17 preguntas más de Ciberseguridad, Hacking e IA y sus respuestas que me hicieron en la sesión de apertura del Campus de Ciberseguridad
O que se ha usado Photoshop, filtros de belleza, o correcciones de color. Al final una foto es una proyección y son más los puristas los que defienden eso. La polémica del premio de fotografía que ganó una foto generada por IA creo mucho ruido. Pero yo creo que es igual que en las redes sociales se debe indicar cuándo se está utilizando un filtro de belleza, o la técnica utilizada en conseguir un FX en una determinada instantánea. Yo creo que hay un amplio abanico de posibilidades y caben todas las opiniones y opciones.
17.- Hola chicos, quería saber que pensáis del sector de la ciberseguridad en europa a nivel general, a día de hoy, no resido en España y quería saber un poco el panorama en base a vuestra experiencia.
Pues en España, en Europa y en Hispam, hay muchas posiciones abiertas en todos los roles de ciberseguridad. Yo te recomiendo que eches un ojo a las posiciones que tenemos abiertas en Telefónica, donde verás que tenemos plazas en Alemania, Inglaterra, España, Colombia, Argentina, etcétera. Es más que tú elijas dónde quieres trabajar, en qué, te formes bien, y pases el proceso.
18.- Me gustaría saber cómo impactan todas estas nuevas tecnologías en materia de concienciación en los usuarios, ya que por muchas medidas de seguridad que haya implementadas, el usuario sigue siendo el vector de entrada más explotado
Los usuarios, los empleados, los jefes, y las personas en general. Por desgracia, aún seguimos exigiendo al usuario que sea capaz de reconocer un phishing, que sea capaz de configurar un segundo factor de autenticación, o que proteja su biometría, cuando saber cómo funciona SPF, DKIM, PGP, S/MIME, L2TP, PPTP, TLS, o demás tecnologías de seguridad debería ser más transparente para el usuario. Hablé de esto en el artículo de “Mea culpa, Penny!”
Yo soy de la teoría de Bruce Shneier en su libro de “Haga clic aquí para matarlos a todos”, de que hay que ser más exigentes en términos de seguridad con las empresas que proveen software y olvidar ya las licencias de “me eximo de toda responsabilidad y este software se licencia como está y punto”.
19.-¿Creéis que las nuevas tecnologías serán más seguras o todo lo contrario?
Creo que cada vez hacemos software más seguro, pero… tiene trampa. Al final, el número de bugs por cada millar de líneas de código que se ejecutan se ha reducido, pero es que el número de líneas de código que se ejecutan, ha crecido en varios órdenes de magnitud. Por eso, cada vez hay que buscar más para localizarlas y valen tanto dinero. Eso ha hecho que sea posible ganarse la vida con los Bug Bounty siendo cazarecompensas.
20.-¿Cuáles son los desafíos más comunes (actualmente) que las empresas enfrentan en términos de ciberseguridad?
Los desafíos más comunes, y para mí “el” desafío más importante, es transformarse a la velocidad que exige el mercado pero de manera segura. Y ese es el reto. Hoy en día la tecnología es un disruptor en todos los mercados, y para las empresas de ese mercado la velocidad de transformación y adaptación es fundamental, así que hay que hacerlo de forma ágil, pero… a la vez de forma segura
21.- ¿De qué manera encajaría un abogado de Nuevas tecnologías en el sector?
Para mí, los abogados son fundamentales y en mi equipo son los grandes facilitadores de la innovación, porque no me dicen: “No”. Sino … “de esta forma”. Innovar siempre es empujar los límites, y el derecho es un marco lleno de límites que hay que cumplir. Son los que me permiten lanzar nuevos proyectos. Sin ellos trabajando codo con codo, es muy difícil mover las cosas.
22.- ¿Qué portales o medios recomiendas para buscar trabajo en el extranjero?
La verdad es que no te puedo decir. Te recomiendo la web de Jobs.Telefonica.com por supuesto, pero supongo que Linkedin un el OpenToHire es una buena forma de descubrir otros portales en la red. Casi todas las grandes empresas tienen una web de contratación, busca las grandes empresas y tendrás ahí la opción de enviar tu CV para posiciones abiertas. En Telefónica es el principal canal de contratación: Puestos de trabajo en ciberseguridad en Telefónica
Yo hablaba de esto hace muchos años. Cuando estaba en ElevenPaths y daba charlas de Pentesting Continuo, Pentesting by Design, siempre decía que todas las pruebas que se puedan automatizar deberían estar automatizadas, y los pentesters deberían estar para hacer ataques complejos y con todo el conocimiento interno de la organización. Es decir, deberían poder saber todas las herramientas, las versiones, etc.. Toda la info para poder ponernos en el peor caso de un atacante que lleva dentro tiempo para recabar toda esa información, o un empleado malicioso. El Pentester Estratégico que va a por la compañía conociéndola completamente. A algo parecido a esto es lo que llamamos Purple Team.
