Deepak Daswani, Chief Security Ambassador de ElevenPaths (Telefónica)

Hoy tengo el placer de entrevistar a Deepak Daswani ( @dipudaswani ), es uno de los profesionales más reconocidos del sector, Chief Security Ambassador de ElevenPaths (Telefónica).

Os dejo con la entrevista, ¡disfrutadla!:

1.¿Qué es lo más complicado para destacar en tu profesión?

Pues si se trata de destacar supongo que lo complicado es disponer de conocimientos, habilidades o cualidades que te diferencien del resto. Dependiendo de a lo que se dedique y a lo que aspire, existen diferentes razones por las cuales un profesional puede destacar en el mundo de la ciberseguridad. Por ser un especialista en una determinada área de conocimiento técnico o disciplina, como pueden ser el hacking, análisis forense, la ingeniería inversa, análisis de malware, exploiting, desarrollo seguro…  Así como por ser un experto en una tecnología en concreto. También es importante disponer de buenas habilidades de comunicación que son necesarias para la labor de divulgación en conferencias o medios que evidentemente proporciona visibilidad, o los soft skills de los que tanto se habla hoy día que en algunas situaciones son casi tan necesarios como el conocimiento. Yo diría que lo que hace destacar a un profesional es una combinación de estas habilidades y algunas otras, pero primando por encima de todo el conocimiento técnico. Y precisamente una de las cosas más complicadas ya no es llegar a alcanzar una base o nivel técnico considerable, sino mantenerse al día y actualizado constantemente, pues ya somos conscientes del ritmo vertiginoso al que avanza tanto la tecnología como el mundo de la ciberseguridad. 

2. ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

Bueno, en primer lugar les diría que no intenten seguir mis pasos ni los de nadie, sino construir su propio camino, sea el que sea, sin compararse con otros ni intentar imitarlos. Es obvio que todos podemos tener referentes, que de hecho nos pueden servir como inspiración para intentar crecer y sacar lo mejor de nosotros mismos.  Pero yo les recomendaría que sean siempre fieles a su identidad, intenten potenciar sus virtudes y ser mejores profesionales cada día. 

En la línea de esto último va el segundo consejo, que es el de intentar no trazar una hoja de ruta en la que todas sus acciones o pasos vayan destinados a la obtención de un resultado o beneficio concreto.  Por supuesto que hay que marcarse objetivos y metas para poder crecer como profesional, que sean sobre todo alcanzables y realistas. Pero lo que quiero decir es que no hagan las cosas simplemente para posicionarse, conseguir visibilidad o alcanzar el éxito. En mi opinión la motivación debe ser la pasión por la búsqueda del conocimiento, disfrutar de aprender cada día (o cada semana) el máximo posible de este maravilloso mundo, y el ansia de intentar superarse constantemente. Que son algunas de las cualidades que definen a un verdadero hacker. De esta manera los resultados vendrán solos.

El tercero es que tengan una buena dosis de paciencia, perseverancia y humildad para hacer frente al día a día, y a las dificultades que puedan encontrar en su camino. Que sean constantes y no bajen los brazos a la primera de cambio. Todo lo que cualquier persona logra en la vida, ya sea a nivel profesional o personal conlleva trabajo, dedicación, esfuerzo y sacrificio. Precisamente eso es lo que nos hace apreciar los logros o buenos momentos que podamos vivir. Me has pedido tres consejos, pero voy a dar un cuarto y último si no te parece mal, y es que jamás hagan trampas. Que no mientan nunca, no intenten conseguir algo a base de engaños, tretas o artimañas sucias. Pues los que siguen este camino son “lusers», que en algunos casos es posible que alcancen incluso el éxito. Pero este será efímero y en el fondo, no les hará felices, pues siempre sabrán que no fue lícito ni merecido. 

 3.¿Cuál ha sido tu mejor día profesional?

