Yaiza Rubio recibe la Cruz del Mérito de la Guardia Civil con Distintivo Blanco

Este fin de semana, Yaiza Rubio Viñuela (@yrubiosec), recibirá la Cruz del Mérito de la Guardia Civil con Distintivo Blanco, algo que ya ha sido hecho público en el Boletín Oficial de la Guardia Civil número 40 de Martes, 1 de Octubre de 2019, y desde aquí la quiero felicitar personalmente.

Figura 1: Yaiza Rubio recibe la Cruz del Mérito de la Guardia Civil con Distintivo Blanco

Como sabéis, tengo la suerte de que Yaiza Rubio desarrolle su actividad profesional en Telefónica, en concreto en mi unidad CDO, donde ha participado en diferentes roles, haciendo innovación, productos de ciberseguridad en ElevenPaths, investigaciones y ahora llevando un equipo de ingeniería que desarrolla un nuevo servicio sobre BlockChain & Big Data.

Figura 2: Página del BOGC donde se anuncia su distinción

Ella es una nuestras Mujeres Hacker que después de llevar años trabajando en el mundo de la tecnología dando charlas en multitud de congresos y tener el sueño de poder ser uno de los ponentes en Defcon, lo consiguió hace dos años, convirtiéndose en la primera mujer española en dar una charla de esas conferencias.

Figura 3: Mujeres Hacker en Telefónica

Pero su actividad y su currículo son una pasada. Supongo que haberse criado en la disciplina del deporte profesional - Yaiza ha pasado su niñez compitiendo en tenis y entrenando con los mejores, y sigue dando caña a todos los compañeros con el pádel - le ha metido en su personalidad una capacidad de trabajo, sacrificio y esfuerzo única.

Figura 4: Yaiza y Felix nos explican a Telefónica BlockChain (Con sus camisetas de Chief "Doers" Office y de ElevenPaths)

Como sabéis, Yaiza ha sido la directora del Máster de BlockChain en la Universidad Europea de Madrid hasta el año pasado. Un máster que diseñó ella junto a Felix Brezo, compañero de muchos proyectos de haking como OSR-Framework, del que han dado muchas conferencias. También es la autora del libro de Bitcoin: La tecnología BlockChain y su investigación que publicamos en 0xWord.

Figura 5: Libro de Yaiza Rubio y Felix Brezo en 0xWord sobre
BitCoin: La tecnología BlockChain y su investigación

Pero su principal actividad ha sido en el mundo de la ciberseguridad y la investigación. Sus charlas en RootedCON o en Incibe, donde es Cibercoperante, mostraron muchas horas de dedicación al mundo de la tecnología y el hacking.

Figura 6: OSR Framework en Incibe

Recientemente, en el El Mundo, la eligieron como una de las jóvenes líderes del futuro, junto con un grupo de personas que destacan por su capacidad de trabajado, dedicación, y capacidad para asumir retos muy difíciles.

View this post on Instagram

Impresionantes las entrevistas que les han hecho a dos jóvenes joyas de mi equipo. Javier Espinosa y Yaiza Rubio. Que privilegio tenerlos trabajando conmigo todos los días en Telefónica desde hace años http://lab.elmundo.es/lideres-futuro/yaiza-rubio.html y http://lab.elmundo.es/lideres-futuro/javier-espinosa.html

A post shared by Chema Alonso (@chemaalonso) on Mar 5, 2019 at 10:41am PST

Yo suelo bromear con ella con que me quedan solo 10 años de CDO, porque ella fue a un DefCon con 10 años menos que yo, ella tenía página en la Wikipedia con 10 años menos que yo y ahora le han concedido esta Cruz del Mérito de la Guardia Civil con 10 años menos que yo. Pero es que es una máquina.

Desde aquí quiero felicitarla, y que todas esas niñas a las que les gusta la tecnología, tengan un referente en el mundo de la tecnología como Yaiza Rubio, que ya ha demostrado a todos que una tenista, periodista, hacker, experta en blockchain, conferenciante, escritora de libros, y arquitecta de software, puede hackear el mundo desde Leon - donde nació - o Albacete - donde se hizo lo que es hoy en día -.

