Mañana, jueves 15 de abril, arranca la IV edición de #Detcamp2021, el foro de comunicación y conocimiento en torno a la investigación y la seguridad privada.
Detcamp es un evento gratuito que cuenta con su propia plataforma de streaming, por lo que aquí podréis daros de alta en el evento:
A nivel de contenidos, este año el evento presentará dos formatos diferentes:
15 de abril (10:30 a 13:30). Magacín informativo de televisión sobre seguridad privada & detectives.
16 y 17 de abril. Detcamp webinars, espacio para la formación, coloquios y talleres para profesionales de acceso gratuito previa inscripción.
En concreto, el viernes 16 de abril a las 19:30 (hora española / UTM+2) tendré el placer de participar en la mesa redonda moderada por Iván Portillo: Ciberinteligencia en el ecosistema empresarial, junto a grandes figuras de la ciberinteligencia en España como Carlos Seisdedos y Wiktor Nykiel.
Carlos Seisdedos (@carloseisdedos) es actualmente responsable del área de Ciberinteligencia en Internet Security Auditors y ha desarrollado una larga trayectoria profesional en el ámbito de las Fuerzas y Cuerpos de Seguridad, especializándose en la investigación de actividades yihadistas en redes sociales.
Por su parte, Wiktor Nykiel (@WiktorNykiel) es cofundador de la Comunidad de Ciberinteligencia GINSEG y el congreso IntelCon. En la actualidad, ocupa el cargo de ingeniero de ciberseguridad en una entidad bancaria de referencia internacional y está especializado en soluciones innovadoras de inteligencia de amenazas para el sector financiero.
Iván Portillo (@ivanPorMor), el moderador de la mesa, ejerce como analista senior de ciberinteligencia y ciberseguridad, acumulando más de 10 años de experiencia en proyectos relacionados y especializado en la generación de inteligencia obtenida a través de procesos de crawling, análisis y correlación de datos masivos sobre amenazas, a través de OSINT y Deep Web. También es cofundador de la Comunidad de Ciberinteligencia GINSEG y el congreso IntelCon.
Por último, me tenéis a mí, Gonzalo Terciado, que ocupo el cargo de analista senior de ciberinteligencia en Grupo Zerolynx. He llevado a cabo investigaciones privadas internacionales y proyectos de Inteligencia 360º, en los que he prestado apoyo a empresas especializadas en HUMINT, así como relevantes trabajos para empresas del IBEX 35, relacionados con monitorización de fugas de información, servicios de alerta temprana, vigilancia digital sobre VIPs y activos críticos, así como análisis de casos de fraude online.
Estoy seguro de que el viernes tendremos un debate muy interesante sobre el papel que juega la Ciberinteligencia en España y qué puede aportar ésta al mundo de la empresa privada. No te lo pierdas 😉.
Hoy tenemos a Carolina Gómez para entrevistarla. Carol es una persona que ha dado un vuelco, con la ayuda de sus compañeros, al congreso Sh3llCON. Supuso un soplo de aire fresco y ayudó a que el legado de otros compañeros no finalizase con la V edición. Además, Carol es una persona que pone muchas ganas en lo que emprende y que ha estado luchando por formarse y conocer más y más del mundo de la ciberseguridad. Tuve el placer de conocerla en una edición de Sh3llCON (creo que en la tercera) en un lab.
Sin más, os dejo con la entrevista a Carolina.
1. ¿Quien es Carol?
Carol es persona con las cosas claras, responsable e implicada en todo aquello que le rodea: familia, amigos, trabajo, etc. alguien con quien se puede contar en cualquier tipo de situación y si es para echar una mano en lo que sea, ahí está incondicionalmente hasta el final para lo que haga falta (vamos, que se apunta a un bombardeo). Aparte de eso, trabaja como pentester desde hace 3 años y es la directora de un congreso de ciberseguridad (Sh3llCON) que se celebra en su tierra, Cantabria.
2. ¿Cómo entraste en el mundo de la ciberseguridad?
Entré en el mundo de la ciberseguridad por ser pesada y me explico: yo trabajaba en el departamento de sistemas en un callcenter y a raíz de acudir a Cybercamp 2016, que se desarrolló en León, y a Sh3llCON 2017, hablé con mis responsables de la empresa donde trabajaba, Netkia Soluciones, y les estuve insistiendo hasta que conseguí que me cambiasen al departamento de ciberseguridad que acababan de crear porque era algo que me gustaba e interesaba mucho.
3. ¿Cuál fue tu primer trabajo en ciberseguridad?
Mi primer trabajo en ciberseguridad fue en Netkia realizando auditorías webs a las diferentes aplicaciones que mis compañeros de programación desarrollaban. Sobre todo, fue absorber el conocimiento que mis compañeros de departamento me enseñaban a diario. También me tocó en algún caso realizar alguna tarea de forense.
4. ¿Crees que la formación en ciberseguridad a nivel universitario o FP es suficiente? ¿Crees que habría que mejorar algo?
Hace unos años en la parte FP, que es la que yo conozco de cerca, salías del FP de sistemas sin saber que existía algo llamado ‘ciberseguridad’ y cuando te enteras de que eso existe, se abre ante ti un mundo nuevo a explorar. Lo bueno es que está habiendo una tendencia importante durante estos últimos años tanto en la parte universitaria como en FP creando grados y grados superiores especializados en ciberseguridad lo que permite a todas las personas que quieran estudiar y aprender ciberseguridad en concreto y es una gran mejora con respecto a lo que había.
5. ¿Cómo llegas a liderar el proyecto Sh3llcon y qué significa para ti?
A mediados de 2017 entré en la organización y durante 2 años formé parte de la organización hasta que, en la edición de 2019, por motivos personales, Sergio dijo que dejaba la dirección del congreso; y, por consiguiente, no habría más ediciones. A mediados de mayo hablé con Sergio y le propuse seguir yo con la dirección de congreso, contacté con las personas que habían estado en ediciones anteriores y todas estuvieron dispuestas para seguir adelante con el congreso.
El paso que di fue una situación que da bastante vértigo porque es complicado igualar o incluso superar el nivel de las anteriores ediciones, pero la verdad es que estoy muy contenta y orgullosa de como salió y gran parte de la culpa la tiene la gente que estuvo a mi lado en la organización sacando tiempo de donde no lo había.
En Cantabria, que es de donde soy, no había ningún congreso ni nada similar donde se hablase de ciberseguridad y, personalmente, Sh3llCON y en concreto la edición de 2017 (la primera que acudí) me abrió un nuevo mundo por descubrir y aprender y tomar la decisión de coger las riendas del proyecto y seguir con él adelante es una forma de devolver todo lo que me ha dado y me sigue dando a día de hoy y, además, de seguir divulgando la ciberseguridad en mi tierra.
6. ¿Crees que estamos preparados como sociedad para los retos tecnológicos de los próximos años? No solo hablemos de ciberseguridad, si no de todo lo que está aquí y que la sociedad conoce, al menos de oídas.
La tecnología avanza a pasos agigantados y es un reto que todas las nuevas tendencias y usos de éstas lleguen de la forma más clara a todos los usuarios, no solamente a los que trabajan en ciberseguridad. Creo que las personas que tienen conocimientos acerca de las nuevas tecnologías en tendencia tienen la “obligación” de explicar tanto a las nuevas generaciones que vienen como a las anteriores, de una forma sencilla, qué es, cómo funciona y qué riesgos tiene para que les atraiga y no lo rechacen por miedo a no saber cómo utilizarlo en su día a día y que les pueda traer consecuencias su empleo.
