Entrevista a Sergio de los Santos de Hispasec
¿Quién no conoce Hispasec? ¿Una-al-día? Y, cómo no ¿Virustotal.com? Seguro que vosotros, lectores de DragonJAR, habéis oído, leído o visitado alguna vez por lo menos uno ellos. Con todos estos servicios o páginas está relacionado el entrevistado de hoy: Sergio de los Santos.
Sergio, es un placer tenerte aquí en DragonJAR como entrevistado. Muchos, entre los que me incluyo, hemos usado muchas veces VirusTotal, consultado la documentación de " Una-al-día" y leído atentamente el Blog de Hispasec. También, hemos leído el libro editado por Informática64, "Máxima Seguridad Windows: Secretos Técnicos" que has escrito.
Para los que no lo sepan, ¿Quién es y a qué se dedica Sergio de los Santos?
Trabajo en Hispasec. Como soy de los más antiguos, me dedico un poco a todo y he acabado coordinado algunos servicios (SANA y el servicio de antifraude, entre otros "no tan públicos"), y también he terminado responsabilizándome de una-al-día.
Explícanos un poco qué es Hispasec, VirusTotal y Una-al-día.
Hispasec es una empresa diferente, muy técnica, que ofrece servicios de seguridad principalmente a grandes cuentas. No somos muy grandes ni estamos sometidos a una jerarquía demasiado fuerte. Para mí eso es fundamental, y una de las razones por las que me siento cómodo. Creo que eso se refleja en el trabajo final a los clientes.
Virustotal es un proyecto dentro de Hispasec. Se trata de un servicio gratuito que permite enviar un fichero y que sea analizado por más de 40 motores antivirus. Comenzó en 2002, se hizo público en 2004 y hoy en día, se ha convertido en un referente internacional. Recibimos unas 300.000 muestras diarias, y tenemos una base de datos de decenas de terabytes de ficheros.
Una-al-día es otro servicio gratuito de envío de noticias de seguridad diarias, y una de mis debilidades. Ahora mismo me encargo de coordinar el estilo, la redacción y otros aspectos del boletín, que se ha convertido en un referente sobre seguridad e habla hispana... lo que me parece una gran responsabilidad.
¿Hace falta ser ruso para trabajar en un equipo de e-crime :P?, ¿Qué perfil crees que es el más adecuado?
Para trabajar en un equipo de antifraude hace falta, sobre todo, trabajar en equipo. Los conocimientos son importantes, pero en Hispasec valoro sobre todo el trabajo colectivo que redunde en un mejor servicio. Las experiencias con personas que se suponen tenían grandes conocimientos, suelen ser nefastas. A veces, lo anteponen a cualquier otro aspecto, y a la larga, se convierte en un lastre para un equipo. Supongo que como en cualquier campo.
¿Crees de verdad que las casas de antivirus se aprovechan de la inexperiencia de los usuarios y venden "La panacea"?
Las casas antivirus hacen su trabajo: vender software. No hay que culparles por ello. Sin embargo sí que creo que "algo no funciona" actualmente. En los 90, cuando todos éramos un poco más ingenuos, la publicidad antivirus era muy pretenciosa ("100% de efectividad", "seguridad total", etc). Hoy, con la batalla del malware perdida, suelen ser mucho más discretos. Y digo "batalla perdida" porque ha quedado demostrado que confiar exclusivamente en el antivirus no sirve para nada, cosa que en aquellos tiempos intentaron hacer creer. Yo creo que el asunto de la seguridad en Internet se está convirtiendo en algo muy serio. No hablo de solo de la "ciberguerra" sino de la banca online y la privacidad. Con este panorama, la publicidad debería estar "controlada" en cierta manera.
Imagina que una compañía vendiera cinturones de seguridad con una publicidad irresponsable. Imagina que los usuarios de coches potentes estuvieran convencidos de que es imposible empotrarse contra un muro a 230 km/hora por muy borrachos que fuesen... porque llevan ese cinturón tan especial que anuncian en al tele.... Eso es lo que ha conseguido la nefasta combinación de la ingenuidad del usuario y el marketing antivirus.
Los antivirus son necesarios, pero hay que entender para qué sirven y sus limitaciones.
