Entrevista a Deepak Daswani

 HACIENDO FÁCIL LO DIFÍCIL

Deepak Daswani es todo un trotamundos en esto de la ciberseguridad, ha pasado por multitud de empresas y puestos, Deloitte, INCIBE, 11Paths, diferentes Universidades y centros de formación ,...siempre dejando a su paso, su buen trabajo, conocimientos, reconocimiento y compañeros; escritor del libro "La amenaza hacker" y colaborador del libro "Hacking Práctico de Redes Wifi y Radiofrecuencia". 

Asistiendo a sus conferencias sales con más preguntas que cuando entraste, pero no porque no quede claro y haga fácil lo difícil, sino porque si eres un poco curioso conseguirá abrir tu mente para que te cuestiones más cosas, y eso para un hacker, es oro.

PREGUNTA:¿Cómo iniciaste tu carrera en el sector de la Ciberseguridad?

RESPUESTA: Siempre he tenido interés por la informática y el hacking. Comencé programando muy pequeño en BASIC con un Amiga 500 y con 12 o 13 años hice un curso de Turbo Pascal en verano para entretenerme. Me conectaba a las BBS con un modem que mi padre compró en su día para el ordenador de casa de cara a mandar faxes.

A la hora de elegir carrera académica lo tenía muy claro. Cursé la Ingeniería en Informática porque era lo que me apasionaba. Lo que pasa es que en este sentido, a pesar de que los fundamentos que te brinda la carrera son indispensables (de hecho yo recomiendo y defiendo a ultranza la formación universitaria como base antes de especializarse en ciberseguridad o en cualquier disciplina) para poder entender lo que viene después, los skills que uno necesita para poder convertirse en un hacker los tuve que buscar por mi cuenta. En aquella época no era como a día de hoy, que había un montón de alternativas para formarse o másteres universitarios como en los que ahora tengo el privilegio de ser docente.

En mi época este conocimiento lo tenías que adquirir por tu cuenta y de hecho como bien sabes, todos los de nuestra generación lo hicimos así. Lo que pasa es que en mi caso, luego estaba la desventaja de vivir en Canarias para poder desarrollarse profesionalmente en el sector de la ciberseguridad . Así que en los inicios de mi carrera, trabajé a nivel técnico en sectores como la banca o la ingeniería geográfica. Por supuesto, la experiencia que uno adquiere trabajando en áreas como desarrollo, administración de sistemas o cualquier área del sector IT también aporta, pues en este mundo cuanto más sepas y experimentes mejor Pero en mi situación, el hacking tenía que permanecer como un hobby al que le dedicaba los ratos libres que tenía. Nunca pensé que podría de verdad dedicarme a ello de manera profesional sin vivir en un epicentro como Madrid o Barcelona.

Hasta que pasados unos años, me propuse adentrarme de verdad, con fuerza, seguir mis impulsos, mi pasión e ir a por todas. Comencé a formarme un poco más en serio, sobretodo en aquellas áreas de conocimiento que antes no dominaba, y también con la actividad divulgadora, publicando artículos como el famoso "Hackeando al vecino que me robaba la Wifi" en el blog de Chema Alonso, que fue portada en Menéame, Trending Topic en Twitter y tuvo muchísima repercusión mediática. A partir de ahí, comencé mis colaboraciones con los medios, participé inicialmente sólo por probar mis skills en el proceso de selección que me llevó a INCIBE, en el que fuimos elegidos tan sólo 20 hackers de 600 y el resto de la historia, quizá ya lo conoces.

Dos años intensos como Security Evangelist de INCIBE dan para mucho. Además de aprender y poder compartir inquietudes con compañeros de primer nivel, tuve la oportunidad de dar conferencias por toda España, convertirme en un asiduo de los medios de comunicación a nivel nacional, así como colaborar con periodistas de la talla de Jon Sistiaga, Pedro Blanco, Carles Francino, Samanta Villar, o hackearle en directo el Twitter al popular "gallo" Dani Moreno en el Anda Ya de Los 40. Además de participar en organización de eventos como ENISE o en la gestación del primer CyberCamp.

Tras esa andadura, decidí emprender el rumbo de vuelta a mi querida isla de Tenerife, y la Firma multinacional Deloitte me dio la oportunidad de poder hacer esto a la vez que continuar mi carreraal máximo nivel convirtiéndome en formador del CyberSOC. Estuve otros dos años en la Firma que me pasé viajando casi todas las semanas a diferentes destinos. Impartía conferencias, formaciones, sesiones de concienciación, y muchas otras cosas apasionantes que nos brinda esta profesión como las conferencias de hackers o colaboraciones con medios que sigo haciendo a día de hoy de manera asidua y periódica. En verano de 2017, decidí comenzar mi actividad por cuenta propia y hasta la fecha.

