Entrevista a Dani Creus y Mikel Gastesi - Fraude Online
Existen distintos profesionales relacionados con la seguridad, por esta comunidad ya hemos hablado de varios de ellos. Después del libro publicado, Fraude Online, no podíamos dejar pasar la oportunidad de hacerle una entrevista a estos dos cracks. Dani y Mikel, trabajan en el equipo de e-crime de la empresa S21Sec.
Ahora a por la entrevista:
¿Quienes son Dani Creus y Mikel Gastesi?
Dani:
En mi caso (Dani) puedo decir que soy un humano de treinta y algo
años al que le fascinan los sistemas informáticos, las redes y en
especial la seguridad en cualquiera de sus disciplinas. Tengo la
suerte de llevar varios años trabajando con Mikel en el
departamento de e-crime de S21sec junto con otros profesionales de
los que cada día aprendo algo.Mikel:
Mikel es un chico de 30 años, siempre interesado en el funcionamiento de
las cosas, en como darles una vuelta de rosca, y eso ha terminado en la
pasión por la seguridad informática.
Fuera de esta vida me considero un chico normal, al que le gusta salir con
sus amigos, etc. Me gusta el fútbol, más bien el Osasuna, y un hobby sería
el ajedrez, al que me toca dedicarle algo de tiempo para poder mejorar un
poco 😀
Profesionalmente, al igual que Dani, tengo la suerte de llevar varios años
trabajando con él y el resto de compañeros, que además de formar un grupo
impresionante, siempre aprendes algo, y es una suerte poder estar en él.
¿Como empezasteis en el mundo de la seguridad y concretamente en un departamento de e-crime?
Dani:
Como mucha gente del mundillo la aventura empezó como un
hobbie...si tuviera que poner un punto de partida, quizás seria el
día en el que llegó a mi casa el MSX. Al contrario de la mayoría
de mis amigos humanos "físicos", me dediqué a estudiarlo un poco
más allá de su "superfície". después ya tuve que buscarme otros
amigos.El "hobbie" fue consumiendo cada vez más tiempo hasta que **sin
saber como** me adentré en el mundo de la seguridad. Tras varios
años de ""prácticas"" , decidí que quería que mi trabajo fuera
relacionado con el tema. Los masters Vicente Díaz (ahora en
Kaspersky) y David Barroso (ahora en Telefónica) me dieron la
oportunidad de formar parte del equipo de e-crime en el que he
conocido a autenticos amigos y profesionales.Mikel:
Como bien dice Dani, la mayoría de los que estamos en esto es porque nos
gusta desde antes de trabajar en ello, y no voy a ser la escepción. Yo
empecé un poco más tarde, ya que mi primer ordenador fue un Pentium I a 75
MHz si mal no recuerdo. Fue cogerlo, trastear, buscar información... y tal
vez la referencia más importante en cuanto a mi afición por la
seguridad lo establecería al conocer la página de karpoff, los manuales de iczelion...
Ya el proyecto de fin de carrera lo centré en el tema del unpacking, lo
cual pudo ayudar a conseguir una curiosa entrevista de trabajo con David
Barroso. En ella conseguí un puesto en S21sec como investigador de
seguridad, y pasé a formar parte del departamento de e-crime un año
después.
¿Una pequeña definición de e-crime?
Dani:
mmmm, cualquier acto ilícito y/o ilegal que se lleve a cabo en un
sistema informatizado o a través de él. A partir de aquí,
podríamos definir de manera más o menos estricta su significado.
Algo importante es dejar claro que el fraude online es solamente
un sub-grupo de todos aquellos delitos que incluye el concepto de
e-crime (extorsión, espionaje,etc.). Si le partes el teclado a
alguien en la cabeza, o le tirás el portatil a la rodilla, no es
e-crime.Mikel:
Me ha gustado la definición de Dani. El contenido del término
e-crime es muy amplio, y a veces no se utiliza correctamente por aplicarlo
solamente a un área, ya sea espionaje, fraude, etc.
Aunque es una pregunta muy ambigua, ¿Estamos seguros en Internet?
Dani:
Uff....Mi punto de vista no es en absoluto objetivo. Tras varios
años en el que en tu día a día solamente ves fraude, fraude y más
fraude y cada vez más sofisticado, cualquier respuesta a esa
pregunta estará MUY condicionada. Como somos muy optimistas,
diremos que con un mínimo de buenas prácticas y sentido común ,
podemos estar un poquiito más .Mikel:
Si tomamos unas medidas básicas de seguridad, y añadimos un poco de
concienciación a la ecuación, se puede conseguir un nivel razonable de
seguridad. El usuario doméstico debe protegerse principalmente de ataques
indiscriminados, y el desconocimiento y/o despreocupación por la seguridad
le puede traer disgustos. Por otro lado están los ataques dirigidos. Si
echamos un ojo a la larga lista de grandes empresas "tocadas" este año,
vemos que éstas no pueden permitirse tomarse la seguridad a la ligera, y
vemos que tampoco es sencillo defender todos los frentes, empezando por la
defensa ante ataques de ingeniería social, pero esto no implica que el
grado de seguridad no sea alto.
