domingo, 22 de noviembre de 2015

Yago Jesús: "Estuve un año en un búnquer de la policía para implementar el DNIe"

Yago Jesús, co-fundador de Security By Default


Los hombres como Yago Jesús no son de Marte. Son de Saturno. Mínimo. Yago da la impresión de ser un misterio incluso para muchos de sus amigos. Serio, cabeza fría, su sola presencia impone respeto y, como pasa con otros buenos hackers, una barrera invisible parece separarle del mundo. No es que sean bordes o que todo les importe tres pepinos: simplemente viven bastantes pisos por encima del resto, en un rellano mental abstracto. "Bueno, yo tengo un alto sentido de lo personal y privado, no me gusta airear mi vida, imagino que es por eso que no tienes muchos datos sobre mi", responde cuando le pregunto por su edad o lugar de residencia.

Me anima a buscar esta información en una entrevista que le hizo Chema Alonso  quien, confesando también conocerle poco, loaba que podía "moverse con la misma facilidad analizando un volcado hexadecimal que gestionando la imagen 2.0 de una compañía". Yago daba allí datos sobre su trabajo: "Participé en uno de los despliegues más importantes a nivel Europeo para 'El ISP dominante', (también) montamos el departamento de seguridad para otro gran ISP 'del cable'. (..) Diseñé y desarrollé una herramienta para cifrar dispositivos móviles para una entidad bancaria. Estuve como responsable del área de seguridad y monitorización en un proyecto militar...". 


- Cuando yo te conocí estabas asesorando al gobierno sobre el nuevo DNI electrónico. ¿Cómo llega un hacker a ser asesor de tan altos estamentos?

- En realidad formé parte del equipo de trabajo que implementó la PKI del DNI electrónico, estuve 1 año enclaustrado en el bunquer de la policía nacional que tienen en El Escorial. Fue un proyecto muy interesante, me permitió conocer a verdaderos cracks de la criptografía.

- El tema certificados digitales te gusta especialmente... Mi impresión es que han acabado destrozando una idea que era muy buena.

- Tienes toda la razón, pero yo no creo que el concepto esté destrozado, de hecho creo que sigue siendo la opción más factible, muy por encima de otras alternativas. Tal vez lo que pasaba es que el concepto estaba basado en un universo pequeño y con menos amenazas, ahora está evolucionando vertiginosamente y estoy seguro que tiene un futuro prometedor

- ¿Cómo aprendiste seguridad informática?

- Tuve temporadas, primero con un mítico Amstrad PC 1512 que compraron en casa, aprendí un poco de informática y hasta hice mis pinitos escribiendo virus, bastante simples e inofensivos. El ordenador tenía módem, así que estuve enganchado a IBERTEXT bastante tiempo, pero tras un susto de varios miles de pesetas en forma de factura telefónica dejé el tema un tanto apartado, de aquellas yo andaría por los 12 años. Posteriormente, a finales de los 90, retomé la informática y fue un no parar, empecé a entrar en canales relacionados con el hacking, a hacer amigos, a leer... y desde entonces, aquí sigo.

- Sólo conozco un nick tuyo, no sé si has tenido más: Icehouse.

- Cuando me encontré la primera pantalla de 'pon tu nick' usé ICEHOUSE porque es un grupo de música australiano que me encanta, en aquella época aun más, lo empecé a usar y así se quedó.

Durante una breve época usé MDuende, por la canción Maldito Duende de Héroes del silencio. Lo dejé de usar porque tuve la infeliz idea de crear un fichero llamado mduende.dip que contenía un método para usar los famosos 'números 900' que tanto juego dieron en los 90

Fue un script que solo pasé a un reducido grupo de personas, pero de aquellas la gente solía conectar a los 900 desde windows porque había poca información sobre como hacerlo desde Linux, así que se movió más de la cuenta.

- Pocos hackers españoles han escrito el montón de herramientas que has escrito tú, y además todas de seguridad informática, y además todas gratuitas. 

- Hacer tus propias herramientas es algo MUY divertido y didáctico, primero porque te exige aprender uno o varios lenguajes de programación y luego porque enfrentarte a plasmar en código una idea supone un desafío. Ver cómo reacciona la comunidad ante la herramienta te da una idea bastante clara de lo buena / mala / útil / inútil que es tu idea. Te ecualiza.

- Una de ellas, Antiransom, salvó a una persona en la convención Navaja Negra que se infectó con un ransomware. ¿Cómo se te queda el cuerpo cuando sabes que una herramienta tuya ha salvado el ordenador de alguien?

- La verdad es que tengo ya varios testimonios en esa línea sobre esa herramienta, la hice cuando vi la desesperación que genera ese tipo de amenaza. Encontrarte a toda una mujer de 4x años, llorando y diciendo que, o recuperaba sus datos, o cerraba una empresa con varios empleados, me impactó bastante.

- Unhide es tu herramienta más conocida, incluso la tienes en una página aparte. Es usada internacionalmente. Otra vez la misma pregunta: ¿Cómo se te queda el cuerpo cuando el mundo usa tu creación?

- Unhide es una herramienta sobre la que he trabajado bastante, desde su primera implementación (un script en Perl) hasta lo que es ahora ... ha evolucionado bastante. Mucho ha ayudado la comunidad de Debian, que fueron los primeros en 'paquetizar' la herramienta y a partir de ahí, se sumaron casi todas y algunos sistemas *BSD.

- eGarante es otra maravilla, una de tus últimas creaciones, para tener copias certificadas de cosas publicadas en webs o redes sociales. Ha sido premiada y la usa oficialmente la Guardia Civil.

- eGarante nació hace unos cuantos años en Securitybydefault como un servicio experimental. A los pocos días de haberlo lanzado, se puso en contacto conmigo un grupo de inversión español; estuvimos hablando y al final invirtió en la compañía, pasando entonces a un servicio  profesional que ha atraído a bastantes clientes. Es gratis para particulares y tiene coste para empresas o profesionales.

- A diferencia de compañeros tuyos, como Lorenzo Martínez, no te prodigas dando charlas en CONs. ¿Prefieres escribir tranquilo en tu casa?

- Son filosofías diferentes, cuando di una charla sobre PKI en la Rooted de 2012, presenté en primicia un firewall de certificados digitales y un 'kit' para atacar al DNI Electrónico. Pero si no tengo material nuevo que enseñar al mundo, prefiero dedicar el tiempo a otras cosas. Lo peor de eso es que en ocasiones inviertes mucho tiempo en un concepto/idea que al final no fructifica y parece que estás parado cuando en realidad lo que estás es frustrado !

- Como última pregunta, suelo pedir a la gente una frase que no haya convertido aún en contraseña... pero creo que a ti mejor te pido... una contraseña.

- La única contraseña en la que realmente puedes confiar es la clave privada RSA que tengas en una smartcard asociada a un certificado digital.



Texto: Mercè Molist


0 comentarios:

Publicar un comentario