Inquieto, sagaz y dotado con una gran capacidad de análisis que hace que parezcan muy sencillos conceptos que en palabras de otros se tornan tremendamente complicados de explicar. Su acercamiento al mundo de la ciberseguridad desde el mundo del Derecho es una muestra de que este es un sector disciplinar que necesita de profesionales de diversos perfiles para que todo encaje.
¿De quién estoy hablando? Pues hoy comparte su experiencia personal, sus inquietudes sobre el mundo de la seguridad y la tecnología y sus mejores consejos Pablo Fernández Burgueño un abogado tecnológico especializado en ciberseguridad que aunque hace un tiempo ya participó en un ciberdebate en directo dedicado a Blockchain la seguridad y usos que encierra esta tecnología disruptiva y hay colgada una interesante charla que ofreció en las Jornadas PaellaCON sobre ‘Bitcoin desde el lado del mal‘, tenía pendiente enfrentarlo al cuestionario ciberseguro de Palabra de hacker.
A continuación está la transcripción de la entrevista y al final está disponible la misma tanto en vídeo como podcast. Desde este enlace se puede acceder a la lista de reproducción que contiene todas las entrevistas que he realizado hasta el momento a diversos profesionales relacionados con la ciberseguridad.
Un hacker es… Pablo Fernández Burgueño
Pablo Fernández Burgueño. Twitter: @pablofb
Perfil profesional: Abogado especializado en ciberseguridad, derecho del entretenimiento y modelos de negocio basados en el uso de blockchain, smart contracts y Bitcoin. Es socio fundador de Abanlex un bufete especializado en derecho tecnológico y miembro de NevTrace laboratorio blockchain fundado en 2015 en el que estudian esta tecnología y desarrollan proyectos soportados por ella. Web personal donde comparte información, proyectos e investigaciones: www.pablofb.com.
«Si una persona con buenas intenciones quiere jugar dentro del lado del mal lo que tiene que hacer es conocer la normativa para saber cuáles son los límites y no cruzarlos nunca»
¿Qué es un hacker?
Un hacker es la persona que detecta un objetivo y que hace todo lo posible por conseguir llegar a ese objetivo, por obtener resultados. En la medida de lo posible de forma legal aunque hay algunas personas que se saltan algunas normas con lo cual es lógico que dentro de la población a veces haya personas que interpreten que un hacker es malo pero para las personas que tienen malas intenciones existe la palabra delincuente o ciberdelincuente.
Por eso habría que diferenciar el hacker una persona que es capaz de obtener resultados pasando por encima de todas las dificultades del ciberdelincuente y el delincuente informático, que hace el mal para poder llegar a los objetivos.
Un abogado, letras puras como siempre se dice, acaba enredado en este mundo de la ciberseguridad y queda atrapado en él como especialista en ciberseguridad y privacidad. ¿Cómo llegaste a este mundo?
Los abogados se supone que tenemos que velar también por los derechos de las personas la intimidad, la privacidad, la protección de los datos de carácter personal… Bueno en definitiva tenemos que velar por la humanidad básicamente y cuando estamos viendo que personas con malas intenciones se meten dentro de nuestros ordenadores, de nuestros servidores, atacan redes y ponen en riesgo las vidas de las personas un abogado, o cualquier tipo de persona entre las que me incluyo, lo que hace es seguir investigando más allá de lo conocido, más allá del Derecho para llegar a la Informática, para llegar a la ciberseguridad, une ambos mundos y ofrece soluciones para mitigar los riesgos y para hacer la vida un poco más segura.
Sí hoy están más unidos esos dos mundos como tú dices pero hace ya unos años que tú llevas dedicándote a esto y el tema de un abogado que entendiera de ciberseguridad no era tan común como ahora que todo es multidisciplinar y todos nos tenemos que poner las pilas en este campo.
Cierto. Existe la sensación de que un abogado es el que tiene que cumplir las normas o informar a otros sobre cómo tienen que cumplirlas cuando en realidad las normas, las leyes lo que hacen es establecer criterios para que la gente se entienda, para que haya criterios de normalidad dentro de la población. Por tanto un abogado lo que tiene que hacer es comprender la ley para saber explicársela a aquellos que tienen que cumplirla y es por ese motivo que me metí en el mundo de la Informática para unir Informática y Derecho y que todas las personas del mundo no solamente informáticos, no solamente abogados, sean capaces de securizar sus datos, sus procesos y todos los tratamientos que realicen con datos, tanto personales como no personales.
¿Qué consejos darías a las personas que están comenzando en el terreno de la seguridad sean de la disciplina que sean?
Para comenzar en el terreno de la ciberseguridad lo primero que hay que hacer es comprender qué significa ser ciberseguro. Es ser una persona que tenga conciencia de las amenazas, de los riesgos, de las consecuencias en caso de que esos riesgos tengan efectos negativos sobre las personas y después de haber hecho esa reflexión lo que tienen que hacer es buscar soluciones.
Entonces lo primero que le diría a una persona que quiera meterse en el mundo de la ciberseguridad sería lo siguiente: lee, investiga, mira lo que hay en Internet publicado, acude a cursos, jornadas como por ejemplo X1RedMasSegura que es gratuita; ve a estos sitios, habla con los diferentes especialistas, investiga por tu cuenta y después, cuando ya tengas esa base inicial, ya puedes dar el siguiente paso de apuntarte a un máster o seguir autoinvestigando por tu cuenta.
Por regla general ¿los usuarios estamos concienciados en temas de seguridad?
Por regla general el usuario medio no está concienciado sobre temas de seguridad la prueba es que hay muchas personas que reciben correos electrónicos con mentiras por ejemplo «te hemos grabado viendo determinado tipo de vídeos desde tu ordenador a través de Internet. Páganos tanto dinero o lo difundimos, ese hecho, el hecho de que te hemos grabado«.
Bueno pues hay mucha gente que se lo cree porque no es consciente que hay ciberdelincuentes, personas con malas intenciones, que se aprovechan de la buena voluntad y del desconocimiento de las personas. Así que, por regla general, la gente no está hoy preparada para hacer frente a estas amenazas.
A corto plazo, en tres, cinco años ¿cuáles son tus mayores miedos en el terreno de la seguridad?
Para mí uno de los mayores miedos en el mundo de la ciberseguridad es que la gente se crea que habiendo implementado y configurado correctamente las mejores medidas de seguridad hoy no tiene que hacer ya nada en el futuro. Nos vamos a encontrar servidores donde se almacenan datos personales, páginas webs, nos vamos a encontrar, por ejemplo, sistemas para realizar pagos en tiendas que fueron muy bien configurados en su día pero que no se mantuvieron, que no se hicieron actualizaciones, que bueno no se han optado pues sobre ellos pues las medidas resilientes, adecuadas a los cambios en relación con la ciberseguridad o con los ciberataques. Ese es el mayor miedo, que la gente tenga desidia a la hora de seguir mejorando y que se piense que con lo antiguo ya es suficiente.
En materia de protección de datos gracias a la entrada en vigor de la ley el 25 de mayo directamente ¿la gente ha tomado mayor conciencia sobre este tema o todavía hay demasiada gente que se lo toma con mucha relajación?
El Reglamento General de Protección de Datos (RGPD) nos ha traído una de las mejores cosas que podía haber introducido dentro de España, de Europa y del mundo que son charlas formativas sobre qué significa la protección de datos cuáles son las medidas de seguridad hay que implementar cuáles son las que hay que configurar.
La gente de a pie, de calle, e incluso a través de medios de comunicación, como por ejemplo canales televisivos o radio o periódicos, de repente ha sido impactada por noticias sobre lo importante que es ser ciberseguro, sobre lo importante que es proteger los datos de los demás. Así que la mejor cosa que nos ha traído el reglamento no ha sido quizá la obligación de tener que cumplirlo sino el hecho de que muchísima gente ha sido formada sobre estos conceptos.
En tu trayectoria profesional has sido una persona especialmente que has intentado ir abriendo muchos frentes e intentando muchas cosas en las que no había legislación en ese terreno. Entonces ¿cuál es el mayor logro o cosa que has conseguido de la cual te siente más satisfecho?
