Amador Aparicio: “estamos exportando jóvenes formados en España con puestos de responsabilidad”
Segunda parte de la entrevista a Amador Aparicio que iniciamos la semana pasada. Amador es ingeniero informático y docente y es uno de los profesionales más reconocidos de España. Tras hablarnos de la situación de la enseñanza de la ciberseguridad hoy abordamos temas más específicos. ¡Esperamos que os guste!
Terminamos la primera parte de la entrevista hablando de tus libros. Hoy damos un paso más en tu carrera y nos gustaría comenzar por tu trabajo como miembro del Comité CTN 320 de ciberseguridad y protección de datos personales en la Asociación Española de Normalización. ¿Qué objetivos persigue esta asociación?
Cierto, desde enero de 2021 formo parte de este comité. El trabajo es más de asesoramiento para la normalización de actividades, que técnico. El principal objetivo es la normalización de los métodos, técnicas y directrices en el ámbito de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI, lo que incluye las siguientes áreas:
• Metodología para la captura de requisitos.
• Técnicas y mecanismos de seguridad, incluidos los procedimientos para el registro de los componentes de seguridad.
• Gestión de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI.
• Documentación de apoyo a la gestión, incluyendo las normas relativas a la terminología, la evaluación de la conformidad y los criterios de evaluación de la seguridad.
• Los requisitos y directrices para la protección de los datos personales y la privacidad de las personas, incluyendo los aspectos de gestión y requisitos de privacidad por diseño y por defecto.
Formas parte del equipo de captación de talento de Telefónica, Talentum Startups desde 2013. Los jóvenes tienen la mirada puesta en California, pero ¿tenemos mucho talento en España? ¿Hay futuro para los jóvenes que deseen quedarse y no salir al extranjero?
Sí, formo parte del Programa de Captación de Talento de Telefónica desde diciembre de 2013 y me ha permitido conocer a gente de todas las universidades españolas durante todos estos años. Las universidades en España están haciendo un buen trabajo porque estamos exportando jóvenes formados en España al extranjero con puestos de responsabilidad que exigen un alto conocimiento técnico y capacidad. Sin ir más lejos, el responsable de seguridad de Google es o era un chico de Valencia, Fermín Serna, lo que indica que en España las universidades tienen un buen nivel y que la gente sale bien preparada de ellas.
“Lo que buscamos en las universidades
es gente con actitud y con capacidad y
habilidades tecnológicas
que se apasionen haciendo cosas y
no los mejores expedientes.”
Lo que buscábamos (y buscamos) en las universidades (y fuera de ellas) era gente que hubiera hecho cosas por su cuenta en forma de proyectos tecnológicos, no sólo que tuviese buenas ideas, sino que tuviera la capacidad tecnológica de transformar esa idea en producto, gente que tuviese pasión por la tecnología y que hiciera cosas por su cuenta. No buscábamos los mejores expedientes (aunque los ha habido), sino gente con actitud y con capacidad y habilidades tecnológicas que se apasionase haciendo cosas, que hubiera hecho pequeños proyectos que pudiéramos ver.
Sobre lo que planteas de si hay talento es España, conozco a grandes profesionales del sector, pero la COVID-19 ha revelado información al respecto: se ha producido un incremento en el desempleo mayor al de la oferta de puestos de trabajos especializados, y esa es una de las razones por la que hay más ofertas de empleo, por ejemplo en ciberseguridad, frente a la demanda de empleo, lo que podría indicar que en España no hay tanto talento digital como aparece en los medios y redes sociales y donde más ha crecido el número de empresas que ofrecen trabajo a expertos en nuevas tecnologías, de ahí que sea complicado cubrir toda la demanda de profesionales. Sobre este tema os propongo leer este artículo del diario El País Financiero.
Para acabar este bloque sobre tu aportación en varias instituciones, debemos hablar también del programa CSE (Chief Security Envo) de ElevenPaths, del que formas parte. ¿En qué consiste realmente el programa?
Desde ElevenPaths, la Unidad de Ciberseguridad de Telefónica, se creó un programa similar a los MVP de Microsoft, pero en este caso aplicado al mundo de la ciberseguridad. La idea del programa es doble, por un lado hacer un reconocimiento público a profesionales del sector y por otro realizar aportaciones de ciberseguridad para llegar a más lugares.
En mi caso, si me preguntas quién tuvo la culpa, te diría que Pablo González, que fue quien me puso en contacto con el programa en diciembre de 2018. Después, Pablo San Emeterio fue quién realizó el proceso de selección y al final quedamos seleccionados 10 personas en España y 6 personas en Ecuador. Por cierto, este año también he vuelto a recibir el reconocimiento y para mí es muy motivador poder estar relacionado con ElevenPaths porque podemos probar algunos de sus productos, proponer mejoras, tener acceso a tecnología disruptiva en algunos casos y poder estar presentes en foros especializados.
La verdad es que las opciones de la ciberseguridad van alcanzando cotas importantes en diversos sectores. En este blog ya hemos hablado de la importancia de que los coches sean ciberseguros. ¿Puedes hablarnos del Hacking Car y por qué está tan de moda?
Creo que estuvo más de moda hace 2 ó 3 años. En congresos de seguridad hubo ponencias relacionadas con Car Hacking, de hecho, Jordi Serra y yo estuvimos en Navaja Negra y en las Jornadas CCN-CERT en 2018 con ponencias sobre Car Hacking. En nuestro caso estudiamos técnicas para leer las tramas que viajaban por la red CAN BUS de los coches, modificarlas y volver a inyectarlas al coche para que éste hiciera cosas y cambiar así su comportamiento.
Las ponencias de Car Hacking estaban relacionadas con las comunicación interna de la red del coche sobre el bus CAN, y sobre radiofrecuencia aplicada en llaves sin contacto y el sistema de monitorización de presión y temperatura de las ruedas.
Los estudios de Charlie Miller y Chris Valasek en ese campo fueron tremendamente impactantes con el hackeo del Jeep, pero ellos tenían toda la información de los fabricantes de los distintos dispositivos del coche.
Sobre los coches ciberseguros:
“La Unión Europea hará cumplir la norma a partir de julio de 2022 y
afectará a todos los vehículos nuevos a partir de julio de 2024.
Para lograr el certificado de ciberseguridad,
los fabricantes deberán demostrar que sus modelos
están protegidos frente a 70 vulnerabilidades.“
Ahora es más complicado encontrar ponencias de este tipo porque una de las conclusiones a las que llegamos es que los fabricantes no aportan ningún tipo de información, hay que disponer de un buen laboratorio y material de medición y monitorización de datos y, sobre todo, hay que tener coches para hacer pruebas, y eso no está al alcance de cualquiera, de ahí que sea complicado avanzar por ese campo si no es con el apoyo de un fabricante interesado que te proporcione el material para realizar todas las pruebas necesarias.
Y no debemos olvidarnos del cine, en muchas películas puedes ver como hackean un coche y toman el control total sobre él…. Y eso es prácticamente imposible por la segmentación que existe en las redes internas de los automóviles.
¿Puedes hablarnos de la legislación al respecto? El 1 de enero de 2022, ¿todos los coches deberán ser ciberseguros? ¿Solo los nuevos, los de segunda mano no?
Cierto, la Unión Europea ya ha anunciado que hará cumplir la norma a partir de julio de 2022 y afectará a todos los vehículos nuevos a partir de julio de 2024. Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.
En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU / UNECE WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000€ por vehículo y se podría retirar o suspender la homologación de los modelos afectados, lo que impediría que se pudiesen vender.
La normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado APTO de ciberseguridad.
Este sector avanza muy rápido, gracias a que la tecnología no tiene freno. ¿Cómo te imaginas el sector de aquí a veinte años?
Ni idea, creo que tendría que preguntárselo a mis hijas dentro de unos años… (risas).
¿Habéis aprendido muchas cosas? Esperamos que os haya gustado esta entrevista. Si todavía no habíais leído la primera parte, os lo ponemos fácil: sólo tenéis que clicar AQUÍ.
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Publicado en Entrevistas, Formación, General, Noticias, Seguridad
Amador Aparicio, ingeniero informático y docente: “hay que introducir la Seguridad Informática de manera transversal”
Ya sabéis que de vez en cuando nos gusta traer a este blog personajes que tienen una relevancia especial en nuestro sector. Hoy queremos acercarnos a Amador Aparicio, una persona muy reconocida en diversos ámbitos, porque además de ser ingeniero informático y tener un postgrado en Seguridad de las Tecnologías de la Información y Comunicación, ha querido siempre dedicarse a la enseñanza. En la actualidad es profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato (Palencia), profesor en el Máster de Ciberseguridad y Seguridad de la Información de la Universidad de Castilla la Mancha y en el Máster Universitario en Seguridad de Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid. Hoy os ofrecemos la primera parte de una entrevista que tendrá continuidad la próxima semana.
No es muy frecuente encontrar un perfil tan especializado y que escoja la docencia como actividad principal. ¿Por qué la docencia? ¿Es algo vocacional?
