«La gente sigue siendo muy inconsciente con el tema de la privacidad», José Luis Verdeguer (pepeluxx)

Hoy tengo el placer de entrevistar a un gran amigo, José Luis Verdeguer Navarro (@pepeluxx) es uno de los profesionales más reconocidos del sector,  Ingeniero Técnico de Sistemas Informáticos por la Universidad de Alicante. Master en Desarrollo de Aplicaciones y Servicios Web por la Universidad de Alicante. Ponente en diferentes congresos de seguridad a nivel nacional y apasionado de los CTF. Actualmente trabaja como CTO en Zoonsuite, operador de VoIP que ofrece servicios telefónicos en la nube.

 

Para quienes no lo conozcáis, José Luis es un gran profesional y una maquina en todo lo que se propone 😉

1.¿Qué es lo más complicado para destacar en tu profesión?

La verdad es que en mi día a día hago un poco de todo pero, básicamente, administro sistemas Linux y programo, tanto aplicaciones web como scripts para mantenimiento de determinados procesos. Quizás lo más complicado haya sido diseñar una infraestructura escalable y redundante que te permita que hayan muchos clientes hablando por teléfono y que todo funcione con muy poca latencia y sin problemas. Creo que es muy común crear determinados escenarios que se usan habitualmente como granjas de servidores para webs o correo, pero para montar un sistema telefónico no se trata de descargar una aplicación y ya está, sino que debes buscarte un poco la vida si quieres tener algo funcional y robusto. Por ejemplo, yo uso 12 máquinas, cada una con una funcionalidad diferente, para ofrecer un buen servicio. Además de esto, es importante que sea seguro y que no te de ningún susto, pues el fraude en telecomunicaciones es algo que está a la orden del día y un pequeño fallo puede costarte mucho dinero.

 

2.¿Qué tres consejos les darías a los que quieran seguir tus pasos?

Como dijo en otra entrevista mi gran amigo Dabo, alguien realmente admirable, no creo que seguir mis pasos sea lo más adecuado porque antes se hacían las cosas de forma diferente a como es ahora. Hace 20 años no había trabajo tecnológico, ni había documentación, ni profesionales cualificados. Recuerdo que en la Universidad mis profesores eran matemáticos, físicos, ingenieros industriales, y casi ninguno informático. Ahora es todo lo contrario. Hay mucha información gracias a Internet, hay muchísimo trabajo y los jóvenes vienen pegando muy fuerte. En cualquier caso, creo que si tuviera que dar tres consejos para alguien que está iniciándose en el mundo de la seguridad serian estos:

  • Aprender inglés (imprescindible)
  • Enfocarse en algo concreto (el mundo de la seguridad es muy amplio)
  • Ser el mejor en lo que hayas decidido enfocarte (no hace falta conseguirlo, pero es bueno luchar por ello)

 

3.¿Cuál ha sido tu mejor día profesional?

Tengo muchos días buenos, al igual que tengo algunos malos. Creo que como todo el mundo, no? Hay días que te sientas a hacer cosas y avanzas muchísimo. Y otros días deseas no haberte levantado de la cama. En cualquier caso, siempre es agradable ver que se valora tu trabajo.

 

4.¿Y el más duro?

Creo que he contestado antes. No tengo ningún día concreto que desee olvidar pero sí que hay días que estás deseando que terminen, aunque afortunadamente son muy pocos.

 

5.¿De qué te sientes orgulloso actualmente?

Tengo la suerte de disfrutar de mi trabajo, de hacer lo que me gusta, y de poder aprender cada día cosas nuevas.

 

6.¿Un error que cometiste y del que has aprendido?

Cuando trabajas en algo que no es lo típico, como decía antes, siempre te tienes que buscar la vida para ver cómo es mejor hacer las cosas. Y aún así con el tiempo varían determinados factores y tienes que rehacerlas de otra forma. Cuando siempre estás innovando, siempre cometes errores, y siempre son productivos porque de todos ellos se aprende.

 

7.¿Lo que más respeto te da del mundo digital en el que vivimos?

Dedicándome a telefonía, da mucho respeto la seguridad porque todo es más delicado. Como puedes imaginar, no es lo mismo que te hagan un Deface en una web a que te roben minutos en llamadas a destinos Premium internacionales de alto coste. Y tampoco es lo mismo un ataque DoS sobre un servidor web o de correo, que aunque tenga un poco de latencia el usuario puede esperar la respuesta, a un sistema telefónico donde la latencia es algo primordial.

 

8.¿Cuáles son las lagunas más importantes que tiene la gente de la calle con relación a seguridad en la red? ¿Y las empresas?

A pesar del gran trabajo que hacéis gente como tú o como Angelucho, dando charlas de concienciación tanto a niños como a mayores, la gente sigue siendo muy inconsciente con el tema de la privacidad. Sí que es cierto que los jóvenes están más concienciados con la seguridad y están aprendiendo a no fiarse de las apariencias y a no compartir información personal con extraños, pero siguen subiendo demasiada información privada a las redes sociales.

A nivel de empresa hay mucho incultura en cuanto a temas de seguridad. Es demasiado frecuente ver empresas que han sufrido la devastación de un cryptolocker por tener todo desactualizado, y luego no tienen ni un miserable backup de los datos.

 

9.¿Es la ciberseguridad cosa de hombres?

Por supuesto que no, pero este tema se está yendo un poco de las manos, y hablo en general y no sólo de ciberseguridad. Creo que un puesto debe adjudicarse a una persona, independientemente de su sexo o religión y, por supuesto, que el sueldo sea exactamente el mismo. Pero me parece una enorme tontería que si hay 20 vacantes, tengan que ser 10 hombres y 10 mujeres. Creo que deben ser los 20 mejores cualificados … da igual si son 18 mujeres y 2 hombres o 18 hombres y 2 mujeres, pero siempre gente capacitada y que merezca ese puesto.

