Entrevista a Yago Jesús

Existen múltiples profesionales en el mundo de la seguridad informática. Uno de ellos Es Yago Jesús, es probable que lo conozcáis por ser uno de los editores de Security by Default y por ser el creador de distintas herramientas, entre ellas SSLCop, garante etc..
Tenemos la oportunidad de tenerlo aquí en DragonJAR para saber un poco mas de él.

Yago Jesús

-¿Quien es Yago Jesus?

Sin ánimo de aburrir a tus lectores, resumo un poco: Soy de Zaragoza (España), trabajo en Madrid, me dedico a la seguridad informática, soy editor del blog Security By Default, y si os interesan las herramientas que he ido desarrollando, podéis encontrarlas en www.security-projects.com

-¿A que te dedicas profesionalmente?

Me dedico a la consultoría en seguridad, coordino y ejecuto proyectos de pentesting, forense, hardening, análisis de malware y -por suerte- mucho I+D

-Háblanos del que creemos tu proyecto mas grande, Egarante

eGarante es mi niño bonito, un proyecto en el que he volcado muchas muchas ilusiones, un número considerable de horas y del que me siento muy orgulloso.

eGarante es una idea que parte de la base de que en internet existe más bien poca fiabilidad en las herramientas que usamos todos los días. Tomando como ejemplo el correo electrónico, todos sabemos que un correo es muy fácilmente falsificable, tu me puedes enviar un correo con una propuesta comercial, yo te puedo responder acordando unos términos y luego o bien porque tu te echas atrás o porque lo hago yo, podemos poner en tela de juicio lo que hemos hablado. Yo altero ese correo, y al final es tu palabra contra la mía.

eGarante soluciona esto utilizando tecnología PKI de una forma muy sencilla. En el momento que tu me escribes a mi, además de mi cuenta de correo, añades como cc o bcc a [email protected]

Cuando el correo llegue a eGarante lo que hacemos es extraer todo el correo electrónico (cabeceras incluidas, adjuntos ...) realizar una serie de comprobaciones (si el origen está verificado por SPF, si las cuentas de correo que aparecen en ese e-mail existen ...) y metemos todo eso en un PDF que firmamos digitalmente y le añadimos un sello de tiempo.

Luego, enviamos a todas las cuentas que aparecen en ese e-mail una copia de ese PDF. De esa forma, eGarante actúa como 'testigo tercero independiente' emitiendo un documento con plena validez jurídica que da FE del contenido de ese correo, sus destinatarios y la fecha en la que fue enviado.

¿Fácil verdad? Tan solo has de añadir [email protected] en cualquiera de tus correos para tener una prueba de ese envío y su contenido. Y lo mejor de todo es que eGarante funciona en las dos direcciones. Si a quien hayas enviado ese correo responde con un 'reply all / responder a todos', vuelve a meter en la conversación a eGarante, así que su respuesta también queda sellada. De esa forma, en el ejemplo anterior de la propuesta comercial, tienes la evidencia el envío de la propuesta sellada y la evidencia de la respuesta aceptando los términos.

Con eso ponemos fin a la inseguridad jurídica del correo electrónico.

En el caso de las páginas web, hay un problema de volatilidad. Veamos un ejemplo muy sencillo: En una página web encuentras una oferta de un Ipad a un precio muy interesante. Al final cuando quieres cerrar la compra, descubres que el precio no era el ofertado. En ese momento, si quieres, puedes denunciar esa web, pero es seguro que pasado un tiempo la web será modificada y al final será tu palabra contra la de los dueños de la web.

¿Solución? Envías la URL como asunto en un correo a [email protected] Cuando llegue a eGarante, haremos un screenshot de la web que aparecen en la URL, lo meteremos en
un PDF, lo firmaremos digitalmente y le pondremos un sello de tiempo para garantizar la fecha en la que estaba ese contenido.

Con ese PDF, aunque cambien la web, tu tienes una prueba con validez jurídica de que ese contenido estaba ahí

-De donde sacas tiempo para hacer tantas herramientas?

Un día leí una frase que tomo prestada: 'El que quiere saca tiempo, el que no, excusas'. Al final todo es una cuestión de motivación, de tener una idea, pasarla a papel y de ahí a código.
Estoy seguro que todo el mundo tiene grandes ideas, lo que marca la diferencia ese ese momento en el que te sientas y lo haces.

A la gente que lea esta entrevista y tenga alguna idea, pero tal vez dude si merece la pena invertir tiempo en hacerla real, solo tengo una cosa que decirles: ¡¡ HAZLA !! Que luego sea buena
o mala, útil o inútil, con muchas o pocas descargas es lo de menos, vas a aprender y te vas a demostrar a ti mismo que eres capaz de dar ese paso
-Se qué es difícil pero, ¿ A qué profesionales del ámbito nacional respetas más?

Yo creo que hace 10 años esa pregunta la hubiese podido responder, hoy día es imposible. La cantidad de talento que se ha generado en el mundo de la seguridad hace imposible hacer una lista de gente que merecería salir en ella sin dejarse gente.

Me quedo con una cosa maravillosa: La forma tan sana en la que la gente comparte conocimiento. Es genial que al menos en este campo no existan nacionalidades y no haya estúpidas rivalidades como si las hay en casi todos los ámbitos de la vida, desde algo tan banal como el futbol hasta algo tan serio como la política. Hoy estoy aquí en Dragonjar para un público eminentemente latino y me siento como en mi casa, mañana nos encontraremos en un congreso en España y conoceréis nuestra hospitalidad. Hay que esforzarse porque esto siga así
-¿Qué le dirías a la gente que se quiere dedicar a la seguridad?

No creo que exista una única forma de 'meterse' en este campo, hay gente mas 'callejera' mas autodidacta que hace grandes cosas. También hay gente que viene de la univerisdad, que se ha formado en masters y son unos fenómenos. Ten constancia y pasión, todo termina llegando
-¿Qué opinas de la seguridad en España?

En mi humilde opinión, yo creo que quien ha marcado el paso en este tema siempre ha sido el mundo norteamericano, y su filosofía ha ido calando en el resto de países. España no es ajena a esto. Estamos copiando su modelo / concepto de seguridad, su forma de hacer las cosas, sus estructuras, sus ideas ...

No quiero decir que esto sea malo, simplemente creo que es un hecho constatado. Donde sí hemos sido pioneros y podemos 'sacar pecho' es en el mundo PKI, en España se ha trabajado mucho en esta área y el DNI-E ha sido un proyecto bastante innovador
-Recomiendanos 2 libros técnicos y 2 libros no técnicos

Mi primer libro recomendado es técnico y también novela: Hacker épico de Alejandro Ramos y Rodrigo Yepes. Creo que es imprescindible y un hito en este campo. Como otro libro técnico me iría a un clásico: Redes de computadoras de Tanenbaum, duro de leer pero útil. Y como libro no técnico, uno que lamentablemente está descatalogado y es dificil de encontrar 'Tú puedes' de José Ignacio López de Arriortúa, libro totalmente ajeno a la informática pero del que aprendí todo lo que se sobre optimización

Subir