Entrevista a Carlos y Sergio de Sh3llCON

Quedan dos días para que empiece Sh3llCON y sus fundadores Carlos Díez y Sergio Sáiz nos han hecho un hueco en sus apretadas agendas para contestarnos a algunas preguntas.

Antes de ir con la entrevista, me gustaría contaros por qué le tengo un cariño especial a Sh3llCON y por qué no os la debéis perder.

Lo primero, fueron los primeros en darme la oportunidad de “hablar de mi libro” para una audiencia especializada. Gracias a ese pequeño empujón que me dieron los amigos de Sh3llCON, durante 2015 me animé a presentar en otros congresos, entre ellos en BruCON.

Además de esto, las charlas son buenas, el precio es difícil de mejorar (hasta tienen descuentos para parados y estudiantes), heavy metal entre charla y charla… ¡¡y encima es en Cantabria!!

La única pega es que en enero la playa del Sardinero esta un poco complicada para bañarse (ejem… ShellCON… ejem… Julio… ejem).

Y sin más os dejo con la entrevista:

Antes de entrar en materia, ¿Quiénes estáis detrás de Sh3llCON? ¿quiénes son Carlos y Sergio?

SergioCarlos: Pues somos dos personas de lo más normalito, que compartimos más de una afición. Entre ellas la de cacharrear con ordenadores, y también la de complicarnos la vida mucho más de lo que debiéramos!

Sergio: En mi opinión, somos dos locos que no sabían dónde se metían…

¿A qué os dedicáis profesionalmente? ¿En qué consiste tu trabajo diario?

sabado-sh3llcon-28Carlos: Empecé intentando meterme en equipos de auditoría técnica y pentest, pero tengo que reconocer que no se me da nada bien. Por ello he terminado enfocándome más en la gestión de servicios de seguridad, consultoría y auditoría normativa.

Sergio: Actualmente soy administrador de sistemas, aunque cada vez toco más palos relacionados más directamente con la seguridad, que es lo que más me gusta. Así que intento aprovechar todo lo que puedo de lo que veo en mi trabajo diario para aplicarlo en seguridad.

¿Cómo llegasteis al mundo de la informática en general y al de la seguridad en particular?

Sergio: Tengo que reconocer que, aunque empecé muy tarde con la informática (mi primer ordenador – a excepción del spectrum 128K – le tuve con 18 años, y era prestado), siempre he destripado trastos viejos que había por casa. Empecé trabajando como programador, y fue entonces cuando me enteré de que se iba a celebrar la primera RootedCON, a la que acudí sin saber muy bien qué era todo aquello. Ahí me di cuenta de que quería dedicarme a esto, y simplemente seguí mi propio instinto.

Carlos: En mi caso fue a partir de unas jornadas de ciberdefensa que hubo en mi universidad. Había «un señor con gorro» con el que estuve hablando en la cafetería, y al comentarle que me gustaba mucho de lo que habían estado hablando pero que para mi era algo nuevo y que no creía poder ponerme al día me contestó que lo único que tenía que tener eran ganas de aprender. Y mira tú, desde entonces hasta hoy!

Me parece muy complicado encontrar cosas interesantes fuera de Madrid o Barcelona, aunque espero que cada vez podamos tender más al trabajo en remoto.

¿Cómo veis el estado del trabajo de seguridad en España?

Sergio: Yo creo que cada vez hay más y mejor trabajo, aunque todavía queda mucho camino por recorrer. El tema del teletrabajo está empezando a entrar en las empresas, y se descubren cada vez a mejores profesionales. Todo esto es bueno, pero tiene que haber una sintonía entre ambas partes.

Carlos: Personalmente lo veo como un sector con mucho futuro, pero que por desgracia sigue estando muy localizado en pocos sitios. Me parece muy complicado encontrar cosas interesantes fuera de Madrid o Barcelona, aunque espero que cada vez podamos tender más al trabajo en remoto.

¿Qué consejo le daríais a las personas que quieran dedicarse a la seguridad?

Carlos: Que nunca es tarde, y que trabajar en seguridad no implica tener que ser un técnico con una capacidad sobresaliente. Hoy en día la seguridad es un servicio transversal a cualquier empresa/organización, y tenemos la suerte de que la normativa y la legislación van en nuestro favor.

Sergio: Coincido totalmente con Carlos, si alguien quiere dedicarse realmente a seguridad, adelante, sea quien sea y tenga la edad que tenga. Que se mueva, que lea todos los artículos que pueda, que conozca gente, que sea persistente… al final de lo que se trata es de ser feliz, las metas se las pone uno mismo.

sh3llcon-viernes-31
¿Cómo es alternar el trabajo diario con la organización de un evento como la Sh3llCON?

Sergio: Esta pregunta la debería responder mi mujer… Si tienes la suerte de poder utilizar tiempo de tu trabajo para el congreso, genial. Y si no, tienes que hacer malabares y utilizar tu tiempo personal, al fin y al cabo Sh3llCON no deja de ser un proyecto personal, y todo el tiempo que le puedas dedicar es poco.