Bueno, es verdad, pero he de decir que desde el año 2016 llevo haciendo auditorías de seguridad de manera profesional, aunque bien es cierto que mi actividad profesional fundamental sigue siendo la docencia en Formación Profesional y en diferentes universidades españolas relacionadas con másteres de ciberseguridad.
En mi caso, la docencia es vocacional, es más, pienso que muchos de los que somos docentes y esa es nuestra principal actividad de ingresos, es porque en nuestra etapa estudiantil hemos tenido referentes en este sentido, en forma de profesores o incluso de amigos. Es cierto que cuando yo estudiaba prácticamente nadie se planteaba ser profesor. Lo habitual era terminar la carrera y automáticamente entrar en una empresa de desarrollador de software, pero no teníamos ni las referencias actuales de diversas salidas profesionales ni las alternativas tecnológicas actuales porque no había la misma tecnología y todo “estaba mucho menos conectado”. En mi caso, destacaría dos referentes, el Dr. Javier Pérez Turiel que me dio Redes de Computadores en 3º de Ingeniería Informática y mi mujer Cristina, que ya era profesora cuando la conocí y me animó a ello.
Hace tiempo que los estudios de informática están presentes y con fuerza en el sistema educativo español. Pero ¿en qué lugar se encuentra la formación en ciberseguridad?
Ahora hay más alternativas formativas que antes y, en materia de ciberseguridad, cada vez hay más opciones para poder cursar un máster, certificación, o incluso módulos específicos dentro de los ciclos formativos de Formación Profesional. Además, este curso, en diversas comunidades autónomas, las consejería de Educación han aprobado y lanzado el curso de Especialización en Ciberseguridad en el marco de la Formación Profesional. En algunos másteres oficiales, que no son puramente de Seguridad Informática, existen ya asignaturas de ciberseguridad para tener al menos un contacto y dar una visión muy genérica de esta disciplina.
Como veis, la formación en ciberseguridad va cobrando un peso específico, que el algunos casos puede ser transversalmente, pero que en otros es todo un eje vertebrador de estudios muy focalizados en ese área, sobre todo en relación con los másteres y las certificaciones.
En muchos campos se aboga por la especialización. En la ciberseguridad, ¿dónde estará la especialización? ¿Qué le recomiendas a tus alumnos, qué camino deben escoger?
Les pregunto dónde les gustaría estar de aquí a cinco años y les comento que hay conceptos que deben tener muy claros y conocer para poder dedicarse de manera profesional a la seguridad, en las rama que ellos escojan después. Les digo que tienen que saber de redes, direccionamiento IP (si no saben qué es una IP no podrán ni atacarse a sí mismos), enrutamiento, configurar una interfaz de red en cualquier sistema operativo, conocer protocolos a nivel de transporte, lo que es un puerto, un servicio… tienen que conocer algo de SQL, de sistemas operativos, programación en la parte de frontend y backend, administración de sistemas, y si tienen conocimientos de programación pues mejor que mejor. Al final, poner todo esto en común puede posibilitar ganarte la vida con la Seguridad Informática.
Les recomiendo también que se animen a escribir artículos relacionados con la Seguridad Informática para intentar que sean publicados en blogs con buena reputación, que investiguen qué congresos de seguridad existen, quiénes van y qué perfiles sociales tienen para que les empiecen a seguir y vean qué cosas investigan y publican, que se animen porque algún día puede que ellos se vean como ponentes en los principales congresos de Seguridad Informática, les digo que la Seguridad Informática no es una herramienta de botón gordo, que eso tiene las piernas muy cortas. Les digo que hagan lo que hagan o estudien lo que estudien, intenten pensar cómo introducir la Seguridad Informática de manera transversal, porque yo lo hago en mis clases y me obligo a investigar para podérselo explicar.
Les digo a qué congresos voy, qué es lo que hago para poder estar allí, o las cosas que me encuentro en una empresa cuando hago Auditorías de Seguridad.
Les animo a que no se autolimiten y que intenten estudiar todo lo que puedan, ya sea en forma de certificaciones profesionales, másteres, o ingeniería, que después es posible que tengan otro tipo de responsabilidades y ahora tienen un recurso muy valioso que es el tiempo y después van a dejar de tenerlo.
Pero sobre todo, les digo que para dedicarse a la Seguridad Informática, el único atajo que existe es leer, practicar y ser constante, esa es la clave. Y que tienen que tener algo diferente al resto de gente como ellos, que responda a la pregunta: ¿qué cosas has realizado que yo pueda ver?
