Preview Mode Links will not work in preview mode

Crimen Digital


Apr 25, 2019

Andrés: Estoy hoy con un gran amigo, que ahora lo considero amigo, ya que hablo una o dos veces a la semana
con él desde hace algunos meses. Estoy refiriéndome a Bob… pero Bob, ese no es tu nombre real,
¿cuál es tu nombre real y cómo lo pronuncias?

Bob: Hola Andrés, primero, muchas gracias por invitarme a tu famoso podcast, de hecho, Bob es el nombre
que utilizo internacionalmente, para mis amigos internacionales porque mi nombre real es…  el cual es difícil de entender o pronunciar si no naciste aquí; nací en Ucrania, aquí vivo, así que, mi nombre a veces las personas que han visto Harry Potter me llaman incorrectamente como Voldemort o algún otro personaje de los libros, por lo que prefiero Bob, es simple y... fácil para pronunciar. Es corto, tiene casi el mismo significado. Era mi apodo en la Universidad, entonces lo uso como mi nickname en internet. Ahora soy Bob Diachenko.

Andrés: Muy bien, todavía recuerdo ese día que me buscaste para pedir ayuda. Platicamos después para tratar
de entender algo que habías encontrado en Internet, una base de datos. Para mí, era muy raro que
una persona desde Ucrania me estaba buscando para entender una base de datos que podría tener
datos personales de mexicanos. Pero antes de eso, ¿Cómo empezaste en el medio de ciberseguridad?

Bob: Es una historia muy interesante, pero haré un resumen: Trabajé en una empresa que tuvo una
vulneración de datos. Realmente no una vulneración tradicional. Un investigador de ciberseguridad nos
avisó que una de nuestras bases de datos estaba en internet, sin contraseña, en Mongo DB (de be) y que
la información de nuestros usuarios estaba disponible: así de simple. Yo trabajaba en ese momento en el
departamento de Relaciones Públicas, básicamente en la línea frontal de comunicación ante una crisis y
tuve que trabajar en una estrategia de cómo comunicarles a nuestros usuarios que sus datos estaban
seguros ya que nadie había consultado los datos, gracias a las bitácoras pudimos saber que nadie había
tenido acceso a ellos a excepción del investigador de ciberseguridad. En ese momento, hablé con el
investigador para entender los principios o cómo los datos estaban disponibles. Quedé inspirado por
cómo hacía sus investigaciones y qué tan fácil era encontrar los datos. Hablé con los desarrolladores y
les pregunté por qué creían que la información estaba pública y ellos sólo se rascaban la cabeza y decían
que era un tema del firewall; nunca encontré una respuesta que me satisficiera, así que traté de buscar
bases de datos en la misma situación. Usé Shodan, Zoomeye, buscadores similares y me sorprendí de la
cantidad de bases de datos que me encontré sin protección, incluso en Google, simplemente usando la
sentencia correcta de búsqueda puedes encontrar índices de SQL (ESE kU ELE)…
Hace cuánto fue esto? Mi punto clave fue 2015… fue cuando tuvimos el incidente y cuando empecé a cambiar mi carrera a
ciberseguridad. Tengo que decir, que mi pasado está lejos de lo técnico. Estoy más en el lado no-técnico.
Originalmente estudié periodismo- 

Andrés: Esto es interesante, ya que ahora eres considerado uno de los más conocidos investigadores en
ciberseguridad a nivel internacional. Es muy interesante cómo llegas al tema de ciberseguridad, que obtienes conocimiento a partir de tu esfuerzo y que no vas a un salón o curso para tener acceso al conocimiento.

