Entrevista a Lorenzo Martínez de Security by Default

Buenos días lectores,

Hoy en la comunidad DragonJAR tenemos una sorpresa, y es que Lorenzo Martínez, uno de los editores de Security by Default  ha dejado que le hagamos una pequeña entrevista.
De los que conocen a Lorenzo te pueden decir que es un crack, un profesional que está al día en ámbito de seguridad, que ha tocado e implementado soluciones de seguridad de muchísimos fabricantes, que le gusta trastear con cualquier dispositivo de hardware que llega a sus manos para que se adapte para lo que exactamente el necesita. Lorenzo, como ya he comentado, es uno de los editores de Security by Default, blog de seguridad en habla hispana muy recomendado.

Lorenzo Martinez

Es ingeniero en Informática, licenciado por la Universidad de Deusto (1996-2001). Especializado en seguridad informática, cuenta con certificaciones de seguridad como CISSP de ISC2 y CISA de ISACA.

Lorenzo, este año además, se estrena en la RootedCon como ponente, con su charla "Welcome to your secure /home $user". Asimismo expondrá dicha charla, a finales de Marzo, en el Congreso ACK Security Conference en Manizales (Colombia), donde además nos sorprenderá con un taller titulado "BUENAS PRÁCTICAS DE SEGURIDAD EN ENTORNOS CORPORATIVOS"; Si queréis podéis seguirle en Twitter en su nick @lawwait

Sin más, os dejo con la entrevista a Lorenzo Martinez:

¿Quién es Lorenzo Martínez?
Lorenzo Martínez es, ante todo, un curioso por conocer cómo funcionan las cosas por dentro. Si no se trata de algo que he diseñado yo, me gusta saber qué ha pensado el inventor, y sobre todo, si se ha dejado o no puertas abiertas para poder acceder posteriormente, qué posibilidades futuras de expansión, funcionalidades ocultas pre-implementadas que, con un poco de maña, pueda aprovechar ya!. Además, soy una apasionado por la seguridad informática, por lo que, aunque sienta la misma curiosidad por conocer el mecanismo de una tostadora o una cafetera, si tiene pila TCP/IP, mejor!

¿A qué te dedicas profesionalmente?
Actualmente soy, entre otras cosas, ingeniero preventa para una empresa de seguridad, especializada en la autenticación fuerte sin tokens. Sin embargo, dispongo de un catálogo de servicios profesionales, todos dedicados a la seguridad, en concreto, de consultoría, auditoría, asesoría, comunicaciones y redes, desarrollo de soluciones a medida y un largo etcétera... Ya sabes, #emprender, #iniciar, y todos esos hashtags 2 ó 3.0.

¿De dónde viene esa pasión, por hacer hacking a roombas, alarmas y todo aquello que se te ponga por delante?
Pues desde pequeño, siendo hijo único, aprendí donde guardaba mi padre un juego de destornilladores, alicates y demás herramientas que me permitían desmontar cualquier cosa con tornillos que cayera en mis manos, ver (o intuir) qué hacía por dentro, volverlo a montar,... y por supuesto luego tirar las piezas que sobraban ;D Si llego a tener hermanos, desmontamos la casa completa!

Ya algo más crecidito, el tema avanzó a elementos con cierta electrónica: radios, cargadores de pilas, ordenadores, etc,... y ahora directamente, lo que intento es hacerme la vida más cómoda. Suficiente tiempo se va entre las obligaciones laborales, ocio y vida social como para tener que estar apretando un botón para que la Roomba se encienda sola. Además, con el ruido que mete, no puedes hacer nada más. Así que, al no tener un trabajo con horario definido en el que la casa quede vacía todos los días a la misma hora, decidí darle vida propia a la Roomba, a través de la decisión tomada por un ordenador.