Esta es una pregunta difícil de contestar, porque afortunadamente tengo la suerte de haber vivido muchísimas situaciones y experiencias en mi vida profesional con las que jamás llegué incluso a soñar. Sería imposible destacar algún día en concreto porque me vienen muchísimos ejemplos a la cabeza, además de diferentes tipos de vivencias a lo largo de los últimos años. Dada la heterogeneidad de las cosas que he tenido oportunidad de hacer, algunos están relacionados con intervenciones en medios con mucho impacto o visibilidad que se me presentaron como o oportunidad, o que por alguna u otra razón tenían su complejidad. Como ejemplo podría citar la primera vez que me llamaron para salir en CNN por Skype, o la entrevista que hice en el Anda Ya de los 40 con Dani Moreno y el resto del equipo de Anda Ya, estando en INCIBE desde los estudios de León. El objetivo era promocionar la primera edición de CyberCamp. La gente de Anda Ya hizo una entrevista bastante graciosa en su línea, pero terminaron la intervención despidiéndome con música sin sacar el tema. Sin pensármelo, empecé a hablar para meter la cuña, pararon la música y me dejaron promocionar el evento. Aún recuerdo las felicitaciones de algunos compañeros y de mis jefes al llegar a la oficina. Otros momentos tienen que ver con algunas de las muchísimas conferencias en eventos de renombre en los que he podido participar, sobre todo al presentar investigaciones nuevas que siempre cuesta exponer la primera vez. Pese a que hay muchísimos momentos de estos, recuerdo con especial importancia el de las pasadas Jornadas STIC del CCN-CERT. Fui elegido en el CFP con el trabajo que presenté, pero la gente del CCN-CERT me planteó que mi ponencia fuera sobre los Krack Attacks y que pudiese hacer alguna demo en directo de la vulnerabilidad. Evidentemente acepté el reto y la verdad que me costó bastante esfuerzo, porque los días iban pasando y se me resistían algunos aspectos técnicos de los que apenas había información. Pero al final llegó el momento y pude lograrlo en tiempo y forma. Fue la única ponencia en mi vida en la que creo que no he hecho ni un sólo chiste por ser puramente técnica 😉 Otros momentos tienen que ver con poder cerrar un proyecto o una buena noticia, como el día que Roger Domingo me confirmó que publicaría “La Amenaza Hacker” con Planeta. 

Pero además de estos hay muchos momentos que transcurren en la intimidad de mi espacio, cuando en el plano técnico he logrado resolver algún problema o encontrar un camino a algo que estaba atascado. Como algunas vulnerabilidades que he descubierto y que he reportado, o el día que conseguí dar con el paquete que me permitía hackear la mesa de mezclas Pioneer, tras meses investigando el protocolo de comunicación. La adrenalina que se siente al encontrar una solución técnica a un reto o conseguir hackear algo nuevo, es una de esas pocas sensaciones en la vida que es siempre igual de intensa que la primera vez que la experimentas. 

4.¿Y el más duro?

Al igual que sucede con los días buenos, hay también muchísimos días no tan buenos, por alguna u otra razón. Pese a que me vienen muchos momentos a la cabeza, sería difícil destacar alguno por encima del resto. Algunos son duros porque las cosas no salen como esperabas, porque una oportunidad se frustra o porque hay determinados factores o agentes externos que se interponen en tu camino pese a que en un mundo justo e ideal esto no debería ser así. Pero así es la vida y a veces hay que aceptarla como viene. De estos no daré ejemplos concretos. Otros días son duros porque trabajar por cuenta propia como lo hago desde hace un tiempo tiene sus cosas buenas y algunas malas. Entre estas últimas, quizá que el trabajo pueda ser en ocasiones un poco solitario. A veces se echa de menos tener a alguien en quien apoyarte para consultarle algo, saber si estás en la dirección correcta o sopesar una decisión trascendental.  Por otra parte, también hay muchísimos días que sin ser malos precisamente son duros simplemente porque estás desbordado, la agenda aprieta, viajas de un lado a otro, estás falto de energía y no puedes más. Ejemplos de estos días hay muchísimos, y los seguirá habiendo seguramente. Lo importante es que pese a que sean duros intentes sacar lo mejor de ti para poder solventar con éxito el hito que tienes por delante y acabar el día lo mejor posible. 