Bob: Es correcto, esa se convirtió en mi misión. ¿Qué tan fácil es encontrar los datos?, no necesitas ser un
ingeniero o hacker o tener capacidades técnicas cuando hablas de “hackear”. Solo necesitas tus manos y
conocimiento básico de dónde buscar. He usado eso como mi misión para mostrarle a la gente que, si
puedo encontrar sus datos, entonces cualquier persona lo puede hacer en el mundo.
Es muy impresionante, porque normalmente lo que llega a los medios, ellos suponen que eres un
investigador y no un periodista. Entonces, iniciaste del otro lado, confrontaste a los técnicos, a los
desarrolladores y encontraste que no entendieron qué pasó y que en algunos casos no les importa la
vulneración. Ahora que andas del otro lado, que encuentras estas bases de datos, por lo menos para
mí es importante preguntarte: Una vez que encontraste una base de datos con las herramientas que
todos podemos usar, ya la encontraste, le avisas al dueño de la base de datos para que bajen esa base
de datos. ¿Por qué lo haces así?
Es muy importante resaltar esto, cuando encuentro algo que contiene datos sensibles, no lo publico
para no atraer la atención maliciosa o la atención simplemente de un hacker que pueda obtener los
datos. Lo primero que hago analizo el contenido de la base de datos para encontrar cualquier
remanente de una empresa (quitar mi comentario de que está cabrón) o persona que administra la
base de datos. Uso open source intelligence para encontrar correos electrónicos, teléfonos o algo para
identificar la empresa o la persona y avisarle. Necesito contactar a la persona correcta. Quiero estar
seguro de que nadie más podrá obtener la información después de que avisé a una persona o a una
organización. De cualquier manera, si no hay forma de encontrar a la persona o la empresa, cuando se
que esta información no debería estar en el Internet, a veces trabajo con expertos alrededor del mundo
para que me ayuden, como en tu caso Andrés en México y Latinoamérica. Es así como entendí la magia
de Twitter, tengo buenos contactos que les interesa y se preocupan por la seguridad y sobre la
divulgación responsable de una base de datos en todo el mundo. He tenido conversaciones con
personas en Brasil, Colombia, China, Europa, Estados Unidos por supuesto y me han ayudado a entender
los datos especialmente cuando están en otro idioma como el español o portugués. Y en estos casos,
siento el poder de la comunidad cuando estamos en el lado correcto de asegurar este internet inseguro.
Siento que soy un caballero en la edad media combatiendo las fuerzas del mal o algo así, es chistoso,
pero me inspira.

Andrés: Tienes razón, pero al final, la comunidad de ciberseguridad está tratando de sentar un precedente y
ser más proactivo que reactivo, pero también la gente no reacciona correcta, ¿cuáles han sido las
reacciones más raras que has tenido cuando les avisas que su información está pública?

Bob: El primer año que encontraba bases de datos fue muy difícil alertar a los dueños. Yo era una persona
que nadie conocía, sin reputación, no tenía respaldo de la comunidad. Era simplemente una persona
llamando a los encargados de Ciberseguridad o de Infraestructura. A veces pensaban que era una
persona que generaba una amenaza, amedrentando, pidiendo dinero y por poco me doy por vencido al
hacer este trabajo, esta actividad.
Pero después, cuando me gané una reputación haciendo cosas buenas y algunos reportes, mi reputación
creció y ahora cada reporte que envío regresa con agradecimiento. Entonces veo que las empresas quizá
ya se han educado o quizá el tema de GDPR en Europa donde están teniendo más responsabilidad hacia los datos de sus clientes, entonces reaccionan de una mejor forma. Hoy en día es más fácil que las
empresas entiendan que hay algo mal con sus bases de datos. Al principio era un gran reto.

Andrés: Ya lo creo. ¿Considerando lo que has visto y tus experiencias, hay algo diferente entre lo que pasa en
los países como América Latina contra Europa? ¿Estamos hablando de el mismo comportamiento
entre los CISO’s o los administradores de TI o expertos cuando les comentas de lo que encontraste?

Bob: Puedo decir que hay diferencias, por ejemplo, entre las reacciones en Europa o Estados Unidos y
Latinoamérica. De hecho, México no es el peor caso, puedo decirte que lo que vi en México hoy es
mucho mejor de lo que me pasó hace un año. No sé cuál es la razón, pero espero que yo también haya
contribuido a la educación en ciberseguridad en México. El peor caso que tuve en estos países en
América Latina, fue en Brasil. Creo que tienen problemas cuando se refiere a contactar a las empresas,
no conozco las razones, pero así fue. De hecho, voy a Brasil en mayo a dar una conferencia y quiero
conocer a la comunidad, ya tengo algunos contactos y hacerles la misma pregunta y quizá podamos
hacer una diferencia.
Posiblemente puedes también aprender portugués y bailar con ellos.