En mi caso profesionalmente de lo que más me siento orgulloso es de haber podido publicar a través de mi blog, medios de comunicación, las diferentes investigaciones que iba realizando en el mundo de la ciberseguridad, en el mundo del Derecho, en el mundo de… bueno en realidad de todo lo que iba aprendiendo para que otras personas pudieran recoger ese conocimiento, ese conocimiento compilado y organizado y lo pudiesen aplicar a sus negocios. Gracias a haber hecho esa labor formativa a través de medios propios o de medios ajenos profesionalmente me siento mejor porque tengo la sensación de que mi trabajo, mi labor, mi investigación no solamente me sirve a mí sino que sirve a muchas más personas.
Cuando las criptomonedas no eran tan conocidas como hoy tú ya bueno empezaste a trastear con ellas y sufriste un robo de tu cartera o una pérdida. ¿Qué te pasó exactamente?
Bueno pues es una de las anécdotas más entretenidas que he experimentado con el uso de las criptomonedas o ahora llamados criptoactivos. Lo que sucedió es que bueno para tener criptomonedas que en ese caso eran Dowcoins tienes que tener una clave que se llama clave privada que es una ristra de caracteres alfanuméricos. Cometí el error de poner esa clave, en el año 2013, en un servidor que está en EE.UU. y que fue crackeado. Los ciberdelincuentes se metieron en el servidor, extrajeron la clave y yo me quedé sin mis criptomonedas porque los ciberdelincuentes las enviaron de mi cuenta, de mi cuenta de Dowcoins a otra cuenta que solo controlaban ellos.
Yo sufrí esa perdida y ¿qué hay que hacer cuando sufres una pérdida porque otra persona te sustrae lo que es tuyo? Pues acudes a la Policía o a la Guardia Civil y yo fuí a la policía. Así que les conté lo que me había pasado con algunos problemillas de entendimiento por parte en ese momento de la policía porque estamos hablando de 2013 cuando nadie sabía lo que era un Dowcoin o lo que eran las criptomonedas o casi nadie. Y cuando les conté que me habían sustraído las criptomonedas correspondientes a un valor aproximadamente 0,007 euros, lo que son siete milésimas de euro, la policía en este caso me puso cara extraña pero a continuación se dieron cuenta de que mi parte era una parte pequeña de más de 100.000 dólares sustraídos a través de esa vía.
Mi caso de la sustracción de la clave privada de los Dowcoins llegó a los tribunales y fue, que sepamos, el primer caso en el que se analizó la validez de las pruebas incluidas en una Blockchain o en una cadena de bloques la validez de esas pruebas en un juicio y se determinó que efectivamente las pruebas que están en la Blockchain podían haber llevado a esa persona que sustrajo las criptomonedas, que sustrajo la clave privada, a la cárcel si se le hubiese encontrado, no se le encontró así que mi caso quedó archivado.
Pero el hecho de que haya quedado archivado es bueno porque significa que si una persona sufre algún tipo de incidente a través de redes sociales o a través de medios electrónicos tiene a la Policía y a la Guardia Civil a su disposición y a todas las personas que formamos este ámbito para ayudar a ese individuo y para intentar, por todos los medios legales, que se pueda suprimir ese daño que se le ha hecho y por lo tanto se le pueda, si se encuentra al delincuente, devolver aquello que le ha sido sustraído.
Los smart contracts o contratos inteligentes ¿van a darnos mayor fiabilidad en muchas cosas y operaciones que se están realizando ahora o que se van a realizar próximamente?
Los smart contract son códigos informáticos que se desplegan en una cadena de bloques que no se autoejecutan, que no son gratuitos y que no son del todo fiables porque la persona que los ha escrito se ha podido equivocar o porque pueden contener errores. Así que un smart contract no es más que un programa de ordenador, un conjunto de códigos informáticos, que están preparados para actuar cuando un tercero envía un input es decir, cuando un tercero le dice al código que se ejecute. Así que los smart contract no se autoejecutan, no son gratuitos, no son la panacea no ofrecen más seguridad que aquella que que bueno que respalde en realidad al código que le da forma.
