Hay personas a las que hay que conocer y hablar con ellos sí o sí, este es el caso de Vicente Aguilera, gran profesional que lleva en "esto de la ciberseguridad" desde antes de que surgiese el término como tal o fuera conocido, aunque ya nos lo contará él, su curriculum es impresionante, fundador de una empresa de ciberseguridad en España en el 2001, gran riesgo asumido y visión de futuro, miembro de consejos, colaborador en múltiples proyectos y speaker habitual en muchos congresos, pero todo esto es superado por su experiencia y calidad humana, vamos a conocer un poquito más a Vicente.
PREGUNTA:¿Quién es Vicente Aguilera?
R: Una persona con muchos años, pero con espíritu joven, nacido en Barcelona. Alguien que le cuesta decir que no y acaba metido en más guerras de las que debiera. Alguien que en 2001 creó, junto con unos amigos, la empresa Internet Security Auditors, en una época en la que la ciberseguridad (o seguridad informática como nos referíamos por aquel entonces) se encontraba en pañales. Una empresa que hemos hecho crecer lentamente, pero sin pausa, y en la que actualmente disponemos de oficinas en Barcelona, Madrid y Bogotá, con clientes en más de 30 países. Una persona que, a pesar de estar metido en muchos frentes, es consciente de las prioridades. Alguien para quien su familia lo es todo y se lo debe todo.
P:En tus más de veintiún años de experiencia, que no es poco, habrás podido ver una evolución considerable en nuestro campo ¿Qué consideras más notable de esta?
R: Como decía, ya tengo muchos años. En realidad, mi experiencia viene de más atrás. Durante la universidad, comencé como becario en los 90 en el Parque Tecnológico del Vallés, en Barcelona. En una empresa en la que hacía un poco de todo: desde creación de sitios web, programación en Delphi y Java, instalaciones de redes cableadas con sistemas basados en Windows NT 3.1, o instalaciones y configuraciones de módems a 33.6kbs con conexiones a Arrakis. Muchas anécdotas en aquella época, como podréis imaginar. Tras esta empresa, pasé por dos consultoras antes de crear Internet Security Auditors. En la primera, como desarrollador y analista, donde entré en el mundo de Oracle y sus herramientas de desarrollo cliente/servidor con Developer/2000 y Designer/2000. En la segunda, tras una etapa como analista, acabé ejerciendo como responsable del área de Internet, algo por lo que apostó mi gerente y que confío en mí para llevar adelante.
En estas décadas, la evolución ha sido notable en muchos aspectos. Hemos madurado en concienciación en ciberseguridad, como no podía ser de otra manera, pero a la vez hemos asumido muchos riesgos incorporando la tecnología en nuestro día a día. Las redes sociales han marcado un hito muy importante en nuestras vidas. Me interesa también el cambio cultural, y como Internet y los dispositivos móviles han afectado a las nuevas generaciones.
P:¿Por qué decidiste entrar en este sector?
R: Creo que soy un caso particular, ya que tenía claro a lo que me quería dedicar el resto de mi vida desde los 10 años. Quería dedicarme al mundo de la informática, y por aquel entonces la película Juegos de Guerra me impactó (como creo que a muchos de mi generación). Dominar la tecnología era como saber magia, pero a lo grande. Con esa edad ya hice mi primer curso de informática y a los 12 años mis padres, con mucho esfuerzo, me compraron mi primer ordenador: un Amstrad CPC 6128, con disquetera de 3 ½'' (que abría en ocasiones para intentar arreglar yo mismo cuando daba problemas el motor o el cabezal de lectura). Se trataba de la evolución del CPC 464 de cinta, que ya tenía mi primo y con el que pasábamos grandes momentos jugando al Commando o el Army Moves, entre otros.
No había Internet, y aprendía leyendo las revistas del sector. En especial, de aquellas cuyas páginas sólo tenían líneas de código que tenías que picar en tu ordenador y tener suerte de que no hubiera errores de impresión. En muchas ocasiones, había zonas de la página que no se veían y tenías que improvisar las líneas que faltaban si querías poder jugar. Me gustaba modificar los programas para crear los míos propios.
Recuerdo que, con 14 años, junto con 3 amigos queríamos montar una empresa dedicada a la creación de juegos. Incluso llegamos a contactar con algunas empresas como Dinamic para ver si estaban interesadas. Obviamente, no tuvimos respuesta positiva.
A partir ahí, seguí evolucionando, dirigiéndome hacia la seguridad informática.
P:¿Tienes algo nuevo entre manos que puedas contarnos?
R: A nivel profesional, tengo todavía muchos retos que atender cada día. A nivel personal, estoy pendiente de finalizar y publicar una nueva versión de mi herramienta "tinfoleak", orientada a analistas de inteligencia, que incorpora el mayor cambio desde que la creé en 2014. Ahora he reescrito el código desde cero, desarrollando una versión web que recopila información de múltiples fuentes (no sólo Twitter), que incluye nuevas funcionalidades y ofrece más detalles de las existentes anteriormente.
Este mes me invitaron a participar en el Cybersecurity Summer Bootcamp, que organiza INCIBE y la OEA (Organización de los Estados Americanos) junto con el apoyo de los gobiernos de Canadá y Estados Unidos, y me supuso un empuje importante al recibir numerosos apoyos de las fuerzas y cuerpos de seguridad de numerosos países que asistían el evento y que me exponían casos concretos en los que habían utilizado tinfoleak ayudándoles en sus investigaciones. Sin duda, el aporte a la sociedad es la mayor recompensa y lo que me anima a seguir investigando.
P: ¿A qué dedica Vicente Aguilera su tiempo libre?
R: Como podréis imaginar, tiempo libre tengo muy poco. Entre el día día de la empresa, la dirección de un máster en ciberinteligencia, conferencias, OWASP, tinfoleak y temas varios, me faltan horas. Aún así, intento rascar todo lo que puedo para dedicar tiempo de calidad a mi familia. Soy cinéfilo (aunque la memoria ya me juega malas pasadas), me gusta saborear un buen libro (ahora tengo sobre la mesa "Los hombres de la niebla", de Pablo Zarrabeitia) y me siento privilegiado al disfrutar del paseo marítimo por mi ciudad. Necesito tener el mar cerca. No hay nada que me relaje más que su olor y sentir las olas junto a una ligera brisa.
P: ¿Tienes alguna vocación oculta? Cuéntanos si dejaste algo de lado por dedicarte a la Ciberseguridad.
R: Siempre quise dedicarme a la ciberseguridad, por lo que no tuve que abandonar ningún otro proyecto. Si hubiera tenido que dedicarme a algo diferente, también lo tengo claro: me habría gustado formar parte de las fuerzas y cuerpos de seguridad.
P: Con el avance tecnológico actual ¿Crees que hay suficiente concienciación ante la necesidad de ciberprotegerse?
R: Creo que falta mucho trabajo por hacer en materia de concienciación, y esa es una de las mayores debilidades de la sociedad. Por ejemplo, para la mayoría de los padres, que sus hijos sean autónomos con las tablets o los móviles, es sinónimo de dominar la tecnología. Pero una cosa es utilizar la tecnología y otra muy diferente es hacerlo de manera segura. Por otro lado, nos dejamos arrastrar por las modas. Incorporamos tecnologías simplemente porque otros las usan, pero no nos paramos a pensar si realmente las necesitamos o las implicaciones que puede tener en nuestra seguridad o privacidad.
Creo que, desde edades muy tempranas y desde las instituciones educativas, se debería contemplar la tecnología desde todos sus ángulos. No sólo lo que aporta y como aprovecharla, sino también la otra cara de la moneda: qué riesgos implica y qué medidas debemos adoptar para minimizarlos. El primer paso es ser consciente del escenario en el que nos encontramos. No podemos protegernos de algo que desconocemos su existencia.
P: Después del libro que publicaste en la editorial de Hackers por excelencia 0xWORD, titulado "Open Source INTelligence (OSINT)", del cual eres coautor junto a Carlos Seisdedos, ¿Tienes alguno más entre manos de forma individual o alguna coautoría?
R: Fue una gran experiencia escribir el libro sobre #OSINT en una editorial como 0xWord. Son una de esas ideas locas que un día te proponen y acaban viendo la luz. En estos momentos tengo un par de propuestas de libros. Uno en coautoría, con un enfoque técnico, y otro de forma individual que me atrae mucho por no dedicarse exclusivamente a temas relacionados con la ciberseguridad, sino que pretende abordar otro tipo de aspectos.
De momento son propuestas que tengo sobre la mesa y no puedo profundizar más. Tampoco sé si acabarán llegando a buen puerto (más por una cuestión de tiempo que por interés en escribirlos). Ojalá en un tiempo podamos conversar sobre la publicación de estos dos nuevos libros.
P: Anteriormente también hemos entrevistado a Carlos Seisdedos y Pedro Baños en nuestra sección de entrevistas, ¿habéis pensado en volver a editar juntos después de ese magnífico ejemplar que llevasteis a cabo?
R: Tengo que agradecer la predisposición del Coronel Pedro Baños para escribir el prólogo de nuestro libro, y las amables palabras que nos dedicó. Comencé a hablar con Pedro en 2016, cuando aún no era lo mediático que es hoy, y realizaba el programa "Visión Geopolítica" en Youtube. Posteriormente, tuvimos ocasión de coincidir en distintos eventos y siempre se ha destacado por expresar sus ideas de forma clara, independiente y con absoluta convicción.
Volviendo a la pregunta, la respuesta es afirmativa. Carlos y yo hemos pensado en volver a editar un libro, que sería una continuidad del publicado en #0xWord y profundizando en los aspectos relacionados con las técnicas OSINT.
