domingo, 6 de diciembre de 2015

David Barroso: "Los estados van a tener cada vez menos protagonismo"

David Barroso. "Aprendiz de todo, maestro de nada".


David Barroso es uno de los hackers más inteligentes que tenemos en la comunidad de seguridad informática. Suele decir que dedica las 24 horas del día a su pasión/trabajo y sospechamos que es cierto, dada la cantidad de libros que lee sobre el género, el montón de gente que conoce en la escena internacional o la calidad de la información que transmite su cuenta de Twitter. En 1995 entraba en la universidad y empezaba su aventura en este mundo. Hoy tiene 38 años, la mejor edad para montar una startup, que es de hecho a lo que se está dedicando. 

A David le sienta bien el traje y ha viajado por todo el mundo en viajes de negocio, pero pocos saben que es un auténtico hacker, muy activo en el underground informático del cambio de milenio. Autor de exploits y herramientas como la famosa Yersinia, creada a dúo con su amigo Alfredo Andrés, que a día de hoy sigue siendo la única que aglutina varios ataques de capa 2. Una vez escuchamos decir a Chema Alonso, CEO de Eleven Paths: "Cuando quiero nuevas ideas, pregunto a David Barroso".


- La primera pregunta es de cajón: ¿Por qué dejaste recientemente tu trabajo en Eleven Paths?

- Desde hace muchos años siempre he querido lanzarme a montar una empresa, que fuera innovadora no sólo en lo que hacía, sino también en cómo era la empresa por dentro; por diversas razones tuve que ir posponiéndolo, hasta que por fin ha llegado el momento adecuado. En todas las empresas que he estado he podido comprobar en primera persona las partes buenas pero también las partes malas tanto a nivel de estrategia, interacción con personas, comunicación, etc. y creo que podemos coger todos las cosas positivas y mejorar enormemente las negativas para crear la empresa en la que todo el mundo quiere estar.

Además las personas relacionadas con el mundo de la seguridad creo que estamos hechos de una pasta especial, sobre todo porque nos gusta romper cosas y cuestionarnos lo establecido, que nos ayuda a intentar hacer las cosas de forma diferente, con el objetivo de mejorar el mundo.


- Y la segunda, también: La startup que estás montando parece el secreto mejor guardado después de la identidad del creador de Bitcoin. ¿En qué andas?

- Jejeje no es nada secreto, pero sí que estamos teniendo un perfil bastante discreto puesto que preferimos la confianza y confidencialidad con las personas y empresas con las que trabajamos, además de estar todavía en un estadio muy temprano. Pienso firmemente que en los próximos años va a cambiar la forma en que las empresas y gobiernos definen su estrategia de seguridad, y van a tener ciertas capacidades de lo que se denomina ‘defensa activa’ para no estar continuamente repeliendo (o no) ataques, sin poder hacer nada más.

Estoy totalmente en contra del llamado ‘hacking back’ puesto que las consecuencias pueden ser fatales, pero sí que creo que se pueden hacer muchas más cosas. Cualquier empresa o gobierno va a ser comprometida, dependiendo del adversario al que se enfrente, y es un hecho. Pero podemos hacer la vida más difícil a los adversarios, poniéndoles trampas, haciéndoles perder el tiempo, dando información falsa, sacándoles información etc. Es en lo que ando metido :)

- ¿No estarás montando un Hacking Team para gobiernos latinos, no? ¿no?

- No, en absoluto. De hecho, estoy mucho más en la parte defensiva que en la parte ofensiva, y el objetivo es pillar cuanto antes cualquier operación contra una empresa o gobierno, o contra un individuo (disidente, periodista, etc.) no importa si usan Hacking Team, Gamma Group, Raytheon o cualquiera de los desarrollos personalizados que existen (Babar, Duqu, etc.)

- En tu CV pone que has hablado en multitud de conferencias como BlackHat, RSA Conference, E-crime congress, APWG, FIRST, NATO, ENISA, SegurInfo, RootedCon o ICCyber. ¿Cuál recuerdas con más cariño?

- Quizás cuando fuimos a hablar en BlackHat de Yersinia en 2005 con mi amigo Alfredo. Era la primera vez que salíamos a dar una charla fuera, y además en inglés, y nada menos que a BlackHat, que entonces era la referencia. Llevamos varios switches, routers, y portátiles para hacer una demo en directo de los ataques, e incluso mostramos un 0day en el protocolo VTP en directo; estaba el responsable del PSIRT de Cisco en primera fila!. Otra que recuerdo fue cuando encontramos la primera versión de ZeuS que afectaba a dispositivos móviles en 2011 (entonces Symbian, BlackBerry y Android) que nos llevó a contarlo y trabajar con gente de todo el mundo. También tengo muy buen recuerdo de las NcN de Mallorca, me parecían geniales, o de las Undercon, por el ambiente que existía.

- Pero tú, ¿de dónde sales? Yo te conocí cuando eras director de e-crime en s21sec. ¿Cómo llegaste hasta allí?