Después de haberte peleado tanto tiempo con el sistema operativo de Microsoft Windows, ¿crees que la cosa va a mejor? La gente de Redmon hace progresos con la seguridad de Windows? ¿O es cierto lo que siempre se dice, y es que el sistema operativo mas fácil de infectar?
Windows 7 es un enorme sistema operativo. Usable y seguro. Hoy, es tan sencillo/complicado de infectar como cualquier otro. A la gente le cuesta mucho desprenderse de sus prejuicios. Microsoft creaba, hasta hace pocos, años sistemas operativos de juguete, de los que ni merecía la pena hablar en términos de seguridad. Daban pena. Ahora, se ha puesto las pilas y de qué manera. Y todos sabemos que Microsoft tiene los recursos y la experiencia como para pasar por encima de cualquiera cuando se lo propone. Hace tiempo que se ha propuesto hacer sistemas operativos robustos, y gestionar muy bien la seguridad (a todos los niveles: programación, ciclo, respuesta, parcheo, información...) Apple no lo está haciendo (de hecho está tropezando en las mismas piedras que Microsoft hace 10 años) y las distribuciones Linux tienen un gran potencia, pero también la desventaja de que no se están unidas y pierden fuerza (para imponerse en el escritorio)...
El problema en una cultura tan arraigada en las "creencias" basadas en informaciones parciales, pasionales y a veces sesgadas, es que si no criticas a Microsoft porque así "se ha hecho siempre y si no, es que no entiendes de informática" o incluso si no alabas a otros sistemas operativos, te miran "raro"... como si tuvieras algún tipo de interés oculto. Esto es fanatismo. Pero el hecho es que Microsoft es un referente de seguridad de escritorio actualmente... y es algo en lo que casi todos los profesionales independientes de la seguridad coinciden, no es cosa mía exclusivamente.
Háblanos de tu libro "Máxima Seguridad en Windows" ¿Por qué este libro, qué pretendes hacer entender a la gente que lo lee?
Lo primero, que no es un libro con los típicos consejos de seguridad para usuarios "habituales". De esos hay muchos, y creo que se han demostrado lo bastante ineficientes como para descartarlos como alternativa seria a quien quiera un Windows "seguro". En "Máxima seguridad en Windows", ni siquiera se recomienda un antivirus en ninguna página. Se intenta trabajar exclusivamente con las herramientas integradas de Windows, entenderlas y ponerlas en práctica. Y sobre todo, conocer las amenazas. La principal premisa para fracasar en seguridad se resume en una frase que me hizo conocer Julio Canto "al que solo dispone de un martillo, todos los problemas le parecen clavos". El martillo es el antivirus de mucha gente. No todos los problemas son clavos, ni se solucionan con un martillo. Creo que Windows 7 permite construir un sistema operativo extremadamente seguro sin apenas herramientas de terceros. Y si las pones, mejor, siempre que sepas para qué sirven.
La idea es saber qué trae Windows y cómo sacarle el máximo provecho. Y resulta que es suficiente para hacer frente a buena parte de las amenazas de hoy.
¿Que opinas de la seguridad en España, crees que la cosa va a peor o que cada vez estamos mejorando?
Va a peor. Que en 2012 existan plagas como las del virus de la policía, o que Zeus y SpyEye sigan siendo omnipresentes... da que pensar. Han fallado las actualizaciones (las de Java), los usuarios (que no aseguran su navegador), los antivirus (que no han reconocido ni el exploit usado ni el malware en sí...). Estas cosas no deberían estar sucediendo o al menos no a esta escala.
¿Que "hackers" de la scene Española dado su trabajo respetas más?
A los que no se creen parte de la scene ni de la comunidad. Normalmente están en su puesto, aprendiendo y disfrutando de lo que les gusta. He tenido la suerte de trabajar con varios: Francisco Santos, Bernardo Quintero, Emiliano Martínez, David García, Fernando Ramírez... estos son a los que más respeto. Luego, a nivel global, me gusta el trabajo de Didier Stevens y Mark Russinovich.
¿Que consejo le darías a alguien que se quiere dedicar a la seguridad hoy en día?
Que, durante un buen tiempo, cierre la boca y abra muchos los ojos y las orejas. Y que empiece cuanto antes. Se está llegando a un nivel que cada vez cuesta más eludir sistemas, descubrir vulnerabilidades... Ya no es como en los 90... creo que en un tiempo, solo los muy muy buenos podrán aportar algo al mundo de la seguridad.