Sh3llCON, LOS ORÍGENES

Categorías:
Etiquetas: , , ,

¡Hola a todos!

Dado que este año, por motivos obvios, no tenemos la opción de vernos en persona en Santander hemos decidido empezar con este blog para intentar seguir manteniendo nuestro espíritu de divulgación.

Es un poco complicado pensar por dónde empezar, pero creemos que una buena idea es precisamente empezar por “el principio” de Sh3llCON. Nada mejor que tomarnos un café virtual entre las tres personas que hemos puesto la cara delante del público en las distintas ediciones. Así que nos hemos sentado entre Carol, Sergio y Carlos, y nos hemos puesto a charlar sobre nuestra experiencia en esta CON.

Aquí os dejamos una transcripción (un poco filtrada, que hay cosas que no se pueden publicar) de lo que nos hemos contado. ¡Esperamos que os guste!

Carol: ¡Hola chicos!, ya que este año no tenemos la opción de hacer la CON presencial, espero que os parezca bien esta idea de montar un blog,

Carlos: ¡Genial! ¡Así por lo menos podemos hacer algo con “distancia social”!

Carol: ¿Qué os parece si nos presentamos y le contamos a la gente quiénes somos y de dónde sale todo esto?

Sergio: A ver… ¿De dónde sale todo esto? Realmente sale de una ida de olla. Yo había estado trabajando en Madrid unos años, que es donde descubrí el mundillo de la seguridad informática, acudí a la primera Rooted y después de unos años al volverme a Cantabria vi que no había nada parecido en 300 Km a la redonda. Así que ante esa situación… “pues que vengan aquí“, y me lo intenté montar por mi cuenta.

Carlos: En mi caso surge a raíz de una llamada de Sergio, con el que ya había trabajado en Madrid, y me cuenta que por la zona de Asturias-Cantabria no había ninguna CON, y que se le había ocurrido montar una. Le dije que me parecía una idea muy buena, pero lo que no me esperaba era que me dijera “oye, ya que estás cerca, ¿por qué no me echas una mano?” De primeras pensé que se le pasaría al poco tiempo y realmente no pensé que llegase a cuajar, pero a los dos días me volvió a llamar y me dijo que ya estaba en marcha. ¡No me podía creer el lío en el que me estaba metiendo!

Sergio: Yo empecé a llamar a algunas de las personas que conocía de Rooted, para intentar captar ponentes, y tiramos de algunos compañeros de trabajo o del máster, y poco a poco nos fueron diciendo que sí. Gente como Pedro Candel, Martín Obiols, José Selvi, Ernesto Corral o Angelucho. Además, nos ayudó muchísimo Román con la organización inicial.

Carlos: Por mi parte conocía a gente de algunos departamentos de marketing de varias empresas en las que había estado, y de ahí empezó a salir algún patrocinio. Estuvimos bastante apurados para conseguir el dinero suficiente, llamando casi a puerta fría y explicando nuestra idea, hasta que en una de esas llamadas nos sugirieron contactar con INCIBE, que de aquella estaba patrocinando estas CONs. Se portaron genial con nosotros y nos ayudaron bastante.

Carol: ¿Oye, y qué significa Sh3llCON?

Sergio: Pues es un juego de palabras. Cuando lo estuvimos buscando no queríamos que fuera “FabadaCON” ni “AnchoaCON”. Recuerdo mucho en Rooted estar en una charla de Rubén Santamarta y para mi entenderla era un infierno, y en ese momento se me ocurrió la relación de “shell” con “hell”, y de ahí salió lo de “Security Hell Conference”. Luego ya el 3 es más estética que otra cosa.

Carol: ¿Qué es lo que más os impactó del primer congreso?

Sergio: Para mi lo más importante fue ver que la gente realmente llegaba al congreso. Ver a todo el mundo entrando en la sala me impresionó, y hasta entonces no me había dado cuenta de que esto era real.

