Inicio / Blog / Entrevista a Román Ramírez

Entrevista a Román Ramírez

Publicado el 07/03/2013, por INCIBE
Rooted CON

Coincidiendo con el comienzo hoy de las conferencias Rooted CON 2013 y que se prologaran hasta el sábado 9 de Marzo hemos querido entrevistar a Román Ramírez uno de sus organizadores, y fundador y presidente de la asociación que organiza estas conferencias.

Rooted CON son unas de las conferencias más importantes que se celebran en España a nivel técnico y que tiene como principales señas de identidad, el principio de neutralidad, evitar la censura y promover el conocimiento técnico

 

 

Román Ramírez

Esta es la entrevista que hemos realizado a Román Ramírez

------------------------------------------

 

Cuarto año de RootedCON, uno de los congresos técnicos más importantes en España y con igual o mejor acogida que en ediciones anteriores, ¿Cómo lo afrontáis este año, que destacarías? y desde tu posición de organizador de este congreso ¿cómo ves el panorama de eventos de carácter técnico en España?

 

Personalmente, tanto como profesional de la seguridad como en mi rol de organizador de un evento, echo de menos más eventos. Más eventos y más técnicos y, sobre todo, un mayor apoyo institucional (que hace prácticamente cero).

Hay mucha gente con muy buenas ideas que está lanzando ideas en condiciones paupérrimas. Esta misma gente con un pequeño empujón por parte de la administración (cederles salas, un pequeño apoyo con materiales,…) podría afrontar muchas más actividades y darle mucha visibilidad a sus eventos (y a la Comunidad de la que todos formamos parte).

 

Desde la organización del congreso de RootedCON defendéis y reivindicáis la labor de la comunidad técnica independiente y de investigación en seguridad informática ¿Cómo se perciben por esta comunidad las labores que se realizan desde el ámbito público en materia de seguridad tecnológica?, la labor de las FCSE, iniciativas desde distintos ministerios, etc.

 

Como bien indicáis, más que defender, es que para nosotros en el Congreso es un axioma. Somos muy críticos con las opiniones sesgadas y/o alejadas de la realidad que, en vez de mejorar la seguridad del ecosistema, la reducen generando una falsa sensación de seguridad en los responsables de diversas organizaciones: hay que decir lo que realmente pasa con honradez, de otra manera no estamos hablando de seguridad, sino de complacencia o intereses.

Estamos encantados con lo que nos toca directamente. Desde las colaboraciones con INTECO, el patrocinio de CCN-CERT o la relación tan estrecha que estamos teniendo con la gente de Guardia Civil o Policía (y ahora con la gente de Ejército), observamos que se están tomando muy en serio la seguridad más allá de las abstracciones (más “cajita PowerPoint”) e invierten esfuerzos en tener conocimientos y habilidades técnicas. El tópico tan manido de la “ciberguerra” no se va a resolver con todo el mundo siendo estratega de seguridad; además de hacer excels de riesgos, dibujar procesos y tener certificaciones, alguien tendrá que saber como se usa el Escudo para defender y la Espada para atacar.

Creo que el enfoque que se está siguiendo es el correcto, aunque creo que hay que trabajar mucho más desde las administraciones para hacer ágiles las relaciones con los expertos (los de verdad). Ojo, no hablo de venta de servicios, hablo de verdadera relación de las administraciones con la Comunidad.

 

Además de organizador del congreso RootedCON formas parte de una gran empresa española como responsable de seguridad, con esta doble visión ¿Como de preparadas están las empresas estratégicas españolas ante las nuevas amenazas presentadas por los expertos en congresos como RootedCON?

 

Bueno, opino estrictamente como miembro de la organización de RootedCON y por lo que mi experiencia me ha mostrado a través del Congreso. Creo que todos los que hemos trabajado en la capa técnica alguna vez tenemos claro que la situación, en general, es grave. Y ¿porqué soy tan crudo al decirlo? Porque hemos tenido una tendencia histórica de asumir que la seguridad queda resuelta con abstracciones y controles que (casi) nunca se han aterrizado en el mundo real.