Se qué es difícil pero, ¿ A qué profesionales del ámbito nacional respetas más?
La lista sería tremenda, pero intentaré ser breve: Los respeto a TODOS. Quiero decir, que de todo el mundo aprendo algo cada día. Si tuviera que priorizar, empezaría por mis compañeros del blog Security By Default, Jose Selvi, Fermín Serna, Chema Alonso, Sergio Hernando, Dabo, la gente de 48bits, etc,.... Si ya te refieres a profesionales de seguridad de habla hispana, incluiría a Carlos Pérez (quien conduce Pauldotcom en Español), Jaime Andrés de Comunidad DragonJAR (no sé si te suena ;D), Emiliano de Spamloco, Marcelo Rivero de InfoSpyWare,...

¿A qué conferencias/congresos de ámbito internacional has asistido o dado una ponencia?
Pues la verdad es que como ponente me estreno este año en Rooted 2012 y en ACK Security CON en Manizales (Colombia). Como asistente he estado en las otras dos ediciones de Rooted, la NCN 2011 (en las que he participado como moderador de mesas redondas, cual Manuel Campo Vidal, pero con algo más de "vidilla"). También estuve como asistente en BlackHat 2010 en Barcelona, donde tuve la oportunidad de desvirtualizar a grandes figuras del sector a nivel internacional.

¿Qué le dirías a la gente que se quiere dedicar a la seguridad?
Pues principalmente, que si es su pasión y se le da bien, apueste todo al negro sin ninguna duda. Sin embargo, mi recomendación es que no sean, únicamente, consultores de 9:00 a 19:00, que vean más allá y que todo tiempo invertido en aprender cómo funciona algo, nunca es tiempo perdido. Evidentemente, hay vida más allá de los ordenadores, y otros seres humanos alrededor, con los que compartir (y a veces, perder) el tiempo

¿Qué opinas de la seguridad en España?
La seguridad en España, como he explicado en más de un post en SbD, algunas veces es para hacerse cruces. Muchas compañías primero miran qué han de hacer para cumplir las normativas que les afectan a su negocio, y luego ya veremos, si además, esos conjuntos de normas no tienen "gaps" o no son demasiado flexibles o simples,.. o simplemente ponen el foco en ciertas cosas, pero descuidan otros puntos de entrada, o hábitos de vida de los usuarios que son para echarse las manos a la cabeza.
Siempre hay excepciones que piensan antes de hacer las cosas y tienen en cuenta las posibles consecuencias, antes de que las sorpresas simplemente aparezcan y sea demasiado tarde.

¿Qué blogs de seguridad sueles frecuentar?
Espera que cambio de pestaña a mis RSS,... por orden alfabético: 48bits, Aerópago21, Apuntes de Seguridad Informática (Javier Cao), Caminando entre bits, Command Line Kung Fu, Conexión Inversa, Cyberhades, Hackaday, Kriptópolis, La Comunidad DragonJar, Pauldotcom, S21Sec, Seguridad Apple, Sergio Hernando, Un Informatico en el Lado del Mal, ... entre otros.

¿Qué te parece la comunidad DragonJAR, la conocías de antes?
Como te mencioné antes, es uno de los blogs que sigo a diario en mis RSS. Es una de las referencias de seguridad de habla hispana y realizáis un gran trabajo todos vosotros... Últimamente, además, elegís gente "maja" a la que hacer entrevistas jejeje

Háblanos un poco de Security by Default, ¿tenéis algún proyecto en mente?
Schhhhh.... Si te lo dijera, tendría que matarte... ;D

Recomiendanos 2 libros técnicos y 2 libros no técnicos
Pues mira, como dos libros no técnicos, aunque relacionados con Seguridad Informática, es imperdonable morirse sin leer "El Huevo del Cuco" de Clifford Stoll .
Me encantó "El Ocho" de Katherine Neville. Por otra parte, como libros técnicos recomendaría "Firewalls and Internet Security, Repelling the Wily Hacker", y ahora mismo estoy leyendo uno que me está gustando bastante: "Social Engineering: The Art of Human Hacking"

Subir