Ya sabéis que de vez en cuando nos gusta traer a este blog personajes que tienen una relevancia especial en nuestro sector. Hoy queremos acercarnos a Amador Aparicio, una persona muy reconocida en diversos ámbitos, porque además de ser ingeniero informático y tener un postgrado en Seguridad de las Tecnologías de la Información y Comunicación, ha querido siempre dedicarse a la enseñanza. En la actualidad es profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato (Palencia), profesor en el Máster de Ciberseguridad y Seguridad de la Información de la Universidad de Castilla la Mancha y en el Máster Universitario en Seguridad de Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid. Hoy os ofrecemos la primera parte de una entrevista que tendrá continuidad la próxima semana.

No es muy frecuente encontrar un perfil tan especializado y que escoja la docencia como actividad principal. ¿Por qué la docencia? ¿Es algo vocacional?
Bueno, es verdad, pero he de decir que desde el año 2016 llevo haciendo auditorías de seguridad de manera profesional, aunque bien es cierto que mi actividad profesional fundamental sigue siendo la docencia en Formación Profesional y en diferentes universidades españolas relacionadas con másteres de ciberseguridad.

En mi caso, la docencia es vocacional, es más, pienso que muchos de los que somos docentes y esa es nuestra principal actividad de ingresos, es porque en nuestra etapa estudiantil hemos tenido referentes en este sentido, en forma de profesores o incluso de amigos. Es cierto que cuando yo estudiaba prácticamente nadie se planteaba ser profesor. Lo habitual era terminar la carrera y automáticamente entrar en una empresa de desarrollador de software, pero no teníamos ni las referencias actuales de diversas salidas profesionales ni las alternativas tecnológicas actuales porque no había la misma tecnología y todo “estaba mucho menos conectado”. En mi caso, destacaría dos referentes, el Dr. Javier Pérez Turiel que me dio Redes de Computadores en 3º de Ingeniería Informática y mi mujer Cristina, que ya era profesora cuando la conocí y me animó a ello.

Hace tiempo que los estudios de informática están presentes y con fuerza en el sistema educativo español. Pero ¿en qué lugar se encuentra la formación en ciberseguridad?
Ahora hay más alternativas formativas que antes y, en materia de ciberseguridad, cada vez hay más opciones para poder cursar un máster, certificación, o incluso módulos específicos dentro de los ciclos formativos de Formación Profesional. Además, este curso, en diversas comunidades autónomas, las consejería de Educación han aprobado y lanzado el curso de Especialización en Ciberseguridad en el marco de la Formación Profesional. En algunos másteres oficiales, que no son puramente de Seguridad Informática, existen ya asignaturas de ciberseguridad para tener al menos un contacto y dar una visión muy genérica de esta disciplina.
Como veis, la formación en ciberseguridad va cobrando un peso específico, que el algunos casos puede ser transversalmente, pero que en otros es todo un eje vertebrador de estudios muy focalizados en ese área, sobre todo en relación con los másteres y las certificaciones.

En muchos campos se aboga por la especialización. En la ciberseguridad, ¿dónde estará la especialización? ¿Qué le recomiendas a tus alumnos, qué camino deben escoger?
Les pregunto dónde les gustaría estar de aquí a cinco años y les comento que hay conceptos que deben tener muy claros y conocer para poder dedicarse de manera profesional a la seguridad, en las rama que ellos escojan después. Les digo que tienen que saber de redes, direccionamiento IP (si no saben qué es una IP no podrán ni atacarse a sí mismos), enrutamiento, configurar una interfaz de red en cualquier sistema operativo, conocer protocolos a nivel de transporte, lo que es un puerto, un servicio… tienen que conocer algo de SQL, de sistemas operativos, programación en la parte de frontend y backend, administración de sistemas, y si tienen conocimientos de programación pues mejor que mejor. Al final, poner todo esto en común puede posibilitar ganarte la vida con la Seguridad Informática.

Les recomiendo también que se animen a escribir artículos relacionados con la Seguridad Informática para intentar que sean publicados en blogs con buena reputación, que investiguen qué congresos de seguridad existen, quiénes van y qué perfiles sociales tienen para que les empiecen a seguir y vean qué cosas investigan y publican, que se animen porque algún día puede que ellos se vean como ponentes en los principales congresos de Seguridad Informática, les digo que la Seguridad Informática no es una herramienta de botón gordo, que eso tiene las piernas muy cortas. Les digo que hagan lo que hagan o estudien lo que estudien, intenten pensar cómo introducir la Seguridad Informática de manera transversal, porque yo lo hago en mis clases y me obligo a investigar para podérselo explicar.
Les digo a qué congresos voy, qué es lo que hago para poder estar allí, o las cosas que me encuentro en una empresa cuando hago Auditorías de Seguridad.

Les animo a que no se autolimiten y que intenten estudiar todo lo que puedan, ya sea en forma de certificaciones profesionales, másteres, o ingeniería, que después es posible que tengan otro tipo de responsabilidades y ahora tienen un recurso muy valioso que es el tiempo y después van a dejar de tenerlo.

