martes, julio 18, 2017

Una entrevista a Yaiza Rubio antes de DefCON & BlackHat

Hoy estoy en Las Vegas, lugar que pronto será tomado por hackers de todo el mundo para disfrutar de BlackHat y DefCON, las dos conferencias más míticas de la historia. Yo he tenido la suerte de estar muchos años participando en ellas, y para mí siempre fue una maravilla. Este año, varios investigadores de ElevenPaths estarán por allí. Claudio Caracciolo y Sheila A. Berta del equipo de Buenos Aires, y Félix Brezo y Yaiza Rubio de la oficina de Madrid.

Figura 1: Una entrevista a Yaiza Rubio antes de DefCON & BlackHat

Aprovechando que estoy cerca de ellos, he querido hacer una pequeña entrevista a Yaiza, la primera mujer hacker de España que va a participar en estas conferencias. Una persona muy importante para nuestro equipo de Ciberseguridad en Telefónica, dentro de los analistas de ElevenPaths. Estas son las preguntas y estas son las repuestas.

Saludos Malignos!

1.- Sabes que eres la primera mujer de Telefónica y de España que va a dar una charla en Defcon, y para mí es un orgullo que seas de ElevenPaths, pero la pregunta que se hacen muchos es cómo se llega ahí. ¿Qué has estudiado para tener los conocimientos suficiente para lograr esto?
Te aseguro que hay caminos más directos que el que he hecho yo. Yo soy licenciada en Ciencias de la Información, Máster en Análisis de Inteligencia, Máster en Logística y Economía de la Defensa y Máster en Derecho Tecnológico y de las TIC. Estuve trabajando en S21sec e ISDEFE, pero fue a raíz del 2013 cuando entré en la unidad de ciberinteligencia de Telefónica cuando comencé a pegarme con esto de verdad. 
Como muchos, compaginaba el trabajo con formaciones, en mi caso, de hacking y de análisis forense, pero la realidad es que la mayoría de los conocimientos que tengo son a raíz de haber tenido cierta inquietud sobre algo que me ha parecido importante aprender.
2.- Y de ahí, ¿cómo llegaste a meterte en este mundo? ¿Qué te hizo acabar aquí?
Fue de pura casualidad. Félix y yo nos conocimos en el Máster de analisis de inteligencia. Con él fui adentrándome poco a poco en este mundo. Yo trabajaba en ISDEFE, en la unidad de desarrollo de negocio de la industria española de defensa y seguridad, y Félix en el laboratorio de seguridad que la Universidad de Deusto.
Nunca se me olvidará el día en el que Félix me llamó para decirme que se había encontrado con David Barroso y le dijo que estaban montando en Telefónica una unidad de ciberinteligencia. A la semana estábamos trabajando con Carlos Díaz y David Prieto en cómo montar lo que hoy es el servicio de CyberThreats de ElevenPaths.
3.- Eres una persona de gran importancia para ElevenPaths y Telefónica en el área de la Seguridad, ¿cómo se lleva la presión con eso? ¿No te da cierto vértigo?
Tampoco es para tanto. Por suerte, en Telefónica tenemos gente que lleva desde hace muchos años dedicados a la ciberseguridad como es tu caso, el de Pedro Pablo Pérez o Alejandro Ramos. El hecho de que nos hayan cogido en las dos mejores conferencias del mundo simplemente es un síntoma de que lo estamos haciendo bien.
4.- Y con tu primera experiencia en Defcon en unos días, ¿Qué es lo que más te asusta? ¿Qué es lo que más te motiva?
Lo que más me motiva es mirar atrás y ver mi evolución. Este viaje es un premio a la actitud de trabajo y la capacidad de aprender todos los días. En realidad me asustan muchas cosas, pero si lo dejara para cuando piense que estoy lo suficientemente preparada al final acabaría no haciéndolo.
5.- Resúmenos un poco de que es lo que vais a hablar en DefCON y qué es lo que vais a presentar en el BlackHat Arsenal, que también vas a estar por allí.
En BlackHat mostraremos OSRFramework. Un conjunto de herramientas de software libre con el que venimos trabajando ya cuatro años y que dan soporte a los procedimientos de investigación sobre la huella digital de ciberidentidades con presencia en la red. 
Por otra parte, en Defcon profundizaremos en el proceso de preparación de un ataque de phishing el que los atacantes verán protegida su identidad apoyándose en tecnologías como Tor y la explotación de malas prácticas en la gestión de enlaces difundidos a través de redes sociales. Aunque lo hemos notificado a varias plataformas, pocas han corregido un fallo que proporcionaría una mayor seguridad a los usuarios.
6.- ¿Cómo es el día a día en ElevenPaths?
Imposible aburrirse. En mi caso, estoy muy enfocada a la investigación pero eso no quita que como analista deba trabajar conjuntamente con el resto de áreas como innovación, producto o desarrollo de negocio. Al final nos dedicamos a la venta de servicios y productos de ciberseguridad.
7.- Además, también te animaste a escribir un libro para 0xWord sobre BlockChain con otro grande, Félix Brezo. ¿Esto cuenta como hobby o como trabajo?
Es un hobby con mucha responsabilidad. Además, esta editorial se diferencia por proporcionar a sus lectores una aproximación práctica de la seguridad. No quieren ni casos de uso ni ideas que en un futuro se puedan implementar. Invierten su dinero para que después de seguir el libro tengan cierta soltura en un tema. 
Figura 2: Libro de Yaiza y Félix sobre BlockChain & BitCoin
Desde el punto de vista del que escribe, implica mucho más trabajo planteando retos para que el lector no pierda el interés sobre el tema.
8.- BlockChain es un tema muy de actualidad, y tú llevas años con Félix estudiándolo. ¿Cómo crees que va a cambiar el mundo en los próximos años?
Sin duda están surgiendo, con ciertas dudas, nuevas oportunidades relacionadas con esta tecnología. Sin embargo, desde el punto de vista de la seguridad, es probable que lleguemos a ver dentro de poco diferentes aplicaciones maliciosas que, con el objetivo de perpetuar la comunicación entre víctimas y administradores, utilicen la cadena de bloques. 

