Estimados amigos de Inseguros !!!
Hoy en el blog traigo una de esas entradas que ya se de antemano que va a generar muchas visitas y quien sabe, lleguemos a 100 en un dia ¡!! ☺
En esta ocasión voy a intentar acercar al público a uno de los profesionales con mejor trayectoria en el mundo de la ciber que conozco, y tengo la suerte de tener cerca ya que entre viaje y viaje, las maletas residen habitualmente en la ciudad de Cartagena.
Como os podéis imaginar, no hablo de otro que de Javier Cao.
Profesor en distintas universidades repartidas por toda la nación, miembro de varios colectivos importantes como Isaca o Apep, de la que es vocal. Propietario de un blog de ciberseguridad que está a punto de cumplir...20 años !!! Creo que me dejó mucho CV suyo en el tintero...
Espero que os guste.
1.- ¿Quién es
Javier Cao? ¿Donde vives? ¿Que te gusta hacer?
Soy Ingeniero en Informática por la
Universidad de Murcia, resido en Cartagena y me gusta pasar tiempo con mi
familia. Durante la semana los disfruto poco y los fines de semana aprovecho al
máximo para disfrutar de las cosas que tenemos en la Región. Soy mucho de salir
a ver pueblos o ir a la playa, tanto en verano como en invierno. Como hobby, me
gusta la fotografía, pero utilizando como cámara el móvil que es lo que siempre
llevo encima. En Twitter subo a menudo paisajes y situaciones que me llaman la
atención y con las que juego mediante aplicaciones de retoque. Me gusta mucho
hacer fotos y mezclar partes en color y blanco/negro.
 |
| Foto de Javier Cao y su Cartagena |
2.- Cómo empezaste
en esto de la ciberseguridad?
Pues casi por casualidad. A finales del año
1998, recién terminada la carrera, empecé a trabajar como ingeniero en una
empresa y estaba con temas de análisis de requisitos con un ERP. Llevaba 2
meses y mi director de proyecto me ofreció la posibilidad de trabajar en un
proyecto de investigación para probar una metodología de análisis y gestión de
riesgos, MAGERIT 1.0 en la Dirección General de Informática de la Comunidad
Autónoma de la Región de Murcia. Fue una experiencia que me cautivó y despertó
en mí la vocación por identificar situaciones de riesgo y buscar puntos de
fallo. Aquello cambió mi forma de pensar. Un ingeniero, por vocación, aplica su
conocimiento y creatividad a construir algo con una finalidad. En mi caso, me
gusta identificar las piezas que constituyen el todo y analizar qué podría
ocurrir y dónde puede haber puntos de fallo.
 |
| Fantástica foto de Javier Cao y su tierra |
3.- Eres de ese
colectivo de grandes hackers que apareció en la época de finales de los 90 en
Murcia? Cuéntanos tu paso por esa escena.
No, no pertenezco a ese grupo de gurús de la
Región que se movía de forma muy activa en aquellas épocas. Una vez terminé el
proyecto de análisis de riesgos, tuve claro que me quería dedicar a la seguridad,
pero en la Región no había ninguna oportunidad. En aquella época ni siquiera se
consideraban necesarios los firewalls. Tuve que emigrar a Madrid donde fui
contratado por una empresa especializada en seguridad desde la consultoría
hasta la implantación de soluciones. De hecho, mi jefe de aquella época es
ahora CISO en un gran proveedor de servicios de Cloud. Mi primera tarjeta si
nos identificaba como E-hackers y en aquella época si estuve bastante tiempo
jugando con crackeadores de contraseñas, sniffers y tuve que certificarme en la
instalación de firewalls, antivirus, entornos de firma electrónica y
autenticación fuerte, etc.
En el área de consultoría éramos un grupo
heterogéneo. Tenía compañeros que hacían los pentesting pero a mí me tocaba la
consultoría estratégica de negocio y cumplimiento legal, para identificar
necesidades y diseñar planes directores de seguridad de la información.
Estuve trabajando fuera de Murcia desde el
2000 al 2005 porque no había empresas en nuestra zona que hicieran estas cosas.
