Apr 25, 2019
Andrés: Estoy hoy con un gran amigo, que ahora
lo considero amigo, ya que hablo una o dos veces a la semana
con él desde hace algunos meses. Estoy refiriéndome a Bob… pero
Bob, ese no es tu nombre real,
¿cuál es tu nombre real y cómo lo pronuncias?
Bob: Hola Andrés, primero, muchas gracias por
invitarme a tu famoso podcast, de hecho, Bob es el nombre
que utilizo internacionalmente, para mis amigos internacionales
porque mi nombre real es… el cual es difícil de entender o
pronunciar si no naciste aquí; nací en Ucrania, aquí vivo, así que,
mi nombre a veces las personas que han visto Harry Potter me llaman
incorrectamente como Voldemort o algún otro personaje de los
libros, por lo que prefiero Bob, es simple y... fácil para
pronunciar. Es corto, tiene casi el mismo significado. Era mi apodo
en la Universidad, entonces lo uso como mi nickname en internet.
Ahora soy Bob Diachenko.
Andrés: Muy bien, todavía recuerdo ese día que
me buscaste para pedir ayuda. Platicamos después para tratar
de entender algo que habías encontrado en Internet, una base de
datos. Para mí, era muy raro que
una persona desde Ucrania me estaba buscando para entender una base
de datos que podría tener
datos personales de mexicanos. Pero antes de eso, ¿Cómo empezaste
en el medio de ciberseguridad?
Bob: Es una historia muy interesante, pero
haré un resumen: Trabajé en una empresa que tuvo una
vulneración de datos. Realmente no una vulneración tradicional. Un
investigador de ciberseguridad nos
avisó que una de nuestras bases de datos estaba en internet, sin
contraseña, en Mongo DB (de be) y que
la información de nuestros usuarios estaba disponible: así de
simple. Yo trabajaba en ese momento en el
departamento de Relaciones Públicas, básicamente en la línea
frontal de comunicación ante una crisis y
tuve que trabajar en una estrategia de cómo comunicarles a nuestros
usuarios que sus datos estaban
seguros ya que nadie había consultado los datos, gracias a las
bitácoras pudimos saber que nadie había
tenido acceso a ellos a excepción del investigador de
ciberseguridad. En ese momento, hablé con el
investigador para entender los principios o cómo los datos estaban
disponibles. Quedé inspirado por
cómo hacía sus investigaciones y qué tan fácil era encontrar los
datos. Hablé con los desarrolladores y
les pregunté por qué creían que la información estaba pública y
ellos sólo se rascaban la cabeza y decían
que era un tema del firewall; nunca encontré una respuesta que me
satisficiera, así que traté de buscar
bases de datos en la misma situación. Usé Shodan, Zoomeye,
buscadores similares y me sorprendí de la
cantidad de bases de datos que me encontré sin protección, incluso
en Google, simplemente usando la
sentencia correcta de búsqueda puedes encontrar índices de SQL (ESE
kU ELE)…
Hace cuánto fue esto? Mi punto clave fue 2015… fue cuando tuvimos
el incidente y cuando empecé a cambiar mi carrera a
ciberseguridad. Tengo que decir, que mi pasado está lejos de lo
técnico. Estoy más en el lado no-técnico.
Originalmente estudié periodismo-
Andrés: Esto es interesante, ya que ahora
eres considerado uno de los más conocidos investigadores en
ciberseguridad a nivel internacional. Es muy interesante cómo
llegas al tema de ciberseguridad, que obtienes conocimiento a
partir de tu esfuerzo y que no vas a un salón o curso para tener
acceso al conocimiento.
Bob: Es correcto, esa se convirtió en mi
misión. ¿Qué tan fácil es encontrar los datos?, no necesitas ser
un
ingeniero o hacker o tener capacidades técnicas cuando hablas de
“hackear”. Solo necesitas tus manos y
conocimiento básico de dónde buscar. He usado eso como mi misión
para mostrarle a la gente que, si
puedo encontrar sus datos, entonces cualquier persona lo puede
hacer en el mundo.
