Chema Alonso: “Vivo pensando que yo voy a ser el siguiente en ser hackeado”

Chema Alonso

Chema Alonso es un experto de seguridad informática reconocido en todo el mundo. Este reconocimiento ha traspasado las barraras del mundillo de la Informática gracias a las múltiples conferencias que a todos los niveles imparte sobre seguridad, y posiblemente a un gorro a rayas que nunca le abandona. 

Hace 14 años fundó Informática 64, la semilla de ElevenPaths, con el objetivo de prestar servicios de consultoría y auditoría de seguridad. En Informática 64 se crearon muchas herramientas reconocidas en el mundo de la seguridad, como FOCA o Metashield, que son usadas por profesionales por todo el mundo.

Chema escribe diariamente en el blog “Un informático en el lado del mal”, comentando temas de actualidad sobre hacking y seguridad. Desde 2010 es el Director del Master de Seguridad de la Universidad Europea de Madrid (UEM), y profesor del Master de Seguridad de la Universidad Oberta de Catalunya (UOC). En su labor de concienciación, además de presentar su experiencia por todo el mundo, participa también de forma habitual en la radio, televisión y periódicos, aconsejando y comentando aspectos relacionados con la seguridad en la tecnología.

Ayudé a hacer un poco más ajetreada su ya ajetreada vida solicitándole esta entrevista que no dudó en concederme (Go ahead!). 

1. Para unos un gurú de la seguridad informática para otros, permíteme, un desconocido. ¿Quién es Chema Alonso?

Pues nada más que un informático que disfruta con la seguridad informática y ha volcado su vida en el hacking. Soy una persona muy activa que disfruta escribiendo en mi blog, escribiendo libros, participando en la radio, cuidando de Cálico Electrónico, dando conferencias de hacking y dando clases a los más jóvenes.

2. Da la sensación de que te pases las 24 horas del día tras una pantalla de ordenador. ¿Qué sueles hacer cuando apagas el ordenador? ¿Cuáles son tus aficiones?

Es cierto que me paso casi 24 horas pegado a la pantalla. De hecho suelo decir que para dedicarse a seguridad informática hay que dedicarle 26 horas al día. Cuando no estoy detrás de la pantalla me gusta dibujar, leer y ver alguna película. Por suerte – o por desgracia – mi hobby es mi trabajo y eso hace que casi no haya diferencia entre cuando estoy trabajando o cuando estoy disfrutando.

3. Me preocupa la seguridad de empresas y organismos oficiales. ¿Podemos estar tranquilos?

En seguridad informática no se puede bajar la guardia. Creo que lo bueno es que se está empezando a tomar conciencia de esta necesidad, pero por desgracia – personalmente – creo que aún nos queda mucho camino por recorrer. Hemos visto que el mundo ha cambiado en los últimos años hacia un escenario mucho más beligerante en términos de ciberespionaje, ciberguerra o e-crime, y por lo tanto las medidas de seguridad que proporcionaba un gobierno a sus ciudadanos hace 30 años se han visto superadas. Hay que evolucionar los sistemas de seguridad al mismo tiempo que cambia el espacio de amenazas.

4. Todos somos iguales ante la ley incluidos vosotros los hackers éticos. ¿Qué haces si por ejemplo descubres una brecha de seguridad en la web de Hacienda? Dará cosilla informar, ¿no? ¿Dificultan las leyes cada vez más restrictivas vuestro trabajo?

Yo dije tiempo ha que las webs deberían tener un fichero hackers.txt al estilo de robots.txt que informara sobre cuál va a ser la reacción de una empresa cuando alguien le reporte una vulnerabilidad para saber si va a haber problemas o no. Hace tiempo conté la historia en mi blog de The Sur, un hacker y amigo que con el objetivo de conseguir una beca de prácticas en una empresa le hizo una pequeña auditoría de seguridad y le reportó una vulnerabilidad de seguridad. Al final acabó denunciado y detenido.

Por suerte, hoy en día, existen canales para comunicar los descubrimientos vía fuerzas de seguridad del estado que garantizan el anonimato del informante. No obstante, si cuando se reporta una vulnerabilidad de seguridad se toman acciones legales en contra del que lo ha hecho, al final los fallos seguirán ahí y quien los acabará por descubrir serán los “malos”. Mejor tratar bien al que te dice que tienes un fallo.

5. Ya tengo mi webcam tapada, mi antivirus instalado, mi contraseña tiene 26 caracteres… y ahora me entero del error de seguridad de OpenSSL (heartbleed) que ha permitido desvelar información sensible y descifrarla. Lo más seguro es no usar Internet, ¿no crees?

No creo. Internet es un regalo para nuestra sociedad que debemos disfrutar y cuidar. Es como decir que no usas tarjetas de crédito porque hay quién las clona o que no cruzas la calle por los pasos de peatones porque hay series de coches con frenos defectuosos. Lo que debemos hacer es tomar precauciones porque sabemos que hay fallos de seguridad que existen y existirán, así que al igual que procuras tener cuidado con lo que se hace con tu tarjeta de crédito, usas tarjetas Chip&PIN o miras a ver si el coche decelera cuando vas a pasar por un paso de peatones, en Internet debes tomar medidas constantemente. En este caso cambiar la contraseña y si puedes, en lugar de usar contraseñas de 26 dígitos poner un segundo factor de autenticación como Latch. Al final, un PIN de 4 números más un segundo factor de autenticación como Latch es más seguro que una única contraseña de 26 dígitos.