P: ¿Cómo es tu trabajo en Spain Chapter Leader y Owner? Cuéntanos esos datos interesantes que nadie conoce.
R: Conocía la comunidad #OWASP desde prácticamente sus inicios, que fueron contemporáneos con la creación de Internet Security Auditors.
Me gustaba la idea de esa inteligencia colectiva, de la contribución de voluntarios de la comunidad internacional para crear material de calidad profesional y de forma totalmente altruista. Así que un día contacté con Jeff Williams (uno de los fundadores de OWASP y uno de sus principales contribuidores) para proponerle la creación del capítulo español de OWASP. En 2005 nacía OWASP Spain.
La Fundación OWASP, que se encarga de ofrecer la infraestructura y apoyo a los distintos capítulos locales, es una asociación sin ánimo de lucro, independiente de fabricantes, cuyo objetivo es ayudar a la creación de un software más seguro. Los capítulos llevamos esa filosofía a nuestro entorno local.
En 2005 la seguridad en la capa de aplicación seguía siendo prácticamente inexistente y relegada a un segundo plano, ya que la prioridad se focalizaba en la capa de red y era donde se aplicaba el mayor esfuerzo. OWASP era desconocida en España, y uno de mis primeros objetivos fue dar visibilidad en nuestro país a todo el trabajo que se venía desarrollando por esta gran comunidad. Para ello, comencé a organizar los OWASP Spain Chapter Meetings, eventos gratuitos en los que contábamos con más de 200 personas (ahora parecen muy pocas, pero estamos hablando de hace más 16 años) y que costaba mucho esfuerzo sacar adelante. Comenzamos a realizar eventos conjuntos con el capítulo de Portugal, conseguimos algunos patrocinadores, y comenzamos a tener como ponentes a personalidades relevantes a nivel internacional como el criptógrafo Bruce Schneier o el fundador del movimiento del software libre Richard Stallman. Por otro lado, abrimos una lista de correo para que los miembros del capítulo pudieran comunicarse entre ellos, al mismo tiempo que yo también formaba parte de otra lista en la que nos encontrábamos los líderes de los distintos capítulos a nivel mundial donde discutíamos otros aspectos (por ejemplo, si debería existir una certificación para nuestros proyectos). Comenzamos a mover iniciativas locales (es cierto que sin demasiado recorrido), y a participar en proyectos ya existentes en OWASP. En este punto, debo reconocer el gran trabajo que han realizado en OWASP personas de nuestro país como Javier Fernández-Sanguino o Raúl Siles.
Por mi parte, formé parte de las sesiones de trabajo de OWASP en representación de nuestro capítulo, estuve participando como autor y revisor de la OWASP Testing Guide, participé en OWASP Top 10 así como en otros proyectos open-source, no sólo de OWASP, como el Threat Classification de WASC (Web Application Security Consortium), o la ISSAF de OISSG (Open Information System Security Group). Asimismo, como miembro de OWASP, formo parte del Consejo Técnico Asesor de la revista RedSeguridad desde 2007.
Alguna cosa debimos hacer bien, ya que OWASP comenzó a ser conocida y reconocida en España. Actualmente, cualquier persona que, de alguna u otra manera, esté involucrada en proyectos de software, seguro que conoce o ha utilizado alguno de nuestros proyectos.
P: Nos gustaría que añadieras algún consejo o cualquier tipo de opinión que quieras resaltar para que las futuras generaciones puedan ser guiadas por un referente del sector.
R: En mi humilde opinión, a los más jóvenes les diría que han de identificar claramente sus objetivos. Y que no tengan miedo a poner un listón que pueda parecer muy alto. Hay un proverbio chino que suelo repetir en muchas ocasiones y que dice algo así como "Si alguien intenta alcanzar la luna tirándole piedras, nunca lo conseguirá pero se convertirá en el mejor lanzador de piedras del mundo". Es decir, aunque no lleguemos nunca a alcanzar ese objetivo propuesto, por el camino seguro que conseguiremos muchos otros objetivos que no habíamos pensado y que quizás son más importantes que la idea inicial.
Por otro lado, no se puede ser experto en todo, por lo que la especialización resulta clave si quieres acabar profundizando en alguna materia. Se puede ser autodidacta, pero una mejor opción es la formación. No sólo te abrirá lo ojos a nuevas expectativas, sino que te ayudará a crecer más rápidamente. Mientras tanto, les diría que tocaran muchos palos, que identifiquen lo que más les atraiga y que aprovechen para aprender de cualquier cosa que hagan ya que, a buen seguro, tarde o temprano les será útil.
Y así concluye nuestra entrevista a Vicente Aguilera, con un gran consejo y una excelente frase sin lugar a dudas, muchísimas gracias por tu tiempo Vicente, esperamos seguir viéndote en muchas conferencias y aprender de tus consejos. Y si queréis contactar con él, podéis hacerlo a través de su buzón en Mypublicinbox.
Nos vemos!!