5.¿De qué te sientes orgulloso actualmente?

Pues no sé si está bien decirlo, pero de unas cuantas cosas. 😉 En primer lugar, de haber llegado hasta donde he llegado. Sea mucho o poco, pero creo haber logrado cosas que jamás pensé que pudiera lograr. Me siento orgulloso de haber podido desarrollar mi carrera profesional en su día en organizaciones de la entidad de INCIBE o Deloitte, además como cara visible, representándolas ante medios, otros estamentos, o clientes. Pero sobre todo me siento orgulloso de una vez logrado esto, haber huido de la comodidad., Pese a que era más difícil, he decidido arriesgarme y ser valiente de lanzarme a la aventura profesional por cuenta propia. Es algo que no es nada fácil, y más si decides hacerlo viviendo en tu tierra, una isla llamada Tenerife que está lejos de centros neurálgicos como Madrid o Barcelona, donde está gran parte del trabajo y a las oportunidades. A los que además sólo se puede ir en avión, no por carretera. Esto implica estar constantemente viajando, añadiendo el consecuente coste de esto para tus clientes y en algunos casos, incluso aun así hay casos en que la limitación geográfica es insalvable por temporalidad.  Pero tras casi año y medio en esta aventura, puedo decir que está yendo muy bien. De momento estoy muy satisfecho y puedo afirmar que ha sido un paso hacia adelante. No sé lo que pasará en el futuro, pero hoy puedo decir que sigo dedicándome a lo que me gusta por mis propios medios y méritos.   Ver que tantas empresas, agencias de eventos, clientes o medios de comunicación siguen contando conmigo para trabajar con ellos, o que una editorial de la talla de Planeta me escoge para publicar un libro son sin duda ejemplos de crecimiento profesional. Así como el hecho de  que una empresa de la magnitud de Telefónica, número 1 en este sector, me haya elegido recientemente  para ser uno de sus embajadores de seguridad en España. Todas estas y alguna otra más, son las cosas que a día de hoy me hacen sentir orgulloso. Sobre todo de haber llegado a ello sin ayuda de nadie, sin padrinos y por supuesto sin trampas. A base de trabajo y esfuerzo, y manteniendo siempre mis principios, identidad e integridad.

6.¿Un error que cometiste y del que has aprendido?

He cometido muchísimos errores, y los sigo cometiendo. Supongo que como todo el mundo. Está en la naturaleza humana el equivocarse. Al menos en la mía. Algunos de esos errores, son de los que pese a otros puedan parecer errores, para mí no lo son. Porque forman parte de mi manera de ser, y en dichas situaciones, si se repitiesen, volvería a actuar de la misma manera. Son de esos (supuestos) errores que nos definen. Muestran lo que somos y cómo somos.  Básicamente se trata de ser excesivamente transparente y decir siempre lo que pienso, sin tapujos. Es algo que en el mundo profesional no hace mucha gente porque generalmente, no da buenos resultados. Así que de este error no te puedo decir que aprendí porque suelo cometerlo a menudo. Afortunadamente de muchos otros errores sí que intento aprender, aunque algunos también los cometo más de una vez. Esperemos ir mejorando con el tiempo 😉

7.¿Lo que más respeto te da del mundo digital en el que vivimos?

La excesiva dependencia que como sociedad tenemos a la tecnología y el control que gigantes tecnológicos, fabricantes o estados puedan tener de nuestra completa vida, tanto la digital como la física. Pues como siempre suelo decir ambas están enormemente solapadas y no pueden existir la una sin la otra. 

8.¿Cuáles son las lagunas más importantes que tiene la gente de la calle con relación aseguridad en la red? ¿Y las empresas?

