Yaiza Rubio: «Nos pusimos el gorro de los malos para aprender a identificar sus técnicas»

Yaiza Rubio participó la semana pasada en Laboralia Future Jobs, un evento organizado por el Consello Social de la UDC y en el que esta hacker española impartió junto a Félix Brezo un taller sobre la tecnología blockchain.

-¿Es «hacker» una profesión en alza?

-A día de hoy sí, hay muchos interesados. Lo cierto es que las personas que nos dedicamos a esto, expertos en seguridad informática o hackers, hemos tenido que formarnos solos. No hay una titulación formal universitaria. Hemos tenido que aprender a base de curiosidad, a través de Internet.

-¿Qué formación necesita alguien que quiera dedicarse a ello?

-Lo más común es Informática o Telecomunicaciones. Aunque hemos tenido que aprender a través de libros, con editoriales específicas, porque tampoco había esa especialidad de seguridad. Y no quiero olvidarme de la comunidad informática, que es muy valiosa: le gusta compartir el conocimiento mediante publicaciones y conferencias, o reportando los fallos de seguridad a los fabricantes. Tenemos ese concepto de compartir para que Internet sea más seguro.

-¿Por qué hay menor presencia de mujeres en carreras técnicas?

-El estereotipo no ayuda nada, aunque sea un estereotipo falso, el de esa persona que se dedica a las nuevas tecnologías y que es una persona poco sociable, rara. Pero eso está cambiando. Desde que somos pequeñas, además, el entorno de las niñas no ayuda para que puedan dedicarse a ello y eso surge por este estereotipo. También es una cuestión de formación, debería inculcarse desde edades tempranas el tema de la las nuevas tecnologías, que empiecen a programar sus primeros bots o robots, lo que ellas quieran, que vayan cogiendo confianza con las tecnologías.

-Usted acudió a las dos mayores conferencias de ciberseguridad del mundo (DefCON y Black Hat, en Las Vegas). ¿Cómo son estos eventos?

-Tuve que presentar no uno, sino tres proyectos. Para mí fue bastante duro, porque está en juego tu reputación. Además, al ser otro idioma no transmites igual, por eso fueron unos días en los que no tuve tiempo de salir, ni socializar, ni ver demasiado.

-¿Qué presentó allí?

-Presentamos dos proyectos en el Arsenal de Black Hat, uno un framework en el que hemos estado trabajando desde hace tres años, donde nos dedicamos a hacer una especie de trazabilidad de la identidad de una persona en la Red. Tenemos los procesos muy automatizados y de cara a investigadores es muy útil. Colaboramos con cuerpos de seguridad y, de hecho, la semana pasada vino una mujer que trabaja en los Mossos d’Esquadra y nos dijo: ‘¿Sabéis que hace un mes gracias a vuestro framework conseguimos meter en la cárcel a una persona que estábamos investigando?’. Esas cosas pasan y es muy emocionante. Otro proyecto fue para aportar información sobre páginas web que están suplantando la identidad de marcas en Internet y que se dedican, por ejemplo, a vender productos falsos. En DefCON presentamos cómo hacer un phishing de la forma más anónima posible, nos pusimos el gorro de los malos para aprender a identificar sus técnicas.

-El 2017 fue el año del «ransomware». ¿Cuál será el nuevo tipo de ataque masivo que conocerá el gran público este año?

-Seguirá igual. Ahora, aunque no es un ataque como tal, las fake news están haciendo mucho daño. Los usuarios no somos conscientes de toda la información que circula por la Red y no estamos acostumbrados a evaluar la información que procede de Internet. Es muy fácil generar bulos. Por eso los analistas estamos poniendo foco en las fake news y en cómo combatirlas.

«La red Tor, como toda la tecnología, puede utilizarse para hacer el mal o para el bien»

Los ataques informáticos a todo tipo de compañías han aumentado exponencialmente.

-¿Hay mucha desidia con respecto a la seguridad digital?

-Depende. Las grandes empresas son conscientes de los peligros e invierten mucho en seguridad, sin embargo a las pequeñas y medianas empresas les está costando. Ellas al final consideran la seguridad como un gasto más que como una inversión. Manejan muy poco presupuesto, por lo que es complicado. Aunque es verdad que muchos productos que están saliendo hoy al mercado son cada vez más sencillos y fáciles de implementar en este tipo de empresas, tenemos que crear sistemas sencillos para empresas sencillas.

-Se habla mucho del «blockchain» como una tecnología inviolable. ¿Es así?

-No, el blockchain tiene unas características concretas que se pueden utilizar para seguridad o para cualquier cosa. En el momento que queramos crear una solución que nos aporte trazabilidad, eliminación de intermediarios o que necesitas garantizar cierta transparencia a tus usuarios, sí que podrás utilizar blockchain; pero si no puedes cumplir estos parámetros, a lo mejor no tiene sentido aplicar esta tecnología. De hecho no es el campo por excelencia donde se aplican las cadenas en bloque.

-Hay quien piensa que utilizando la red Tor está más seguro.

-En la actualidad sí, es una red anónima, a día de hoy no se ha considera que esté rota en alguna manera o que sea insegura, todo lo contrario, se puede utilizar con total seguridad. Se ha tratado de criminalizar, ya que ha habido ataques basados en tecnologías de este tipo. Pero también se puede utilizar con muchos fines beneficiosos, como toda tecnología puede utilizarse para hacer el mal o para el bien.

---

---

---