7. Para muchos eres una referente por liderar una CON y haber dicho aquí estoy yo en este sector. ¿Crees que las mujeres se interesan más por la ciberseguridad?
La verdad es que sí se ve cada vez más mujeres en el sector y eso son buenas noticias, se está viendo que no es un sector que importe si eres hombre o mujer, lo que importa es que te guste y disfrutes con ello, como todo en la vida. En los últimos años cada vez más mujeres se animan a dar charlas y eso ayuda mucho al resto para ver que eso también existe. En mi caso, desde los 5 años tenía claro que quería dedicarme al mundo de la informática, pero no supe de la existencia de la ciberseguridad hasta los 20 años. Las nuevas generaciones ven que no es una profesión de hombres, como antiguamente se daba esa errónea imagen, sino que también hay mujeres en todas las ramas de ciberseguridad llegando a ocupar cargos importantes en las empresas. Y mi opinión con esto es muy clara, no solo para las mujeres sino también para los hombres: haz aquello que te guste, sin que te importe lo que puedan decir los demás (que muchos de ellos ni te conocen), hagas lo que hagas, disfrútalo.
8. Un pronóstico en ciberseguridad para este año y el que viene (se que aquí se suele fallar cuando jugamos a nostradamus... pero arriésgate)
Creo que la tendencia para los próximos años va a seguir la del 2020 y va a estar centrada en los ataques de ransomware y spear phishing (ataques dirigidos). Los cibercriminales no solo van mejorando los ataques con la creatividad con la que los hacen sino con la ingeniería social que les aplican a éstos para que sean lo más exitosos posibles. Ya no llegan, infectan y se van, se está viendo que los cibercriminales se pasan una media de dos semanas dentro de los diferentes sistemas realizando exfiltración de datos y cuando ya tienen lo que buscan (datos), lanzan la “bomba” y empiezan los problemas para la empresa atacada.
Por suerte, las empresas van viendo que es necesario que tengan sus entornos correctamente securizados para evitar tener disgustos a posteriori. Esperemos, por la salud de todos, que la tendencia vaya a la baja y no al alza.
9. ¿Cómo conociste flu Project?
Conocí el blog de Flu Project a raíz de empezar a buscar información y adentrarme en el mundo de la ciberseguridad. Cuando empecé me leí muchos artículos donde se explicaba lo que necesitaba de una forma muy sencilla e intuitiva. Es un blog muy completo donde tiene cabida todo tipo de perfil, tanto técnico como no técnico y personas que se están iniciando, así como aquellos que ya tienen una amplia experiencia.
Nos acercamos al ecuador del CTF #FromZeroToLynx que hemos realizado desde Zerolynx junto a ESL España y el ranking está que arde. Más de 200 personas se han apuntado al torneo en el que, cada día de partido del ESL Masters CSGO, liberamos nuevas pruebas de diferentes niveles. El Top 20 no para de variar y cada semana nos sorprendemos con todo el conocimiento e ingenio que tienen los competidores. La verdad que es un placer ver todo el talento que hay en España y LATAM, de donde son la mayoría de los participantes. Muchos se encuentran estudiando aún, realizando titulaciones relacionadas con la informática, otros trabajan en ciberseguridad, pero me gustaría poner en valor los casos de gente que nos ha conocido a través de ESL, que nunca ha hecho nada de seguridad y se está enfrentando por primera vez a retos de bastante nivel. Tenemos mucho talento, por más que algunos medios o entes se empeñen en asegurar que falta. Lo que nos falta es retribuirlo como se merece, fomentarlo desde etapas tempranas, y apoyarlo para que se quede a trabajar en el país que ha invertido importantes recursos públicos en su formación.
Si aún no sabéis que es #FromZeroToLynx, y os apetece disfrutar un rato hackeando, no dudéis en participar, es gratuito y podréis ganar varios premios gamer. Y como bien ha dicho BitOverun por Twitter, no olvidéis que esto es un juego para divertirse y aprender, tratad de descansar y disfrutar también con la familia y amigos (dentro de las posibilidades que la pandemia nos deja), y que no se nos vaya la vida pegados a una pantalla.
Hoy tenemos con nosotros a Paula de la Hoz. A Paula he tenido la suerte de conocerla en diferentes CONs y ahora podemos disfrutar de ella en Telefónica. Sin duda, es una persona con mucho potencial y es una realidad dentro del sector de la ciberseguridad. Refleja pasión por todo proyecto que hace. Involucrada en diversos temas, hoy tenemos la posibilidad de conocer un poco más a Paula, que nos cuente sus experiencias y sus inquietudes.
Sin más, os dejo con la entrevista a Paula.
1 - ¿Quién es Paula de la Hoz?
Soy Threat Hunting analyst en Telefonica, previamente trabajaba en el equipo de offensive. Profesora de pentesting y hardware hacking en el FP de Los Salesianos Atocha. Soy la presidenta y cofundadora de Interferencias, una asociación por los derechos digitales y la privacidad en internet. También hablo en radio Vallekas sobre divulgación de tecnología.
2- ¿Cómo fueron los comienzos en el mundo de la ciberseguridad?
Cuando estaba en la facultad fui a una charla que había por la tarde sobre ciberseguridad, y me dio la sensación de que tenía mucho más sentido en relación a mi interés por la privacidad y los derechos de los usuarios, así que empecé a estudiar a diario por mi cuenta y a mandar mis investigaciones a eventos, con la intención de seguir aprendiendo de otras investigaciones y ponencias en ellos si me pagaban el viaje.
3 - ¿A qué edad empezaste con la tecnología?
Mis padres me enseñaron a usar el ordenador (con Windows 95) desde preescolar, y siempre me había gustado la tecnología, pero no descubrí que había una ingeniería sobre informática hasta los 13 años, cuando decidí que era lo que quería hacer. A los 15 aprendí Python online con un curso gratuíto del MIT y desde entonces no he parado.
4 - ¿Qué experiencia te has llevado de la Universidad?
Agridulce. He conocido a profesores geniales, algunos me apoyaron con cualquier locura que quisiera hacer en la universidad (charlas, eventos, seminarios, reuniones….) de los cuales algunos siguen siendo amistades hoy día. Y descubrí allí lo que es la comunidad de software libre, que ahora define mi vida entera, también surgió de ahí Interferencias. Sin embargo también he tenido malas experiencias, ansiedad e injusticias a montones en las aulas, especialmente los primeros años. A veces incluso me encontraba prácticas que tenían 15 años de antigüedad, que en informática es demasiado (salvo en matemáticas, claro). Creo que se necesita una seria reforma del planteamiento académico al menos en informática, y ofrecer estudios reales y prácticos.
5 - Hemos visto que te gusta mucho el mundo maker. ¿Crees que lo mejor en el mundo DIY está por llegar? ¿Crees que hoy en día podemos hacer cualquier dispositivo con algunos conocimientos? ¿Qué usos te gusta darle a tus desarrollos?
Para mi lo mejor del mundo maker es la comunidad maker, que ya está aquí. Creo que pensar que lo mejor llega más adelante te hace pensar en esperar para unirte, lo mejor es poder construir cosas en colaboración con toda una comunidad, a lo largo del tiempo. Siempre es el mejor momento. No creo que se pueda hacer cualquier cosa porque hay limitaciones físicas obvias, y algunas tecnologías se liberan lentamente. Pero es verdad que en muy pocos años se han liberado montones de recursos y con algo de creatividad se pueden construir un montón de cosas. Es un trabajo divertido pensar hasta dónde se puede llegar con el material disponible. En mi caso suelo experimentar con componentes que me llaman la atención, me gusta experimentar con robótica también, un par de veces diseñé cosas para mi padre y su bici, otras veces para ciberseguridad porque suelo tenerlo en la cabeza, y ahora también me gusta pensar en aplicaciones para el arte. Creo que intento aplicarlo a todo, en realidad, al menos como experimentos.
6 - Te hemos visto en la pasada BlackHat USA de 2020, ¿Cómo fue la experiencia?
No suelo ponerme nerviosa en eventos pero esa vez me puse bastante nerviosa. Afortunadamente varios españoles fuimos seleccionados y nos hicimos un grupo de Telegram para apoyarnos entre nosotros y fue divertido. La gente de organización del evento también fue maravillosa y súper amable, lamentaban que no pudiésemos estar físicamente todos juntos para celebrar el evento. Durante días después estuve hablando con gente genial que tenía ideas para mejorar y aprovechar lo que expliqué y eso en realidad creo que fue lo mejor, porque era mi objetivo. Dejé claro que el concepto era crear comunidad para mezclar gente experimentada con gente con ideas que acaba de empezar en OT. Una experiencia muy motivadora.
7 - ¿Qué opinas acerca de las conferencias que hay alrededor de toda España? ¿Crees que es bueno para la comunidad todos los eventos que podemos disfrutar a lo largo del territorio nacional?
Sí, sí lo creo. No todo el mundo puede permitirse pagarse un viaje y menos aún los estudiantes y gente que está empezando (que son un público importante para ir renovando la comunidad), así que me gusta mucho que tengamos esa posibilidad. He ido a muchos eventos a lo largo de los años con todos los roles posibles (asistente, ponente, organizadora, persona que pasaba por ahí pero tiene que llevar cajas igualmente) y creo que cada uno tiene su propia personalidad, sus tradiciones y su estilo. Eso es estupendo también, porque le da un poco de personalidad al mundo de ciberseguridad y que no todo sean pantallas y cables. Creo que, como en todo, hay cosas que mejorar: más transparencia en los procesos de selección, ánimo a la gente que quiera exponer por primera vez en su web, códigos de conducta, inclusión… Pero precisamente por ser una comunidad activa, se pueden ir cambiando poco a poco a mejor y con buen talante.
8 - Respecto al futuro de la ciberseguridad, ¿Necesidad o burbuja? ¿Crees que se seguirán demandando más perfiles en ciberseguridad en los próximos años? Juguemos a ser Nostradamus, ¿Cómo ves los próximos años en el sector?
La ciberseguridad es necesaria en cuanto lo es la tecnología. Mientras varios aspectos de nuestra vida dependan de la tecnología, hacerla segura es una necesidad. Tengo la esperanza de que el sector de ciberseguridad se mantenga con esa dinámica de comunidad que la define y que no es igual en todas las disciplinas de informática. Creo que se demandarán muchos perfiles y espero que se vayan renovando los equipos y las ideas para abarcar los diferentes huecos de ciberseguridad. No estoy segura de si las condiciones o la forma en la que se distribuyen los equipos se mantendrá igual, quizás veremos perfiles multidisciplinares de varios tipos, eso me gustaría mucho. Me resulta difícil verme en un punto muy concreto, hace unos meses no hubiera pensado que ahora estaría haciendo Threat Hunting, y me encanta. Espero que en los próximos años siempre tenga la oportunidad de hacer cosas nuevas dentro ciberseguridad, independientemente del proyecto en el que participe.
9 - Todos tenemos fuentes de inspiración, gente que admiramos y que han potenciado lo que nos gustaba en la informática. Cuéntanos qué personas has admirado y que sean tus referentes.
Siempre fue difícil para mí encontrar referentes absolutos pero procuraba inspirarme en muchas personas por pequeños detalles. Mis primeros años de ciberseguridad me apoyé muchísimo en las personas de Follow The White Rabbit, que me han tratado genial siempre y han tenido toda la paciencia del mundo conmigo. También conocía el trabajo de mi actual jefa porque solía tener un proyecto de divulgación de electrónica, y al mismo tiempo de ciberseguridad, y lo descubrí en una época en la que no estaba segura de poder mantener ambas cosas en mi vida. Además estaba atenta a algunas personas online, como Naomi Wu (机械妖姬) que es también maker y tiene una personalidad muy fuerte, entre otras. Por supuesto me he inspirado en gente de la universidad como JJ Merelo que me metió de llenó en el mundo del software libre, algunas personas que me presentó las seguía desde el instituto. Pero hay muchísimas personas más.
Hemos publicado el episodio 1 de la nueva temporada de CodeTalks, episodios que hacemos desde el departamento de IdeasLocas, donde yo trabajo. En esta ocasión, y para amenizar la Semana Santa, os dejo con el primer episodio de la nueva temporada (esta es la cuarta temporada). En esta ocasión hablamos del código de ATTPwn y mostramos algún ejemplo de uso de la herramienta. ATTPwn es una herramienta que fue presentada en BlackHat USA 2020 y de la cual podréis conocer más en este CodeTalk.
La nueva temporada viene cargada de sorpresas, de contenidos y de personas que irán aportando su granito de arena a esto de juntar el desarrollo con la seguridad, hablando del código fuente, que es uno de los protagonistas, así cómo mostrando las cosas que han y hemos ido haciendo.
Sin mucho más, y para que entre torrija y torrija podáis consumir en Semana Santa, os dejo el video del primer episodio. Se irá publicando uno cada mes, el último miércoles de cada mes, y allí estaremos en IdeasLocas para aportar, como siempre, nuestro granito de arena.
Hoy entrevistamos a Álvaro Nuñez. Un amigo. Una persona que conozco bien y estoy encantado de poder entrevistarle hoy. Un trabajador incansable al que no se le cae el boli. Siempre pensando en positivo y queriendo sacar el máximo rendimiento de todo lo que hace. Como dirían en el fútbol, yo le quiero siempre en mi equipo. Álvaro tiene muchas facetas ocultas, ya que empezó en el mundo de la imagen y el sonido y no directamente en el mundo de la ciberseguridad, pero eso seguro le sirve para poder ver las cosas desde otro punto de vista.
Sin más, os dejo con Álvaro Nuñez.
1.- ¿Quién es Álvaro Nuñez-Romero?
Hola soy Álvaro Núñez @toolsprods y actualmente soy investigador de seguridad y en mi tiempo libre hago cosas tales como jugar con microcontroladores, dar clases o enredar con alguna tecnología que me pueda enseñar algo nuevo. Tal y como suelo me suelo definir en mi biografía de dos lineas: “Entusiasta de la tecnología, la seguridad informática y el mundo maker. Me gusta hacer diferentes proyectos orientados a hardware hacking e investigaciones para la integración del mundo maker y la ciberseguridad.”
2.- ¿A qué has dedicado el tiempo en estos últimos 5 años?
Prácticamente los últimos 5 años son los que llevo dedicándome profesionalmente a la ciberseguridad. Desde que terminé los estudios, a parte de tener la suerte de trabajar en lo que me apasiona, no he parado de realizar nuevos proyectos como la creación de un curso de Arduino, la creación de un bootcamp de ciberseguridad, la preparación de charlas para eventos del sector e incluso escribir un libro en 0xword de una de las áreas que más me gusta, el mundo maker. También me he unido bastante al área de la docencia, volviendo a las universidades pero esta vez con la visión desde el otro lado, aportando lo máximo que puedo y viendo cómo las nuevas generaciones se forman para el día de mañana.
3.- Hace unos años hiciste el Máster de Seguridad de la Información de la UEM. Allí nos conocimos, ¿Cómo fue tu experiencia en el Máster?