Poco a poco se va reconociendo el trabajo de los Hackers. Por lo menos TECNOideas siempre lo ha reivindicado. Incluso el Diccionario de la RAE ha cambiado su definición, ajustándola a la realidad. ¿Te definirías como Hacker?
Bueno, me alegra ver que en la pregunta lo has escrito con la misma importancia que tienen los nombres propios, la primera letra en mayúscula… Ufff, el término Hacker es una carga muy pesada, y hay que estar a la altura de todo lo que engloba, implica, y el compromiso social que suscita, al menos en sus orígenes.
“Para dedicarse a la Seguridad Informática,
el único atajo que existe es leer, practicar y
ser constante, esa es la clave.”
Considero que una persona no se puede autodefinir como Hacker, es un reconocimiento que te tienes que ganar en función de tus investigaciones y aportes, y tiene que ser la comunidad quién te otorgue ese reconocimiento. Cuando escucho alguna vez que alguien se autodefine como Hacker pienso, con lo complicado que es y todo lo que implica, ¿será consciente de lo que está diciendo?
Tengo una anécdota, la RootedCON de 2019. Fue la primera vez que asistí a Rooted como ponente y recuerdo que allí, antes de empezar la ponencia, me saludaron entre otros Raúl Siles y Mónica Salas (ver la entrevista que les hicimos AQUÍ), José Picó y entre el público estaba Berta Sheila. Recuerdo muchas veces esta anécdota entre mis amigos. Para mí fue muy parecido a cuando un torero recibe la alternativa.
Además, otra cosa en la que siempre me he fijado y me causa mucho respeto, son las personas con las que he compartido cartel en las diferentes CONs. La mayoría de ellas han sido referencias y lo siguen siendo cuando empezaba en el mundo de Seguridad Informática. Recuerdo ir de espectador a RootedCON en 2012 y verlos a todos ellos como ponentes (por eso iba). Imagina lo que significa para mí, unos años más tarde, compartir cartel con buena parte de ellos. A día de hoy me sigue dando un gran respeto.
En tu haber también tienes un par de libros: Hacking web y Raspberry para Hackers. ¿Representan un paso más en tu área docente? ¿Puedes hablarnos de ellos?
Bueno, por lo menos representa un hito muy importante a nivel personal, y cada uno de ellos tienen una historia detrás. El primero, Hacking Web Technologies, fue muy especial. El 25 de marzo de 2015 estuve en Telefónica, en Gran Vía, como jurado de la final nacional del programa Talentum Startups. El jurado lo formábamos Antonio Guzmán, Raimundo Alcázar, Chema Alonso y yo. Recuerdo que al volver a casa, estaba en la estación de Chamartín y recibí un correo de Chema invitándome a participar en el proyecto de la elaboración del libro, imagínate. Los autores del libro fuimos Ricardo Martín, Pablo González, Chema Alonso, Enrique Rando y yo. Para mi fue una oportunidad para escribir sobre temas nuevos que no había tocado hasta el momento, como ZAProxy, inyecciones NoSQL sobre MongoDB, inyecciones de tipo XML y JSON, y algún tema que ya no recuerdo…. Han pasado más de 5 años. Lo que sí que recuerdo fue la sensación que tuve al poder participar en un proyecto como ese con todos esos referentes en el sector.
El segundo libro, Raspberry Pi para Hackers fue diferente, ya sabes, si haces o participas en la elaboración de uno, es más fácil poder participar en la elaboración de más libros, y así fue. Pasadas las navidades de 2017 Pablo González me comentó la idea y me gustó, poder elaborar un libro lo suficientemente práctico que fuese una guía a base de proyectos para que cualquiera con una Raspberry Pi pudiese practicar. Los tres autores somos de Palencia, Héctor Alonso, Pablo Abel Criado y yo, y buenos amigos. Es más, ellos han terminado trabajando en Telefónica en el entorno de ElevenPaths. Recuerdo que nos costó terminar la publicación del libro, pero que fue algo muy bonito que celebramos después.
Tener esas dos publicaciones reconozco que me ha abierto puertas, pero, sobre todo, cuando tú escribes algo, es un ejercicio muy bueno de síntesis que te ayuda a afianzar conceptos. Y, es más, me han pedido varias veces alguna firma y dedicación en diferentes congresos… y siempre llena de satisfacción (risas).
Esperamos que os haya gustado esta primera parte de la entrevista de Amador. Los que queráis empezar estudios de ciberseguridad ya tenéis unas cuantas pautas. ¡Aprovechadlas!
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Publicado en Entrevistas, Formación, General, Noticias, Seguridad
Español 
Català