Figura 8: Contactar con Yaiza Rubio

Yaiza Rubio tiene un buzón público en My Public Inbox (MyPublicInbox.com/yrubiosec) donde se puede contactar con ella si quieres. Yo personalmente ayer ya la felicité, y hoy me quito el gorro. ¡Muy grande Hacker!

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)

Y llegamos a la última parte de esta serie dedicada a mi querido, caótico, y necesario sistema de correo electrónico, pero que a la vez forzamos para cubrir necesidades que no siempre puede cubrir. Como hemos visto hasta aquí, tiene muchas carencias que yo he querido resolver en esta pequeña lista que os dejo a continuación.

Figura 17: El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)

Como principales problemas con el correo electrónico, estos son algunos de los temas a los que nos tenemos que enfrentar, y aceptar, cuando lo utilizamos. Yo los he resumido en 10 puntos que recogen, más o menos, todo lo explicado en las tres partes anteriores.

1.- Identidad del remitente: Mientras no se utilice PGP o S/MIME, la identidad del remitente de una comunicación es siempre algo muy dudoso. Por eso existen los ataques de Phishing, aunque tengamos tecnologías de mitigación como Reverse MX Lookup, SPF, Sender ID y DMARC.

2.-  Privacidad: Las comunicaciones no siempre van cifradas extremo a extremo. El sistema de correo electrónico enruta los mensajes entre servidores que están en medio del camino entre el servidor de correo saliente y el servidor de correo entrante, y mientras el usuario no cifre sus mensajes con PGP o S/MIME, los mensajes pueden pasar por tramos sin cifrar, aunque se use SMTP-S, POP3-S, HTTPs o Mutual-TLS en algunos tramos.

3.- SPAM: La posibilidad de que cualquiera pueda enviarte publicidad masivamente a tu dirección de correo electrónico es algo muy barato como para desdeñar su uso. Hemos puesto regulaciones como LSSI, LOPD o GDPR, pero muchas empresas no están sujetas a ellas o directamente las ignoran. Por supuesto, los Filtros Bayesianos, los sistemas de reporte de SPAM con interacción de usuario, las técnicas de Machine Learning y las DNSBL o RBLs (RealTime BlackHole Lists) mitigan el impacto, pero ni mucho menos acaban con él.

4.- Seguridad: Al igual que con la publicidad, las campañas de Fraude (ventas falsas, estafas "scams" etc..), de ransomware personal o empresarial, de exploits e instalación de R.A.T.s (Remote Administration Tools) para meter los equipos clientes en botnets, etc... hacen que el correo electrónico sea el canal preferido por todos.

5.- Confiabilidad: Debido a que tenemos que aplicar filtros anti-Spam, Anti-Phishing, y Anti-malware que no son perfectos ni mucho menos, tenemos una pérdida de correos legítimos de muchas personas, que pueden ser una oportunidad de negocio, una comunicación esperada o un mensaje necesario para una gestión, lo que hace que muchos acabemos llamando por teléfono a las personas a las que enviamos mensajes importantes para garantizar que el mensaje ha llegado.

6.- Productividad: Algunas personas dedican hasta cinco (5) horas al día de su tiempo a procesar el correo electrónico, lo que hace que su productividad no se esté viendo siempre mejorada por el uso de un sistema de comunicación como el e-mail. Esto se debe a que el coste de enviar un correo electrónico es prácticamente cero, muchas personas no hacen un uso responsables de las comunicaciones y tienen en cuenta el tiempo que debe invertir el (o los) receptor(es) en su lectura y contestación.  A la gente le sale barato robar tiempo de la vida profesional o personal por medio de un mensaje de e-mail.

7.- Trabajo extra: Si el miedo a perder mensajes hace que configuremos umbrales a los filtros muy pequeños, o que nos repasemos la carpeta de mensajes de Correo No Deseado cada día, los usuarios comenzarán a hacer tareas extras de borrado y clasificación de mensajes buenos o malos, revisando entre correos de spam, malware, estafas, etcétera, aquellos que son realmente útiles para el receptor.