La experiencia con el máster fue muy positiva, no únicamente por las puertas que pueda abrirte el título, también por conocer de primera mano a profesionales que dedican su día a día a la ciberseguridad y sobretodo por todo lo que se aprende a lo largo del curso. Allí tuve la suerte de conocerte como profesor y aprender gran cantidad de cosas que desconocía, ya que no estudié el grado de informática y había alguna cosas que me faltaban por aprender, pero como buen autodidacta, no tarde en ponerme al día. La sensación final es que terminas aprendiendo un poco de muchas cosas, lo justo para identificar que es lo que más te gusta y comenzar un nuevo camino de aprendizaje en ese sentido, bien de manera autodidacta o a través de las numerosas certificaciones o cursos que hay disponibles.
4.- ¿Cómo empezaste en el mundo de la ciberseguridad? ¿Qué recomendarías a una persona que quiera introducirse en el sector de la ciberseguridad?
Desde siempre me ha gustado cacharrear con cualquier dispositivo tecnológico, abrirlos y ver sus piezas. Hace bastantes años, cuando las redes se protegían con WEP, comencé a ver tutoriales sobre cracking de estas protecciones. Probé varias distros como BackTrack, WifiSlax y Bugtraq. No tenía mucha idea de lo que pasaba por debajo, pero me llamaba la atención y me gustaba. Tras acabar el grado me decidí por enfocarme en esta rama, ya que era algo que siempre me había llamado la atención y quería conocer a fondo qué es lo que estaba pasando por debajo cuando se realizaba un ataque de ese tipo. Como recomendación para alguien que quiere introducirse en este sector, lo primero es que se informe y lea mucho, bien a partir de videos, libros específicos o blogs y comunidades del sector donde se puede aprender gran cantidad de cosas para todos los niveles. Y lo segundo: practicar. Montar un buen entorno de prácticas y poner a prueba lo que se va aprendiendo. Se debe ser constante e intentar estar actualizado a las noticias relevantes del sector.
5.- ¿Cómo fue tu primera charla? ¿Qué recuerdos tienes de ello?
Recuerdo mi primera charla en la Hack&Beers IX de Madrid. Antes ya había impartido algún pequeño curso online pero no charla con público en directo. Siempre hay bastantes nervios la primera vez por saber si lo que vas a enseñar va a gustar y/o si lo vas a hacer bien. El Rubber Ducky ya era algo bastante conocido en el sector,y no iba a enseñar nada nuevo, sin embargo, no llevaba un Rubber Ducky normal, sino una placa Arduino UNO modificada para poder ser identificada como un teclado ante un sistema y a partir de ahí realizar los ataques automáticas de inyección de teclas. Al final era darle una pequeña vuelta de tuerca a un concepto ya conocido y enseñar como puede hacer ese desarrollo cada uno en su casa con una simple placa de Arduino. El ambiente fue muy bueno y la charla gustó, por lo que salí contento y motivado para seguir por ese camino.
6.- Has sido ponente en BlackHat Europe en dos ocasiones y una en RootedCON, Cuéntanos un poco que hiciste y cuál fue tu experiencia.
Los dos años que he asistido a BlackHat ha sido al Arsenal, es decir, a la presentación de herramientas. El primer año fue la presentación de DirtyTooth para Raspberry Pi y el segundo año compartimos experiencia al presentar nuestra herramienta iBombShell. En los eventos internacionales siempre hay muchos nervios hasta que pasan. Son muchas horas de preparación tanto para el discurso en un idioma que no es nuestro nativo como para dejar las demos perfectamente preparadas para que no fallen. Y aún así siempre puede pasar de todo como en la siguiente anécdota. En la presentación del DirtyTooth, Apple lanzó una actualización que corregía la debilidad cuatro días antes del evento :S por suerte disponía de un teléfono no actualizado para poder realizar la demostración. Pero por si eso fuera poco, apareció el gran “efecto demo”. Fue entrar al stand, empezar a montar todo, encender la Raspberry y cuando parece que está todo en orden… la Raspberry no enciende. ¡En qué momento! Misteriosamente, tras varios intentos de arrancar la Pi, conseguí que funcionase. Fueron 5 minutos muy intensos, en los que realmente quieres desaparecer de ahí (risas). El segundo año, con la presentación de iBombShell fue todo bien, tal y como estaba previsto. Con respecto a RootedCON, presentamos una investigación basada en la tecnología BLE y sus debilidades. También fue un gran momento ya que, después de asistir 4 años como público, tener la oportunidad de exponer tu trabajo a toda la comunidad es una gran sensación. En general, podría decir que todas las experiencias han sido muy satisfactorias.
7.- ¿Qué opinión te da la cultura del esfuerzo en el mundo de la ciberseguridad?
Está claro que todo esfuerzo tiene su recompensa, y en el área de ciberseguridad pasa lo mismo. La tecnología avanza muy rápido. De un año para otro pueden cambiar muchas cosas. A la vez que se van creando nuevos sistemas más seguros, la comunidad hacker busca las vulnerabilidades para demostrar que cualquier sistema no es 100% seguro. Tenemos un ejemplo de ello en el jailbreak de iOS, donde es cierto que hoy en día no tiene la importancia que tenía hace años. Por un lado, año tras año, la propia Apple va cogiendo ideas que se han visto en aplicaciones homebrew y las integra de manera nativa en el sistema, haciendo que el jailbreak pierda un poco el sentido. Por otro lado, es cierto que cada vez es más complejo encontrar un fallo de seguridad en el sistema, y quizás tardan demasiado tiempo en encontrar algo, pero por lo general terminan llegando. La moraleja de todo esto es que hay que ser constantes, trabajar y nunca dejar de aprender ni dar nada por supuesto ya que no podemos afirmar estar 100% seguros.
8.- Eres docente en diferentes másteres de seguridad y, recientemente, has sido designado como Director del Bootcamp de Ciberseguridad de Geekshubs, ¿Cómo está siendo la experiencia con todo esto?
En la parte de la docencia, empecé con la creación del curso de Arduino para hackersClub, que después de un tiempo ha terminado en la plataforma Udemy. Después empecé a colaborar en alguna universidad y poco a poco empecé a entrar como docente en otros másters de ciberseguridad en la impartición de sesiones. En cada sitio he tenido que llevar una temática diferente, lo que me hace estar constantemente al día. Más adelante surgió la oportunidad de ayudar en la creación de cursos intensivos (bootcamps). No todo ha salido a la primera. Se ha requerido de varios intentos hasta conseguir que una edición pudiera salir, en este caso de la mano con GeeksHubs Academy y ya está en preparación la segunda edición. Al igual que me ocurre con los eventos, la experiencia es satisfactoria y me “obliga” a estar actualizado y no perder las ganas de seguir trabajando en ello.
9.- ¿Cómo crees que ha cambiado la formación hoy en día con la pandemia? ¿Crees que habrá un boom de formación en los próximos meses/años?
Personalmente estoy acostumbrado a la impartición de formación online. Es verdad que con este modelo de enseñanza se pierde el contacto humano, sin embargo las ventajas son muchas, por ejemplo, para aquellos que no tienen tiempo y prefieren estudiar a su ritmo cursando una formación online sin horarios aunque también están las formaciones que ofrecen clases en directo de la misma manera que si fuera presencial. Hemos visto como debido a la pandemia nos hemos tenido que adaptar a la nueva situación y no por ello dejar de aprender. La formación online siempre está activa. Cada vez hay mayor oferta y seguro que hay alguna formación que se ajuste a las necesidades de cada uno. Creo que en los próximos meses/años mucha gente buscará nuevas maneras de formarse para ampliar sus conocimientos y sus habilidades profesionales, y muchos elegirán la modalidad online por lo sencillo que es adaptarse y las comodidades que ofrece. Que la situación no sea una excusa para dejar de aprender.