Bueno yo diría que cada vez son más tanto usuarios como empresas los que son conscientes de que existen una serie de riesgos a los que nos exponemos como usuarios de la tecnología. Sin embargo, adolecen aún de conocimiento acerca de las motivaciones de los incidentes, cómo se producen, así como las técnicas utilizadas por los ciberdelincuentes u otros actores que están detrás de los ataques. Por lo que cuando les hablan generalmente de buenas prácticas como cambiar contraseñas, actualizar el sistema operativo, las suelen ver como una incomodidad, algo que estorba o ralentiza su trabajo. En lugar de entender que en sí mismas muchas medidas no sirven ante una determinada amenaza, pero todas aplicadas en conjunto sí que les protegen de gran parte de las cosas que suceden. De ahí que una de las cosas que más me piden las empresas sean sesiones de concienciación tanto a Comités de Dirección como al staff en las que no sólo les cuentas todo esto, sino que se los demuestras con ataques en tiempo real. Cuando ven que cualquiera puede comprometer su seguridad con un poco de ingeniería social y ataques básicos, y lo viven en sus propias carnes quedan concienciados de por vida. 

9.¿Es la ciberseguridad cosa de hombres?

No debería serlo. No creo que sea cosa de hombres ni de mujeres. Creo que es cosa de personas a la que le apasiona este mundo y este trabajo, independientemente de su sexo.  Es cierto que por estadística tanto en la ciberseguridad como en la tecnología en general quizá se ven más hombres que mujeres, pero hay muchas mujeres en el sector y muy buenas. Tanto en puestos de responsabilidad a nivel directivo, como en puestos de gestión o de perfil más técnico. 

10.¿Qué se debería cambiar para que más mujeres se animen a entrar en el mundo de laciberseguridad?

Yo creo que ya hay en la actualidad diferentes iniciativas en este sentido de animar a las mujeres a entrar tanto en el mundo de la ciberseguridad como en el de la tecnología. Cada vez son más las mujeres que tienen visibilidad en las conferencias y eventos del sector, que pueden servir de ejemplo e inspiración a otras más jóvenes que quieran seguir sus pasos. Por lo que no creo que haya que cambiar mucho, sino continuar en esta línea y seguir fomentando el acercar este mundo a todo aquel o aquella al que le despierte interés. Yo he tenido la oportunidad de participar en muchísimas iniciativas de captación de talento en su día como embajador de talento de Deloitte, o en eventos inspiracionales como charlas TED, El País con tu Futuro, charlas en universidades y me he encontrado con muchísimos/as  jóvenes estudiantes a la que esto le apasiona. Tanto hombres, como mujeres. Por lo que yo creo que veremos cada vez más mujeres en este mundo en los próximos años. 

11.¿Cuál crees que va a ser el futuro de la seguridad informática a corto o medio plazo?

Pues básicamente creo que esto va a continuar al alza. Que es un mundo que está en continuo auge, en el que cada vea se conectan más dispositivos de diversa índole que son susceptibles de tener vulnerabilidades y suponer un riesgo para entornos domésticos o corporativos. Por lo que creo que será un sector que seguirá dando mucho que hablar y en el que cada vez habrá más oportunidades para desarrollarse. Así que, si alguno tiene interés en dedicarse a esto, pero cree que llega tarde, que olvide esa idea. Porque habrá trabajo para todo aquel que lo quiera. 

12. Por tu experiencia, ¿Podrías establecer una comparación entre Españay otros países sobre el panorama de la seguridad en las empresas?

Yo diría que no depende tanto del país en sí como del tipo de organización a la que hagamos referencia y su entidad. Porque creo que en lo que respecta a países, en España no estamos por detrás de ninguna otra gran potencia ni por delante. A la hora de trabajar con empresas, puedes encontrar de todo. Generalmente las PYMEs han dedicado tradicionalmente menos recursos y esfuerzos en seguridad por motivos evidentes. Su prioridad está en su negocio, en maximizar la productividad y minimizar los costes. Afortunadamente esto está cambiando, aunque aún queda trabajo por hacer. Las compañías de mayor entidad sí que están más preparadas y llevan años invirtiendo en esto. Es algo similar a lo que te puedes encontrar en empresas de similar entidad en otros países. Por lo que creo que en este sentido no tenemos nada que envidiar. En particular respecto al sector en sí de la ciberseguridad, creo que en España hay muchísimos profesionales de primer nivel, investigadores brillantes y hackers que presentan sus trabajos en las mejores conferencias del mundo como BlackHat o Defcon. Esto puede ser un buen reflejo del nivel que tenemos en este país. 

13.¿A dónde te gustaría llegar?

Pues ahora mismo a la pregunta 16, porque te debo esta entrevista desde hace días 😉 Ahora en serio, por un lado, estoy muy contento con llegar hasta donde he llegado. Como te decía antes, sea poco o mucho, he tenido la oportunidad de hacer muchísimas cosas que jamás pensé que haría y es algo de lo que estoy agradecido y satisfecho. Pero, por otro lado, yo suelo intentar siempre huir del inmovilismo y la autocomplacencia.  No concibo lo de quedarme quieto e intento marcarme siempre nuevas metas para seguir creciendo. Es la única manera de seguir hacia adelante. Ya sabemos que no es tan difícil llegar, como mantenerse. 

14.¿Tu próximo reto?

Alguno que se me ha quedado el tintero en los últimos años ñor no poder dedicarle suficiente tiempo y esfuerzo. Alguno que quizá no tiene tanta visibilidad como otras cosas que haya podido hacer. Pero de momento prefiero no dar muchos detalles. 

15. Nos puedes contar algo de tu libro 😉

Bueno, últimamente he estado hablando muchísimo de él, ya que he hecho muchísimas entrevistas en diferentes medios a nivel nacional. Por lo que intentaré no extenderme mucho. Básicamente, que es un libro dedicado a acercar este mundo a todo aquel que quiera adentrarse en él. Viene a recoger el trabajo que hago en sesiones de concienciación o a través de la labor de divulgación en medios de comunicación, o conferencias. Que permite a gente sin conocimientos técnicos conocer cómo funciona este mundo, los diferentes actores involucrados, diferenciar entre hackers y ciberdelincuentes, entender las motivaciones de los ataques, asimilar conceptos como vulnerabilidad, Zero Day o ingeniería social. Identificar las diferentes técnicas utilizadas para comprometer nuestra seguridad, las amenazas a las que nos exponemos, las buenas prácticas para hacer frente a las mismas. Haciendo también un repaso a todo lo relacionado con nuestra privacidad a la hora de exponer nuestros datos, incidentes entre estados, al futuro que nos depara el internet de las cosas o los mitos y realidades de la Internet Oscura, Todo ello con un tono ameno, ejemplos prácticos, análisis de incidentes mediáticos como WannaCry e historias mías personales de hacking. Algunas de las que he contado tradicionalmente en conferencias o entrevistas, y otras inéditas que jamás han salido a la luz y que había que guardar para una ocasión como esta.

Decir que ha sido uno de los proyectos más complejos de mi carrera, porque publicar un libro con una editorial como Planeta son palabras mayores. Agradecer a Roger Domingo el editor la confianza depositada en mí.  Tras todo el trabajo creo que ha quedado un libro muy interesante para todo aquel que quiera conocer este mundo de cerca, aprender sin perderse en tecnicismos, pero por supuesto adquiriendo unas nociones que le pueden ser útiles para el día a día. Señalar también que el libro cuenta con un prólogo hecho por el gran Mikko Hypponen y una reseña en la cubierta del mismísimo Kevin Mitnick. Todo un lujo y un honor que “La Amenaza Hacker” pueda contar con estas referencias de dos de los mejores hackers del mundo.

16. Sin rodeos:

  • ¿Cómo es Deepak Daswani en unapalabra?  Auténtico 
  • ¿Una virtud? Perseverante
  • ¿Un defecto? Impulsivo y demasiado emocional
  • ¿Un libro? «La conquista de la felicidad», de Bertrand Rusell. 

Muchas gracias, Deepak, por dejarte robar unos minutos y espero verte pronto 😛


Los correos de chantaje evolucionan e incluyen el secuestro de archivos