Sh3llcon 2018: El año de la consolidación

Sh3llcon 2018

Para esta cuarta edición del congreso de seguridad informática que se celebra en Santander, nos propusimos realizar un reportaje diferente, con un planteamiento coral que diera cabida a las opiniones de ponentes, organización y público. Allí estuvimos, en el hotel Santemar, entre los días 25 a 27 de enero, para disfrutar de las actividades del congreso y elaborar este reportaje.

Madurez y una jornada adicional

Esta ha sido la cuarta edición del congreso de seguridad informática Sh3llcon y en él se ha evidenciado la madurez a la que ha llegado la propuesta, con un público fiel en la parte profesional que sabe lo que va a encontrar, unas actividades de divulgación general que siguen gozando de buena respuesta y un foro para directivos que se celebra por segundo año y ha vuelto a contar con una buena acogida.

Además, se percibía el aplomo con el que la organización afrontaba el congreso este año, gracias a la experiencia ganada en las tres ediciones anteriores.

Repitiendo planteamiento conceptual y lugar de celebración, la gran apuesta en esta ocasión ha sido la ampliación en el número de jornadas, extendiendo en un día las actividades, dando cabida a dos talleres durante la mañana y cuatro charlas durante la tarde, además de una exposición, con dispositivos “retro” y gafas de realidad virtual, que continuó durante todo el evento.

La programación ha vuelto a cubrir un amplio espectro de ramas y variantes dentro de la seguridad informática. En la parte profesional, han repetido algunos de los ponentes de ediciones anteriores (Pedro Candel, Pedro Sánchez o David Meléndez, entre otros), pero también ha habido nuevos nombres (Iván Eguiguren, José Carlos Gallego o Daniel Echeverri por citar unos ejemplos). Destacando la presencia, por su dimensión mediática y por hacerlo por vía telemática, de Chema Alonso, uno de los fundadores de ElevenPaths y que actualmente desempeña un importante puesto en Telefónica.

Los temas tratados han sido muy diversos, abarcando desde la informática industrial, a los ataques de falsa bandera, desde las carencias de la telefonía móvil a las criptomonedas, por citar algunos de ellos.

En las actividades para un público general, volvió a tener un papel fundamental el divulgador Angelucho y su iniciativa X1Red+Segura, ofreciendo talleres para niños, jóvenes y adultos, que gozaron de gran éxito. También participó María José Montes, una auditora de seguridad vinculada a Hacking Solidario, que ofreció un decálogo de buen comportamiento en la vida virtual.

El número de visitantes, según datos de la organización fue de 150 para la parte profesional, 400 para las actividades de concienciación general y 100 para el foro de directivos.

La organización de la parte profesional y de las actividades de concienciación correspondió a la asociación sin ánimo de lucro Sh3llcon. Y el foro para directivos a la empresa Netkia (que forma parte del grupo Pitma), que es la principal patrocinadora del resto del evento, además de empresa colaboradora y gestora, aportando medios y efectivos muy importantes para el desarrollo del congreso. Otros patrocinadores fueron CS3 Security Services, CCN-Cert, Gobierno de Cantabria, ESET e Innjoo. Además, se contó con la colaboración de 0xWord, Mi Plan Hoy, Securízame, One Hacker, Electro SDR, Ganzuados, ElevenPaths, Peritajes Catalán, INCIBE y CantabriaTIC.

Planteamiento de este reportaje

En años anteriores hemos ofrecido desde CantabriaTIC reportajes que reflejaban el discurrir del evento desde nuestro punto de vista, siempre con una mirada crítica  (constructiva, pero crítica, como debe ser cualquier acercamiento al periodismo).

En esta ocasión nos propusimos abordar el reportaje de una manera diferente y ceder el protagonismo en las opiniones y valoraciones a personas que hubieran participado en el evento, bien como ponentes, como parte de la organización o como asistentes.

Un enfoque diferente, que esperamos que resulte interesante, para el que hemos entrevistado a un buen número de ponentes (era imposible hacerlo con todos y los elegimos intentado abarcar diferentes puntos de vista), dos personas de la organización (el máximo responsable de la parte profesional y una figura clave en el foro para directivos) y dos asistentes en representación de todo el público.

Con este planteamiento y dado que fuimos entrevistando a todas estas personas desde el comienzo del evento (lo que dificultaba, cuando no impedía, dar opiniones concretas sobre esta cuarta edición), el reportaje se ha convertido en una panorámica general de los cuatro años de Sh3llcon, en el contexto de la rápida evolución que el sector de la seguridad informática ha experimentado en España en este periodo.

La conversación que mantuvimos con cada una de estas personas, consistió en un conjunto de preguntas comunes a todas ellas y dos específicas pensando en cada interlocutor en concreto. A partir de todas esas declaraciones recogidas, hemos hecho una selección de frases de sus respuestas.

Las personas que han participado en este reportaje son:

Ponentes:

  • David Meléndez (Ingeniero en Informática, especialista en la manipulación de Drones, trabaja actualmente en Abala Ingenieros).
  • Juan Garrido (Experto en análisis forense y test de intrusión, trabaja actualmente en NCCGroup).
  • Pedro Sánchez (Cuenta con una amplísima experiencia en el sector, incluyendo frecuentes colaboraciones con las fuerzas y cuerpos de seguridad del estado, trabaja actualmente en ITS Securty).
  • Ángel-Pablo Avilés “Angelucho” (Miembro del Grupo de Delitos Telemáticos de la Guardia Civil, cuenta con una destacada actividad como divulgador de la seguridad en Internet)
  • Deepak Daswani (Ingeniero en informática, especializado en tareas de divulgación y concienciación en seguridad, actualmente ejerce como profesional independiente)
  • Josep Albors (Investigador de amenazas y divulgador, actualmente trabaja en ESET).
  • Pedro Candel (Especialista en seguridad ofensiva y con amplia experiencia como formador, es conocido en la comunidad hacker como s4ur0n, recientemente ha impulsado la fundación de la empresa CS3 Security Services).
  • José Carlos Gallego (Ingeniero en Informática, profesor de Formación Profesional y promotor de la Escuela Ciberalisal).
  • Andrés Calvo Medina (Coordinación Unidad de Evaluaciones y Estudios Tecnológicos en la Agencia Española de Protección de Datos).

