domingo, 7 de febrero de 2016

Raul Siles: "En España los seniors con mucha experiencia no están bien vistos"

Raul Siles. Fundador de DinoSec.


Raul Siles es un maestro nato que al final de esta entrevista nos dejará con ganas de querer escucharle más historias y opiniones, adquiridas en campos muy diferentes. Madrileño, de 40 años y con 2 hijos, estudió en la Facultad de Informática de la Universidad Politécnica de Madrid y el resto, hasta convertirse en un profesional independientes de la seguridad informática, lo aprendió por el camino, en proyectos tan interesantes como Honeynet España o SANS Institute.

Raul da la impresión de ser de esas personas que trabajan duro y bien, sin hacer ruido, lo que no significa que no le guste contarlo: ha escrito artículos y dado un montón de cursos y charlas, la próxima en la RootedCon, con el sugerente título de "La cena de los IdIoTas". En 2008, co-fundó DinoSec, empresa a la que Raul llama "una PYME muy P" porque sólo tiene dos trabajadores. Añadimos nosotros, con cariño, que es "chiquita pero matona", pues entre sus clientes hay gobiernos y grandes corporaciones.


- ¿Por qué y cómo te metiste en el mundo de la seguridad informática?

- Empecé en la Facultad de Informática. Recuerdo en concreto un cursillo al que me apunté, que impartían fuera de horas desde Delegación de Alumnos (creo recordar), sobre servidores de Internet, en la época en la que empezaba una adopción progresiva de los servidores DNS, Mail, FTP, Web, etc., allá por 1994 (puf... ¡hace 20 años!).

Posteriormente, y de manera profesional, me metí de lleno en la seguridad informática en HP (Hewlett-Packard), ya que sobre el año 2000 se fundó en España un pequeño equipo (el HP Security Center) para ofrecer servicios de seguridad a los clientes Mission Critical de HP. Era un equipo en el que pretendíamos estar muy especializados en los aspectos técnicos y tecnológicos de la seguridad informática y donde teníamos las miras y aspiraciones muy altas a nivel mundial.

- ¿Dónde aprendiste lo que sabes?

- Pensándolo en detalle, creo que la lista es muy, muy, muy extensa ;) Por un lado, creo que el entorno familiar y educativo es fundamental para crear en los niños ese ansia infinita por aprender, descubrir y profundizar hasta en los más pequeños detalles durante toda su vida.

Por otro lado, he aprendido mucho gracias a poder tener acceso a un ordenador en casa desde los años 80 gracias a mi padre, a pequeños cursos informales impartidos por gente con ganas de compartir, en las conferencias de seguridad, en los cursos del SANS y preparando las certificaciones asociadas (especialmente en los 2,5 años en los que nos dimos la paliza para obtener el GSE), pero especialmente leyendo mucho, día tras día, tanto libros como investigaciones, revistas, artículos de blogs, presentaciones, etc., y lo que es aún más importante, poniendo en práctica todo ese conocimiento desde un punto de vista práctico. Haber podido tener contacto con entornos reales y complejos por mi trabajo me ha permitido entender cómo funcionan las cosas en el mundo real, lo cual siempre ha sido muy útil.

Para aprender es fundamental tener muchas ganas de saber cómo funcionan las cosas y no poder parar hasta que no se comprenden con el nivel de detalle necesario, por ejemplo, para podérselo explicar a otros de forma clara y sencilla. He aprendido mucho también preparando e impartiendo formación, e intentando transmitir mis conocimientos, aunque pueda parecer paradójico.

- Tienes tu propia empresa, pequeñita pero con grandes clientes. ¿Qué les "vendes", en qué eres bueno?

- DinoSec es una muy pequeña empresa con muy grandes aspiraciones y con ámbito internacional. Desde sus orígenes el objetivo ha sido ofrecer servicios técnicos avanzados de seguridad informática, muy especializados, caracterizados por un muy alto conocimiento y experiencia. Nos gusta conocer cómo funcionan las tecnologías, que debilidades tienen, y cómo se pueden atacar y proteger. No debería ser yo quién lo diga, pero creo que nuestros clientes también valoran nuestra profesionalidad, seriedad, nivel de responsabilidad, meticulosidad, exhaustividad, y constancia a lo largo del tiempo. Por otro lado nos gustan mucho los retos, por lo que siempre estamos abiertos a propuestas que nos permitan seguir aprendiendo.

- Das la impresión de ser alguien que prefiere trabajar a su aire. ¿Es esta la motivación que te llevó a montar tu empresa?

- Hay momentos en la carrera profesional de una persona donde suceden cambios importantes, en muchos casos debidos a factores externos, y ese es un buen momento para tomar decisiones. En nuestro sector y especialmente en España, a los técnicos senior con mucha experiencia no se les deja destacar mucho, y en algunos casos ni siquiera están bien vistos. Si te quieres dedicar a la parte técnica y no a la gestión, las dos opciones principales son irte fuera o montar tu propia empresa.

