Aterrizando en “Hack & News”

Tendría que remontarme a 1995, cuando vi la película “Hackers”. Aunque algo “fantástica” y “exagerada” (en aquel momento no me lo parecía), el simple hecho de ver a un grupo de jóvenes “hackeando” el mundo, me fascinaba. Si a ello le unía que en la banda sonora se encontraban canciones de “Prodigy” y “Orbital”, lo convertía en la mezcla perfecta, y ahí empezó a picarme el gusanillo del hacking.

Un par de años después, una revista @rroba cayó en mis manos. Me parecían increíbles sus artículos sobre hacking, en las que explicaban de una manera tan práctica y directa cómo hackear, y lo hacían tan bien que parecía que fuera fácil y todo. Tras la compra de esa primera revista, ya no pude parar de comprarla, hasta que la revista dejó de existir. Una lástima.

Antes de toparme con la revista, mis conocimientos sobre seguridad informática no iban más allá del trasteo con los antivirus y poco más. La verdad es que mi vida profesional en aquel momento (autónomo con una micro tienda de informática) no daba para mucho más. Mi día a día se resumía en montar placas, micros, memoria, discos duros, tarjetas, instalar un Windows y ¡un antivirus! Si, conseguí que mis clientes no se descargaran antivirus de internet con “cracks” para mantener vivas sus licencias hasta 2050. Un gran avance. Ahí terminaba mi aportación a la comunidad de la ciberseguridad.

Es cierto, que un par de años antes de leer la revista por primera vez, ya me había sumergido en algunos canales hacking de #IRC, aunque pasara más horas en canales para intentar ligar, ya que lo que escribían esos “frikis” en los canales de hacking me sonaba todo a chino. Tampoco me fue mucho mejor en los canales para intentar ligar, todo hay que decirlo.

A nivel profesional, mi punto de inflexión se produce allá por 2006, año en la que empecé a trabajar por cuenta ajena en una empresa donde, a diferencia de la gran mayoría de empresas, el 90% del sistema informático estaba soportado por servidores Unix / GNU Linux. A nivel de seguridad, los administradores montábamos nuestras propias consolas de antivirus (clamav), pasarelas de correo y sistemas antispam (amavis, spamassassing, etc).

Incluso a nivel de cortafuegos, los “appliances” eran virtuales, donde instalábamos y configurábamos ipchains e iptables a mano, y la gestión de reglas era una auténtica locura, hasta la aparición de algunas herramientas web que facilitaban el mantenimiento de reglas, como era el caso de “shorewall”. De la noche a la mañana, había cambiado mis ISO de Windows por los CD’s de revistas de Linux y las ISO de Mandrake y Fedora. Vaya descubrimiento.

Sería por la propia naturaleza de estos sistemas operativos o por la gran visibilidad de la actividad y eventos que nos proporcionaba, que empecé a preocuparme por la eficacia de estos mecanismos de seguridad. Fue la primera vez que me planteaba preguntas como, ¿pero realmente estos cortafuegos y antivirus nos están protegiendo de manera eficaz? ¿Cómo podría evaluar la eficacia de estos mecanismos?

Un año después de entrar en aquella empresa comencé a leer sobre un concepto totalmente nuevo para mí, y que todavía, 25 años después, me confunde: “Hacking Ético”, casi nada. Ya existían incluso algunas certificaciones para que profesionalmente pudieras dedicarte a hackear (éticamente) y encima te pagaran por ello. Vi la luz. Empecé a estudiar de forma autodidacta, porque obviamente en aquella época no existía la oferta formativa que tenemos hoy en día sobre esta materia, leyendo muchos blogs y foros especializados. Incluso, llegué a crear mi propio blog en 2009; hacking-etico.com. El blog me “obligaba” semanalmente a publicar un artículo, lo cual me requería estar estudiando e investigando para después poder compartir con la comunidad lo que hubiera compartido. Al fin y al cabo, es la esencia de esta comunidad hacker.

En 2012, junto a un grupo de amigos “frikis”, montamos Hack&Beers, unos eventos en los que nos reuníamos unos grupos de personas interesadas en el hacking mientras tomábamos unas cervezas. Buena mezcla, y lo demuestra que 10 años después, es una comunidad que sigue muy viva y presente en casi 25 provincias de nuestro país.

Profesionalmente, había conseguido dedicarme exclusivamente al mundo de la ciberseguridad, trabajando como analista y auditor, llevando a cabo proyectos de pruebas de intrusión y auditorías. Eso sí, de manera equivocada pensaba que la ciberseguridad empezaba y acababa en lo técnico, en el hacking ético, en los “pentesting”, en el “nmap” o el “metasploit”. Qué equivocado estaba.

Fue en 2016 cuando me topé (afortunadamente) con la realidad de la ciberseguridad. Descubrí que, en este universo de la ciberseguridad, la seguridad ofensiva (hacking ético, pentesting, etc.), es una pequeña parte, muy necesaria, pero es una pequeña parte de la ciberseguridad. Sistemas de Gestión de Seguridad de la Información (SGSI), Normas ISO, Políticas, Análisis de Riesgos y Procesos de Seguridad fueron conceptos que cada vez fueron tomando más peso en mi día a día, hasta hoy.

Me considero un continuo aprendiz, ya que tengo la sensación, y creo que a muchos de vosotros también os pasará, que cuanto más estudio y más aprendo, más cuenta me doy de lo poco que sé. De ahí, que no pare con las formaciones, y ahora estoy muy volcado en los estándares y buenas prácticas de la seguridad de la información. Esta circunstancia también me dio la oportunidad de conocer a una persona que si pensáis en IT y buenas prácticas seguro que se os viene a la cabeza; Don Javier Peris.

Y aquí estoy, y así es como he aterrizado en Hack & News.

Soy Miguel Ángel Arroyo, seré el encargado de llevar ahora esta sección y espero estar a la altura de Alberto Rodríguez, el cual ha hecho un trabajo fantástico dejando el listón muy alto.

¡Nos leemos!