8.- Identidad Personal: Como os he dicho antes, el uso de la dirección de e-mail como identidad en los servicios de Internet, ha hecho que compartir tu dirección de correo electrónico se convierta en una forma de desvelar todos aquellos sitios en los que tienes 

9.- Disponibiliad: Debido a todo lo anterior, las personas suelen optar por dos alternativas. O no compartir fácilmente su dirección de correo o compartir una dirección de e-mail que deja claro que no es la suya personal. En el primer caso, se produce un efecto de indisponibilidad, ya que el que realmente quiere contactar contigo por algo útil ve dificultada su tarea, generando una pérdida de mensajes que podían ser relevantes para las personas. Un efecto contrario al origen de la comunicación.

10.- Impresonalidad: En la segunda opción del punto anterior, las personas tienen a poner un buzón impersonal como forma de contacto, lo que rechaza la comunicación. No se sabe quién está detrás de ese buzón, así que genera un rechazo en las personas ya que nos imaginamos a un conjunto de personas procesando esos mensajes. Es decir, perdemos de nuevo comunicaciones.

¿Y qué hemos hecho en nuestra vida personal?

Pues nos hemos tirado a otros tipos de comunicación. En la comunicación personal nos hemos movido hacia las Redes Sociales, que son, en contrapartida con el correo electrónico, unos de los sistemas menos interoperables del mundo. Así, tenemos cuentas en Facebook, Twitter, Linkedin, Telegram, WhatsApp, Instagram, iMessage, Twitch, etcétera. En todos estos sistemas hay sistemas de comunicación en forma de chats, comentarios o mensajes privados como e-mails. Pero de nuevo se produce un problema de productividad brutal.

Figura 18: David Guapo sobre el uso de WhatsApp

Dar tu WhatsApp implica dar tu número de teléfono a personas que pueden llamarte, buscar tus identidades en la red o hacer un uso intenso de mensajería. Yo no tengo tarjeta de visita, no doy mi correo electrónico personal y mi número de teléfono lo guardo como si fuera mi tesoro. Y WhatsApp, Telegram, o iMessage están restringidos hasta más no poder. Porque además dicen cuándo estás online. Por supuesto, si lo doy poco, utilizar WhatsApp, Telegram o Instagram como alternativa al e-mail contactos con terceros a través de Internet, es algo que no me planteo.

En cuanto a las redes sociales, sucede un poco lo mismo, abiertas a todo el mundo con mucho tiempo para que pueda pedir cualquier cosa de manera gratuita. Supongo que todos os habréis topado con mensajes no solicitados de gente que no sabéis quién son que piden cosas que os llevan tiempo. En mi caso, los mensajes de hackear a la pareja son un clásico, y por supuesto, dejé de contestar por redes sociales.

View this post on Instagram

Como diría Bon Jovi ...”it’s my life”... solo cuatro de los últimos más de 200. ¿Por que no me escribirá la gente para invitarme a cenar en vez de estas cosas?

A post shared by Chema Alonso (@chemaalonso) on Sep 3, 2019 at 10:30pm PDT

Una en particular es muy curiosa, Linkedin, que deja que cualquiera que quiera enviarte un mensaje pueda hacerlo. No es necesario que sea tu contacto, basta con que les pague a ellos por poder enviarte un mensaje. Es decir, ellos comercializan tu contacto y venden tu tiempo, pero eres tú el que tengo que contestar, y hoy en día se ha convertido en una canal muy usado para ventas. 

¿Y en la vida profesional?

Muchas empresas aún sufren en productividad por el uso intenso del e-mail. Yo me enfado cuando me envían correos kilométricos o con muchas personas en copia. De hecho, suelo hacer caso omiso de un mensaje que me tiene en copia con muchas personas. Lo siento, tengo muchos mensajes que leer que van dirigidos solo a mí. Y por supuesto, los hilos infinitos de veinte mensajes deberían ser causa de despido inmediato. 

Es la peor de las productividades. Si una persona hace eso en lugar de llamar por teléfono o arreglar la solución en una reunión personal, es que esa persona sobra en el equipo. Y si la empresa lo consiente, es que hay un problema de gestión serio.