Pero sobre todo, les digo que para dedicarse a la Seguridad Informática, el único atajo que existe es leer, practicar y ser constante, esa es la clave. Y que tienen que tener algo diferente al resto de gente como ellos, que responda a la pregunta: ¿qué cosas has realizado que yo pueda ver?

Poco a poco se va reconociendo el trabajo de los Hackers. Por lo menos TECNOideas siempre lo ha reivindicado. Incluso el Diccionario de la RAE ha cambiado su definición, ajustándola a la realidad. ¿Te definirías como Hacker?
Bueno, me alegra ver que en la pregunta lo has escrito con la misma importancia que tienen los nombres propios, la primera letra en mayúscula… Ufff, el término Hacker es una carga muy pesada, y hay que estar a la altura de todo lo que engloba, implica, y el compromiso social que suscita, al menos en sus orígenes.

“Para dedicarse a la Seguridad Informática,
el único atajo que existe es leer, practicar y
ser constante, esa es la clave.”

Considero que una persona no se puede autodefinir como Hacker, es un reconocimiento que te tienes que ganar en función de tus investigaciones y aportes, y tiene que ser la comunidad quién te otorgue ese reconocimiento. Cuando escucho alguna vez que alguien se autodefine como Hacker pienso, con lo complicado que es y todo lo que implica, ¿será consciente de lo que está diciendo?

Tengo una anécdota, la RootedCON de 2019. Fue la primera vez que asistí a Rooted como ponente y recuerdo que allí, antes de empezar la ponencia, me saludaron entre otros Raúl Siles y Mónica Salas (ver la entrevista que les hicimos AQUÍ), José Picó y entre el público estaba Berta Sheila. Recuerdo muchas veces esta anécdota entre mis amigos. Para mí fue muy parecido a cuando un torero recibe la alternativa.

Además, otra cosa en la que siempre me he fijado y me causa mucho respeto, son las personas con las que he compartido cartel en las diferentes CONs. La mayoría de ellas han sido referencias y lo siguen siendo cuando empezaba en el mundo de Seguridad Informática. Recuerdo ir de espectador a RootedCON en 2012 y verlos a todos ellos como ponentes (por eso iba). Imagina lo que significa para mí, unos años más tarde, compartir cartel con buena parte de ellos. A día de hoy me sigue dando un gran respeto.

En tu haber también tienes un par de libros: Hacking web y Raspberry para Hackers. ¿Representan un paso más en tu área docente? ¿Puedes hablarnos de ellos?
Bueno, por lo menos representa un hito muy importante a nivel personal, y cada uno de ellos tienen una historia detrás. El primero, Hacking Web Technologies, fue muy especial. El 25 de marzo de 2015 estuve en Telefónica, en Gran Vía, como jurado de la final nacional del programa Talentum Startups. El jurado lo formábamos Antonio Guzmán, Raimundo Alcázar, Chema Alonso y yo. Recuerdo que al volver a casa, estaba en la estación de Chamartín y recibí un correo de Chema invitándome a participar en el proyecto de la elaboración del libro, imagínate. Los autores del libro fuimos Ricardo Martín, Pablo González, Chema Alonso, Enrique Rando y yo. Para mi fue una oportunidad para escribir sobre temas nuevos que no había tocado hasta el momento, como ZAProxy, inyecciones NoSQL sobre MongoDB, inyecciones de tipo XML y JSON, y algún tema que ya no recuerdo…. Han pasado más de 5 años. Lo que sí que recuerdo fue la sensación que tuve al poder participar en un proyecto como ese con todos esos referentes en el sector.

El segundo libro, Raspberry Pi para Hackers fue diferente, ya sabes, si haces o participas en la elaboración de uno, es más fácil poder participar en la elaboración de más libros, y así fue. Pasadas las navidades de 2017 Pablo González me comentó la idea y me gustó, poder elaborar un libro lo suficientemente práctico que fuese una guía a base de proyectos para que cualquiera con una Raspberry Pi pudiese practicar. Los tres autores somos de Palencia, Héctor Alonso, Pablo Abel Criado y yo, y buenos amigos. Es más, ellos han terminado trabajando en Telefónica en el entorno de ElevenPaths. Recuerdo que nos costó terminar la publicación del libro, pero que fue algo muy bonito que celebramos después.

Tener esas dos publicaciones reconozco que me ha abierto puertas, pero, sobre todo, cuando tú escribes algo, es un ejercicio muy bueno de síntesis que te ayuda a afianzar conceptos. Y, es más, me han pedido varias veces alguna firma y dedicación en diferentes congresos… y siempre llena de satisfacción (risas).

Esperamos que os haya gustado esta primera parte de la entrevista de Amador. Los que queráis empezar estudios de ciberseguridad ya tenéis unas cuantas pautas. ¡Aprovechadlas!

Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.