6. Windows XP dejó de recibir actualizaciones por parte de Microsoft el pasado 8 de abril, noticia que ha creado un gran revuelo mediático. ¿Te parece más una estrategia de marketing de Microsoft y sus partners o un problema real de seguridad para los usuarios de este sistema operativo?

Me parece un problema real de seguridad. No se puede seguir con un sistema que tiene más de una década. Al final Microsoft dijo que iba a dar soporte muchos menos años, y ha extendido el soporte hasta ahora. Incluso después del 8 de Abril ha publicado un parche de seguridad para un serio bug de Internet Explorer y ha consentido en extender un año el soporte del sistema para organismos públicos y grandes empresas bajo contratos especiales de soporte. Las amenazas cambian y necesitamos mejores medidas de seguridad. En el mundo Apple, mientras que Microsoft ha dado soporte a Windows XP, la compañía de la manzana mordida ha abandonado 5 o 6 sistemas operativos. La longevidad de XP, para ser un sistema operativo de propósito general ha sido excesivamente excesiva.

7. Cuando te invitan a prestigiosos eventos de seguridad informática por todo el mundo. ¿No tiene la sensación de que algunos de los presentes estarán en el “lado oscuro de la fuerza”? ¿Saca uno el teléfono y felizmente mira su WhatsApp o el correo electrónico delante de otros hackers? ¿De qué se habla en el “coffee break”?

En esos eventos internacionales hay de todo. Ciber espías, fabricantes de software, cuerpos de seguridad del estado, algunos ciber criminales, investigadores de seguridad, hackers y hacktivistas. De todo he visto en los últimos 8 años que he pasado dando vueltas por el mundo de conferencia en conferencia. En todos esos eventos, como he dicho más de una vez, todos van con papel y lápiz que usar el smartphone o el ordenador en esos eventos es peligroso. En la DefCON hay ataques de todo tipo esperando a pillar a las víctimas. Desde Rogue AP, pasando por Rogue BTS, ataques a las redes oficiales, hacking de todas las redes WiFi de los hoteles que son atacadas, ataques bluetooth, ataques de Evil Grade o de JuiceJacking, etcétera. Mejor relájate y disfruta viendo las charlas y tomando cervezas con el primero que te encuentres en el bar, que seguro que tiene historias interesantes que contar. ¿De lo que se habla? De todo y de nada que te pueda contar por aquí, casi todas son charlas privadas.

8. Siendo informático como tú a ratos tengo la sensación de ser menos vulnerable a ataques y robos que el resto de los usuarios. Pero en otros momentos rozo la paranoia. ¿Cómo llevas tu protección a nivel personal/profesional? Debe ser más chulo entrarle en el ordenador a Chema Alonso que a la vecina del quinto.

Llevas toda la razón. Vivo pensando que yo voy a ser el siguiente en ser hackeado. Al final, cuando estás en el campo de batalla te llueven las balas así que mejor haz lo que puedas para esquivarlas. Yo procuro tomar todas las medidas de seguridad que me son posibles e intentar evitar la paranoia….

9. Siendo tan fácil contactar contigo recibirás peticiones de lo más variopinto. ¿Me cuentas alguna anécdota curiosa? ¿No entran ganas a veces de convertirse en una especie de Robin Hood e incluso saltarse las normas para defender a pobres y oprimidos?

He recibido peticiones de todo tipo, y las suelo ir publicando en mi blog o en charlas. Desde hace poco he decidido poner en la zona de contacto de mi blog una alerta diciendo que no hago cosas ilegales nunca y por suerte han bajado un poco las peticiones. Yo no puedo ser juez de nadie y aunque intento ayudar a la gente, siempre les dejo claro que hay una línea legal que no se debe cruzar.

10. ¿Qué pregunta te hubiese gustado responder? ¿me la respondes?

La pregunta que me hubiera gustado responder es “¿Cuánto peso puede llevar una paloma en el pico?” y la respuesta es “¿La paloma de Europa o de Asia?”


MUY PERSONAL

– Nombre completo: Chema Alonso.

– Lugar de nacimiento: A 1 Km del Santiago Bernabeu.

– Fecha de nacimiento: Hace mucho, mucho tiempo, en una galaxia muy, muy lejana.

– Una ciudad: Madrid para vivir y muchas para disfrutar.

– Un libro: “Un mundo Feliz” y todos los de 0xWord.com

– Una canción: Pan de Higo.

– Una película: Blade Runner y Clerks (una es muy difícil)

– Un actor o actriz: Are you talkin’ to me?.

– Rasgo principal de mi carácter: Ser Maligno.

– Mi principal defecto: Capacidad infinita de dar por saco.

– En mi tiempo libre me gusta: Dibujar y Leer.

– Mi sueño dorado: Tener mucho más tiempo para hacer más cosas.

– Mi escritor favorito: Arturo Pérez Reverte y Eduardo Mendoza (uno es muy difícil)

– Mi músico/cantante favorito: Esa guitarra carabanchelera, Up the Irons y Platero y Tu

– Mi deporte favorito: De ver muchos, de practicar el SnowBoard.

– Mi comida preferida: Rissotto al fughi con setas.

¿Te ha gustado? Compártelo... Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInShare on TumblrShare on StumbleUponEmail this to someone

2 Comments

  1. Pingback: Chema Alonso: "Vivo pensando que yo voy a ser el siguiente en ser hackeado" (entrevista)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *