domingo, 13 de septiembre de 2015

Lawwait: "No duermo, me apago"

Lorenzo Martínez. CEO de Securízame.


Se esconde un gran carácter tras la sonrisa tímida de Lorenzo Martínez, más conocido como lawwait. Nacido hardware hacker, cofundador del conocido blog Security By Default, hoy es el arquetipo del hacker emprendedor, integrante por mérito propio del que podríamos llamar "sector de negocios" de la comunidad hacker española. 

36 años, de La Rioja, estudió Ingeniería Informática en Deusto y nada más salir ya tenía trabajo. De hecho, coincidió con quien escribe, en octubre de 2001, en Benalmádena, cuando expuso su proyecto de fin de carrera en el I Simposio Nacional de Comercio Electrónico. Lo que son las cosas, volvimos a coincidir en 2012, en la convención Navaja Negra, cuando acababa de poner en marcha en solitario Securízame, su empresa, hoy con 3 personas contratadas y 10 colaboradores fijos. ¿Le traeré suerte? :)

- ¿Qué valor de la ética hacker te gusta más?

- La honradez de utilizar tus conocimientos para satisfacer tu curiosidad y nunca terminar de aprender.

- ¿Cambiarías tus matrículas de honor y sobresalientes por...? 

- Por haber estado en el sector del hacking desde antes, en la época dorada.

- ¿Cuántas horas duermes?

- Uffff, la verdad es que cada vez menos. Mi cabeza sigue procesando cuando me voy a la cama. Como suelo decir, hay noches que ni me duermo, sino que me apago.

- A tí, que te gustan los coches, ¿has pensado en reproducir el hack de Chrysler?  

- Has dado en una de las llagas. ¡Me encantan los coches! Precisamente una investigación frustrada de la que estuvimos hablando Yago Jesús y yo era sobre hacking de coches. No lo descartamos para un futuro, si es que queda algo por romper en alguna marca.

- Tú, hardware hacker, ¿qué cosa has construido de la que estás más orgulloso?

- Creo que las cosas tienen más valor, aunque sean menores en números absolutos, cuando tienes pocos recursos para su construcción. Cuando estaba en la Universidad había una asignatura que tenía temas de robótica con micropics 16F84. Había una prueba de sumo entre robots con bastante libertad. El robot base desde el que tenías que partir tenía dos motores (uno en cada rueda delantera) y una rueda como de silla de oficina detrás. Obviamente, hacía falta fuerza y potencia. En esa época me quitaba el sueño la tracción Quattro de Audi, así que propuse hacer que el robot la tuviera integrada. Para eso cogí un antiguo coche teledirigido (un Ferrari F-40 que corría que se las pelaba... tenía una posición en el mando que ponía Turbo Charger, no te digo más) y lo partí por la mitad.

- (Pausa para que podamos respirar ante el ímpetu de lawwait :)

- Le quité el eje trasero y trasladé el motor a una estructura que hice para el robot, con piezas de un mecano. Con esto tuve que diseñar una plaquita driver nueva que recibiera la señal de un par de salidas del Micropic, para accionar el motor en un sentido o en otro. Estaba genial, porque a nivel programación hubo que hacer una rutina para esa prueba que detectaba si el robot no avanzaba, incluso empujando con los motores delanteros, entonces se tomaba la poción mágica y accionaba el motor de atrás. El problema era el consumo que tenía, y que había que alimentar ese motor con unas pilas aparte envueltas en celo, sólo cuando hacían falta, porque se ventilaba la energía de las pilas como si el Ferrari fuese de verdad.

- (Otra pausita :)

- Ahora hacer eso mismo me llevaría menos tiempo, pero en el año 2000, con muchos menos conocimientos y los medios tan precarios de los que disponía, quedó un robot imponente.... La primera tanda de sumo la ganamos gracias a ese motor. Sin embargo, en la segunda, nos ganaron siendo más inteligentes que nosotros, aunque la respuesta la dejo para quien tenga curiosidad y lo pregunte.

Lorenzo, Claudio Caracciolo y Jaime Andrés Restrepo
- Se te conoce por tus charlas, muchas, algunas en sitios que ni sabía que existían.

- Ni yo tampoco. Mis charlas de peritaje forense pueden ayudar a otras personas a saber qué hay que buscar en un SO del que se sospecha de un compromiso. Otras han sido más por locura personal o resultado de una experimentación.

- Y, no contento con España, cada vez das más charlas en Latinoamérica. ¿Qué tal allí la ciberseguridad?

- Mi primera charla en LATAM fue en 2012, en Manizales, Colombia. A partir de ahí, conocí a un montón de colegas de profesión con los que hice buenas migas y me han invitado a dar charlas en sus respectivos países. He participado dos veces en Ekoparty, en 2012 y 2014. Hay muy buenos profesionales en LATAM pero en cuanto a concienciación de empresas y ciudadanos de a pie lo cosa está tan mal o peor que aquí.

- ¿Sacar adelante tu propio negocio #eshacking? ¿Qué ha sido lo más difícil?

- Sin duda la cantidad de impuestos, papeleos, permisos y trabas que le ponen a uno por el simple hecho de querer trabajar. En mi caso no he tenido inversores, gente que haya puesto un dinero encima de la mesa y haya dicho, toma: para lo que te haga falta. Empecé yo solito, con mis ahorros, sudando muchas camisetas y perdiendo un montón de pelo. Sin embargo, la experiencia sigue mereciendo la pena y lo recomiendo. También recomiendo 100% buscarse un buen gestor.

Archuser, María José Montes y Lawwait
- ¿Existe un cliente-tipo de las pymes de ciberseguridad españolas?

- La verdad es que no. Damos servicio a clientes de diferentes sectores: desde el mundo editorial, prensa, juego online, bufetes de abogados, hasta grandes corporaciones con presencia internacional de Ingeniería o energías renovables, seguros, pasando por diferentes entidades de la Administración Pública española.

- ¿La formación es la demanda mayoritaria?

- Inicialmente daba cursos presenciales muy bajo demanda. Los cursos online empezamos a trabajarlos por casualidad. Entre varios colegas, en una cena en Bolivia, decidimos montar un curso online de forense. Lié a varios amigos de aquí y empezamos. Salió bien y decidimos continuar. Cierto es que contaba con la experiencia de haber participado en cursos online organizados por la gente de Criptored.

- ¿Qué cursos tienen más éxito?

- Va por modas. El análisis forense y el peritaje es algo que todo el mundo tiene curiosidad, así como las buenas oportunidades laborales que se generan como perito. La joya de la corona del año pasado fue el de Reversing y Exploiting en Windows y Linux, con cracks como Pancake, Newlog, Ricardo Rodríguez, Yago Jesús y Nighterman. Este año nos arriesgamos con un curso que no las tenía todas conmigo: Hardening de sistemas Windows y Linux. Básicamente, a la gente le gusta romper, todo el mundo quiere ser Messi, sortear rivales y batir al portero. Pero nadie quiere ser defensa y tener sistemas de seguridad en condiciones. Pues craso error: ha sido el curso con mayor asistencia hasta la fecha, la mayoría de asistentes provenían de empresas.


Texto: Mercè Molist


0 comentarios:

Publicar un comentario