Yolanda Corral: “Si no quieres invertir en ciberseguridad porque lo consideras un gasto, empieza a ahorrar para el roto que te provocará la falta de ella.”
Como en tantas otras disciplinas, la comunicación también juega un papel muy importante en el mundo de la ciberseguridad. Hoy queremos acercarnos a él de la mano de Yolanda Corral. Valenciana por nacimiento y de vocación, periodista, formadora especializada en ciberseguridad, conferenciante, presentadora de eventos, congresos… La lista es larga y es que en España la figura y el trabajo de Yolanda no sólo está reconocido, sino que además no tiene tregua.
¿La ciberseguridad en general, goza de buena comunicación en España?
Digamos que obtenemos un aprobado raspado pero acompañado de un “progresa adecuadamente”, no solo en España, sino a nivel general en todo el mundo. Transmitir el importante papel que juega la ciberseguridad en el día a día de todas las personas no es una labor fácil pero es vital.
Creo que todo el mundo puede estar de acuerdo que WannaCry (un programa dañino de tipo ransomware que provocó un ataque a escala global en 2017) supuso un antes y un después. Que un incidente de ciberseguridad ocupara la apertura de los informativos en todos los medios a nivel mundial fue crucial para que poquito, muy poquito a poco, la ciberseguridad fuera un tema que comenzara a entrar en la agenda de los medios. Pero debería hacerlo con más fuerza e intensidad. Lo que toca es informar y concienciar y eso pasa por hablar de estos temas, no cuando hay un incidente, sino en cualquier momento, en cualquier lugar, en cualquier formato. Por eso todavía hay un amplio margen de mejora para poder decir un sí rotundo a esta pregunta y es prioritario que se actúe.
Dicen que los sabios son distraídos y que los técnicos e ingenieros informáticos no saben comunicar ¿es merecida esta fama?
Las generalizaciones nunca son buenas. Hay personas con una destreza y habilidad comunicativa tremenda para hacer entendible cualquier tema tecnológico, científico, astronómico, médico o de cualquier tipo. Y hablando claro, es lo que nos corresponde a cada uno, todos tenemos que intentar no quedarnos con nuestro conocimiento en una urna de cristal sino transmitirlo, comunicarlo, expandirlo y hacerlo en un lenguaje asequible a todo el mundo.
“La ciberseguridad debe comenzar a entrar en la agenda de los medios,
pero con más fuerza e intensidad. Lo que toca es informar y concienciar
y eso pasa por hablar de estos temas, no cuando hay un incidente,
sino en cualquier momento, en cualquier lugar, en cualquier formato”.
Desde luego que el cliché de la limitada capacidad de comunicación de las personas técnicas existe, pero eso no es algo que se otorgue con la titulación. Las habilidades comunicativas se deben trabajar sea uno ingeniero, astronauta, profesor, jardinero o informático. Yo es un tema en el que insisto mucho; en cualquier charla o formación siempre recomiendo que se trabaje la expresión oral rompiendo el miedo a hablar en público pero también la expresión escrita.
Que tu alias digital sea “yocomu”, ¿es una cuestión de principios?
El origen de mi alias realmente vino dado. El primer correo electrónico que tuve me lo generaron en la universidad, así que yocomu son las iniciales de mi nombre y apellidos. Esa composición, su sonoridad, siempre me ha gustado y la he mantenido desde entonces. No me he planteado si es una cuestión de principios, pero sí de querer destacar de forma implícita mis apellidos por igual.
Tu formación inicial es la de periodista y vinculada al medio que más te gusta, la televisión. ¿Cómo y cuándo descubriste que la ciberseguridad iba a ser tu sector?
Creo que nos descubrimos mutuamente la ciberseguridad y yo. Más que MI sector es un sector más en el que considero que tengo algo que aportar como profesional.
Echando la vista atrás, el entusiasmo por lo que rodea a la ciberseguridad se remonta a mediados de 2013. En un canal de YouTube que codirigía organicé un debate online sobre seguridad en la red enfocado en menores y de ahí derivó todo. Fue el inicio para dedicar un programa mensual a temas de ciberseguridad. Desde entonces es cierto que ya no he dejado de enfocarme en el tema, de conocer muchísima gente de la que aprender y no he dejado de hacer cosas por y para la comunidad.
Nunca fue una cosa premeditada de origen, pero sí, cada paso dado desde entonces me ha acercado, y me acerca más a la ciberseguridad. Me siento muy cómoda, cada día alimento mi curiosidad, aprendo muchísimo y he encontrado la forma de aportar valor a la sociedad en este sector desde la comunicación y la formación. Ya lo confesé en una de mis primeras charlas, ‘la ciberseguridad me ha mutado’ así que sigo avanzando en ese descubrimiento mutuo.
También has creado algunos canales informativos y divulgativos, como Palabra de hacker. ¿Qué cuentas en él?
Palabra de hacker como indica su lema, nació para ser el lugar donde el verbo hackear y el sustantivo seguridad se dan la mano, para aprender con los mejores profesionales. Yo derivo la palabra a grandes profesionales de la ciberseguridad para aprender de ellos y con ellos, para acercar conocimiento a todo el mundo, tanto profesionales como estudiantes, aficionados y cualquier persona común que necesite informarse o profundizar en esta temática a través de ciberdebates, charlas, talleres, entrevistas… Mi empeño siempre pasa por hacer ‘ciberseguridad de tú a tú’ ya que es importante que cualquier persona pueda entender estos temas, no solo el personal técnico, por lo que comentábamos al principio. Lenguaje asequible para todo el mundo con el objetivo de divulgar conocimiento en ciberseguridad. Así he aprendido yo, así me gustaría que aprendieran todos.
“Mi empeño siempre pasa por hacer ‘ciberseguridad de tú a tú’
ya que es importante que cualquier persona pueda entender estos temas,
no solo el personal técnico.”
¿Qué nos puedes decir de los contenidos en abierto y poder dar la palabra a los hackers?
Los hackers, grandes especialistas en seguridad informática, me descubrieron el camino de la ciberseguridad, así que es obvio darles la palabra pues nadie mejor que ellos para difundir conocimiento. Estoy inmensamente agradecida con los grandes profesionales que han visitado mi casita digital para compartir su experiencia con todo el mundo.
Desde el inicio siempre he apostado por los contenidos de calidad, en abierto, en castellano, en multicanal (mismo contenido difundido en vídeos, podcast, blog para dar opciones) y facilitando siempre los canales de comunicación para que la gente pudiera preguntar en vivo a los especialistas y generar comunidad de conocimiento.
Esto son cosas que mucha gente parece que ha descubierto o se ha lanzado a hacer en los últimos meses, motivado por la pandemia y ese ‘vamos a darle al formato online’ pero como creadora de contenidos es lo que llevo haciendo exactamente igual desde el minuto uno en que hice ON y ya ha llovido. Cuantos más contenidos en abierto se generen y más iniciativas surjan, más ganamos todos.
“Aún anda confuso el término hacker, la cinematografía ha hecho mucho daño creando un estereotipo del hacker que nada tiene que ver. Cuando entro en muchas aulas los pequeños siguen con esa idea errónea del hacker, lo siguen asociando a alguien que hace el mal y NO, hay que insistir en ello: un hacker no es un ciberdelincuente.”
Por cierto, siempre has defendido el trabajo de un hacker, que no dejamos de explicar que no es el que todo el mundo piensa. ¿Las nuevas generaciones ya tienen asumido lo que es realmente un hacker… o una hacker?
Un hacker va más allá del ámbito informático clarísimamente pero es obvio que está muy intrínsecamente ligado a la informática. Para mí sería cualquier profesional que trabaja por romper los esquemas, que tiene afán de superación, que se desvive por ir más allá de lo que se entiende por su función aplicando la creatividad o el llamado pensamiento lateral, que tiene hambre de conocimiento y trabaja resolviendo necesidades por el bien común. Y conozco grandes expertos informáticos que esto lo clavan.
Ciñéndonos al ámbito informático aún anda confuso el término hacker, la cinematografía ha hecho mucho daño creando un estereotipo del hacker que nada tiene que ver. Cuando entro en muchas aulas los pequeños siguen con esa idea errónea del hacker, lo siguen asociando a alguien que hace el mal y NO, hay que insistir en ello: un hacker no es un ciberdelincuente.
La RAE rectificó añadiendo una nueva definición al término, pero hay que seguir remando para que la definición de hacker como pirata informático caiga del diccionario y para que eso pase hay que hacer que la gente deje de hacer esa asociación errónea. Los hackers son los buenos, de no ser así yo no estaría rodeada de ellos (risas).
¿La ciberseguridad tiene género? ¿Es paritaria? Lo decimos en el sentido de si hay buenas profesionales mujeres o es un sector bastante monopolizado por el género masculino.
Obvio que la ciberseguridad no tiene género, como no lo tiene la tecnología. Decir lo contrario sería una falacia. Otra cosa distinta es que haya una descompensación evidente en el número de profesionales que se dedican a la ciberseguridad. Por eso es importante hacer ver que esto no va de géneros, va de motivación, de valía, de preparación, de ganas de hacer cosas en el sector para que nadie que quiera se quede atrás. Dar visibilidad a profesionales es lo que tiene que servir para que las vocaciones no se disipen por el camino por una cuestión de género, de edad o de cualquier otro aspecto.
Conozco a grandísimas profesionales mujeres, como conozco a grandísimos profesionales hombres que se dedican al mundo de la ciberseguridad desde la perspectiva multidisciplinar, ya que no solo hay que tener en cuenta al personal técnico.
Una parte importante de tu tiempo lo ocupan charlas y talleres de formación a alumnos de institutos y Formación Profesional. Con esa experiencia, ¿crees que la ciberseguridad va a tener mejores especialistas en el futuro inmediato?
Con la apuesta fuerte que se está haciendo por los cursos de especialización en ciberseguridad en formación profesional y el empeño que he visto de cerca que pone el profesorado en su formación, estoy convencida que van a haber buenos especialistas. He compartido charlas motivacionales con muchos y he visto las ganas de formarme en este terreno, no solo de los jóvenes, sino gente de diversas edades, lo que es necesario porque pueden aportar su experiencia previa.
Además he de decir que por las charlas de concienciación en seguridad que hago en colegios e institutos sé que la necesidad de que haya profesionales debe continuar porque existe desconocimiento o desidia por cuidar la propia seguridad digital. Son y serán necesarios profesionales que velen por la seguridad de todos nosotros y ciudadanos más concienciados que faciliten la labor (pre)ocupándose por estos temas.
Imaginamos que esas charlas te deben dar mucha energía. ¿Tienes un feedback positivo de los más jóvenes?
Sí, compartir tiempo con jóvenes es un chute de energía. Yo siempre les digo al comenzar las sesiones que al final me llevo más aprendizaje del que yo pueda dejar, porque siempre saco algo de valor de sus preguntas, sus reacciones, sus anécdotas, sus historias…
Este ha sido un curso muy complicado por las circunstancias que todos sabemos y yo he tenido la suerte de asistir presencialmente a decenas de centros a lo largo de todo el curso y seguir captando esa energía. He podido ver de cerca la inmensa labor que han hecho todos los profesores por sacar adelante el curso y la resiliencia con la que lo han llevado los niños, niñas y adolescentes. Es digno de admirar y de reconocer.
¿Qué le falta a la ciberseguridad para que las empresas vean claramente que es una inversión y no un gasto?
A la ciberseguridad no le falta nada, a quien le falta una amplitud de miras tremenda para no ver el caos que puede originar la falta de inversión es precisamente a las empresas y a las organizaciones. Cada día conocemos nuevos incidentes de seguridad porque cada día se producen más y más y esto no va a parar, al contrario, va a ir a más por eso o nos preparamos o nos preparamos. Si no quieres invertir en ciberseguridad porque lo consideras un gasto, empieza a ahorrar para el roto que te provocará la falta de ella.
Conoces a muchos expertos en ciberseguridad y asistes a muchos congresos. Pero un día te pica el gusanillo y decides organizar eventos como PaellaCON o ser dinamizadora de Hack & Beers Valencia. ¿Te va la marcha, no hay nadie más o qué es lo que ocurre para que te metas en estos berenjenales?
Mi problema es que soy un culo inquieto y además me cuesta decir que no, aunque esto es algo sobre lo que estoy trabajando. Los eventos hay que vivirlos, a poder ser desde todas las perspectivas: como público, como participante, como colaborador y como organizador. Pues eso, no me he dejado ningún proceso en el camino, por eso siempre animo a la gente a que lo ponga en práctica. Desde luego que hay muchísima gente que hace muchísimas cosas y desde mi punto de vista así debe ser, ya que para mí no sobran eventos de ciberseguridad como se comenta a veces. Respeto esa opinión pero no la comparto ya que considero que cuantos más eventos mejor porque a gente más diversa se puede alcanzar y esa debe ser la base para extender la cultura de la ciberseguridad.
¿Volveremos a ver estos eventos en Valencia?
Claro, todo está abierto pueden ser esos eventos u otros, yo desde luego animo a la gente a que haga cosas y lance iniciativas. No será por faltas de ganas de CONs que tiene todo el mundo.
PaellaCON tuvo sus dos ediciones maravillosas, si se dan las circunstancias habrá más y si no pues lo vivido, vivido está. La gente desde luego lo reclama y Hack & Beers en cuanto las circunstancias lo permitan seguro se volverá a reactivar por los diferentes puntos de España en los que hay dinamizadores para que estos magníficos encuentros se vuelvan a producir.
También estás en un grupo de ciberseguridad de América Latina. ¿Cómo está el sector en LATAM?
Los amigos de Latinoamérica son geniales, siempre han estado muy ávidos de conocimiento, son especialmente agradecidos con los contenidos, bastante participativos y hay muy grandes profesionales.
El sector y el interés por el mismo está en crecimiento como lo está en todas las partes del mundo porque la necesidad de ponerse las pilas con la ciberseguridad crece exponencialmente.
Esperamos que os haya gustado esta entrevista. La clarividencia de Yolanda es evidente y un ejemplo de que la ciberseguridad no es una asignatura imposible de aprobar si no eres un técnico. Podéis seguir aprendiendo cosas con Yolanda a través de su web AQUÍ.
- Publicado en Entrevistas, Formación, General, Noticias
Entrevista a los creadores de DinoSec y GuardedBox
Tener varias delegaciones, teletrabajar, viajar por negocios… la necesidad de compartir información de forma totalmente segura en la red se ha convertido en un dolor de cabeza para la mayoría de las empresas. Pero DinoSec, junto a Juan José Torres, ha desarrollado una solución on line que está triunfando en el mundo empresarial: GuardedBox.
Hace unos días os hablábamos en este mismo blog de GuardedBox, pero hoy damos un paso más y entrevistamos a Mónica Salas y Raúl Siles, analistas de seguridad y fundadores de DinoSec y a Juan José Torres, creador original de GuardedBox.
¿Cómo nació DinoSec y cuáles son los principales servicios que ofrece?
DinoSec nació hace más de diez años para ofrecer servicios técnicos avanzados personalizados de seguridad informática en entornos complejos que requieren de un alto grado de conocimiento técnico y de la aplicación de tecnologías innovadoras, queriendo dar un paso más ante la creciente demanda de servicios de ciberseguridad en todos los ámbitos.
Ofrecemos servicios avanzados de análisis e investigación sobre la seguridad de nuevas tecnologías antes de que las implante el cliente, cursos de formación técnicos especializados, y servicios ofensivos mediante análisis, auditorías y pruebas de intrusión multiplataforma y/o basadas en tecnologías específicas para todo tipo de entornos.
¿Podríais resumirnos vuestros principales logros a lo largo de esta ya larga trayectoria?
La mayoría de los análisis y actividades que realizamos no pueden ser desveladas públicamente. Sin embargo, de manera general, nuestros principales logros son la seriedad y profesionalidad a la hora de realizar nuestros servicios. Siempre seguimos aprendiendo y ampliando nuestras habilidades, capacidades y conocimientos, para aplicarlos con una alta profesionalidad y exigencia en nuestros servicios. Nuestros clientes buscan la excelencia y reconocen y valoran como hacemos las cosas, por eso contamos con su confianza, ganada y consolidada a lo largo de los años.