Organización:

  • Sergio Saiz (Ingeniero Informático, especializado en la administración de sistemas y en seguridad, es el ideólogo de Sh3llcon).
  • María Eugenia Cuenca-Romero (Licenciada en Sociología, es la encargada de relaciones externas del grupo Pitma, al que pertenece Netkia).

Asistentes:

  • Luis Ángel Montoya (Experto en redes sociales y activista tecnológico, actualmente trabaja como profesional independiente especializado en formación).
  • Bruno Di Lorenzo Sainz (Ingeniero en Informática, experto en análisis forense, actualmente trabaja como profesional independiente especializado en asesoría y consultoría para PYMES.

¿Cómo valoras la situación actual de la seguridad informática, como especialidad profesional, en España?

La línea general de las respuestas destaca que hay un conjunto de profesionales de alto nivel en España (“Cada vez tenemos mejor gente, más preparada, más cualificada y profesionalmente está destacando ya no solamente en España, sino en todo el mundo”. Pedro Candel).  Pero que no se reconoce debidamente su valía y que son pocas las empresas dispuestas a pagar lo que merecen (“El problema es que ese talento no se paga como se merece y mucho se va fuera, porque las condiciones laborales en España no son como deberían ser”. Josep Albors), aunque el sector haya tomado popularidad por la aparición en prensa de ciertos casos mediáticos (“A día de hoy hay una especie de ‘hype’ y creo que viene dado por la televisión y los periodistas, que se han encargado de meter mucha noticia, que está bien a nivel de concienciación, pero la parte negativa es que hay empresas que contratan perfiles de gente que no está cualificada”. Juan Garrido).

Resto de respuestas:

David Meléndez: “Es un tema que aunque lleva décadas, en la sociedad no hay conocimiento arraigado. Es un tema que todavía está en pañales”.

Pedro Sánchez: “En España hay muy poca concienciación pero muy buenos profesionales. Podría decir que la valoración de la gente que nos dedicamos a esto, de 0 a 10, yo le daría un 8 tranquilamente”.

Pedro-Pablo Avilés aka Angelucho: “En España hay buenos expertos, buenos hackers. Pero las empresas, sobre todo las pequeñas, todavía no están concienciadas de que necesitan ese personal especializado”.

Deepak Daswani: “Es un sector que está en auge, es tendencia, está de moda. Creo que da muchas oportunidades a la gente, que hay muchísimos perfiles. Las empresas necesitan profesional y se espera más crecimiento. También hay mucha venta de humo”.

Jose Carlos Gallego: “La ciberseguridad está empezando a ocupar un papel importante. Hace no demasiado tiempo la seguridad informática era cosa de unos pocos y las inversiones eran mínimas”.

Andrés Calvo Medina: “Es una disciplina que requiere un alto grado de especialización y a medida que avanza la tecnología, esta especialización es más necesaria y requiere un mayor esfuerzo de los profesionales”.

Sergio Sainz: “Hay un buen nivel técnico, pero no se no valora, no se aprovecha. En pocos sitios se paga el trabajo que realmente hay detrás”.

María Eugenia Cuenca-Romero: “Soy socióloga, pero tengo la fortuna de estar en la mesa de ponentes y coordinar el evento. Y tal como ha dicho uno de los expertos, estamos a un nivel tan alto como Alemania y Francia, eso es positivo”.

Luis Ángel Montoya: “Tenemos mucho nivel en España, pero igual que todo lo que tiene que ver con la informática, ni se valora, ni se paga lo suficiente”.

¿Crees que en los últimos años está cambiando la percepción de la importancia de la seguridad informática en los directivos y personas de responsabilidad en las empresas y administraciones públicas?

De forma mayoritaria resaltan el impacto de WannaCry (“Incidentes como WannaCry ayudaron al aumento de conciencia. No va a ser ni el primero ni el último incidente que veamos. Y cuantos más veamos más concienciados estarán las organizaciones y los directivos“. Deepak Daswani; “Muchos creemos que Wannacry ha sido lo ‘mejor’ que ha pasado en sector. Pudo haber sido mucho peor, pero sirvió de aviso”. Bruno Di Lorenzo Sainz), que ha ayudado en gran manera a despertar el interés en los directivos respecto a la seguridad informática (“Se han estirado muchas orejas y están más preocupados por la seguridad, tanto a niveles bajos como de empresario”. Angel-Pablo Avilés “Angelucho””), si bien aún queda muchísimo por hacer (“Una cosa es lo que se dice y otra lo que se hace”. David Menéndez; “Todavía se considera más un gasto que una inversión o una inversión en calidad, pero cada día hay más preocupación”. Pedro Sánchez) y adicionalmente el nuevo Reglamento Europeo sobre Protección de Datos, con sus sanciones, se espera que sea un elemento enormemente motivador (“Lo que de verdad despertará la conciencia es cuando empiecen a caer las primeras multas en cumplimiento del GLPR. Cuando a la gente le toquen el bolsillo, dirá: a lo mejor tenemos que hacer algo”. Josep Albors).

Resto de respuestas:

Juan Garrido: “La seguridad siempre se ha visto como un gasto. A día de hoy lo que pasa es que la seguridad está dentro del ciclo de vida del servicio o producto. Lo bueno es que las multas de la LOPD son tan grandes que ha día de hoy se ve la seguridad como una inversión”.

Pedro Candel: “La seguridad es incómoda, tiene sus trabas, pero cada vez nos estamos dando cuenta de que es plenamente necesaria”.

José Carlos Gallego: “Se ven empujados por los acontecimientos, como las últimas oleadas de ataques y la implantación del RGPD. No obstante, aún no está asentada la idea de que el gasto en ciberseguridad es, quizás, la inversión más rentable”.

Andrés Calvo Medina: “La implicación en la seguridad de la información por parte de directivos, empresas y Administraciones ha experimentado un impulso considerable en los últimos años”.