Si tienes la suerte, la posibilidad, el apoyo de la familia, y las circunstancias adecuadas para poder embarcarte en esa aventura, no hay que dudarlo. Creo que es muy importante poder trabajar en algo que te gusta, mejor si te apasiona. Si además tienes la flexibilidad que te proporciona tener tu propia empresa, y es factible económicamente, qué mejor motivación que trabajar disfrutando y/o disfrutar trabajando.

- Eres además gran divulgador y me da la impresión que cuando investigas por libre prefieres hacerlo sobre seguridad de dispositivos móviles, ¿es así?

- Casi desde sus comienzos, las tecnologías móviles (y ahora el Internet de las Cosas, IoT) me llamaron mucho la atención, ya que aunaban en una "única" tecnología al resto de tecnologías, y para poder profundizar en ellas era necesario conocer en detalle el resto de tecnologías, cómo redes y comunicaciones, sistemas operativos, programación y aplicaciones web, análisis de binarios, tecnologías inalámbricas, etc.

- ¿Por qué tanta inseguridad en el mundo móvil? 

- Estamos repitiendo los mismos errores de seguridad que ya cometimos en otras tecnologías hace unos años, y es que parece que no aprendemos de la historia. La complejidad de los entornos móviles, y la convergencia de tantas tecnologías y soluciones diferentes, hace que estén potencialmente más expuestos a vulnerabilidades de seguridad.

Pese a que es cierto que las últimas versiones de las plataformas móviles (por fin, y después de casi 10 años), así como los servicios en los que se sustentan, han mejorado notablemente desde el punto de vista de seguridad, no van a dejar de ser vulnerables (y desafortunadamente, no todo el mundo tiene las últimas versiones). El mundo de Internet y de las nuevas tecnologías se mueve mucho más rápido que el mundo real (si es que aún se pueden seguir diferenciando), el mundo de la seguridad se mueve aún más rápido, y el de la seguridad móvil es aún mucho más vertiginoso, debido a la velocidad con que evoluciona la tecnología, con nuevas versiones de los sistemas operativos, dispositivos, capacidades, y servicios cada 6-9 meses como mucho. A ese ritmo parece que todavía no se invierte todo lo que se debería en seguridad.

- Se habla mucho ahora de crear un reglamento que daría algo así como "carnés de hacker", para autorizar a trabajar en este campo. ¿Cómo lo ves?

- Creo que profesionalizar el sector puede ser positivo, pero todo depende de cómo se haga y cuáles sean los objetivos que hay realmente detrás de ese paso. Por otro lado, creo que el mercado es suficientemente inteligente para que la gente buena destaque sin necesidad de artificios. Tengo claro que alguien no es hacker por tener un carnet. Mi pregunta sería: ¿El "hacker" nace o se hace... o un poco de ambos?

-¿Qué opinión te merece la comunidad española de seguridad informática?

- Sin duda en España tenemos profesionales e investigadores de primer nivel internacional, que ayudan a que se valore el talento existente en nuestro país por todo el mundo mediante sus investigaciones, logros, ponencias, herramientas y publicaciones. Buen ejemplo de ello, aunque triste debido a las condiciones laborales en España en los últimos años, es cuantos de ellos están siendo atraídos por empresas extranjeras, que sí han sabido apreciar y aprovechar sus conocimientos y habilidades.

- ¿Has entrado alguna vez en una máquina sin permiso de su dueño? ¿Qué se siente?

- He entrado muchas veces en sistemas, equipos, redes y dispositivos ajenos sin estar "supuestamente" autorizado, pero con permiso de su dueño, por ejemplo, como parte de las numerosas pruebas de intrusión realizadas a lo largo de los años. La sensación es difícilmente descriptible, especialmente cuando ha sido una tarea compleja, meticulosamente hilvanada, y que le permite a uno superarse a sí mismo. La ventaja de no hacerlo ilegalmente es que puedes disfrutar del reto tecnológico e intelectual, y de la emoción asociada, sabiendo que esa noche dormirás de nuevo en tu cama tranquilamente... ;)

- Acabamos con la sensación de que han quedado muchas cosas interesantes en el tintero, pero sin más espacio que el que podemos tener para una frase.

- Propongo las siguientes. Una es un proverbio chino de Confucio que tiene aplicación directa a la hora de adquirir nuevos conocimientos: "Me lo contaron y lo olvidé; lo vi y lo entendí; lo hice y lo aprendí”. La otra es “Carpe diem”.


Texto: Mercè Molist


0 comentarios:

Publicar un comentario