Por eso se han intentado muchas cosas, y algunas ha fructificado. En Google, que tenían Gmail se dieron cuenta de esto internamente, y decidieron apostar por Google Wave, un nuevo sistema de comunicación para grupos que cambiaba el mensaje de e-mail tradicional por algo diferente, pero no triunfó y en el año 2012 se cerró el proyecto.

Figura 20: Imagen del proyecto Google Wave

Microsoft apostó por una cosa similar en SharePoint, del que yo mismo participé en un libro de Seguridad en SharePoint 2010 junto con mi hermano Rubén Alonso y otros compañeros para ver temas de auditoría de seguridad en la plataforma y del que apenas quedan una decena de unidades antes de desaparecer para siempre. Y a base de integrarlo con Microsoft Office y el resto de tecnologías en la empresa ha ido consiguiendo perdurar, aunque no es precisamente el más querido por muchos grupos de usuarios empresariales que necesitan otras formas de comunicación.

Figura 21: Libro de Microsoft SharePoint 2010: Seguridad

Sistemas como Skype o Google Hangout - y los canales IRC en grupos de seguridad - se convirtieron en buenas alternativas en la empresa para las comunicaciones, pero al final han sido Slack y Microsoft Teams los que han dado el salto para tener sistemas de comunicación en grupos de trabajo similares a los que Google Wave proyectaba. Es decir, un lugar donde se centralicen los documentos, se puedan editar, se permitan reuniones en real-time o mensajes en diferido.

Con todas estas alternativas, las personas se han ido buscando formas diferentes de suplir al correo electrónico y evitar todos los problemas anteriores. Hoy en día, mi equipo personal y compañeros me mandan un WhatsApp que contestaré cuando pueda, pero seguro que mucho antes que un e-mail, y los desarrolladores y equipos de producto usan Slack o Microsoft Teams antes que enviar infinitas listas de mensajes de e-mail.

Por supuesto, también quedan cosas que solucionar, como lo que sería publicar un e-mail de contacto al exterior que no sufriera los diez puntos anteriores, pero en eso también estamos trabajando, porque está claro que ni las redes sociales ni las soluciones empresariales que he citado, ni el e-mail tradicional arreglan todos esos problemas.

Resurección

Los seres humanos necesitamos comunicarnos. Para socializar. Para trabajar. Para demostrar que estamos enfadados. Para decirle a esa chica que te gusta mucho. Para educar a nuestros hijos. Y en todos estos momentos el e-mail ha sido una pieza fundamental en las últimas décadas de nuestra existencia.

Como hicimos en el pasado cuando pasamos del copiar ficheros de texto de una carpeta a otra para dar el salto a SMTP y POP3, tendremos que aceptar los nuevos cambios. La disrupción está llegando a esa dirección de e-mail y tendremos que pensar en cuáles serán las funciones de ese tunombre@tuhost.com que tanto hemos utilizado en los últimos años. Tal vez sea solo para compañeros y amigos y totalmente privado. Tal vez solo sea para la gestión de la identidad.

O tal vez sea un concentrador de comunicaciones privado que debemos proteger y que interactuará con los sistemas empresariales tipo Slack o Microsoft Teams, y las redes sociales personales sin nunca ser revelado. Un concentrador que no deba ser expuesto en la red nuca para evitar todos los problemas que he citado en los puntos anteriores.

Lo que sí que tengo claro es que hemos extenuado el modelo con tantos parches, y las nuevas tecnologías están robándole cuota de uso práctico, mientras que seguimos teniendo una carga en su gestión y un foco de riesgos de seguridad y privacidad personal y empresarial.

Eso sí, contar nuestra historia como seres humanos sin hablar del e-mail sería injusto. Sería inexplicable Internet sin uno de sus servicios mágicos, míticos y más poderosos que hemos tenido la suerte de utilizar. Así que, ¡Larga vida al e-mail! Aunque tengamos que acotar o re-definir sus usos.

Saludos Malignos!

Autor: Chema Alonso Contactar con Chema Alonso

********************************************************************************************************
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)
********************************************************************************************************

Sh3llCON, h-CON, Hackron & RootedCON @rootedcon @hackr0n @hackplayers @sh3llcon

Durante los primeros meses del año hay una serie de CONs de Hacking y Ciber-Seguridad que están anunciadas. Yo no voy a poder estar en todas, pero sí que voy a estar en algunas de ellas. Lo que sí que os quiero dejar es la información de todas ellas y la presencia que tendremos allí.