Es muy impresionante, porque normalmente lo que llega a los medios,
ellos suponen que eres un
investigador y no un periodista. Entonces, iniciaste del otro lado,
confrontaste a los técnicos, a los
desarrolladores y encontraste que no entendieron qué pasó y que en
algunos casos no les importa la
vulneración. Ahora que andas del otro lado, que encuentras estas
bases de datos, por lo menos para
mí es importante preguntarte: Una vez que encontraste una base de
datos con las herramientas que
todos podemos usar, ya la encontraste, le avisas al dueño de la
base de datos para que bajen esa base
de datos. ¿Por qué lo haces así?
Es muy importante resaltar esto, cuando encuentro algo que contiene
datos sensibles, no lo publico
para no atraer la atención maliciosa o la atención simplemente de
un hacker que pueda obtener los
datos. Lo primero que hago analizo el contenido de la base de datos
para encontrar cualquier
remanente de una empresa (quitar mi comentario de que está cabrón)
o persona que administra la
base de datos. Uso open source intelligence para encontrar correos
electrónicos, teléfonos o algo para
identificar la empresa o la persona y avisarle. Necesito contactar
a la persona correcta. Quiero estar
seguro de que nadie más podrá obtener la información después de que
avisé a una persona o a una
organización. De cualquier manera, si no hay forma de encontrar a
la persona o la empresa, cuando se
que esta información no debería estar en el Internet, a veces
trabajo con expertos alrededor del mundo
para que me ayuden, como en tu caso Andrés en México y
Latinoamérica. Es así como entendí la magia
de Twitter, tengo buenos contactos que les interesa y se preocupan
por la seguridad y sobre la
divulgación responsable de una base de datos en todo el mundo. He
tenido conversaciones con
personas en Brasil, Colombia, China, Europa, Estados Unidos por
supuesto y me han ayudado a entender
los datos especialmente cuando están en otro idioma como el español
o portugués. Y en estos casos,
siento el poder de la comunidad cuando estamos en el lado correcto
de asegurar este internet inseguro.
Siento que soy un caballero en la edad media combatiendo las
fuerzas del mal o algo así, es chistoso,
pero me inspira.
Andrés: Tienes razón, pero al final, la
comunidad de ciberseguridad está tratando de sentar un precedente
y
ser más proactivo que reactivo, pero también la gente no reacciona
correcta, ¿cuáles han sido las
reacciones más raras que has tenido cuando les avisas que su
información está pública?
Bob: El primer año que encontraba bases de
datos fue muy difícil alertar a los dueños. Yo era una persona
que nadie conocía, sin reputación, no tenía respaldo de la
comunidad. Era simplemente una persona
llamando a los encargados de Ciberseguridad o de Infraestructura. A
veces pensaban que era una
persona que generaba una amenaza, amedrentando, pidiendo dinero y
por poco me doy por vencido al
hacer este trabajo, esta actividad.
Pero después, cuando me gané una reputación haciendo cosas buenas y
algunos reportes, mi reputación
creció y ahora cada reporte que envío regresa con agradecimiento.
Entonces veo que las empresas quizá
ya se han educado o quizá el tema de GDPR en Europa donde están
teniendo más responsabilidad hacia los datos de sus clientes,
entonces reaccionan de una mejor forma. Hoy en día es más fácil que
las
empresas entiendan que hay algo mal con sus bases de datos. Al
principio era un gran reto.
Andrés: Ya lo creo. ¿Considerando lo que
has visto y tus experiencias, hay algo diferente entre lo que pasa
en
los países como América Latina contra Europa? ¿Estamos hablando de
el mismo comportamiento
entre los CISO’s o los administradores de TI o expertos cuando les
comentas de lo que encontraste?
Bob: Puedo decir que hay diferencias, por
ejemplo, entre las reacciones en Europa o Estados Unidos y
Latinoamérica. De hecho, México no es el peor caso, puedo decirte
que lo que vi en México hoy es
mucho mejor de lo que me pasó hace un año. No sé cuál es la razón,
pero espero que yo también haya
contribuido a la educación en ciberseguridad en México. El peor
caso que tuve en estos países en
América Latina, fue en Brasil. Creo que tienen problemas cuando se
refiere a contactar a las empresas,
no conozco las razones, pero así fue. De hecho, voy a Brasil en
mayo a dar una conferencia y quiero
conocer a la comunidad, ya tengo algunos contactos y hacerles la
misma pregunta y quizá podamos
hacer una diferencia.
