www.onemagazine.es
Entrevista a Eduardo Sánchez, fundador del congreso hacker Qurtuba: “En el mercado negro se venden un millón de cuentas de email por 6.000 euros'
Ampliar
(Foto: Foto: RootedCON 2017)

Eduardo Sánchez, fundador del congreso hacker Qurtuba: “Es complicado tener privacidad con tantos dispositivos móviles en el día a día"

A sus 36 años, este cordobés de sonrisa perenne es una referencia en seguridad móvil y, este año, junto con la experta en identidad digital y reputación online Selva Orejón, también se ha puesto a ‘cazar’ ciberdelincuentes a través de fuentes abiertas. Profesor de informática en FP pocos hackers españoles tienen una visión de lo que sucede en el cibermundo de los jóvenes como él. En noviembre, además, organizará el gran congreso hacker de Córdoba, Qurtuba.

Eduardo Sánchez, fundador del congreso hacker de Córdoba –Qurtuba- que celebrará su edición de 2017 en noviembre, es de los pocos expertos en ciberseguridad en España que forma a chavales en lo básico de la informática, la FP. Precisamente su contacto con ello hace que tenga una visión perfecta a las nuevas generaciones de hackers españoles y expertos en ciberseguridad. Habitual de muchos congresos –también es cofundador de las conocidas citas nocturnas Hack&Beers-, entre otras especializaciones está centrado en cómo proteger los dispositivos móviles y, también, 'localizar' personas en búsqueda y captura... a través de sendas en el ciberespacio -junto con la experta en identidad digital y reputación online Selva Orejón-.

Qué te apasiona de la ciberseguridad…
El aprender algo nuevo cada día, sobre todo me gusta mucho indagar en el reversing de aplicaciones móviles. Esto es: a partir de una aplicación irla analizando dando pasos atrás hasta obtener su código fuente, el código con el que se ha creado. Ello permite jugar para buscar fallos de seguridad y vulnerabilidades. También me gusta ver dónde se conecta cada aplicación para ver que el servidor es seguro…

A qué amenazas nos enfrentamos ahora
Me preocupa mucho el tema de los adolescentes, sobre todo el poco control en su privacidad. La estamos perdiendo y no nos damos cuenta. Cada vez llevamos más dispositivos conectados encima y hay más cámaras y todo tipo de sensores en calles y centros comerciales. Y además de usarlas para nuestra seguridad también se puede utilizar para otras cosas –hacer ataques de denegación de servicio distribuidos-.
En el mercado negro se vende un millón de cuentas de correo electrónico por 6.000 euros. Hay muchos ransomware porque la gente paga a los criminales, hay que saber configurar mejor nuestros dispositivos, ni clickar enlaces maliciosos que el sentido común dice que lo son, no publicar información personal en redes sociales…

Lo que más miedo te da…
Que todos llevamos encima un teléfono inteligente, un smartphone. Las 24 horas. Y eso permite además de posicionarnos, obtener mucha información de los usuarios. Aunque no estemos conectados a Internet sí lo estamos a la antena de telefonía través de la que se puede saber dónde nos encontramos. Así que las personas que tienen acceso a esa información saben con quién voy, con quién me junto, donde estoy… da un poco de miedo.

¿Y cómo te proteges?
Pues es complicado vivir protegido. Está claro que las compañías telefónicas cumplen el reglamento de protección de datos pero, ¿quién dice que el sistema es 100% seguro y no acceden a él personas con malas intenciones interesadas en datos personales? Incluso a nivel de gobierno bajo una orden judicial. En muchos países ocurre y se puede localizar a cualquier persona simplemente por el hecho de llevar el móvil encima. Estábamos más seguros antes sin el móvil.

¿Qué teléfono recomiendas por ser el más seguro?
He probado diferentes marcas y tengo un teléfono Android, un Xiaomi. No es que sea el más seguro, qué ninguno lo es, pero su hardware funciona muy bien aunque todos traen un ‘regalo’ debido a que tiene procedencia China. Para quitarlo hay que dormir las aplicaciones que vienen a nivel de sistema operativo –ya que no se pueden desinstalar-. Cualquiera con un mínimo de conocimientos lo puede hacer buscando los comandos necesarios en Internet.
En el momento en el que empiezas a visualizar procesos en el dispositivo vas viendo que hay conexiones a IPs del extranjero que no te cuadran –a veces en China-. Una vez localizado hay que interrumpirlo y desactivarlo.

