domingo, 24 de enero de 2016

Vicente Aguilera: "No soy favorable a acreditaciones de hacker"

Vicente Aguilera. Co- fundador de Internet Security Auditors.


Vicente Aguilera es un clásico de la seguridad informática española. Cofundador de la empresa Internet Security Auditors, que este año cumple su 15 aniversario. Fundador en 2005 y presidente desde entonces de OWASP España. Vicente está siempre ahí, luciendo su enigmática sonrisa, afortunado poseedor de una cualidad inestimable en su negocio: la discreción.

Catalán, nacido en Badalona hace 42 años, Vicente es el agotado pero feliz padre de dos angelitos de 4 y 2 años. Cuando tiene tiempo, que intuímos debe ser muy poco, se dedica a mejorar su última creación: Tinfoleak una herramienta de monitorización que geolocaliza con cada vez más detalles y parámetros a usuarios de Twitter.

-¿Cómo te metiste en esto?

-Con 10 años tenía muy claro que quería dedicarme a la informática. Hice un curso de algoritmos y programación (hablamos del año 1983) y poco después mis padres, con mucho esfuerzo, me compraron un Amstrad CPC 6128. Como a muchos, me impactó la película WarGames.

-Para montar una empresa en 2001, debías tener ya conocimientos firmes del tema... ¿adquiridos dónde?

- Los conocimientos en el mundo del hacking se comienzan a adquirir antes, incluso, de que tengas constancia de ello. Recuerdo el día que mi hijo, con apenas 3 años, me preguntó si quería jugar con él a buscar wifis. ¡Lo mejor era que sabía qué aplicación utilizar en mi móvil y cómo utilizarla!

Mis socios, al igual que yo, tenían ganas de profundizar en estos aspectos y, en mayor o menor grado, todos teníamos ciertos conocimientos. En mi caso, aprendí a leer y escribir antes de los 5 años, y recuerdo que leía todos los libros que encontraba en casa. También me gustaba crear cosas, desde un periscopio a una linterna casera, o cualquier otra cosa que pudiera crear con los materiales que pudiera conseguir a esa edad.

Algunos años más tarde, leía los pocos libros de informática con los que me topaba, y me compraba las típicas revistas cuyas páginas sólo contenían programas con cientos de líneas de código que debías picar en tu ordenador si querías utilizarlos. En muchas ocasiones, había defectos de impresión, y debías improvisar añadiendo tú mismo el código que faltaba. También me gustaba adaptar el código, y crear mis propios juegos a partir de rutinas que había visto implementadas.

Tras el instituto (donde hacía clases de informática con ordenadores Bull Micral) y el servicio militar, me incorporé a la universidad donde estudié Ingeniería Informática, tal y como tenía decidido desde que me encontraba en la EGB. Es allí donde tuve mi primera experiencia con el mundo de Internet, y comencé a introducirme en aspectos de seguridad (no porque fuera una materia que se impartiera, sino más como una curiosidad).


- ¿Cómo se os ocurrió montar Internet Security Auditors cuando prácticamente no había empresas de seguridad informática?

- Realmente fue una decisión atrevida. Internet Security Auditors es una empresa pionera en España dentro de nuestro sector. Pero el mérito no es sólo mío sinó también de mis socios y sus excelentes capacidades. Por mi parte, en aquel entonces me encontraba en una consultora donde gestionaba un equipo de 10 personas, y me sentía valorado. Era una posición cómoda. No obstante, ese inconformismo que te otorga la juventud hace que un día decidas dar un paso al frente y aventurarte en la creación de una empresa de seguridad telemática desde la que ofrecer servicios que ni siquiera sabíamos cómo iban a ser recibidos en el mercado, ya que prácticamente nadie los estaba ofreciendo en España. Asumimos el riesgo y personalmente no me arrepiento.

- Mucha gente se ha formado con vosotros, patrocináis la NocONName.. ¿Es bueno, empresarialmente hablando, formar parte activa de la comunidad?

-Es un rasgo que nos define y diferencia respecto a otras empresas. Como se recoge en el Jargon File, creo que existe el deber ético entre los hackers de compartir su experiencia, potenciar el código abierto y facilitar el acceso a la información. Además, desde mi punto de vista, en general los clientes también valoran muy positivamente tu nivel de implicación en la comunidad.

Desde nuestros inicios siempre hemos intentado aportar nuestro granito de arena y contribuir, en mayor o menor grado, a la comunidad de la que también nos alimentamos. Colaboramos con ISECOM en proyectos como OSSTMM o la Hacker Highschool, ISSAF (Information Systems Security Assessment Framework) de OISSG, Threat Classification de WASC (Web Application Security Consortium) y, por supuesto, en diversos proyectos de OWASP (Open Web Application Security Project). En los últimos años, también hemos participado en diversos SIG's (Special Interest Groups) de PCI SSC, así como en grupos de trabajo del Centro de CiberSeguridad Industrial.

