lunes, abril 16, 2018

A la Universidad se viene a transformar tu futuro y el nuestro, no a obtener un título

Muchas veces he escrito sobre lo agradecido que estoy a la Universidad en España y a mi país que me permitió estudiar en ellas. De hecho, cuando hice mi Brain Dump sobre ideas para mejorar mi país me acordé de lo buena que es la Universidad en España. También he escrito sobre los consejos que le daría a cualquier persona que estuviera pensando en formarse para ser un gran profesional. Y además he sido claro dejando mis opiniones sobre lo que creo que debe hacerse durante el tiempo que se está allí.

Figura 1: A la Universidad se viene a transformar tu futuro y el nuestro, no a obtener un título

A mí la Universidad me ha dado gran parte de lo que soy hoy en día. Hice la Ingeniería Técnica en Informática de Sistemas en la Escuela Universitaria de Informática (fui p0344), donde estudié muchas asignaturas de lo que más me gustaba: Las bases de datos. Con esa formación me especialicé en entornos Oracle y cuando se descubrió la vulnerabilidad de SQL Injection fue una revelación ver todo lo que yo sabía de SQL y la de cosas que podía hacer con ello en entornos vulnerables.

Figura 2: En Informática 64 yo estaba especializado en Oracle

Gracia a la formación en Bases de Datos no solo entré en el mundo de la Seguridad Informática y el Hacking, sino que años más tarde me convertí en el CDO de una empresa alucinante como Telefónica. Y todo eso sin haber estudiado una sola asignatura de Seguridad Informática en la UPM, donde tuve el honor de ser nombrado Embajador Honorífico de mi escuela.


Figura 3: El discurso de la servilleta

Mi Trabajo de Fin de Grado, que hice a medias con un compañero, fue la implementación de un algoritmo de recta de barrio para calcular el par de puntos más próximos en una nube, algo de lo que os hablé por aquí y que me ayudó a entender muchas cosas de algorítmica avanzada, sistemas de información geométrica y estructuras de datos.


Años después entré en la URJC, donde estudié mis dos últimos cursos de la Ingeniería Informática e hice un Trabajo de Fin de Grado centrado en Técnicas de Blind SQL Injection, donde hablé de cosas como Remote File Donwlonading o Time-Blind SQL Injection usando Heavy Queries, algo que luego publicaría en papers IEEE y ACM, además de darme acceso a conferencias internacionales como speaker en DefCON 16, Hackron o ShmooCON.


Figura 5: Time-Based Blind SQL Injection using Heavy Queries

Si no hubiera tenido que hacer mi TFG no me habría parado a investigar esas cosas, que además utilicé en Retos Hacking de El lado del mal para que pudiéramos jugar por aquí.

Después hice mi Máster de Postgrado con el objetivo de hacer un Doctorado. En ese momento comencé a publicar en un montón de congresos académicos que me llevaron desde Portugal a China, pasando por muchos rincones escondidos del largo proceso que es la revisión ciega entre iguales. En ese año mi TFM se centró en las técnicas de (Blind)LDAP Injection, algo que también fue mi primera charla internacional en BlackHat Europa. Un reto para el que me tuve que ir a vivir a Londres y estar preparando la charla infinidad de veces.


Con el objetivo de hacer el Doctorado – proceso que me llevó desde el año 2008 (donde me enfadé mucho con las atribuciones en el Plan Bolonia) hasta el año 2013 si no me falla la memoria -, estuve trabajando e investigando en muchas cosas, desde técnicas de Time-Based Blind XPath Injection donde probé de todo, desde ver si era posible optimizar el proceso de extracción de datos a ciegas, hasta probar los Time-Based Blind XPath en entornos SAX haciendo consultas pesadas.


También invertí tiempo en trabajos en paralelo como el de Fingerprinting organizations with collected archives para ver si era posible pintar el mapa interno de la red de una empresa utilizando metadatos en documentos ofimáticos. Algo que daría lugar a mi querida FOCA y MetaShield Protector - que se llevó hasta un premio de la industria. O como el de Connection String Parameter Pollution usando la inyección de comandos en las cadenas de conexión a bases de datos, O como el de Living in the Jungle que usé como base para la investigación de Wild Wild WiFi.


Y de ahí publiqué al final mi Trabajo de Doctorado para el que tuve que pasar un tribunal de 4 horas explicando todo lo que había hecho en él, y que se convirtió en un Algoritmo para la detección de vulnerabilidades de inyección de código explotables a ciegas, luego utilizado en nuestro querido motor de Pentesting Persistente en ElvenPaths Faast.

Durante todo este tiempo, los trabajos que hice en la universidad los compartí por mi blog, los usé en mi carrera profesional en conferencias, y se convirtieron en herramientas que utilicé durante un tiempo o que aún sigo utilizando en mi vida profesional.


Además, de todo ese tiempo en la Universidad y hacer mi Trabajo de Fin Grado de la Ingeniería Técnica de Sistemas de la UPM, de hacer mi Trabajo de Fin de Grado en la Ingeniería Informática de la URJC, de hacer mi Trabajo de Fin de Máster y de hacer las publicaciones para mi Doctorado, saqué una especialización en la investigación de temas, que sigo usando día a día. En ElevenPaths, en LUCA, en la 4P y en Aura. Con mi equipo de Ideas Locas de CDO, y con las patentes que seguimos haciendo y en las que tengo la suerte de estar metido en la creación.


La Universidad me dio mucho más que títulos,  que creo que tiene mi madre,  o más que un estatus por el que todo el mundo tenga que llamarme Doctor – algo que no me importa en demasía – ya que lo que me llevé fue todo lo que aprendí. Por eso cuando llegué a Telefónica y lancé el programa Talentum, mi foco fue ir a por los buenos universitarios.

Figura 11: Mi primera hornada de Talentum venidos de la Universidad

Amo la Universidad, y sigo ligada a ella. En la Universidad Europea de Madrid donde, desde alrededor de una década, soy el Director externo del Máster de Seguridad Informática. Además, la UDIMA me premió con la Medalla de Oro de la Seguridad por mi carrera profesional, algo que siempre es de agradecer.  Y por supuesto, en ElevenPaths y LUCA tenemos un nexo con la Universidad constante para que los jóvenes que quieran hagan su TFG o TFM con nosotros.


Figura 12: Programa de Universidades en LUCA y en ElevenPaths

Por eso, todos aquellos que han falsificado su CV poniéndose algún título que no tienen, o todos los que se han sacado un título sin aprender nada - y siempre digo eso de "suspende como ingeniero o atente a las consecuencias"-, no se han llevado ni por asomo lo más bonito de la Universidad: El amor al conocimiento y la oportunidad de transformar el mundo.

Por favor, no es necesario ir a la Universidad para ser un gran profesional, pero no dañéis algo tan bonito como el buen hacer de nuestras universidades ensuciando su trabajo. El viernes por la tarde intentaré estar con los chavales y mi compañero Pablo González en la URJC de mi Móstoles del alma el TechFest.

Saludos Malignos!

5 comentarios:

  1. Soy testigo y protagonista en primera persona, de la calidad de las universidades en España.

    Por La Mancha de unos no hay que ensuciar a todos. Somos más los honestos y las personas de bien.

    ResponderEliminar
  2. o.O
    pero que dices... en ejpaña a la universidad se va a fardar de papelito en la pared

    ResponderEliminar
  3. Y aún así, si alguien lo único que quiere es el título, se lo tiene que ganar a base de horas perdidas de sueño, sudor, lágrimas (y a veces hasta sangre).

    La vergüenza está en los "masters" a medida de los beneficiarios.

    ResponderEliminar