Carlos García entrevista en el canal de ciberseguridad Palabra de hacker

Palabra de hacker con Carlos García

Combina una mezcla de impulsividad y perfeccionismo fruto de su mente inquieta. Este cordobés es un buen ejemplo de ese talento con conocimientos y experiencia en ciberseguridad que un buen día tuvo que viajar fuera en busca de mejores oportunidades para ejercer su profesión, la de pentester.

A pesar de vivir y trabajar fuera, no pierde oportunidad para volver aquí y compartir su conocimiento y disfrutar de esos eventos relacionados con la seguridad informática que echaba tanto en falta cuando estudiaba y estaba aquí pero que en los últimos años han tenido un gran crecimiento en nuestro país.

Él es Carlos García ‘Ciyinet’ y comparte sus inquietudes e impresiones sobre el mundo del hacking y la ciberseguridad al pasar por el cuestionario ciberseguro de Palabra de hacker. Todavía recuerdo la primera vez que coincidí con él virtualmente pues conectó desde el punto más exótico que he tenido en todos los debates en directo que he hecho hasta la fecha a lo largo de mi vida, nada más y nada menos que desde Trinidad Tobago y ese día hicimos un Hack&Beers versión online que seguro que Miguel Ángel Arroyo, Eduardo Sánchez, Pablo González o Rafa Otal, otros entrevistados que han pasado por Palabra de hacker y que compartieron el momento, tampoco han olvidado.

Dado que la especialidad de Carlos es la seguridad ofensiva, recomiendo echar un vistazo al ciberdebate sobre el tema, así como al dedicado a los equipos de respuesta a incidentes de seguridad y a la lista de reproducción con todos los entrevistados hasta la fecha. Tras la transcripción de la entrevista está disponible tanto el vídeo como el podcast de la misma.

Un hacker es… Carlos García

Carlos García. Twitter: @ciyinet

Perfil profesional: Ingeniero en Informática por la Universidad de Córdoba, cuenta con el certificado OSCP. Es co-organizador de Qurtuba Security Congress y trabaja como Penetration Tester en Accenture Security en Praga.

«Es importante diferenciar a un hacker de un consultor de seguridad. No es ni mejor ni peor, únicamente es distinto»

 ¿Qué es un hacker?

Bueno la definición de hacker es bastante controvertida. Desde mi punto de vista coincido con muchos de los compañeros que ya lo han definido como una persona con una curiosidad innata una persona que busca forzar un poco el diseño para lo que inicialmente algo fue diseñado buscar un poco romper esas fronteras para lo que se pensó inicialmente y ver si habría siempre algo, algún tipo de utilidad distinto.

Es importante también diferenciar lo que es un hacker de un consultor de seguridad que a veces se confunde ese término. Y no es simplemente ni mejor ni peor, únicamente es distinto.

¿Qué consejos darías a las personas que están comenzando en el terreno de la seguridad?

Desde mi punto de vista como una persona que se dedica profesionalmente hoy en día a la seguridad ofensiva es ser autodidacta. Inglés creo que es imprescindible, en España todavía fallamos un pelín en ese aspecto pero es muy importante aprender inglés, hablarlo bien, entenderlo bien, porque si queremos ir un poquito, un paso por delante a lo que nos llega en español pues tenemos que ir directamente a las fuentes, a las grandes conferencias donde todo está en inglés.

A corto plazo, en tres, cinco años ¿cuáles son tus mayores miedos en el terreno de la seguridad?

Es una pregunta complicada. Aparte de lo que vemos hoy en día que es todas esas grandes noticias de filtraciones, de grandes ataques a empresas, Internet de las cosas, pues hay que cuidar, hay que empezar a tener muy en cuenta y cuidar realmente el tema de la privacidad de la imagen pública que damos y tal, pero no sería capaz de quedarme con un con un miedo en concreto.

¿Y qué hay que hacer para jugar en la línea del mal, intentando hacer el bien y no cruzarlo?

Es otra pregunta muy interesante también. Creo que en mi caso personal no tengo esa inquietud, no tengo esa tentación ya que dedico cada día ocho, nueve, diez horas profesionalmente a temas de auditoría de seguridad utilizando herramientas pura y únicamente de seguridad ofensiva por lo tanto gracias a ello sacio un poco mi sed de esa curiosidad del hacking y tal. Pero como algo muy positivo, una tendencia que veo principalmente en España es ese hermanamiento que hay ahora entre el ciberderecho y la ciberseguridad y creo que es algo muy, muy positivo.

