Durante estas últimas semanas hemos estado viendo el nacimiento de algo épico.
Si C1b3rWall como evento físico fue un evento que nos gustó, apasionó y conmocionó, sin duda la C1b3rWall Academy no nos dejará indiferentes.
La Academy constará de 15 módulos y con la participación de profesionales de diversos sectores que traerán su conocimiento y experiencia para ponerlo a disposición del público. Pero no vamos a entrar mucho más en detalle pues, como habréis visto en el título, es el propio Carlos Loureiro el que nos va a contar un poco más sobre ello.
Atentos a los canales oficiales de C1b3rWall, os los dejamos abajo para que podáis estar al día de las novedades.
Antecedentes
Podríamos remontarnos a principios de mayo, en ese preciso momento en el que comenzamos a soltar miguitas de pan, un easter egg que no todos resolvieron… 😛
Y poco a poco, el trabajo desde las sombras se fue tornando en visible y los #AreYouReady se fueron multiplicando. Entrevistamos a Casimiro y Daniel, de C1b3rWall y HackMadrid, que nos avanzaron algunas cosas sobre la Academy, e, incluso hace unos días… el día 4… ¡¡C1b3rWall sufrió un leak de información!!
Es por eso que hoy, finalmente, os traemos la respuesta a tantos misterios…
Carlos Loureiro nos ha abierto sus puertas (todo lo que se puede en época COVID, es decir, 😀en remoto) y nos ha concedido la oportunidad de entrevistarle.
Personalmente le conocimos en h-c0n hace unos meses, es un profesional excelente, una persona muy muy trabajadora y sin duda, un referente del sector de la ciberseguridad.
Que la gente no se espere que vamos a explicar cosas de botón gordo, no esperéis que un ponente os diga, os instaláis este programa, le dais a lanzar y estáis todos hackeados. Como el famoso meme que todos conocemos.
Y con esto… dentro entrevista!
La entrevista a Carlos Loureiro
Durante la entrevista, quisimos preguntarle por diferentes cuestiones, y, al final, conseguimos sonsacarle información sobre la Academy, hoy os traemos algunas exclusivas sobre la misma, ¡la primera estaba ya en el título!
#AreYourReady 😛
Nota: la entrevista se hizo cuando aún la información sobre la Academy no era de dominio público 😉 .
DDR: Carlos, sabemos que eres un experto en ciberseguridad, también haces análisis de datos, Big Data (en adelante BD) … ¿Te consideras un Threat Hunter? Y, ¿Lo consideras útil?
CL: Desde luego que es útil. Aquí hay, por decirlo de alguna manera, dos corrientes. Una que es, cazar a lo loco, quiero datos, datos, datos… y otra que es, qué datos necesito, y voy a recopilar esos datos que necesito para mi investigación o para el análisis.
Yo estaría en la segunda vertiente, por decirlo de alguna manera. ¿Por qué? El motivo es porque me gusta abordar el análisis teniendo en cuenta las variables que necesito. No puedo estar cazando o recopilando información que no voy a utilizar para mi análisis, me estaría llenando de ruido.
Pero, en cierto sentido, sí, me puedo considerar una persona que se dedica al Threat Hunting en la medida en que necesito hacerlo. Por ejemplo, en la charla que di de “Defcon”, ahí realmente no hay una labor de Threat Hunting. Simplemente hay una labor de análisis de datos que ya son recopilados por una empresa, que son de carácter público, para ver qué tipo de correlación hay de variables y después aplico técnicas de “Machine Learning” (en adelante ML) … Sí que, después, en el otro proyecto de “Firestorm”, realizo una caza de datos un poco más gorda, por decirlo así.
DDR: Como dices, sueles incluir una parte de Machine Learning, lo cual, hace la relación entre los datos más sencilla en teoría. ¿Consideras que el uso de la mezcla entre ML y BD funciona realmente? Y ¿Por qué?
