Entrevista a Miguel A. Arroyo (@miguel_arroyo76)

Miguel es una persona muy comprometida con el mundo de la seguridad, que intenta contagiar su pasión al mayor numero de personas (ratificable por cualquiera que haya asistido a alguna de sus charlas). Es el propulsor de la comunidad Hack&Beers y fundador del blog Hacking Ético. Actualmente trabaja como auditor en  SVT Cloud Security Services. Podeis hechar un ojo a su perfil para saber mas de él. Definiendose en una frase:

Curioso y apasionado de la seguridad de la información. Eterno ‘aprendedor’. ”

miguelaarroyo-miguel_arroyo761. Siempre es un placer conocer las  historias de cómo se empezó en esto de la seguridad, ¿podemos escuchar la tuya?

Yo vengo de la parte de sistemas y mis comienzos fueron con la seguridad perimetral, instalando y gestionando firewalls. Antes había hecho mis “pinitos” vendiendo soluciones antivirus, pero eran temas más comerciales, quería “trastear” con alertas, ataques y vivir la seguridad desde otra perspectiva, de ahí mi incursión en el mundo de los firewalls.

2. Te iniciaste en el mundo de los firewalls y ahora te centras más en el pentesting, ¿qué fue lo que te impulso a dar el cambio?

Después de varios años con estos dispositivos, y también obligado por motivos profesionales, decidí cambiar el rumbo y dedicarme a los servicios de seguridad, desde un punto de vista de evaluación de la seguridad. Surge de pregunta, “OK, instalamos y gestionamos firewalls, pero ¿quién y cómo se comprueba si realmente están realizando su función?”. A partir de ahí empecé a indagar y estudiar metodologías y técnicas de pruebas de intrusión. Hasta el día de hoy, que sigo aprendiendo día a día, y cuanto más aprendo más cuenta me doy de lo poco que sé.

3. Yin Yang, cuéntanos lo mejor y lo peor de cada una de las áreas.

La parte negativa de las redes, es que después de tantos años seguimos aún estancados y sufriendo las debilidades de protocolos de red que surgieron hace ya muchos años. El cambio de IPv4 a IPv6 no acaba de arrancar, o mejor dicho, no se acaba de implementar por completo. Lo positivo, las grandes posibilidades que nos da a día de hoy, disfrutar de todo lo que Internet nos ofrece, que no es poco.

En pentesting, la parte negativa, desde un punto de vista del mercado laboral, es la falta de profesionales en este sector. Creo que desde la formación reglada se debería de hacer algo más para formar en seguridad, no de forma tan transversal sino con ofertas formativas más verticales. La parte positiva, personalmente, hay muchas, pero sobre todo una, y es que tengo la gran suerte de disfrutar mucho con mi trabajo. Creo que cualquiera que se dedique a esto, tendrá la misma percepción positiva.

4. Pura curiosidad, ¿cuáles son los errores más típicos que sueles ver en las empresas?

Sobre todo la falta de concienciación en muchos usuarios de los sistemas de información de esas empresas. Desde el punto de vista técnico, también echo en falta políticas de seguridad básicas, como el uso de contraseñas fuertes o no permitir el uso de configuraciones por defecto en sus sistemas de información. BYOD y la ausencia de políticas de seguridad para estos dispositivos, o la ausencia de un MDM (Gestión de Dispositivos Móviles), es algo también bastante habitual.

5. Como sueles decir, hay que aprender cosas nuevas todos los días, ¿qué tienes en mente últimamente?

Últimamente estoy alternando algunas investigaciones en pentesting de aplicaciones iOS y e ingeniería inversa, conociendo nuevas herramientas y técnicas que pueda utilizar en mi día a día. Para la auditoría de aplicaciones móviles, el análisis estático del binario y en tiempo de ejecución es fundamental. Ahora ando “peleándome” con Radare2, que precisamente me puede ayudar mucho con este tipo de análisis con aplicaciones iOS, no sólo en su análisis estático sino también en la depuración. Me parece una herramienta espectacular y que no domino para nada. Así que ahí ando leyendo documentación a ver si pillo algo.

6. El ataque DDoS de hace unas semanas que lanzo la botnet IoT Mirai era algo que antes o después iba a acabar pasando, ¿cuál crees que debería ser la solución para que este tipo de cosas no vuelvan a pasar?

Está claro que seguimos cometiendo los mismos errores. Por desconocimiento, los usuarios hacen uso de dispositivos IoT de los cuales no conocen su funcionamiento más allá de la funcionalidad básica. Desconocen cómo se comunican y por lo tanto cómo protegerlos. Esto da lugar a este tipo de ataques, y lo extraño es que no se haya producido mucho antes. ¿La solución? Creo que es un cúmulo de varios factores. Los fabricantes deberían de incluir en su manual de usuario, unas indicaciones básicas de seguridad en cuanto a protección, no permitir configuraciones por defecto (como credenciales) y los usuarios deberíamos de preocuparnos más de esta protección.

7. Hablando de noticias de seguridad, ¿con cuál te quedaste pegado al asiento y tuviste que volverla a leerla? ¿por qué?

Bueno han sido muchas, pero quizás por ser más reciente, la del robo de datos de tarjetas bancarias en la India, creo que cerca de 3 millones de tarjetas afectadas. Impactante.

8. Informalizar las conferencias de hacking con cerveza ha sido una gran idea., ¿cuáles dirías que son las mayores diferencias entre el primer Hack&Beers y el último?

Ya son 4 años de Hack&Beers, y llegar hasta aquí no es fácil, sobre todo porque la gente que participa organizando cada H&B está trabajando y estudiando, y precisamente no les sobra mucho tiempo. Mantener la filosofía de carácter abierto a todo el mundo, no solo asistentes sino también de ponentes es uno de los factores que nos han ayudado durante este tiempo. Por lo tanto la gran diferencia no va más allá que del número de ciudades en los que estamos ya presentes (más de 20 si no recuerdo mal) y la cantidad de dinamizadores y ponentes que tenemos en toda España, a los cuales desde aquí quiero aprovechar y agradecer su inmensa labor, ya que sin ellos H&B no sería posible.

9. Hoy en día todo el mundo habla de Mr. Robot, pero tampoco tenemos que olvidar clásicos como Wargames. Sabiendo que te gusta el cine, ¿qué películas “old school” consideras indispensables?

Bueno la de Juegos de Guerra creo que es típica ya y todo el mundo la recomendamos. Yo recomendaría también Hackers, a mí particularmente me gustó mucho y digamos que ahí empezó mi interés por la seguridad. Además la banda sonora con Prodigy, entre otros, es brutal.

10. Para acabar, me gustaría hacerte una pregunta que me suelen hacer: Me quiero comprar un portátil para hacking, ¿qué me recomiendas?

Sin entrar en detalle de fabricantes, y por mi experiencia, al final lo que más vas a necesitar es micro y RAM, sobre todo porque usarás varias máquinas virtuales, para hacer pruebas. Actualmente tengo un i7 con 16 GB de RAM, Debian y VirtualBox para la virtualización. Para un perfil principiante, quizás menos requisitos hardware para empezar, y en cuanto a distribución pues Kali, que ya tiene instalado la mayoría de herramientas necesarias para hacer pentesting.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security, Privacy, Reverse Engineering, Malware
iskander-sanchez-rola.github.io

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.