Entonces al técnico digamos le recomendaría beber también de esa fuente que es algo muy positivo para ambos ya que la ciberseguridad no es solo y únicamente en su rama técnica sino también en su rama legal y nada aprovechar esa oportunidad que estamos teniendo para aprender un poquito de ese mundo que tantas dudas tenemos qué es lo legal, qué no es legal, qué es alegal, dónde está la barrera porque es un tema serio que hay que tener muy, muy en cuenta. (Para resolver algunas dudas respecto a este tema, recomiendo echar un vistazo a la charla ‘Soy hacker ¿necesito un abogado?‘ disponible en el canal).

Seguridad ofensiva, hay gente que igual ese término le suena un poco raro y eso que en Palabra de hacker ya hemos dedicado un especial a ello pero si se lo tuvieras que definir a alguien que le suena un poco, vamos a decir como a chino ¿seguridad ofensiva qué es?

Seguridad ofensiva, la manera en la que la entiendo yo, es simular las mismas técnicas, usando las mismas herramientas que un cibercriminal podría utilizar. Simular un ataque en el escenario real, en el mundo real para la persona que se dedica al tema de la defensa el equipo, el blue team, sea conocedor de esa misma herramienta que hoy en día se están utilizando para ataques reales para estar preparados y que sepamos poner la defensa o la barrera.

Otra definición también muy típica ¿Qué es un pentester Carlos?

Un pentester es una persona que simula un ataque real en un alcance muy concreto, un alcance que se define en un contrato para realizar ciertos ataques e intentar descubrir, en la superficie de ataque que hay, intentar cubrir todas las posibilidades o todas y cada una de las vulnerabilidades que son conocidas a día de hoy o no conocidas para que se arreglen antes de que una persona con malas intenciones pueda explotarlas.

Tú eres un ejemplo de una persona que has salido fuera a trabajar en el terreno de la ciberseguridad. A gente que esté a lo mejor acabando la carrera en estos momentos o que pueda plantearse esa situación que pasó por tu vida y que te lo tuviste que plantear antes de salir ¿qué miniconsejos les darías?

Yo pondría como punto número uno e imprescindible el inglés, es muy, muy importante incluso si trabajamos en el mercado en España pero es ese plus que te va a dar con respecto a otras personas y luego curiosidad innata. A día de hoy cada una de las mañanas una de mis rutinas es que dedico media hora a ver noticias, tengo un cliente de suscripción a las noticias a blogs técnicos que yo considero de interés y dedico media hora todas las mañana a ver esas noticias, a ver un poquito Twitter, a ver los blogs técnicos importantes que considero que aplican a mi profesión y a partir de ahí estar siempre al día y ya está.

Desde aquí le doy las gracias a Carlos García por su gratitud al someterse al cuestionario ciberseguro y compartir este momento con Palabra de hacker.  
Él ya ha pasado la entrevista ¿quién será el siguiente?