Figura 1: Sh3llCON, h-CON, Hackron & RootedCON

La primera de ellas es Sh3llCON en Santander. Es una reunión que ya ha cogido solera y donde vamos a tener un stand de 0xWord para que puedas comprar los libros y además que los ponentes que están allí puedan firmarte sus libros. Yo estaré por Vídeo Conferencia ya que mi agenda no me permite viajar mucho y tendré una sesión de Q&A (Preguntas y Respuestas) donde los asistentes podrán hacerme sus propias preguntas. Será los días 25, 26 y 27 de Enero.

Figura 2: Ponentes de Sh3llCON

El elenco de ponentes es de calidad. Desde Pablo Echevarri (que te podrá firmar sus libros de Python para Pentesters, Hacking con Python o Deep Web: TOR, I2P y Freenet), hasta el gran David Barroso (que te podrá firmar el de Hacking iOS: iPhone & iPad 2ª Edición), pasando por Dipu Daswani, mi compañero Pablo González (Got Root, Pentesting con PowerShell, Hacking Windows, Hacking Web Technologies, Metasploit para Pentesters, Ethical Hacking), Silverhack (Hacking iOS: iPhone & iPad), Alvaro Nuñez (autor de DirtyPi: DirtyTooth para Raspberry Pi), Angelucho (nuestro corazón detrás de X1Red+Segura), Josep Albors, el gran Roman Ramírez (RootedCON founder!), Pedro Candel, Pedro Sánchez y un largo etcétera. Vamos un panel espectacular.

La segunda de las CONs es la H-CON en Madrid, concretamente en la ETSI de la Universidad Politécnica de Madrid, donde me hicieron Embajador Honorífico (a ver si un día consigo que le pongan mi nombre al auditorio }:D ), pero por desgracia no podré asistir por problemas de agenda. Aún así, los días 2 y 3 de Febrero han preparado un programa con una cantidad de actividades.

Figura 3: H-CON en Madrid

Entre los ponentes, estará nuestro compañero de ElevenPaths Santiago Hernández hablando de "Hacking Network Protocols con Python". Además, colaboramos desde 0xWord en el evento. Merece la pena que revises la lista completa de Ponentes de H-CON.

Figura 4: Hackron 2018

La siguiente parada, es la excelsa Hackr0n en las Islas Canarias. Una parada antes de Carnavales para disfrutar de una agenda de talleres y conferencias de Hacking y Ciber-Seguridad. Por desgracia para mí, demasiado cerca en fechas del evento que estoy organizando para el próximo Mobile World Congress.

Figura 5: Talleres en Hackon

Como veis, se han organizado un total de 6 talleres, donde estarán mis compañeros Pablo González con uno de "Iniciación al pentesting con Metasploit" y Pablo San Emeterio con uno de "Iniciación en exploiting". Además, en el taller de Phishing que dará el gran Igor Lukic los asistentes verán las técnicas de Sappo, que tanto revuelo han generado recientemente por culpa de las demos que ha hecho el gran Kevin Mitnick con él, usando Ransomcloud. 

Figura 6: Kevin Mitnick explicando Ransomcloud

Además de los talleres, por supuesto, están las ponencias. En ellas tenéis una buena variedad, y estará Pablo González hablando de sus FRANKENWARE y J. Fran Bolivar (autor del libro de Hacking y Seguridad de Sistemas de Control Industrial y Sistemas Críticos) hablando de "air-gapped attacks". Yo participaré de nuevo por Vídeo Conferencia con una sesión de Q&A.

Figura 7: Agenda de Hacron 2018

La última parada es la RootedCON, de la que aún es pronto para dar muchos detalles. Es cierto que ya han salido los primeros ponentes que vamos a estar allí. Yo estoy trabajando con mi equipo para llevar una charla nueva - como hacemos siempre en la RootedCON - y sobre un tema del que nunca he hablado allí.