Sergio Sáinz: “Sí les importa, pero no saben como manejarlo. Pero siempre ha pasado: alinear la parte técnica y la de gerencia, no siempre es fácil cuando hay una disparidad de visión tan brutal”.

María Eugenia Cuenca-Romero: “Sí. Este foro para directivos y responsables de TI, surge porque vimos que había afluencia y el proyecto era tractor de personas y expertos. La demanda está ahí, hay una necesidad y estamos respondiendo a necesidades reales”.

Luis Ángel Montoya: “No cabe la menor duda de que las amenazas están ahí y ha habido muchos problemas por intrusiones y pérdidas de datos. Los empresarios cada vez están más convencidos de que tienen que tomar medidas”.

¿Cómo consideras que han evolucionado los congresos en los últimos años?

Los entrevistados coinciden en su mayoría en señalar que el número de congresos se ha aumentado considerablemente en los últimos años (“Hubo un boom hace cuatro años, cuando empezamos nosotros”. Sergio Sánz), que el público ha ido creciendo (“Cada vez viene más gente a los congresos, por conocimiento, por acercarse a personas y sobre todo, lo más importante, porque puedes compartir información de primer nivel”. Pedro Sánchez) y se han empezado a abrir a personas no especializadas incorporando nuevas actividades para no profesionales (“Ha habido una evolución en preocuparse también del ciudadano de a pie. De personas ajenas a la seguridad, al hacking, que sin embargo son personas que necesitan que se les forme en materia de ciberseguridad, porque hoy en día cualquiera usamos un dispositivo conectado a Internet”. Ángel-Pablo Avilés “Angelucho”).

Resto de opiniones:

David Meléndez: “La evolución no ha sido una transformación, sino una ampliación. Comunicar es imprescindible ahora mismo en ciberseguridad”.

Juan Garrido: “Se han añadido ciertas áreas que permiten que pueda venir gente que no tiene el bagaje técnico”.

Deepak Daswani: “Hace siete años no teníamos tantos eventos como ahora… se suma gente, cualquier persona que tenga interés por la ciberseguridad, gente del sector TIC, estudiantes… gente que se va sumando porque el sector va creciendo”.

Josep Albors: “Hay muchísima gente que está saliendo, terminando su estudios o incluso empezándolos, que tienen un potencial enorme y este tipo de escaparates es fundamental, no solo para demostrar su conocimiento, sino para crear relaciones y que este tipo de eventos le sirvan de trampolín”.

Pedro Candel: “Estoy viendo cambios. La administración se está acercando a los congresos, los cuerpos y fuerzas de seguridad del estado vienen, participan y están con nosotros. Son simplemente uno más”.

José Carlos Gallego: “Cada vez son más numerosos y de mayor calidad. Como organizador de un evento, que este año se celebrará por segunda vez, soy consciente del esfuerzo que hay que hacer a muchos niveles para organizar algo así”.

 Andrés Calvo Medina: “El interés y la preocupación por la seguridad de la información ha ido en aumento, en gran parte, por la información que nos llega desde los medios de comunicación y por factores de cumplimiento normativo”.

Luis Ángel Montoya: “Creo que han aumentado en cantidad y calidad, porque tenemos mucho nivel en España. El problema es que tienen que acercar al gran público, bajando un poco el nivel. Sino, siempre irá la misma gente”.

Bruno Di Lorenzo Sainz: “Casi todos los congresos han sabido abrirse al público y atraer a los más jóvenes, de quienes siempre depende el futuro”.

En relación a Sh3llcon: ¿Cuál es, desde su punto de vista, el punto fuerte de este congreso?

A los ponentes y asistentes les entusiasma el congreso, destacando el trato que proporciona la organización y la cercanía entre asistentes y ponentes (“La organización es impresionante, el calor de la gente, gente que le gusta, que quiere aprender y compartir. Eso te da energía”. Juan Garrido), también la variedad de su contenido (“No solamente es un congreso para gente especializada en seguridad informática, también, abarca empresarios, institutos, chavales pequeños. Ese perfil mixto hacen que este congreso sea algo a imitar por otro congresos, no solo de España sino también del extranjero”. Josep Arbols). Factores que no son casualidad, porque los organizadores también los destacan como puntos fuertes y reconocen que son buscados intencionadamente (“Fomentamos la cercanía de  los ponentes y los oyentes. También intentamos traer las mejores charlas posibles. Y una cosa que siempre ha salido bien, son las charlas para niños, adolescentes y para padres”. Sergio Saiz).

Resto de opiniones:

– David Meléndez: “El amplio abanico. Vengas a lo que vengas vas a salir satisfecho en cuanto a contenido, porque hay de todo”.

– Pedro Sánchez: “Sh3llcon es original, amigable, familiar y eso te abre muchas puestas. Tiene unas temáticas que no suelen contarse en otros eventos y eso es muy importante”.

– Ángel-Pablo Avilés “Angelucho”: “La cercanía tanto de asistentes, conferenciantes… la magia que tiene para convocar a los adultos, para atraer a la gente”.

– Deepak Daswani: “Es un evento donde apetece estar, porque se respira buen ambiente, hay mucha profesionalidad, mucho colegueo, mucho networking. Me gusta mucho la organización, el mimo con el que cuidan cada detalle. Es uno de los mejores eventos”.

– Pedro Candel: “La gente, el trato que tenéis en Santander. Que es cercano, llano, humilde y que nos acoge mejor que en nuestra casa. Y no es peloteo, es verdad”.

– José Carlos Gallego: “La principal fortaleza que tiene Sh3llcon es contar con la plantilla de ponentes que asiste regularmente”.

– Andrés Calvo Medina: “Quizás se la promoción del valor de la seguridad y la colaboración de los agentes implicados, el punto fuerte de este congreso”.

– María Eugenia Cuenca-Romero: “En este congreso el punto fuerte es la calidad del ponente. Y otro punto fuerte es que Santander es una ciudad pequeña y hacemos una acogida cálida. Hacemos que 30 ponentes se sientan como en casa y si ellos están bien, hace que el congreso fluya de otra manera”.

– Luis Ángel Montoya: “Ha ido aumentado en calidad todos los años. Y que pongan talleres de concienciación para padres y empresarios, es un punto que suma”.

– Bruno Di Lorenzo Sainz: “Proximidad, no solo la geográfica, sino con los asistentes, con los que se tiene un trato muy personal y cercano. La evolución hacia los talleres hace que cada vez más gente se anime a ‘ensuciarse las manos’”.

 ¿En qué aspectos debe mejorar Sh3llcon? ¿Tiene algún punto débil?

Si para valorar lo positivo del congreso todos los entrevistados tuvieron facilidad para responder y ponentes y asistentes destacaron con soltura varios aspectos, esta pregunta dejó sin apenas respuesta a la mayoría (“De momento yo no le he visto absolutamente ninguna pega”. Pedro Candel) y los que respondieron lo hicieron sobre aspectos complementarios no achacables directamente al congreso en sí (“Creo que tiene una evolución en aumento y el defecto tal vez… el poder de convocatoria, que debería estar superlleno de asistentes, más si cabe. Pero por poner un pero, pues para mi es genial”. Ángel-Pablo Avilés “Angelucho”). Interesante y diferente resultó la respuesta de José Carlos Gallego, por sus circunstancias profesionales particulares (“Como profesor y tutor, el handicap con el que nos hemos encontrado es el precio de las entradas. Aún contando con un descuento para grupos, el precio no es asumible para jóvenes estudiantes. Quizás sería interesante plantear algún tipo de bonificación para este colectivo”). Significativa fue la respuesta de Andrés Calvo Medina, aunque sea una consideración que solo afecta al foro de directivos, pues en el resto de las actividad la interacción entre público y ponentes sí es fluida (“Aunque en la sesión a la que fui invitado se intentó que hubiera interacción con el público, fue muy reducida. Tal vez sería necesario buscar algún mecanismo que ayudara a la participación del público”). También hay que resaltar la alusión de Sergio Saiz a la reducción de la bolsa de bienvenida a la que se vieron obligados, por parte de la organización, para poder afrontar la ampliación en una jornada (“Siempre hay cosas que se quedan en tintero. Este año por ejemplo apostamos por ampliar a 3 días, en contrapartida no hemos podido dar la bolsa de bienvenida lo llena que a nosotros nos gustaría”).

Nota: Ciertamente la bolsa de este año ha sido más exigua que la de ediciones anteriores. Y aunque es agradable recibir unos bonitos recuerdos y por ejemplo la camiseta del año pasado fue chulísima, el poder asistir a dos talleres y cuatro ponencias adicionales, creo que compensa de largo esos posibles regalos.

Resto de respuestas:

David Meléndez: “En general la sensación es buena y creo que deberían seguir en esa línea”.

Juan Garrido: “No sabría decirte. Sí te podría decir que el punto débil que le veo al país es que hay muchos congresos y conferencias. Debería haber menos conferencias o más conferenciantes”.

Pedro Sánchez: “Sinceramente, no te podría decir… es que estoy muy bien atendido, no tengo queja”.

 Deepak Daswani: “Siempre hay margen de mejora, pero ahora tampoco se me ocurre nada que añadir. Hombre… cuanto más llegada se pueda tener mejor, pero eso depende de muchos factores… Pero por decir algo, porque es un evento bastante top, al que pocas cosas se le pueden criticar y mejorar”.

Josep Albors: “Siempre se dice que se puede mejorar, pero en Sh3llcon es difícil. No sé… a lo mejor hay que ir pensando en buscar un sitio más grande para futuras ediciones, porque el éxito supondrá que haya más inscritos. A medio plazo, se van a tener que reconsiderar la ubicación”.

María Eugenia Cuenca-Romero: “Por mejorar, seguramente la divulgación del mismo. Nos gustaría llegar a más, vincularnos de otras formas, en otros canales, otros formatos, para que esto llegue a más. Sería maravilloso poder llegar a cubrir todos los niños y niñas, que supieran la problemática que es tener un smartphone. Y hacer todo esto con padres y madres”.

Luis Ángel Montoya: “No es un punto débil, pero sí que deberían tener en cuenta al público que tiene menos conocimientos”.

¿Cómo piensas que debería evolucionar el congreso en los próximos años?

El punto común de todos los entrevistados es que el congreso ya está muy bien (“Yo lo veo perfecto conforme está”. Pedro Candel) y que progresa por el buen camino (“El contenido ya es original. Va por una línea buena”. Juan Garrido). Aún así, han aflorado algunas buenas ideas que podrían ser aprovechadas por la organización (“Hay gente que demanda streaming en directo. La internacionalización, sé que Santander es una ciudad muy conectada con Francia, a lo mejor fomentarlo con charlas e invitados de ese lado de la frontera. Atraer tanto talento, como gente interesada en atraer talento. Son puntos de mejora sobre algo que ya está bien”. Josep Albors) y potenciar los talleres el algo en lo que también han coincidido varias personas (“Se podrían hacer talles especializados, para que no sean repetitivos cada año. Hacer un nivel de especialización, de cosas que no se suelan hacer en otros congresos, como un taller de móviles o de forense de dispositivos industriales, que es algo que no está en el mercado y sería una cosa muy diferenciadora”. Pedro Sánchez).

Resto de respuestas:

David Meléndez: “Deberían conservar e incluso ampliar tema talleres, que está muy demandado. Creo que lo deberían potenciar aún más”.

Ángel-Pablo Avilés “Angelucho”: “En estos años han ido evolucionando. Los asistentes pedían más horas formativas y menos ponencias. Lo que han hecho es aumentar el tiempo del congreso, entonces todos contentos. Hay ponencias y talleres de todos los colores. Poco a poco van incluyendo más cosas. Pues el año que viene a lo mejor hacer un taller de programación con Scratch o Python para niños, ahí lo dejo”.

Deepak Daswani: “En un congreso que tiene un CTF, que tiene ponencias, talleres, un foro para empresarios, en el que se respira buen ambiente. Lo veo bastante bien, poca cosa que añadir. Básicamente ir creciendo en materia de asistentes todo lo que se pueda…”.

Jose Carlos Gallego: “Creo que el planteamiento del congreso es muy bueno. Se podría pensar en organizar las ponencias de manera que no fueran temas repetidos con otras CON, que cualquier persona pueda verlas en YouTube o invitar  nuevas promesas”.

Andrés Clavo Medina: “Ha sido mi primera participación y únicamente he echado de menos una mayor participación del publico en la sesión en la que he sido ponente”.

Sergio Saiz: “Estamos apostando por la diversidad, porque haya varias actividades paralelas, que la gente tenga donde elegir y no repetir las mismas cosas año tras año. Que cada año tenga una pequeña vuelta de tuerca”.

María Eugenia Cuenca-Romero: “Somos muchas las personas que hemos asumido trabajar en equipo para tener un congreso de calidad y cumplir con las expectativas. ¡Nos alegra el resultado y tenemos como meta para el 2019 llegar a más! Con los niños y niñas habrá que pensar en ampliar días. Divulgaremos el foro de directivos desde diciembre. Y en el caso del taller para padres, madres y educadores que imparte Angelucho ya tenemos peticiones de radios para una mayor difusión. Queremos llegar a todas las esferas, con el objetivo de seguir siendo el foro de  ciberseguridad referente del norte de España”.

Luis Ángel Montoya: “La idea de los talleres abiertos es muy buena. Creo que darla mucha más publicidad y potenciarla. Y las Administraciones tienen que apoyarlo, sobre todo los de información y de concienciación para padres y empresarios”.

Bruno Di Lorenzo Sainz: “Más talleres, más repercusión mediática y más público”.

Preguntas para cada participante en el reportaje

Ponentes


David MeléndezDavid Meléndez (Ingeniero en Informática, especialista en la manipulación de Drones, trabaja actualmente en Albalá Ingenieros).

¿En qué proyectos de investigación estás actualmente trabajando?

 El que he abordado en esta conferencia es un tema tangencial (“La ciberseguridad tiene un problema. Y no, no es la falta de talentto”). Digamos que este formato de charla no es el mío, más filosófica que técnica. En lo próximo no me voy alejar de mi temática habitual. Hasta aquí puedo leer…

¿Cómo crees que se adquiere más conocimiento útil para la seguridad informática: estudiando o “cacharreando”?

Todo influye, porque una cosa lleva a la otra. Si yo no hubiera ido a la Universidad, no tendría los conocimientos mínimos para abordar tantísimas disciplinas diferentes con la misma confianza. En robótica hay que saber acerca de muchas cosas.


Juan Garrido (Experto en análisis forense y test de intrusión, trabaja actualmente en NCCGroup).

¿Vives de Azure y de tus investigaciones en seguridad o haces esta labor por pura inquietud personal?

Cincuenta-cincuenta. Me paga mi empresa y aparte de Microsoft recibo una serie de beneficios, pues me da acceso a la plataforma completa, que no la tiene mucha gente.

¿Crees que en el corto plazo “la nube” se impondrá definitivamente?

La nube es algo que se ha impuesto. Cuando hace siete años se hablaba de la nube, nadie quería. A día de hoy está muy normalizado. Ya ha venido y tenemos que convivir con esa tecnología. A día de hoy la nube ofrece cosas que no te ofrecer tener un servidor tuyo…. Por muy grande que tengas tu servidor, no vas a poder competir con la capacidad de cómputo de la nube.


Pedro Sánchez (Cuenta con una amplísima experiencia en el sector, incluyendo frecuentes colaboraciones con las fuerzas y cuerpos de seguridad del estado, trabaja actualmente en ITS Securtiy).

Siendo un profesional tan demandado y que tendrá que hacer muchos esfuerzos para decidir en qué inviertes tu tiempo… ¿Qué te motiva a participar en congresos de la comunidad cómo éste?

Yo debo un favor a la comunidad. No nací aprendido, evidentemente. Todo estaba en Internet, porque había gente que colaboraba de forma altruista, que me enseñaba, que cuando iba a congreso me decía: “espérate, que cuando acabe yo te explico como funciona esto”. Y se lo quiero devolver a la gente que lo necesite. Me gusta el concepto de compartir.

¿Qué es lo que más te gusta de tu especialidad profesional?

Mi especialidad es la investigación, la respuesta a incidentes. Cuando tengo un problema y me llaman, como puedo gestionar esa crisis, no solo la parte técnica, sino que hay personas. Y luego llevar a cabo una investigación para llegar a una conclusión, a mí me encanta. También me gustan esas ideas locas, que he visto ha muchas empresas con problemas, cómo puedo hacer i + d, qué productos desarrollar y que no tengan ese problema a día de hoy.


Ángel-Pablo Avilés “Angelucho” (Miembro del Grupo de Delitos Telemáticos de la Guardia Civil, cuenta con una destacada actividad como divulgador de la seguridad en Internet)

¿Cuál es tu motivación para emplear tanto tiempo y esfuerzo en la labor de divulgación que haces?

Cuando empecé a difundir esto veía muchas lagunas. Comencé con mi padre, lo que yo llamaba ciberabuelos. Y no me veían preparado hablar a un niño. Pero fue surgiendo poco a poco. Mi hijo, que es un amante de la música, hizo una primera canción y vimos que si hablabas a los pequeños en su idioma se te acercaban. A partir de ahí vi que funcionaba, que los chavales se acercaban, que incluso contaban sus problemas. Y hasta hoy.

¿Cuál es el estado profesional de la seguridad informática en la Guardia Civil?

En la Guardia Civil llevamos ya, en concreto el Departamento de Delitos Telemáticos, 21 años trabajando. Actividades delictivas que se trataban en sus inicios, hoy ya no se hacen desde la unidad central, ya hay unidades territoriales que son capaces de hacer esas investigaciones.  Que cada vez son más complejas y nos tenemos que adaptar a lo que la red nos da.

Sinceramente estamos avanzando mucho y se nos va dotando de cada vez más tecnología. Pero necesitamos más todavía y ampliar más la plantilla y los medios materiales.  Pero creo que vamos por buen camino.


Deepak Daswani Deepak Daswani (Ingeniero en informática, especializado en tareas de divulgación y concienciación en seguridad, actualmente ejerce como profesional independiente)

¿Qué es lo que más te gusta de tu especialidad profesional?

Disfruto con el hacking y la seguridad a alto nivel, me encanta dar conferencias, conocer gente nueva, poder aportar a la gente… Y a nivel técnico es un campo donde siempre hay margen de mejora, siempre hay cosas que aprender y cada vez te enfrentas a algo nuevo y si eres capaz de superar y conseguir eso que parece imposible, tienes una sensación indescriptible. Cada día es diferente y el año pasa volando.

Para la siguientes generaciones que quieran iniciarse en la seguridad informática… ¿mejor autoformarse o que exista formación reglada?

Yo aconsejo tener la base sólida que da la ingeniería informática.  Creo que esto irá evolucionando y que saldrán itinerarios específicos de ciberseguridad. Pero no creo que haya que crear un itinerario específico quitando esas materias, porque son fundamentales. Se lo podemos poner fácil, pero la gente que quiera dedicarse a esto tiene que tener un interés por autoformarse continuamente. Nunca va a ser suficiente con lo que te den en la Universidad. Van a tener que seguir aprendiendo a lo largo de toda su vida profesional.


Josep Albors (Investigador de amenazas y divulgador, actualmente trabaja en ESET).

¿En qué nuevos proyectos estás trabajando?

Hay varios frentes abiertos, a parte de lo que es concienciación, charlas, colaborando con iniciativas como X1Red+Segura de Angelucho, formación, educación…

En la parte de investigación estamos desde hace unos meses incluyendo análisis de inteligencia a través de sensores y sistemas que tenemos montados desde hace años. Esto nos permite detectar amenazas que sean destacables por algún punto concreto, porque estén bien elaboradas y supongan un reto a la hora de detectarlas, que tengan objetivos muy enfocados a un sector en concreto o a empresas o usuarios que estén ubicados en España.

¿Qué opinas de la posible creación de un cuerpo de “reservistas en ciberseguridad” en España?

Antes de hablar de ciber-reserva, primero apoyaría a las fuerzas y cuerpos de seguridad del estado que ya existen. Dotarles de recursos que les hacen mucha falta y luego ya se pueden complementar con reservistas. Pero montarlo bien, chequeando los conocimientos de cada uno, que no entre ningún infiltrado y sobre todo premiando de alguna manera a esos voluntarios, aunque no sea con dinero. Pero es algo que va para medio o largo plazo.


Pedro Candel (Especialista en seguridad ofensiva y con amplia experiencia como formador, es conocido en la comunidad hacker como s4ur0n, recientemente ha impulsado la fundación de la empresa CS3 Security Services).

Formas  parte del equipo de fundadores de una empresa muy reciente especializada en seguridad informática, CS 3 Security Services. ¿Esto suponer que ha dejado atrás tu larga etapa con Deloitte?

Hemos cerrado relaciones con las consultoras y ahora estamos trabajando de forma independiente. Somos gente muy conocida, que llevamos años en el sector, que nos gusta nuestro trabajo, lo amamos y es lo que nos gusta hacer.

La idea era antigua, pero es algo completamente nuevo. Y hemos aprovechado Sh3llcon para lanzarlo.

¿Cuáles son tus próximos proyectos de investigación?

Tenemos pensado un gran proyecto hablando precisamente de los sistemas SCADA. Afecta a sistemas muy, muy críticos. Y hasta ahí puedo contar…


José Carlos Gallego (Ingeniero en Informática, profesor de Formación Profesional y promotor de la Escuela Ciberalisal).

Dado que desarrollas una iniciativa muy interesante, que es Ciberalisal. ¿Ves un interés creciente en los estudiantes de vuestro centro por la materia tras conseguir los logros que habéis ido alcanzando?

Desde luego. Los logros que hemos ido cosechando son el fruto de un trabajo que venimos haciendo desde hace ya un par de años.  Además del interés creciente de nuestros propios alumnos, hay cada vez más centros en Cantabria que se están interesando por nuestro proyecto Cibermentores y también centros de toda España que quieren replicar la Escuela Cibersalisal.

¿Confías que en Cantabria, en unos pocos años, haya una demanda del mercado suficiente para acoger a los profesionales que forme en esta materia tanto la Formación Profesional como la Universidad?

Creo que la figura de profesional en cibeseguridad va a acabar siendo necesaria en cualquier empresa que utilice tecnología. Está claro que Cantabria no destaca por tener un tejido productivo amplio en este campo, pero creo que quien se forma para una profesión no debería acotar sus posibilidades a las empresas que tengan a una par de calles de su casa.

Considero que ahora estamos en un momento muy importante y que le toca al estamento educativo tomar la iniciativa. Esperemos que en un tiempo razonable podamos contar en la oferta de FP con estudios especializados en ciberseguridad.


Andrés Calvo Medina (Coordinación Unidad de Evaluaciones y Estudios Tecnológicos en la Agencia Española de Protección de Datos).

Sh3llcon es un congreso que nació de la comunidad hacker, aunque actualmente integre un foro para Directivos, promovido por la empresa Netkia. En este congreso ha participado usted este año y en ocasiones anteriores otras personas de la AGPD, incluida su Directora, Mar España. ¿Era imaginable hace 10 o 15 años que la AGPD participase en eventos organizados por la comunidad hacker? ¿Hay abiertas líneas de colaboración entre la AGPD y la comunidad hacker?

Aunque no existe, como tal, una línea de colaboración con la comunidad hacker, disponemos en la AEPD de un plan estratégico entre cuyos objetivos se encuentra la tarea de llevar a cabo una transformación de la misma durante el periodo 2015-2019, las actividades en las que habitualmente participamos son una respuesta a este proceso de cambio impulsado por Doña Mar España, Directora actual de esta Agencia. Es evidente que, con respecto a nuestro pasado, estamos haciendo un esfuerzo mayor para contribuir con la protección de datos a los cambios tecnológicos, económicos y sociales de nuestro país.

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, conocido como RGPD, es uno de los grandes retos para la protección de los datos de carácter personal en toda Europa para los próximos años. ¿Cuáles cree usted que son los factores fundamentales para este reglamente se implante y se cumpla en España con éxito en sus primeros 5 años de vigencia?

Desde la AEPD entendemos que la clave para el éxito en este reto es la colaboración entre los responsables y la Autoridad de Control. En este sentido estamos intentando dotar a las empresas de herramientas y materiales que ayuden, en especial, a los pequeños empresarios que son el colectivo que más dificultades puede llegar a tener para alcanzar este objetivo con éxito.


Organizadores


Sergio Saiz (Ingeniero Informático, especializado en la administración de sistemas y en seguridad, es el ideólogo de Sh3llcon).

¿Cuándo se gestó la idea de Sh3llcon pensabas que llegaría hasta donde lo ha llegado?

No, no sabía que iba a ser así. Surgió hablando con mi mujer en casa. Cuando estuve trabajando en Madrid y me vine a Cantabria, le dije que no había nada de seguridad aquí y me preguntó “¿Qué hay que hacer para montar un congreso?” Si yo fui el depósito de gasolina ella fue la chispa. A medida que fui tirando del hilo, preguntando a gente y luego vimos que la gente se apuntaba, compraba la entrada, que preguntaba y una vez que estuvimos aquí dijimos… “¿Qué hemos hecho? La hemos liado”. Hay que tomárselo en serio, la gente paga una entrada y obviamente tienes que responder.

¿Cómo te gustaría que fuera el congreso dentro de 5 años?

Me gustaría que viene mucha más gente, que hubiese talleres de todo tipo. Sobre todo que haya un espacio en el que te sientes en un equipo y puedas cacharrear. Que tengas una persona experta que te pueda guiar. Que haya charlas como las que hemos tenido. Pero sobre todo me imagino muchísima más gente.


María Eugenia Cuenca-Romero (Licenciada en Sociología, es la encargada de relaciones externas del grupo Pitma, al que pertenece Netkia).

¿Cómo de difícil resulta contactar con los directivos y atraerlos al foro? ¿Este segundo año se ha notado una diferencia?

El esfuerzo grande siempre se hace la primera vez. En la segunda el efecto tractor de la primera hace que el asistente de la primera repita y tienes que avanzar. Y sí se da el efecto bola de nieve, siempre que mantengas la calidad.

Nos han felicitado, este segundo foro ha gustado más que el anterior. Así que sabemos que de cara al tercer foro tenemos que traer ponentes que aborden el tema de forma tan poliédrica como se ha hecho este año.

Para Netkia, ser el principal patrocinador de la parte profesional del congreso y organizar el foro para directivos… ¿le está aportando un retorno empresarial?

Netkia desarrolla su actividad fundamentalmente fuera de Cantabria, en Madrid, y esto nos sirve para que nos conozcan empresas y surjan oportunidades. Es una manera de hacer marca, de hacer reputación. Estamos haciendo “branding” y se está conociendo Netkia gracias a este foro y gracias a este congreso.


Asistentes


Luis Ángel Montoya (Experto en redes sociales y activista tecnológico, actualmente trabaja como profesional independiente especializado en formación).

¿Crees que existe una buena gestión de la seguridad y la privacidad en las redes sociales más populares como Facebook, Instagram o Linkedin?

Para nada. Estamos regalando datos a diestro y siniestro en todas las redes sociales. Los adultos comenten muchos errores a nivel de privacidad. En los menores es exagerado. Hay que enseñarles un uso responsable de las redes sociales.

¿Cómo crees que podrían ayudar las redes sociales a aumentar la difusión y popularidad de Sh3llcon?

Hay que potenciar las cosas que se hacen aquí. Tenemos la idea de menospreciarnos y Sh3llcon es un ejemplo de que se pueden hacer cosas muy potentes.

El problema de todo este tipo de congresos es que no llegan al gran público y eso igual se consigue bajando un poco el nivel. Y desde luego con una difusión por redes sociales. La gente que tiene que venir a estos congresos está en las redes sociales y hay que decirles que esto existe.


Bruno Di Lorenzo Sainz (Ingeniero en Informática, experto en análisis forense, actualmente trabaja como profesional independiente especializado en asesoría y consultoría para PYMES.

¿Cuál es el estado de la especialidad del peritaje informático en Cantabria?

Desde la creación de las listas de Peritos Informáticos gestionadas por los Colegios Profesionales, la cantidad de solicitudes tanto de parte como judiciales ha crecido todos los años.

Es importante destacar que la realización de informes periciales conlleva responsabilidad penal, civil y disciplinaria, muy a tener en cuanta cuando entras en este sector.

Desde los Colegios Profesionales en Informática confiamos en seguir creciendo, aprendiendo y compartiendo todo este conocimiento.

¿Cómo pueden los nuevos ingenieros en informática iniciarse en el campo del peritaje informático?

Lo primero que deben hacer es visitar nuestra web: IngenierosInformaticaCantabria.com

Desde AINITICAN (Asociación de Ingeniero Informáticos e Ingenieros Técnicos en Informática de Cantabria), así como desde los respectivos Colegios Profesionales, hemos organizado varios cursos formativos en los últimos años.

Con la creciente demanda, queremos aumentar la oferta de cursos y charlas, así como crear una lista de correo en la que podamos compartir conocimientos y aprender todos de las experiencias con las que nos encontramos.


Chema Alonso: Encuentro con el hacker más mediático

La guinda a la edición de Sh3llcon de 2018 fue la participación de Chema Alonso, el profesional del sector de la seguridad informática en España más popular y que ha aparecido en multitud de ocasiones en los medios de comunicación.

Actualmente Chema Alonso es Chief Data Officer en Telefónica, dirigiendo varias importantes líneas de negocio de la compañía, incluyendo su proyecto ElevenPaths. Además, dada su popularidad, es invitado continuamente a medios de comunicación, charlas y congresos, lo que le ha obligado a tener que rechazar la mayoría de las invitaciones y a optar en muchos casos, cuando acepta, por hacerlo telemáticamente. Así fue su participación en Sh3llcon. El sábado por la mañana Sergio Sáiz, director del congreso, le hizo una extensa entrevista por videoconferencia, en la que se repasó su trayectoria profesional. También se dio opción para que los asistentes le hicieran preguntas, momento que CantabriaTIC aprovechó para lanzarle dos cuestiones cuyas respuestas resumimos a continuación:

¿Cómo valoras la proyección mediática que tienes, sus aspectos positivos y los posibles sin sabores que supone?

