Félix Brezo entrevista en el canal de ciberseguridad Palabra de hacker

Palabra de hacker con Félix Brezo

Inquieto, dicharachero, de verbo fácil y equilibrado. Es una de esas personas que tiene reflejado en la mirada algo que me encanta: el hambre de conocimiento y encima por partida doble.

Por un lado refleja su hambre de aprendizaje para absorber cual esponja de cualquier ámbito que le pueda aportar dejando a un lado las etiquetas de las disciplinas y por otro lado su hambre para enseñar y compartir todo su conocimiento que es muy amplio, pues no es nada sencillo acumular tantas ingenierías a su edad aunque en su caso el conocimiento va más allá de los títulos. Tiene inquietud y actitud, algo que salta a la vista desde el segundo uno en el que se entra en contacto con él.

¿Y quién es él? Pues hoy comparte sus inquietudes sobre el mundo de la seguridad y sus mejores consejos para aquellos que inician sus primeros pasos en este sector Félix Brezo que se sometió al cuestionario ciberseguro de Palabra de hacker el día que al fin pudimos desvirtualizarnos.

El contacto a través de redes surgió hace más tiempo, entre medias tuve la oportunidad de contar con él en el ciberdebate dedicado a explicar Blockchain la tecnología disruptiva que parece dispuesta a cambiar Internet tal y como lo conocemos y finalmente coincidimos en persona en el último congreso de ISACA Valencia.

De hecho recomiendo revisar la mesa redonda ‘Atacar y defender: necesario siempreque estuve moderando en el congreso en la que participaba Félix Brezo junto con otros grandes profesionales de la seguridad como Eduardo SánchezJosé Selvi, Yago Jesús y David Pérez pues estuvo de lo más entretenida.

Tras la transcripción de la entrevista que está a continuación se encuentra disponible tanto el vídeo como el podcast de la misma y desde este enlace se puede ver la lista de reproducción con todas las entrevistas realizadas hasta la fecha a diferentes profesionales relacionados con la ciberseguridad.

Un hacker es… Félix Brezo

Félix Brezo. Twitter: @febrezo

Perfil profesional: Ingeniero técnico en Informática de Gestión, Ingeniero en Informática e Ingeniero en Organización Industrial. Máster en Seguridad de la Información, Máster en Análisis de Inteligencia, Máster en Derecho Tecnológico y de las TIC. Doctor en Ingeniería Informática y Telecomunicación. Ha sido investigador en seguridad informática en S3Lab de la Universidad de Deusto y actualmente trabaja como analista de inteligencia en ElevenPaths, la unidad de ciberseguridad de Telefónica Digital. Colaborador del Centro de Análisis y Prospectiva, divulgador de contenidos científicos-técnicos y docente a nivel universitario sobre análisis de inteligencia y seguridad y codirector del Postgrado en Bitcoin y Blockchain de la Universidad Europea de Madrid. Co-autor junto con Yaiza Rubio del libro «Bitcoin. La tecnología blockchain y su investigación«.

«En el ámbito ciber es mucho más difícil concretar cuál es la figura del adversario»

 ¿Qué es un hacker?

Pues un hacker es una persona que tiene que ser curiosa, una persona que le gusta la tecnología y está dispuesta a llevarla un poquito más allá, a conseguir que haga cosas para las que no fue pensada y dar un poquito la vuelta al diseño original de esa tecnología. Al final un hacker puede ser tecnológico, es cierto, e incluso también un hacker de las leyes o un hacker de otro tipo de cosas. Y la verdad es que yo definiría al hacker como aquella persona que está dispuesto a hacer cosas diferentes con tecnologías que ya tiene.

¿Qué consejos darías a las personas que están comenzando en el terreno de la seguridad?

Bueno lo primero de todo que desarrollen su curiosidad, que trasteen por GitHub, que se instalen herramientas, que vayan viendo aquellas que les vayan pareciendo curiosas en los repositorios de GitHub que al final pues así es como se consigue aprender a llevarlas un poquito más allá.

Si además tienes conocimientos, si tienes la suerte de tener conocimientos de programación para implementar esa funcionalidad que crees que le falta, pues mejor pero si no, probando, instalando, desplegando tus máquinas virtuales para comprobar si son vulnerables o no, pues así es como se puede empezar. Lo mejor de todo es practicar.

Esos consejos que estás dando de que practiquen mucho, de que prueben muchas cosas son un fiel reflejo de esas hambres de conocimiento que tienes y que te han hecho estudiar en diferentes ámbitos, de seguir ampliando, de no tener suficiente, de buscar más, más y más tanto en el ámbito académico como en el práctico que tú has dicho de cacharrear.

Sí, la verdad es que sí. La verdad es que creo que es una de las actitudes que mejor se pueden o que más habría que destacar de las personas pues más allá de los títulos que pueda tener, de la formación que pueda tener, del background incluso es las ganas de aprender, las ganas de desarrollar un poquito más esos conocimientos y llevarlos más allá y eso se aprende cacharreando, eso se aprende tocando, se aprende sin miedo a romper.

Al final un ordenador por suerte si se rompe pues bueno no es tan grave, vas a perder la tarde del sábado o el domingo volviendo a instalarlo pero dentro de lo que cabe es algo que no es tan, tan serio ¿no?

Entonces hay que romper cacharros de esos que te sobren muchas piezas y digas ¿pero eso estaba todo ahí dentro?

Sí, sí, sí, pero luego así es como te das cuenta oye de que puedes hacer cosas que vaya pero si están a mi alcance ¿no? Incluso luego publicarlas y bueno si encima tienes vocación de publicar y darlas a conocer pues mejor.

Montarte tu blog, contar las cosas en Twitter y demás pues es una cosa también de enriquecer, de hacer comunidad así que yo animaría a todos a que lo pongan en práctica es la mejor forma de aprender ellos y también de aprender los que no sabemos de ese campo concreto.

¿Qué hace un analista de seguridad?

Bueno pues un analista de seguridad podemos decir que es el que intenta poner las barreras, intenta poner sus conocimientos en este caso al servicio de mantener pues el status quo en este caso en el ámbito tecnológico. Y bueno pues el analista de seguridad se puede orientar también pues a la identificación de quiénes son las personas o cuáles son los motivos detrás de los que puede haber algún tipo de acción, algún tipo de ataque.

Todo esto trasladado pues al ámbito ciber pues nos da una cantidad de perfiles pues brutales desde los analistas de malware que se centran igual exclusivamente en el comportamiento de las muestras, hasta analistas un poquito más, vamos a decir menos técnicos pero también muy necesarios que intentan pues poner en su contexto qué es lo que está ocurriendo para ver cuáles son las medidas que hay que tomar.

Como por ejemplo tú como analista de inteligencia ¿no? ¿O sea esa es la labor que haces de poner en contexto un montón de cosas?

Efectivamente. Ese tipo de cuestiones pues bueno son las que tú tienes que ser capaz de hacerlo encima siguiendo unos procedimientos que sean estructurados, que sean rigurosos para que cuando llegue el decisor que tiene mucho menos tiempo que el que has podido dedicar tú a realizar el informe, pues pueda tomar las decisiones de la forma más apropiada y más adecuada posible.

A corto plazo, en tres, cinco años ¿cuáles son tus mayores miedos en el terreno de la seguridad?

Pues seguramente que no lleguemos a desarrollar la concienciación que estamos viendo y estamos percibiendo todos que es muy necesaria. Tenemos que ser capaces de trasladar a nuestros chicos, a los menores, trasladar a nuestros padres, trasladar a nuestros mayores, que tarde o temprano van a tener que empezar a utilizar la tecnología pues quieran o no para hacer la declaración de la renta, para hacer sus pagos y sus compras. Tenemos que trasladar eso que sabemos y encontrar la forma de hacerlo fácil, de impregnar esa conciencia de seguridad que igual podemos tener los que somos más tecnológicos para que sea algo también propio de sus vidas.

Y tengo pues la verdad que un poco de miedo, tengo algunas dudas de que seamos capaces de hacerlo correctamente en vista de que a veces nos hemos preocupado demasiado de dar palmaditas o animar a aquellos solamente que son especialmente técnicos. Ahí tenemos mucho trabajo por hacer y será uno de los puntos fuertes para trabajar en los próximos años.

Félix ¿estamos en ciberguerra?

Pues bueno para que haya ciberguerra tenemos que tener identificados a los enemigos, a los adversarios y aquí la cuestión es que los adversarios son mucho más difusos. En el ámbito ciber, a diferencia de los escenarios convencionales pues de tierra, mar, aire y espacio, pues es mucho más difícil concretar cuál es la figura del adversario.

Lo estamos viendo pues con continuas campañas de fake news, lo estamos viendo con continuas campañas de acciones que están teniendo lugar y que oye puedes colocar en una dirección IP de China pero no quiere decir que sean los chinos, puedes colocar en una dirección IP de Rusia pero no quiere decir que sean los rusos. Necesariamente ¿no?Entonces pues el problema que tenemos aquí es que es muy difícil identificar quién es el adversario con ciertas garantías así que ese también va a ser uno de los grandes caballos de batalla porque herramientas para ocultar ese rastro pues existen un montón.

¿Y qué hay que hacer para jugar en la línea del mal, intentando hacer el bien y no cruzarlo?

Pues yo creo que la clave aquí es ser consciente de a disposición de quién quieres poner esos conocimientos. Si esos conocimientos te los reservas para ti o se los dejas únicamente pues a personas que igual tienen una ética pues dudosa o que tienen intereses por ejemplo económicos y cibercriminales pues ahí estás cruzando el lado. Sin embargo si tú desarrollas pues tus ataques con el objetivo final de hacerlos públicos para proteger, para que otras personas que los hayan identificado pues no los puedan seguir explotando. Pues yo creo que ahí está la clave en las aspiraciones que tengas como persona de construir algo y de hacer en este caso el ciberespacio un poquito, al menos un poquito más seguro.

Desde aquí le doy las gracias a Félix Brezo por su gran disponibilidad y amabilidad al someterse al cuestionario ciberseguro, subiendo y bajando escaleras a la caza de un buen lugar para poder charlar.
Él ya ha pasado la entrevista ¿quién será el siguiente?

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Palabra de hacker con Félix Brezo», «@id»: «https://www.yolandacorral.com/palabra-de-hacker-felix-brezo/#videoobject», «datePublished»: «2018-01-24», «description»: «Un hacker es… Félix Brezo se somete al cuestionario ciberseguro de Palabra de hacker, tu canal de ciberseguridad de tú a tú.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Entrevista-Felix-Brezo-canal-Palabra-de-hacker-1.jpg», «transcript»: «¿Qué es un hacker? Pues un hacker es una persona que tiene que ser curiosa, una persona que le gusta la tecnología y está dispuesta a llevarla un poquito más allá, a conseguir que haga cosas para las que no fue pensada y dar un poquito la vuelta al diseño original de esa tecnología. Al final un hacker puede ser tecnológico, es cierto, e incluso también un hacker de las leyes o un hacker de otro tipo de cosas. Y la verdad es que yo definiría al hacker como aquella persona que está dispuesto a hacer cosas diferentes con tecnologías que ya tiene. ¿Qué consejos darías a las personas que están comenzando en el terreno de la seguridad? Bueno lo primero de todo que desarrollen su curiosidad, que trasteen por GitHub, que se instalen herramientas, que vayan viendo aquellas que les vayan pareciendo curiosas en los repositorios de GitHub que al final pues así es como se consigue aprender a llevarlas un poquito más allá. Si además tienes conocimientos, si tienes la suerte de tener conocimientos de programación para implementar esa funcionalidad que crees que le falta, pues mejor pero si no, probando, instalando, desplegando tus máquinas virtuales para comprobar si son vulnerables o no, pues así es como se puede empezar. Lo mejor de todo es practicar. Esos consejos que estás dando de que practiquen mucho, de que prueben muchas cosas son un fiel reflejo de esas hambres de conocimiento que tienes y que te han hecho estudiar en diferentes ámbitos, de seguir ampliando, de no tener suficiente, de buscar más, más y más tanto en el ámbito académico como en el práctico que tú has dicho de cacharrear. Sí, la verdad es que sí. La verdad es que creo que es una de las actitudes que mejor se pueden o que más habría que destacar de las personas pues más allá de los títulos que pueda tener, de la formación que pueda tener, del background incluso es las ganas de aprender, las ganas de desarrollar un poquito más esos conocimientos y llevarlos más allá y eso se aprende cacharreando, eso se aprende tocando, se aprende sin miedo a romper. Al final un ordenador por suerte si se rompe pues bueno no es tan grave, vas a perder la tarde del sábado o el domingo volviendo a instalarlo pero dentro de lo que cabe es algo que no es tan, tan serio ¿no? Entonces hay que romper cacharros de esos que te sobren muchas piezas y digas ¿pero eso estaba todo ahí dentro? Sí, sí, sí, pero luego así es como te das cuenta oye de que puedes hacer cosas que vaya pero si están a mi alcance ¿no? Incluso luego publicarlas y bueno si encima tienes vocación de publicar y darlas a conocer pues mejor. Montarte tu blog, contar las cosas en Twitter y demás pues es una cosa también de enriquecer, de hacer comunidad así que yo animaría a todos a que lo pongan en práctica es la mejor forma de aprender ellos y también de aprender los que no sabemos de ese campo concreto. ¿Qué hace un analista de seguridad? Bueno pues un analista de seguridad podemos decir que es el que intenta poner las barreras, intenta poner sus conocimientos en este caso al servicio de mantener pues el status quo en este caso en el ámbito tecnológico. Y bueno pues el analista de seguridad se puede orientar también pues a la identificación de quiénes son las personas o cuáles son los motivos detrás de los que puede haber algún tipo de acción, algún tipo de ataque. Todo esto trasladado pues al ámbito ciber pues nos da una cantidad de perfiles pues brutales desde los analistas de malware que se centran igual exclusivamente en el comportamiento de las muestras, hasta analistas un poquito más, vamos a decir menos técnicos pero también muy necesarios que intentan pues poner en su contexto qué es lo que está ocurriendo para ver cuáles son las medidas que hay que tomar. Como por ejemplo tú como analista de inteligencia ¿no? ¿O sea esa es la labor que haces de poner en contexto un montón de cosas? Efectivamente. Ese tipo de cuestiones pues bueno son las que tú tienes que ser capaz de hacerlo encima siguiendo unos procedimientos que sean estructurados, que sean rigurosos para que cuando llegue el decisor que tiene mucho menos tiempo que el que has podido dedicar tú a realizar el informe, pues pueda tomar las decisiones de la forma más apropiada y más adecuada posible. A corto plazo, en tres, cinco años ¿cuáles son tus mayores miedos en el terreno de la seguridad? Pues seguramente que no lleguemos a desarrollar la concienciación que estamos viendo y estamos percibiendo todos que es muy necesaria. Tenemos que ser capaces de trasladar a nuestros chicos, a los menores, trasladar a nuestros padres, trasladar a nuestros mayores, que tarde o temprano van a tener que empezar a utilizar la tecnología pues quieran o no para hacer la declaración de la renta, para hacer sus pagos y sus compras. Tenemos que trasladar eso que sabemos y encontrar la forma de hacerlo fácil, de impregnar esa conciencia de seguridad que igual podemos tener los que somos más tecnológicos para que sea algo también propio de sus vidas. Y tengo pues la verdad que un poco de miedo, tengo algunas dudas de que seamos capaces de hacerlo correctamente en vista de que a veces nos hemos preocupado demasiado de dar palmaditas o animar a aquellos solamente que son especialmente técnicos. Ahí tenemos mucho trabajo por hacer y será uno de los puntos fuertes para trabajar en los próximos años. Félix ¿estamos en ciberguerra? Pues bueno para que haya ciberguerra tenemos que tener identificados a los enemigos, a los adversarios y aquí la cuestión es que los adversarios son mucho más difusos. En el ámbito ciber, a diferencia de los escenarios convencionales pues de tierra, mar, aire y espacio, pues es mucho más difícil concretar cuál es la figura del adversario. Lo estamos viendo pues con continuas campañas de fake news, lo estamos viendo con continuas campañas de acciones que están teniendo lugar y que oye puedes colocar en una dirección IP de China pero no quiere decir que sean los chinos, puedes colocar en una dirección IP de Rusia pero no quiere decir que sean los rusos. Necesariamente ¿no?Entonces pues el problema que tenemos aquí es que es muy difícil identificar quién es el adversario con ciertas garantías así que ese también va a ser uno de los grandes caballos de batalla porque herramientas para ocultar ese rastro pues existen un montón. ¿Y qué hay que hacer para jugar en la línea del mal, intentando hacer el bien y no cruzarlo? Pues yo creo que la clave aquí es ser consciente de a disposición de quién quieres poner esos conocimientos. Si esos conocimientos te los reservas para ti o se los dejas únicamente pues a personas que igual tienen una ética pues dudosa o que tienen intereses por ejemplo económicos y cibercriminales pues ahí estás cruzando el lado. Sin embargo si tú desarrollas pues tus ataques con el objetivo final de hacerlos públicos para proteger, para que otras personas que los hayan identificado pues no los puedan seguir explotando. Pues yo creo que ahí está la clave en las aspiraciones que tengas como persona de construir algo y de hacer en este caso el ciberespacio un poquito, al menos un poquito más seguro.», «uploadDate»: «2018-01-24», «duration»: «PT7M29S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/6kfC9FkC3sw» }

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.