La estrella actual de la empresa es GuardedBox, esta solución on line de almacenamiento seguro de información secreta. ¿Cómo desarrollasteis esta idea y cuánto tiempo os ha ocupado hasta tenerla en el mercado?
DinoSec es una compañía de servicios profesionales y GuardedBox es el primer producto o servicio que lanzamos, y donde estamos poniendo parte de nuestros esfuerzos durante este año 2020. La idea partió de nuestro compañero Juan José Torres como propuesta de participación en el Hackathon de CyberCamp 2018, donde llegó con una versión funcional básica que principalmente tenía características de almacenamiento y gestión de secretos y unas capacidades para compartir entre individuos limitada. Posteriormente el proyecto evolucionó con nuevas capacidades en su participación en el Hackathon de CyberCamp 2019.
DinoSec se unió a la iniciativa a principios de 2020, porque nos pareció una solución que, evolucionada y madurada, cubría varias necesidades fundamentales de todo el sector, no solo de la industria de ciberseguridad, sino de cualquier organización e individuo: además del almacenamiento seguro, permite la compartición entre usuarios y grupos con el mismo nivel de seguridad, que nunca trasciende del lado del cliente, y constituye un panel de control para la gestión de cómo y con quién se comparte o se compartió información secreta.
¿La crisis sanitaria de la COVID-19 tuvo su papel en el lanzamiento de GuardedBox?
La idea original era evolucionar el producto para ofrecerlo al mercado al alcanzar un nivel de funcionalidad mayor, pero la crisis sanitaria del COVID nos llevó a tomar la decisión de acelerar su lanzamiento inicial, porque constatamos que las condiciones de teletrabajo impuestas sin planificación habían descontrolado el modo en que la sociedad y las organizaciones estaban intercambiando secretos por las vías más inseguras. Así que decidimos proporcionar a la comunidad un mecanismo seguro de compartición de secretos.
“GuardedBox es una solución web,
accesible mediante cualquier navegador,
para el almacenamiento, protección y compartición
de secretos, es decir, para la gestión
centralizada y homogénea de secretos.”
¿Qué es exactamente y cómo funciona?
En una frase, GuardedBox es una solución de código abierto pensada para que, sin necesidad de instalar, mantener, o actualizar ningún tipo de aplicación en el lado cliente, sea posible acceder a tus secretos sin más que disponer de un navegador web y acceso a tu e-mail (necesario únicamente para el doble factor de autentificación). Una vez dentro del entorno, el interfaz de usuario ofrecido por el código JavaScript que corre en el navegador web proporciona capacidad para consultar, crear, eliminar y, muy importante, compartir o descompartir en un par de clicks cualquier secreto con cualquier otro usuario de GuardedBox.
¿Por qué es tan seguro?
Los secretos solo viven temporalmente en la memoria asociada a la pestaña del navegador web, y se destruyen cuando la sesión se cierra, eliminando cualquier rastro de tus secretos en el dispositivo cliente (móvil u ordenador). El resto del tiempo permanecen almacenados cifrados, sólo accesibles para su propietario (o aquel con quien éste los haya compartido), en el lado servidor.
El que sea de código abierto es uno de los elementos que, a nuestro juicio, lo hacen más atractivo, ya que cualquier persona puede confirmar que se hace uso de las mejores prácticas y estándares criptográficos y de desarrollo y despliegue de software, así como corroborar y cotejar mediante su código fuente que la solución (o sus responsables, DinoSec) no tiene acceso ninguno a la información que cada usuario almacena en el servidor, que solo puede ser descifrada en su propio navegador web cuando accede al servicio.
“Es importante que todo el mundo sepa
que el servicio gratuito
siempre estará disponible para la comunidad.
Pero, complementariamente,
queremos ser capaces de atender las demandas y necesidades específicas de organizaciones
que no pueden limitarse a las de una instancia pública.”
La idea es innovadora, porque, ¿a diferencia de otras soluciones de almacenamiento y gestión de contraseñas, toda la maquinaria criptográfica tiene lugar en el lado cliente? ¿Las claves privadas que envuelven los secretos nunca se exponen fuera de la memoria de su navegador?