10.- Para finalizar, ¿Cómo descubriste Flu Project? Y ésta más compleja, ¿Cómo ha sido trabajar conmigo?
Cuando buscaba tutoriales sobre hacking encontraba rápido comunidades como elhacker, DragonJAR e incluso sitios Taringa! en donde se podía encontrar posts de todo tipo y podías encontrar algunos tutoriales con temática de hacking. Por supuesto, también fue muy fácil dar con el blog de elladodelmal. Esas fueron las primeras referencias que recuerdo. Más adelante si recuerdo llegar al blog de flu en busca de lo mismo, post con tutoriales sobre hacking y había una serie de post muy completa sobre el hacking wifi y eso para mí fue toda una fuente de información y aprendizaje. Y con respecto a la pregunta compleja, es tan compleja como trabajar contigo (risas). En realidad para mí es todo un honor. Lo primero haberte tenido como profesor. He aprendido mucho, cada día algo nuevo y gracias a ello he podido cumplir mis sueños. Tener la oportunidad de trabajar junto a uno de los mejores del sector no tiene precio. Espero que sigamos creando nuevos retos y proyectos tecnológicos muchos años más. ¡No hay nada que se nos resista!
Puedes contactar conmigo en mi perfil de MyPublicInbox
Hoy da comienzo el torneo de ciberseguridad gratuito, en formato Capture de Flag (CTF), que Zerolynx ha realizado junto a la Electronic Sports League (ESL) con motivo de la 9ª temporada del ESLMasters de CSGO. Este CTF, llamado #FromZeroToLynx, mezcla el mundo de la ciberseguridad con el de los eSports, para dar lugar a una serie de interesantes desafíos que pondrán a prueba tanto a jóvenes, como a expertos en la materia. Junto a los retos más habituales en este tipo de torneos, relacionados con la criptografía, la esteganografía o el hacking web, veremos otros relacionados con el mundo de los videojuegos, lo que hace de este CTF algo singular y llamativo para todos los participantes. Cada semana serán liberadas nuevas pruebas de diferentes niveles de dificultad y con diferentes puntuaciones. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo, podrán optar a una serie de premios gamer, además de tener la opción de tener una entrevista para unirse a Zerolynx. Los ganadores serán anunciados durante la gran final del ESLMasters, prevista para el próximo domingo 2 de mayo.
Si no quieres perderte nada, permanece atento a las retransmisiones de ESL España cada semana y, por supuesto, sigue a @ZerolynxOficial en Twitter para poder optar a los premios y leer todas las noticias y novedades del torneo.
¿A qué esperas? Regístrate ya y empieza a disfrutar con ESL y Zerolynx. ¡#GoGoGo!
Durante el ESL Masters pausaremos las publicaciones en Flu Project por parte de Zerolynx, para dedicarnos en cuerpo y alma al torneo :). Todas las semanas trataremos de manteneros al tanto sobre el avance del CTF, el ranking y las principales anécdotas que vayan surgiendo, ¡disfrutadlo!
Buenas a todos, como muchos ya sabréis, Zerolynx se convirtió recientemente en partner de ESL, con el objetivo de patrocinar las próximas temporadas del ESL Masters España de CSGO. Sobre ello, os conté la semana pasada la anécdota sobre como se forjó la alianza, y os adelanté que esta colaboración no se iba a quedar en un simple patrocinio, sino que iba a traer otras novedades para el ecosistema de los eSports. Una de las ideas que se nos ocurrió llevar a cabo cuando nos sentamos a conversar con ESL, fue la posibilidad de hacer un torneo de hacking englobado dentro del ESL Masters, y por tanto, con una temporalidad vinculada a su realización. Según lo estábamos comentando, íbamos visualizando en nuestras retinas lo novedoso de mezclar Ciberseguridad y eSports, y fuimos dibujando esbozos de lo que es a día de hoy el CTF #FromZeroToLynx, que dará comienzo mañana 25 de marzo de 2021 a las 12:00 pm (CET), coincidiendo en fecha con el primer encuentro del ESL Masters entre Saw y Fuark:
#FromZeroToLynx es un torneo de ciberseguridad gratuito, en formato Capture the Flag (CTF), en el que podréis ganar interesantes premios gamer. El CTF finalizará el 2 de mayo a las 12:00 pm (CET), mismo día en que termina la Temporada 9 del ESL Masters. Cada semana serán liberados nuevos retos hacking de diferentes niveles de dificultad y con diferentes puntuaciones. Durante las retransmisiones de ESL España podréis informaros del avance del CTF, así como en la cuenta oficial de Twitter de @ZerolynxOficial, donde además serán publicadas todas las noticias del torneo, por lo que no te olvides de seguirla si deseas participar. Aquellos que logren situarse en los primeros puestos del ranking al finalizar el torneo, se llevarán los premios y el reconocimiento público del CTF #FromZeroToLynx. Los ganadores serán anunciados el domingo 2 de mayo a las 19:00h (CET) durante la retransmisión oficial de la final del ESL Masters, que tendrá lugar en su canal oficial de Twitch.
Los 3 mejores situados en el ranking recibirán los premios gamer que figuran en la imagen anterior, y tanto ellos, como los 7 siguientes, podrán tener una entrevista de trabajo en Zerolynx, si así lo desean. En la actualidad tenemos varias vacantes abiertas, por lo que es una buena oportunidad para unirse a nuestro equipo, disfrutando además de los retos, aprendiendo cosas nuevas y de paso, pudiendo llevarse algún regalo a casa.
Los retos que os encontraréis en #FromZeroToLynx no son los que habitualmente puedan resolverse en los CTFs tradicionales, si que es verdad que hay varias pruebas que indudablemente debían estar, pero hemos tratado de vincularlas al mundo de los videojuegos, y tanto es así, que hasta hemos programado algún que otro mapa de CSGO y de otros videojuegos con flags ocultas.. por lo que no solo harán falta conocimientos de seguridad, sino también tendréis que ser algo jugones :).
En #FromZeroToLynx hay retos para todos los niveles, que irán desde lo más inicial, a retos de pensar y pensar frente a la pantalla. Hemos querido diseñar un CTF educativo, para que los más jóvenes puedan iniciarse y aprender sobre ciberseguridad, sin desesperarse por obtener una flag, y para que los jugones que ya llevan algún que otro año en el sector de la ciberseguridad, puedan desestresarse del día a día, y disfrutar un rato junto a nosotros.
¡Esperamos que os guste!, hemos puesto muchas ganas para que el CTF se encuentre al gusto del mayor público posible. Sin más, simplemente aprovechar para dar las gracias al equipazo de Zerolynx, que ha trabajado muy duro para cumplir los tiempos que nos planteamos y para que todo estuviese a tiempo mañana, a ESL, por dejarnos acompañarnos en esta aventura, y a HyperX, que ha patrocinado varios de los premios del CTF.
¡Disfrutadlo! Mañana a las 11:00h (CET) os esperamos 👇
En los últimos años los vehículos aéreos no tripulados, más conocidos como UAVs o drones, están aumentando su relevancia de forma exponencial en el mundo actual. Por ejemplo, hace unas semanas aparecía la noticia de que, con gran seguridad, se abrirá en los próximos meses (de forma experimental) el primer aeropuerto establecido en Londres para taxis voladores y drones de reparto, bautizado como Air One. Esto, que hasta hace no mucho parecía ciencia ficción, es ya una realidad y son numerosas las empresas que empiezan a usar drones en multitud de tareas, principalmente porque permiten aumentar la seguridad y la eficiencia en determinadas operaciones.