Es alarmante, el número de problemas con un riesgo altísimo que nuestros ponentes en RootedCON han puesto sobre la mesa. Pero es más alarmante aún la tibieza con la que se enfocan estos problemas desde el punto de vista de las organizaciones.

De hecho, me parece terrorífico escuchar a los que se supone que saben cómo funciona este sector utilizar frases tales como “eso es de frikis” o “hay que ser super hacker para…”. Asusta pensar que, muchos de los que toman decisiones estratégicas en materia de seguridad, tienen un conocimiento técnico nulo, ceñido a pintar un control como “Formalizado” y recalcar una y otra vez que la “Probabilidad” es muy baja, de forma que el riesgo mitigado por ese control “mágico” es casi nulo.

¿No estamos viendo todos los días que esos niveles de control no son tales? Esto ya lo comenté en el evento de ENISE (por cierto, enhorabuena, me encantó), pero es que da la impresión de que, sumado a la total ausencia de responsabilidad (sin responsabilidad todo el mundo “va con todo”, es como jugar al poker sin dinero), hay un problema de “gestores” que no entienden (o no quieren entender) lo que gestionan.

 

El informe publicado por Mandiant en febrero causó un gran revuelo entre la comunidad, por un lado por detallar el "modus operandi" del ciberataque y por otro por identificar unívocamente (según Mandiant) al estado que perpetró el ataque. ¿Consideras que este tipo de actuaciones deberían repetirse para conocer los detalles? ¿O por el contrario debería no hacerse pública la información hasta que se resuelva el problema?

 

La eterna pregunta sobre el concepto de Full-Disclosure… Creo firmemente en la exposición completa y sin censura de la información. De forma responsable eso sí, pero sin censura alguna. Todos tenemos que jugar limpio y si encuentras un problema, debes darle la oportunidad al afectado para corregirlo. Y luego publicarlo, por supuesto.

El informe de Mandiant, en concreto, me ha gustado mucho por dos motivos principales: el primero, cómo un grupo de gente con un conocimiento experto técnico elabora semejante informe tan espectacular.

Hay que abandonar esa distancia que existe entre el que entiende de “riesgos” y al que llaman “friki” porque, realmente, es que no existe esa distancia. A mí me apasiona la gestión de riesgos y de la misma forma me apasiona la resolución de problemas técnicos, y de ninguna manera me considero un “friki”: es un término que utiliza el que no entiende de detalles técnicos para tratar de reafirmarse en un estilo de gestión de seguridad obsoleto. El informe de Mandiant creo que deja claro cuál es el perfil deseable que entiende de verdad de estrategia (tanto de gobernanza como técnica) y cómo se deben enfocar este tipo de proyectos.

Por otro lado, el segundo motivo es especialmente importante. Si afrontamos con eufemismos y evasivas problemas tan graves como el espionaje sistematizado, hablaremos de APTs cuando en realidad nos referimos a China, Estados Unidos o Irán, hablaremos de “gestión del riesgo” cuando en realidad queremos decir “evasión de responsabilidades”, hablaremos de ROSI (Retorno de la Inversión en Seguridad) cuando en realidad queremos decir que “esto no lo pago porque no es Producción, es Coste” y un largo etcétera (“la seguridad debe estar alineada con el negocio” y añado yo, “pero no sometida a él”).

Y las consecuencias de todos esos eufemismos es que, de repente, todo el mundo se lleva las manos a la cabeza porque hay agencias de inteligencia que llevan infiltrados en sus sistemas diez años. Me entra la risa, ¿de verdad nadie esperaba esto? ¿Nadie, nadie, nadie? Todos los que estamos en la organización de RootedCON somos especialmente implacables hablando de estas cosas, exponiendo, muchas veces de forma cruda y violenta, que de verdad hay amenazas graves circulando por ahí.

Sí, estamos convencidos de que es muy importante que toda la Comunidad tenga toda la información posible. Sí, creemos que este tipo de informes honrados, claros y directos, sin politización, son imprescindibles. Sí, no es razonable ir barriendo bajo la alfombra los problemas: no desaparecen porque nuestra gráfica de radar diga que “cumplimos”.