Efectivamente, aunque el almacenamiento de los secretos cifrados se encuentra en el entorno o lado servidor (backend), es el código JavaScript del lado cliente que el usuario obtiene al iniciar sesión quien realiza todas las operaciones criptográficas, desde la derivación de claves hasta el intercambio de la información cifrada con el servidor mediante una conexión cifrada extremo a extremo. El servidor únicamente almacena la semilla de login de cada usuario, a partir de la cual, tras diversas validaciones e interacciones criptográficas, el cliente deriva sus claves para acceder a sus secretos. Todos los detalles de su funcionamiento han sido publicados en conferencias de seguridad que hemos impartido en los últimos meses y que están disponibles desde Guardedbox.es.
Al no disponer el servidor ni de la contraseña ni de las claves privadas de los usuarios, evitamos la posibilidad de que, incluso aunque un tercero tuviese acceso al servidor o a la base de datos de secretos, se pudieran comprometer los secretos almacenados. Esto nos proporciona bastante tranquilidad.
¿Cuál es vuestra política de marketing? ¿Cómo vais a dar a conocer el producto y quiénes van a ser vuestros prescriptores?
Puesto que la decisión de ofrecer en primer lugar el servicio a toda la comunidad de manera gratuita y la acogida ha sido muy buena, estamos en el proceso de definir una política comercial que conviva con la instancia gratuita actual, que, por supuesto, continuamos y continuaremos manteniendo. En estos meses hemos confirmado la necesidad por parte de las empresas y corporaciones de disponer de una versión de GuardedBox adaptada a necesidades específicas, y estamos evolucionando la solución para poder responder a ellas.
En esta andadura hemos aprendido y profundizado mucho en el mundo de los secretos, y entendido que las necesidades de gestión son muy diversas, pero que todo el mundo las tiene: desde el punto de vista personal, un individuo que quiere tener sus secretos totalmente controlados y compartirlos eventualmente con un conocido, hasta el plano profesional, como una organización compleja que necesita intercambiar secretos tanto a nivel interno como externo (clientes, proveedores, colaboradores, etc.), y que requiere funcionalidades muy específicas, como auditorías precisas del acceso y modificación de los secretos, un sistema de notificaciones avanzado, múltiples roles de acceso, etc. Las posibilidades son infinitas, y por eso nos hemos centrado mucho en plantear una arquitectura escalable que acomode cualquier tipo de necesidad y que nos permita desarrollar e implantar la larga lista de ideas y funcionalidades que ya tenemos identificadas.
En vuestra web ya advertís de algunas limitaciones del producto, cosa bastante normal cuando se saca algo al mercado. Pero automáticamente se van actualizando y mejorando. ¿En qué versión estáis trabajando ahora?
Efectivamente, la premura para publicar la versión 1.0 implicaba definir y cerrar las características y funcionalidades iniciales en un punto estable. Desde el 1 de abril hemos ido añadiendo nuevas funcionalidades, tanto las que teníamos ya pensadas, como las que nos han trasladado los usuarios por cuestiones específicas y, en consecuencia, liberando nuevas versiones cada pocas semanas. A principios de julio hemos publicado las versiones 1.5.1 y 1.5.2, que consolidan los componentes tecnológicos actualizándolos a las últimas versiones estables —como Java 14— y mitigan la posible existencia de vulnerabilidades conocidas, e introducen nuevos mecanismos avanzados de integración continua.
Para las próximas semanas intentaremos ir liberando sucesivas versiones, continuando con la misma dinámica, que permitirán desde el esperado cambio de contraseña (incluido en las limitaciones mencionadas desde el inicio en la web de GuardedBox), el uso de un TOPT como segundo factor de autentificación que no requiera hacer uso del e-mail, opciones de visibilidad y privacidad para que el usuario se pueda poner en modo oculto, hasta otras como poder cambiar el orden de las propiedades de los secretos, por enumerar sólo algunas de las que conforman la lista de futuras capacidades de GuardedBox.
¿Te ha gustado esta entrevista? Regístrate ahora en nuestra web y recibirás gratuitamente nuestro boletín y te anunciaremos nuestros cursos de formación.
Gracias por confiar en TECNOideas 2.0.
- Publicado en Entrevistas, General, Productos, Protección de datos
Español 
Català