Drone M300 en vuelo, un modelo industrial de DJI.
Una de las marcas líderes en este sector es DJI, bien conocida entre el público general por la amplia gama de productos para todo tipo de usuarios que presenta. Su línea referente a drones industriales tiene una característica bastante interesante, que nos proporciona una serie de herramientas de desarrollo o SDKs para crear nuestras propias aplicaciones y personalizar el comportamiento de nuestra aeronave al máximo. Es tal el grado de desarrollo que el fabricante nos quiere dar, que es posible implementar soluciones de robótica aérea basada en ROS a través del OSDK, su kit de desarrollo para aplicaciones a bordo del propio drone. Sin duda esto es un factor que puede ser muy influyente a la hora de plantear el proyecto de un nuevo producto o línea de desarrollo basada en este tipo de aeronaves, pero, ¿cuál es el nivel de madurez del OSDK de DJI?, ¿realmente se pueden crear soluciones capaces de ejecutar acciones de forma autónoma con los productos del gigante asiático en materia de drones?.
Estas son algunas de las preguntas que podemos llegar a hacernos antes de comenzar un proyecto de desarrollo de estas características, y dada la poca información que podemos encontrar sobre este tema actualmente, intentaré responderlas a través de mi experiencia personal y de un error de seguridad que encontré hace unos meses al trabajar con el OSDK.
Componentes principales de una plataforma de robótica aérea
Antes de comenzar más en detalle, pasaré a recapitular algunos conceptos clave de los componentes que podemos encontrar en un desarrollo de robótica aérea, partiendo siempre desde el uso de una aeronave industrial de DJI.
En primer lugar, lo fundamental es elegir nuestro modelo de drone o fabricarlo nosotros mismos. Debido a la dificultad que supone la segunda opción, partiremos de una aeronave ya construida y con una serie de garantías que nos proporciona el fabricante. Una parte muy importante del drone y que se relaciona con los siguientes componentes es la controladora, encargada de procesar y analizar los datos de los sensores (GPS, IMU...), así como regir el correcto funcionamiento de los actuadores (motores principalmente).
Una solución basada en robótica aérea requiere sensores más especializados que no suelen estar incluidos en nuestro modelo de drone, como cámaras estereoscópicas de alta precisión o sensores LIDAR. Estos sensores serán una pieza clave a la hora de reconocer patrones u objetos que influirán en el comportamiento de nuestro drone.
Para procesar los datos que proporcionan estos sensores en tiempo real se necesita una capacidad de cómputo bastante elevada, por lo que una solución es añadir un procesador de abordo. Esta parte del sistema estará conectada a la controladora y a los sensores específicos. DJI proporciona una serie de plataformas de procesamiento denominadas Manifold 2 con el fin de dar solución a este problema.
Debido a la necesidad de cómputo elevada y al notable peso de sensores como los LIDAR, es necesario usar drones industriales para que puedan llevar esta carga de pago sin dificultad. Además, es necesario satisfacer las exigencias de consumo de estos componentes, por lo que se necesitan baterías de gran capacidad, las cuales no encontramos en modelos destinados al público general.
Failsafe error when OSDK disconnected: un error de seguridad con consecuencias peligrosas
Para ilustrar la forma en la que encontré este error de seguridad, al cual llamé simplemente “Failsafe error when OSDK disconnected” en el título del reporte que envié a DJI a través de su repositorio de GitHub, primeramente haré un supuesto ficticio de un proyecto de robótica aérea. A partir de aquí, para abreviar usaré sus siglas y me referiré a este error como FEWOD.
Imaginemos que queremos crear un producto enfocado a dar servicio a empresas petrolíferas, más concretamente para realizar inspecciones de oleoductos con drones. Para automatizarlo, incluiremos una inteligencia artificial en la propia aeronave, que analizará las imágenes tomadas por la cámara y detectará daños en la estructura. Al detectar uno de los posibles daños contemplados, el drone pausará la misión y cederá el control al piloto para que haga una evaluación más exhaustiva. Cuando el piloto lo crea conveniente, le dará la señal para que continúe la misión y siga haciendo la inspección de manera autónoma. Además, se incluirá un sensor LIDAR para detectar posibles obstáculos en la ruta, cuando esto ocurra se cederá el control al piloto.
Este robot aéreo tendrá, a modo resumido, una cámara que puede ser la principal del drone, un sensor LIDAR y un ordenador de abordo, supongamos que es la Manifold 2 para que no haya problemas de compatibilidad con nuestro drone de DJI. Ahora que tenemos el hardware especificado, pasaremos a definir la parte software y cómo se va a comportar. Podemos distinguir diferentes acciones o comportamientos posibles a los que nuestro producto tiene que dar respuesta, pero para llegar a descubrir el error, nos centraremos en los anómalos. Es necesario contemplar el mayor número de escenarios/situaciones posibles que pueden darse al utilizar nuestro futuro robot aéreo, con el fin de crear un diseño robusto y seguro.
Algunas de las situaciones anómalas que pueden ocurrir para este ejemplo.
Una infografía de estas posibles situaciones puede ser la mostrada en la Ilustración 2, y nos centraremos en el caso de “Desconexión del Módulo”, donde por un motivo imprevisto y externo al piloto o la aeronave, se pierde la conexión entre el ordenador de abordo (Manifold 2) y la controladora. Esta pérdida de conexión puede darse por un fallo de alimentación de la Manifold, por interferencias o por otros motivos externos. Pero, ¿DJI ha implementado algún mecanismo de control para detectar esta posible pérdida de comunicación?. Pues, en teoría sí. Existe una opción si entramos a la configuración del drone por medio de la aplicación DJI Assistant llamada Failsafe error que si la activamos marcando la casilla (Ilustración 3), nuestro drone teóricamente pasaría a ejecutar de forma automática una de las siguientes opciones:
Hovering: se mantiene estático en el aire.
Vuelta a casa: también conocida como RTH (Return to Home), hace que nuestra aeronave vuelva al punto de despegue y aterrice en él.
Opciones para configurar el comportamiento del drone ante un fallo del SDK.
Esta opción en un principio es suficiente para satisfacer la situación anómala que estamos analizando, pero al realizar una prueba conectando nuestro drone (con la Manifold) al simulador que incluye DJI Assistant para llevar a cabo diferentes pruebas en un entorno controlado, comprobamos que no era así. En nuestra Manifold, se pasa a ejecutar una misión a través de ROS y en un momento cualquiera desconectábamos el cable de comunicación que conecta el ordenador de abordo con la controladora del drone. El resultado, en vez de que nuestro robot comience a volver al punto de origen o que entrara en modo hovering, seguía ejecutando la misión.
Podéis imaginar el riesgo que supone este error, ya que puede provocar no sólo daños a estructuras, sino también a personas. En concreto, para el caso del ejemplo propuesto para inspecciones de oleoductos, la existencia de este fallo puede suponer perjuicios graves a infraestructuras críticas, ya que recordemos que este tipo de aeronaves tienen un peso considerable y sus baterías pueden llegar a provocar incendios o explosiones si sufren daños severos.
Soluciones propuestas por DJI a través de GitHub
Como he comentado en el punto anterior, al encontrar el error lo reporté al repositorio del OSDK de DJI para informar de lo ocurrido en la versión con la que estaba trabajando, y pregunté si existía una solución. Tal y como podéis comprobar, no me dieron una solución muy útil, ya que me recomendaban que usara una función llamada flightCtrl, que básicamente su cometido es la de enviar señales en tiempo real para que nuestro dron se mueva en una determinada dirección. Por lo tanto, si deja de enviarse esta señal la aeronave pasará a estar estática, igual que ocurre cuando la controlamos con el mando.
