Hackmetrix: ¿invertir en ciberseguridad? con Adriel Araujo

Artemio: ¡Hola! ¿Qué tal? Bienvenido a todos a una edición más de Cuando El Río Suena, el podcast en el que invitamos a expertos y profesionales del mundo de la tecnología y de la innovación para que compartan con nosotros sus mejores insights y consejos en este camino tan turbulento que es construir negocios saludables de internet. Es un placer estar el día de hoy con ustedes, estoy muy feliz, lleno de mucha energía, en esta velada de entrevistas, ¿cómo estás, Ro?

Rodrigo: ¿Qué tal? Muy bien.

Artemio: Me acompaña, como ya es costumbre, Rodrigo, mi socio en Acueducto, y nuestro invitado de esta ocasión, Adriel Araujo, ¿cómo estás, Adriel?

Adriel: Mucho gusto de estar con ustedes. Estoy muy bien también, con mucha energía para compartir con ustedes.

¿Cuál es la propuesta de valor de Hackmetrix?

Artemio: La emoción es mutua, la energía, como puedes ver, es también cuantiosa. Para quienes no conozcan a Adriel, él es el fundador y CEO de Hackmetrix, una empresa de ciberseguridad. Es mejor cederte la palabra, Adriel, y que nos cuentes ¿cuál es el pitch de elevador en Hackmetrix?

Adriel: No hay un pitch de elevador, hacemos una versión adaptada para cada momento. Lo que hacemos en Hackmetrix es ayudar a pequeñas y medianas empresas a poder implementar un programa de ciberseguridad y así poder cumplir con todo lo que son regulaciones, obtener certificaciones, incluso poder venderle a los corporativos que hoy están bastante exigentes, se imaginarán por el contexto mundial, están bastante existentes con sus proveedores de servicios así que una PYME que quiere venderles tiene que estar tan segura como un corporativo.

¿Quién es Adriel Araujo, CEO de Hackmetrix? ¿Qué hace todos los días?

Rodrigo: Muy bien, Adriel. Metiéndonos un poco más en tu labor como CEO, ¿qué es lo que haces todos los días ahí en Hackmetrix?

Adriel: Mi labor ha cambiado en los últimos 18 meses, ha cambiado muchísimo. 18 meses antes de levantar la serie ángel era el que vendía, veía la estrategia de producto, la estrategia financiera, trabajaba con los de tecnología para ver temas de escalabilidad, trabajaba con los equipos de marketing. Era más marketing lo mío, todavía no teníamos a nadie de marketing, entonces toda la estrategia y ejecución de los planes lo hacía yo. Después cambiamos, empezamos a tener más personas a cargo de ciertas tareas específicas, yo era el que coordinaba a los especialistas que ejecutan la tarea, ya a cargo de producto, de marketing y a cargo de tecnología con mi socio y cofounder. En finanzas ya teníamos a alguien especializado a cargo.

Hoy en día, mi trabajo es trabajar con seis personas. Hoy ya no estoy a cargo del día a día, básicamente estoy a cargo de la estrategia per se, de ver hacia dónde vamos a ir, gestionar las relaciones estratégicas. Trabajo en los proyectos que van a tener impacto dentro de uno o dos años. Del día a día, de los tres meses o seis meses de la empresa, se encargan ya los managers, porque ya contratamos a una persona a cargo de marketing, una persona a cargo de ventas, marketing, customer success, mi cofunder a cargo de producto, el otro está a cargo de tecnología, ahora estamos buscando a alguien que se encargue más de lo operacional, pero ya salí del día a día, lo cual también es muy loco pasar en tu propio negocio de estar involucrado en todo a que no te enteras casi de nada, solamente ves a fin de mes los indicadores o un resumen de lo que está pasando y hacia dónde va la semana, solamente trabajas en pequeñas iniciativas puntuales que necesitan del CEO, por ejemplo, si estamos viendo este nuevo modelo de negocio, la estructura de pricing, estamos trabajando con este cliente que sería importante para la empresa, entonces mi trabajo hoy es más estrategia, más superficial, más proyectos hacia adelante.

Artemio: Precisamente es como una labor muy estratégica y de estar haciendo siempre esta prospección o esta constante ideación de cuál será el mejor siguiente paso. Estoy buscando un tweet que puso Poncho de los Ríos de Nowports, el twitteó “un CEO sólo hace tres cosas: setea la visión general y la estrategia de la compañía y la comunica con todos sus stakeholders; recluta, contrata y retiene al mejor talento para la compañía, y se encarga de que siempre haya suficiente dinero o cash en el banco”. Y creo que fue una gran lección de CEO, y tú nos acabas de hablar con el vivo ejemplo.

Me siento muy identificado porque nosotros estamos en ese punto en el que hacemos todo realmente, que si tenemos que leer un contrato, hacer las cuentas, cerrar el Q, ver cuál es nuestro plan a uno o dos años, atender al cliente, diseñar las interfaces que hacemos, este podcast…estamos metidos en todo completamente, pero es el camino natural de cualquier negocio y conforme va creciendo.

¿cuál es el 101 a considerar en ciberseguridad?

Artemio: Hablando de negocios que van arrancando o que evolucionan naturalmente, este tema de la ciberseguridad es uno de esos que parece que no importa hasta que importa, pero importa muchísimo. Queríamos preguntarte, Adriel, al arrancar con una startup, ¿cuál es el 101 a considerar en ciberseguridad?

Adriel: Esta es la opinión que rompe, cuando discuto con otros especialistas de ciberseguridad me enojo mucho porque siempre dicen “todos los negocios tienen que invertir desde el día -1 en hacer ciberseguridad”. ¿Por qué invertirías en ciberseguridad en una aplicación que nadie utiliza? O en un negocio al que nadie le compra. ¿Por qué mejor no inviertes ese presupuesto en marketing, ganas clientes y, cuando tengas unos pocos clientes, empiezas a generar iniciativas de seguridad, pero básicas, las principales para no poner en riesgo tu negocio.