Tiene cosas muy bonitas, porque la gente te devuelve muchísimo cariño.  Y luego tiene otras cosas que no son nada bonitas. Lo que pasó con WannaCry. Todos sabéis que me atacaron a mi y el “chief” que estaba allí me decía, no pasa nada Chema, esto lo sacamos adelante. Pues no pasa nada… yo me lo como. Y lo cierto, es que desde que entré en el comité ejecutivo de Telefónica, ya intento no salir demasiado. Porque me distrae.

Yo diría que la popularidad me ha venido muy bien, me ha ayudado mucho en los primeros años, sobre todo a tener mi pequeña empresa, Informática 64, que hacía que nos conocieran más. Y hay momentos que son muy bonitos con la gente y momentos que no te vienen tan bien, pero los tienes que sobrellevar. Eso lo que hay.

Tienes una vertiente técnica. Tus charlas son muy demandadas. A ElevenPaths le tendrás que dedicar mucho tiempo. Y también desempeñas un puesto, que al menos desde fuera, parece muy importante en Telefónica. ¿Cómo distribuyes tu tiempo? ¿Cuál es tu función en Telefónica?

El puesto que tengo sí, es bastante importante. Yo nunca me hubiera imaginado llegar aquí. Soy el Chief Data Office de Telefónica, es un puesto que llevo con orgullo y con responsabilidad. Llevo 4 áreas de responsabilidad: ElevenPaths que es el negocio de ciberseguridad, LUCA que es el negocio de big data, AURA que es la inteligencia artificial que estamos construyendo y la parte de “transformer” que es la estrategia interna de transformación digital. Tengo unas 600 o 700 personas a mi cargo y mi trabajo es tomar decisiones arriba y tomar decisiones abajo, en la parte técnica.

Y en la gestión del tiempo, intento ser muy cuidadoso con quien me reúno, intento reducir viajes, intento decir que no muy rápido si algo no lo voy a hacer. Y si algo lo quiero hacer, hacerlo rápido y no dejarlo para atrás. Tengo un manual de pequeños trucos.

Fiesta de despedida

La organización tuvo a bien organizar e invitar a los ponentes y asistentes a una fiesta de fin de congreso, que se celebró en el pub Opium, en el centro de Santander, y que consistió en un “catering” de bocadillitos y pinchos variados, además de un concierto del grupo musical ADN.

Asistieron unas 50 personas, entre las que primaban ponentes y miembros de la organización, aunque no faltó cierto número de asistentes. Hubo muy buen ambiente y mucha interacción entre todos ellos.

ADN es una banda cántabra de rock fundada en el año 2009  y que en la actualidad cuenta con cuatro álbumes publicados. En ella milita como guitarrista Sergio Saiz, el director del congreso.

El concierto duró entorno a hora y media, repasaron una parte significativa de su repertorio, con especial atención a su larga duración más reciente, “Punta de partida”. Sonaron temas como “El último viajero”, “Mala vida”, “Diciembre”, “La tormenta perfecta”, “Venas de alquitrán” y un clásico de su repertorio, “Whisky y cocacola”, con los que hicieron vibrar a los asistentes.

Un buen colofón, muy original, para una edición del congreso.

Balance y conclusiones

Atendiendo al amplio abanico de puntos de vista que hemos recogido en este reportaje, tanto esta cuarta edición como el conjunto del congreso desde sus inicios, puede catalogarse de gran éxito, sin paliativos.

Ninguno de los entrevistados ha señalado carencias a solventar, aunque sí han identificado algunos aspectos que pueden servir para dar una nueva vuelta de tuerca y mejorar la iniciativa, entre los que destacar las idea aportadas por Jose Carlos Gallego y Josel Albors.

Jose Carlos Gallego apuntaba a facilitar la asistencia al congreso a estudiantes que se inician en este campo y que tienen dificultades para afrontar el precio de la entrada. Tal vez se podrían organizar talleres específicos para este tipo de público, o un programa de becas para alumnos excepcionalmente brillantes o bien un concurso previo que permitiese acceder a las actividades profesionales a cierto número de estudiantes.

Por su parte, Josep Albors señalaba lo enriquecedor que sería internacionalizar el congreso, aprovechando el flujo ya existente de personas que desde Francia vienen a visitar Santander y, añadimos desde CantabriaTIC, sacando partido a la comunicación vía Ferri con Gran Bretaña.

A partir de aquí, el congreso puede crecer en número de asistentes, por el tirón que el mismo público hará sobre nuevas personas potencialmente interesadas y por la labor de difusión que la propia organización ya tiene claro que intensificará desde la próxima edición.

La evolución en cuanto a planteamientos y contenidos ya está definida, o al menos esbozada con claridad, por la organización, aprendiendo del propio desarrollo de las distintas actividades durante estos cuatro años y confiamos en que algunas de las ideas que los participantes en este reportaje han dado les resulten útiles.

En definitiva, ha merecido la pena asistir a estas cuatro ediciones y todo apunta a que la quinta será aún mejor que las precedentes.

Reportaje por Florián Manuel Pérez Sáchez. Fotos por Florián Manuel Pérez Sánchez, Patxi Herrán Gómez, Tomás Sierra (ADN), Netkia (Verónica Román, DG de Netkia) y Professional Hosting (Luis Ángel Montoya “Monty”). Este reportaje ha sido posible por la amable contribución de todos los participantes y la colaboración del equipo de organización del congreso Sh3llcon y el Foro para Directores Generales y Directivos de IT.

 

Post By Florián Manuel Pérez Sánchez (58 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

, ,

No comments yet.

Deja un comentario

Leave your opinion here. Please be nice. Your Email address will be kept private.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Translate »