¿Quién no conoce Hispasec? ¿Una-al-día? Y, cómo no ¿Virustotal.com? Seguro que vosotros, lectores de DragonJAR, habéis oído, leído o visitado alguna vez por lo menos uno ellos. Con todos estos servicios o páginas está relacionado el entrevistado de hoy: Sergio de los Santos.

Sergio, es un placer tenerte aquí en DragonJAR como entrevistado. Muchos, entre los que me incluyo, hemos usado muchas veces VirusTotal, consultado la documentación de ” Una-al-día” y leído atentamente el Blog de Hispasec. También, hemos leído el libro editado por Informática64, “Máxima Seguridad Windows: Secretos Técnicos” que has escrito.

Para los que no lo sepan, ¿Quién es y a qué se dedica Sergio de los Santos?

Trabajo en Hispasec. Como soy de los más antiguos, me dedico un poco a todo y he acabado coordinado algunos servicios (SANA y el servicio de antifraude, entre otros “no tan públicos”), y también he terminado responsabilizándome de una-al-día.

Explícanos un poco qué es Hispasec, VirusTotal y Una-al-día.

Hispasec es una empresa diferente, muy técnica, que ofrece servicios de seguridad principalmente a grandes cuentas. No somos muy grandes ni estamos sometidos a una jerarquía demasiado fuerte. Para mí eso es fundamental, y una de las razones por las que me siento cómodo. Creo que eso se refleja en el trabajo final a los clientes.

Virustotal es un proyecto dentro de Hispasec. Se trata de un servicio gratuito que permite enviar un fichero y que sea analizado por más de 40 motores antivirus. Comenzó en 2002, se hizo público en 2004 y hoy en día, se ha convertido en un referente internacional. Recibimos unas 300.000 muestras diarias, y tenemos una base de datos de decenas de terabytes de ficheros.

Una-al-día es otro servicio gratuito de envío de noticias de seguridad diarias, y una de mis debilidades. Ahora mismo me encargo de coordinar el estilo, la redacción y otros aspectos del boletín, que se ha convertido en un referente sobre seguridad e habla hispana… lo que me parece una gran responsabilidad.

¿Hace falta ser ruso para trabajar en un equipo de e-crime ?, ¿Qué perfil crees que es el más adecuado?

Para trabajar en un equipo de antifraude hace falta, sobre todo, trabajar en equipo. Los conocimientos son importantes, pero en Hispasec valoro sobre todo el trabajo colectivo que redunde en un mejor servicio. Las experiencias con personas que se suponen tenían grandes conocimientos, suelen ser nefastas. A veces, lo anteponen a cualquier otro aspecto, y a la larga, se convierte en un lastre para un equipo. Supongo que como en cualquier campo.

¿Crees de verdad que las casas de antivirus se aprovechan de la inexperiencia de los usuarios y venden “La panacea”?

Las casas antivirus hacen su trabajo: vender software. No hay que culparles por ello. Sin embargo sí que creo que “algo no funciona” actualmente. En los 90, cuando todos éramos un poco más ingenuos, la publicidad antivirus era muy pretenciosa (“100% de efectividad”, “seguridad total”, etc). Hoy, con la batalla del malware perdida, suelen ser mucho más discretos. Y digo “batalla perdida” porque ha quedado demostrado que confiar exclusivamente en el antivirus no sirve para nada, cosa que en aquellos tiempos intentaron hacer creer. Yo creo que el asunto de la seguridad en Internet se está convirtiendo en algo muy serio. No hablo de solo de la “ciberguerra” sino de la banca online y la privacidad. Con este panorama, la publicidad debería estar “controlada” en cierta manera.

Imagina que una compañía vendiera cinturones de seguridad con una publicidad irresponsable. Imagina que los usuarios de coches potentes estuvieran convencidos de que es imposible empotrarse contra un muro a 230 km/hora por muy borrachos que fuesen… porque llevan ese cinturón tan especial que anuncian en al tele…. Eso es lo que ha conseguido la nefasta combinación de la ingenuidad del usuario y el marketing antivirus.

Los antivirus son necesarios, pero hay que entender para qué sirven y sus limitaciones.

Después de haberte peleado tanto tiempo con el sistema operativo de Microsoft Windows, ¿crees que la cosa va a mejor? La gente de Redmon hace progresos con la seguridad de Windows? ¿O es cierto lo que siempre se dice, y es que el sistema operativo mas fácil de infectar?

Windows 7 es un enorme sistema operativo. Usable y seguro. Hoy, es tan sencillo/complicado de infectar como cualquier otro. A la gente le cuesta mucho desprenderse de sus prejuicios. Microsoft creaba, hasta hace pocos, años sistemas operativos de juguete, de los que ni merecía la pena hablar en términos de seguridad. Daban pena. Ahora, se ha puesto las pilas y de qué manera. Y todos sabemos que Microsoft tiene los recursos y la experiencia como para pasar por encima de cualquiera cuando se lo propone. Hace tiempo que se ha propuesto hacer sistemas operativos robustos, y gestionar muy bien la seguridad (a todos los niveles: programación, ciclo, respuesta, parcheo, información…) Apple no lo está haciendo (de hecho está tropezando en las mismas piedras que Microsoft hace 10 años) y las distribuciones Linux tienen un gran potencia, pero también la desventaja de que no se están unidas y pierden fuerza (para imponerse en el escritorio)…

El problema en una cultura tan arraigada en las “creencias” basadas en informaciones parciales, pasionales y a veces sesgadas, es que si no criticas a Microsoft porque así “se ha hecho siempre y si no, es que no entiendes de informática” o incluso si no alabas a otros sistemas operativos, te miran “raro”… como si tuvieras algún tipo de interés oculto. Esto es fanatismo. Pero el hecho es que Microsoft es un referente de seguridad de escritorio actualmente… y es algo en lo que casi todos los profesionales independientes de la seguridad coinciden, no es cosa mía exclusivamente.

Háblanos de tu libro “Máxima Seguridad en Windows” ¿Por qué este libro, qué pretendes hacer entender a la gente que lo lee?

Lo primero, que no es un libro con los típicos consejos de seguridad para usuarios “habituales”. De esos hay muchos, y creo que se han demostrado lo bastante ineficientes como para descartarlos como alternativa seria a quien quiera un Windows “seguro”. En “Máxima seguridad en Windows”, ni siquiera se recomienda un antivirus en ninguna página. Se intenta trabajar exclusivamente con las herramientas integradas de Windows, entenderlas y ponerlas en práctica. Y sobre todo, conocer las amenazas. La principal premisa para fracasar en seguridad se resume en una frase que me hizo conocer Julio Canto “al que solo dispone de un martillo, todos los problemas le parecen clavos”. El martillo es el antivirus de mucha gente. No todos los problemas son clavos, ni se solucionan con un martillo. Creo que Windows 7 permite construir un sistema operativo extremadamente seguro sin apenas herramientas de terceros. Y si las pones, mejor, siempre que sepas para qué sirven.

La idea es saber qué trae Windows y cómo sacarle el máximo provecho. Y resulta que es suficiente para hacer frente a buena parte de las amenazas de hoy.

¿Que opinas de la seguridad en España, crees que la cosa va a peor o que cada vez estamos mejorando?

Va a peor. Que en 2012 existan plagas como las del virus de la policía, o que Zeus y SpyEye sigan siendo omnipresentes… da que pensar. Han fallado las actualizaciones (las de Java), los usuarios (que no aseguran su navegador), los antivirus (que no han reconocido ni el exploit usado ni el malware en sí…). Estas cosas no deberían estar sucediendo o al menos no a esta escala.

¿Que “hackers” de la scene Española dado su trabajo respetas más?

A los que no se creen parte de la scene ni de la comunidad. Normalmente están en su puesto, aprendiendo y disfrutando de lo que les gusta. He tenido la suerte de trabajar con varios: Francisco Santos, Bernardo Quintero, Emiliano Martínez, David García, Fernando Ramírez… estos son a los que más respeto. Luego, a nivel global, me gusta el trabajo de Didier Stevens y Mark Russinovich.

¿Que consejo le darías a alguien que se quiere dedicar a la seguridad hoy en día?

Que, durante un buen tiempo, cierre la boca y abra muchos los ojos y las orejas. Y que empiece cuanto antes. Se está llegando a un nivel que cada vez cuesta más eludir sistemas, descubrir vulnerabilidades… Ya no es como en los 90… creo que en un tiempo, solo los muy muy buenos podrán aportar algo al mundo de la seguridad.

• Puedes seguir a Sergio de los Santos en Twitter @ssantosv
• Visitar la pagina de HispaSec
• Visitar la Pagina de Una al Día
• Visitar el servicio VirusTotal

También puede interesarte...

• Entrevista a Jose Selvi de Pentester.es
• Entrevista a Yago Fernández Hansen del Diario de un Hacker
• Entrevista a Pedro Sanchez de Conexión Inversa
• LapSec – Asegura tu Laptop con un Click
• Mi entrevista en Kungfoosion
• VirusTotal Uploader
• Entrevista a Cristian Borghello para La Comunidad DragonJAR
• Descarga Gratis el Libro de Una al Día

Versión Beta es un reconocido programa de televisión enfocado a la tecnología, el cual busca llegar con un estilo juvenil a informar sobre diferentes aspectos relacionados con la vida moderna y su interacción con la tecnología.

Hace un tiempo varios miembros de La Comunidad DragonJAR tuvimos la oportunidad de participar cono invitados especiales a un programa enfocado especialmente a la seguridad informática, les dejo una copia del mismo para quienes no pudieron verlo en vivo.

Y recuerden que estamos a pocos días de celebrar el www.ACKSecurityCON.com, congreso que presentará:

• Un 0Day cada día de conferencias
• Talleres especializados de primer nivel
• Retos y Wargame con excelentes premios patrocinados por HP
• Primer congreso en Colombia con PRESENTADORA HOLOGRAFICA

Entre muchas otras cosas que puedes conocer en www.ACKSecurityCON.com.

También puede interesarte...

• FBI: ¿Puedes romper un código?
• Revista UXi, La Revista de Software Libre y Código Abierto de la UCI
• Mi entrevista en Kungfoosion
• Como ganar dinero con Software Libre
• PC-BSD, nunca fue tan sencillo instalar y operar un BSD
• X.25 Conferencia de Seguridad Informática en Mexico
• Navegando entre los riesgos de la Internet
• Laboratorios de Seguridad Informática

Buenos días lectores,

Hoy en la comunidad DragonJAR tenemos una sorpresa, y es que Lorenzo Martínez, uno de los editores de Security by Default  ha dejado que le hagamos una pequeña entrevista.
De los que conocen a Lorenzo te pueden decir que es un crack, un profesional que está al día en ámbito de seguridad, que ha tocado e implementado soluciones de seguridad de muchísimos fabricantes, que le gusta trastear con cualquier dispositivo de hardware que llega a sus manos para que se adapte para lo que exactamente el necesita. Lorenzo, como ya he comentado, es uno de los editores de Security by Default, blog de seguridad en habla hispana muy recomendado.

Es ingeniero en Informática, licenciado por la Universidad de Deusto (1996-2001). Especializado en seguridad informática, cuenta con certificaciones de seguridad como CISSP de ISC2 y CISA de ISACA.