Si te sirve de ejemplo, tengo un equipo de 5 programadores y todos son hombres. Los 5 trabajan bajo el mando de la jefa de programación, que  además de ser mujer, cobra más que ellos, porque su puesto lo requiere.

 

10.¿Qué se debería cambiar para que más mujeres se animen a entrar en el mundo de la ciberseguridad?

Yo no creo que deba cambiar nada. Cuando yo estudié, en la Universidad éramos más de un 95% hombres. Y si hay más hombres que deciden estudiar informática, es normal que haya más hombres interesados en ciberseguridad. No creo que sea por temas de discriminación ni de que un sexo sea más listo que el otro, sino porque, desgraciadamente, la tecnología levanta más el interés de hombres que de mujeres, aunque creo que últimamente esto está cambiando y entre los jóvenes ya se suelen ver más mujeres.

 

11.¿Cuál crees que va a ser el futuro de la seguridad informática a corto o medio plazo?

La seguridad es una necesidad pero también es un negocio, y cada vez más. Un auditor puede disfrutar de su trabajo si una empresa está interesada en tener un sistema seguro y pone todo de su parte para que hagas tu trabajo. Sin embargo, al igual que ocurre con la prevención de riesgos laborales o con la protección de datos, se exige a las empresas que cumplan con unas normas básicas de seguridad y esto se traduce en muchas empresas que contratan auditorías por el simple hecho de tener un papel firmado que les es necesario para poder trabajar con determinadas empresas u organismos. Esto se traduce en una gran demanda de personal cualificado en seguridad informática. De hecho cada día más Universidades españolas ofrecen Máster en ciberseguridad y esto es porque ya hay una gran demanda de gente.

 

12. Por tu experiencia, ¿Podrías establecer una comparación entre España y otros países sobre el panorama de la seguridad en las empresas?

A nivel de conocimientos creo que España está en lo más alto, y una buena prueba de ello es ver como grandes profesionales de nuestra tierra trabajan en puestos relevantes de empresas como Google, Facebook, Microsoft, etc.

A nivel de empresas creo que aún falta concienciación. Como he comentado antes, muchas empresas quieren que les firmen el papel y les toquen las narices lo menos posible. Eso sí, cuando sufren una mala experiencia la cosa cambia y parece que comienzan a tomarse las cosas más en serio.

 

13. Cada día muchas más empresas usan VoIp y, del mismo modo, aumentan el número de fraudes. Una buena solución para las empresas es instalar un dispositivo que nos proporcione una capa de seguridad adicional. Existen en el mercado algunos productos que, además de actuar como firewall, son capaces de analizar las tramas SIP de nuestras comunicaciones, bloqueando intentos de acceso, creando filtros de consumo, bloqueando IPs con listas negras, etc. Pero ¿podemos estar tranquilos con este tipo de dispositivos, o puede ser peor el remedio que la enfermedad? ¿están los fabricantes concienciados con la seguridad o es sólo un negocio?

Bueno, hace un par de años di una charla en diferentes congresos sobre un dispositivo por hardware cuya finalidad era la de actuar como firewall ante sistemas de VoIP. Este dispositivo lo usan miles de usuarios y mostré cómo era posible acceder como root en remoto, sin ningún  tipo de credencial. Lo reporté, me mandaron un segundo dispositivo parcheado, lo volví a rootear en 10 minutos y pasaron del tema. De hecho han sacado un dispositivo nuevo y me contactaron para ver si lo auditaba. En cuanto les dije que esta vez ya no lo hacía gratis, han perdido el interés.

El mes pasado di una charla en Voip2day, en Madrid, sobre un firewall de VoIP que he programado y que está en mi github para que lo use quien quiera.

Pero como he comentado antes, las empresas se preocupan de la seguridad cuando ven los dientes al lobo y, lamentablemente, en temas de telefonía cuando ves el diente del lobo ya te ha comido porque hablamos de miles de euros defraudados en tan sólo unas horas.

14.¿A dónde te gustaría llegar?

A seguir aprendiendo cosas e intentar estar al día con todo, aunque la tecnología avanza demasiado rápido 🙂

 

15.¿Tu próximo reto?

Siempre que acabo un proyecto o termino una charla me digo ‘esta es la última, ya no sé qué puedo investigar’ … pero de repente llega un día y se te plantea un nuevo e inesperado reto que finalmente termina en proyecto o charla.

Ahora mismo estoy programando un módulo de seguridad para Kamailio que cuando termine de testearlo subiré a Internet para que lo pueda usar quien quiera.

 

16. Sin rodeos:

  • ¿Cómo es José en una palabraUn culo inquieto
  • ¿Una virtud?  No sé si será virtud o defecto, pero soy muy concienzudo y si me planteo algo no paro hasta conseguirlo, o al menos agotar todas las vías posibles para resolver el problema.
  • ¿Un defecto? Tengo poca paciencia y si me pongo con un algo lo quiero terminar rápido. Cuando veo que no avanzo, respiro y comienzo de cero pero esta vez ya con calma.
  • ¿Un libro? No soy muy de leer por falta de tiempo, pero el último libro que leí hace unos meses me gustó y fue el de ‘ Un fantasma en el sistema’ de Kevin Mitnick.

«Muchas gracias por la entrevista y un abrazo muy fuerte a todo el equipo de Eset.»

 

Gracias a ti, por dejarte robar unos minutos y espero verte pronto 😛

Medidas a adoptar tras los incidentes relacionados con el robo de datos de Marriot, Dell y Quora