Si van a ser el futuro o no, no lo sé porque no tengo una bola de cristal para poderlo indicar pero lo que sí que sé es que grandes empresas están trabajando en ellos para intentar automatizar ciertos procesos dentro de las empresas en relación con logística, con seguros o con otro tipo de industrias o de acciones dentro de industrias seleccionadas. Así que, lo que pasará con los smart contract es un misterio.
No sabemos lo que pasará pero aplicar el sentido común siempre va a funcionar.
Estoy de acuerdo.
Exacto ¿verdad? El sentido común tiene que imperar.
Siempre.
Bueno Pablo no sé esta pregunta a un abogado pero ¿qué tendría que hacer una persona que juega en el lado del mal, siendo bueno y no cruzarlo?
Bueno a ver. Si una persona con buenas intenciones quiere jugar dentro del lado del mal lo que tiene que hacer es conocer la normativa para saber cuáles son los límites para saber que por ejemplo llamar a puertas electrónicas haciendo por ejemplo pequeñas revisiones de código para saber si puedes entrar o no, le puede llevar a prisión. Tiene que saber por ejemplo qué hacer auditorías no solicitadas a otras empresas lo pueden llevar a prisión, así que lo primero que tendría que hacer para poder actuar dentro de lo que se llama ‘el lado del mal’ lo primero que tiene que hacer es conocer la normativa, saber cuáles son los límites y no cruzarlos nunca.
¿Cómo si no sé cómo hacerlo? Pues pido ayuda. Pido ayuda por ejemplo a un especialista en ciberseguridad, a un abogado que sea experto en la materia, a un amigo que tengamos en la Policía o en la Guardia Civil o investigamos por nosotros mismos toda la normativa aplicable partiendo de artículos como el 197 y siguientes del Código Penal. Sí el Código Penal también limita, obviamente, muchas cosas. (Ley Orgánica 10/1995, de 23 de noviembre del Código Penal. El artículo 197 y siguientes están dentro del Título X ‘Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio’ en el capítulo I correspondiente a ‘Del descubrimiento y revelación de secretos’).
Aquellas personas amantes de la seguridad, expertos de la seguridad, profesionales de la seguridad que investigando se topan con alguna vulnerabilidad de alguna empresa a la hora de reportar ese contenido, recurrir a la figura de un abogado por ese bueno la confidencialidad del cliente que le llega para poder reportar ese tipo de cosas ¿sería una buena opción?
Cuando encuentres una vulnerabilidad si ha sido sin malas intenciones si no que simplemente navegando pues has descubierto algo, lo que debes hacer es reportar ese fallo a la propia empresa. Pero si el fallo lo has encontrado haciendo ataques no solicitados contra la empresa la empresa puede decir «oye estabas atacando mi casa así que voy a actuar por vías legales contra ti«.
Una de las vías por supuesto es acudir a Policía y Guardia Civil diciendo he hecho esta prueba para ver que pasaba y resulta que pues que me he metido hasta la cocina de la empresa y tengo el problema de que si se lo digo a la empresa a lo mejor me denuncian. Y la Policía y la Guardia Civil para este tipo de casos tiene protocolos para intentar ayudar a las personas que con buena intenciones han sobrepasado determinado tipo de límites. Otra de las vías es acudir a un abogado y contárselo que al fin y al cabo los abogados en el ejercicio de nuestras funciones si esta persona por ejemplo fuese, yo qué sé, a juicio o algo similar no podemos revelar los hechos que el cliente nos ha dicho sin con ello quebrantar el deber de secreto. Con lo cual una de las vías razonables sería contactar o bien primero con la Guardia Civil o la Policía o bien con un abogado que entienda sobre esta materia y que sea capaz de hacer bien su trabajo que es cumplir con su deber de secreto*.
Desde aquí le doy las gracias a Pablo Burgueño por su franqueza y sencillez al someterse al cuestionario ciberseguro.
Él ya ha pasado la entrevista ¿quién será el siguiente?
*Recomiendo complementar esta entrevista con la charla «Soy hacker ¿necesito un abogado?» realizada por Jacob Peregrina en el Congreso de Seguridad HoneyCON y que está disponible en Palabra de hacker.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!