Lorenzo, este año además, se estrena en la RootedCon como ponente, con su charla “Welcome to your secure /home $user”. Asimismo expondrá dicha charla, a finales de Marzo, en el Congreso ACK Security Conference en Manizales (Colombia), donde además nos sorprenderá con un taller titulado “BUENAS PRÁCTICAS DE SEGURIDAD EN ENTORNOS CORPORATIVOS”; Si queréis podéis seguirle en Twitter en su nick @lawwait

Sin más, os dejo con la entrevista a Lorenzo Martinez:

¿Quién es Lorenzo Martínez?
Lorenzo Martínez es, ante todo, un curioso por conocer cómo funcionan las cosas por dentro. Si no se trata de algo que he diseñado yo, me gusta saber qué ha pensado el inventor, y sobre todo, si se ha dejado o no puertas abiertas para poder acceder posteriormente, qué posibilidades futuras de expansión, funcionalidades ocultas pre-implementadas que, con un poco de maña, pueda aprovechar ya!. Además, soy una apasionado por la seguridad informática, por lo que, aunque sienta la misma curiosidad por conocer el mecanismo de una tostadora o una cafetera, si tiene pila TCP/IP, mejor!

¿A qué te dedicas profesionalmente?
Actualmente soy, entre otras cosas, ingeniero preventa para una empresa de seguridad, especializada en la autenticación fuerte sin tokens. Sin embargo, dispongo de un catálogo de servicios profesionales, todos dedicados a la seguridad, en concreto, de consultoría, auditoría, asesoría, comunicaciones y redes, desarrollo de soluciones a medida y un largo etcétera… Ya sabes, #emprender, #iniciar, y todos esos hashtags 2 ó 3.0.

¿De dónde viene esa pasión, por hacer hacking a roombas, alarmas y todo aquello que se te ponga por delante?
Pues desde pequeño, siendo hijo único, aprendí donde guardaba mi padre un juego de destornilladores, alicates y demás herramientas que me permitían desmontar cualquier cosa con tornillos que cayera en mis manos, ver (o intuir) qué hacía por dentro, volverlo a montar,… y por supuesto luego tirar las piezas que sobraban ;D Si llego a tener hermanos, desmontamos la casa completa!

Ya algo más crecidito, el tema avanzó a elementos con cierta electrónica: radios, cargadores de pilas, ordenadores, etc,… y ahora directamente, lo que intento es hacerme la vida más cómoda. Suficiente tiempo se va entre las obligaciones laborales, ocio y vida social como para tener que estar apretando un botón para que la Roomba se encienda sola. Además, con el ruido que mete, no puedes hacer nada más. Así que, al no tener un trabajo con horario definido en el que la casa quede vacía todos los días a la misma hora, decidí darle vida propia a la Roomba, a través de la decisión tomada por un ordenador.

Se qué es difícil pero, ¿ A qué profesionales del ámbito nacional respetas más?
La lista sería tremenda, pero intentaré ser breve: Los respeto a TODOS. Quiero decir, que de todo el mundo aprendo algo cada día. Si tuviera que priorizar, empezaría por mis compañeros del blog Security By Default, Jose Selvi, Fermín Serna, Chema Alonso, Sergio Hernando, Dabo, la gente de 48bits, etc,…. Si ya te refieres a profesionales de seguridad de habla hispana, incluiría a Carlos Pérez (quien conduce Pauldotcom en Español), Jaime Andrés de Comunidad DragonJAR (no sé si te suena ;D), Emiliano de Spamloco, Marcelo Rivero de InfoSpyWare,…

¿A qué conferencias/congresos de ámbito internacional has asistido o dado una ponencia?
Pues la verdad es que como ponente me estreno este año en Rooted 2012 y en ACK Security CON en Manizales (Colombia). Como asistente he estado en las otras dos ediciones de Rooted, la NCN 2011 (en las que he participado como moderador de mesas redondas, cual Manuel Campo Vidal, pero con algo más de “vidilla”). También estuve como asistente en BlackHat 2010 en Barcelona, donde tuve la oportunidad de desvirtualizar a grandes figuras del sector a nivel internacional.

¿Qué le dirías a la gente que se quiere dedicar a la seguridad?
Pues principalmente, que si es su pasión y se le da bien, apueste todo al negro sin ninguna duda. Sin embargo, mi recomendación es que no sean, únicamente, consultores de 9:00 a 19:00, que vean más allá y que todo tiempo invertido en aprender cómo funciona algo, nunca es tiempo perdido. Evidentemente, hay vida más allá de los ordenadores, y otros seres humanos alrededor, con los que compartir (y a veces, perder) el tiempo

¿Qué opinas de la seguridad en España?
La seguridad en España, como he explicado en más de un post en SbD, algunas veces es para hacerse cruces. Muchas compañías primero miran qué han de hacer para cumplir las normativas que les afectan a su negocio, y luego ya veremos, si además, esos conjuntos de normas no tienen “gaps” o no son demasiado flexibles o simples,.. o simplemente ponen el foco en ciertas cosas, pero descuidan otros puntos de entrada, o hábitos de vida de los usuarios que son para echarse las manos a la cabeza.
Siempre hay excepciones que piensan antes de hacer las cosas y tienen en cuenta las posibles consecuencias, antes de que las sorpresas simplemente aparezcan y sea demasiado tarde.

¿Qué blogs de seguridad sueles frecuentar?
Espera que cambio de pestaña a mis RSS,… por orden alfabético: 48bits, Aerópago21, Apuntes de Seguridad Informática (Javier Cao), Caminando entre bits, Command Line Kung Fu, Conexión Inversa, Cyberhades, Hackaday, Kriptópolis, La Comunidad DragonJar, Pauldotcom, S21Sec, Seguridad Apple, Sergio Hernando, Un Informatico en el Lado del Mal, … entre otros.