Figura 3: Charla de Yaiza y Félix sobre BlockChain & BitCoin en RootedCON
De la misma manera, con el auge del ransomware llevamos unos cuantos años sufriendo el anonimato de Bitcoin. Es triste pero antes de WannaCry no nos llegaban tantas peticiones de gente interesada en conocer cómo investigar los pagos en Bitcoin.
9.- Los que tenemos el veneno éste de la tecnología estamos siempre pensando en lo siguiente. En el To-Do list tenemos muchas cosas. ¿Qué hay en la tuya?
Blackhat y Defcon es una primera toma de contacto. En el futuro esperaremos llevar investigaciones que nos permitan competir con los mejores analistas de seguridad del mundo. Respecto a mi To-Do list personal, me gustaría invertir más tiempo en el proyecto de Cibercooperantes de INCIBE. Es importante promover la sensibilización de los riesgos de internet entre niños, padres y profesores. 
Ayudar a la gente que tienes cerca con tu experiencia es muy necesario, pero para cambiar las cosas también es necesario influir en aquellas personas que toman decisiones y que nos marcan las reglas del juego constantemente y a vaces sin el conocimiento necesario. Principalmente porque es imposible que puedan abarcar tantos temas y tan complejos. También, poco a poco completar asignaturas de la carrera de derecho que estoy haciendo, así como continuar con mis clases de árabe que ya son cuatro años los que llevo con este idioma infernal. 
¡Ah! Y no todo va a ser seguridad. En noviembre juego el campeonato de España de Padel junto con mi compañera de Telefónica de España Elena Sumastre. ¡Seguro que haremos un buen papel!
10.- ¿Quiénes fueron tus referentes?
Seguro que mucha gente que lee este blog sabía desde pequeño que quería dedicarse a la seguridad. Yo, no. Yo he tenido la suerte de conocer a mis referentes en el día a día como un tal Chema Alonso, Pablo González, Sergio de los Santos o Antonio Guzmán.
11.- Sabes que eres un referente ahora tú para las futuras generaciones, y sabes que yo tengo una niña de 9 años preciosa que ya hace pinitos con Arduino. Tú, que has sido niña y has tenido 9 años seguro que sabes mejor que yo que pasa por su mente. ¿Qué le dirías a las niñas de 8 a 12 años que hacen sus pinitos con la tecnología?
Más bien es qué le diría a sus padres y profesores. Al final, la capacidad de influencia en los jóvenes se encuentra en su círculo más cercano. Todo se fundamenta en proyectar entre los pequeños el valor de la constancia y que sus familiares se esfuercen también en fomentar esa primera experiencia positiva con la tecnología. El objetivo es que este sector sea una opción entre las jóvenes cuando crezcan. No aparecen Nadales de la nada sin un entorno favorable y sin perseverancia. 


Figura 4: Yaiza es una de las mujeres hacker

No es la primera vez que me piden mi opinión sobre por qué hay tan pocas mujeres que dediquen a lo que hago yo. Creo que Amy Cuddy, psicóloga en Harvard, dió con la clave. Las niñas cuando llegan a los 12 años cambian su lenguaje corporal porque de repente pierden seguridad. El entorno debe tener muy en cuenta este detalle porque cualquier comentario negativo sobre su valía o sobre la tecnología puede ser decisivo para no generar en ellas ese gusanillo que se necesita para querer aprender diariamente sobre esto.
12.- Para terminar, me tienes que recomendar tres libros de lectura que te hayan emocionado. Que llega el verano y hay que hacer la selección de libros. "Pásate" tres referencias.
1984 de George Orwell. Es mi libro favorito desde siempre. Es increíble cómo un libro publicado en 1949 pudo interpretar tan bien el futuro y las diferentes formas del poder para ejercer el control sobre sus ciudadanos. A pesar de estar ambientado bajo regímenes totalitarios, me gustaría volver a leerlo teniendo en cuenta lo que sabemos después de Vault 7.

Los Guardianes de la Libertad de Noam Chomsky y Edward S.Herman. Es un ensayo un poco duro de leer pero merece la pena analizar cuál era el modelo de los medios de comunicación a finales de los años 80 y cómo tenían y siguen teniendo la capacidad de dirigir la opinión pública a pesar de la aparición de internet y las fake news.

Y, por último, me gustaría recomendar el libro de Silvia Barrera, Claves de Investigación en Redes Sociales. Siempre he valorado mucho a las personas que se dedican a la seguridad pública en España. Tenemos la suerte de contar con muy buenos profesionales y más después de leer el libro de Silvia, una persona que ha dedicado toda su carrera a ayudar a los demás.
Puedes contactar con Yaiza Rubio en su buzón púbico MyPublicInbox\Yaiza Rubio

5 comentarios:

Unknown dijo...

Ánimo Yaiza!

Juan Miguel González dijo...
Este comentario ha sido eliminado por el autor.
Juan Miguel González dijo...

sin duda alguna es una entevista profundamente motivadora. Saludos Yaiza y Maligno!

Joaquin valle dijo...

me parece estupendo que cada vez mas se tenga en cuenta no solo el trabajo , sino el compromiso el talento y la ilusion, una vez mas un saludo para yaiza y para el maligno.


firmado:
un linuxero en el lado del bien.jijiji.

Unknown dijo...

¡Mi mas enhorabuena Yaiza, por llegar a dónde has llegado ! Con humildad y constancia en la vida, ademas de esa capacidad que tienes claro,se llega lejos, si señora!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares