Entrevista a Marcelo Vázquez

Marcelo

La juventud viene pisando muy fuerte, y eso en ciberseguridad, se nota, cuanto más quieran aprender y más pregunten, más fuertes seremos en ciberseguridad, ese el caso de Marcelo Vázquez (a.k.a S4vitar), un hacker que rápidamente (y con esfuerzo, que nadie le ha regalado nada) ha conseguido llegar para quedarse e ir marcando la diferencia, ¿Quién hay detrás de S4vitar?

 ¿Quién es Marcelo Vázquez (S4vitar)?

Me considero un chaval simplemente apasionado por lo que hace, amante de la ciberseguridad, al que le gusta acercar de una manera más amigable todo este campo a la gente que sobre todo está empezando.

Actualmente trabajo como pentester en ElevenPaths, la pata del Red Team es una de las cosas que más me gustan del sector y siempre me encuentro en una fase de aprendizaje continua.

¿Cuándo despertó tu curiosidad por la Ciberseguridad?

Yo diría que en el momento en el que noté que empezaba a ser productivo. Todo este campo me pilló en una época en la que prácticamente no me sentía del todo realizado con lo que estaba haciendo (estaba estudiando una carrera que no tenía ningún tipo de relación), pasaban los días y no me sentía plenamente realizado o satisfecho. De puro casual y habiéndome juntado con los compañeros de viaje adecuados, me dio por curiosear un poco la rama de la ciberseguridad, hasta el punto de atreverme a configurar mi primer sistema operativo para pentesting con el que practicar y probar cosas.

Creo que fue el hecho de no sólo ver que aprendía cosas prácticas en el día a día, sino sobre todo el sentir que estaba haciendo algo productivo con mi vida (a pesar de que no tuviera ningún tipo de relación con la carrera) lo que hizo que probara a meterme de lleno en el campo. Pasaban los días y sentía que cada vez quería más. Era y sigue siendo una fuerza de tracción que jamás había experimentado con otras cosas que llegué a tocar. A veces me paro a pensar en qué habría pasado si no me hubiera animado a desplegar y configurar mi primer entorno de trabajo para practicar pentesting, ¡pero bendito sea el día que nació mi curiosidad!

¿Qué aficiones tienes? ¿En qué inviertes tu tiempo libre?

Algo de lo que peco mucho y que tengo que aprender a gestionar, es que apenas suelo tener tiempo libre. En caso de tenerlo, los que me conocen de cerca saben que lo sigo invirtiendo en todo esto, porque es lo que me apasiona. Tampoco considero que sea malo invertir tu tiempo libre en aquello que te gusta, a veces el cerebro tiene que desconectar y bien cierto es, pero supongo que cada uno desconecta a su manera.

Soy de los que prefieren invertir el tiempo libre en estar ocupado con cosas antes que decidir no tener ocupaciones para estar libre. Es más, más que estar enfocado en estar ocupado... diría que es más una cuestión de estar enfocado en ser productivo, porque no hay nada tan inútil como hacer de un modo eficiente aquello que no es necesario hacer. Estas ojeras no se trabajan solas.

¿Qué es lo que más te gusta de tu trabajo?

Diría que estar en una continua fase de aprendizaje. No sólo de aprendizaje, sino también de superación. Lo bonito de nuestro sector es que te hace ver que siempre estás haciendo lo que no puedes hacer para poder aprender cómo hacerlo.


Seguro que has aprendido un montón de "Hacks" y trucos muy divertidos con tod@s l@s compañer@s que te has cruzado. ¿Cuál ha sido el que más te ha llamado la atención?

Últimamente me está llamando mucho la atención el Hardware Hacking, mi gran compañero T31m0 se ha portado bastante bien conmigo proporcionándome todo tipo de material para cacharrear.

Me sorprende el alcance que tiene la fusión entre el Hacking y el campo de la electrónica, es asombroso ver la de cosas que se pueden hacer con ciertos dispositivos. Jamás pensaba que un día aprendería a abrir un coche con el HackRF, o que aprendería a leer, manipular o clonar tarjetas de acceso con la Proxmark. Es algo que me llama potencialmente la atención, sobre todo porque yo estuve 3 años estudiando Ingeniería Electrónica Industrial y Automática en la universidad y jamás llegué a pensar en que se podría llegar hasta este "extremo".

Cuéntanos alguna anécdota personal divertida que te haya ocurrido en el mundo de la Ciberseguridad

Hubo una vez que estaba en plena auditoría interna en presencial, gané acceso a un servidor crítico y me dispuse a enumerarlo para ver si podía recolectar información de provecho. Uno de los binarios que quise subir fue el 'Lazagne', para recolectar un buen puñado de todo tipo de credenciales almacenadas en el equipo. Me enfrentaba a un antivirus 'Trend Micro' el cual tendría que burlar de alguna forma, pues en caso contrario el binario me lo iba a cascar e iba lo más probable a llamar la atención.

Lo primero que se me pasó por la cabeza fue matar el proceso correspondiente en el sistema aprovechando que era administrador local de la máquina, por lo que con 'wmic' formé una sentencia tal que me matara cualquier proceso relacionado con lo que me interesaba aniquilar. Generé una consulta la cual se encargara de matar cualquier proceso que contuviera la palabra *Micro* en el nombre de proceso, así ya me despreocupaba y podía seguir trabajando sin impedimentos. Lo que nunca se me pasó por la cabeza en ese momento fue pensar que haciendo esa consulta pudiera llegar a matar el servicio 'Microsoft SQL' del servidor de base de datos en producción en el que estaba, además de parar múltiples servicios de Microsoft. Básicamente ocasioné una buena parada en producción y me comí unas cuantas broncas merecidas xD

¿En qué nuevos proyectos estas trabajando ahora mismo?

Actualmente estoy trabajando en H4ckNet, una laboratorio de bolsillo Offline que estamos desarrollando 2 compañeros y yo para la comunidad. La idea del proyecto es acercar la pata práctica de la ciberseguridad a los usuarios sin necesidad de requerir conexión a internet, presentando un entorno vulnerable de máquinas dispuestas en contenedores sobre las cuales practicar la gran mayoría de vectores de ataque que uno se puede encontrar a la hora de hacer Pentesting (tanto web como a nivel de sistema).

El entorno lo llamamos "de bolsillo" porque lo puedes desplegar en cualquier momento desde cualquier sitio, sin necesidad de tener conexión a internet o de descargar máquinas virtuales. Los usuarios podrán apagar, encender o reiniciar las máquinas mediante una atractiva interfaz web configurada localmente en el equipo, pudiendo listar las propiedades de la máquina. Además, los usuarios contarán con guías de apoyo para no sólo explotar sino también aprender a desplegar cada una de las vulnerabilidades representadas, todo ello con escenarios que nosotros previamente habremos configurado a través de contenedores para adecuarlos lo más semejante a lo que uno se podría encontrar en una auditoría.

Durante estos meses hemos ido mostrando los avances del proyecto, sabemos que la gente está con mucho Hype y que quieren que salga cuanto antes, pero como digo siempre... la espera merecerá la pena.

¿Imaginabas hace 10 años que ibas a estar trabajando en la Seguridad Informática y dando ponencias?

El futuro no es del todo predecible, pero creo que somos lo que hacemos, y si haces... el poder de proyección hacia el futuro es directamente proporcional al esfuerzo invertido. Todo empezó como un Hobby, como un chaval con curiosidad que simplemente estaba aprendiendo a hacer cosas. Fue una época algo complicada para mi, pero aprendí que cuando no sabes qué es lo que buscas, lo que buscas... te busca.

Es una cuestión de creer en ti y de llevarte hasta donde quieras y puedas, siempre dentro de las posibilidades.


¿Cómo surgió la iniciativa de entrevistar a perfiles tan relevantes del sector?

Uno de los mayores placeres de la vida considero que es, entre muchos otros, escuchar. El dedicar un tiempo a ver el mundo desde la posición de otra persona es más gratificante de lo que parece. Nuestro peor problema de comunicación es que no escuchamos para entender, sino que escuchamos para contestar... y para saber hablar es preciso saber escuchar. El aprender de la experiencia de otros/as para saber qué pasos siguieron hasta llegar a donde están a día de hoy es algo que transmite energía y un buen puñado de motivación.

Además, uno se lo pasa bien entrevistando :)

¿Cómo ves el sector de la ciberseguridad en los próximos años?

Algo me hace creer que más demandado que nunca. Vivimos rodeados de tecnología y por cada día que pasa nos "tecnologizamos" más. La tecnología no fue creada con el propósito de ser segura, se creó con la idea de diseñar y crear bienes o servicios que facilitaran la adaptación al medio ambiente, así como la satisfacción de las necesidades individuales esenciales y las aspiraciones de la humanidad.

Es casi imposible crear tecnología que sea inquebrantable en cuanto a los pilares de la confidencialidad, integridad y disponibilidad respecta. Pero, para eso estamos y estaremos nosotros, para demostrar que lo que hoy es seguro, mañana puede no serlo... con el objetivo siempre de tratar que sea lo más seguro posible.

¿Qué consejos darías a todas las personas que quieran concienciarse en los ataques cotidianos que ocurren a diario?

En primer lugar, sobre todo conocer ciertas terminologías como Malware, Virus, Gusanos, Troyanos, Spyware, AdWare, Ransomware, Doxing, Phishing, DDoS o similares, ya que uno se lo encuentra frecuentemente en la mayoría de fuentes en las que cae.

Por otro lado, existen múltiples charlas de Awareness en temática de Phishing y de ciberseguridad disponibles en YouTube, dedicar unos minutos a estas buenas dosis es más que recomendable para no sólo estar al tanto de los ataques cotidianos más comunes, sino también para aprender a defenderse ante estos.

Muchas gracias Marcelo por tu tiempo, y haber dejado que nuestros lectores conozcan un poco más a la persona y al hacker que llevas dentro, se nota que disfrutas y te apasiona lo que haces, y vosotros ¿estáis hack?

Si queréis comunicaros con él podéis hacerlo a través de su buzón en MyPublicInbox


Entrevista a Andrés Naranjo

Artículos relacionados

By accepting you will be accessing a service provided by a third-party external to https://www.hackbysecurity.com/

Agrega tu email para recibir novedades de seguridad
Estoy de acuerdo con el Términos y Condiciones