¿Qué te parece la comunidad DragonJAR, la conocías de antes?
Como te mencioné antes, es uno de los blogs que sigo a diario en mis RSS. Es una de las referencias de seguridad de habla hispana y realizáis un gran trabajo todos vosotros… Últimamente, además, elegís gente “maja” a la que hacer entrevistas jejeje

Háblanos un poco de Security by Default, ¿tenéis algún proyecto en mente?
Schhhhh…. Si te lo dijera, tendría que matarte… ;D

Recomiendanos 2 libros técnicos y 2 libros no técnicos
Pues mira, como dos libros no técnicos, aunque relacionados con Seguridad Informática, es imperdonable morirse sin leer “El Huevo del Cuco” de Clifford Stoll .
Me encantó “El Ocho” de Katherine Neville. Por otra parte, como libros técnicos recomendaría “Firewalls and Internet Security, Repelling the Wily Hacker”, y ahora mismo estoy leyendo uno que me está gustando bastante: “Social Engineering: The Art of Human Hacking”

También puede interesarte...

• BackTrack 4 R2
• Taller de Alexander Díaz García en el ACK Security Conference
• FAQ – Preguntas Frecuentes sobre el ACK Security Conference
• Antesala de BarCamp Medellín 2009
• Drivers para Soporte Nativo de Tarjetas Broadcom en GNU Linux
• Descarga el libro Hacking Etico Gratis
• Memorias Securinf v2.0
• Todas las Revistas PC Actual en PDF

Hace un tiempo tuve la oportunidad de realizar una entrevista al staff de la Rooted CON, una de las mejores CON en espana y europa, muchos son quienes conocen este gran evento, pero como pasa casi siempre, se desconoce quienes son las personas que lo hacen posible (a no ser que salgan en un calendario torrido).

Espero que con esta pequena entrevista, podamos conocer un poco mas a los encargado de que la Rooted CON se realice cada año y sirva de espacio para compartir conocimientos y conocer gente interesada en la seguridad de la informacion.

Hola al Staff de la Rooted Con, ya queda muy poco para que den comienzo las conferencias y los rootedlabs en Madrid

Por si alguno todavía no lo sabe, explicadnos ¿Que son las conferencias de la rootedcon?

Es un Congreso de seguridad, con orientación principalmente técnica y
cuya premisa principal es tratar de sentar las bases de un principio
de neutralidad dentro del mercado de seguridad. Queremos que todo el
mundo (y subrayamos todo el mundo) pueda venir a poner en común sus
ideas, opiniones, técnicas, herramientas… de forma que hagamos de
verdad una Comunidad de seguridad.

También exponer al mundo la calidad de los expertos nacionales,
españoles, y de los expertos internacionales pero hispanoparlantes,
para acabar con el tópico absurdo de que lo “importante se hace en
inglés”. El Congreso dura tres días, generalmente ubicado para que
sean jueves, viernes y sábado. En los tres días anteriores al
Congreso, además, desarrollamos una serie de actividades formativas,
RootedLabs, sobre temas técnicos relevantes.

Actualmente, ¿Quiénes forman parte del Staff de la rootedcon?

Por orden alfabético:

• John “Hannibal” Smith ( )
• Omar Benbouazza Villa
• José Antonio Guasch
• Raúl Jover
• Sergio Muñoz
• Javier Olascoaga
• Román Ramírez
• Francisco Sáa Muñoz
• Arantxa Sanz Gil

¿Cómo lleváis los preparativos previos a la conferencia?

Bastante bien, aunque con los distintos agobios que conlleva organizar
“reuniones grandes” y, la parte mala, con los diversos impactos de las
fechas de cierre de patrocinadores, colaboradores, materiales y otros
temas. No siempre la gente va al ritmo que necesitas.

¿Cómo es llevar la logística de preparar unas conferencias, con tanta
afluencia de gente?

Lo más complicado con lo que nos enfrentamos (y es siempre igual todos
los años) es conseguir las cifras reales de aforo. Para poder poner un
precio a las entradas tenemos que conocer, a ciencia cierta, cuántas
personas vienen, de ellas cuántas son profesionales, estudiantes o
tienen descuentos. Lo tenemos bastante claro en proyecciones, pero las
proyecciones no son la realidad, lógicamente.

Este año, además, siguiendo las opiniones de los asistentes hemos
reducido patrocinadores y hay que tener claro que los costes del
Congreso son los mismos, luego hemos tenido que subir la entrada para
poder realizarlo. La decisión es complicada, porque una de nuestras
premisas a la hora de lanzar el proyecto fue darle espacio a los
estudiantes (y que no se enfrenten a pagos de 1.100 euros/día como
ocurre habitualmente).  Todas las decisiones sobre costes de entradas
ocupan mucho tiempo y diversos análisis de costes, por lo que puede
ser lo que más trabajo implica mentalmente.

Luego todos los temas de las Conchas Codan , camisetas y merchandising
general, zumos o el agua, toman su tiempo también.

¿Qué otros congresos/conferencias son de vuestro agrado?

Por supuesto, NcN. También solemos acudir a eventos más
profesionalizados como son Securmatica, las reuniones de ISMSForum…
Incluso algún congreso más cerrado y orientado a un público reducido

Creemos necesario e importante que cada vez haya más acciones
similares a RootedCON, NcN, Gsic… algunas de ellas locales, otras
nacionales… pero que haya más y con una calidad muy alta.

¿Tenéis algún proyecto para la RootedCon mas adelante?

Muchos. Pero como con todos los proyectos, el tiempo es un enemigo
bastante complicado de vencer. Algunas de esas iniciativas se han
planteado en el propio Congreso, como puede ser RootedForge, donde
queríamos motivar a la gente para que muestre/inicie las ideas que van
teniendo.
Otras aventuras en los que nos estamos volcando es en cerrar acuerdos,
colaboraciones y “hermanamientos” con otras organizaciones,
asociaciones, Congresos y organismos.

Y algún tema novedoso más que presentaremos, esperamos, en la siguiente
edición en marzo de este año.

¿Qué opináis de la seguridad informática en España?