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Palabra de hacker con Carlos García», «@id»: «https://www.yolandacorral.com/palabra-de-hacker-carlos-garcia/#videoobject», «datePublished»: «2017-04-03», «description»: «Un hacker es… Carlos García se somete al cuestionario ciberseguro de Palabra de hacker, tu canal de ciberseguridad de tú a tú.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Entrevista-Carlos-Garcia-canal-Palabra-de-hacker.jpg», «transcript»: «¿Qué es un hacker? Bueno la definición de hacker es bastante controvertida. Desde mi punto de vista coincido con muchos de los compañeros que ya lo han definido como una persona con una curiosidad innata una persona que busca forzar un poco el diseño para lo que inicialmente algo fue diseñado buscar un poco romper esas fronteras para lo que se pensó inicialmente y ver si habría siempre algo, algún tipo de utilidad distinto. Es importante también diferenciar lo que es un hacker de un consultor de seguridad que a veces se confunde ese término. Y no es simplemente ni mejor ni peor, únicamente es distinto. ¿Qué consejos darías a las personas que están comenzando en el terreno de la seguridad? Desde mi punto de vista como una persona que se dedica profesionalmente hoy en día a la seguridad ofensiva es ser autodidacta. Inglés creo que es imprescindible, en España todavía fallamos un pelín en ese aspecto pero es muy importante aprender inglés, hablarlo bien, entenderlo bien, porque si queremos ir un poquito, un paso por delante a lo que nos llega en español pues tenemos que ir directamente a las fuentes, a las grandes conferencias donde todo está en inglés. A corto plazo, en tres, cinco años ¿cuáles son tus mayores miedos en el terreno de la seguridad? Es una pregunta complicada. Aparte de lo que vemos hoy en día que es todas esas grandes noticias de filtraciones, de grandes ataques a empresas, Internet de las cosas, pues hay que cuidar, hay que empezar a tener muy en cuenta y cuidar realmente el tema de la privacidad de la imagen pública que damos y tal, pero no sería capaz de quedarme con un con un miedo en concreto. ¿Y qué hay que hacer para jugar en la línea del mal, intentando hacer el bien y no cruzarlo? Es otra pregunta muy interesante también. Creo que en mi caso personal no tengo esa inquietud, no tengo esa tentación ya que dedico cada día ocho, nueve, diez horas profesionalmente a temas de auditoría de seguridad utilizando herramientas pura y únicamente de seguridad ofensiva por lo tanto gracias a ello sacio un poco mi sed de esa curiosidad del hacking y tal. Pero como algo muy positivo, una tendencia que veo principalmente en España es ese hermanamiento que hay ahora entre el ciberderecho y la ciberseguridad y creo que es algo muy, muy positivo. Entonces al técnico digamos le recomendaría beber también de esa fuente que es algo muy positivo para ambos ya que la ciberseguridad no es solo y únicamente en su rama técnica sino también en su rama legal y nada aprovechar esa oportunidad que estamos teniendo para aprender un poquito de ese mundo que tantas dudas tenemos qué es lo legal, qué no es legal, qué es alegal, dónde está la barrera porque es un tema serio que hay que tener muy, muy en cuenta. (Para resolver algunas dudas respecto a este tema, recomiendo echar un vistazo a la charla ‘Soy hacker ¿necesito un abogado?‘ disponible en el canal). Seguridad ofensiva, hay gente que igual ese término le suena un poco raro y eso que en Palabra de hacker ya hemos dedicado un especial a ello pero si se lo tuvieras que definir a alguien que le suena un poco, vamos a decir como a chino ¿seguridad ofensiva qué es? Seguridad ofensiva, la manera en la que la entiendo yo, es simular las mismas técnicas, usando las mismas herramientas que un cibercriminal podría utilizar. Simular un ataque en el escenario real, en el mundo real para la persona que se dedica al tema de la defensa el equipo, el blue team, sea conocedor de esa misma herramienta que hoy en día se están utilizando para ataques reales para estar preparados y que sepamos poner la defensa o la barrera. Otra definición también muy típica ¿Qué es un pentester Carlos? Un pentester es una persona que simula un ataque real en un alcance muy concreto, un alcance que se define en un contrato para realizar ciertos ataques e intentar descubrir, en la superficie de ataque que hay, intentar cubrir todas las posibilidades o todas y cada una de las vulnerabilidades que son conocidas a día de hoy o no conocidas para que se arreglen antes de que una persona con malas intenciones pueda explotarlas. Tú eres un ejemplo de una persona que has salido fuera a trabajar en el terreno de la ciberseguridad. A gente que esté a lo mejor acabando la carrera en estos momentos o que pueda plantearse esa situación que pasó por tu vida y que te lo tuviste que plantear antes de salir ¿qué miniconsejos les darías? Yo pondría como punto número uno e imprescindible el inglés, es muy, muy importante incluso si trabajamos en el mercado en España pero es ese plus que te va a dar con respecto a otras personas y luego curiosidad innata. A día de hoy cada una de las mañanas una de mis rutinas es que dedico media hora a ver noticias, tengo un cliente de suscripción a las noticias a blogs técnicos que yo considero de interés y dedico media hora todas las mañana a ver esas noticias, a ver un poquito Twitter, a ver los blogs técnicos importantes que considero que aplican a mi profesión y a partir de ahí estar siempre al día y ya está.», «uploadDate»: «2017-04-03», «duration»: «PT5M59S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/dn4ZXn97alY» }

    2 comentarios en “Palabra de hacker con Carlos García”

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.