CL: Sí, funciona cuando hemos hecho el análisis previo de esa correlación de variables y sabemos lo que podemos llegar a predecir, y qué no. Desde luego lo que no funciona es realizar técnicas de ML con variables de las cuales desconocemos su correlación, porque al final lo que nos vamos a encontrar son predicciones o clasificaciones, dependiendo de para qué utilicemos esas técnicas de ML, totalmente defectuosas, que no se ajustan a la realidad.
Esto es porque muchas veces ahorra trabajo al analista a la hora de procesar datos, por ejemplo, si estamos realizando técnicas de “crawleo” es muy cómodo que una técnica de ML ya nos clasifique automáticamente, por tipologías delictivas, por temática que aparece en el texto que está recopilando ese crawler, etc, dentro de determinadas categorías. Al final a la persona que lo está utilizando, le está ahorrando el trabajo de tener que ir mirando una por una todas las cosas.
Es útil, sí, porque nos ahorra tiempo, al final, si ahorras tiempo, ahorras recursos.
DDR: Como hemos visto en varias ocasiones una de las cosas más bonitas de la inteligencia y la recolección de datos que realizas es el uso del software libre y la creación de tus scripts o adaptaciones de herramientas ya existentes. Has demostrado que se puede hacer muy buena inteligencia con poco o nulo coste. Si tú con un ordenador y unas fuentes abiertas y públicas, consigues esto, ¿qué podrían llegar a conseguir empresas privadas con dinero y datos más restringidos?
CL: A mi me gusta hacerlo así porque el espíritu del hacking siempre fue: utilizar tus propios medios, qué medios tengo disponibles, y qué puedo llegar a conseguir. Al final lo que estamos haciendo con este tipo de prácticas es ponernos al nivel de esas empresas o corporaciones que tienen esa cantidad o ese volumen tan grande de información.
¿Qué pueden llegar a hacer? Lo peor directamente.
En una de las charlas que di en la TechParty (de HackMadrid) que se llamaba “Ex Verbis Diaboli” (Ex Verbis Diaboli. El lenguaje de las sectas destructivas) en la cual yo cogía mi propio usuario de Twitter, indexaba la información y lo clasificaba por tópicos. La idea era que, utilizando esos tópicos, yo podía llegar a decir qué tipo de persona era, cuáles eran mis gustos, mis aficiones, etc. Imagínate que las empresas, tal y como lo están haciendo, como Amazon, Twitter, Facebook, no solamente tienen toda esa información de tus propios gustos, sino qué, además le añaden un timeline, es decir, van viendo la evolución de tus gustos, de tus publicaciones, tus intereses, tus amistades… realizar técnicas de ML sobre eso, es completamente brutal.
Ahí, el principal problema, es que el propio usuario es el que está compartiendo su información. Yo soy de los primeros que dicen que, si realmente te preocupa tu propia privacidad, no deberías comprar libros en Amazon. Realmente ya están empezando a monitorizar cuáles son tus lecturas, cuáles son tus intereses y, más que nada, qué conocimientos tienes y estás llegando a adquirir. Entonces es un problema muy grande. Los principales ataques a la libertad, por decirlo de alguna manera, o a la privacidad, parten de estas grandes corporaciones que se dedican al tema de redes sociales y demás.
DDR: Claro, y de aquí nos surge otra pregunta (bastante común) ¿Piensas que toda la inteligencia que se genera, es para espiarnos?
CL: No, no estoy de acuerdo con esa parte. Sí es cierto, que, por ejemplo, en los medios de comunicación, las noticias que salen, las que más repercusión tienen, son, por ejemplo, como el famoso caso de las filtraciones de Snowden con el proyecto Prisma de EEUU, etc. Qué es lo que pasa ahí. Bueno que también es conocido que se le propuso la participación en ese proyecto al gobierno japonés, los cuales respondieron que ese ataque a la privacidad de sus ciudadanos en su propio país era inconcebible. Ahí realmente entra, qué entendemos por libertad y cual es la dicotomía, o esa dialéctica, entre privacidad y seguridad. Hay países que tienen determinada perspectiva y hay países que tienen otra.
