesto, también fue muy fácil dar con el blog de elladodelmal. Esas fueron las primeras referencias que recuerdo. Más adelante si recuerdo llegar al blog de flu en busca de lo mismo, post con tutoriales sobre hacking y había una serie de post muy completa sobre el hacking wifi y eso para mí fue toda una fuente de información y aprendizaje. Y con respecto a la pregunta compleja, es tan compleja como trabajar contigo (risas). En realidad para mí es todo un honor. Lo primero haberte tenido como profesor. He aprendido mucho, cada día algo nuevo y gracias a ello he podido cumplir mis sueños. Tener la oportunidad de trabajar junto a uno de los mejores del sector no tiene precio. Espero que sigamos creando nuevos retos y proyectos tecnológicos muchos años más. ¡No hay nada que se nos resista!
No hay comentarios:
Publicar un comentario