Posiblemente puedes también aprender portugués y bailar con
ellos.
Andrés: Se que has encontrado, por lo menos
en los que he estado dándole seguimiento y ayudándote. Ese
caso de los 2.3 registros médicos en Michoacán y el otro de los
CFDI’s de nóminas que encontraste
hace unos meses. En estos casos, y lo vimos en los medios, sigue el
proceso y las autoridades tienen
un proceso. ¿Pero, en qué estás trabajando ahora?
Bob: Esos casos en México siguen abiertos
y creo que todavía voy a escuchar de las autoridades en México
acerca del avance y la información adicional que necesitan para
poder encontrar a los dueños de los
datos. Hablo del último caso de los recibos. Esos casos están
abiertos. Los casos más grandes que estoy
trabajando ahora vienen de Brasil, y todavía no sé dónde reportarlo
correctamente y a quién contactar.
Estoy tratando de determinar cómo hacerlo, pero el tamaño de
información personal es increíble.
Incluyendo políticos con sus identificaciones, direcciones,
correos, teléfonos, mucha información se
encuentra ahí. No puedo compartir mucho por ahora, pero tendré más
actualizaciones cuando vaya a
Brasil e incluiré en mi presentación la información. Prácticamente
todo los días encuentro una nueva
vulneración que trato de hacer de forma correcto, empresas muy
grandes están involucradas. EN
algunos casos no publico información en empresas muy grandes, estoy
haciendo lo correcto, una buena
respuesta de ellos, pero no creo que todos los hallazgos se tienen
que hacer públicos.
Andrés: El tiempo en los podcasts siempre
quedan cortos, no hablamos de todo lo que me gustaría, pero
quiero compartir con nuestros podescuchas que todo lo que has
comentado, lo que has dicho, lo
haces sin cobrar, lo haces probono. Compartes esto para poder
lograr que la gente sepa de lo que está
pasando y lo que representa. Quiero reconocerlo y agradecerte por
ello. Para terminar, dos cosas: qué
le dirías a los jóvenes que quieren empezar en ciberseguridad, tu
empezaste hace un par de años,
pero qué les dirías. Y, por otro lado, ¿cómo te pueden
contactar?
Bob: Empezaré con la segunda, estoy en mi
twitter disponible @MayhemDayOne o busca por Bob Diachenko
o Securitydiscovery.com donde siempre hay una forma para poder
contactarme, pueden hacerlo en la
sección llamada “acerca de”. Es fácil contactarme. En cuanto a un
tip a los jóvenes para seguir este
camino, he tenido conversaciones muy interesantes con personas que
quieren hacer lo mismo que yo o copiarme, necesitas preguntarte a
ti mismo, por qué lo estas haciendo, solo por fama o dinero, esto
no
es para ti. No puedes tener este sentimiento de compartir los
valores en la comunidad de
ciberseguridad, trato de hacer una diferencia y hacer este internet
más seguro y yo solo puedo invitar a
las empresas y a los empleados de constantemente revisar sus
direcciones IP’s y sus perímetros de
buscadores como Shodan o Zoomeye. Siempre hay un riesgo de que tu
dirección IP esté pública y que el
monitor de bebés esté compartiendo el video de tus hijos al
internet, lo cual asusta.
Andrés: Es muy interesante lo que dices.
No me queda decir mas que gracias por tu tiempo, no sé que hora
es
en Ucrania, solo sé que son muchas horas por delante de nosotros.
Gracias por tu tiempo y espero que
podamos volver a platicar contigo de otros temas que nos ayuden a
entender otras cosas.
Bob: Gracias por invitarme, estoy muy
orgulloso de que puedo llamarte mi amigo, espero podamos
coincidir
en México o en algún lado, darnos un apretón de manos y continuar
trabajando juntos para poder tener
un mundo digital más seguro.
Gracias