miércoles, enero 20, 2021

Entrevista a Selva Orejón: Hacker y emprendedora en OnBranding

Hace ya más de una docena de años que conocí a Selva Orejón en el devenir de nuestros periplos por las conferencias de hacking, los eventos de ciberseguridad, y las actividades de seguridad informática en el mundo de las empresas. Desde que nos conocimos surgió una buena relación personal y profesional que nos ha llevado a colaborar en muchos proyectos.

Figura 1: Entrevista a Selva Orejón: Hacker y emprendedora en OnBranding

A día de hoy, años después, y con una empresa como OnBranding construida a sus espaldas, seguimos colaborando en solucionar problemas a personas que llegan con situaciones de reputación online, ciberacoso personal o ciberextorsiones en la red. Personas que están sufriendo una situación desagradable, que llegan a nuestros buzones.
Hoy la he hecho una pequeña entrevista para que la conozcáis mejor, y le he hecho estas diez preguntas, donde veréis que también colaboramos, en concreto, en el Máster de Ciberinteligencia del Campus Internacional de Ciberseguridad, donde yo estoy de mentor y ella es una de las profesionales que imparten conocimiento orientado al mundo profesional. Espero que os guste la entrevista.

1.- Selva, llevas años trabajando en el mundo de la ciberseguridad y te hemos visto crear OnBranding desde cero con esfuerzo y trabajo. ¿Cómo ha sido este viaje? 

Ha sido largo, 14 años ya, desde 2007, en Madrid, a mi vuelta de Berlín. El nombre lo pensó un amigo durante una noche en pleno barrio de La Latina.  Ha sido un camino de cambio de nivel, de desnivel diferente. Primero muy tranquila, yo sola durante un par de años, y algún colaborador. Después se fue corriendo la voz y las primeras multinacionales para las que había trabajado empezaron a animarse y a contratar suscripciones mensuales de protección de reputación online monitorizacion.

Tres años más tarde volví a Barcelona, allí me empezaron a contratar no solo para fee mensual y trabajos continuados sino también para gestiones de crisis reputacionales bastante conocidas. He trabajado entre semana, en fin de semana, en domingos y festivos, a horas intempestivas, para gente de lo más variopinto y en los lugares más insospechados.  Recuerdo un día 1 de enero a la tarde salía del spa, de repente me llama una multinacional con un jaleo impresionante, recuerdo perfectamente ese día, pensé, esto sí que es estrenar un año. 

El 2013 fue el año de iniciar a dar formación a los cuerpos policiales, y el 2015 el del inicio de las conferencias.  El 2016 fue un súper año, entraron clientes muy grandes, revisé el tipo de herramientas, entró a trabajar conmigo mi mano derecha y desde entonces aquí seguimos mano a mano, pero estos 3 últimos años con más compañeros.  2017 fue el año de Israel y de las nuevas herramientas WEBINT realmente espectaculares. Este último año estrenamos oficina, se han unido nuevos Compañeros y países, Andorra y Argentina.
Por supuesto hay mucho camino por recorrer pero hay algo que se ha mantenido por el camino; nuestros valores y nuestro código ético. Desde el primer día he dicho que no a potenciales clientes que quizás nos hubieran aportado muchos ingresos pero no nos hacían estar en congruencia con nuestros valores. 

2.- Cuando se monta una startup, como es tu caso, hay que pivotar mucho a lo largo de su vida. ¿Qué servicios estáis haciendo ahora en OnBrading?

Ahora mismo, nuestro core business es: protección de la identidad digital de perfiles públicos - como los que estamos en la plataforma de MyPublicInbox, por ejemplo, y allí pueden contactar con nosotros con nuestra cuenta de OnBranding - y empresas. También algún particular pero la mayoría no se lo pueden permitir, aunque si es una situación de extrema necesidad, hemos hecho excepciones, ya lo sabes.
Dentro de este servicio entra la eliminación de contenidos nocivos, contenidos que puedan atentar contra el honor de la persona física o jurídica. Trabajamos mucho el desposicionamiento de contenido, o la mala entendida como gestión de la reputación online. 
 
Por otro lado, tenemos el servicio de monitorizacion o escucha activa com alertas segmentadas en función del nivel de peligrosidad para la privacidad o la reputación. En ello incluimos por ejemplo leaks de contraseñas, emails de dominios corporativos, dominios similares con uso potencialmente fraudulento y también monitoring en Dark Web. Este último servicio nos lo están empezando a pedir mucho.

Desde los últimos 6 años, un compañero y yo realizamos peritajes de pérdida reputacional, cuánto han dejado de ganar, cuánto han perdido y cuánto costará recuperar la “normalidad”.


3.- Yo he puesto en tus manos muchos casos importantes de fraude y acoso durante estos años. ¿Habéis notado un incremento en algún tipo de delito en especial?

Siempre lo digo, es de bien nacido ser agradecido, son ya muchos años en los que llevamos colaborando y estoy harta agradecida, de corazón.  Sí, ahora tenemos un boom de recuperación de cuentas hackeadas, bloqueadas e inhabilitadas en WhatsApp, Instagram, Twitter y Tik Tok. Hemos dado de alta hace seis meses un servicio de 24/7 de recuperación de cuentas y de incidentes críticos reputacionales, el SOC reputacional.

4.- Hay mucha gente que piensa que ellos no van a ser objetivos, sin embargo los directivos de empresas están siendo cada vez más objetivos de estos ataques. ¿Qué le recomendarías al equipo CISO de una organización que tiene que proteger los ataques a sus ejecutivos?

Es un clásico, inclusive directivos y directivas de multinacionales a la cabeza de tecnología, innovación y con secretos industriales por proteger, no perciben su papel fundamental en un ataque de ingeniería social.

Por ejemplo, una persona que tiene sus dispositivos corporativos protegidos por el departamento de seguridad corporativa piensa que ya está seguro, y no hay día en la semana que no nos llamen y nos indiquen que les han hackeado una cuenta que estaba abierta en el iPad del hijo, o que en su casa de vacaciones tienen otros routers, dispositivos gestionados por una empresa de terceros... o simplemente que se les debería realizar un escudo reputacional y de protección de su identidad con sus nombres, apellidos, DNI, número de seguridad social y una serie de datos.

Además en algunos casos hay también contenidos que son potencialmente negativos, que generan un riesgo para su reputación o seguridad física.


5.- Muchas veces la gente no entiende bien el trabajo que hay que hacer para desenmascarar a un ciberacosador, o preparar un caso bien en una ciberextorsión para poder llevar a los criminales ante la ley. ¿Qué tipos de roles tenéis en OnBranding para resolver estos casos tan complejos?

En estas situaciones, donde nuestro papel es claramente fundamental, aportamos no sólo la estrategia de investigación de la mano de nuestra detective, y aportamos metodología y herramientas específicas en cada caso.  Desde hace un par de años, además trabajamos estrechamente con el instituto Carl Rogers, de hecho compartimos despacho y ha sido revelador.

La gestión de una ciberextorsión o un caso de acoso reiterado es absolutamente dañino para la persona, emocionalmente los humanos nos quedamos KO durante todo el proceso judicial, es un periplo, y eso si llega al juzgado de instrucción y no se archiva la causa.  Por tanto, nuestro papel es vital en tanto que es, por un lado de acompañamiento holístico y por otro lado es un seguimiento tecnológico de adaptación a cada cambio de circunstancia.


6.- Sé que la privacidad de los casos es fundamental, y yo he puesto en tus manos casos de confianza precisamente por la discreción y profesionalidad en OnBranding, pero, sin dar nombres, ¿podrías contarnos algún caso que explicara el impacto que puede tener en su vida una situación de las que gestionáis?