Nosotros ahí tenemos un artículo en el blog que habla de 10 tips fundamentales para tu negocio cuando está apenas naciendo, y son utilizar un conjunto de herramientas que no tienen costo y utilizarlos de la manera correcta para no poner en riesgo tu negocio. Ya cuando la operación crece y tienes más de 15 o 20 empleados, ya no está tan sujeto a los founders, que los founders aplican estos 10 tips que recomendamos, uno de ellos es tener doble factor de autenticación para ingresar a tus servidores. Pero el riesgo está en una persona, si proteges a esa persona o a esas dos o tres personas que son la startup, con un par de medidas básicas está muy bien. Cuando ya son 15 personas empieza a ser distinto porque uno ya no está en el día a día y dependes de que no le hagan una llamada telefónica engañosa a tu administrativo y dé la información de tu empresa porque le llamaron diciendo que era el contador pero no era el contador. Tienes que definir un par de políticas, procedimientos y controles donde alguien toma el control, idealmente alguien de gestión, que empieza a decir “estos son nuestros pasos de seguridad para hacer bien las cosas”. Por ejemplo, si tú tienes la llave de ingreso a nuestro servidor, cuídala, no se la des a cualquiera, asegúrala, y eso se olvida. De repente buscas nuevos developers, todos son administradores de los sistemas y nadie checa que tenga doble factor de autenticación en GitHub. GitHub es donde está el código fuera de la empresa, pero, si le das acceso a todo el mundo con privilegio de administrador, al menos que sean conscientes del privilegio que tienen y que tomen medidas personales para proteger el código de la empresa. Pero uno tiene que checar que todos tengan doble factor de autenticación en GitHub para que aunque te hackeen tu contraseña no puedan acceder porque no tienen tu celular. Tienes que pedirles que te muestren que utilizan algún gestor de contraseñas como LastPass o KeePass, cualquiera, son gratis. Que te muestren que tienen antivirus en su computadora, no tienen que tener GravityZone, que es uno para los mejores para las empresas, pedirles que tengan al menos la versión free de un antivirus, el que sea, pero que tengan alguno. Yo sé que se pone un poquito más lenta pero es eso antes de que la empresa sea hackeada.

Como founder, debes tomarte esto en serio porque, si tú le quieres vender a un corporativo y el corporativo te está dando data de sus clientes o de sus empleados y de su operación interna, si te hackean, hackean al corporativo, por eso el corporativo te va a pedir que tengas seguridad. Si yo soy una empresa B2B que le vende a empresas, cuando quieres cerrar deals de más de 6 dígitos, tienes que pensar en implementar un programa de seguridad, si no no estás listo para venderle a corporativos.

Si quieres entrar a una industria regulada, el concepto es MVCP: minimum viable compliance de producto. Si no, no entras. Y veo a muchos emprendedores diciendo “yo voy a entrar al fintech”, y yo quiero verlo cumpliendo con las regulaciones y certificándose. O que dicen “yo voy a hacer un gateway de pago que va a democratizar el acceso al pago con dos clics”. Ese fue mi primer emprendimiento, éramos tres personas y teníamos que cumplir con la licencia PC2 de Europa, éramos más papeles que personas en la misma empresa. Cada uno tiene que ser de la industria en la que ingresa.

Después, por riesgo, imagina que no le vendes al corporativo, no estás regulado, ¿por qué harías ciberseguridad? Esto lo decían en un panel en Forbes, sí hay regulaciones de protección de datos, los reguladores en Latinoamérica escriben y después no regulan. No he visto que hayan multado a nadie por que haya tenido un data breach. No lo hagamos porque nos van a multar, hagámoslo por el usuario, al menos que no nos hackeen. Pero, en realidad, vamos a ser sinceros, conozco muy pocos emprendedores a los que realmente eso les preocupa porque, total, nadie los va a multar y nadie se va a quejar porque los usuarios se olvidan de las cosas. Pasó un data breach hace tres meses y el usuario ya se olvidó, cambió la contraseña y fue y puso la misma en Tinder.

A quien nadie le obliga, le da importancia hasta que sufre un problema. Te voy a dar un ejemplo, nosotros trabajamos mucho con last mile delivery startups. Recién le toman peso cuando dicen “¿qué pasaría si viene un niño ruso, me compromete el servidor durante tres días? ¿Cuánto pierdo? Voy a perder como 40 mil dólares. Quizás es mejor contratar a Hackmetrix, quizás es mejor invertir 10 mil dólares que perder 40 mil por un niño ruso entretenido”. En ese contexto es que la empresa recién le da importancia, no le interesa la protección de los datos, le interesa la continuidad del negocio y no perder ese dinero, lo cual, está mal pero no tan mal.

¿Cómo es ser un hacker?

Artemio: Adriel, por lo que entiendo, y leyendo un poco en la página de Hackmetrix, tanto tú como los fundadores vienen de una cultura muy hacker, y yo siempre me pregunto, sobre todo ahorita que tocamos este tema de ciberseguridad, vuelvo a la frase que dije empezando este capítulo, que son ese tipo de cosas que no importan hasta que importan, hasta que limitan tu crecimiento, hasta que tienes un problema con el recurring revenue que tienes todos los días, como esto que nos mencionas. Pero yo me preguntaba si tenías o si podías compartirnos alguna historia de terror por un lado, y también, por otro lado, ¿cómo funciona un poco eso? Porque ahorita mencionaste a un niño ruso, entonces quisiera conocer más sobre esta cultura hacker, de qué se trata, ¿tú ves una empresa y te parece divertido ver qué tan protegidos están o no lo están, los hackeas, y te vas riéndote como si hubieras lanzado huevos a una casa? ¿Podrías guiarnos un poco en esas aguas? que, por lo menos Rodrigo y yo, nunca hemos andado por ahí.

Adriel: Diferenciemos hacker de cibercriminal. Ser hacker es una persona que encuentra algún tipo de límite o barrera y se propone, sea como sea, superarla.