Figura 8: Primeros ponentes de RootedCON 2018

El amor que tengo por la RootedCON me hace siempre presentar por primera vez lo que estoy investigando. Allí hablé por primera vez de FOCA 2, allí hablé por primera vez de DUST RSS, de DirtyTooth, de Latch, de Sappo, la charla de Owning Bad Guys {and mafia} using JavaScript Botnets, de Tacyt, de los ataques IPv6 con Evil FOCA, etcétera. Este año... toca hablar de cosas de WiFi con las que llevamos un año "enredando" sin acabar de publicarlas. Keep listening!

Saludos Malignos!

ElevenPaths Talks Temporada 3 en vídeos

Como ya hiciera con los vídeos de la Temporada 1 de las ElevenPaths Talks y con todas las sesiones que conformaron la Temporada 2, aprovecho este domingo de Agosto para traeros la lista de las sesiones que hemos grabado en 2017 en ElevenPaths sobre tecnología en general y seguridad informática en particular. Tienes ya más de 50 charlas gratuitas disponibles con las sesiones anteriores.

Figura 1: Vídeos de las ElevenPaths Talks Temporada 3

Si quieres conocer la agenda de sesiones que tenemos por delante - que estamos en plena campaña - para apuntarte y asistir a ellas gratuitamente, puedes acceder a la web: ElevenPaths Talks. 

Figura 2: Lista de próximas sesiones de ElevenPaths Talks 3

Por ahora, los vídeos que tienes disponibles son los siguientes, e iré actualizando este artículo a medida que vayan publicándose las grabaciones cada dos semanas, así que pon este artículo en favoritos.

Figura 3: La Guerra contra el Ransomware

Figura 4: La red bajo ataque

Figura 5: Data Access Control y De Duplication en Cloud Computing

Figura 6: DirtyTooth. It´s only Rock'n Roll, but I like it!

Figura 7: Jugando con la seguridad de Apps de Mensajería

Figura 8: Asegurando los Host en modo paranoico

Figura 9: Criptografía, criptomonedas y otras hierbas

Figura 10: ¿Es posible prevenir el Fraude?

Figura 11: Phishing. A la pesca de víctimas

Figura 12: PinPay y la seguridad en los micropagos

Figura 13: NOC, SOC y CyberSOC

Figura 14: mASAPP. La solución para analizar apps móviles

Figura 15: DroneTinder. Privacidad en redes sociales

Figura 16: Seguridad Defensiva vs Seguridad Ofensiva

Figura 17: Inteligencia Artificial & Machine Learning

Por último, si quieres debatir sobre algo de lo que se haya hablado en las sesiones a posteriori, a priori o quieres proponer algún tema, puedes hacerlo a través de nuestra Comunidad online de ElevenPaths.

Saludos Malignos!

Mi nueva vida como Chief Data Officer en Telefónica

La verdad es que no esperaba que se generara tanto revuelo con mi nuevo rol dentro de Telefónica, pero el impacto en la sociedad de esta compañía es mucho más grande de lo que uno se imagina, que hasta Andreu Buenafuente se ha disfrazado como si fuera yo - con el que tuve la suerte de estar en un programa -. Han aparecido muchos artículos y en algunos de ellos, los datos no eran del todo correctos. Para los que no os haya llegado aún la noticia, desde el martes he tomado el rol de Chief Data Officer en Telefónica para ocuparme de una serie de iniciativas dentro del grupo que circulan alrededor del mundo del Big Data y la Seguridad de la Información, principalmente.

Figura 1: Mi nueva vida como CDO en Telefónica

La verdad es que no pensaba hablar mucho de este nuevo rol y esperar, como hice con el lanzamiento de Eleven Paths, unos meses hasta que me hubiera dado tiempo a organizarme bien, pero viendo que salió en tantos medios de comunicación, e incluso en el Telediario Nacional de TVE1, creo que no va a ser posible esperar ese tiempo, así que os cuento un poco en resumen qué he estado haciendo en Telefónica estos años y qué voy a hacer ahora.

