Entrevista a... Javier Cao

Estimados amigos de Inseguros !!!

Hoy en el blog traigo una de esas entradas que ya se de antemano que va a generar muchas visitas y quien sabe, lleguemos a 100 en un dia ¡!! ☺

En esta ocasión voy a intentar acercar al público a uno de los profesionales con mejor trayectoria en el mundo de la ciber que conozco, y tengo la suerte de tener cerca ya que entre viaje y viaje, las maletas residen habitualmente en la ciudad de Cartagena. 

Como os podéis imaginar, no hablo de otro que de Javier Cao.

Profesor en distintas universidades repartidas por toda la nación, miembro de varios colectivos importantes como Isaca o Apep, de la que es vocal. Propietario de un blog de ciberseguridad que está a punto de cumplir...20 años !!! Creo que me dejó mucho CV suyo en el tintero...

Espero que os guste.

1.- ¿Quién es Javier Cao? ¿Donde vives? ¿Que te gusta hacer?

Soy Ingeniero en Informática por la Universidad de Murcia, resido en Cartagena y me gusta pasar tiempo con mi familia. Durante la semana los disfruto poco y los fines de semana aprovecho al máximo para disfrutar de las cosas que tenemos en la Región. Soy mucho de salir a ver pueblos o ir a la playa, tanto en verano como en invierno. Como hobby, me gusta la fotografía, pero utilizando como cámara el móvil que es lo que siempre llevo encima. En Twitter subo a menudo paisajes y situaciones que me llaman la atención y con las que juego mediante aplicaciones de retoque. Me gusta mucho hacer fotos y mezclar partes en color y blanco/negro.

Foto de Javier Cao y su Cartagena

2.- Cómo empezaste en esto de la ciberseguridad?

Pues casi por casualidad. A finales del año 1998, recién terminada la carrera, empecé a trabajar como ingeniero en una empresa y estaba con temas de análisis de requisitos con un ERP. Llevaba 2 meses y mi director de proyecto me ofreció la posibilidad de trabajar en un proyecto de investigación para probar una metodología de análisis y gestión de riesgos, MAGERIT 1.0 en la Dirección General de Informática de la Comunidad Autónoma de la Región de Murcia. Fue una experiencia que me cautivó y despertó en mí la vocación por identificar situaciones de riesgo y buscar puntos de fallo. Aquello cambió mi forma de pensar. Un ingeniero, por vocación, aplica su conocimiento y creatividad a construir algo con una finalidad. En mi caso, me gusta identificar las piezas que constituyen el todo y analizar qué podría ocurrir y dónde puede haber puntos de fallo. 

Fantástica foto de Javier Cao y su tierra

3.- Eres de ese colectivo de grandes hackers que apareció en la época de finales de los 90 en Murcia? Cuéntanos tu paso por esa escena.

No, no pertenezco a ese grupo de gurús de la Región que se movía de forma muy activa en aquellas épocas. Una vez terminé el proyecto de análisis de riesgos, tuve claro que me quería dedicar a la seguridad, pero en la Región no había ninguna oportunidad. En aquella época ni siquiera se consideraban necesarios los firewalls. Tuve que emigrar a Madrid donde fui contratado por una empresa especializada en seguridad desde la consultoría hasta la implantación de soluciones. De hecho, mi jefe de aquella época es ahora CISO en un gran proveedor de servicios de Cloud. Mi primera tarjeta si nos identificaba como E-hackers y en aquella época si estuve bastante tiempo jugando con crackeadores de contraseñas, sniffers y tuve que certificarme en la instalación de firewalls, antivirus, entornos de firma electrónica y autenticación fuerte, etc.

En el área de consultoría éramos un grupo heterogéneo. Tenía compañeros que hacían los pentesting pero a mí me tocaba la consultoría estratégica de negocio y cumplimiento legal, para identificar necesidades y diseñar planes directores de seguridad de la información.

Estuve trabajando fuera de Murcia desde el 2000 al 2005 porque no había empresas en nuestra zona que hicieran estas cosas. De hecho, para poder llegar a Murcia, en el año 2003 tuve que desplazarme a Almería donde estuve trabajando también un par de años en el sector banca. Luego aterricé en Murcia y levanté el área de consultoría de seguridad de la información, en el año 2005 coincidiendo con la aparición en escena de la norma ISO 27001 y las certificaciones de sistemas de gestión de la seguridad.

4.- Independientemente de tu labor como docente universitario, masters y todo tipo de iniciativas, eres el propietario del blog Seguridad de la Información. Cuéntanos un poco más. Que se te pasaba por la cabeza aquel octubre de 2002, en el que muchos lectores aún no habían conocido las virtudes de la red…

Pues tenía un compañero de universidad que estaba haciendo bastantes cosas innovadoras por aquella época en Barcelona. Me comentó que muchas empresas estaban tratando de gestionar el conocimiento mediante la creación de foros públicos donde iban colgando consejos, buenas prácticas, etc. y me nombró Blogger. En aquella época todavía no la había comprado Google. Me pareció una buena idea ir escribiendo sobre todo lo que iba leyendo… y de hecho, me ayudó mucho a asimilar la cantidad de noticias y situaciones con las que me iba enfrentando. Si miras el histórico, inicialmente lo dediqué a consejos a usuarios, aplicaciones para proteger el equipo, cosas interesantes que pudieran hacerlos más conocedores de los riesgos, aunque luego ya lo centré en la problemática de seguridad de la información. En aquella época éramos muy poquitos los que hacíamos estas cosas… y algunos se hicieron muy “ilustres” después… 

Quizás yo si fui de los pocos que no me centraba en temas de hacking sino en temas de gestión y de la visión corporativa de la seguridad de la información. La aparición de estándares como ISO 27.001 en el 2005 hizo que muchas organizaciones se empezaran a plantear poner orden a la ciberseguridad. Hasta la fecha, las decisiones de protección se basaban en adquirir tecnologías, pero sin análisis de necesidades y riesgos. Esto ha ido cambiando muy lentamente y he tenido la fortuna de ver cómo cada vez más, las decisiones se basan en tratar de analizar qué se hace, qué puede pasar y con qué estrategias defenderse frente a esos riesgos. Las diferentes normativas han ido obligando a ello porque tanto en Administraciones Públicas con el Esquema Nacional de Seguridad o la Ley de Protección de Infraestructuras Críticas, como por el cumplimiento del Reglamento Europeo de Protección de Datos, hacer análisis de riesgos es algo obligado.

El blog me da cierta nostalgia. De hecho, en octubre de este año cumplirá 17 años … aunque los últimos dos lo tengo en barbecho. La vida tiene las horas contadas… y no puedes llegar a todo. Sigo escribiendo porque me toca elaborar temarios para algunos de los sitios en donde imparto formación… pero ese lugar de intimidad donde hacer reflexiones hacia Internet se añora. 

5.- En la actualidad representas a una gran firma nacional líder en el sector del gobierno y la ciberseguridad. ¿Cómo ves la postura de las empresas en España? Pero no me refiero a las 10 grandes, ni tampoco a las 10 pequeñas, ¿sino a la media?

Pregunta complicada, aunque a lo largo de mis 20 años de experiencia he tenido que trabajar en todos los sectores y con todos los tamaños. He estado en una consultora pequeña como Responsable de Consultoría de Seguridad de la Información 12 años y trabajando con clientes principalmente de la Región, aunque un porcentaje importante ha sido la Administración por el cumplimiento del Esquema Nacional de Seguridad. El empresario se centra en su negocio, en tratar de maximizar beneficios y las cuestiones de seguridad, que son una inversión, no tienen retorno si no te ocurre algo. Es complicado hacer ver que no puedes estar expuesto a cualquier imprevisto y que de ello dependa la continuidad de la empresa. Hay un problema también de percepción. El ser humano está capacitado para detectar y evitar los peligros físicos… En todas las empresas no se cuestionan nunca no tener medidas frente a incendios. Tu, al igual que yo, habrás escuchado la frase “¿Por qué nos van a atacar a nosotros? O “Si nunca nos ha pasado nada”, pero ese razonamiento no lo aplican contra las amenazas físicas. El hecho de no haber sufrido un incendio no hace que decidan no invertir en protección (Además de que por normativa no podrían) pero los riesgos de ciberseguridad son invisibles… y, por tanto, más complejos de gestionar. De hecho, algunos lo han vivido en sus propias carnes porque en la moda de subir a la nube, muchos han migrado sin contemplar los factores importantes y algunos han tenido problemas o se han quedado tirados… por no haber valorado bien lo que supone ese salto. No hay proactividad y no todo el mundo considera que debe ser resiliente a imprevistos. Mucho me temo, con las riadas que hemos sufrido, que muchas empresas no sólo habrán perdido sus instalaciones… muchas también sus servidores y probablemente los datos que les permitan volver a la normalidad. Ojalá no ocurra demasiado. 