En nuestro país, cualquier tipo de violación de la privacidad está muy regulada a nivel legislativo. Hay unas leyes que definen muy claramente, qué se puede y qué no se puede hacer. No creo que toda la inteligencia esté enfocada en un ataque a la privacidad de los usuarios.
DDR: Siguiendo esta línea aquí en España, como comentabas, durante estos meses, durante el COVID, ha surgido mucha controversia con la recolección de datos y se ha hablado de llegar a recolectar datos anónimos, hacer mapas de calor del COVID, para por ejemplo destinar más efectivos a las zonas más necesarias… ¿Por qué crees que ha surgido tanta controversia ante esto aquí?
CL: Aquí hay dos aspectos. Por decirlo así, la defensa que se hace para ese tipo de recopilación de datos es nuestra propia seguridad, nuestra propia salud. Sin embargo, hay que destacar, que el mayor nivel en la tasa de predicción, en la tasa de contagio y demás, lo está alcanzando una empresa, que está afincada en el País Vasco y que no hacen técnicas de intromisión a la telefonía móvil, ni ningún otro tipo de intromisión a la privacidad de los usuarios. Simplemente se basan en la recopilación de datos ya existentes. Y, la verdad, tienen una tasa de acierto muy alta y una capacidad de predicción muy alta.
Entonces, bueno, ¿se necesita realizar eso? No, no se necesita realizar esa intromisión a la privacidad a los usuarios, al menos con esa argumentación. Sí, es verdad, que, por ejemplo, esta famosa alianza Apple-Google, trae una pugna de poder. En el caso de Apple lo tienen muy fácil, ellos pueden implementar esas políticas en sus dispositivos, porque sus dispositivos son de su propia marca, por decirlo de alguna manera. Sin embargo, Google, no lo tengo tan claro, porque por ejemplo depende de la implementación de las técnicas de seguimiento, en dispositivos como Huawei. Ya sabemos cuál es la confrontación entre EEUU y China, a raíz de Huawei, con lo cual, bueno, Huawei tendría que permitirle a Google ese tipo de cosas.
Google también dijo que los dispositivos de Huawei se iban a quedar fuera de la Play Store, con lo cual bueno, a ver cómo implementan también esas medidas. Hay cosas un poco raras en estas medidas, pero no creo que sea necesario realizar esos seguimientos tan a fondo, teniendo alternativas como es el caso de esta empresa en el País Vasco.
DDR: Pasando ahora a otros temas, queremos preguntarte también cosas que van más con tu aspecto de criminólogo. ¿Ves muchas semejanzas entre el crimen en el espacio físico y el crimen en el ciberespacio?
CL: No son solamente semejanzas sino que es una ampliación. Me explico. Por ejemplo, la tipología delictiva de la pederastia, existió antes en el mundo físico, que en el mundo virtual, es lo que pasa, que los delincuentes que conocíamos en el mundo físico han encontrado un medio mejor para llevarlos a cabo, un medio mejor, más seguro, de consumo inmediato, que es el mundo virtual. No son solo semejanzas, es una proyección. Entonces sí, hay muchas similitudes y por eso siempre incido mucho en que hay que hacer una confluencia entre este mundo ciber y el mundo físico a nivel criminológico.
DDR: Pasamos ahora a mezclar todo lo que hemos visto, y, una de las cosas que haces como ya comentaste antes, es el análisis en redes sociales, como puede ser por ejemplo Twitter. Durante esos análisis que has realizado, ¿puedes decirnos si existen tantos bots y perfiles que intentan influir en nuestra opinión como vemos y oímos en las noticias?
CL: Sí es cierto que existen bots, no tengo tan claro el número de bots que actúan como tal. Hay veces que estamos confundiendo el típico troll, con una campaña generada de manera automática. Yo entiendo por bots, todas aquellas cuentas que actúan de manera automática y que realmente no hay una persona detrás. Lo que realmente nos estamos encontrando con estas campañas, que normalmente se clasifican como de bots, son auténticos trolls que trabajan para empresas o para algún tipo de gobierno o con algún tipo de interés oculto pero que sí que trabajan de manera unificada. No es que sean bots autómatas.
DDR: Esto que dices, además, ya se lleva oyendo unos añitos, sobre todo en EEUU, puedes aventurarte a decir por qué las empresas de redes sociales no han tomado ninguna medida para su erradicación. Una medida efectiva digamos.
CL: Esa es una buena pregunta. En primer lugar, no creo que tengan algún tipo de mecanismo automático, con lo cual, para tener que hacerlo a mano, tendrías que tener auténticas granjas de personas haciéndolo a pedal, por decirlo de alguna manera.
La otra cuestión, bueno quizás también porque ya no tanto los bots, que sí podrían localizarlos de forma automática, quizás en la parte de estos trolls, hasta que no son denunciados, realmente lo que le están dando a estas redes sociales es movimiento. Están publicando gran cantidad de mensajes… le están dando mucha vida a las redes sociales. Les interesa que haya durante X tiempo un grupo de trolls, que le den movimiento, que la gente hable de ellos, que la gente lea esos tweets y que después por detrás los bots estén amplificando esos mensajes que esos grupos de trolls están publicando.
DDR: ¿Y piensas que este es el presente de la guerra actual y que eso puede llegar a influir en países?
CL: Bueno, eso me permites que me remonte a la charla que di en 2018, donde hacía una campaña de phishing y distribución de noticias falsas con Telegram, yo creo que eso no es algo del futuro, no es algo del presente, sino que ya lleva ocurriendo unos cuantos años. No solamente referido a temas de presión en las RRSS, sino también de cara a los famosos dataleaks a empresas para posteriormente publicar los leaks. Un claro ejemplo lo tenemos con la campaña Hillary Clinton, que ahí realmente hubo intereses. Realizar un ciberataque para exponer toda esa información y provocar una alteración en los resultados electorales.
DDR: Incluso en España creo que vimos algún caso parecido.
CL: Creo recordar que sí.
DDR: Basándonos en la recolección de datos y todo lo que hemos ido viendo a lo largo de la entrevista, con tu trabajo, podrías llegar a predecir un evento con los datos recolectados. Por ejemplo, en el caso del terrorismo, un atentado.
CL: Bueno, eso es bastante complejo. Podría llegar a dar indicadores de riesgo de la comisión, de que se va a cometer, y llegar a predecir varias variables. Pero estaríamos hablado de indicadores de riesgo. En ningún momento podemos, como decía en la charla de “Defcon”, es totalmente Minotiry Report llegar a predecir latitud y longitud del próximo atentado terrorista que se vaya a cometer. Tal y como enfoqué aquella prueba de concepto, era que cualquier persona que viera que acaba de suceder un acto terrorista, con los pocos datos que está visualizando del evento, podría llegar a predecir cuál es la ideología que se encuentra detrás y otras variables que al final se encuentran relacionadas con otros eventos terroristas.
Llegar a predecir futuros eventos, eso serían temas de indicadores de riesgo. No podríamos llegar más allá de indicadores de riesgo, de comisión en determinadas zonas como muchísimo.
Podemos ir viendo que, el riesgo de que se cometa X atentado en España, con X características, va subiendo o va bajando. Ahí hay que tener en cuenta que la cantidad de información que estaríamos ingiriendo en tiempo real es muy grande, para llegar a predecir con éxito esos indicadores de riesgo.
En ningún momento podrías llegar a decir, Fulanito de Tal va a cometer X acción.
DDR: ¿Podríamos usarlo, por ejemplo, para investigaciones a posteriori? Por ejemplo, ¿un acto que haya sucedido, podemos utilizar estos datos para hacer un perfil?
CL: Sí sí, totalmente, cuando terminé de hacer la prueba de concepto, tuve muchos eventos que tuve que descartar porque no tenía datos sobre esas variables. Entonces, algo que hice, que la verdad, no lo he publicado ni lo he mostrado en las charlas, pero, lo que hice, fue rellenar con esas predicciones, esos eventos que no estaban bien clasificados.
Por ejemplo, había eventos donde no sabía el nombre del grupo terrorista, si había sido una acción individual o múltiple y demás, y lo que hice fue, recolectar todos los datos descartados en un dataset y lanzar la parte predictiva sobre ellos rellenándolos. Y la tasa de acierto, fue bastante alta.
Ese dataset pecaba de que si pasaba un año, y no se encontraban actualizaciones sobre el evento, no se rellenaban los datos. Entonces, luego, haciendo comprobaciones en otras fuentes, vi que si había hecho predicciones en el buen sentido.
Vale tanto para eventos que estén ocurriendo ahora mismo, como para la creación de escenarios con eventos futuros y eventos pasados. De hecho, la parte en la que me gustaría empezar a trabajar un poco el tema de “Defcon”, es la creación de escenarios de manera automática.
DDR: Sabemos que recientemente has estado aplicando esto a Twitter y a la situación del COVID, ¿has sacado ya alguna conclusión que puedas contarnos?
CL: Sí es verdad que he estado trabajando en esta parte, pero se me ha venido un poco de lío con otro proyecto también que en breve se tendrá conocimiento que es el de la “C1b3rWall Academy” y bueno, la he tenido que dejar. Pero, por ejemplo, algunas de las conclusiones que he sacado, lo que pasa que me tengo que sentar a escribir bien el artículo, es que hay una clara desconexión, o, esta parte que solemos decir de, es que los tiempos están muy odiosos por Twitter, o esa percepción que tenemos, no son reales. Es decir, que el clima o el sentimiento que estamos teniendo, referido al ámbito de Twitter, es, como en cualquier otra época. Sí es verdad que se ha aumentado el nivel de tweets a la hora de las publicaciones, pero lo que es el análisis de sentimientos por los hashtags que se están publicando y demás es un análisis de sentimiento especialmente, tirando a neutro.
Lo que sí que llama la atención es el claro sentimiento en estos días. Desde que empezó el coronavirus los mensajes o los tweets son de clara invocación sentimental. Son muy sentimentales. No son objetivos. Entendamos por objetivos la comunicación al estilo periodístico. Parece recordar un poco todo este tiempo a cómo estamos haciendo que afloren estos sentimientos, ya sea de carácter positivo o negativo, en la gente, cada vez que publicamos un tweet.
DDR: Entonces, ¿es mentira eso de que Twitter está lleno de haters?
Ese sentido negativo de los tweets, no es real. Otra cosa es la percepción que podemos tener como individuos. Nosotros al final lo que vemos es lo que marca la gente que seguimos, los RT y Likes que dan. A lo mejor puedes tener una o dos respuestas malas, pero en el tamaño de muestra, no es significativo.
Sobre la C1b3rWall Academy
DDR: Ahora pasemos a la Academy ¿Puedes contarnos un poco como surgió la idea?
CL: En el evento del año pasado estuvimos hablando de la idea de realizar una serie de talleres y formaciones a modo de iniciación. Estos estarían y están englobados dentro del proyecto C1b3rWall. Esta Academy iba a ser anunciada como parte en el evento físico pero debido a la situación que vivimos no pudo realizarse. Por eso le dimos una vuelta y dimos un primer paso de ir hablando con la gente, le preguntamos a los patrocinadores del primer año del C1b3rWall, y la verdad que los patrocinadores y las empresas respondieron encantados.
Cuando empezaron a responder estaba el tema de la pandemia muy encima y se empezaba a hablar de que igual teníamos que enclaustrarnos en las casas y la respuesta fue sorprendente después comenzó la vorágine, la locura de ir contactando con las diferentes comunidades que queríamos que estuvieran presentes en el evento presencial, y bueno, así empezó a surgir todo.
La primera comunidad que nos respaldó, que nos dio el apoyo y que va a estar implicada en el proceso de grabación y demás es HackMadrid/HackBarcelona y nos ha facilitado mucho la labor.