Y para vivir ciberseguro…
A nivel de dispositivo lo más importante es lo que hace el usuario, más que el móvil en sí. Siempre tiene la clave. Da igual que tengas un móvil seguro que si estás en redes sociales y tienes activada la geolocalización o usas aplicaciones a las que le das todos los permisos, al final estás localizado en todo momento. O por fotos que publicas en redes sociales y a las que no has quitado los metadatos –dónde las has hecho, cuando, con qué dispositivo-… Y, por supuesto, que nadie la republique y te identifique, por ejemplo. Yo siempre digo que la privacidad de una persona depende de la privacidad de los demás. Yo puedo ser muy cauto en mis redes sociales que si me hago un selfie con una persona y ésta la sube a su Facebook destacando que está conmigo en un sitio… Es complicado tener privacidad con tantos dispositivos móviles en el mercado.

El gran problema para conseguir que la gente esté cibersegura…
Lo que queremos es que el dispositivo funcione bien y rápido y despreciamos las normas básicas de seguridad. Desgraciadamente, la privacidad cada vez le importa menos a la gente. Es muy habitual escuchar, “pero, ¿quién quiere mis datos?, mis datos no tienen valor, si mis amigos tienen una aplicación me la instalo…” y nadie mira si la aplicación tiene acceso a tus contactos, a tu ubicación, tus consultas de internet, tus mensajes… No somos conscientes de que el gran negocio de las redes sociales o de los asistentes como Cortana de Microsoft o de empresas como Amazon es tenernos registrados y analizados para vender nuestros datos comerciales a terceros –con nuestro permiso, ya que hemos aceptado todo lo que nos pide para crearnos un perfil-. Hay que tener en cuenta que cuando un servicio es gratuito el producto eres tú.

Una aplicación de mensajería que recomiendes…
Telegram, es mejor que WhastApp por la confidencialidad que aporta su tecnología. Para expertos se puede recomendar utilizar TOR –el software para ‘navegar’ en la Deep Web, ya que te aporta privacidad y anonimato (aunque con matices) a través del teléfono –por ejemplo, con la app Orbot-. Con ella ocultas la IP desde la que conectas –tu ‘dirección digital’ desde la que te conectas-. Es una forma de mantener al máximo la privacidad para ‘torificar’ tus comunicaciones. Es otra forma de cifrar la información –algo similar a los VPN-. Pero es más seguro porque en TOR das varios saltos que impiden saber desde donde te conectas. Es muy importante también en TOR usar siempre Https –que aseguran que desde que te conectas tu comunicación va cifrada en todos los puntos-.

Como proteges tu cibervida…
Lo primero configurando las opciones de privacidad de todas tus cuentas - correo, RRSS, etc- y después hacer uso de lo básico como tener antivirus en el ordenador y en mis dispositivos. Uso de pago y gratuitos. Es mejor que no llevar nada. Hacer uso del doble factor de autenticación por si te roban tus contraseñas. También uso herramientas más específicas para bloquear el ransomware como el AntiRansom de Yago Jesús o el Sysmo Security de Jesús Angosto. Otras para monitorizar todas las comunicaciones del ordenador y que te indican a dónde se conecta cada proceso a qué dirección y a qué puerto. Siempre es bueno saber a donde se conectan tu ordenador o dispositivo móvil.

Qué le recomiendas a un gerente de una empresa…
Lo más básico es no mezclar sus cuentas de correo personal con las de empresa. Es un error que cometen muchos. También es importante no conectar a redes que no sean seguras. Redes gratuitas. Y si lo hacen que hagan uso de una VPN. Descargarse ficheros personales en dispositivos de la empresa… Hay muchos profesionales y compañías que ya siguen una buena estrategia pero otras no. el problema es que, ¿quién le dice al jefe de una empresa que puede estar cometiendo algún error? Es complicado… Hay que ver la seguridad partiendo de la base: todo lo que se comience desde cero tiene que tener un experto en ciberseguridad desde el momento inicial. La seguridad por diseño. Muy importante tener la figura del director de seguridad, llevar acabo un análisis de riesgos y conocer cuales son los activos de la empresa. Tener un plan de contingencia y qué supondría para la empresa la pérdida de estos.