En general, el sector tiene muchas carencias preocupantes. Nos llama
la atención todo el esfuerzo en comités, grupos de “acción”,
iniciativas y, resumiendo, “sitios donde aparecer y tener la
pegatina”, que no se concretan en ninguna acción o que no resuelven
problemas GRAVES con los que nos tenemos que enfrentar todos los días.

Ejemplos claros son las infraestructuras críticas (se sigue pudiendo
acceder a muchas de ellas sin autorización, desde Internet y con
privilegios peligrosos), la relación con los fabricantes, a los que
parece que nadie les exige responsabilidades por no reparar
vulnerabilidades críticas que se les comunican una y otra vez etc.
Echamos de menos más publicaciones técnicas y honradas, menos sujetas
a intereses comerciales o de patrocinadores. Y nosotros nos planteamos
hacerlo, pero nos encontramos con el problema recurrente de que no
tenemos tiempo para todo.

También observamos una balanza desequilibrada entre las figuras
nacionales y las figuras internacionales, parece que se hace crecer el
tópico de que tienen que venir de fuera a “darnos lecciones”, y
nosotros no estamos en absoluto de acuerdo con esta premisa; vemos que
hay una Comunidad de profesionales excelentes, con unos conocimientos
técnicos sin comparación que, en muchas ocasiones hacen presentaciones
de técnicas, 0days y herramientas que luego se muestran “como novedad”
en algún evento Anglo restando méritos a la labor previa.

Otro punto de mejora son las empresas, que se centran mucho más en el
Cumplimiento regulador que en la propia Seguridad, permitiendo la
exposición de sus recursos y activos (y llorando luego por los
rincones cuando tienen un incidente sobre el que, diversos auditores,
les habían prevenido).

Hay mucho trabajo que hacer, la verdad. Y no tenemos muy claro que
todos los jugadores en la Comunidad de Seguridad estén haciendo todo
lo que deben o, con mayor riesgo, que realmente sean esos jugadores
los que deben hacer y deshacer. Creemos que faltan elementos
aglutinantes que creen coesión en el mercado; es algo que intentamos
hacer en el Congreso y en las listas de correo, forzar a que todo el
mundo se involucre, pero no todos los jugadores tienen la misma
percepción de responsabilidad sobre tu trabajo que tenemos el resto.

¿Estáis de acuerdo con la última reforma de ley que surgió sobre
delitos informáticos?

Evidentemente no si observas nuestra primera mesa redonda en RootedCON
2010. Planteamos el tema porque nos preocupaba mucho el rumbo que está
siguiendo el marco jurídico y la tecnología. No entendemos cuál es el
motivo de elaborar legislación específica para la informática, hecho
que es un absurdo en sí mismo, porque nadie ha esbozado modificaciones
del Código Penal relacionadas con martillos, apisonadoras o lápices
(todos ellos elementos que pueden ser utilizados para la comisión de
diversos delitos que ya están tipificados).

Adicionalmente, tal y cómo vemos la redacción de esta reforma, hay
tantos huecos para evitar ser culpable o, peor, hay tantas zonas
grises para ser culpabilizado injustamente, que no comprendemos como
ha podido pasar el filtro más básico de los juristas (¿presiones
políticas?).

Preocupante es que todas estas reformas tengan, además, primas y
vecinas como pueden ser la infame Ley Sinde o las peores ACTA, SOPA o
PIPA. Para cualquier ciudadano que tenga un poco de sentido común debe
ser, al menos, sospechoso que se intenten reiteradas aprobaciones de
estos “marcos” (por llamarlos de alguna manera) en votaciones fuera de
contexto o “por la puerta de atrás” de la Comunidad Europea; y sin
necesidad de entrar en los cables de Wikileaks donde se deja claro
quién y cómo presiona para que se aprueben estos citados “marcos” de
espaldas a los intereses de los ciudadanos.

¿Qué blogs o webs en Internet sobre Seguridad os gusta seguir?

Muchas. Si te respondemos como Organización, pensamos que seguimos
casi todas las que hay. Obviamente Security By Default, con los que
tenemos una excelente relación y nos han apoyado desde el primer día,
DragonJar donde siempre encuentras curiosidades y herramientas, el
blog del “Maligno” (“El lado del mal”), Security Art Work, Reddit,
48bits, Hexale (Hernán Ochoa)…

¿Podéis nombrar, para vosotros, a los mejores hackers de la scene
Española?

Es una pregunta bastante complicada, ¿hackers profesionalizados,
hackers del underground? Para nosotros la “scene” o Comunidad es todo,
tanto la gente que se dedica a la seguridad en el entorno empresarial
como los que están en el underground y, ¿qué ocurre con los hackers
que están en fuerzas del estado y que, por motivos evidentes, no
pueden darse a conocer?

Hay gente extremadamente buena en 48bits, por ejemplo, pero también
gente extremadamente buena en fuerzas del estado, en empresas y, para
qué evitar la cuestión, en el lado de los “malos”.

Ahora la última pregunta es para saber si estáis al día

¿Cual fue el primer congreso de Seguridad informática que se hizo en
España?

Sin duda Securmatica, año 1990. Y, un poco posteriores pero más
técnicos, podríamos hablar de las Undercon, la propia NcN o las
calçotadas de Apostols en Lérida.

Espero que les gustara esta entrevista y dejen sus comentarios si desean tener mas entrevistados como el staff de la Rooted CON…

También puede interesarte...

• Crónica tercer día de Conferencias RootedCon 2012
• Otros 100 Millones para Novell de parte de Microsoft
• Wallpapers Comunidad DragonJAR
• Problema de Seguridad en BIOS de Boards Intel
• La vida en modo texto II
• Taller de Lorenzo Martinez en el ACK Security Conference
• Las APIS de Microsoft al Descubierto!!
• ClaveHotmail.com cometiendo delitos desde el 2007

Jorge Uyá es Ingeniero Electrónico, con calificación “summa cum laude” por la Universidad Simón Bolívar de Venezuela, especialista en Dirección Estratégica en las Tecnologías de la Información y las Comunicaciones, por la Universidad Politécnica de Madrid, e instructor certificado de CERT/CC (Universidad Carnegie Mellon de EEUU), Certificado CISA por ISACA y Certificado de ISO 17799 Auditor por Applus.