Esta solución puede ser útil dependiendo del proyecto. Por ejemplo, para solucionar problemas de mapping en los que se busca reconstruir una zona en tres dimensiones por medio de un sensor LIDAR, es factible usar este método para que el drone adapte su trayectoria en función de los obstáculos que va descubriendo. Un ejemplo de esta aproximación es la solución Hovermap de Emesent.
Sin embargo, si conocemos la región del espacio donde nuestro robot se va a mover, ¿qué sentido tiene aplicar esta función?, ¿por qué tenemos que perder las capacidades de la controladora de ejecutar y procesar misiones definidas por una serie de puntos específicos en el espacio?. Obviamente, sería un engorro tener que volver a implementar una aplicación de creación de misiones, ya que es algo que nuestro drone lo trae de serie. Además, la aplicación destaca por su robustez por la cantidad de modelos en los que se ha implementado desde el Phantom 1, el primer modelo que DJI lanzó en 2013.
Parece ser que este error, a día de publicar este artículo, se encuentra parcialmente resuelto. Volví a preguntar para informarme de si, al menos, se encontraba solucionado para los modelos industriales más recientes (M210 y M300) en una nueva entrada de GitHub. La respuesta fue que actualmente se había implementado una estrategia para lidiar con el error, en la que la acción de volver a casa tiene más prioridad que una misión, y ésta última a su vez tiene más prioridad que el modo estático (hovering). Por lo tanto:
Si elegimos la opción de hovering para tratar la desconexión con el OSDK, nuestro robot seguirá ejecutando la misión e intentará pasar por los puntos que le hemos indicado.
Si elegimos la opción RTH o vuelta a casa, el drone al detectar la desconexión volverá al punto de partida.
Conclusión
Si bien esta última solución puede no ser la más adecuada, sí que nos permite al menos proponer un punto de partida más robusto y adaptar el planteamiento de nuestro proyecto para cumplir los estándares de calidad y seguridad. Sin embargo, esta solución parcial sólo es válida para el M300 y el M210, que como he indicado corresponden a los últimos modelos de la serie industrial de DJI. Por lo tanto, si tenemos el M600 (que es el modelo anterior) o la controladora A3 en un drone que hayamos fabricado nosotros, esta solución no será válida porque, aunque aparece la opción de Failsafe Error en la configuración, realmente no tiene un mecanismo de control implementado para detectar este error.
Volviendo a las preguntas que nos hacíamos al principio, en primer lugar y dada mi experiencia personal, a la pregunta de ¿cuál es el nivel de madurez del OSDK de DJI?, tengo que responder que aún queda mucho camino por recorrer. Si echamos un vistazo a la documentación de este kit de herramientas de desarrollo, veremos que es poco intuitiva, los ejemplos son escasos y de limitada claridad. Sin duda la línea principal de negocio de DJI son los drones más enfocados al uso recreativo y fotográfico, pero es una pena que su línea industrial en materia de robótica aérea parezca estar algo abandonada, a pesar del potencial que tiene.
Hace unos días el Ministerio de Ciencia e Innovación de España lanzaba el Programa Tecnológico Aeronáutico (PTA) para posicionar al país como referente internacional en el campo de los drones, y recordemos que sólo en España hay actualmente activos 1500 proyectos de investigación relacionados con esta temática. Ya existen numerosas empresas que están trabajando en crear todo tipo de soluciones implicando a drones, por lo que es cuestión de tiempo que se demande robustez en este tipo de kits de desarrollo.
Hoy tengo el placer de entrevistar a un amigo del gremio, del sector, al que conozco hace mucho (y mucho) tiempo. Analizando la situación, Alfonso, podemos decir que nos estamos haciendo mayores, pero es parte de la vida y lo bonito de ésta. Espero seguir viéndote avanzar en tu carrera profesional como lo has hecho. Yo creo que nos conocimos allá por 2013, tampoco sé decirte una fecha concreta, entre 2012 y 2013. En una de las primeras ocasiones, tuve el honor de tenerte en el taller de RootedCON de Metasploit. Un poco más tarde coincidimos en ElevenPaths allá por 2014 y te tengo admiración por todo lo que has trabajado. Hemos coincidido en muchas CON y espero que sigamos viéndonos en el futuro a corto plazo.
También recuerdo la invitación de Jorge Ramió y tuya al ciclo de conferencias del TASSI de la UPM en 2014. Creo que quedó algo bastante "chulo" por aquel entonces. Os la dejo después de la entrevista.
Sin más, os dejo con la entrevista a Alfonso Muñoz.
1 - ¿Quién es Alfonso Muñoz?
Creo que responder esta pregunta va a ser complicado XD. Me gusta
definirme como un chico de barrio que aprovechó y luchó todas las
oportunidades
que la vida le ofreció y que su esfuerzo e intuición le ha permitido
cumplir muchos de sus sueños. Viajar a más de 20 países, vivir en el
extranjero,
trabajar en lugares, empresas u organismos muy particulares en el campo
de la ciberseguridad o conocer a seres increíbles. Son algunos de los
regalos
que me llevo de esta profesión/pasión.
La lectura del libro la última lección de Randy Pausch cambio mi forma
de ver el mundo. Me liberé del miedo hace tiempo y eso me facilita tomar
decisiones a priori "arriesgadas" que me han hecho crecer mucho como
persona y profesional. Ya sabes, la muerte está tan segura que va a ganar
la partida que te da toda una vida de ventaja :)
2- ¿Qué recuerdos tienes de tu etapa de estudiante? ¿Cómo fue esa etapa
de tu vida en la que fuiste conquistando hitos: carrera, máster, doctorado?
Mi etapa de estudiante la dividiría en dos bloques, antes y después de
los 14 años, y ese es un ejemplo clásico de potencial no utilizado
debidamente
o cuando buscas tu sitio en este mundo. Antes de los 14 años no tenía
ningún interés por estudiar y estaba mas cerca de ser un pequeño
delicuente a
alguien de provecho. En 8EGB (el equivalente a 3ESO hoy día) en mi clase
había una chica que me gustaba y sacaba todo sobresalientes y claro me
interesaba "un poco" que se fijara en mí, un chico de todo suficientes,
asique empecé a estudiar y pasé a ser el primero de la clase y mi
estrategia,
algo primitiva por cierto XD, surgió efecto ;). "El problema" es que me
empezo a gustar lo de estudiar y no se me daba mal. Acabé el instituto
con matrícula de honor, inicié una carrera de ingeniería técnica, luego
una superior, luego un máster, luego un doctorado y luego un postdoc.
Siempre tuve claro dos cosas: quería dedicarme a la investigación lo más
cerca posible del mundo universitario y que tenía que tener preparado
un plan B por si no salían bien las cosas. Durante todo ese tiempo tuve
la suerte de trabajar en proyectos con empresas y organismos de todo tipo,
hacer herramientas, escribir papers, libros, encontrar y repotar
vulnerabilidades, etc, etc.
3 - ¿Qué recuerdos tienes de tus comienzos en seguridad? ¿Qué es lo que
te invitó a hacerlo?