Conozco a un chaval que quiere ser hacker…
Sí, cada vez hay más que quieren dedicarse a este mundillo. Pero a veces tienen una idea equivocada. Al principio de curso siempre hay chavales que preguntan, ¿oye Edu, cuándo vamos a ver hacking wifi para conectarme a redes de mis vecinos? Pues ya les aclaro que eso en el temario no se dá –además de ser un delito-. Yo lo que enseño es informática: redes, administración de sistemas y sobre todo seguridad pero desde la base hasta la lo más complejo que mis conocimientos pueden llegar. Todos quieren coger el Kali el primer día y empezar a romper cosa y conmigo lo llevan claro, si no hay base de muchas otras cosas no hay hacking. El hacerse o denominarse hacker, o sea una persona interesada por la seguridad informática, tiene que partir de cada uno a partir de conocimientos de programación. Se trata de tener inquietud por programas, por encontrar fallos de seguridad, por formarte en ello y tener conocimientos en esto. El campo de la seguridad informática es tan amplio que es muy complicado conocerlo todo. Yo les digo a mis alumnos que yo vengo a enseñar.. pero ellos también pueden enseñarme a mi si han leído un artículo de ciberseguridad o han hecho una investigación ellos mismos. Hasta la persona con menos conocimientos puede enseñarte algo, hay que ser humildes siempre. El punto de partida tiene que ser que te guste lo que haces. Que tengas pasión. Y con ella llegará un día que se den cuenta de que tienen conocimientos que les permite ayudar a la gente.

Un libro para comenzar…
Empecé con el foro de un hacker que se llama DragonJar –el colombiano Jaime Andrés Restrepo, una gran referencia-. También leía libros de administración de sistemas. Recuerdo que mientras mis amigos leían novelas yo me compraba obras de Windows Server de 600 páginas y las devoraba. Era lo que me gustaba. Pero hay muchos libros de editoriales como 0xWord que sirven para empezar en este mundillo. Antes había algunas revistas gratuitas especializadas, foros… lo bueno que hay hoy es que hay mucha más información y foros que antes. Por ejemplo, Junto a Miguel Ángel Arroyo y otros compañeros tenemos el blog de ‘Hacking Ético’ y en él facilitamos mucha información útil para los que quieran saber más.

Qué lenguaje de programación recomiendas aprender para empezar
El lenguaje C es el más básico, es el que te enseñan en la carrera y es por el que la mayoría empieza. Para gente joven o adolescentes que quieran empezar en el mundillo de la seguridad recomendaría Python, por su gran potencial y gran cantidad de librerías. Es fácil de aprender y ves los resultados rápido…

Tienes tu equipo de Hackers Kids…
Sí, se hacen llamar los Hackers Rangers –risas-. Son chavales entre 17 y 18 años a los que doy clases que han querido hacer un equipo para participar en retos informáticos en CyberCamp –CTF-. El nombre me parecía infantil, pero me hizo también mucha gracia y no les pude decir que no por la ilusión que demuestra, por ellos lo que haga falta. Me recuerdan a mi cuando comencé. Y tienen conocimientos que a muchos de mi edad nos costó tiempo obtener.

Un hacker a quien admires…
Hay muchos. Pero por decir uno, Miguel Angel Arroyo, con el que hemos creado la comunidad Hack&Beers y el congreso cordobés de ciberseguridad Quturba. También creó el blog ‘Hacking ético’ que es uno de los blog de seguridad, bajo mi opinión, a tener muy en cuenta. También podría citar a María José Montes, Manuel Camacho, Carlos García y otros. Somos los que llevamos el ‘barco’ ciber de muchas iniciativas que parten de Córdoba.

Un ciberataque del que siempre hablas…
El que se hizo en 2016 con la botnet Mirai –red de miles de dispositivos infectados y controlados por un ciberdelincuente-. Estaba integrada por miles de cámaras de seguridad, conectadas a Internet y a través de ellas se hizo un ataque de denegación de servicio que dejó sin Internet una tarde, en EE.UU. a casi un millón de personas afectando a muchas empresas muy conocidas como Netflix, Twitter…

Te sientes orgulloso de…
Que me llamen de empresas de Madrid para preguntarme por chavales de FP para que trabajen en empresas de seguridad informática. Es un orgullo para mi y mis compañeros que tras pasar por mi centro educativo sean demandados por sus conocimientos…

Te niegas…
A tener un coche conectado. Me niego. Incluso me han enviado una tarjeta del banco contacless –NFC- y me niego a activarla… hasta que me obliguen.

Tu próximo reto…
El congreso de Quturba, del 16 al 18 de noviembre. La gran cita de la ciberseguridad en Córdoba. Será la tercera edición y va a ser muy potente. Por supuesto, continuará manteniendo el espíritu inicial de ser grauita y abierta a todos, desde amas de casa que quieran saber cómo realizan compras on line seguras hasta chavales que les apetezca comenzar en el mundo del hacking, a través de retos como los CTF, y, por supuesto a expertos en ciberseguridad, abogados, agentes de cuerpos de seguridad... Estamos trabajando mucho, tanto en las ponencias como en los talleres, y va a ser muy potente.


¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.