Carlos: Complicado! Sobre todo en algunas fechas críticas en las que parece que se juntan las fases más complicadas de trabajo y evento, y hay que sacarlo todo adelante al mismo tiempo.

Si alguien quiere dedicarse realmente a seguridad, adelante, sea quien sea y tenga la edad que tenga. Que se mueva, que lea todos los artículos que pueda, que conozca gente, que sea persistente… al final de lo que se trata es de ser feliz, las metas se las pone uno mismo.

¿Nos podéis dar algunas cifras de la pasada edición?

Carlos: Yo me quedo con dos cifras. Por un lado, 16 ponentes cuando pensábamos que no íbamos a llegar ni siquiera a cubrir una jornada de 6 charlas. Por el otro, una sala con más de 100 personas. Al empezar el viernes y ver la sala llena yo no me lo creía.

¿Cuántas personas hay implicadas en la Sh3llCON? ¿De qué forma?

Carlos: Empezamos siendo 5, y este año somos 11. Todos participamos de forma voluntaria (Sh3llCON es una organización sin ánimo de lucro) y echamos el tiempo que podemos en la organización. Nos repartimos muchas tareas, desde buscar financiación, mantenimiento de la web, gestión de redes sociales, merchandising,… Y a veces nos faltan manos!

Sergio: Efectivamente, este año somos 11, y a veces no es fácil ponernos de acuerdo en todo, son muchas las tareas a hacer. Pero en cierto modo me gusta pensar que Sh3llCON lo hace mucha más gente, al fin y al cabo nosotros «solo» ponemos de acuerdo a ponentes, asistentes y patrocinadores. Sin alguna de estas partes, no se podría hacer.

Qué novedades podemos esperar en la segunda edición de Sh3llCON?

Carlos: Hay algunos cambios que nos sugirieron en las encuestas de la primera edición. Por ejemplo, hemos sustituido un par de charlas por talleres más prácticos. Aparte, hemos cambiado el concurso de desarrollo por un CTF básico. Nuestra idea con esto no es hacer un reto complejo, sino animar a que se presente la gente que pueda pensar que no tiene suficiente capacidad para participar en este tipo de retos.

La gente nos agradecía el montar algo así «cerca de su casa».

La acogida del primer evento fue muy buena, ¿cuál creéis que es el motivo?

Sergio: Yo creo que se echaba de menos algo así en esta región, puesto que el evento más cercano estaba en Madrid. También quizás es algo nuevo para mucha gente que se dedica a la informática, y el hecho de hablar de «hackers» es llamativo. Otros supongo que se habrán acercado al ver LA (así, con mayúsculas) oportunidad de meterse más en este mundillo, conocer gente que le gustan las mismas cosas (ya no eres el raro del grupo)… y lo digo porque en mi caso fue así cuando decidí asistir a mi primera CON.

Carlos: Creo que hay mucha gente que no puede permitirse el ir a CONs más grandes por el hecho de tener que trasladarse durante 3 días, pagar viajes y hotel,… En la edición del año pasado teníamos a mucha gente de PYMEs, a universitarios y gente de institutos, etc. La gente nos agradecía el montar algo así «cerca de su casa».

¿Que problemas encontrasteis en la primera edición del evento?

Carlos: Hay que reconocer que conseguir el presupuesto para montar algo como Sh3llCON es muy complicado. Al final hay que pagar billetes de avión, habitaciones de hotel, un auditorio, mucho material,… Hemos tenido más de un momento de querer tirar la toalla a medio camino, o incluso de reservar algo de nuestro propio bolsillo por si no llegásemos a cubrir gastos. Aparte de esto, es muy difícil llegar al público, y conseguir que el número de asistentes sea el mayor posible. Trabajamos mucho para intentar tener visibilidad, que nos conozcan en universidades, en clusters de empresas, en redes sociales… Sin público un evento como Sh3llCON no tendría sentido.

Sergio: Sobre todo eso, darte a conocer, que te hagan caso, que llegues a la gente y conseguir que les guste la idea tanto como a ti. Por no hablar conseguir que, además, te den dinero para llevarlo a cabo. Aunque debo reconocer que hubo patrocinadores que no se lo pensaron dos veces a la hora de apoyarnos, es algo con lo que siempre estaré en deuda.

¿Alguna anécdota que queráis compartir de la anterior edición de Sh3llCON?

Carlos: Jueves a las 4 de la mañana, todavía poniendo pegatinas a mano en todas las acreditaciones, Sergio dándole vueltas al discurso de inauguración y yo diciéndole «pareces una máquina expendedora, ¡empieza otra vez!». Nos pasamos la noche sin dormir y el viernes no podíamos con el alma.