Ya, a título personal, me encantaría que saliera el informe “estilo Mandiant” de la situación real de las infraestructuras críticas en nuestro país y en otros como el nuestro.

 

Hace algún tiempo participaste en un programa de TV donde se hablaba de la seguridad informática, el poco conocimiento de parte de la población y la escasa complejidad de algunos ataques, a partir de tu relación con los medios, ¿Cómo ves el tratamiento informativo que percibe el ciudadano de a pie de todas estas cuestiones? ¿Es conveniente asustar o resulta más efectiva la concienciación educativa?

 

La concienciación es una actividad que debe formar parte de toda estrategia de seguridad. PERO tengo mis objeciones a los enfoques que se hacen en esta concienciación.

Repetirle al usuario de la calle que debe tener contraseñas seguras, proteger sus datos, hacer copia de seguridad y no navegar por sitios sospechosos es un MAL ENFOQUE. Desde el momento en que los usuarios perciban que ese tipo de actitudes les causan problemas o son obstáculos para su día a día, las abandonaran u optarán por soluciones “mágicas” depositando toda su confianza en un producto software que “lo hace todo”.

Y creo que los profesionales de seguridad tenemos mucha culpa, puesto que la manera en la que el usuario debe interactuar con la tecnología es teniendo SEGURIDAD TRANSPARENTE, seguridad invisible.

Mi abuela o mi madre no necesitan entender siquiera que deben tener un antivirus o que deben mantener el sistema actualizado; yo no me hago esas preguntas cuando enciendo la luz de mi casa, pero sí me hago preguntas sobre si necesito un aparato que proteja mi ordenador frente a picos de tensión, ¿se ve clara la metáfora?

Dicho todo esto, la única manera de llevar la educación y concienciación a los propios usuarios, es hacerles SENTIR e INTERIORIZAR qué significan los conceptos de seguridad, pero los conceptos realmente importantes y no tratar de vincularles con herramientas o tecnologías que ni quieren ni deben conocer (y menos todavía dominar).

 

De cara a la futura Estrategia Española de Ciberseguridad, ¿Estamos preparados para ataques organizados por grupos de criminales, por países extranjeros? ¿De qué nos debemos defender, ataques a sistemas de control industrial e infraestructuras criticas, infraestructura de telecomunicaciones, aviones no tripulados como se mostro el año pasado en RootedCON?

 

De nuevo opino como organizador de un Congreso de expertos en Seguridad. Creo que, rotundamente, no estamos preparados, pero no para defendernos frente a naciones y organizaciones criminales, es que estoy convencido que cualquier chaval con muchas ganas y una serie de objetivos claros puede generar un desastre.

Como bien citáis, la charla sobre los aviones no tripulados expuso muchos riesgos en aparatos como los Predator o los Reaper pero, además, puso de manifiesto que existen riesgos muy graves en qué materiales de aviación puede o no comprar un civil por Internet, qué configuraciones especiales de seguridad se pueden hacer en el espacio aéreo etc.

¿De verdad pensamos que es necesario tener una organización de expertos en Hacking, Phreaking, Cracking, Vira y Carding (HPCVC) para atacar un país, con muchos medios y…? Absurdo.

En otro evento, tuve el placer de escuchar a Howard A. Schmidt (antiguo responsable de ciberseguridad en EEUU) diciendo claramente que, el término APT no le gustaba porque no pensaba que fueran amenazas avanzadas (más bien, ataques tontos).

Y no puedo estar más de acuerdo, me temo que nadie se ha dado cuenta todavía de que no hemos visto, ni por asomo, lo que es una amenaza avanzada de verdad; si coges una serie de charlas de RootedCON, u otros eventos similares, y las unes con un objetivo e interés, tienes disciplina y capacidad de trabajo, se me ocurren consecuencias muy graves que se pueden generar en diversos contextos.

La verdad es que, en esta edición, las cosas están ya más claras y aparentemente todo está “empaquetado”. Y pesar de todo ello, internamente, tenemos todos la percepción de que seguimos siendo novatos en esto de organizar el Congreso; en todas las ediciones hacemos alguna “pardillada”, en todas salen problemas nuevos.