Sí, trabajamos desde la cocina de personajes públicos, algunos muy relevantes, con trayectorias emergentes en los que sufrir una situación de estas características puede realizar un break-even.

Hubo un caso, de un personaje publico, un actor con casi 16 millones de usuarios que en mitad de la promoción de la última temporada de una serie muy vista, de las más vistas, sufrió el hackeó de su cuenta principal de redes sociales. En ella empezaron a publicar contenidos de promociones de productos de estafa, imaginaos esos casi 16 millones de usuarios de audiencia, cayendo como moscas en esa publicación de estafa.

Tuvimos que certificar las evidencias, gestionar la recuperación de la cuenta, fortificar todas sus comunicaciones, darle una formación contra reloj y generar una campaña de comunicación a la altura de las circunstancias.


7.- Una de las labores que hacéis, aparte de desenmacaramiento de adversarios, perfiles psicológicos, o ciberinvestigación en la red, es la de análisis forense y peritaje judicial. ¿Cuánto de importante es realizar bien esta tarea para el éxito a la hora de conseguir la condena para el acosador, el extorsionador, el espía que vulnera la privacidad, etc…?

Es imprescindible, todo el equipo responsable de los forenses debe conocer la metodología de salvaguarda y custodia de evidencias, de extracción, análisis, realización de informes, y garantía de hacer una buena ratificación y puesta en escena en el juzgado.

Mi especialidad judicial es concretamente el cálculo de la pérdida reputacional. Trabajo de la mano con varios compañeros y somos profesores en el consejo general del poder judicial.  No sólo la metodología es importante, también, como decía antes, la puesta en escena y por supuesto la experiencia
.

8.- Ahora estás de profesora junto con Vicente Aguilera, Yaiza Rubio, Carlos Seisdedos, Eduardo Sánchez o Felix Brezo en el Master de CiberInteligencia del Campus Internacional de Ciberseguridad. ¿Puedes explicarme un poco más en qué estás formando a los estudiantes en él?

Sí, claro. Allí les formo en identidad digital con un objetivo profesional. Para ello dedico tiempo a explicar los detalles de los tres tipos de identidades en que se dividen las investigaciones de ciberinteligencia, y cómo se investigan explicando las metodologías de análisis. Técnicas de análisis y protección de la identidad digital y finalmente, qué herramientas y estrategias podemos usar para su análisis. 

9.- Después de tantos años, la relación que mantenéis con los cuerpos de seguridad del estado, tanto con Mossos d’Esquadra, Policía Nacional, Guardia Urban o con Guardia Civil es excelente. ¿Cooperáis en ambos sentidos? ¿Echáis una mano cuando os lo solicitan?

Totalmente, siempre estamos a disposición para echar una mano, ayudamos en todo lo que nos solicitan, no solo con formación sino con muchos casos en los que nos han solicitado herramientas, opinión... es una suerte poder contar con la confianza de los cuerpos policiales.

10.- ¿Crees que el mundo en el que estamos y al que vamos va a mejorar o empeorar en relación al tipo de casos, delitos y situaciones que tratáis en OnBranding?

Pues te diría que para algunas cosas vamos a mucho mejor, aunque de forma lenta, como por ejemplo en el hecho de estar colaborando con las plataformas sociales de una forma continuada y estrecha, pero desde luego queda mucho camino por recorrer. Hacen falta mejores aplicaciones de inteligencia artificial, especialmente en plataformas sociales como Instagram, o TikTok, con el tema de los menores, el contenido inapropiado, los casos de acoso... estamos como casi en Chicago años 20.

Me consta que se trabaja en ello, pero aún nos queda mucho. A nivel legal, veo pendiente un delito tipificado como el de suplantación de identidad, tan y tan necesario. Y ni qué decir de la falta de recursos que tienen los cuerpos de seguridad del estado, en recursos humanos, técnicos y económicos.

Saludos Malignos!

No hay comentarios:

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares