Vicente empezó sus andanzas en la seguridad dentro de Thales, y actualmente es team leader en SIA group. Puede que alguno que otro todavía no sitúe a Vicente, pero estoy seguro que muchos de vosotros habéis leído su blog mas de una vez, me refiero a Hackplayers. Ha logrado ser reconocido como uno de los blogs de referencia de la comunidad, y recientemente han organizado su propia conferencia (h-c0n). Aunque su perfil os puede dar mas información sobre el, os dejamos una pequeña frase con la que se define:
«Consultor de seguridad y hacker ético. Me considero afortunado por trabajar en mi devoción, bastante curioso y sobretodo perseverante.”
1. Echando memoria atrás, ¿qué fue lo que te impulsó, primero a interesarte en la informática, y posteriormente en la seguridad?
Aún recuerdo, siendo bien pequeño, cuándo trajeron a mi vecino el primer ordenador que vi: un Sinclair ZX Spectrum. Me causó tal fascinación que soñaba con programar mis propios videojuegos o modificar los que ya había. Supongo que el simple hecho de conocer la informática me hizo enamorarme de ella.
Respecto al interés en la seguridad en concreto, vino poco después de empezar a trabajar en TI. Yo estaba en la parte de sistemas y parte de mis funciones eran la seguridad perimetral y el hardening de servidores. Documentarme en las distintas técnicas para vulnerarlos y ver ciertos ataques acabó atrayéndome al lado oscuro, aka hacking.
2. Con las bases establecidas, cuéntanos los primeros pasos de Hackplayers (luces y sombras).
En 2008 cree un blog para que un pequeño grupo de consultores pudiéramos prepararnos mejor para el CEH y conocer nuevas herramientas, técnicas, recursos, … en definitiva para mantenernos actualizados. Fue un año después cuando decidí migrar a blogger y aproveché para cambiar también el nombre del blog por su similitud con cierta novela de Ken Follet… ahí nació Hackplayers.
Pronto se convirtió en una inspiración para continuar aprendiendo y seguir siendo autodidacta. Pocas sombras puede haber en el medio que me ha permitido plasmar todas mis investigaciones y recopilar tanta información y que a la postre me ha servido para crecer y ser mejor profesional. Además, con los años Hackplayers se ha expandido en otras redes sociales y me ha permitido conocer y colaborar con mucha más gente convirtiéndose en lo que hoy en día es una verdadera comunidad.
3. Después de más de 10 años y cerca de las 2000 entradas en el blog, ¿alguna que recuerdes con especial cariño?
No es un tópico ni falsa modestia, las entradas que recuerdo con especial cariño son aquellas que han realizado mis colegas, tanto las de los que han pasado por el blog de forma temporal como las de los que todavía están colaborando. Como digo de vez en cuando, el objetivo de Hackplayers siempre ha sido ser un medio abierto y participativo y cualquier aportación siempre la he valorado y agradecido enormemente.
4. Bienvenido al 2018, el año en el que has organizado una conferencia propia. ¿Qué hizo que ese chaval que jugaba con ordenadores, como tú dices, decidiese dar este paso?
Pues la insistencia de muchos de mis compañeros, algunos del trabajo y otros partícipes muy activos en nuestras redes sociales. Ellos me acabaron convenciendo y algunos se apuntaron y forman parte del staff.
He de reconocer que era bastante reticente por el trabajo que supone organizar un “sarao” de estos, sobretodo cuando es la primera vez que lo haces y todo te viene de nuevas. Pero la primera edición salió bastante bien y todo el esfuerzo se vio recompensado. Ahora este año partimos de la experiencia anterior pero seguimos intentando innovar en algunas cosas y así afrontar nuevos retos.
5. ¿Podrías describirnos tu día a día? Suena el despertador…
Suena el despertador y le doy al botón para que vuelva a sonar en otros 10 minutos… En serio, es una locura. Tengo dos niñas pequeñas, cuando me levanto lo primero que hago es vestirlas para llevarlas al cole. Las dejo un poco antes para que desayunen allí y me de tiempo a no llegar muy tarde a la oficina. El trabajo me mola bastante y la jornada pasa rápido. Cuando llego a casa vuelvo a ejercer de papá: baños, cena, cuentos… Mi chica madruga mucho y al final del día me quedo con el saĺón para mi sólo: enciendo el portátil, me pongo una buena serie y casi siempre me dan las tantas. Es raro el día que duerma más de 6 horas… y eso es algo que tengo que cambiar si quiero llegar a viejo…
6. Las 7 diferencias respecto a lo que el Vicente de hace una década pensaba que iba a ser él a día de hoy.
Quizás, hace más de una década eso sí, no sabía si iba a poder acabar trabajando en una de mis mayores aficiones. Antes de ello tuve varios trabajos temporales y las horas se me hacían eternas. Cuando empecé a trabajar en informática, no podía creer que me pagaran por divertirme, y aprendí a valorarlo aún más. Luego, con el paso del tiempo pude comprobar que el esfuerzo y la constancia te suelen llevar a dónde te propones.
Pero no todo fue un camino de rosas. Esos diez últimos años han sido también especialmente duros sobretodo por la enfermedad y pérdida dos familiares muy cercanos. Eso enseñó a valorar aún más cada momento y disfrutar del camino, no sólo de la consecución de los objetivos.
7. La seguridad está en boca de todos actualmente, ¿crees que es una moda pasajera o que las empresas van a apostar fuerte?
Estoy totalmente convencido de que la seguridad no es una moda pasajera, es más, pienso que cada vez será más importante en un mundo más y más interconectado, invadidos por el Internet de las Cosas, con mayor dependencia de las tecnologías en todos los ámbitos de la sociedad.
Ya lo estamos viendo, existe una gran demanda de perfiles de seguridad, tanto ofensiva como defensiva, que las empresas apenas alcanzan a cubrir. No creo que esa tendencia cambie en mucho tiempo así que mi consejo a todos los que están pensando en dedicarse a ello es que no lo duden: se augura un gran futuro para los profesionales de (ciber)seguridad.
8. Has trabajado con muchos e importantes clientes. Sin decir nombres, ¿puedes contarnos alguna situación que te hiciera llevarte las manos a la cabeza?
Cuando trabajas con clientes muy grandes te das cuenta que en la mayoría de las ocasiones su debilidad es precisamente… ser muy grandes. Más de una vez (y más de diez) me he llevado las manos a la cabeza por fallos críticos que son muy muy tontos y muchas veces son debidos a eso: a mayor superficie más fácil es encontrar un servidor desactualizado, un desarrollo discontinuado, una aplicación indocumentada o sin mantenimiento, infraestructura heredada de otras empresas absorbidas, etc. Al final es lo de siempre… la cadena es tan fuerte como su eslabón más débil.
9. Hemos hablado del pasado y del presente, pero ¿qué pasa con el futuro? ¿Nos puedes comentar tus próximos movimientos?
En los últimos años me he dedicado a realizar pentesting, auditorías técnicas y red team. Obtuve el OSCP y me enganché a plataformas como Hackthebox. También he participado en algún que otro CTF y me he dado cuenta que tengo, o que simplemente me apetece, aprender más exploiting y reversing. Además hace siglos que no hago análisis de malware ni forense, y creo que ha llegado el momento de dar un pequeño giro a DFIR.
A partir de enero, tengo la gran suerte de incorporarme a un cliente final para hacer threat hunting así que tendré la oportunidad de aprender cosas nuevas e imagino que pronto se verá reflejado cierto cambio de temática en mis posts de Hackplayers, a ver qué tal…
10. Para acabar, cual ceremonia de premios, minutos de agradecimientos.
Sobretodo a mi chica por aguantar al niño mayor que se cree juaker. Y luego a todos los que han participado y participan de alguna manera en Hackplayers. Especial mención a mis compañeros y ex-compañeros del Red Team que quieren tornar púrpura, a ese dúo calavera que soporta la infraestructura del foro y a ese equipo, también mi equipo, de locos embriagados por el licor de bellota. Y bueno, gracias por supuesto también al equipo de S3Labs de la Universidad de Deusto por esta entrevista y a todos los que habéis aguantado leyéndola hasta el final.