P: Sabemos que eres uno de los ponentes más habituales en los Congresos de Ciberseguridad más importantes a nivel internacional. Nos gustaría que nos contases algunas anécdotas interesantes de estos congresos y que puedas indicarnos cuál ha sido para ti el que mas te ha gustado y por qué.

R: La verdad que son muchos los Congresos , eventos y conferencias en los que he participado en los últimos 7 años, desde que empecé allá por 2013. Precisamente porque en algunos de esos eventos (sobre todo los nacionales) coincidimos muchas veces los mismos ponentes, y algunos son buenos amigos, en estos entornos, surgen todo tipo de anécdotas y para todos los públicos. Algunas que surgen durante los ratos de networking, almuerzos o cenas y otras relacionadas con aspectos técnicas de las charlas como algunos problemas o dificultades que haya podido tener en algunas demos en tiempo real. Incluso una vez que un proyector en la UAH empezó a tener un comportamiento errático y tuve que ingeniármelas para poder enseñar las diapositivas y hacer la demo usando mucho el pensamiento lateral, que tanto se nos supone a los que nos dedicamos a esto. Son muchísimas las anécdotas de los eventos donde he estado y sería difícil escoger alguna. Guardo muy buen recuerdo de las múltiples ediciones de Sh3llC0n en Santander, de SecAdmin en Sevilla o Hackron por supuesto que tiene lugar en casa. Así como Mundo Hacker, evento en el que he estado presente en todas las ediciones desde 2014 a 2020 siempre con nuevas investigaciones, y CyberCamp, un evento que para mí es muy especial porque participé en su gestación en 2014, en aquella primera edición que tuvo lugar durante mi etapa en INCIBE. Otro de los eventos que diría a día de hoy para mí es de los más relevantes y que congrega a muchísimos profesionales del sector cada año son las jornadas STIC del CCN-CERT, donde he tenido el privilegio de estar como ponente en las dos últimas ediciones.

Respecto a eventos internacionales, también he tenido la suerte de estar en muchos sitios en los últimos años, así que es difícil resaltar alguno por encima de los demás. Por señalar algunos de los que guardo especial recuerdo, he estado en varios eventos académicos en universidades como la de Guarda (Portugal) o en Medellín, así como en los eventos de Asobancaria y Plus Technologies, dos eventos espectaculares que tuvieron como sede el espectacular Gran Hyatt de Bogotá. El pasado año 2019, estuve también como speaker en Future Trends de Paraguay, uno de los eventos más espectaculares en cuanto a producción y organización que se celebró en Asunción, donde coincidí con ponentes de diferentes disciplinas y me lo pasé en grande. Fue una gran experiencia. A los 10 días de volver a España tras ese evento, volví a cruzar el charco para varias actividades organizadas para mí por Infotep en República Dominicana. El primer día impartí un taller técnico de 4 horas a los docentes de la institución y al día siguiente una conferencia en un almuerzo privado con los principales empresarios del país y la vicepresidenta del Gobierno. El último día 1.500 asistentes llenaron todas las butacas del impresionante Teatro Nacional de Santo Domingo sólo para acudir a ver mi conferencia magistral. Fue toda una experiencia prepararme en el camerino como las innumerables celebrities que habrán pasado por ahí. ;)

P: Actualmente eres un profesional independiente, ¿En qué proyectos estás trabajando?

R: Desde hace poco más de 3 años, decidí pasarme al mundo de eso que llaman emprendimiento y dedicarme a trabajar por cuenta propia. En estos años he podido hacer muchas cosas diferentes, como por ejemplo publicar con Planeta el libro "La Amenaza Hacker", uno de los proyectos más complejos y exigentes en los que he trabajado. En la actualidad, presto diferentes servicios a empresas en el ámbito de la ciberseguridad. Principalmente hago auditorías de seguridad (pentesting), formación y conferencias. Imparto formación especializada a perfiles técnicos, así como también sesiones de concienciación en ciberseguridad tanto a directivos como al staff de cualquier organización, que es uno de los servicios que más me demandan las empresas. Además de eso, imparto conferencias en muchísimos eventos organizados por profesionales independientes, empresas o agencias. Todo esto unido a las colaboraciones con medios de comunicación que hago asiduamente desde hace ya unos años con frecuencia prácticamente semanal.Desde finales de 2018, compagino estas actividades por cuenta propia con mi rol de Chief Security Ambassador de ElevenPaths, que implica algunas de estas actividades comentadas, así como otras actuaciones siempre relacionadas con la difusión y divulgación de conocimiento en el ámbito de la ciberseguridad.

También formo parte del Comité Asesor de Riskmedia, en materia de seguros de ciberriesgo, que es algo que muchas empresas demandan a día de hoy

P: A todos nuestros "colegas" del sector, les hacemos la misma pregunta… ¿Qué hobbies tienes? ¿En qué inviertes tu tiempo libre?

R: Pues en mi caso mis hobbies tienen que ver con el deporte y la música. Como muchos que me conocen saben, dedico todos los días que puedo una hora a entrenar en el gimnasio. En su día estuve practicando boxeo pero a día de hoy lo tengo aparcado. Ya los entrenos diarios que vengo haciendo desde hace un año y poco me dejan sin energía para más ;) No sé si eso entra dentro del tiempo libre porque para mí constituye una cita fija e ineludible de cada día, a no ser que no pueda por viajes, agenda o salud. Además de esto, mi gran afición es la música. Tocaba el órgano de pequeño y me encanta pinchar. Son hobbies en los que invertiría ese tiempo libre por el que me preguntas, pero en honor a la verdad, apenas les dedico tiempo a día de hoy. También me gusta leer, y suelo aprovechar los viajes en avión para ello.

P: ¿Qué herramienta o tool poco conocido, no nos digas nmap, debe estar en la mochila de todo hacker?

R: Pues si no puedo hablar de nmap, yo me quedaría con la terminal, la consola. Desde una shell o un cmd se puede hacer prácticamente de todo.

Una herramienta que siempre deberíamos llevar también es el Metasploit con los exploits de EternalBlue y Doublepulsar afinados para las diferentes versiones de Windows, porque aunque hace 3 años ya del famoso WannaCry es increíble la cantidad de equipos que puedes encontrarte en auditorías internas, o redes Wi-fi de hoteles, aeropuertos, cafeterías sin actualizar y vulnerables a dicho exploit.

Por otra parte, la mejor herramienta de un hacker es sin duda, una que no se lleva en la mochila, sino dentro de uno mismo. Ya la mencioné antes, y no es otra que el pensamiento lateral, esa habilidad natural para resolver problemas complejos o irresolubles mediante caminos alternativos.

P: ¿Qué persona, película o libro te ha influido más dentro del mundo de la ciberseguridad?

R: Pues aunque suene a tópico, siempre he seguido la trayectoria del gran Kevin Mitnick. Así que a la hora de recomendar un libro, elegiría "El Arte de la intrusión". Otro gran hacker y referente a nivel internacional que siempre me ha inspirado ha sido Mikko Hypponen. Quien iba a decir que años después de seguir a ambos, tras haber yo también desarrollado mi carrera en el ámbito de la ciberseguridad, iba a tener el privilegio de poder contar con el apoyo justo de estos dos cracks a la hora de publicar mi propio libro. Kevin lo apoyó con una reseña que va en la cubierta, y Mikko escribió el prólogo de "La Amenaza Hacker".

Otra persona que merece mención a la hora de hablar de referentes, además de amigo, es Chema Alonso. Yo lo seguía ya en sus inicios y nos conocimos hace muchos años y lo veía cuando venía por Tenerife a dar algunas charlas con Microsoft. Desde entonces, entablé relación con él y la verdad es que siempre me brindó su apoyo. Chema es un crack, un trabajador incansable, que yo considero que ha hecho mucho por el crecimiento de este sector y gran parte de lo que podemos disfrutar a día de hoy los que nos dedicamos a esto, es en gran parte gracias a su esfuerzo y labor que viene de muchos años.

Respecto a películas, además de la clásica "Juegos de Guerra" a mí me gusta mucho una que no sé si tiene tanta fama entre hackers o informáticos, que es "Conspiración en la red" del año 2001 y que trataba el tema del monopolio de los gigantes tecnológicos frente al software libre. Pero ahí donde lo ves, una película que yo siempre referencio en muchas charlas a pesar de que aparentemente no tenga relación directa aparente con la ciberseguridad, es "Ocean's Eleven", una de mis películas favoritas. La suelo mencionar a la hora de hablar de APTs y ataques dirigidos, porque es un ejemplo de un ataque sofisticado, planificado, que consta de diferentes etapas, y donde un equipo de expertos en diferentes disciplinas, logran llevar a cabo el golpe más importante de la historia. Además sacan el dinero por la puerta del casino, como si de un covert channel se tratara. Y es que, la ciberseguridad no es sólo cosa de ceros, unos, teclados y pantallas. Es siempre una mezcla entre todo eso y la interacción humana, donde no falta la archiconocida ingeniería social. Sobretodo en la sociedad digital que habitamos ahora, donde casi ya nos relacionamos más en el mundo virtual que en el físico. Más ahora después de esta pandemia que nos ha tocado vivir.

Muchísimas gracias por compartir con nosotros tu tiempo, y ya sabéis si queréis contactar con Deepak, podéis hacerlo mediante su buzón de MyPublicInbox