Les voy a contar una anécdota de, incluso en la vida personal, cómo se ve la actitud hacker. Mi socio, apenas nos mudamos a Chile, él sufre una fractura y tenía que pagar en efectivo el tratamiento, y tenía que pagar más dinero del que el cajero permite retirar por día. Entonces, su pensamiento fue “voy a ir cajero por cajero hasta ver si alguno me da más, si alguno falla, si el software o el sistema falla, y me da más dinero del que tendría que darme”. Me acuerdo que caminamos por la avenida Providencia, toda la línea 1 del metro, todas las estaciones del metro de Santiago de Chile tienen un cajero automático, entonces me hizo caminar durante cinco estaciones, aproximadamente un kilómetro y medio, cajero por cajero, viendo si podía sacar plata hasta que le dije “salimos mañana, no va a pasar nada”, pero ese es el pensamiento. Sólo falta un cajero que se equivoque y yo cumplo mi misión, por más que esté programado el software, el software puede fallar o puede estar mal programado. Entonces el pensamiento de un hacker es que yo lo voy a intentar hasta que algún developer meta mal el dedo o que haya una actualización que no se realice en algún tipo de aplicación software o algún humano falle, lo voy a intentar todos los días hasta que algún humano falle de alguna manera y yo cumpla mi propósito de acceder a esas bases de datos o acceder a la información que necesito.

Por ejemplo, hay un caso muy chistoso, un ejercicio que realizamos simplemente por divertirnos. Fuimos con un guardia de seguridad y le dijimos “somos de la empresa tal de seguridad, nosotros nos encargamos de vender sistemas de vigilancia y seguridad física, perimetral, y tenemos un nuevo sistema de cámaras israelí que sirve para proteger su edificio. Queríamos saber cuáles son las medidas de seguridad que ustedes tienen implementadas aquí”, todo esto al guardia de seguridad, a la persona que no tiene que decir absolutamente nada, y nos dijo “sería muy bueno el sistema como el que ustedes ofrecen porque esa cámara no funciona”.

Artemio: De hecho, me recordó mucho a un compañero que tuve en la secundaria, Sergio López, si por alguna razón estás escuchando esto, un abrazo, él era un chico que desde niño salió muy pilas para las compus. Nosotros desde la secundaria, por protocolo de la escuela, teníamos que llevar una Macbook, fue ahí donde yo tuve mi primer contacto con una PC y con empezar a jugar con ella, y en esta escuela, nos monitoreaban la pantalla, entonces de repente tú estabas jugando Halo en una clase de historia y entraba la persona de sistemas y te borraba todo y te decía “vas a la oficina, ¿por qué estás jugando eso?”. Sergio a quien hoy considero todo un gran hacker, nos enseñó cómo quitar todo ese sistema, sólo había que entrar a la librería y borrar como tres cosas y ya. Pero él llegó al punto al que hackeó la nube de los profesores, se metió a ver todos los exámenes finales y lo más heroico de esa historia fue que Sergio ni siquiera abrió esos exámenes, realmente sólo quería ver hasta dónde llegaba y sólo fue por ese detalle, porque nunca abrió el archivo ni hizo nada con ellos, que no lo expulsaron de la escuela.

Adriel: Cuando contratamos a los hackers de Hackmetrix lo que hacemos es que les pedimos que demuestren que saben. Les ponemos un ejercicio práctico, una aplicación web con un web aplication firewall adelante y les decimos que lo hackeen, si pueden hacerlo, están contratados. El hacker se hace hackeando y esta persona que tiene la curiosidad y se dice “¿hasta dónde puedo llegar? ¿Qué puedo hacer?”. Muchos de los chicos han hecho cosas que no son públicamente mencionables pero han llegado a acceder información muy susceptible en su juventud. Cuando nosotros les decimos “esto es una entrevista de hacker a hacker. Cuéntame qué hiciste antes de cumplir tus 18 años cuando todavía no eras imputable” y los chicos, por curiosidad, al final del día son niños, es como darle un huevo a un niño, lo va a tirar, entonces los hackers son niños inquietos con una computadora conectada a internet, eso es lo que es un hacker al final del día. Nuestros hackers tienen 21, 22, 23 años, los que están al top porque llevan 10 años seguidos, desde su primer computadora, su primer experiencia laboral quizás es Hackmetrix o tienen una experiencia previa de pasantía mientras estudiaban, pero en el tiempo libre hackeaban. Entonces los chicos vienen con un nivel altísimo y te cuentan “encontré que esta aplicación tenía un problema que me permitía acceder a la base de datos de usuarios y ver todos los correos de usuarios. Por suerte, esta empresa hacía las cosas bien en cuento a contraseñas. Accedí a la base de datos de contraseñas, pero eran todo hashtags, todo encriptado y no sé la contraseña. Pero, de repente, vi que la lógica de la aplicación estaba mal por cómo la habían programado”. Para autenticar una sesión de usuario, de repente hay un formato que se llama Token JWT, que genera un token la sesión en el navegador y, cada vez que se genera un request del navegador al servidor, utiliza ese token para autenticar que sea la persona que dice ser, o que tiene que ser, la que está ejecutando la acción. Entonces, de repente este token, si cierras sesión, desaparece y no existe más, utiliza un protocolo de encriptación, es único y poco adivinable por cada sesión. Pero, de repente, la aplicación, por como fue programada, sólo valida que se envíe el token, más no que sea el auténtico, entonces yo agarro un correo de los administradores de la aplicación, desde esta vulnerabilidad que encontré, y mando una solicitud con esta otra vulnerabilidad y ahora puedo ejecutar acciones como si fuera un administrador del sistema. Así piensa un hacker.

Técnicamente, quien estudió de papel cómo hacer estas cosas dice “okay, tengo una vulnerabilidad, tengo otra, la reporto, acá están dos vulnerabilidades”. El que realmente piensa cómo hackear y cómo ir más allá dice “vector uno, vector dos, cómo lo aprovecho, hasta dónde puedo llegar, qué puedo hacer, qué le dolería más”. Nosotros tenemos un modelo que es basado en el riesgo, no es lo mismo encontrarle una vulnerabilidad a una aplicación transaccional que procesa tarjetas de crédito que encontrársela a un last mile o encontrársela a un software as a service de gestión. Al de gestión le robas la información y le rescinden el contrato con el corporativo y le duele muchísimo. Al last mile, le cortas la operación durante 40 minutos y le duele muchísimo, mucho más que una filtración de información, pero le robas plata y no le interesa la plata per se. Le puedes robar la transacción que tuvo en los últimos 40 minutos y es plata perdida, no pasa nada, el negocio sigue funcionando, pero vas a uno que almacena tarjetas de crédito, le robas la información de la base de datos de tarjetas de crédito, y es probable que no lo dejen hacer más su trabajo, es probable que se haga público y que tenga un daño de reputación gigante. Si le robas dinero, es dinero que no es para ellos, sino que es dinero para los comercios, entonces no sólo perdió dinero, sino que tienen que sacar de sus bolsillos plata que no tenían, que no es de ellos, para pagar.

Cada modelo de negocio tiene una naturaleza de qué le duele más. A mí, mi departamento este lo alquilé todo amueblado, lo único mío es el Xbox. Me llegan a robar el Xbox y me duele. Probablemente, en otra casa, les duela más que les roben un cuadro que les regaló un tío. Cuando uno piensa como hacker, también piensa eso, qué es lo más crítico, qué duele más, qué es lo valioso y qué es lo desafiante también. De repente te dicen “lo desafiante no es entrar al banco, es robar el lingote de oro de la última bóveda en el piso -7. ¿Por qué si en el 1 tienes acceso a todo el dinero, por qué robar el -7 que es donde está el diamante? Porque el desafío es lo divertido, es el -7, no es el 1. Entonces este es el pensamiento de hacker, es el desafío siempre.

Rodrigo: Está buenísimo. Además, así como dices de la diferencia entre el cibercriminal y el hacker es justo el ejemplo que pones tú de Sergio que no entró para robarse los exámenes, sino nada más llegar ahí y ese era el logro, conseguir entrar ahí y no robarlos.

Adriel: Una historia de mi socio es que él, cuando era adolescente, tiene un gran amigo de su vida hoy que tenía un proveedor de internet, un ISP, en la provincia de Mendoza. Entonces él de entretenido hackeó a su proveedor de internet. Al otro día va a entrar de nuevo y le habían dejado un mensaje que decía “ya te agarré”, y él va y lo hackea por otro lado y le deja otro mensaje. Sólo entraba para dejarse mensajes hasta que se juntaron a tomarse un café y se hicieron amigos, el ataque y la defensa, era simplemente entrar y dejarse un mensaje hasta que el de la defensa le dijo “ya te busqué, vives en esta zona y, por información, puedo deducir que estás en esta casa”.

¿qué aprendieron en Hackmetrix al crear su primer blog Security Signal?

Rodrigo: Adriel, para retomar la lista de preguntas, vimos que Hackmetrix comenzó con el blog de Security Signal y queríamos preguntarte ¿qué aprendieron de esta experiencia tanto en el escribir como en el conectar, haciendo contenido, qué lecciones se pudieron llevar de aquí?

Adriel: No entren, pueden haber problemas legales en ese blog. Ese blog empieza con mi cofounder y otro conjunto de hackers de la comunidad de hackers y se proponían ver qué encontraban en el internet. Siempre encontraban a algún target, el MIT, la base naval brasileña, y empezaban a targetear sólo para encontrar vulnerabilidades y hacer lo que se llama responsible disclosure, que es cuando tú le avisas de la vulnerabilidad y le das un tiempo para repararlo, lo reparan y lo puedes publicar para seguir llenando tu ego y compartiendo con la comunidad las vulnerabilidades y ataques más recientes que pueden existir. Ese era el fin del blog, encontrar vulnerabilidades que se reportaban.

Recién ahora, en Estados Unidos y Europa esto es legal. En Latinoamérica, ¿pueden creer que la nueva regulación de ciberseguridad de Chile penaliza las acciones de los responsible disclosures? Es decir, favorece al hacker que va, lo hace y se queda callado y no a aquel que realmente te notifica que tienes una vulnerabilidad para que la repares y pueda publicarlas después para seguir mejorando su carrera e imagen profesional, que a nosotros nos sirve también para dar charlas, tener mejores trabajos y alimentamos a la comunidad si la vulnerabilidad es muy nueva y poco explotada, esto también sirve para mostrarle a la comunidad cómo se ve y tú como empresa te ves bien también porque demuestras que todos tenemos vulnerabilidades, entonces demuestras que eres muy proactivo a remediarla de inmediato y a trabajar en conjunto con la comunidad de seguridad ofensiva.

Artemio: ¿Y esto ahorita no se puede en Chile?

Adriel: En Chile, la nueva regulación, que todavía no se pone en práctica, lo penaliza. Llegas con tu propia identidad a decirle a alguien que tiene una vulnerabilidad y te dicen “miraste por la ventana de mi casa, vas a ir preso”.

Artemio: Menos mal que aquí hacen las regulaciones y luego no regulan.

Adriel: En Chile sí. Cada hacker preso sacan noticias, les gusta la parafernalia, le sacan fotos a un niño nerd de 16 años con dos simios de la policía internacional sólo para la foto de los medios. ¡Es un niño! Está entreteniéndose, cometió un error, sí, pero es un niño.

En Reino Unido agarran al niño, lo meten a trabajar en el gobierno y lo aprovechan a favor del gobierno, acá en Latinoamérica hacen la parafernalia como si fueran muy inteligentes por agarrar a un niño de 16 años. Esto me va a jugar muy en contra, yo sé que César me va a matar por lo que acabo de decir, pero es así. De repente, en Latinoamérica se vanaglorian 10 tipos de 40 años que tienen acceso al internet del país y aún así les cuesta agarrar a un niño de 16 años. En Reino Unido lo agarran, lo entrenan y lo convierten en un consultor de ciberseguridad de élite trabajando para el propio gobierno.

Artemio: Un poco ese es el camino que tomaron con Security Signal. Yo, viéndolo desde afuera, Adriel, y justo es por eso que hacemos esta pregunta, veo mucho valor en entregar todo esto que mencionas, como las vulnerabilidades con la comunidad, además, yo, personalmente, tengo un tema de reputación a partir de que logré pasar estos puentes o estas vulnerabilidades y demás, y eso, al final del día, sí forma una línea de gente que quiere tus servicios o una opinión respecto a ese tema y te da muchísimo apalancamiento.

Tal vez ustedes lo hicieron con ese blog en ese momento, nosotros lo hacemos con este podcast hoy, pero siento que es algo que todas las startups que nos están escuchando pueden aprender de Hackmetrix.

Adriel: Algo que nosotros hacemos es mucho contenido, capacitaciones, talleres. Todos los años renovamos contenidos y lo dedicamos a los developers. Nosotros también vimos que hay una brecha entre los profesionales de ciberseguridad y los developers porque el profesional de ciberseguridad trataba como a un imbécil al developer. Entonces le dije “a ver, construye tú una aplicación hacker. Te quiero ver haciendo arquitectura escalable en la aplicación”, nosotros tenemos un talento que ellos no tienen y ellos tienen un talento que nosotros no. Unos saben de seguridad y los otros saben construir aplicaciones. Trabajemos en conjunto para que lo hagan de manera más segura, si al final del día los developers meten vulnerabilidades porque su peor enemigo es el scrum master, las metodologías ágiles de desarrollo, el famoso “tenemos que salir o salir en 15 días”, okay, él developer dice “hay que hacerlo rápido", descarga una librería, copia y pega y listo. No sale seguro porque necesitaba una semana más para asegurarlo, entonces no es culpa del developer si el scrum master te está presionando o el negocio te está presionando para salir rápido. También son personas, aunque sepan, pueden tener un mal día, se pueden haber peleado con su novia, entonces andaban un poquito distraídos, o simplemente hubo un buen after office, llegaron con cruda y no estaban muy despiertos para programar. Puede pasar, son seres humanos. Para eso existimos las empresas de ciberseguridad que chequeamos la ciberseguridad de nuestros clientes. Pero sí, una gran parte es colaborar con nuestra comunidad y de eso se trata.

Artemio: 100%. ¿Qué opinas de esto, Ro?

Rodrigo: Dentro del estudio, mi parte es la más cercana al desarrollo, a la parte más técnica, pero sí, los deadlines y el error humano es lo que siempre pone en juego todo lo que tenga que ver con seguridad. Y también entiendo que, igual y este stat nos lo podrías dar tú, pero entiendo que, dentro de lo que son los hackeos en el mundo, los que están reportados, un porcentaje muy pequeño son los que ya tienen que ver con conocimiento muy técnico y muy específico de software en general y, en realidad, gran porcentaje tiene más que ver con esto que decías de social engineering, de que le marcaron a alguien y le dijeron que era el proveedor de no sé qué, el engaño es más de gente más que de código.

Adriel: Sí, gran parte viene de ingeniería social, pero el que mayor ha crecido como ataques son los que atacan a aplicaciones porque targeteas a aquella aplicación que tenga algún tipo de vulnerabilidad que te permita acceder a información, después usas esa información de distintas maneras, cambia utilizando ciertas técnicas, y es muy híbrido. Acabo de publicar un artículo en el blog al respecto de la ciber guerra y cuáles son las técnicas. Pero sí hay mucho factor de ingeniería social pero también mucho de conocimiento técnico. La vara hoy en día está muy alta, ya no es lo mismo que hace 10 años era un hacker, hoy realmente tiene que saber un poquito de ingeniería social, un poquito de networking, de aplicaciones. Hoy el hacker que no sabe de aplicaciones no puede hackear porque hay mucho de seguridad de aplicaciones. De repente, comprometes una red interna y te encuentras con que hay 800 aplicaciones, entonces cómo pivoteas utilizando vulnerabilidades en aplicaciones que son un híbrido entre On Premise y Cloud, cómo pivoteas en una network bien segmentada. Si está bien segmentado, atacar a la aplicación que tenga el segmento de revenue que están atacando, entonces tienen que saber de hacking de aplicaciones o compromete al usuario, tienes que saber un poco de ingeniería social.

Hoy es un híbrido de todo un poco. Tienes que saber de gente que sepa de malware para ir a comprarle el malware para hacer tu estrategia de ingeniería social. Es un híbrido hoy en día. La conclusión es que te pueden entrar por todos lados, así que mejor protege todos los frentes. El tema de las startups es que los founders dicen “mi CTO es un genio en eso”, pero tu CTO no tiene la culpa si viene tu personal de administración y le responde un mail de phishing a una persona, le responden con todo tu P&L en buena onda a alguien, ¿qué responsabilidad tiene tu CTO sobre eso? ¿Qué puede hacer él?

¿Cómo se debe reaccionar ante un ataque de ciberseguridad?

Rodrigo: Adriel, retomando nuestra lista de preguntas, hemos hablado mucho de ataques y de las posibilidades que hay desde el lado de los hackers, un poco de anécdotas y de cómo se puede hacer. Pero, ahora, ¿qué sucede desde el otro lado? ¿Cómo debe de reaccionar una empresa o una startup ante un ataque de ciberseguridad una vez que ya se confirmó que acaba de suceder uno?

Adriel: Me recuerda un meme que dice que en caso de hackeo, tires de los cables, apaga todo. Lo primero es no entrar en pánico pero, para eso, hay que tener un buen plan de recuperación ante desastres y continuidad del negocio, por eso es importante tener un programa de seguridad, no se trata sólo de tener protegido todo, se trata de tener un plan para cuando pase y saber que en algún momento va a pasar. Quién se imaginaba que a Mercado Libre o a Globant, con lo que invierten en ciberseguridad, los iban a hackear. Ahora, Globant es el más reciente y ayer fue Mailchimp. Tarde o temprano te va a pasar, pero, cuando te pase, que sea con el menor impacto posible, que te puedas recuperar lo más rápido posible.