En la actualidad es responsable del desarrollo de los proyectos de consultoría y asistencia técnica en seguridad de la información, creación y administración de centros de respuesta ante incidentes (CERTs) y protección de infraestructuras críticas informáticas de TB•Security, colaborando con TB Solutions en el desarrollo de proyectos de firma y certificación electrónica.

La entrevista la concede desde Chile donde se encuentra junto con nuestro querido amigo SamuraiBlanco en un congreso organizado por la OEA (Organización de Estados Americanos) sobre ciberseguridad respuesta a incidentes y CERTs (Equipo de Respuesta a Incidentes)

También puede interesarte...

• Moka5 tu Maquina Virtual en una Memoria USB
• FWAuto, herramienta de auditoría de Firewalls y análisis de reglas
• Informática Forense como medio de pruebas
• Apple sigue sin parchar la vulnerabilidad de DNS
• Procedimientos De Obtención De Evidencia En Windows
• Nuestros Retos Forenses
• Cuentas Premium de Megaupload, Rapidshare, Hotfile, Fileserve, FileSonic
• Publicado Debian 5.0 “Lenny” Stable

Andrés Eduardo Ormaza Mejía es abogado bogotano egresado de la Universidad Santo Tomás, especialista en Derecho Penal y Criminología de la Universidad Externado de Colombia.

Su participación específica en materia de delito informático data de septiembre de 2006, en el marco del análisis coordinado en Colombia por el Ministerio de Relaciones Exteriores, con el objeto de avanzar en la implementación de la Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética, en cuanto a la Creación de una Red Hemisférica de Equipos Nacionales de Respuesta a Incidentes de Seguridad de Computadores, en el cual se puso de presente la necesidad de adecuar la normatividad interna a los parámetros internacionales, en particular frente al denominado cybercrime.

A partir de la fecha ha integrado las mesas de trabajo interinstitucionales encargadas de estudiar el marco jurídico internacional y los avances normativos internos, entre ellos, el proyecto de ley gestado en el Congreso de la República, y que dio lugar a la aprobación de la Ley 1273 de 2009.

En la entrevista Andrés nos habla sobre la ley de delitos i nformaticos, habeas data y la ley 1273, ademas de resolver gran cantidad de dudas sobre estas leyes.

También puede interesarte...

• Ver Campus Party Colombia en Vivo
• Como ganar dinero con Software Libre
• OLPC y Sugar en Colombia
• Ganadores de las entradas a la Campus Party Colombia
• Inscripciones para La Campus Party Colombia 2009
• La Comunidad DragonJAR te lleva a la Campus Party
• 2do Festival de Cultura Libre y Software Libre
• Consejos Simples de Seguridad para ir a la Campus Party

Existen distintos profesionales relacionados con la seguridad, por esta comunidad ya hemos hablado de varios de ellos. Después del libro publicado, Fraude Online, no podíamos dejar pasar la oportunidad de hacerle una entrevista a estos dos cracks. Dani y Mikel, trabajan en el equipo de e-crime de la empresa S21Sec.

Ahora a por la entrevista:

¿Quienes son Dani Creus y Mikel Gastesi?

Dani:

En mi caso (Dani) puedo decir que soy un humano de treinta y algo
años al que le fascinan los sistemas informáticos, las redes y en
especial la seguridad en cualquiera de sus disciplinas. Tengo la
suerte de llevar varios años trabajando con Mikel en el
departamento de e-crime de S21sec junto con otros profesionales de
los que cada día aprendo algo.

Mikel:

Mikel es un chico de 30 años, siempre interesado en el funcionamiento de
las cosas, en como darles una vuelta de rosca, y eso ha terminado en la
pasión por la seguridad informática.
Fuera de esta vida me considero un chico normal, al que le gusta salir con
sus amigos, etc. Me gusta el fútbol, más bien el Osasuna, y un hobby sería
el ajedrez, al que me toca dedicarle algo de tiempo para poder mejorar un
poco
Profesionalmente, al igual que Dani, tengo la suerte de llevar varios años
trabajando con él y el resto de compañeros, que además de formar un grupo
impresionante, siempre aprendes algo, y es una suerte poder estar en él.

¿Como empezasteis en el mundo de la seguridad y concretamente en un departamento de e-crime?

Dani:
Como mucha gente del mundillo la aventura empezó como un
hobbie…si tuviera que poner un punto de partida, quizás seria el
día en el que llegó a mi casa el MSX. Al contrario de la mayoría
de mis amigos humanos “físicos”, me dediqué a estudiarlo un poco
más allá de su “superfície”. después ya tuve que buscarme otros
amigos.

El “hobbie” fue consumiendo cada vez más tiempo hasta que **sin
saber como** me adentré en el mundo de la seguridad. Tras varios
años de “”prácticas”" , decidí que quería que mi trabajo fuera
relacionado con el tema. Los masters Vicente Díaz (ahora en
Kaspersky) y David Barroso (ahora en Telefónica) me dieron la
oportunidad de formar parte del equipo de e-crime en el que he
conocido a autenticos amigos y profesionales.

