Entrevista a Jaime Andrés Restrepo (@DragonJAR)

Jaime es una de las grandes referencias en seguridad de la información de latinoamérica , y del mundo hispanohablante en general.  Lleva trabajando en el área desde hace mas de 10 años, específicamente en ethical hacking, pentesting y análisis forense. Es el fundador de la archiconocida comunidad DragonJAR, que posteriormente ha llevado consigo muchos otros proyectos como la empresa de consultoría y servicios de seguridad DragonJAR Soluciones y Seguridad Informática o la conferencia DragonJARCon. Podéis echarle un ojo a su perfil si queréis saber más de él, aunque esta frase os puede dar una idea de como es:

«Un apasionado y aprendiz constante de la seguridad informática, padre primerizo, y empresario.”


1. El tiempo pasa volando, hace más de 15 años que DragonJAR comenzó. La comunidad ha ido evolucionando a lo largo del tiempo, pero personal y laboralmente también habrás vivido muchos cambios. ¿Cuales han sido los más importantes? ¿Qué consejos le darías al Jaime de esos inicios?

Convertir algo que te gusta en un proyecto de vida es todo un desafío y para lograrlo constantemente tienes que estar haciendo cambios y adaptarte a las diferentes situaciones que vas viviendo, el cambio de freelance a empresario me costó bastante trabajo y saber que tengo a mi cargo tantas personas es una responsabilidad que te hace cuestionar 2 o 3 veces cada paso que das; En lo personal el cambio que más me ha costado trabajo ha sido el de separar los espacios, ya que cuando se hace lo que disfrutas tanto, es difícil evitar que eso que tanto te gusta no consuma todo tu tiempo y deje espacio para otras actividades como la vida familiar.

2. Llevas bastante tiempo involucrado con OWASP. Tengo curiosidad, ¿como decidiste formar parte de ese gran proyecto y que te hace seguir?

Siempre estuve agradecido a OWASP por todos los recursos que comparte desinteresadamente (todos deberíamos estarlo), pero cuando tomé la decisión de involucrarme en el proyecto fué gracias a mi participación del OWASP Latam Tour de Lima, hablando con los líderes de capitulo Ricardo Supo y Jhon Vargas, quienes junto a Fabio Cerullo, miembro de la junta global, me comentaban la importancia de implicar localmente la gente en el proyecto y empecé a tomar un papel más activo.

3. La pregunta es obligada, NoPetya y WannaCry. Cuéntanos cómo lo has vivido y que crees que se ha hecho mal para que esto ocurra.

Mediáticamente ha sido una locura estos 2 temas, muchos medios se hicieron eco de la noticia, pero al ver la cantidad de desinformación que salía en estos medios, internamente decidimos tratar de poner nuestro granito de arena, pusimos a un ingeniero a recibir llamadas gratuitas para tratar de concienciar sobre el tema y ayudar a las diferentes empresas que nos contactaban, recibimos muchísimas llamadas y muchas de ellas eran para evitar que estos problemas les pasara en sus empresas, por lo que generamos este documento que a muchos ayudó, pero otras llamadas las realizaban para confirmar o deslegitimar contenidos expresados por los medios de comunicación, donde se llegó a decir incluso que por tener contratados servicios de X compañía, eran más propensos a verse afectados por este ransomware.

4. Dentro del amplio abanico de áreas que ofrece la seguridad informática, ¿cuál te divierte más? ¿Siempre ha sido así?

Siempre me han parecido divertidos los procesos de pentesting y análisis forense, más que todo cuando involucran dispositivos poco convencionales o con los que hemos tenido poco contacto; Hace poco auditamos en la empresa la seguridad de un sistema de información que tenía dentro de su infraestructura dispositivos smartmeter para medir el consumo eléctrico en los hogares de toda una ciudad, fué bastante entretenido y aprendimos bastante, procesos como este personalmente los disfruto mucho y son de los que te gustaría tener más seguido.

5. Ya han pasado un par de años desde que empezaste con el hacking de vehículos. ¿Cómo consideras que ha cambiado la industria al respecto? ¿Algún cambio que todavía no se ha realizado pero crees que se debería haber hecho?

Cada que un investigador pone sus ojos en un dispositivo de este tipo, encuentra problemas de seguridad y genera grandes titulares, esto ayuda a generar conciencia en la industria automotriz y en los consumidores, que cada vez con más frecuencia solicitan características de seguridad.

La industria está tomando más conciencia en este aspecto, puede que presionados por los medios de comunicación o los propios consumidores, empiezan a solicitar más auditorías a sistemas que no eran tenidos en cuenta en años anteriores, empresas como Kaspersky empiezan a explotar poco a poco este mercado ofreciendo soluciones como el Embedded Systems Security que puede ayudar a los fabricantes a realizar sus desarrollos sobre unos buenos cimientos en cuanto a seguridad, pero falta un largo camino por recorrer en este aspecto.

6. Este septiembre se celebra la cuarta edición de la DragonJARCon, muchas felicidades. ¿Cómo surgió  y como fueron sus primeros pasos?

En los foros de la comunidad existía la idea desde hace mucho tiempo, queríamos tener la oportunidad de encontrarnos en un espacio físicamente, la primera oportunidad que tuvimos de hacer esto fué en el EISI (Encuentro Internacional de Seguridad Informática) que se realizaba en la universidad de Manizales cada dos años y que a muchos nos permitió abrir nuestras mentes contando con ponentes como roger dingledine cuando el proyecto TOR apenas tomaba fuerza, pero la universidad después de varias ediciones, dejo de realizar este evento dejando un vacío que sólo fué posible llenar cuando nos constituimos como empresa y logramos contar con el musculo financiero necesario para realizar nuestro propio evento, desde eso han pasado ya 3 ediciones de nuestro evento y este año vamos para la cuarta edición con muy buena aceptación tanto nacional como internacional.

7. ¿A qué otras conferencias de seguridad consideras que es interesante asistir? Ya sea en Latinoamérica o en otras partes del mundo.

Afortunadamente en nuestro idioma existe un amplio abanico de conferencias con muy buen nivel a las cuales podemos asistir, algunas de las más importantes por sus contenidos y trayectoria, por nombrar algunas podemos decir que la ekoparty en Argentina, la 8.8 en Chile (ahora también en Bolivia, Perú y Uruguay), la gira latinoamericana de OWASP, son eventos a los que no puedes dejar de ir.

Por el lado de España la lista es gigantesca, tienen muy buena cantidad y variedad de eventos, pero destacan al menos los que se alcanzan a ver desde este lado la RootedCON, La NoConName y el Mundo Hacker Day en la que tuve el gusto de participar el año pasado, seguramente dejo de mencionar muchas conferencias, pero son como las más emblemáticas en nuestro idioma.

Por el lado anglosajón solo he podido asistir a Bsides Las Vegas y DEFCON, tuvimos el gusto de participar en el arsenal de BlackHat en el 2015 y he escuchado muy buenos comentarios tanto de la DerbyCON como del Chaos Communication Congress en Alemania, pero aún no he podido asistir a una edición, también me dejo muchos en el tintero y seguramente los lectores podrán ayudar a mejorar la lista con sus comentarios.

8. No es necesario tener una titulación para entrar en el “gremio”, pero mucha gente no sabe por dónde empezar. ¿Recomendaciones?

Es una pregunta tan habitual que decidí generar una entrada en el blog, no me gustaría alargar mucho la entrevista con estas recomendaciones por lo que recomendaría su lectura, también puede ayudar a las personas que piensan dedicarse a la seguridad informática de forma profesional, conocer algunos de los errores más comunes a la hora de realizar un penetration testing, y todo lo que tendrá que enfrentar en este rubro.

9. No quiero perder la oportunidad de hacer esta pregunta a un referente de la seguridad informática en Latinoamérica, como eres. ¿Como ves al sector en Latinoamérica actualmente? ¿Como lo ves en unos años?

Latinoamérica es una región en crecimiento y con excelente talento, me parece que la comunidad está madurando en muchos aspectos y creciendo a pasos agigantados, muchas multinacionales están poniendo sus ojos en la región y generando oportunidades para todo el talento humano que tenemos en nuestros países, de todas formas no dejan de existir problemas y de algunos de ellos hablo en esta charla, pero le auguro un excelente futuro a la región y a esta bonita profesión.

10. Por último pero no menos importante, una frase de concienciación sobre seguridad para el mundo.

La seguridad es una carrera de resistencia, tu labor depende del bando en el que te encuentres, si eres de los que debe añadir nuevos obstáculos a los corredores para evitar que lleguen a la meta o de los que debe perseverar durante todo el camino para conseguir tu objetivo.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security and Privacy
iskander-sanchez-rola.com