Carlos: A mi me pasó algo muy parecido. Hasta entonces había estado tranquilo, pero al ver que la gente empezaba a llegar, y que comentaban entre ellos quien estaba de ponente y de qué iban las charlas me di cuenta de que teníamos, que realmente teníamos, una responsabilidad con ellos. Me asustaba mucho que la gente se fuera descontenta.

Sergio: Sentías que tenías que dar la talla.

Carlos: Sí, y a mi lo que me asustó fue terminar la primera charla y ver que de repente nadie hacía ninguna pregunta. Me quedé helado y lo único que supe hacer fue improvisar una pregunta para ver si así la gente se animaba. Y oye, ¡funcionó! A partir de ahí la gente ya se fue lanzando a preguntar y el resto de las charlas siguieron la misma dinámica.

Sergio: Carol, y para ti ¿qué era para ti el congreso cuando lo conociste y cómo te metiste en él?

Carol: ¡Inconscientes hay en todos los lados! Yo empecé a ir a Sh3llCON después de ir a Cibercamp en León, llevándome a un amigo que además no tiene ni idea de seguridad informática. Allí me senté junto a Berto y Tomy, que también estaban en la organización de la CON, y me puse a hablar con ellos. Estuvimos hablando de que la empresa en la que trabajábamos patrocinaba el evento y allí me planté en la tercera edición, en un taller de Pablo González que hizo que me explotara la cabeza. Eso sí, ¡tengo el libro firmado! Ya en la cuarta edición entré en la organización, y en la sexta cometí la insensatez de dirigirla yo.

Sergio: Claro, es que además en la cena de empresa estábamos Berto y yo en una mesa aparte montando el CTF de la 3ª Edición, y allí fue cuando te propusieron entrar en la organización. De hecho yo todavía no te conocía, y fue la gente de la empresa quienes te lo propusieron sin preguntarme.

Carol: Nada, ¡que ya me pusiste la cruz desde el principio!

Sergio: JAJAJAJA. ¿Y tu impresión de ir como público, seguir colaborando y acabar dirigiendo?

Carol: Es raro, porque llegué siendo la última mona, pero si ves algo que te gusta y donde puedes echar un cable… ¡Pues hemos venido a jugar!

Sergio: ¿Y tu Carlos? Estuviste los dos primeros años pero luego lo dejaste, aunque siempre has estado con un ojo puesto.

Carlos: La causa de esto es que le pegué un giro radical a mi vida profesional. Después de muchos años en consultoría me apetecía probar algo nuevo y siempre me había picado el gusanillo de la educación. Me puse a hacer el máster de profesor de secundaria y los exámenes coincidían justo con la celebración del congreso así que imposible seguir, y ya los años siguientes he tenido que estudiar para oposiciones. Ahora doy clase de Tecnología e Informática, y una de las cosas en las que más caña le doy a mis alumnos es precisamente en los riesgos a los que se enfrentan día a día con el móvil. De hecho, yo a Carol la he conocido a través de una actividad del instituto, y a través de la CON, jajaja.

Carol: Es que yo no me lo podía creer cuando te conocí. Estaba dando una charla con una compañera a los chicos de un instituto que habían venido a mi empresa a que les hablaran de seguridad informática, y cuando me presento y digo que dirijo el congreso, su profesor se empieza a reir. Le pregunto “¿qué, es que lo conoces?” Y me contesta “¡Claro, lo fundé yo!

Carlos: Es de lo más gracioso que me ha podido pasar, ¡jajaja! Yo estaba dando clase de informática a un grupo de 2º de Bachillerato, como ya os digo les doy mucha caña con temas de seguridad. Hablé con un amigo que es director de formación en una big four, y organizamos una visita para que mis alumnos visitaran el SOC y que alguien les hiciera una demo técnica. La persona de RRHH aprovechó que era el Día de la Mujer para que fueran dos chicas quienes les hicieran la demo técnica, y mira tú por dónde era Carol quien vino a hacerla. Sólo nos habíamos visto en foto, y como ya no llevo coleta no se dio cuenta de quien era, ¡JAJAJA!