De hecho, para poder llegar a Murcia, en el año 2003 tuve que desplazarme a
Almería donde estuve trabajando también un par de años en el sector banca.
Luego aterricé en Murcia y levanté el área de consultoría de seguridad de la
información, en el año 2005 coincidiendo con la aparición en escena de la norma
ISO 27001 y las certificaciones de sistemas de gestión de la seguridad.
4.-
Independientemente de tu labor como docente universitario, masters y todo tipo
de iniciativas, eres el propietario del blog Seguridad de la Información.
Cuéntanos un poco más. Que se te pasaba por la cabeza aquel octubre de 2002, en
el que muchos lectores aún no habían conocido las virtudes de la red…
Pues tenía un compañero de universidad que
estaba haciendo bastantes cosas innovadoras por aquella época en Barcelona. Me
comentó que muchas empresas estaban tratando de gestionar el conocimiento
mediante la creación de foros públicos donde iban colgando consejos, buenas
prácticas, etc. y me nombró Blogger. En aquella época todavía no la había
comprado Google. Me pareció una buena idea ir escribiendo sobre todo lo que iba
leyendo… y de hecho, me ayudó mucho a asimilar la cantidad de noticias y
situaciones con las que me iba enfrentando. Si miras el histórico, inicialmente
lo dediqué a consejos a usuarios, aplicaciones para proteger el equipo, cosas
interesantes que pudieran hacerlos más conocedores de los riesgos, aunque luego
ya lo centré en la problemática de seguridad de la información. En aquella
época éramos muy poquitos los que hacíamos estas cosas… y algunos se hicieron
muy “ilustres” después…
Quizás yo si fui de los pocos que no me
centraba en temas de hacking sino en temas de gestión y de la visión
corporativa de la seguridad de la información. La aparición de estándares como
ISO 27.001 en el 2005 hizo que muchas organizaciones se empezaran a plantear
poner orden a la ciberseguridad. Hasta la fecha, las decisiones de protección
se basaban en adquirir tecnologías, pero sin análisis de necesidades y riesgos.
Esto ha ido cambiando muy lentamente y he tenido la fortuna de ver cómo cada
vez más, las decisiones se basan en tratar de analizar qué se hace, qué puede
pasar y con qué estrategias defenderse frente a esos riesgos. Las diferentes
normativas han ido obligando a ello porque tanto en Administraciones Públicas
con el Esquema Nacional de Seguridad o la Ley de Protección de Infraestructuras
Críticas, como por el cumplimiento del Reglamento Europeo de Protección de
Datos, hacer análisis de riesgos es algo obligado.
El blog me da cierta nostalgia. De hecho, en
octubre de este año cumplirá 17 años … aunque los últimos dos lo tengo en
barbecho. La vida tiene las horas contadas… y no puedes llegar a todo. Sigo
escribiendo porque me toca elaborar temarios para algunos de los sitios en
donde imparto formación… pero ese lugar de intimidad donde hacer reflexiones
hacia Internet se añora.
5.- En la
actualidad representas a una gran firma nacional líder en el sector del
gobierno y la ciberseguridad. ¿Cómo ves la postura de las empresas en España? Pero
no me refiero a las 10 grandes, ni tampoco a las 10 pequeñas, ¿sino a la media?
Pregunta complicada, aunque a lo largo de mis
20 años de experiencia he tenido que trabajar en todos los sectores y con todos
los tamaños. He estado en una consultora pequeña como Responsable de
Consultoría de Seguridad de la Información 12 años y trabajando con clientes
principalmente de la Región, aunque un porcentaje importante ha sido la
Administración por el cumplimiento del Esquema Nacional de Seguridad. El
empresario se centra en su negocio, en tratar de maximizar beneficios y las
cuestiones de seguridad, que son una inversión, no tienen retorno si no te
ocurre algo. Es complicado hacer ver que no puedes estar expuesto a cualquier
imprevisto y que de ello dependa la continuidad de la empresa. Hay un problema
también de percepción. El ser humano está capacitado para detectar y evitar los
peligros físicos… En todas las empresas no se cuestionan nunca no tener medidas
frente a incendios. Tu, al igual que yo, habrás escuchado la frase “¿Por qué
nos van a atacar a nosotros? O “Si nunca nos ha pasado nada”, pero ese
razonamiento no lo aplican contra las amenazas físicas. El hecho de no haber
sufrido un incendio no hace que decidan no invertir en protección (Además de
que por normativa no podrían) pero los riesgos de ciberseguridad son
invisibles… y, por tanto, más complejos de gestionar. De hecho, algunos lo han
vivido en sus propias carnes porque en la moda de subir a la nube, muchos han
migrado sin contemplar los factores importantes y algunos han tenido problemas
o se han quedado tirados… por no haber valorado bien lo que supone ese salto.