El culpable de mis inicios en seguridad informática fue mi hermano. Mi
padre compró un ordenador, 486DX con un flamente MS-DOS 6.2 y un Win 3.11,
para que mi hermano pudiera hacer sus trabajos de la universidad. Mi
hermano decidió poner un sistema "anti-hackers" para que yo no utilizara y
rompiera el ordenador que tanto había costado a mi padre. La protección
fue modificar el autoexec.bat añadiendo al final el mensaje "Para continuar
pulsa la contraseña"... durante unas semanas le funcionó (es importante
recordar que no existía todavía Internet en los hogares XD). Aquel reto
intelectual me pareció apasionante asique me recorrí las bibliotecas
públicas en la búsqueda de libros de MS-DOS 6.2. Me los leí y descubrí
la técnica hacker "mágica" para anularlo, un mísero Control+C XD. Desde
entonces, empezé a tener un conocimiento bastante amplio de los sistemas
operativos y me introduje en el mundo del hacking principalmente por las
disciplinas del cracking, viring, phreaking, carding y el manual del
anarquista.
Los que hayan pasado ya los 30 años se acordarán que todo lo hacíamos
por correo postal, e-zines, revistas con CDs de kioskos, algunos cibercafes
a 400 pesetas la hora, etc.
De 14 a 18 años el mundo del cracking, el viring y la programación fue
lo que centró mi mayor atención y me ayudó a no aburrirme excesivamente
en el instituto :).
Al entrar en la universidad continuaría con el hacking, las redes y la
protección de la información.
4 - Eres una persona con un background extenso entre empresas,
universidades, papers, conferencias, etcétera.
¿Qué diferencias ves entre los que empezaban en seguridad hace 15 años y
ahora? ¿Crees que puede existir una sobreinformación?
Es una pregunta interesante. Antes el acceso a la información era más
restringido pero era posible ser bueno en muchas disciplinas y creo que
mucha de la información disponible era de calidad. A día de hoy, hay una
saturación de información en la mayoría de los casos superficial,
las múltiples disciplinas han avanzado mucho y requiere necesariamente
de especialización, siendo cierto que en algunas de estas la curva
de aprendizaje puede ser muy dura, como puede ser en el campo del
reversing o exploiting avanzado.
Soy de la opinión que hay que ser bueno o muy bueno en una disciplina y
saber todo lo que se pueda de las demás. La ciberseguridad es una profesión
que requiere necesariamente de una visión amplia para abordar con éxito
los problemas, desde el diseño de una arquitectura de seguridad, hasta un
pentesting, reversing, forense, etc.
5 - Tú y yo sabemos lo que es escribir un libro. La de horas que hay que
echarle y no solo a escribir, documentarse, pruebas, etc.
¿Qué experiencia sacas de tu labor más escritora?
En mi caso particular, aunque considero que no sé escribir, escribo para
aprender. Ordenar las ideas, preparar un discurso con lógica, pensar
si tu fueras el lector que echarías en falta (actitud crítica ante tu
trabajo) y ayudar a otras personas del sector a avanzar en una disciplina.
Escribir un libro es duro, entre otras cosas porque no nos dedicamos a
ello, habitualmente se hace robando horas al sueño pero el resultado,
mejorable o no, siempre es muy gratificante y de alguna forma estás
dejando un pequeño legado.
6 - Cuéntanos un poco sobre tus proyectos más personales. ¿Cómo está
siendo compartir proyecto con Roman, Raúl o Jorge?
Soy una persona bastante inquieta asique estoy continuamente pensando
como generar cosas de valor y que tengan impacto tanto en mi sector
de la ciberseguridad como en la sociedad para dejar un mundo mejor a
nuestros hijos. He montado varias empresas, en paralelo a mi carrera
profesional
en grandes compañías, siempre con dos objetivos en mente: abordar temas
intelectualmente complejos y rodearme de personas de las que pueda aprender.
Con Jorge Ramió desde hace 20 años llevamos la red temática Criptored y
multitud de proyectos relacionados principalmente con la formación en
ciberseguridad y el asesoramiento técnico. Jorge es un ser
extraordinario y es una de esa personas que he tenido la suerte de
encontrarme en mi camino.
Criptored ha sido un "proyecto" exitoso con multitud reconocimientos
aunque siempre nos quedará la espina que en otro país que no fuera
España quizás muchos
de los proyectos que hemos desarrollado, mucho antes que grandes
multinacionales extranjeras o grandes universidades de prestigio,
hubieran tenido gran recorrido y quizás un gran retorno económico.
En otra aventura, que sigue en curso, hace unos años tuve la suerte de
liar a Raúl Siles en una idea que lleva tiempo pensando, crear la
primera certificación de protección de la
información y criptografía Criptocert. Me quedo con el talento,
conocimiento y capacidad de sacrificio de Raúl. Un profesional de esos
que no abundan.
En cuanto a Roman (patowc) hemos colaborado en múltiples proyectos,
hemos montado una empresa juntos y muchas otras cosas que no se pueden
contar :).
Román tiene una particularidad que a mi me resulta muy interesante.
Tiene un pensamiento divergente, intenta siempre ir más allá con la forma
de ver el mundo y eso en un mundo en el que las personas tienden a
pensar siempre igual o a no expresarse por el miedo a mi personalmente
me suma mucho.
Me gusta mucho escucharle y sobretodo discutir con él :)
7 - Después de, ¿15 años? en ciberseguridad, ¿Crees que debes aportar tu
granito de arena a los que vienen detrás? ¿En qué forma crees que se
puede lograr esto?
La pregunta tiene trampa para que revele mi edad, ¿verdad? Digamos,
contando el primer trabajo remunerado, 18 años ;)
Actualmente estoy en ese momento vital, contribuir con lo mucho o poco
que sé o con la influencia que pueda tener para dejar un mundo mejor a
nuestros hijos.
En mi profesión, la manera que encuentro es compartiendo mi
conocimiento, estar abierto ayudar a generaciones más jóvenes a buscar
su camino y a intentar compartir esta pasión.
8 - La pandemia ha cambiado muchas cosas, muchas reglas del juego.
¿Crees que es un viaje sin retorno? ¿Crees que volveremos a ver el
trabajo cómo lo conocíamos antes?
¿El teletrabajo no se irá? Parece que las amenazas que han tomado más
protagonismo durante la pandemia son nuevas, pero no son así, ¿Crees que
hemos sabido estar a la altura?
El hombre es el único animal que tropieza dos veces con la misma piedra.
Creo que la pandemia ha permitido que personas con responsabilidad,
quizás más clásicas a la hora de entender
el trabajo, vean que es posible tener empresas o proyectos exitosos sin
tener personas físicas en una oficina. Creo sin duda que cada vez será
más común los trabajos full-remote y
en España se tenderá a fórmulas mixtas del tipo 3 (oficina) + 2
(teletrabajo) dias por semana o 2 (oficina) + 3 (teletrabajo) días por
semana. ¿Hemos estado a la altura durante
la pandemia? Creo que en España falta mucho esfuerzo e inversión en la
digitalizacion de multitud de tareas y servicios y la ciberseguridad (o
la ausencia de la misma) ha ido de la mano.
He visto compañía de más de 4000 empleados pasar de 0 teletrabajo al
100% en pocas semanas, no sin sacrificios y protecciones mejorables. Sin
duda, estamos en una nueva realidad donde
por suerte nuestra profesión tiene mucho que decir y aportar.
9 - Un consejo para los lectores de Flu Project y que quieran meterse en
ciberseguridad
La ciberseguridad es una disciplina que requiere pasión y si se quiere
ser bueno o muy competente hay que dedicarle mucho tiempo y esfuerzo. Si
ese es el camino deseado yo aconsejo
que considere su carrera profesional como una maratón y no como un
spring, hay tiempo de sobra para hacer las cosas bien sin dejar ningún
cadáver por el camino.
Formáte todo lo que puedas, atrévete a equivocarte y rodéate siempre de
personas mejor que tú. Al menos a mí me fue bien con estos simples pasos :)
Gracias Alfonso ;) un abrazo!
Gracias Pablo. Un fuerte abrazo a todos los lectores