Carol: Me quedé completamente bloqueada y diciendo “no puede ser, no puede ser, si la cago a este no se la cuelo JAJAJAJA”

Carlos: Pues me la habrías colado seguro, porque hace años que uno de mis jefes me dijo que de los 80 que éramos en la empresa tenía 79 hackers mejores que yo. Eso sí, que a mi me podía poner un traje y una corbata y soltarme donde fuera y yo sobrevivía, jaja. Vamos, que técnicamente soy bastante malo. Como mucho meter alguna comilla en una web a ver si hace algo raro.

Carlos: Sergio, ¿tú tienes alguna anécdota parecida?

Sergio: Uff… Sobre todo del primer año. De hecho, acabamos con un ponente en el hospital. Y el año siguiente otro ponente con un esguince de tobillo. Esos fueron accidentes, pero también los ponentes se dedican a trolearse entre sí.

Carlos: A mi me daban miedo cada vez que los veía en la zona del hotel donde estaban los ordenadores públicos. Nunca supimos de nada, pero prefiero no preguntar.

Sergio: Creo que queda una pegatina de la CON que pusimos el primer año a las tantas de la mañana en un ascensor, y está todavía ahí puesta!

Carlos: ¿No sería la primera noche que estuvimos arreglando el CTF con Pedro Candel?

Sergio: ¡Puede ser! Aquel CTF fue un desastre. Era el primero que montaba en mi vida, y aunque las pruebas estaban bien la plataforma fallaba mucho. No nos tiraba el sistema de puntuación y además las pruebas iban en secuencia y si no pasabas la primera no podías intentar el resto. El bueno de Pedro se puso con Berto hasta las 3 de la mañana, cenando pizza en el recibidor del hotel, cambiando toda la plataforma hasta que conseguimos apañarla.

Carlos: No fue la única noche sin dormir, porque la que pasamos en vela antes del primer día también fue de traca.

Sergio: Cuando escuchaba a gente de otras CON diciendo que no habían dormido nada la primera noche no me lo creía, y la primera en la frente. Se me había olvidado preparar un discurso de apertura.

Carlos: Estuvimos hasta muy tarde poniendo pegatinas en las tarjetas, y nos fuimos a la habitación a eso de las 2, y cuando me dices que no tienes nada preparado casi te mato. Lo siento mucho, pero eras el padre de la criatura, y ese discurso te lo tenías que hacer tú, así que lo estuvimos escribiendo y luego ensayando hasta que te lo aprendiste sin sonar como una máquina expendedora de tabaco.

Sergio: Tu Carol ¿no tienes anécdotas?

Carol: Es que comparado con vosotros no hay nada tan digno de destacar. Una vez se nos puso enfermo un ponente, pero se solucionó rápido.

Carlos: Nosotros el primer año tuvimos varias bajas de último minuto. Una de ellas nos la cubrió Román, saltando a la palestra con una charla improvisada sobre lo importante que era hacer comunidad y ayudarnos unos a otros dentro del sector. Sinceramente, aquel primer año Román nos salvó más de una bala, porque además de eso nos ayudó muchísimo a empezar, con su experiencia de Rooted.

Carlos: Yo desde la perspectiva de verlo ahora con distancia lo recuerdo como un montón de anécdotas muy buenas, pero también como una experiencia muy estresante. Vosotros dos que seguís todavía al pie del cañón, ¿cómo veis el futuro del congreso?

Carol: Pues bastante incierto. La situación sanitaria lo complica mucho, porque al hacerlo online pierde la esencia de hacer un congreso para hacer networking en la zona del norte de España. Al hacerlo online eso se pierde, y no podemos estar tan en contacto con la pequeña familia de profesionales que vivimos por aquí.