Figura 2: El popular presentador Andreu Buenafuente con el gorro de rallas y las melenas

Dese que llegué a la casa hace ya más de 4 años - como sabéis no acabo de fichar precisamente - he estado cambiando de rol varias veces, pero siempre llevando la tecnología y la seguridad informática como epicentro. Primero estuve como asesor/consultor de nuestro hoy presidente D. José María Álvarez-Pallete, dentro de una iniciativa de la que os he hablado ya muchas veces llamada Talentum Startups. Allí estuve poco más de un año desde Febrero de 2012 hasta que pasé a mi siguiente ocupación.

Figura 3: Año 20102. Con Javier Santiso (mi compañero en la creación de  Telefónica Talentum) en la primera
selección de jóvenes para los programas de Talentum Startups Short Track & Long Track

En Abril de 2013, con la incorporación de todo mi equipo de Informática 64 en Telefónica lanzamos Eleven Paths, una empresa filial de Telefónica enfocada en la innovación en tecnologías de seguridad de la información - aunque estuvimos en modo silencioso hasta Junio. Allí, comenzamos a construir Faast, Latch, MetaShield Protector o Tacyt, por citar los productos principales que creamos durante la primera etapa. No solo creamos productos, sino que también incorporamos tecnologías provenientes de la compañía SmartAccess, como fueron SmartID y SealSign. 

Figura 4: KeyNote Security Innovation Day 2014. Resumen de dos años en Eleven Paths

En Abril de 2015, dos años después, fusionamos todos los equipos de seguridad de la información globales en Telefónica Business Solutions, y he estado trabajando como Director de Seguridad de la Información B2B.  En esta nueva unidad global lanzamos los programas de alianzas estratégicas que firmamos con Palo Alto, BlueCoat, Alien Vault, Intel Security, Vaultive, RSA y que ahora hemos extendido a Fortinet y Spamina. Además, incorporamos los productos Sinfonier, SandaS y Mobile Connect, y los servicios de CyberSeguridad basados en Vamps, CyberThreats y AntiFraud. También adquirimos SandaS GRC, un porcentaje de otras compañías de seguridad como Alise Devices (Liliac) y algoritmos biométricos provenientes de la Universidad Carlos III.

Figura 5: KeyNote Security Innovation Day 2015. Resumen del año en Eleven Paths

En estos tres últimos años hemos estado, además de sacando las patentes tecnológicas para las nuevas ideas y de desarrollar todos los productos que os he citado, creando los servicios de seguridad dede la red, los servicios de seguridad en los Data Centers, trabajando en Seguridad IoT y ampliando la red de SOCs por todo el mundo, llegando a montar los de Etisalat o Turk Telekom que ahora hemos firmado. Entre ellos, la última alianza con CheckPoint para integrar MTP y Tacyt en la seguridad de dispositivos móviles en entornos corporativos.

Ahora, en Mayo de este año, dentro de la unidad CDO hemos unido los equipos de Big Data y Cyberseguridad debido a las sinergias que tienen ambos y la importancia que para Telefónica es su visión de devolver a los usuarios el control de sus datos. Y ese es mi nuevo rol dentro de la compañía, como ya dejé publicado en mi perfil de Linkedin, ocuparme de los productos y servicios de seguridad de la información tanto para B2B como para B2C, además de toda la estrategia alrededor de los datos, es decir, los servicios de Business Intelligence, Big Data y nuestras estrategias destinadas a transformar la relación de nuestros clientes con sus datos.

Figura 6: Conferencia de Big Data y Privacidad en Fundación Telefónica

Para la compañía, esta evolución es muy importante, y por eso el puesto de CDO está dentro del comité ejecutivo desde su concepción. Ahora soy yo el que tengo que continuar el buen hacer de Ian Small, quien se ha ocupado del rol de CDO desde que se constituyó el año pasado, además de continuar con el buen hacer que desde hace años los equipos de Seguridad de la Información y BI / Big Data han hecho en Telefónica.

Curiosamente para mí se da una vuelta la vida, pues cuando estudié en la universidad mi interés iba enfocado al mundo de las bases de datos - trabajé mucho con Oracle y SQL Server - y no me interesaba tanto la seguridad, como expliqué en el pequeño discurso que di cuando me hicieron embajador honorífico de mi escuela.