- Tuve la suerte de irme a estudiar a Madrid y viví en un Colegio Mayor durante varios años con más de 300 personas. El primer año montábamos nuestra red con cables coaxiales tirados por el suelo y el segundo año se puso Ethernet en las habitaciones, con lo que para mí fue un terreno genial para aprender (encima había mucho linuxero de teleco de la UPM) y empezar con el tema de seguridad, exploits (cuánto juego ha dado land, winnuke, el exploit del telnet de Solaris, etc.). Incluso en el 95 monté en mi página de Arrakis un club de hackers y se apuntaron 10 ;)

Esos años dedicaba todo el tiempo a aprender, romper cosas, estar en Undernet y en el Hispano con diferentes nicks, y jugar con AIX, Solaris y Linux. Me atraía mucho el tema forense, tanto a nivel de sistema operativo, como a nivel de red, y aprendí todo lo que pude, lo que me permitió entrar en S21sec y aprender mucho de toda la gente que había, tuve mucha suerte de poder estar con ellos. En S21sec empezamos alrededor de 2004 analizando malware que afectaba a clientes, y poco a poco fuimos creando la Unidad de e-crime, que tuve la suerte de liderar, y donde competíamos mundialmente con clientes en muchos países, ayudándoles a luchar contra el fraude online.

- Después has sido jefe en AT&T, Telefónica y Eleven Paths. ¿Cómo se sobrevive en estos entornos corporativos sin perder esa sonrisa tan bonita?

- ¿No estarás ligando conmigo? :P Independientemente donde uno esté hay que tener unos valores. Las empresas grandes tienen sus ventajas y desventajas, al igual que las empresas pequeñas; en ambas si eres flexible y te apasiona lo que haces, es muy fácil poder estar a gusto.

- Y otra: ¿Qué tienes, que les enamoras? ¿Por qué crees que esos gigantes te dan la confianza para liderar sus equipos?

- Alguna vez me han comentado que una de mis virtudes es que soy muy serio profesionalmente hablando y de entera confianza, y creo que es de mis mejores virtudes, aparte de que ‘respiro’ seguridad 24 horas; me gustar aprender temas técnicos diariamente pero también conocer el mercado, las empresas, etc. y poder compartir todas estas experiencias con la gente y empresas con las que trabajo.

- Pero a tí lo que te va es la inteligencia, ¿a que sí? Es un concepto que hasta hace pocos años sólo se manejaba en entornos militares y de agencias secretas. 

- Me has pillado :) Cuando empecé con el tema de e-crime vimos que era fundamental obtener mucha información sobre los ataques, atacantes, etc. y convertirla en inteligencia.; ya entonces hacíamos varios informes mensuales sobre nuestros descubrimientos, muy similar a lo que también se hacía desde empresas de EEUU en esa época. Queramos o no la inteligencia es algo que ya hace mucho no es sólo del dominio militar o de los servicios secretos, sino que las empresas la necesitan a todos los niveles (inteligencia económica, competitiva o en nuestro caso relacionada con la seguridad informática). Hoy en día ya casi todas los empresas grandes tienen analistas de inteligencia y es un perfil cada vez más demandado.

- Volviendo a la startup: ¿vuestro producto será la inteligencia?

- Tiene mucho que ver, puesto que gracias a nuestro producto se podrá obtener inteligencia referente a tus adversarios; es una información clave para poder tomar decisiones.

- Tienes la capacidad de ver el panorama a vista de halcón. ¿Qué ves cuando miras la seguridad informática?

- Es verdad que me gustar tener una visión holística del mundo de la seguridad. En mi opinión, vivimos una época compleja en este sentido, donde existe una total falta de confianza, no sólo entre naciones, sino también entre empresas, principalmente motivado por el estado actual del todo vale y la impunidad que existe en este sentido; no sólo a nivel de organizaciones criminales, sino también de los propios estados. Pero a la vez estamos en medio de una transformación, donde los estados van a tener menos protagonismo en este sentido, y lo tendrán las grandes corporaciones tecnológicas, debido a la gran dependencia de tecnología que tenemos. En el mundo del mercado de la seguridad además nos encontramos en un momento de crecimiento espectacular que el tiempo dirá si es una burbuja o no

- ¿Qué te dijo tu compañera cuando le dijiste que dejabas un trabajo donde supongo ganabas una pasta con contrato indefinido para montar una... startup!?

- Es una decisión muy complicada, y muy meditada, nada fácil de tomar :) Aunque al principio me tomaron de loco, tengo la suerte de contar con su apoyo, algo fundamental puesto que si no no hubiera tomado esa decisión.

- ¿Cuál es el secreto para liderar a un equipo de hackers y no morir en el intento?

- Darles desafíos, dejarles hacer, y que nunca dejen de aprender.


Texto: Mercè Molist


1 comentario:

  1. Muchas suerte, has sido valiente, no es fácil abandonar la zona de confort.

    ResponderEliminar