Figura 13: El Red Team de la empresa de Eduardo Arriols en 0xWord |
Ahora en las empresas tenemos el equipo de defensa, que es el Blue Team, y el equipo de ataque que es el Red Team. Ambas herramientas de un buen CISO que las hace competir. Pero debe existir un Purple Team que tenga la info del BlueTeam y las destrezas del Red Team para probar que realmente estás listo para el peor de los ataques posibles. Creo que se va a extender como un servicio en todas las empresas.
24.- ¿Qué certificaciones de ciberseguridad recomendáis hacer o tener?
Esta pregunta creo que la respondí en vivo. En las empresas de consultoría te exigen muchas, que puedes hacer y te van a ayudar a trabajar en estas empresas. OCSP, CISA, CISP, Ethical Hacker, etcétera. Mi recomendación es que te hagas la que te guste por el temario porque vas a aprender. Es decir, no se trata de que te saques el certificado para tenerlo y que te ayude en el CV – que seguro que lo hace – sino por que los conocimientos que en él se enseñan te sean útiles.
A mí me hace ilusión que temas como Connection String Parameter Pollution (CSPP), la FOCA, (Blind) LDAP Injection, o Time-Based Blind SQL Injection using heavy queries que hemos publicado nosotros son parte de esos examenes, así que puedo decirte que son muy prácticos.
25.- ¿Deberemos entrenar los modelos de IA antes de que algún ciberdelincuente consiga una IA omnipresente?
No es necesario esperar a esto. En Ciberseguridad las técnicas de Machine Learning y los Modelos de IA son una realidad y llevamos años usándolos porque sabemos que los malos lo hacen. Un ejemplo de ello son los modelos de Machine Learning aplicados a Ciberseguridad de los que hablamos en el libro que publicamos en 0xWord.
Figura 16: Libro de Machine Learning aplicado a Ciberseguridad de Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández |
No muchas. Las técnicas de hacking de entornos Microsoft Windows tienen muy presente Active Directory y hay muchos, muchos, muchos de los escenarios en los que te vas a tener que enfrentar a entornos de Pass-the-hash, Pass-the-ticket para hackear Kerberos, o GPOs de Active Directory.
Creo que las multas que van a recibir si no lo hacen hará que muchas empresas mueran. Es lo que pide el libro de Bruce Shneier, que las multas sean tan grandes que merezca la pena invertir en ciberseguridad. Aún así, creo que hemos mejorado, pero no lo suficiente, y será cuestión de poco a poco ir madurando.
En las grandes empresas no es algo nuevo, pero si que es verdad que no en todas las empresas tienen roles especializados para automatizar todos los procesos de construcción de tecnología con arquitecturas y modelos de trabajo DevSecOps/SecDevOps. Creo que esta profesión va a crecer en los próximos años.
Figura 18: Libro de Docker:SecDevOps en 0xWord de |
30.- Estaría bien para algunos oyentes, explicar ese espiral, es decir, explicar que hay que conocer para empezar en el mundo del hacking y de ahí que luego se vayan especialzando más, ya que creo que hay gente que pregunta sobre “cursos” que se creen que con hacerlo van a ser hackers, y hay que dominar varias técnicas, estaría bien mencionar cada paso cada recomendación desde cero.
Escribí un artículo sobre esa visión de aprendizaje de hacking en espiral en mi blog. No hay un punto concreto por el que empezar. Yo comencé por el mundo del SQL Injection porque sabía mucho de SQL y Bases de datos, pero cada uno ha entrado por un punto diferente. Es lo bonito de esta profesión.
@chema_alonso Aprender hacking. El camino en espiral #hacking #formacion ♬ Hacking Tutorial – Muammar Fitra
Hablé del proceso de seleccionar algoritmos de cifrado en el artículo sobre el Post-Quantum Prepareness Act de los Estados Unidos. Se supone que estos algoritmos han sido auditados y re-auditados por la comunidad de expertos en criptografía, pero… también sabemos que cuando avance la tecnología habrá que crear nuevos algoritmos. Así es este mundo de la criptografía.
Figura 20: Libro de Cifrado de las comunicaciones digitales: de la cifra clásica a RSA 2ª Edición de 0xWord |
Powered by WPeMatico