Mikel:
Como bien dice Dani, la mayoría de los que estamos en esto es porque nos
gusta desde antes de trabajar en ello, y no voy a ser la escepción. Yo
empecé un poco más tarde, ya que mi primer ordenador fue un Pentium I a 75
MHz si mal no recuerdo. Fue cogerlo, trastear, buscar información… y tal
vez la referencia más importante en cuanto a mi afición por la
seguridad lo establecería al conocer la página de karpoff, los manuales de iczelion…
Ya el proyecto de fin de carrera lo centré en el tema del unpacking, lo
cual pudo ayudar a conseguir una curiosa entrevista de trabajo con David
Barroso. En ella conseguí un puesto en S21sec como investigador de
seguridad, y pasé a formar parte del departamento de e-crime un año
después.

¿Una pequeña definición de e-crime?

Dani:
mmmm, cualquier acto ilícito y/o ilegal que se lleve a cabo en un
sistema informatizado o a través de él. A partir de aquí,
podríamos definir de manera más o menos estricta su significado.
Algo importante es dejar claro que el fraude online es solamente
un sub-grupo de todos aquellos delitos que incluye el concepto de
e-crime (extorsión, espionaje,etc.). Si le partes el teclado a
alguien en la cabeza, o le tirás el portatil a la rodilla, no es
e-crime.

Mikel:
Me ha gustado la definición de Dani. El contenido del término
e-crime es muy amplio, y a veces no se utiliza correctamente por aplicarlo
solamente a un área, ya sea espionaje, fraude, etc.

Aunque es una pregunta muy ambigua, ¿Estamos seguros en Internet?

Dani:
Uff….Mi punto de vista no es en absoluto objetivo. Tras varios
años en el que en tu día a día solamente ves fraude, fraude y más
fraude y cada vez más sofisticado, cualquier respuesta a esa
pregunta estará MUY condicionada. Como somos muy optimistas,
diremos que con un mínimo de buenas prácticas y sentido común ,
podemos estar un poquiito más .

Mikel:
Si tomamos unas medidas básicas de seguridad, y añadimos un poco de
concienciación a la ecuación, se puede conseguir un nivel razonable de
seguridad. El usuario doméstico debe protegerse principalmente de ataques
indiscriminados, y el desconocimiento y/o despreocupación por la seguridad
le puede traer disgustos. Por otro lado están los ataques dirigidos. Si
echamos un ojo a la larga lista de grandes empresas “tocadas” este año,
vemos que éstas no pueden permitirse tomarse la seguridad a la ligera, y
vemos que tampoco es sencillo defender todos los frentes, empezando por la
defensa ante ataques de ingeniería social, pero esto no implica que el
grado de seguridad no sea alto.

¿Podeis explicar algunos de los casos mas sonados en los que se haya cometido fraude?

Dani:
xD.NO. Aunque seguramente o Zeus o SpyEye y un dominio .cc y/o .ru
habrán intervenido.

Mikel:
Jejeje. Tampoco me voy a meter con casos concretos, pero comentar que
muchas veces el objetivo no es dar un gran golpe y jubilarse, sino que es
robar de aquí y de allá y hacer montón, con calma, y pensando que es tu
trabajo de 8×5, por lo que muchos casos importantes pasan inadvertidos si
no hay una inteligencia que relaciones todos esos robos.

¿Se invierte dinero en mejorar infraestructuras que ayuden a prevenir el fraude, campañas de concienciación, seguridad en las aplicaciones etc..?

Dani:
Aunque sabemos que algo se está haciendo, sin duda queda un
laaaaargo camino por recorrer. Debido a la naturaleza de este tipo
de delitos , es especialmente importante potenciar los niveles de
cooperación entre los implicados tanto a nivel público como
privado (proveedores de servicio,gobiernos,empresas de
seguridad,etc.) que dicho hoy en día , parece menos probable que
atropellar a un unicornio. El objetivo sería facilitar la
gestión/análisis de este tipo de incidentes a nivel internacional.

Mikel:
Sí que se invierte, pero todavía queda mucho que recorrer, y es que,
como dice Dani, las limitaciones geográficos evitadas gracias a
internet no lo son así a la hora de investigar, analizar y protegerse de las amenazas.

Fuera de lo técnico ¿me podrías recomendar algún libro o grupo de música?

Dani:
Cualquier libro de Douglas Preston y Lincoln Child. Pendergast
mola++. Casi cualquier tipo de música. Sobretodo : cualquier
serie/mini-serie (debidamente comprada solamente 6 años después de
su estreno en USA, por supuesto. De lo contrario dios se carga a
13 gatitos).

Mikel:
Si me tengo que mojar con un libro y un grupo, a día de hoy te diría
“Crimen y castigo” de Dostoyevski, y un grupo, Rise Against.

Dani, se que eres un jugon, igualmente junto con Mikel, ¿Podéis decirme juegos que os hayan robado mucha parte de vuestro tiempo?

Dani:
Que daría yo por ser un jugón !! Por desgracia la falta de tiempo
hace que sea un jugador muy “puntual”. Recuerdo con mucho cariño
los típicos de hace eones como Abu Simbel Profanation, Freddy the
Hardest, Golden Axe, La abadía del crimen….De otra época ,
alguna aventura del Indiana Jones (Fate of Atlantis era genial)…
a otro nivel , sin duda, cualquier Half Life fue una experiencia
brutal. Últimamente mato hordas de zombies en el Call of Duty Black
Ops.

Mikel:
Yo no soy para nada jugón. Mi última consola ha sido la mega drive, en
la que metí horas al Street Fighter, y en su día jugué algo al Commandos,
pero hace muchos años ya que solo juego a algún juego que pueda dejar
a los 5 minutos, como alguno de fútbol o una carrera de coches, aunque no tengo
consola ni ningún juego instalado. Juegos como el unblockme para móvil sí
que ayudan a pasar esos ratos muertos en los que no quedan feeds RSS por
leer.

¿Podéis hacer un previsión de futuro, de como avanzará el mundo del fraude?

Dani:
Yo no me atrevo. Aunque otra buena pregunta sería : ¿Seguirán los
“”malos”" dos pasos por delante ?

Mikel:
Parece que por fin las amenazas empiezan a afectar a los móviles. Hemos
visto ya robos del mTAN (SMS que nos envía el banco para confirmar una
operación) en Symbian, BlackBerry, y Android, y el malware para Android
empieza a abundar.

Es evidente que si una nueva plataforma empieza a ser importante, será
atacada, y mientras la amenaza no sea conocida por el usuario es
doblemente peligrosa. Y, por supuesto, los “malos” tratarán de aprovechar toda
posibilidad de engaño para lucrarse.

Hasta aquí al entrevista de Mikel y Dani, si queréis adquirir el libro sólo tenéis que comprarlo a través de la web de Informática64
Comprar libro Fraude Online

A continuación os pongo un trozo del libro para que vayáis teniendo mas ganas de tenerlo entre vosotros:

“Dentro de estos grupos organizados, algunas de sus características pueden resultar familiares, como la estructura jerárquica, la diversificación de las tareas, el carácter global o el fuerte sentimiento de permanencia a la comunidad. En cambio, otras características marcan una diferencia esencial en cuanto a agrupaciones delictivas tradicionales, ya que generalmente son de relativamente fácil accesibilidad y tienen cierta predisposición a crear nuevas asociaciones y expansiones.
Bienvenidos a la época del fraude profesional, la era de la mafia open-source“

También puede interesarte...

• Webinario gratuito sobre Seguridad Informática, CEH y CyberSecurity
• WifiSlax 4.1
• Consejos Simples de Seguridad para ir a la Campus Party
• Talleres del ACK Security Conference
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online
• Curso Gratis de Seguridad y Redes en el Sena Virtual

Ese es el titulo que decidieron darle al reportaje sobre delitos informáticos y en especial del famoso caso de “Sophie Germain”, donde participé con una pequeña entrevista para aclarar las cosas y el pensamiento popular sobre la seguridad informática.

• No soy desarrollador web (de hecho no se de donde sacaron esa información), soy ingeniero de sistemas y telecomunicaciones enfocado en la seguridad de la información.
• Hay un error cuando dicen “Keylog” para referirse a un Keylogger

Orignalmente pensaba que la entrevista seria mas larga (de hecho envié varios videos con diversas técnicas que no se usaron), igual me parece que quedó muy bien, se nota el trabajo y profecinalismo de los productores.

Testigo Directo se emite en mas de 6 canales a nivel nacional y en Caracol Internacional, aunque no conozco los horarios, seguro que alguno podrá ver el programa en uno de ellos.

PD. Quiero agradecer a Fabián Yañez por tenerme en cuenta para el reportaje y hacer lo posible para que saliera al aire.

También puede interesarte...

• Webinario gratuito sobre Seguridad Informática, CEH y CyberSecurity
• La Comunidad DragonJAR te lleva a la Campus Party
• Así fue el ACK Security Conference 2012 – Día IV
• Así fue el ACK Security Conference 2012 – Día III
• Así fue el ACK Security Conference 2012 – Día II
• Así fue el ACK Security Conference 2012 – Día I
• La Comunidad DragonJAR ahora es aliada de Cyttek / EC-Council
• Nuevas Capacitaciones del proyecto Hacking Day

Hackers Are People Too es un documental que reivindica no solo a los hackers, sino también al hacking como actividad, reclamando los espacios que se han ganado en los adelantos tecnológicos e informáticos de la actualidad. Un documental que intenta luchar contra la ignorancia y el miedo sembrado por los medios, que los ha mostrado sea como seres malvados capaces de violar bebés ciegos o como nerds vírgenes mantenidos por sus madres. Pero los hackers también son personas, y nosotros reflexionamos un poco sobre el tema.

Hackers Are People Too fue inspirado por una “conversación” que Ashley Schwartau, el director del documental, tuvo con uno de sus profesores. Al pedirle permiso para faltar un día para ir a Shmoocon, una conferencia hacker, el “catedrático” se escandalizó. “¿¡HACKERS!? ¿Como en….*suspiro dramático* hacker de ordenadores? ¿Tienen CONFERENCIAS? ¿Y qué hacen ahí? ¿Tratan de hackear los bancos y entrar en redes para robar tarjetas de crédito?” Ashley, en ese momento, se dio cuenta que debía poner su granito de arena para rectificar la cosa. Y así nace su crónica, que puedes ver debajo.

Encontre unos subtitulos de mala calidad en español, pero para quien no tienen mucha idea del ingles, le puede ser util, sirven para este archivo de bittorrent.

Más información>>

También puede interesarte...

• En busca de Hackers, documental
• ¿Hackers en Colombia?
• Las mejores 20++ películas Hackers
• Libro: Internet, Hackers y Software Libre
• Ciberguerra
• Documental sobre Arduino en Español
• Documental Wikileaks en Español
• Hacking Ético de Vídeo Juegos

El Instituto de Ciberseguridad de Norton es una iniciativa mundial que busca en colaboración con las autoridades policiales de cada país, los  grupos de consumidores y el grupo de Ciberseguridad de Norton, luchar contra el delito cibernético para hacer cumplir la ley utilizando como herramientas la capacitación gratuita, los conocimientos técnicos con los que cuenta Norton y la cooperación global entre entidades.

En el siguiente video, podemos ver una entrevista realizada por 120 segundos a Adam Palmer el Norton Lead Cyber Security Advisor y a Bruno Rossini el Public Relations Manager para Latinoamérica de Norton quienes nos hablan sobre las iniciativas para combatir este tipo de crímenes y cómo debemos actuar en caso de ser víctimas de un delito informático  ¿cómo se maneja este tipo de delitos en tu país?

Mas Información:
The Norton Cybersecurity Institute
Norton Unveils Global Initiative to Combat Cybercrime

También puede interesarte...

• Norton saca servicio de DNS Publico
• Norton AntiBot Gratis, evita que secuestren tu equipo