domingo, 15 de noviembre de 2015

"Hay empresas que gastan mucho en seguridad pero no lo hacen con cabeza"

Juan Antonio Calles. Cyber Security Senior Manager en KPMG España


Juan Antonio Calles (el de la izquierda en la foto) y Pablo González, con quien hablamos en esta misma sección hace un par de meses, forman un tándem de amistad poco visto en el individualista mundo de la seguridad informática. Juan Antonio, Juanan para los amigos, se inició en este mundo al entrar como estudiante en prácticas en la empresa Informática64, hoy Eleven Paths. Pero Juanan llevaba ya mucho tiempo trasteando con ordenadores, concretamente y no es broma desde los 4 años, cuando su tío Juan Luís le regaló un Amstrad CPC 464. El tío no paró aquí y siguió regalándole sus ordenadores usados, así como el conocimiento necesario.


En realidad, explica Juan Antonio, hoy con 28 años y residente en Móstoles, lo que siempre le había llamado la atención era "ser diseñador de carrocerías, como Scaglietti o Pininfarina, me pasaba el día dibujando coches". Pero el influjo del tío fue más fuerte y, para colmo, su amigo desde los 8 años, Pablo, también se dedicó a la informática. Así que estaba sentenciado: Juanan se apuntó a la universidad y compatibilizó los estudios con el trabajo. En marzo de 2014 creó su propia empresa, Zink Security, que hace seis meses vendió a la multinacional KPMG.


- ¿Estás aquí por dinero o hay otras motivaciones?

- Sin duda porque es lo que me gusta. Si me dedicase a otra cosa no me levantaría a las 7 a.m. con una sonrisa, y eso no se paga con dinero. Trabajar en lo que te gusta es la mejor motivación y me siento afortunado por poder dedicarme de forma profesional a lo que para muchos simplemente es un hobby.

- Del vasto mundo de la seguridad informática, ¿qué parte te gusta más?

- La verdad que me dedico a tantas cosas... Rara es la semana que no me toca colaborar en un pentest, apoyar a algún compañero analizando un malware, desarrollar algún script o coordinar alguna respuesta a un incidente. Pero si tuviese que decantarme por algo, lo que más me gusta es el desarrollo de software orientado a las auditorías de hacking ético.

- Veo en Linkedin que llevas 4 años mínimo trabajando para cuerpos de seguridad del estado, bancos, seguros... ¿qué servicios compran estos sectores a profesionales como tú?

- Sé que esperáis una respuesta divertida y diferente pero la verdad que todos nuestros clientes siempre nos piden cosas similares, revisar la seguridad de sus sistemas para descubrir sus fallos de seguridad, y cuando los encontramos ayudarles a solucionarlos. También prestarles apoyo cuando se produce un incidente de seguridad, ayudarles a contenerlo y realizar el análisis forense si fuese necesario, y de nuevo revisar la seguridad de dichos sistemas para que no vuelvan a ocurrir incidentes similares.

- Supongo que compran también tu discreción pero... ¿cómo calificarías el nivel de seguridad informática de estos sectores? 

- La seguridad total no existe, es un mito “como el agua que cae del cielo sin que se sepa exactamente por qué” };P Y todos los sectores, sin excepción, tienen problemas similares. Ahora bien, y como siempre en la vida, los que más dinero invierten suelen estar más seguros. Y este es el caso de los bancos, que por su negocio es vital que sus sistemas permanezcan seguros. Pero matizo el “suelen”, porque hay empresas que gastan mucho en seguridad, pero no lo hacen con cabeza. Hay que saber elegir en que cesta poner los huevos, y cuál es el equilibrio entre inversión en seguridad, y el valor de los datos y servicios que se protegerían con dicha inversión. El ROI de toda la vida vamos.

- En la RootedCon del año pasado, tú y Pablo presentasteis una curiosa idea: la creación de botnets como armas para la ciberguerra.

- Esta investigación la hicimos Pablo González, nuestro amigo Alberto Sánchez y yo. Investigamos el desarrollo de malware para Android, pero añadiendo técnicas de evasión y una integración con Metasploit. El toque de Ciberguerra nos pareció curioso porque era una manera “low cost” de que un país con pocos recursos pudiese combatir en una posible ciberguerra contra las grandes potencias mundiales que invierten miles de millones en sistemas de ciberataque.

- Hará unos 20 años, los principales grupos hacker del mundo firmaron una Declaración Conjunta contra la Ciberguerra donde instaban a los hackers a no trabajar para la guerra cibernética.
Esto... ejem :) ¿algo a comentar?

- Hace 20 años yo estaba en el patio del colegio jugando a los tazos :P, no pude aportar mi granito de arena! Bromas aparte, nuestra charla fue una simple prueba de concepto que no ha tenido más transcendencia que mostrar al mundo desde un punto de vista académico las capacidades de una botnet en una ciberguerra.

- Pablo y tú tenéis un proyecto común: Flu Project. 

- Empezamos a hablarlo en verano de 2009: ambos trabajábamos bastante con malware y decidimos desarrollar uno con el fin educativo de ver cómo funcionaban y mejorar los sistemas antimalware. En 2010 encontramos tiempo para desarrollar un caballo de troya que no era detectable por los antivirus. Creamos un sitio web para compartir el desarrollo con la comunidad, para mejorarlo, utilizarlo en formaciones y que la gente pudiese ir aprendiendo con él. A los pocos días de montar Flu Project, sus lectores nos pidieron montar un blog, y comenzamos a compartir no sólo cosas referentes al caballo de troya Flu, sinó que comenzamos a charlar sobre seguridad en redes, sistemas operativos, herramientas, y ya llevamos cerca de 1.500 artículos en 5 años.

- Tienes aún otro sombrero, que es el de colaborador voluntario en X1RedMasSegura.

- Las Jornadas X1RedMasSegura nacieron hace 3 años por culpa de mi gran amigo Angelucho. Con motivo del primer aniversario de su blog personal nos envió un email a algunos amigos para ayudarle a montar “algo”, con el objetivo de concienciar sobre ciberseguridad en Internet. Durante un mes debatimos lo que queríamos m
ontar, cómo, dónde,… ¡y se nos fue de las manos! Montamos un evento con más de 100 asistentes. La experiencia nos gustó y hemos repetido los años siguientes. Detrás hay un equipo de grandes profesionales y amigos: Josep, Fernando, Ángel, Blanca, Olga, David, Longinos, Virtu, Pat, Inma… sois GRANDES.

- ¿Cuántas horas diarias dedicas a la seguridad informática?

- Pues trabajo de 9:00 a 19:00, lo que son 9h. Añádele la hora de coche que voy dándole vueltas en la cabeza a los proyectos y manteniendo alguna reunión por teléfono, y raro es el día que no dedico al menos una o dos horas más en casa contestando emails, rematando algún informe o preparando artículos para Flu Project. Digamos que cuando no duermo… ¡me dedico a la seguridad!

- Y la última :) ¿Tienes alguna frase de cabecera, que no hayas convertido aún en contraseña?

- Pues suelo utilizar mucho una frase que decía un antiguo compañero de trabajo y que repetía mucho el gran Andrés Montes: "Enjoy your life, because the life can be wonderful!" Y la verdad que la intento recordar a menudo para animar a la gente que tengo alrededor.


Texto: Mercè Molist


0 comentarios:

Publicar un comentario