Figura 7: Discurso de "la servilleta", el día que me hicieron embajador honorífico de la Escuela de Informática de la UPM

Después, gracias a la aparición de las técnicas de SQL Injection, todo ese conocimiento en el lenguaje SQL me llevó al mundo de la seguridad informática y a hacer mi doctorado en técnicas de inyección de comandos a ciegas - muy motivado por el conocimiento en bases de datos que tenía -. Ahora, el mundo de la seguridad se movió hacia el Big Data y se cierra un círculo que me llevó de la gestión de los datos a la seguridad de la información y ahora a la gestión segura de grandes volúmenes de datos. Y no solo estoy contento, estoy contento e ilusionado por comenzar a disfrutar de todas estas tecnologías juntas.

Saludos Malignos!

Mis próximas charlas de aquí a fin de año

Esta semana que se avecina da comienzo ya el último mes del año 2014, al que una vez más y contra todo pronóstico sobrevivimos. Yo ya tengo el calendario de mis charlas totalmente cerrado y no creo que entre nada más por aquello de los problemas espacio-temporales. Por si te va bien y te apetece, esta es la lista de todos los eventos públicos en los que voy a estar este mes de Diciembre.

Figura 1: Orejas arriba si vas a venir a aluna de las charlas en diciembre

2 de Diciembre: La Mañana con Javi Nieves ... y con Fermín J. Serna

Este martes, a las 10:00 de la mañana, aprovechando que Fermín J. Serna (zhodiac) anda por España para estar en el CyberCamp y pasar unos días en su querida España, me lo llevo a la radio, que el equipo quiere charlar unos minutos con él.

Figura 2: Fermín J. Serna presentando en Black Hat USA 2012

4 de Diciembre: Escuela Politécnica Superior de la Universidad de Lleida

El próximo jueves, de camino a Barcelona, haré una parada en la Universidad de Lleida para dar una charla de una hora. Será e en el Auditorio del Centro de Culturas y Cooperación Transfronteriza del Campus de Cappont, sito en la Calle Jaume II número 67.

Figura 3: Conferencia en la EPS de Lleida

La charla es para los estudiantes de la Universidad, pero creo que está abierta a todo el público. Será a partir de les 12:00 y durará hasta las 13:00 horas. Tienes más información en este artículo que ha publicado la Escuela.

4 de Diciembre: 5 Talks

El mismo día, pero por la tarde, estaré en 5Talks, que tendrá lugar a las 19:30, en Barcelona, en el Mobile World Centre. Allí estará Elsa Punset, mi compañera en Telefónica I+D Nuria Oliver, Arancha Ruiz y Christian Rodríguez. Puedes conseguir tu entrada aquí.

Figura 4: 5Talks.org en Barcelona

Para interesados que no pueden asistir en directo, las charlas también serán retransmitidas por live stream.

5 de Diciembre: CyberCamp 2014

Al final, debido a incidencias de última hora, me va a tocar estar el Viernes por la tarde en la presentación del CyberCamp. Estaré en las charlas de las keynotes, y mis compañeros estarán en los talleres de Latch y dando alguna que otra charla.

Figura 5: Cálico Electrónico y su preocupación por el CyberCamp

Recuerda que el CyberCamp es gratuito, pero las plazas para las actividades son limitadas, así que apúntate cuanto antes si quieres venir a alguna de las cosas que tenemos preparadas.

10 de Diciembre: Sinfonier MeetUp

Los chicos del equipo de Sinfonier, además de tener también un taller en el CyberCamp al que te puedes apuntar, han preparado un encuentro para que la gente conozca las capacidades de este proyecto.

Figura 6: Sinfonier MeetUP en Madrid

Así que me han liado a mí para que lo use junto con nuestro proyecto de investigar en busca de ciber-malos Path 5 y el día 10 de diciembre en Madrid estaré en el Sinfonier MeetUp. Regístrate si quieres asistir, que el número de plazas es muy limitado. Estate atento al blog de Sinfonier para próximos anuncios.

Y esto es todo. El resto de los martes del mes estaré en la radio, como sucede desde hace tres años, y espero que todos los días escribiendo en El lado del mal. 

Saludos Malignos!