domingo, enero 24, 2021

Entrevista a Alejandro Corletti: Ciberseguriad y "Resiliencia" en el Blue Team

Retomando el gusto que comencé allá por el año 2008 de hacer entrevistas a gente del sector, compañeros, amigos y gente especial, he vuelto a hacer algunas durante este año pasado, y seguiré durante este año 2021, que me parece una forma de conocer a la gente que hace cosas distintas en nuestra profesión. Hoy he entrevistado a Alejandro Corletti.

Figura 1: Entrevista a Alejandro Corletti: Ciberseguriad y "Resiliencia" en el Blue Team


El compañero Alejandro Corletti con el que he coincidido trabajando en Telefónica, lleva años en este sector. Con un origen en el mundo militar, especializado en auditoría y fortificación de sistemas - y Blue Teams -, ha publicado varios libros, que siempre ha dado de forma gratuita en Internet.


Compagina su vida profesional, con la vida académica, dando másters y clases en universidades para formar a las nuevas generaciones de profesionales en esta disciplina. Hoy le he hecho una pequeña entrevista para hablar de esto mismo. De seguridad, de "resiliencia", del trabajo en el mundo de los Blue Teams. Espero que la disfrutéis.

1.- Alejandro, este año pasado has publicado el libro gratuito de “Manual de la Resiliencia: Una guía práctica de ciberresiliencia en redes y sistemas de TI”, pero para los que no conocen bien el término, ¿en que consiste la resiliencia aplicado a redes y sistemas TI?

Resiliencia, es sencillamente la capacidad de recuperación. Pero, no una vez sino las veces que fuera necesario recuperarse y, desde un hecho simple, hasta lo más complejo que te puedas imaginar. Este concepto aplica a las personas, empresas y a cualquier diseño del mundo físico (y para los que creemos en el alma… pues también).


En los últimos años venía observando que el término “Resiliencia” en nuestro entorno estaba en un altísimo porcentaje, orientado únicamente hacia la metodología de copias de respaldo y recuperación, como si esto solo fuese la panacea. Tal vez esta sea la causa raíz del libro pues, en realidad, para que las redes y sistemas de TI pueden alcanzar un estado importante de Resiliencia la clave está en ser serios en la planificación, diseño, implantación y mantenimiento del ciclo de vida de un “SGSI” (Sistema de Gestión de la Seguridad de la Información), tema que desarrollo, creo que, con bastante detalle en el mencionado libro.

2.- Llevas muchos años colaborando con la comunidad, y este no ha sido tu primera aportación a la educación en ciberseguridad. ¿Podrías contar a los lectores cuántos libros gratuitos y de qué temática has publicado a disposición gratuita para todos?

Antes que nada, deseo expresar la experiencia personal que para mí ha sido esta filosofía de “Compartir desinteresadamente TODO lo poco que sé, sin restricciones”.  Cada vez que puedo, intento transmitir esta experiencia de vida, pues los que me conocen, saben he intentado siempre difundir lo que estudio, aprendo e investigo, y la verdad es que este hecho me ha abierto cientos de puertas, permitiéndome vivir bien y a gusto con lo que hago.

Este mensaje es una invitación a todos para que también lo hagáis, pues os aseguro que el “karma” os devuelve con creces este tipo de acciones, y si no es el karma, pues será el empresario que en alguna oportunidad se interesará en tu conocimiento, y probablemente te valore más que otro desconocido o anónimo. 


Los libros técnicos gratuitos ya van por cuatro, el primero fue todo un desafío contra la burocracia, las editoriales y afines, pero luego uno va aprendiendo los pormenores de auto editar y las cosas parecen ser más sencillas.  También a veces tengo otros pasatiempos en forma de novelas, que suman tres más, alguna gratuita… y otras que me han pirateado y están dando vueltas también por la Web .

3.- Llevas años trabajando en Blue Teams y auditoría de seguridad de redes de empresas. Si tuvieras que darle, en base a tu experiencia, un consejo a los que quieren desarrollar su carrera como CISO en una compañía, ¿cuál sería el más importante?