Sergio: ¡Iba a contar esa misma anécdota! Soy pésimo a la hora de hablar y explicarme, tenía que decir 4 párrafos en.. ¿cuánto, 2 minutos? Y después pasarle la palabra a Carlos. En serio, se me da muy mal… Carlos creo que tiene callo todavía de pegar los códigos en las acreditaciones. Tengo otra más, y es que la primera vez que llamé a Carlos para proponerle hacer una CON me dijo que sí, que lo intentásemos a ver hasta dónde llegábamos. Una semana después le llamé diciéndole que tenía X ponentes confirmados, medio apalabrado un patrocinio y recuerdo un breve silencio en el teléfono, seguidamente de un largo ¿quéeeee?
sabado-sh3llcon-45
¿Qué aspecto tiene Sh3llCON a futuro?

Sergio: Llámame ingenuo, pero mi objetivo es que sea una especie de «centro de especialización de seguridad informática» durante dos/tres días al año, que haya talleres para todos los niveles, charlas de todo tipo de temáticas, ctf para newbies y ctf para pros, zonas de networking, que todos y cada uno de los asistentes encuentre su rincón en el congreso… Todo a su debido tiempo.

Carlos: Espero que bueno!! Hay mucha gente poniéndole muchas ganas, así que espero que siga teniendo buena acogida del público.

El volumen de información, eventos, y empresas que están entrando en el terreno de la seguridad es notable desde hace unos años. ¿Creéis que este volumen viene acompañado de un nivel de calidad acorde? ¿Qué opináis del estado de la “comunidad” de la seguridad actual?

Carlos: Es cierto que cada vez hay más eventos de este tipo, así que lo que más importante me parece es que también haya cada vez más gente con ganas de dar charlas. Creo que una de las funciones que deberíamos tener es la de identificar nuevos talentos, gente que nunca haya dado una charla pero que tenga una idea interesante que compartir con la comunidad. Por eso este año hemos abierto un Call For Papers, para animar a que todo el que quiera pudiera mandarnos temas interesantes y abrir la puerta a todo el mundo.

Sergio: Hay de todo, como en todos los sitios. Hay vende-humos y hay gente seria (tanto empresas como profesionales). Pero creo que en general se está tomando este tema más en serio. En cuanto a la comunidad, no puedo hablar mucho porque no llevo tanto tiempo como otros, pero en mi opinión el mundo ‘under’ ya no es tan ‘under’ como antes, ahora es más ‘comunidad’. Sí que hay mucha colaboración entre CON’s (llámese RootedCON, NocONName, NavajaNegra-ConectaCON, Hackr0n…), y a ellas les agradezco lo que hoy es Sh3llCON. Además, me parece una forma muy directa y viable de debatir un tema entre tanta gente, y donde cualquiera, repito, CUALQUIERA, puede darse a conocer o exponer su opinión/visión/proyecto/etc sobre algo en concreto.

Todos los que vengáis por Sh3llCON diciendo que venís de parte de SecurityInside os invito a una caña!

Por último, sabemos que mantenerse al día en este mundo es complicado, ¿Qué blogs de seguridad (aparte del nuestro) leéis normalmente? ¿Cómo os mantenéis al día?

Carlos: Tengo que reconocer que cada vez tengo menos tiempo de seguir blogs, así que aprovecho mucho los reportes semanales que se hacen desde el SOC de la empresa en la que trabajo (Thanks guys!). Aparte de eso hoy por hoy miro poco más que las newsletters de Hispasec, y los RSS de SBD, Flu Project y de Chema. Admiro de verdad a todos los que podéis organizaros no sólo para estar al día leyendo varios blogs, sino también para escribir posts de forma periódica. Olé vosotros!

Sergio: Yo últimamente tiro más de twitter porque me es más inmediato consultarlo desde el móvil que un blog pero, si responde a tu pregunta, me ‘crié’ leyendo SET (aunque no fuese un blog y entendiese más bien poco), y por RSS a SecurityByDefault, El lado del mal y websecurity. Después ya descubrí Flu Project, SecurityArtWork, Pentester, DebianHackers… no es mi intención hacer publicidad, que conste 🙂

¿Algo que queráis añadir?

Carlos: Que a todos los que vengáis por Sh3llCON diciendo que venís de parte de SecurityInside os invito a una caña! Muchas gracias por acordaros de nosotros!

Sergio: Que yo voy de parte de SecurityInside 😛 y a todos los que hacen posible Sh3llCON: So long and thanks for all the shoes!

Y hasta aquí la entrevista con estos chicos que tuvieron una idea y no pararon hasta hacerla realidad.
Aprovechad que hoy, día 20 de enero, es el último día para comprar las entradas. Así que si no tenéis planes para el fin de semana, pasaros a partir del día 22 de enero por Sh3llCON, visitad Santander, aprended muchas cosas, decidle a Carlos que vais de nuestra parte para que os invite a una cañita y si me mandáis unas anchoitas de Santoña os estaré eternamente agradecido.

Ernesto Corral