TRANQUILO, SANTOS NOS VIGILA.
Sergio de los Santos es Coordinador del área de Innovación y Laboratorio de 11Paths en Telefónica Digital, veterano en esto de la ciberseguridad pues lleva ya más de 20 años ligado a este sector, además de escritor de varios libros de seguridad y hacking.
Le hemos realizado una entrevista amena donde se descubre lo buen comunicador que es y que no se guarda nada de lo que sabe.
Pregunta: ¿Cómo iniciaste tu carrera en el sector de la Ciberseguridad?
Respuesta: En 2000 un amigo de la Universidad (Ismael Valenzuela) encontró un fallo de seguridad en la página del ayuntamiento de Málaga. Los medios le dieron cierto bombo y su jefe en aquel momento le ofreció montar como socios una empresa de seguridad. Él me llamó para ser su primer trabajador (y único durante mucho tiempo), aun sin tener yo ni idea de seguridad (ni de muchas otras áreas de la informática, no sé por qué lo hizo). Ahí empezó mi personal recorrido por la seguridad que hoy mantengo. A los pocos meses estaba desde administrando redes a creando contenido, desde dando charlas a haciendo pentesting, desde asegurando Windows a asegurando un portal de éxito. En aquellos tiempos no era fácil, no había industria de seguridad en España. Lo pasé muy mal, pero marcó mi tolerancia al conocimiento y al ritmo de trabajo. Siempre he creído en la cultura del esfuerzo y tuve la oportunidad de ponerla a prueba. Descubrí que era lo mío. Dos años después me dediqué en exclusiva a investigar y, como efecto secundario, escribir para portales y revistas sobre seguridad. Entendí entonces que intentar transmitir a través de las palabras requiere de un análisis en profundidad y supone una gran responsabilidad, que se debe ser preciso y muy hábil para contar cualquier cosa y que resulte interesante y verídica. Seguí aprendiendo por mi cuenta e hice músculo para entrar en Hispasec en 2005, un referente en España en la que tenía ganas de trabajar por lo que representaba y por estar en Málaga. Lo conseguí. Fue el empleado técnico número tres. Una vez más, hice de todo. Lo dejé en 2013 cuando ya eran más de 15. Luego me llamaron para montar ElevenPahts en Telefónica. Y hoy sigo mi evolución desde la innovación en ciberseguridad… comencé yo solo en mi casa de Málaga y ahora somos un equipo bastante nutrido repartido por 5 países. Me gusta la fidelidad al trabajo, me gusta ver crecer e involucrarme en los proyectos… a pesar del esfuerzo que supone a veces. Quizás sería más provechoso, siendo egoísta, saltar de puesto a puesto… pero yo necesito creer en lo que hago para funcionar. No tengo claro que sea una estrategia acertada para todo el mundo, pero a mí me ha servido. Trabajo siempre desde la honestidad, no puedo evitarlo.
P: ¿En qué proyectos estás trabajando?
R: En ElevenPaths la innovación ha resultado clave. Tengo el mejor trabajo del mundo. Innovamos en ciberseguridad pero siempre con un ojo en el negocio. La innovación debe ser práctica y útil, no me gusta hablar de pájaros y flores. Desde este punto de vista, estamos trabajando en varios frentes:
- Innovación que acerque la industria y la academia. Es necesario aprovechar el conocimiento y capacidades de la universidad para resolver retos reales. Además te permite estar muy cerca del talento universitario.
- Privacidad y ciberseguridad son un binomio interesante. Debemos aprovechar las tecnologías relacionadas para que la privacidad no suponga un esfuerzo o un intercambio desequilibrado, gratuito e involuntario.
- El mundo IoT y OT todavía tiene problemas para aplicar la ciberseguridad, sus limitaciones y características impiden que la madurez del mundo IT se pueda aplicar directamente.
- Vamos a proporcionar a nuestra área de operaciones las herramientas más innovadoras para que ofrezcan el mejor servicio.
P: ¿Cuál es el reto profesional más difícil al que te has enfrentado?
R: Como mencionaba antes, en 20 años he asumido el reto de hacer crecer tres áreas de tres compañías. Eso implica disponer de una piedra, ir a la guerra, e intentar acabar no solo indemne sino con un escuadrón. Para mí han sido muy satisfactorias en general estas experiencias. No sé si hubieran podido resultar mejor o peor, pero mirando atrás, creo que no fue mal. Esto ha implicado relacionarme con mucha gente, tanto en el equipo como en el sector. A mí se me da muy mal el marketing (venta personal incluida) y uno de los retos que peor he llevado ha sido lidiar con egos insoportables, distorsiones de las habilidades y escalas morales invertidas. Supongo que en todos los gremios ocurre, pero el divismo se lleva mucho en ciberseguridad. Personalmente no solo no lo practico sino que confío en que nadie me involucre en estas actividades. La ciberseguridad es una de esas disciplinas en las que puedes disimular cierto desconocimiento u obviar habilidades y no por ello mermar tus posibilidades profesionales. Distinguir a este tipo de personas y saberse rodear de gente honesta es todo un reto, porque hay quien no duda en ponerse por encima en lo profesional independientemente de las personas. Hace tiempo que no me pillan desprevenido en ese aspecto.
P: Sin duda alguna, la 5ª Edición de Máxima Seguridad en Windows de la editorial 0xWord del cual eres el autor, es un libro que no puede faltar en nuestra biblioteca. ¿Puedes recomendarnos otros títulos que consideres imprescindibles?
R: Aunque resulte raro, no tengo una gran biblioteca de informática. Aunque los que he leído sí me han ahorrado mucho tiempo. Creo que los Windows Internals son imprescindibles. Hay un aspecto que me resulta muy interesante sobre la informática, y es la sicología (estuve a punto de matricularme en sicología en 1999). En ese aspecto, el libro gratuito "Decisiones irracionales en ciberseguridad" de mi compañero Gonzalo Álvarez para ElevenPaths, resulta de lo más interesante.
P: Sergio de los Santos es uno de los profesionales más reconocidos en el sector, y por esto mismo nos gustaría saber los hobbies que tienes y en que te gusta invertir tu tiempo libre.
R: Pues no estoy tan seguro de que a alguien le interese, pero bueno, intentemos que sea útil. No me gusta el deporte en televisión, pero sí practicarlo un poco para estar en forma, no por competición sino por salud. Ya tengo una edad y me facilita mucho la vida desde el punto de vista profesional disfrutar de cierta agilidad, habilidad, aguante físico y por supuesto, emitir endorfinas… Cada vez disfruto más de algo de deporte al aire libre los fines de semana. Nada sofisticado. Correr un rato o ir en bici. Una de las experiencias que cada vez valoro más es la música en vivo y los buenos libros. En un mundo tan lleno de malas noticias, el arte (y en general para mí, la escritura y la música) me parece cada vez más imprescindible. Me gusta ir a festivales indies (que implican un viaje) y leer novelas. Con mis niños, me encanta ir en bici y jugar a aventuras gráficas de los noventa. Se lo pasan genial.
P: ¿Qué recomendaciones les darías a las personas que quieran enfocar su carrera en Ciberseguridad y Ethical Hacking?
R: Esta es una pregunta complicada. Cada persona necesitará una recomendación diferente. Pero si puedo sintetizar en cuatro consejos que creo que aplican a todos:
- Profundiza (mucho) en lo que leas, veas y escuches. No te quedes en el titular. Investiga si es cierto, en qué medida y por qué. Cuestiona lo que te cuentan e intenta desmontar cada informe que leas desde el punto de vista no solo técnico. Ve a la fuente original, relaciona y conecta los puntos. Pon en duda lo que te cuenten por cualquier medio e investígalo. Es el mejor ejercicio. No envuelvas en un halo de misticismo o fantasía todo lo relacionado con la ciberseguridad. Se puede entender. Esto te proporcionará muchas ventajas: comprender que no todo es lo que parece, mantener los pies en el suelo, aprender mucho más de lo que crees, entender que cualquiera (sí, cualquiera) puede descubrir cosas nuevas gracias a la democratización de la información. Este ejercicio te permite desmitificar, ganar confianza y habilidades.
- Trabaja. No te creas mejor que nadie desde el primer minuto. Calma tu ego. Trabaja por un sueldo digno, pero no por ello pierdas oportunidades. No digo que malvendas tu trabajo ni que tu trabajo no valga mucho más. Digo que, al principio, antepongas el proyecto y no tanto el sueldo. Si de verdad te salen mejores ofertas o no estás cómodo con tu nómina o proyecto, adelante, da el salto. Pero aprovecha las oportunidades sin valorar tanto el sueldo si de verdad te interesa el proyecto. Puedes sacar provecho de él en cuestión de conocimientos, aprendizaje o conexiones con la industria. Además, en muchos de los casos, te darás cuenta que hay mucha gente ahí fuera de la que aprender y disfrutar de una cura de humildad que nunca viene mal.
- Esto aplica en cualquier gremio: no te creas tan listo. Escucha y piensa antes de hablar y escribir. Esa frase que digas o escribas en internet tiene un impacto emocional en las personas con las que interactúas. ¿De verdad no te avergonzará dentro de varios años? Intenta que tu yo del futuro siempre se sienta orgulloso de lo que dijo, o pueda defenderlo. Evita las imprudencias. El pasado siempre te persigue.
- Cuida tu expresión escrita. Saber explicarte es la mitad del trabajo. Aprovecha y escribe tus investigaciones, hazla públicas siguiendo todos los consejos anteriores. Será tu mejor currículum.
Como habéis podido leer una gran persona y gran profesional referente en ciberseguridad, esperemos que sus consejos sean oídos por todos los hackers y los pongan en práctica si no lo hacían ya, es la mejor forma de aprender y avanzar.
No os olvidéis que podéis contactar con Sergio de los Santos a través de su buzón de MyPublicInbox