6.- Cómo ha sido la evolución en estos 15 años o más de tu carrera en la sociedad? ¿Crees que la tecnología crece de la mano del conocimiento de la sociedad?

La tecnología va demasiado rápida… no hemos solucionado unos problemas y ya estamos creando otros nuevos. En el blog, no recuerdo en qué fecha, hablé de la “deuda técnica” que se estaba produciendo en seguridad. Disfrutamos de tecnologías que se basan en protocolos de los años 70 y 80 cuyo objetivo era asegurar el servicio y la disponibilidad. No se pensaba en aquella época en que terceros pudieran tratar de ponerse en medio de las comunicaciones o que pudieran interceptar tráfico. Ha existido una ausencia de “seguridad por defecto” y “seguridad por diseño” cuya factura vamos a pagar durante muchos años. Además, ahora todo es software… los electrodomésticos ya llevan firmware o incluso sistemas operativos embebidos… y si hay software, hay error humano, hay vulnerabilidades y hay necesidad de actualización y aplicación de parches. La gestión de parches funciona en entornos centralizados y se puede aplicar a equipos informáticos… pero a estos nuevos aparatos es bastante más complicado… por lo que vamos a tener agujeros por todos sitios.

En lo profesional he ido evolucionando, aunque como digo, mis comienzos ya fueron sobre áreas de gestión y gobierno de la seguridad. He estado dedicado a implantar sistemas de gestión bajo ISO 27001, adecuación a la legislación en protección de datos, implantación del Esquema Nacional de Seguridad, elaboración de normativas y procedimientos de seguridad, definición de procesos de comunicación y notificación de incidentes, … en general, todo lo que asume el rol del CISO al que suelo asesorar. La ciberseguridad ahora vive un buen momento y no hay tantos profesionales que alcancen los 20 años de experiencia. Quizás el hecho de querer residir en Cartagena, por conservar mi entorno familiar, si ha podido suponer un freno en mi carrera dado que las grandes oportunidades para este puesto se generan en las grandes ciudades como Madrid, Barcelona, Valencia… pero no por nuestra zona. Ahora trabajo para clientes en esas zona pero me desplazo en los proyectos que lo requieren, aunque ya la gente se está habituando a reuniones por videoconferencia.

7.- Como miembro de la comunidad, seguro que has recibido ofertas te “hacer el mal” de algún contacto, ¿alguna anécdota o caso que puedas contar?

Como te decía antes, no he pisado nunca “el lado oscuro de la fuerza”. Mi trabajo siempre ha estado basado en defender o proteger, no en investigar por donde entrar o qué vulnerabilidad explotar. Obviamente como conocedor de estos temas, porque si me mantengo al día de todo lo que puede ocurrir, te preguntan…pero nunca he tenido que hacer nada al respecto. Si recuerdo la desaparición de un familiar de una amiga, y me pidieron si podía tratar de entrar a su ordenador. Aquello era un conflicto importante porque era mayor de edad… y se puede cruzar una línea roja… pero afortunadamente se resolvió antes y no hizo falta actuar, aunque ya había indicado que había que ponerlo en manos de la policía.

8.- Qué tecnología sueles usar? Eres Android? iPhone? Mac? Alexa? ¡¡¡Cuéntanos tus secretos en materia Freak !!!.

Bueno, otro de mis campos profesionales es la privacidad y en ese sentido, cada vez vivo más obsesionado por tratar de dejar el menor rastro posible que pueda permitir análisis o estudios sobre mi persona y la de mi familia. He usado siempre la filosofía de “divide y vencerás” para que no única empresa conociera demasiado. Pero soy de IPhone (Que permite un control muy exhaustivo de la configuración de la privacidad) y tengo un iMac porque en materia de fotografía me facilita mucho las cosas.

Por desgracia, soy usuario de algunos de los servicios de Google (El verdadero peligro) y era de otros que han ido comprando las grandes. Ahora hay una peligrosa concentración de poder en las empresas tecnológicas que Europa, con la regulación en materia de privacidad, debe tratar de frenar. Hay en juego más de lo que nos imaginamos. Somos la sociedad más monitorizada… y eso pone en riesgo ya hasta nuestra libertad. Ya hemos visto que pueden diseñar qué hacernos llegar para condicionar lo que podemos pensar… Ahora hay que tener un mayor espíritu crítico… y cuestionarse la fuente, la intención y la veracidad.

9.- Cómo ves el sector de la ciber en 5/10 años? ¿Realmente las IA y demás tendencias se implementarán de la manera que creemos? A riesgo de equivocarse, haznos una pequeña visión tuya del escenario.

Cualquier nueva tecnología que sea capaz de procesar grandes volúmenes va a ser relevante… y si encima, aplicamos algoritmos que puedan detectar patrones allá donde el ser humano no es capaz de encontrarlos será beneficiosa, pero tanto para “los buenos como para los malos”. No vienen buenos tiempos… como decía antes, hay una deuda técnica con la seguridad que no se aplica por diseño y por defecto… y ahora estamos inmersos en la digitalización, en la industria inteligente, en hacer que todo tenga software, reporte un estado de situación, pueda ser monitorizado y, por tanto, pueda ser gestionado.

La inseguridad y los fallos software, por desgracia, va a costar vidas humanas. Bueno, eso ya está pasando. Hemos tenido accidentes de avión por errores software, han hecho saltar por los aires un gaseoducto al modificar los parámetros de control de la informática industrial que controla el proceso, hemos tenido filtraciones de información como el caso Ashley Madison que supuso el suicidio de dos personas. Si quieres ver más allá, en esas situaciones hay siempre una causa, la falta de garantías del software. Uno de los profesionales que más admiro y un referente es Bruce Schneier. Lo sigo desde hace años y si tiene esa capacidad visionaria de ver las cosas con simplicidad, pero identificando lo que nos viene encima. Su último libro, que he devorado este año, lo ha titulado “Haz clic para matarlos a todos”. La explicación es sencilla. Si hasta la fecha hemos estado preocupados por la confidencialidad de la información y asociábamos los problemas con las fugas o filtraciones, ahora el problema se centra en la integridad del dato. Con la cantidad de entornos automatizados, ser capaz de modificar valores supone un peligro inmenso. De hecho, esta semana he finalizado el Curso práctico Responsable de Ciberseguridad en IACS (Sistemas de Automatización y Control Industrial) y estamos en pañales en estas cuestiones. Soy coordinador del Centro de Ciberseguridad Industrial en la Región (http://www.cci-es.org) y hay una labor de evangelización muy importante todavía por hacer.

El mundo del cibercrimen por desgracia está muy industrializado ya, y dado los ingentes beneficios que genera, no va a parar. Pensemos en que cada campaña de ransomware genera ingresos que les permiten mejorar y obtener nuevos recursos para lograr crear una nueva variante que les vuelva a generar ingresos. Ellos están en una espiral de investigación e inversión continua con alta rentabilidad. ¿Qué industria pararía de crecer?

Además de la industria del cibercrimen, tenemos un nuevo problema: los Estados. Ahora, y será así en los próximos años, la seguridad se emplea como armamento. De hecho, no tengo ya tan claro que se aplique la seguridad por diseño y por defecto sin una motivación. Piensa que ahora una vulnerabilidad desconocida, es un punto débil para quien la tiene y un arma poderosa para quién la conoce y la puede usar. Vamos a ver una carrera armamentística por dotarse de equipos de investigadores cuya misión sea identificar vulnerabilidades (Eso ya existe y el mercado negro de estas mercancías mueven millonadas) que en el fondo es malo para todos. El objetivo de estos investigadores es identificar errores y, por tanto, ahora todo es revisado, analizado con la finalidad de encontrar agujeros. Pero una vez que se encuentran, no siempre se publican, se guardan para un uso posterior. Por tanto, los Estados ahora tienen un dilema: o trabajan por hacer las infraestructuras más robustas o trabajan para tener este tipo de ciber armamento a buen recaudo para que les sea útil en algún momento.

Hay una frase que cita BruceSchneier en su libro, de Dan Geer que lo resume todo “Una tecnología que puede darte todo lo que deseas, es una tecnología que puede quitarte todo lo que tienes”.

10.- Por último, y después de tu gran trayectoria, ¿crees que puedes lanzar algún mensaje de ánimo o sugerencia para los lectores jóvenes que nos leen?

Pues sí, hacen falta muchos ciber guerreros, mucha gente que se sitúe en las zonas de defensa. Y esta guerra se defiende desde muchas posiciones:

·      Siendo consciente como programador de que el software debe responder a una función pero asegurar que no hará nada extraño en un caso extraño. Hay que pensar en el uso habitual pero también en el caso de abuso.

·      Ser responsable y respetar la privacidad y la legislación existente en materia de intimidad. Doy clase en la universidad y muchas veces… me encuentro con alumnos que tienen ideas interesantes para montar su start-up pero no hay caído en que no todo se puede hacer. Las leyes establecen límites a la tecnología y ahora en el contexto del nuevo Reglamento de Protección de Datos, antes de “construir” hay que diseñar y según el tipo de tratamiento, incluso formalizado en una “Evaluación de impacto de la privacidad”. Es un análisis de riesgos sobre un producto en diseño para asegurar la seguridad de los datos tratados.

·      Ser un técnico responsable e instalar las cosas realizando tareas de bastionado y robustecimiento de la configuración. ¿Cuántos disgustos tienen su origen en instalaciones por defecto sin modificar cosas tan básicas como password por defecto o puertos y servicios abiertos que no son necesarios?

·      Ser ya un profesional centrado en la seguridad que se dedique a asesorar o vigilar empresas.

Hay un mundo apasionante … y diferentes tipos de perfiles técnicos que ocupar en las distintas capas de la seguridad:  Estrategia, táctica y operacional. No todo es pentesting o hacking. Esa es una actividad importante porque identifica problemas existentes… pero también se necesitan estrategias que definan los procesos a poner en marcha, la manera de medirlos, la forma de vigilarlos.

Últimamente también estoy trabajando en eso: diseñar cuadros de mandos de indicadores que sirvan para poder visualizar, de forma sencilla, gráficos en tiempo real que indiquen si se están produciendo situaciones que van a poner en riesgo la organización. Es un tema complejo porque tenemos muchas fuentes de datos distintas que proporcionan una visión parcial del problema… pero se trata de unirlo todo de forma que puedas tomar decisiones. En la gestión de incidentes se aplica el ciclo “OODA Loop”: Observar, orientar, decidir y actuar. Cuanta mejor información, más significativa y más accionable recibas, antes podrás obtener “conciencia situacional” que permita una reacción adecuada y eficiente que evite daños. 

Gracias por todo Javier, ha sido un placer que cuentes con Inseguros.

Hoy entrevistamos a ... RADIOHACKING !!!

Estimados amigos de Inseguros !!!

Hace algunos meses que no hacemos ninguna de estas, de estas entrevistas medio en serio, medio en broma, medio denuncia por acoso ... que suelo poner por aquí.

Hoy le ha tocado a un compañero de profesión, y porque no, amigo del mundillo David Marugán más conocido como RADIOHACKING o más conocido como el tipo que puede escuchar cosas que los demás no :-)

Una persona muy querida en el colectivo, por sus conocimientos, pero sobre todo por su pasión y dedicación a lo que le gusta. Gira de ciudad en ciudad contando lo que sabe a los más jóvenes, y no tanto, y es un habitual en las charlas de pasillo, o como se dice ahora NETWORKING.

Como muestra de respeto y admiración, y para que todos disfrutemos un poco más de él, aquí va esta pedazo de entrevista, o INTERVIU, como querais llamarlo :-)

1.- ¿Quién es David “Radio Hacking”? ¿De donde vienes… a donde vas… que has desayunado hoy?

Puessimplemente una persona con inquietudes e intención de divulgar sobre los temas que me apasionan. Nací en un barrio obrero de Madrid llamado Canillejas, en una época muy complicada. De ahí vengo. Algunos chavales en lugar del smartphone de hoy llevaban escopetas recortadas, y apenas llegaban a los pedales de los coches que robaban para dar "palos" y meterse un pico. Yo me fui de allí siendo todavía adolescente, y aunque fue una época dura para todos a nivel social y económico, guardo maravillosos recuerdos de mi infancia y de la gente del barrio, de su lucha y de su valor. Siempre será mi barrio. *con esa cara de mafioso ruso, sospecho que esos chavales ahora te tendrían miedo a ti xD*

No me preocupa tanto dónde voy, lo que sí tengo muy claro es dónde NO quiero ir. Esta mañana me he comido un donut de chocolate de la máquina ;)

2.- ¿Cómo comenzaste en el mundo de la radio?

Se pierde en la noche de los tiempos, pero tuvo mucho que ver una cama que heredé de mi hermana mayor, y que tenía una radio de AM integrada en el cabecero, era algo muy kitsch que se llevaba en los 70 y yo me pasaba las noches en vela buscando emisiones extranjeras en el dial, aprovechando la propagación nocturna de Onda Media. Obviamente hace más de 35 años no tenía ni idea de cómo funcionaba esa "magia", simplemente me fascinaba recorrer el dial pintado con nombres tan evocadores como: "El Cairo", "Berlín"... y escuchar esas voces en idiomas exóticos para mi hasta que me quedaba dormido. 

Por la mañana la "magia" había desaparecido, en parte también porque a mis padres les ponía de mala leche que estuviera haciendo frikadas con la radio a esas horas y luego no me despertaban con demasiado tacto.

Un poco más adelante descubrí que los radiocasetes de la época (en mi caso un Sanyo M2420) tenían una "zona" de dial extendido al principio de la banda de FM comercial (88 MHz) y permitía bajar lo suficiente como para escuchar los indicativos de la Policía Nacional de Madrid. Entonces no lo sabía, pero había gente que había seguido incluso la evolución del 23F con este tipo de radiocasetes, de hecho hay grabaciones muy curiosas grabadas en cinta con estos aparatos.  

Después "convencí" a mi padre para que me comprara una estación de radioaficionado muy modesta, de segundamano, como regalo de navidades y comencé a realizar contactos internacionales o DX (repitiendo en inglés de carrerilla lo que escuchaba a otros, modificando mis datos y ubicación). Todavía recuerdo con mucho cariño mi primer contacto transoceánico con una antena de coche en el balcón, fue con Pasto, Colombia, corría 1987 creo recordar... ha llovido ya.

3.- ¿A qué te dedicas? Creo que haces Hacking ético o al menos controlas de técnicas menos radio y más informática.

Actualmente soy responsable de equipo en un integrador IT, dentro del área de desarrollo de servicios de ciberseguridad. A lo largo de mi vida profesional he realizado labores de auditoría, consultoría y hacking ético en diferentes empresas. También he trabajado en el ámbito de I+D de seguridad electrónica y RF. Como anécdota decir que mi primer sueldo (trabajaba esporádicamente para un importador de radiocomunicaciones asesorando a clientes) lo gasté íntegro... en uno de los equipos de su catálogo. En aquella época un equipo costaba prácticamente el sueldo íntegro de un obrero.

4.- ¿Qué nexo de unión ves entre el mundo radio y el mundo informática? Yo cada vez que veo asuntos Radio y lo que se puede hacer me rio de los “nmap” y las sqli….

La comunidad hacker y la radio es todo uno. De hecho si definimos "comunidad hacker" como grupo de personas que investigan y comparten información sobre tecnologías para mejorarlas, encontrar ciertos fallos o estudiar su seguridad, nos encontramos que las primeras comunidades tecnológicas de la historia eran lógicamente las de radio. 

En USA a principios del siglo pasado ya había decenas de revistas de esa época sobre radio y construcción de equipos, lo que hoy llamaríamos "makers" fue un boom hace un siglo. El primer "troleo" también lo sufrió el mismísimo Marconi en una demo del telégrafo sin hilos en 1903. Él se jactaba de que su invento era imposible de vulnerar (¿Os suena esto eh...?) y un tal Nevil Maskelyne, que era un ilusionista (no quedó claro si era un hacker o un "ciberdelincuente" pagado por la competencia de Marconi, que tenía las patentes del telégrafo con hilos) le dejó en ridículo haciendo lo que hoy denominariamos ataque de "spoofing". 

Hackers contemporáneos como Kevin Mitnick o Clifford Stoll (autor del libro "El huevo del cuco") han tenido mucha relación con la radio, de hecho Cliff además es radioaficionado con indicativo legal.

Hoy radio e informática van de la mano. La eclosión de las tecnologías SDR low-cost (radios definidas por software) ha cambiado el panorama totalmente, también para desgracia de la gente que no ha podido o querido hacer la transición desde la época analógica. 

Hoy es necesario conocer ambos mundos para hacer cosas interesantes o analizar señales de cierta complejidad. Quizás mucha gente que viene del mundo informático, han llegado con poca base de radio y se vuelven locos por el espacio radioeléctrico o confunden algunos conceptos, especialmente en temas legales y de procedimientos.

Con las tecnologías actuales se pueden hacer ataques a redes e infraestructuras radio con muy poca inversión. Te puedo asegurar que si la gente supiera lo que se "cuece" realmente por las ondas, a más de uno se le pondrían los pelos de punta y se le olvidarian los SQL injection. Si ya hablamos de Guerra Electrónica, COMINT o SIGINT a nivel gubernamental,  militar, etc... es otro mundo.

5.- Todos te vemos por numerosos eventos de formación y concienciación. ¿Cómo está el panorama de la radio en España? La comunidad “hackers” si se ve y hace mucho ruido, pero sospecho que la radio no tanto, o es que os comunicáis por radio? ☺

Creo, y ojo, es una opinión muy personal y por tanto muy subjetiva, que la gente de radio no suele tener tanto ego o afán de protagonismo, también puede ser porque hemos estado muy regulados desde siempre (el ámbito de la radio es de lo más regulados por ser una tecnología muy madura) y hemos estado más cómodos en ciertos grupos, no digo ya cerrados, pero sí de confianza. 

Debemos comprender que en informática tu puedes probar, emular y compartir mil cosas en una máquina virtual o servicio sin problemas legales, pero en radio, aunque también se pueden emular muchas cosas y usar señales de laboratorio, a veces alguien puede necesitar interceptar o probar una señal real y eso es muy diferente, puede ponerte sin apenas darte cuenta en una "línea gris".

Actualmente veo cosas en lo que se denomina "comunidad hacker", si es que existe tal concepto de "comunidad" realmente, que me dejan perplejo. No sé, a veces no entiendo de qué va todo esto, pero parece que muchas veces por desgracia no va de lo que debería: compartir conocimiento y apoyar a otros, sino todo lo contrario: a ver quien es "más popular". La comunidad radio históricamente es poco de "egos" y postureo, y sí de apoyar a los que empiezan, de compartir y ayudar a todos los niveles, creando desde puentes humanitarios en catástrofes de todo tipo a canales de evasión de censura en algunas dictaduras recientes. 

Muchas personas que vienen del mundo de la informática les choca mucho la diferencia (aunque ególatras y patosos hay en todas partes), no entienden porqué nos prohiben cifrar nuestras conversaciones o por qué nosotros mismos somos tan rígidos en nuestros protocolos de comunicación, en el respeto y cumplimiento de la normativa, pero en eso precisamente se sustenta nuestra comunidad con un mínimo de seriedad y de filtro. Incluso en ocasiones algunos se sorprenden porque debamos pasar un examen para operar equipos. 

La radio yo creo que sí vuelve a estar de moda por muchos motivos, pero ojo, debemos saber qué terreno pisamos, la radio no es tu chat de colegas ni un grupo de Telegram para hablar de futbol o política, podrías estar interfiriendo una torre de control o comunicación crítica si no sabes bien lo que haces. Un equipo con picos de 1000W y con una antena direccional no es precisamente una placa de Arduino. Hasta con un simple walkie de los chinos podrías liarla. La radio es otra historia: una historia apasionante.

Yo participo en eventos porque creo que es una forma de acercar estos dos mundos, de hacer un poco de router,  y porque siempre he sentido la obligación de devolver lo que otros tantos me dieron antes, cuando no existía Internet y nos pasábamos fotocopias de frecuencias en encuentros semiclandestinos,o cuando usábamos ciertos trucos para pasarnos los teléfonos fijos en emisiones públicas. 

También es cierto que después de tantos años y eventos, es necesaria una renovación, y aunque no hablo de dejar de participar en estos eventos de ciberseguridad de un día para otro, creo que esa deuda está saldada y estamos obligados de alguna forma a "dar el relevo" (estoy convenciendo a mi amigo Fernando EA4FSV y no cuela). Creo que es algo sano, nos vamos haciendo mayores y hay que bajar un poco el pistón. 

6.- Cuántos aparatos tienes en casa que usen pilas y/o tengan antenas?

No tengo ni idea, pero se cuentan por decenas y repartidos por varios "búnkeres", desde equipos de espionaje de la Guerra Fría a modernos SDR. Como sabes a veces sorteo o regalo alguna radio, porque tengo un "diógenes RF" importante, como todos los que nos dedicamos a esto.

7.- ¿ qué es lo más raro que ha pasado por tus ondas en todos estos años? Conversaciones de vecinos, radios de países enemigos… quizás extraterrestres????

Para hacernos una idea las comunicaciones, salvo excepciones puntuales, no se cifraban (hoy algunas tampoco, en honor a la verdad). Con un sencillo escaner VHF-UHF se podía acceder en los años 90 a comunicaciones de todo tipo, desde telefonía móvil analógica a comunicaciones policiales, pasando por los típicos teléfonos domésticos por radio. 

Ahora esto llama mucho la atención y seguro que llenaría portadas (¿Os imagináis poder escuchar, a día de hoy en claro las conversaciones de los móviles?), pero antes era algo habitual. A mi sinceramente me han atraído más otras bandas y otro tipo de comunicaciones, como por ejemplo la Onda Corta o HF. Una cosa curiosa es poder recibir señales (voz o datos) desde la Estación Espacial Internacional (en otras épocas se hablaba también con la Mir rusa) o incluso los intercomunicadores de los cascos de los cosmonautas cuando salen al exterior de la ISS. 

Las Estaciones de Números también son muy interesantes; poder escuchar mensajes de servicios de inteligencia extranjeros, y aunque no puedas nunca conocer su contenido poder analizar sus señales e identificarlas, no deja de ser apasionante. Hay personas que llevan décadas dedicadas a investigarlas con mucho rigor. Una época muy impactante en Onda Corta fueron los días anteriores y posteriores a la caída del Muro de Berlín, por los motivos que os podéis imaginar.

8.- ¿Qué consejos le darías a un novato que quiere empezar con la radio, pero desde el punto de vista de lo técnico, es decir, estudiando algún libro referente? Algo más que comprarse un SDR…

El mejor consejo es que se haga radioaficionado (o simplemente radioescucha) antes de nada. Que obtenga cierta base "analógica" antes de ir a los SDR. Suelo recomendar que se informen en la URE (Unión de Radioaficionados Españoles) o asociaciones de este tipo y que cuando estén preparados se presenten al examen para obtener la autorización de operador. 

Si solo se quiere escuchar no es necesario examen, se puede visitar la web de AER (Asociación Española de Radioescucha) y por supuesto buscar por Internet. Conozco personas que saben decodificar TETRA y que no serían capaces de sintonizar RNE en una radio analógica. Mejor tener unos pocos conceptos pero bien afianzados. Estudiar el libro del examen y preguntar a otros radioaficionados es la mejor forma de iniciarse. 

La autorización te abre un mundo de posibilidades brutal, que te puede venir genial para ir luego a la parte digital o SDR, donde pueden complicarse las cosas si no se sabe un mínimo. 

9.- Y los que quieren comprarse un SDR y hackear “Facebook” qué les recomendarías?

Les recomiendo que dejen Facebook y que se compren una radio, nadie les espiará y no tienen que usar una password fuerte. 

Bueno, ahora en serio, la traducción de la pregunta "¿Como hackeo el Face de mi novia/o?" en radio sería: "¿Cómo puedo escuchar a la policía?". No sé las veces que me lo han preguntado e intento ser lo más educado posible, pero lo cierto es que si tu interés por la radio es este, simplemente no te interesa un pimiento la radio, ni lo que yo pueda contarte. Como suele decirse en los manuales de radio: "infórmese antes de la legislación vigente en su país".

10.- ¿Cuánto dinero tienes en la cuenta? Jejeje. Bueno aquí más que nada, comenta cómo ves el mercado laboral de la profesión.

Remitiría a las charlas o comentarios de David Meléndez, que es quien mejor lo describe. En cualquier caso debo decir que en mi opinión personal el hacking no es una profesión, sino más una forma de vida o una forma de "ser" y pensar, y no necesariamente está relacionada con la informática. Esto lo he dicho en muchas ocasiones. 

Si es cierto que cuando estás en un rol profesional determinado deberías cobrar como mínimo de forma digna y acorde a lo que puedas aportar. Sinceramente creo que se está creando una burbuja de: "fórmate en la profesión del futuro... faltan 390 millones de hackers" para luego decir: "es que tienes que cobrar poco porque claro... ahora sois demasiados." (hace tiempo pasó algo similar con otras profesiones, pero ya nadie se acuerda). No faltan tantos profesionales ni talento, faltan profesionales y talento por el precio que algunos quieren pagar. 

A mi también me pasa algo parecido: siempre "me faltan equipos" de inteligencia de señales de grado militar que no me puedo pagar; porque los fabricantes de equipos SIGINT, que son unos malvados, los venden muy caros, claro...claro. 

A otros les pasa con los Ferrari también, qué cosas eh. En resumen, usaré una frase que siempre me decía un amigo y convertí en un lema personal:"DON'T HACK FOR FOOD" ;) 

11.- ¿Cuánto has “ñacañaca” este último mes ¿ xDDDDDD. Entiendo que si no responde, o es más 1, está exagerando  ¡!! xDDD

Soy un asceta, un hombre casto y puro, ¿¡Qué clase de brujería murciana o tentación del Maligno encierra esta pregunta!? ¡Vade retro creatura del averno!

Gracias por la entrevista... ¡cabrito! jajaja