¿Podeis explicar algunos de los casos mas sonados en los que se haya cometido fraude?
Dani:
xD.NO. Aunque seguramente o Zeus o SpyEye y un dominio .cc y/o .ru
habrán intervenido.Mikel:
Jejeje. Tampoco me voy a meter con casos concretos, pero comentar que
muchas veces el objetivo no es dar un gran golpe y jubilarse, sino que es
robar de aquí y de allá y hacer montón, con calma, y pensando que es tu
trabajo de 8x5, por lo que muchos casos importantes pasan inadvertidos si
no hay una inteligencia que relaciones todos esos robos.
¿Se invierte dinero en mejorar infraestructuras que ayuden a prevenir el fraude, campañas de concienciación, seguridad en las aplicaciones etc..?
Dani:
Aunque sabemos que algo se está haciendo, sin duda queda un
laaaaargo camino por recorrer. Debido a la naturaleza de este tipo
de delitos , es especialmente importante potenciar los niveles de
cooperación entre los implicados tanto a nivel público como
privado (proveedores de servicio,gobiernos,empresas de
seguridad,etc.) que dicho hoy en día , parece menos probable que
atropellar a un unicornio. El objetivo sería facilitar la
gestión/análisis de este tipo de incidentes a nivel internacional.Mikel:
Sí que se invierte, pero todavía queda mucho que recorrer, y es que,
como dice Dani, las limitaciones geográficos evitadas gracias a
internet no lo son así a la hora de investigar, analizar y protegerse de las amenazas.
Fuera de lo técnico ¿me podrías recomendar algún libro o grupo de música?
Dani:
Cualquier libro de Douglas Preston y Lincoln Child. Pendergast
mola++. Casi cualquier tipo de música. Sobretodo : cualquier
serie/mini-serie (debidamente comprada solamente 6 años después de
su estreno en USA, por supuesto. De lo contrario dios se carga a
13 gatitos).Mikel:
Si me tengo que mojar con un libro y un grupo, a día de hoy te diría
"Crimen y castigo" de Dostoyevski, y un grupo, Rise Against.
Dani, se que eres un jugon, igualmente junto con Mikel, ¿Podéis decirme juegos que os hayan robado mucha parte de vuestro tiempo?
Dani:
Que daría yo por ser un jugón !! Por desgracia la falta de tiempo
hace que sea un jugador muy "puntual". Recuerdo con mucho cariño
los típicos de hace eones como Abu Simbel Profanation, Freddy the
Hardest, Golden Axe, La abadía del crimen....De otra época ,
alguna aventura del Indiana Jones (Fate of Atlantis era genial)...
a otro nivel , sin duda, cualquier Half Life fue una experiencia
brutal. Últimamente mato hordas de zombies en el Call of Duty Black
Ops.Mikel:
Yo no soy para nada jugón. Mi última consola ha sido la mega drive, en
la que metí horas al Street Fighter, y en su día jugué algo al Commandos,
pero hace muchos años ya que solo juego a algún juego que pueda dejar
a los 5 minutos, como alguno de fútbol o una carrera de coches, aunque no tengo
consola ni ningún juego instalado. Juegos como el unblockme para móvil sí
que ayudan a pasar esos ratos muertos en los que no quedan feeds RSS por
leer.
¿Podéis hacer un previsión de futuro, de como avanzará el mundo del fraude?
Dani:
Yo no me atrevo. Aunque otra buena pregunta sería : ¿Seguirán los
""malos"" dos pasos por delante ?Mikel:
Parece que por fin las amenazas empiezan a afectar a los móviles. Hemos
visto ya robos del mTAN (SMS que nos envía el banco para confirmar una
operación) en Symbian, BlackBerry, y Android, y el malware para Android
empieza a abundar.Es evidente que si una nueva plataforma empieza a ser importante, será
atacada, y mientras la amenaza no sea conocida por el usuario es
doblemente peligrosa. Y, por supuesto, los "malos" tratarán de aprovechar toda
posibilidad de engaño para lucrarse.
Hasta aquí al entrevista de Mikel y Dani, si queréis adquirir el libro sólo tenéis que comprarlo a través de la web de Informática64
Comprar libro Fraude Online
A continuación os pongo un trozo del libro para que vayáis teniendo mas ganas de tenerlo entre vosotros:
"Dentro de estos grupos organizados, algunas de sus características pueden resultar familiares, como la estructura jerárquica, la diversificación de las tareas, el carácter global o el fuerte sentimiento de permanencia a la comunidad. En cambio, otras características marcan una diferencia esencial en cuanto a agrupaciones delictivas tradicionales, ya que generalmente son de relativamente fácil accesibilidad y tienen cierta predisposición a crear nuevas asociaciones y expansiones.
Bienvenidos a la época del fraude profesional, la era de la mafia open-source"