No hay proactividad y no todo el mundo considera que debe ser resiliente a imprevistos.
Mucho me temo, con las riadas que hemos sufrido, que muchas empresas no sólo
habrán perdido sus instalaciones… muchas también sus servidores y probablemente
los datos que les permitan volver a la normalidad. Ojalá no ocurra demasiado.
6.- Cómo ha sido
la evolución en estos 15 años o más de tu carrera en la sociedad? ¿Crees que la
tecnología crece de la mano del conocimiento de la sociedad?
La tecnología va demasiado rápida… no hemos
solucionado unos problemas y ya estamos creando otros nuevos. En el blog, no
recuerdo en qué fecha, hablé de la “deuda técnica” que se estaba produciendo en
seguridad. Disfrutamos de tecnologías que se basan en protocolos de los años 70
y 80 cuyo objetivo era asegurar el servicio y la disponibilidad. No se pensaba
en aquella época en que terceros pudieran tratar de ponerse en medio de las
comunicaciones o que pudieran interceptar tráfico. Ha existido una ausencia de
“seguridad por defecto” y “seguridad por diseño” cuya factura vamos a pagar
durante muchos años. Además, ahora todo es software… los electrodomésticos ya
llevan firmware o incluso sistemas operativos embebidos… y si hay software, hay
error humano, hay vulnerabilidades y hay necesidad de actualización y
aplicación de parches. La gestión de parches funciona en entornos centralizados
y se puede aplicar a equipos informáticos… pero a estos nuevos aparatos es
bastante más complicado… por lo que vamos a tener agujeros por todos sitios.
En lo profesional he ido evolucionando,
aunque como digo, mis comienzos ya fueron sobre áreas de gestión y gobierno de
la seguridad. He estado dedicado a implantar sistemas de gestión bajo ISO
27001, adecuación a la legislación en protección de datos, implantación del
Esquema Nacional de Seguridad, elaboración de normativas y procedimientos de
seguridad, definición de procesos de comunicación y notificación de incidentes,
… en general, todo lo que asume el rol del CISO al que suelo asesorar. La
ciberseguridad ahora vive un buen momento y no hay tantos profesionales que
alcancen los 20 años de experiencia. Quizás el hecho de querer residir en
Cartagena, por conservar mi entorno familiar, si ha podido suponer un freno en
mi carrera dado que las grandes oportunidades para este puesto se generan en las
grandes ciudades como Madrid, Barcelona, Valencia… pero no por nuestra zona.
Ahora trabajo para clientes en esas zona pero me desplazo en los proyectos que
lo requieren, aunque ya la gente se está habituando a reuniones por
videoconferencia.
7.- Como miembro
de la comunidad, seguro que has recibido ofertas te “hacer el mal” de algún
contacto, ¿alguna anécdota o caso que puedas contar?
Como te decía antes, no he pisado nunca “el
lado oscuro de la fuerza”. Mi trabajo siempre ha estado basado en defender o
proteger, no en investigar por donde entrar o qué vulnerabilidad explotar.
Obviamente como conocedor de estos temas, porque si me mantengo al día de todo
lo que puede ocurrir, te preguntan…pero nunca he tenido que hacer nada al
respecto. Si recuerdo la desaparición de un familiar de una amiga, y me
pidieron si podía tratar de entrar a su ordenador. Aquello era un conflicto
importante porque era mayor de edad… y se puede cruzar una línea roja… pero
afortunadamente se resolvió antes y no hizo falta actuar, aunque ya había
indicado que había que ponerlo en manos de la policía.
8.- Qué tecnología
sueles usar? Eres Android? iPhone? Mac? Alexa?
¡¡¡Cuéntanos tus secretos en materia Freak !!!.
Bueno, otro de mis campos
profesionales es la privacidad y en ese sentido, cada vez vivo más obsesionado
por tratar de dejar el menor rastro posible que pueda permitir análisis o
estudios sobre mi persona y la de mi familia. He usado siempre la filosofía de
“divide y vencerás” para que no única empresa conociera demasiado. Pero soy de IPhone
(Que permite un control muy exhaustivo de la configuración de la privacidad) y
tengo un iMac porque en materia de fotografía me facilita mucho las cosas.
Por desgracia, soy usuario de
algunos de los servicios de Google (El verdadero peligro) y era de otros que
han ido comprando las grandes. Ahora hay una peligrosa concentración de poder
en las empresas tecnológicas que Europa, con la regulación en materia de
privacidad, debe tratar de frenar. Hay en juego más de lo que nos imaginamos. Somos
la sociedad más monitorizada… y eso pone en riesgo ya hasta nuestra libertad.
Ya hemos visto que pueden diseñar qué hacernos llegar para condicionar lo que
podemos pensar… Ahora hay que tener un mayor espíritu crítico… y cuestionarse
la fuente, la intención y la veracidad.
9.- Cómo ves el sector de la ciber en 5/10 años? ¿Realmente las IA y
demás tendencias se implementarán de la manera que creemos? A riesgo de
equivocarse, haznos una pequeña visión tuya del escenario.
Cualquier nueva tecnología que sea
capaz de procesar grandes volúmenes va a ser relevante… y si encima, aplicamos
algoritmos que puedan detectar patrones allá donde el ser humano no es capaz de
encontrarlos será beneficiosa, pero tanto para “los buenos como para los
malos”. No vienen buenos tiempos… como decía antes, hay una deuda técnica con
la seguridad que no se aplica por diseño y por defecto… y ahora estamos
inmersos en la digitalización, en la industria inteligente, en hacer que todo
tenga software, reporte un estado de situación, pueda ser monitorizado y, por
tanto, pueda ser gestionado.
La inseguridad y los fallos
software, por desgracia, va a costar vidas humanas. Bueno, eso ya está pasando.
Hemos tenido accidentes de avión por errores software, han hecho saltar por los
aires un gaseoducto al modificar los parámetros de control de la informática
industrial que controla el proceso, hemos tenido filtraciones de información
como el caso Ashley Madison que supuso el suicidio de dos personas. Si quieres
ver más allá, en esas situaciones hay siempre una causa, la falta de garantías
del software. Uno de los profesionales que más admiro y un referente es Bruce Schneier.
Lo sigo desde hace años y si tiene esa capacidad visionaria de ver las cosas
con simplicidad, pero identificando lo que nos viene encima. Su último libro,
que he devorado este año, lo ha titulado “Haz clic para matarlos a todos”. La
explicación es sencilla. Si hasta la fecha hemos estado preocupados por la
confidencialidad de la información y asociábamos los problemas con las fugas o
filtraciones, ahora el problema se centra en la integridad del dato. Con la
cantidad de entornos automatizados, ser capaz de modificar valores supone un
peligro inmenso. De hecho, esta semana he finalizado el Curso práctico
Responsable de Ciberseguridad en IACS (Sistemas de Automatización y Control
Industrial) y estamos en pañales en estas cuestiones. Soy coordinador del
Centro de Ciberseguridad Industrial en la Región (http://www.cci-es.org) y hay una labor de
evangelización muy importante todavía por hacer.
El mundo del cibercrimen por
desgracia está muy industrializado ya, y dado los ingentes beneficios que
genera, no va a parar. Pensemos en que cada campaña de ransomware genera
ingresos que les permiten mejorar y obtener nuevos recursos para lograr crear
una nueva variante que les vuelva a generar ingresos. Ellos están en una
espiral de investigación e inversión continua con alta rentabilidad. ¿Qué
industria pararía de crecer?
Además de la industria del
cibercrimen, tenemos un nuevo problema: los Estados. Ahora, y será así en los
próximos años, la seguridad se emplea como armamento. De hecho, no tengo ya tan
claro que se aplique la seguridad por diseño y por defecto sin una motivación.
Piensa que ahora una vulnerabilidad desconocida, es un punto débil para quien
la tiene y un arma poderosa para quién la conoce y la puede usar. Vamos a ver
una carrera armamentística por dotarse de equipos de investigadores cuya misión
sea identificar vulnerabilidades (Eso ya existe y el mercado negro de estas
mercancías mueven millonadas) que en el fondo es malo para todos. El objetivo
de estos investigadores es identificar errores y, por tanto, ahora todo es
revisado, analizado con la finalidad de encontrar agujeros. Pero una vez que se
encuentran, no siempre se publican, se guardan para un uso posterior. Por
tanto, los Estados ahora tienen un dilema: o trabajan por hacer las
infraestructuras más robustas o trabajan para tener este tipo de ciber armamento
a buen recaudo para que les sea útil en algún momento.
Hay una frase que cita BruceSchneier en su libro, de Dan Geer que lo resume todo “Una tecnología que puede
darte todo lo que deseas, es una tecnología que puede quitarte todo lo que
tienes”.
10.- Por último, y después de tu gran trayectoria, ¿crees que puedes
lanzar algún mensaje de ánimo o sugerencia para los lectores jóvenes que nos
leen?
Pues sí, hacen falta muchos ciber
guerreros, mucha gente que se sitúe en las zonas de defensa. Y esta guerra se
defiende desde muchas posiciones:
·
Siendo consciente como programador de que el
software debe responder a una función pero asegurar que no hará nada extraño en
un caso extraño. Hay que pensar en el uso habitual pero también en el caso de
abuso.
·
Ser responsable y respetar la privacidad y la
legislación existente en materia de intimidad. Doy clase en la universidad y
muchas veces… me encuentro con alumnos que tienen ideas interesantes para
montar su start-up pero no hay caído en que no todo se puede hacer. Las leyes
establecen límites a la tecnología y ahora en el contexto del nuevo Reglamento
de Protección de Datos, antes de “construir” hay que diseñar y según el tipo de
tratamiento, incluso formalizado en una “Evaluación de impacto de la privacidad”.
Es un análisis de riesgos sobre un producto en diseño para asegurar la
seguridad de los datos tratados.
·
Ser un técnico responsable e instalar las cosas
realizando tareas de bastionado y robustecimiento de la configuración. ¿Cuántos
disgustos tienen su origen en instalaciones por defecto sin modificar cosas tan
básicas como password por defecto o puertos y servicios abiertos que no son
necesarios?
·
Ser ya un profesional centrado en la seguridad
que se dedique a asesorar o vigilar empresas.
Hay un mundo apasionante … y
diferentes tipos de perfiles técnicos que ocupar en las distintas capas de la
seguridad: Estrategia, táctica y
operacional. No todo es pentesting o hacking. Esa es una actividad importante
porque identifica problemas existentes… pero también se necesitan estrategias
que definan los procesos a poner en marcha, la manera de medirlos, la forma de
vigilarlos.
Últimamente también estoy
trabajando en eso: diseñar cuadros de mandos de indicadores que sirvan para
poder visualizar, de forma sencilla, gráficos en tiempo real que indiquen si se
están produciendo situaciones que van a poner en riesgo la organización. Es un
tema complejo porque tenemos muchas fuentes de datos distintas que proporcionan
una visión parcial del problema… pero se trata de unirlo todo de forma que
puedas tomar decisiones. En la gestión de incidentes se aplica el ciclo “OODA
Loop”: Observar, orientar, decidir y actuar. Cuanta mejor información, más significativa
y más accionable recibas, antes podrás obtener “conciencia situacional” que
permita una reacción adecuada y eficiente que evite daños.
Gracias por todo Javier, ha sido
un placer que cuentes con Inseguros.