DDR: ¿Cuántas comunidades/entidades van a participar hasta ahora (día en el que hicimos la entrevista)? Puede que se unan más supongo.
CL: Hay comunidades que estamos todavía contactando a día de hoy. Hemos empezado por las grandes comunidades y bueno, la primera con la que contacté fue, con la que tengo la suerte de ser también miembro de la organización, que la tengo mucho cariño, HackMadrid. Se unió en cuestión de segundos, HackBarcelona también, como entidad hermana de la comunidad %27 y después se fueron uniendo casi todas las comunidades. Asociaciones e instituciones también. Nos están dando un respaldo bastante grande, se están sumando al proyecto, no solo con el logo, sino que, participando activamente, trayendo a ponentes, etc. Tenemos también otra gran comunidad, no solo por el número de miembros, sino que también por la CON que realizan, HackPlayers. Tenemos a MundoHacker, está también BitUp Alicante, HoneySEC, VICON, Sh3llCON… al final tenemos un elenco bastante grande de comunidades y seguro que se me olvidan algunas que están apuntadas, que en la cabeza que la tengo un poco saturada, no recuerdo ahora.
Esperamos la participación de instituciones en temas de ciberacoso y de victimización en el ámbito de la ciberdelincuencia. Yo creo que puede salir algo chulo.
DDR: Ya entrando en la Academy para que nos cuentes un poco más, porque ya hemos visto vídeos de los módulos (esta entrevista está publicada después de la salida de esos videos), ¿en qué consistirá?, ¿cómo está repartido?
CL: La Academy en principio son 15 grandes módulos en un principio. Como podéis ver es muy abierto porque la idea es ir subiendo ahí todo tipo de talleres, ponencias, clases… también tenemos preparado material que entendemos fuera de los módulos como un vídeo paso a paso de cómo instalar un laboratorio de entrenamiento de pruebas para que la gente pueda ir practicando paso a paso las diferentes técnicas que vayan explicando los ponentes.
Decir que no lo hemos dividido por niveles. Lo primero que vamos a sacar son niveles básicos, que cualquier persona puede comprender perfectamente, los ponentes no van a estar limitados en cuanto a la duración, es decir, si un ponente necesita para explicar un tema, 3 horas, pues serán 3 horas. A lo mejor sacamos en lugar de un vídeo, dos, sobre ese tema con ese ponente.
La suerte de que sea un MOOC, es que puedes ir pausándolo, retomándolo… o sea que, en ese sentido, no estamos poniendo límites a los ponentes, lo que creemos que es una ventaja que tenemos. Al no ser en directo y disponer de un MOOC tenemos que aprovechar de esa oportunidad que tenemos.
La Academy va a ser algo dinámico, porque, aunque subamos 6 temas de un módulo, por ejemplo, no quita que, al cabo de semanas subamos otros 6 temas en ese módulo y avanzando el nivel. Pero, manteniendo siempre esa línea de, tu sigue desde el primer vídeo, paso a paso e irás subiendo de nivel.
DDR: Si la gente completa estos módulos como estamos comentando, ¿se dará algún tipo de certificado que indique que se han completado los mismos?
CL: Se dará uno como el del año pasado en C1b3rWall y estará firmado por la escuela nacional de policía, ECTEG y UAM.
Tras despedirnos de Carlos (bueno en realidad no fue algo inmediato, le dimos la lata un buen rato) concluimos la entrevista. Queremos dejar constancia del trabajo que hay detrás de todo esto, de que hay muchas personas implicadas junto con Carlos, y que sin duda, es una iniciativa increíble que apoyamos al cien por cien desde Derecho de la Red.
Información y medios oficiales para estar al día sobre C1b3rWall.
Twitter: https://twitter.com/C1b3rWall
Telegram: https://t.me/C1b3rWall
Finalmente, daros las gracias por todo el apoyo que nos estáis dando, y, quién sabe, quizás haya más easter eggs escondidos por este artículo que indiquen pistas futuras… #AreYourReady 🙂
CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…