Sergio: Yo no estoy muy preocupado en ese aspecto. La intención al principio era que el congreso fuese cada vez más grande, pero con el tiempo ese objetivo cada vez ha quedado más en un segundo plano y me parece más importante esa pequeña familia que dices. Mientras sigamos manteniendo esa esencia de reunirnos, aunque sea unos pocos, pero disfrutando de lo que hacemos, el congreso sigue teniendo el mismo espíritu. Lo importante es que la gente venga y disfrute, que hagamos esa comunidad de la que tanto se habla y que cada uno ponga su granito de arena. Sh3llCON es una organización sin ánimo de lucro y no nos llevamos ni un duro, así que lo que aportamos es facilitar contactos y networking. Si este año no la podemos hacer por culpa del COVID, ya la haremos el año que viene.

Carol: Mi idea cuando quedamos hoy era haber hecho una especie de entrevista “de libro”, pero ya veo que la cosa se nos ha ido de las manos. De todos modos, para cerrar, hay algunas preguntas que tenía preparadas y que creo que pueden ser interesantes.

P: ¿Cómo empezasteis en Ciberseguridad?

Sergio: Supongo que como todo el mundo, por interés personal, leyendo muchos libros, trasteando muchas horas y apuntándome a cursos. Creo que nada fuera de lo común en este sector

Carlos: Lo mío fue un poco por error. A mi me gustaba la parte de redes, y en la universidad había una asignatura que se llamaba “gestión de redes y sistemas”, pero que debería haberse llamado “seguridad de redes y sistemas”. Allí empecé a descubrir este mundillo, y además hubo unas jornadas de ciberdefensa donde había un montón de señores de uniforme y un tío raro con gorro y greñas. Al terminar me estuve tomando algo con Chema en la cafetería de la universidad y me animó a investigar más sobre este sector.

Carol: A mi me surgió la curiosidad en Cybercamp, y a partir de ahí vi que Sh3llCON estaba en Santander y que la empresa en la que yo trabajaba era una de las patrocinadoras. A partir de ahí me puse a insistir a mis jefes en qué es lo que tenía que hacer para poder empezar a trabajar en ese departamento de la empresa.

P: ¿Qué es lo mejor y lo peor de la Ciberseguridad?

Sergio: Para mi lo mejor es que es súper entretenido, porque cada una de las pequeñas piezas es un mundo en sí misma y tienes que saber de todo. Quizá lo peor sea la incertidumbre de cuándo te la van a colar a ti, porque sabes que antes o después ocurrirá. No puedes bajar la guardia ni un momento.

Carlos: Coincido con la parte del estrés de no poder bajar la guardia. Además, hay que tener en cuenta lo rápido que cambia todo. Una vez que entras ya no hay salida, y si quieres estar al día tienes que estar constantemente leyendo blogs, papers y artículos. Es muy fácil quedarse obsoleto, y a mi de hecho me cuesta mucho estar al día. Lo mejor es que es realmente divertido.

Carol: Lo mejor es la cantidad de personas que he conocido, y que todos los días aprendes algo nuevo. Lo peor, entre comillas, es que es imposible abarcar todo. Hay tantas técnicas, tendencias y tecnologías que no sabes por dónde tirar. Tienes que terminar eligiendo.

P: ¿qué es lo que más te gusta de trabajar en ciberseguridad?

Carlos: A mi lo que más me gusta es precisamente el acercar la ciberseguridad a gente que no la conoce. Es algo que sigo haciendo aunque ya no trabaje en empresas, porque al estar dando clase a adolescentes tengo una oportunidad de oro. Hay mucha gente que no es en absoluto consciente de los riesgos que tiene llevar en el bolsillo un teléfono móvil, y sobre todo los menores están muy expuestos.

Carol: Casi que me repito un poco en la anterior. Lo que más me gusta es la evolución constante, y tienes que estar siempre al 1000% para estar a la altura. Ese nivel de estrés constante te ayuda a concentrarte y a seguir aprendiendo.

Sergio: Pues para que os voy a engañar, a mi lo que más me gusta es hacer pentesting, jajaja. Siempre que hay un reto me motivo. Y no sólo en la parte ofensiva, sino también en la defensiva para averiguar qué es lo que ha pasado. Soy de los que piensan que si tu trabajo es tu hobby, entonces es siempre mucho más divertido.

Carol: Eso es cierto, porque en este mundo si no te gusta no sobrevives. Tiene que apasionarte para que tengas ganas de seguir investigando y mejorando.

P: ¿Qué es lo que os ha aportado a nivel personal Sh3llCON y la ciberseguridad?

Carlos: Para empezar un montón de contactos y muchos amigos. Al final este sector es bastante pequeño y más o menos nos terminamos conociendo todos. El ambiente de las CON es super divertido, y yo noté una diferencia brutal entre ir a Rooted antes y después de Sh3llCON, donde la gente me conocía y me metía en mil grupitos a charlar de esto y de aquello. El sentimiento de comunidad es muy enriquecedor.

Sergio: Yo me quedo con lo mismo. He tenido la gran suerte de que el 90% de los ponentes de Sh3llCON eran mis referentes o incluso mentores, y el congreso me ha dado la oportunidad de estar en contacto con ellos, compartir experiencia o incluso trabajar juntos.

Carol: Aquí coincidimos los tres. Tener la oportunidad de tener una conversación con gente a la que admiras es una oportunidad de oro, y de otra forma tal vez no lo habría podido conseguir. Es algo que te llena mucho.

P: ¿Quiénes son vuestros referentes?

Sergio: Uff, muchos. Si tengo que dar nombres diría Román, Alejandro Ramos, José Selvi, Pedro Candel, Pedro Sánchez, Chema Alonso, Pablo González,…

Carlos: Para qué repetirme si ya los has dicho tú. Con algunos he podido trabajar, otros han sido mis profesores, y con varios me he podido tomar unas cañas y simplemente charlar. Decir sólo unos pocos es quedarse muy corto, porque por ejemplo se te olvida gente como Juan Garrido, Jesús Antón o mismamente Angelucho, aunque sea de otro tipo de perfil.

Carol: ¿Me dejáis a mí lo más complicado? ¡Es que yo diría los mismos! También diría alguien como Rubén Santamarta, con sus charlas de los sistemas de entretenimiento de aviones. Pero es que además, si te sales del mundo de las CON, hay una cantidad de profesionales enorme con los que trabajo en mi día a día y que pasan más desapercibidos, pero que son auténticos profesiones de los que aprendo a diario tanto a nivel profesional como personal.

P: ¿Qué consejos darías a alguien que quiere empezar o acaba de empezar en Ciberseguridad?

Carlos: Paciencia, mucha paciencia. Nunca dejes de leer.

Carol: Es lo que decía un profesor mío: tiempo y paciencia, paciencia y tiempo. Lo más importante es no agobiarte. Tienes miles de cursos, charlas, y cantidades enormes de información. Es muy importante asentar bien los conocimientos. Y sobre todo no perder la ilusión, no quemarte ni perder las ganas de seguir aprendiendo.

Sergio: Yo le diría que se olvide de la edad. No importa que seas joven y mayor. Hazlo, lee muchísimo y no tengas miedo a trastear con cosas. Lo importante es lanzarse, porque no hay nada que perder.

Carol: Yo le añadiría que esto no es una competición por ver quién sabe más, y también un consejo que me dio una compañera de profesión y amiga que es “mejor hecho que perfecto”. Lo importante es ir consiguiendo hacer las cosas, aunque no sean perfectas, y ya irán mejorando.

Sergio: Sobre todo hay que tener claro que se aprende más de los errores que de los aciertos. La gente se frustra por que no le sale algo, pero así aprendes 40 formas de cómo no hacer las cosas en lugar de aprender sólo una de cómo se hace bien.