Andrés: Se que has encontrado, por lo menos en los que he estado dándole seguimiento y ayudándote. Ese
caso de los 2.3 registros médicos en Michoacán y el otro de los CFDI’s de nóminas que encontraste
hace unos meses. En estos casos, y lo vimos en los medios, sigue el proceso y las autoridades tienen
un proceso. ¿Pero, en qué estás trabajando ahora?

Bob: Esos casos en México siguen abiertos y creo que todavía voy a escuchar de las autoridades en México
acerca del avance y la información adicional que necesitan para poder encontrar a los dueños de los
datos. Hablo del último caso de los recibos. Esos casos están abiertos. Los casos más grandes que estoy
trabajando ahora vienen de Brasil, y todavía no sé dónde reportarlo correctamente y a quién contactar.
Estoy tratando de determinar cómo hacerlo, pero el tamaño de información personal es increíble.
Incluyendo políticos con sus identificaciones, direcciones, correos, teléfonos, mucha información se
encuentra ahí. No puedo compartir mucho por ahora, pero tendré más actualizaciones cuando vaya a
Brasil e incluiré en mi presentación la información. Prácticamente todo los días encuentro una nueva
vulneración que trato de hacer de forma correcto, empresas muy grandes están involucradas. EN
algunos casos no publico información en empresas muy grandes, estoy haciendo lo correcto, una buena
respuesta de ellos, pero no creo que todos los hallazgos se tienen que hacer públicos.


Andrés: El tiempo en los podcasts siempre quedan cortos, no hablamos de todo lo que me gustaría, pero
quiero compartir con nuestros podescuchas que todo lo que has comentado, lo que has dicho, lo
haces sin cobrar, lo haces probono. Compartes esto para poder lograr que la gente sepa de lo que está
pasando y lo que representa. Quiero reconocerlo y agradecerte por ello. Para terminar, dos cosas: qué
le dirías a los jóvenes que quieren empezar en ciberseguridad, tu empezaste hace un par de años,
pero qué les dirías. Y, por otro lado, ¿cómo te pueden contactar?

Bob: Empezaré con la segunda, estoy en mi twitter disponible @MayhemDayOne o busca por Bob Diachenko
o Securitydiscovery.com donde siempre hay una forma para poder contactarme, pueden hacerlo en la
sección llamada “acerca de”. Es fácil contactarme. En cuanto a un tip a los jóvenes para seguir este
camino, he tenido conversaciones muy interesantes con personas que quieren hacer lo mismo que yo o copiarme, necesitas preguntarte a ti mismo, por qué lo estas haciendo, solo por fama o dinero, esto no
es para ti. No puedes tener este sentimiento de compartir los valores en la comunidad de
ciberseguridad, trato de hacer una diferencia y hacer este internet más seguro y yo solo puedo invitar a
las empresas y a los empleados de constantemente revisar sus direcciones IP’s y sus perímetros de
buscadores como Shodan o Zoomeye. Siempre hay un riesgo de que tu dirección IP esté pública y que el
monitor de bebés esté compartiendo el video de tus hijos al internet, lo cual asusta.

Andrés: Es muy interesante lo que dices. No me queda decir mas que gracias por tu tiempo, no sé que hora es
en Ucrania, solo sé que son muchas horas por delante de nosotros. Gracias por tu tiempo y espero que
podamos volver a platicar contigo de otros temas que nos ayuden a entender otras cosas.

Bob: Gracias por invitarme, estoy muy orgulloso de que puedo llamarte mi amigo, espero podamos coincidir
en México o en algún lado, darnos un apretón de manos y continuar trabajando juntos para poder tener
un mundo digital más seguro.
Gracias