Asimismo, recientemente, hemos tenido una colaboración activa en el Libro Blanco de Innovación en Medios de Pago para eCommerce, donde hemos elaborado el capítulo dedicado a la Seguridad en el Pago con Tarjeta. También publicamos artículos y vulnerabilidades, mantenemos vivo nuestro blog, y participamos en las cons del sector. A la NocONName asistimos desde su primera edición en Mallorca y no hemos dejado de estar presentes. Durante varios años estuvimos recorriendo España para participar en los Hackmeetings, y no hemos cesado en nuestro empeño de colaborar con la comunidad, en la medida que podemos.

- ¿El negocio de la ciberseguridad es tan boyante como lo pintan?

- Es cierto que los profesionales de la seguridad son muy codiciados y que, en función de su experiencia, están muy bien remunerados. No obstante, sufre fluctuaciones. En nuestro país estamos alejados de la situación que vive este negocio en EEUU o Suiza. Además, Internet Security Auditors es un caso particular porque el capital de la empresa es cien por cien privado. Nuestro crecimiento no se ha visto afectado por ficticios agrandamientos debidos a inversiones puntuales, sino que hemos tenido un crecimiento orgánico, lento pero constante. No nos podemos quejar viendo como está el patio. Actualmente contamos con oficinas en Barcelona, Madrid y Bogotá y esperamos crecer en LATAM.

- ¿Qué servicios os piden más?

- A nivel de hacking, los clásicos pentests, auditorías de aplicación y formación. No obstante, también somos reconocidos en la definición e implantación de SSDLC (Secure Software Development Life Cycle). De un tiempo a esta parte, estamos constatando una fuerte demanda de nuestros servicios de ciberinteligencia.

A nivel de consultoría, nuestros servicios estrella son todos aquellos relacionados con PCI (Payment Card Industry), como la implantación y adecuación de PCI DSS o PA-DSS. Fuimos pioneros en la ejecución de este tipo de servicios en España y, a día de hoy, somos la empresa de referencia en este campo.

- Se habla mucho de crear un reglamento que daría algo así como "carnés de hacker", para autorizar a empresas e individuales a operar en este campo. ¿Qué opinión te merece?

- Habría que conocer la letra pequeña y lo que puede implicar. De entrada, no soy favorable a la concesión de este tipo de acreditaciones.

- Veo en tu Linkedin que ganaste un "bug bounty". ¿Son una buena medida para mejorar la seguridad de la red?

- Sin duda aportan buenos resultados. El hecho de que cada vez haya más empresas que incluyan estos programas es una buena muestra de ello. Pero los "bug bounties" no están exentos de polémica. En algunos casos, estos programas no están bien definidos y la gestión que se realiza de los mismos deja bastante que desear. Por otro lado, cuando reportas una vulnerabilidad y te indican que otro investigador ya la ha reportado previamente, ¿cómo puedes estar seguro de que sea así? Hay casos en los que parece demasiada casualidad que justamente tu vulnerabilidad, que sigue siendo explotable, el fabricante ya la tuviera identificada y estaban trabajando en ella, y además su corrección tiene lugar muy pocos días después de tu notificación.

- Cuando pregunto a expertos por el panorama de inseguridad galopante que nos muestran los medios de comunicación, la mayoría dicen que no es tan exagerado. ¿A tí qué te parece?

- Estoy de acuerdo. El nivel de seguridad ha mejorado mucho respecto hace unos años. Se realizan más evaluaciones tanto por personal de las propias empresas como de quienes ofrecemos servicios de seguridad, y existen marcos normativos de obligado cumplimiento que, sin ser la panacea, ayudan a mantener una cultura de seguridad.

Sin embargo, queda mucho camino por recorrer. Seguimos identificando vulnerabilidades conocidas hace años, y los desarrollos siguen siendo uno de los principales quebraderos de cabeza (pregúntale a Target, JPMorgan Chase, TalkTalk, o tantos otros). La mayor interconexión de dispositivos y la aparición de nuevas tecnologías favorecen también el clima de inseguridad que parece que sufrimos.

-Un casino denunció a una empresa de seguridad, Trustwave, porque no eliminó un malware de sus redes. ¿Te parece correcto?

-Es algo que puede ocurrir y hay normativas que definen unos roles y responsabilidades. Por ejemplo, en caso de que una empresa sufra una intrusión a través de un sistema que ha sido auditado, si la intrusión se debe a una negligencia en las actuaciones realizadas por el proveedor, la responsabilidad recae sobre éste.

-¿Tú a quién penalizarías, al que se mete por un agujero de una red corporativa o a la corporación que tiene el dicho agujero?

-Depende de las medidas de seguridad que tuviera implantadas la empresa que sufre la intrusión, y de las intenciones de quien explota la vulnerabilidad. Por defecto, salvo que el intruso explote la(s) vulnerabilidad(es) con fines maliciosos, si se limita a reportar el problema de forma responsable a la empresa afectada no veo motivo de denuncia. Es más, creo que la empresa debería de estar agradecida. Por el contrario, por ejemplo, si una empresa que maneja datos de carácter sensible no adopta las medidas de seguridad requeridas, entiendo que pueda/deba ser denunciada. Y si alguien se aprovecha de ello con fines maliciosos, debería ser denunciado de la misma forma.


Texto: Mercè Molist





0 comentarios:

Publicar un comentario