Uno de los primeros consejos es tener herramientas que te permitan reaccionar. Por ejemplo, tener una herramienta que te permita registrar los logs. Si tienes los logs, sabrás por dónde entraron o te puedes hacer una hipótesis, entonces, al ver los logs, dices “por acá entró. Esto entró por un servidor de base de datos a la que tiene acceso tal persona, veamos qué nivel de acceso tiene y si no tenía activado el doble factor de autenticación en la VPN”. ¿Qué tanto fue el compromiso? Puede haber sido una base de datos, si comprometieron las contraseñas de nuestros usuarios, hay que forzar un hard reset de contraseñas para todos o notificarles y pedirles que cambien su contraseña. Tenemos dos formas: la forma correcta es decirles que has tenido un data breach y que lo hagan, no solamente en tu plataforma, sino en todas, porque los usuarios ponen la misma contraseña en todos lados, así que eso sería lo correcto. En el peor de los casos, si no quieres comprometer tu imagen, forzar un hard reset de contraseñas, pero hay algo que hacer.

Tiene que ver con el tipo de información que se ha filtrado, cómo ayudar al usuario, si es que tu usuario fue comprometido, y si fuiste tú comprometido, por dónde entraron, cómo entraron, qué tanto comprometieron y ver si eso compromete la operación del negocio a futuro. Por ejemplo, imaginemos que te comprometieron y te pusieron malware, tu mejor opción es volver a rolarte la aplicación, y perdemos tres features, cinco, veinte features, ese es tu problema, ya está, piensa en el costo financiero, piensa en lo que te va a costar de nuevo, hacer un release de nuevo, pero lo mejor que puedes hacer es sacarte ese malware de tu base de datos, de tus servidores entonces backup hacia atrás. Ahí vendría mi socio y diría “¿y qué tal que te puse el malware e hiciste el backup con el malware y todo en los últimos años?”, ahí fíjate cómo haces una migración, tienes que ejecutar un plan donde el negocio continúe con el menor riesgo posible para tus clientes y para tu negocio. Entretanto, analiza todo lo comprometido y ves la estrategia para sacar al hacker de tus sistemas y siempre siendo responsable en cuanto a tus clientes, que ese es el gran problema en Latinoamérica. Como nadie te regula, nadie te penaliza, los que tienen el data breach no hacen nada al respecto, excepto grandes compañías como Mercado Libre, que tienen un programa muy bueno para reaccionar. De hecho, nosotros estamos trabajando con Mercado Libre ahora y lo han hecho muy bien, han ido trabajando todo lo que es la respuesta al incidente.

Rodrigo: Aquí hay algo muy interesante para los usuarios finales, todo tipo de escucha que tengamos ahora mismo, siempre que alguna plataforma les pida cambiar la contraseña y no les explique por qué, tengan cuidado.

Adriel: Hay dos probabilidades: o fue hackeada o hizo una migración en su proveedor de autenticación. Nosotros ahora estamos cambiando de utilizar una gema que se llama Devise y estamos cambiando directamente a Auth0, por lo cual vamos a cambiar el método de autenticación y todos nuestros usuarios van a tener que cambiar de contraseña, pero van a tener el beneficio de poder ingresar con Google y con GitHub, unas por otras.

¿Cuáles son las mejores prácticas de ciberseguridad para startups fintech?

Artemio: Oye, Adriel, considerando la ola inminente de servicios de fintech que hay en el continente y la cantidad de emprendedores que están dedicando su intelecto a servicios de este tipo y a resolver problemas de esta área, al mismo tiempo, esta área es una de las más reguladas, de las que más importa no tener este tipo de problemas de ciberseguridad y donde es fundamental estar o muy bien protegido o muy bien preparado, como acabas de mencionar. Queríamos preguntarte, para nuestra comunidad, ¿nos podrías compartir tres mejores prácticas de ciberseguridad que las empresas de fintech tengan que tener ahí un ojo?

Adriel: Las fintech son minimum viable compliance, si no, no pueden estar en la industria. Y que no se olviden que la industria financiera parte de la seguridad. El primer concepto de industria financiera o negocio financiero parte desde personas que almacenaban tu oro en una bóveda y te daban un comprobante de que ahí estaba almacenado, eso es el primer dinero. Se basa en el negocio de la ciberseguridad, yo cuido tu dinero y, además, te doy productos financieros para que utilices. Entonces que no se olviden las fintech que la base del negocio es la seguridad, por ende, los reguladores están muy intensos con ello.

Escucho mucho de emprendedores diciendo “cómo molestan con esto de la seguridad”, pero no se trata sólo de innovación, sino que se trata de que tienes que cuidar el dinero de tu cliente y después crear productos innovadores y generar un acceso más sencillo que el billete que te daban en 1600 porque tu gran propuesta de valor es una aplicación híper intuitiva para que el cliente accese al dinero que tú tienes depositado en tus bóvedas, pero tú estás protegiendo el dinero de alguien más y estás creando producto sobre ello.

Entonces es hacer seguridad, hacerlo bien y hacerlo consciente. Al otro resto de startups que no son fintech, háganlo cuando puedan, de la manera que puedan, aprovechando la oportunidad del negocio. Pero la fintech es MVCP, esa es la variable del negocio.

Artemio: Fantástico.

¿Cuáles son los errores más comunes en ciberseguridad?

Rodrigo: Adriel, ya hemos hablado de bastantes durante lo que va del episodio pero ¿pudieras resumir en tres los errores más comunes que te toca a ti revisar en seguridad y que podrías decir que son tres cosas del día a día y es donde hay que poner el dedo antes porque podrían generar un problema si no se les pone atención a tiempo?

Adriel: Número uno, ignorancia desde los founders de pensar que su CTO es un súper humano que va a hacer todo bien. Okay, tienes un CTO, es otra persona que puede cometer un error, en vez de ser una, ahora son dos personas que pueden cometer errores.

Número dos, sobre las personas técnicas, “el SQL injection se acabó en los 2000”. No. El SQL Injection sigue más vigente que nunca. Son frases que he escuchado, cómo no. El dedo se sigue metiendo mal, de hecho, ahora tienes SQL injection con la base de datos MongoDB y tienes GraphQL injection. Hay nuevas variables ahora.

Y número tres es el factor de ingeniería social. Aunque protejas todos tus sistemas técnicos te pueden chingar por el personal no técnico y es el principal vector por el cual hoy se entra.

De hecho tenemos un ejercicio muy divertido que hicimos una vez, pusimos una promotoras, hicimos un ejercicio de ingeniería social, una empresa que, antes de ser un full software as a service, nosotros teníamos muchas consultorías y hacíamos ejercicios ofensivos muy agresivos. A una empresa muy importante le terminamos entrando por un personal masculino que recibió merchandising con pen drive a la puerta de su oficina de unas chicas muy bellas que estaban regalando merchandising con pen drive, y el pen drive tenía nuestro software malicioso, lo metieron en la computadora y nos dieron la puerta de entrada. Básicamente, el pen drive lo que hacía era que le decía a la computadora “ahora soy un teclado”, y una vez que estaba instalado, levantaba consola, metía el pilot y listo. Si era Mac, teníamos que utilizar otro método, pero le apuntamos a las computadoras con Windows.

A todo esto, es un mito que Mac es más seguro que Windows. Simplemente, como había más dispositivos Windows se atacaban más Windows. En los últimos dos años, el sistema operativo iOS fue el más vulnerado. Es un mito que por tener Mac estás más seguro que teniendo Windows. Teniendo Linux estás más seguro, pero no Mac, no iOS.

¿Qué consejos da Adriel para fortalecer la cultura de ciberseguridad en una startup?

Artemio: Qué interesante todo esto que nos estás contando. Sigo firme ante esto de que importa hasta que importa y hay que prever para el momento en el que esto importe, y creo que gran parte de eso viene, tal vez no como piedra elemental de la cultura de la startup, pero sí creo que se pueden hacer muchas cosas desde la cultura para cubrir estas vulnerabilidades, tal vez desde el onboarding, desde cierta capacitación a los empleados o cierta charla. Queríamos pedirte algún consejo, también tres, algunos consejos para fortalecer la cultura de ciberseguridad en una startup.

Adriel: Piensen que su startup es como tener un vehículo. Primero, a medida que más personas manejan tu vehículo, tienen acceso al volante de tu vehículo o a la puerta, pensemos que el vehículo tiene a quien lo maneja, que es el principal responsable, pero también tiene cuatro puertas que también se abren y, si una se abre y alguien se cae, te sale caro. Tienes personas que pueden salir volando por la ventana. Pensando que vas en un auto, todos los riesgos pueden suceder. Lo mismo puede suceder en tu startup.

Entonces no le des la llave del auto a cualquiera que no sabe manejarlo o entrénalo para que lo pueda manejar o toma medidas para que lo pueda manejar. Al mismo tiempo, el auto, así tengas personas capacitadas, algo puede hacer que el auto o lo colisionen o te colisionen, entonces hay que tener algún tipo de seguro. ¿Cuánto vale el auto versus lo que vale el seguro? Uno de mis primeros autos ni siquiera valía mil dólares, entonces para qué le iba a poner seguro si lo mejor que me podía pasar era que me lo chocaran. Pero en tu startup es hasta dónde estás dispuesto a soportar el riesgo de no invertir en ciberseguridad y empieza a calcular los riesgos. Por ejemplo, las grandes corporaciones saben que son un target absoluto entonces contratan hasta seguros ciber que les cubren hasta 10 millones de dólares. En caso de una brecha, se utiliza una parte para contratar a la empresa que te va a ayudar con la respuesta al incidente y, la otra parte, para devolver la plata o pagar las multas. Pero es lo mismo, ¿cuánto es tu análisis financiero respecto al riesgo ciber? Eres una empresa que está en internet, estás expuesto al riesgo ciber. ¿Cuánto estás dispuesto a perder? ¿Cuánto estás dispuesto a arriesgar? Y ahí vas jugando con tus inversiones. ¿Qué tanto le ofreces en el contrato de riesgo de salud a tu empleado? Es lo mismo.

Ciberseguridad también es riesgo. Así como priorizas contratar o no un seguro para tu casa, tu auto o tus empleados, es qué tanta inversión le pongo yo para estar más seguro en mi negocio.

Artemio: Claro. Yo tengo mucha carrera en la industria musical y he ejecutado giras con bandas y festivales, y es muy natural cómo tú, cuando empiezas en una carrera artística, cargas con tu guitarra y el case que te viene con la guitarra. Pero en el momento en que todos los días o cuatro veces a la semana estás yendo cinco horas en una carretera que se va tambaleando, vuelas, mueves, toman tus instrumentos y demás, empiezas a considerar comprar un mejor case. Después, ya que tu equipo es mucho más caro y, además, con él produces en tu casa, empiezas a considerar asegurar la camioneta en la que está viajando todo, y así va escalando hasta que aseguras el show completo en el que estás por si alguien se cae o le cae una maceta o lo que sea.

Adriel: ¿Cómo era la cláusula esta de si habían leído o no el contrato? Alguien puso que sólo quería poner M&M’s marrones.

Artemio: Creo que es Kanye West o Katy Perry.

Adriel: Es mucho más viejo, en los 80s había una banda que quería garantizar la seguridad de su banda y de que todo estuviera en condiciones para poder prestar su concierto, por la seguridad de ellos mismos y de las personas que fueron a verlos. Entonces, en el contrato, pusieron una cláusula que era su seguro de que la productora y los organizadores habían leído el contrato y estaban realmente tomando todas las medidas. La cláusula decía que tenía que haber un jarrón de M&M’s marrones. Si llegaban y no estaba el jarrón o los M&M’s eran de cualquier color era que no habían prestado atención a las medidas de protección que ellos habían pedido para ejecutar el concierto.

Artemio: Y así hay leyendas urbanas de qué pide cada artista en su contrato en vías de asegurarse de que, si tuvieron la minuciosidad de cumplir ese pequeño detalle, entonces se les puede confiar todo. Y el tema de seguridad de conciertos y este tipo de cosas es otra conversación, pero es muy similar. Siempre es un tema de imaginar este escenario de que, si pasa algo malo, qué tanto afecta y qué tan dispuesto estoy de asumir ese riesgo.

Adriel: Te voy a dar un ejemplo. Estamos en un periodo de guerra, las guerras ya no son sólo con balas, sino que ahora los gobiernos van a empezar a atacar la cadena de suministro crítica, antes se atacaba cortando puentes. Hoy en día, cuando dicen “hay que aumentar la producción de metales, de cobre”, per se, el cobre tiene un proceso en el que se utiliza agua y unos químicos que separan el cobre de la basura haciendo que el cobre flote y los sedimentos se vayan al fondo. Para poder saber cuánto químico a inyectar, se utiliza un sensor conectado a una red interna y conectado a internet y este sensor mide la densidad de la burbuja del cobre para saber si está saliendo lo suficientemente limpia o no. Entonces, ¿quieres detener la producción? Hackea el sensor. Vete a la startup que te pone el sensor o la empresa que mantiene el sensor, que todo eso se terciariza, no es propiedad de la empresa minera. ¿Quieres detener la producción de algún tipo de componente crítico para la guerra? Hackea el sensor. No tienes que hackear ni a la minera, ni a la de aviación, sino a la empresa que hace el mantenimiento del sensor.

Artemio: Esta ha sido una excelente charla y una gran cátedra en ciberseguridad y un poquito el explorar la cabeza de un hacker ya con una carrera por detrás.

Rodrigo: Me quedó una ligera duda antes de cerrar. ¿La razón por la que Linux es más seguro ahorita es por la misma por la que se decía que Mac era más seguro antes, por el número de equipos conectados?

Adriel: No puedo responder a esa pregunta, tengo que hablar con mis asesores antes de poder hacer declaraciones públicas al respecto.

Artemio: Está perfecto, Adriel, ya nos la han aplicado varias veces.

¿Cuáles son los retos más grandes a los que se enfrenta Adriel y Hackmetrix en los próximos años?

Artemio: Estamos llegando a la última pregunta, esta siempre la hacemos, es de cajón, también siempre la haríamos si tuviéramos un fondo de venture capital. Adriel, ante los retos que enfrenta Hackmetrix y tú como su CEO en estos años que vienen, ¿qué te quita el sueño?

Adriel: Para ser sincero, me quita el sueño el seguir consolidando un equipo que nos permita expandir regionalmente, tal cual lo queremos hacer. Nuestra misión, literalmente, es empoderar a todas las PyMEs desde Tijuana hasta Tierra del Fuego. Y los inversores nos preguntan por qué no Estados Unidos, y no. Nosotros queremos empoderar al segmento pequeño y mediano de toda Latinoamérica, sabemos que podemos ayudar a todas estas empresas a digitalizarse de forma segura, vender, aumentar su propuesta de valor, y seguir compitiendo de par a par a las corporaciones como siempre ha sido. Entonces, consideramos que, empoderando a este segmento para poder digitalizarse y vender de forma más segura online, incluso implementar herramientas de forma segura, que los haga más productos, es el secreto para seguir creciendo la región.

Nosotros queremos ir muy fuerte con esta misión y, para eso, tenemos que fortalecer nuestra propuesta de valor, crecer como empresa y hacer que, en el camino, no se pierda esta cultura hacker y esta cultura de vamos para el frente y siempre persiguiendo la misma misión con los mismos valores.

Nosotros somos completamente distintos a esas big 4 que dicen ser cibersecirity para todos, mentira, solamente es para incrementar el margen de rentabilidad y cambiar el auto a fin de año con sus bonos. Nosotros queremos hacer un producto masivo y que realmente empodere a las PYMEs. Estamos totalmente en contra de la industria de la ciberseguridad tal cual se conoce hasta hoy. Y hacia allá vamos, a empoderar a toda la región. Y, si casualmente seguimos creciendo, no voy a ir a Estados Unidos, vamos a ir a África, Etiopía, Congo, Nigeria, Egipto, Turquía, lo que el mercado emergente en África para seguir empoderando mercados emergentes y eso es hacia dónde vamos.

Artemio: Fantástico, Adriel, mucha suerte en este camino, realmente se contagia el entusiasmo. Agradecemos muchísimo que te hayas tomado el tiempo de sentarte acá a charlar con nosotros y compartir un poco de tu experiencia con nuestra audiencia.

De igual forma, le recuerdo a toda la gente que nos está escuchando que en cuandoelriosuena.com ustedes pueden registrarse en la newsletter de este programa y recibir una notificación cada que tengamos un capítulo nuevo. De igual forma, los invito a unirse a nuestra comunidad de discord.latamstartup.club en la que sencillamente nos estamos deseando un buen día, de repente compartimos recursos, es un experimento en el que queremos reunir a una comunidad de emprendedores en esa red, así que asómense todos los curiosos, vean de que se trata y construyamos cosas en bloque.

Adriel: Me están dando la respuesta de Linux así que quedará pendiente. Lo que debo decir es que conmigo han tenido una conversación superficial, si quisieran tener una conversación más técnica a cerca de hacking, mi socio Alejandro es la bestia absoluta, es un animal, ahí pueden entrar en detalles sobre casos de hackeo muy buenos y profundos y también el resto de los hackers que tenemos en el equipo pueden participar porque tienen unas historias que son fabulosas.

Artemio: Que así sea, ya tendremos el capítulo con Hackmetrix 2.0

Adriel: Un gustazo.

Artemio: Muchas gracias, Adriel.