Estoy absolutamente convencido que un CISO debe ser capaz de organizar y dirigir su área en tres divisiones:

- Gobierno de la Seguridad
- Planificación e Ingeniería de la Seguridad.
- Operación de la Seguridad

En alguno de mis libros (creo que fue en Seguridad en Redes), tengo un capítulo completo sobre ello. Fíjate, que esta idea coincide muchísimo con el marco militar (o empresarial) de tres patas: Estratégico (o Directivo), Operacional (o Gerencial) y Táctico (o Técnico).  Un buen CISO como base fundamental de su área debería estar en capacidad de organizarla y dirigirla siempre orientada a estos niveles o subdivisiones.

4.- Cuando uno ve tu currículo impresiona, no solo por todo lo que has hecho en seguridad informática y ciberseguridad, en tu carrera profesional y en el ámbito de la comunidad, sino también por tu pasado militar. ¿Qué te ha aportado en tu carrera ese paso por el mundo militar?

Lo primero que me aportó mi carrera militar, a los pocos meses que me recibí como Oficial, fue una Guerra (Malvinas), así que como para empezar bien las cosas, me enseñó a fuego (nunca mejor dicho) la importancia del trabajo en equipo, ser plenamente consciente que siempre dependes de los demás, que solo no se puede hacer nada, y que la gente que te rodea vale mucho y hay que cuidarla como el bien más preciado.

La vida militar como todo en este mundo tiene cosas feas y preciosas. Lo que es innegable es que la capacidad de organización (a veces cuadriculada… también debo reconocer), y aunque parezca que no es así, el espíritu de sacrificio, son dos constantes en todo aquél que haya pasado un par de décadas en este ámbito.

En mi caso tuve la inmensa fortuna que, dentro del Ejército Argentino, como Oficial de Cuerpo Comando (en mi caso, paracaidista del arma de Infantería) en el grado de Capitán puedes ingresar en nuestra Facultad de Ingeniería, de la cuál obtuve el título de Ingeniero en Informática y luego de ello, mi vida militar se orientó exclusivamente al mundo de las redes, llegando a ser Jefe de Redes del Ejército Argentino tres años, y allí creo que fue donde afiancé las bases de lo que hoy sigo haciendo.

5.- El año pasado publicaste, como hemos dicho antes, un libro centrado en la ciberresiliencia de redes y sistemas TI, pero en el mundo del teletrabajo actual… ¿estás pensando en ampliar la cobertura de tu guía con las redes remotas en los hogares de los empleados?

Sí, estoy dándole vueltas a las técnicas de túnel, que a nivel protocolos suelen basarse en la familia de estándares IPSec, sobre los mismos hay opciones comerciales y Open Source.

Me interesa, en particular, analizar las diferentes alternativas del mercado que permiten este tipo de conexiones remotas a través de canales seguros, que en definitiva nos permiten configurar VPNs (Virtual Private Netwoks) a través de redes públicas, pues como bien dices el teletrabajo es, y espero que siga siendo, una metodología habitual de conexión empresarial remota.


6.- En tu trabajo en ciberseguridad en el Blue Team se notan dos cosas fundamentales. La primera esa disciplina organizativa de tus tareas y recomendaciones que tal vez vienen de tu pasado militar. Lo segundo que destaca es tu profundo conocimiento de tecnologías para redes. ¿Te cuesta encontrar perfiles profesionales en ciberseguridad con esas dos características para ocuparse de la seguridad de redes en grandes empresas?

Lo que sinceramente creo que es más complicado es el tema “organizativo”. El concepto de planificación a medio y largo plazo es muy importante en Ciberseguridad, pues hay que saber justificar bien los presupuestos, sino no los conseguimos. Los cálculos necesarios para que la brecha entre lo planificado y los desvíos sea mínima, es complejo y requiere “organización” y lo peor: experiencia (que en el mundo militar se dice que: cuesta cara y llega tarde).

La seguridad en redes de “grandes empresas” difieren radicalmente de una PyME en cuanto a su grado de exposición, vías de aproximación, accesos, y envergadura de sus infraestructuras. Tienes firewalls con miles de reglas, routers y switchs de terabits por segundo, SIEMs con millones de Logs por minuto, protocolos de comunicación complejos y muchas veces desconocidos, redes de acceso, transporte, agregación, core, centros de virtualización con miles de dispositivos virtuales, balanceadores de carga, bases de datos de tamaños increíbles, cientos de productos con tecnologías diferentes, etc. Personas que estén acostumbradas a lidiar con estas exageraciones tecnológicas no son fáciles de encontrar.

7.- Siempre hemos defendido que “sentir” lo que pasa por la red de tu empresa es la mejor forma de detectar un adversario dentro de tu organización. ¿Qué caso, guardando la privacidad, te impactó más por la calidad del ataque?

Desde hace años que me encanta el término “ruido de red” que propuso Cisco.  Será por mi perfil de cantautor, pero el tema de la armonía me fascina. Admiro profundamente a cualquier director de orquesta, que al escuchar simultáneamente a docenas de músicos detecta ese violín que está desafinado.

Uno de los trabajos principales de un responsable de red debe ser el análisis de tráfico. Si sabe hacerlo bien y a consciencia, puede (y debería) ser como ese director de orquesta que encuentra el “ruido anómalo” en su red ni bien se produce.

Todo esto viene a cuento, de que en una ocasión nos avisan de una gran empresa, que sus redes hacía varios meses que tenían una alta latencia (lentas), sufrían delays, cortes, etcétera. A los pocos días de iniciar nuestro trabajo de auditoría de red, detectamos más de trescientos dispositivos que estaban comprometidos, por supuesto se empleaban como botnets. El tema no queda aquí, pues al continuar la investigación siguiendo el rastro de estos hechos, llegamos a la conclusión que esta intrusión llevaba más de un año. Es decir, se habían movido por esta infraestructura como Pedro por su casa, y el hecho más grave de todos, es que ese director de orquesta, ni se enteró, no fue capaz de reconocer que toda la orquesta de su red desafinaba completamente.

Este tipo de situaciones hoy en día, para un responsable de red, o de seguridad en red, es imperdonable, es inconcebible que no tenga un sistema de análisis de tráfico, monitorización y supervisión, al menos que haga algo, como sucedió en este caso, que todo ello era prácticamente inexistente.

8.- Eres una persona muy activa con una mente muy inquieta, ¿cuáles son los próximos proyectos en los que Alejandro Corletti se va a meter este 2021?

Como ya sabéis me está despertando mucho interés la seguridad (en la parte de la red) de los Servicios Digitales Financieros (DFS), pues se están cometiendo varias anomalías y fallos de seguridad que, si bien son corregibles, por alguna razón que desconozco en detalle, no se están mitigando y esto impacta en usuarios o subscriptores (es decir, nosotros, ciudadanos de a pie). Esto es algo que afecta mucho en nuestra vida personal, ya que el e-money se ha metido de lleno en ella y hay muchos investigadores trabajando en ello - como se ve en el libro de Show me the e-money de Salvador Mendoza publicado por  0xWord. Hay que profundizar bien en la seguridad de estos sitemas.

Figura 5: Show me the (e-)money. Hacking a sistemas de pagos digitales
por Salvador Mendoza (Netxing)

Quiero seguir profundizando mucho más sobre la infraestructura de señalización (Sistema de señalización 7: SS7), es algo con lo que vengo trabajando desde los años 90’ y esta red la seguiremos sufriendo varios, varios, años más con todos los problemas de seguridad ampliamente conocidos, y los que nos quedan aún por conocer.

Por último, mi gran deuda pendiente (por mi tremenda ignorancia y fobia al respecto) es la “seguridad de las redes sociales”. Este es un tema que soy como un parvulito, pero con su misma aspiración a aprender y entender. Algún día me meteré de lleno a las raíces, protocolos de comunicaciones, y términos legales de uso… lo prometo. 

Bueno, pues ya está, esta es la pequeña conversación mantenida con Alejandro Corletti, espero que os haya entretenido un ratito, además de estimularos a aprender más y leeros sus libros.

No hay comentarios:

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares