Un malagueño en la convención 'hacker' más gamberra de EE UU

Sergio de los Santos, responsable del laboratorio de ciberseguridad de Telefónica, se convierte en uno de los pocos españoles que sube al escenario principal de Defcon, en Las Vegas, para presentar una investigación

NURIA TRIGUERO Sábado, 18 agosto 2018, 00:37

El panorama que se encontraron Sergio de los Santos y su compañera Sheila Berta al llegar a Defcon, una de las dos mayores convenciones de ciberseguridad del mundo (la otra es Black Hat; ambas se celebran en Las Vegas a la vez), haría las delicias de cualquier 'friki' de los ordenadores. Casi 25.000 personas abarrotando un Caesar's Palace convertido en un gran parque de atracciones para 'hackers': charlas en las que se revelan las últimas ciberamenazas que acechan al mundo, talleres en los que aprender a 'hackear' un coche o una máquina de votación americana y concursos de todo tipo, incluido uno de 'tin foil hats', que son esos sombreros hechos de papel de plata que los creyentes en teorías conspiranoicas se ponen para evitar que el Gobierno controle sus mentes.

Hasta la identificación o 'badge' que se entrega a los conferenciantes tiene truco: es un circuito inteligente que contiene un reto, por supuesto, sin manual de instrucciones. Se resuelve con pistas repartidas por toda la convención y conectando 'badges' entre sí y quien gana, se lleva entradas gratis a Defcon de por vida.

De los Santos, que dirige desde Málaga el laboratorio de ciberseguridad de Telefónica, se ha convertido en uno de los pocos españoles que ha pisado el escenario principal de Defcon y en el primer malagueño, «al menos que yo sepa», advierte. Lo hizo el pasado domingo junto a Sheila Berta presentando una investigación sobre el compilador de aplicaciones móviles de Android. «Ser elegido como 'speaker' es un gran logro, ya que llegan cientos de peticiones de todas las partes del mundo», afirma desde Miami, donde espera una escala para volver a Málaga. Berta, de origen argentino, tiene el mérito añadido de tener sólo 22 años, por no mencionar su condición de mujer en un mundo abrumadoramente masculino.

¿Qué es lo que han descubierto De los Santos y su equipo? «Hemos encontrado un fallo en el compilador de aplicaciones móviles de Android que, sin pretenderlo, deja entrever en qué zona horaria se ha creado la' app'. Esto es muy útil para saber si una aplicación maliciosa se ha creado en Estados Unidos, Rusia, Corea del Norte o China... Servirá para poder filtrar el 'malware' por procedencia. También hemos hecho un estudio de dónde se crea más 'software' malicioso en el mundo», explica el 'hacker' malagueño.

Antes de dar su charla, De los Santos y Berta cumplieron con la tradición de Defcon: si eres un conferenciante novato, debes beberte un chupito de 'bourbon' ante el público. «'Shot the n00b' se llama, un juego de palabras con 'shot', que es chupito y disparo, y 'noob', que significa pardillo», explica el malagueño, a quien la experiencia de la Defcon le ha recordado «a un festival de música, donde ves de todo, pero sin alcohol ni música de por medio… sólo cables, placas, código y 'hacking' en estado puro. Todo muy gamberro, interactivo, informal, práctico… con gente tirada por el suelo con portátiles de lo más estrafalarios y disfraces con 'leds' imposibles», describe.

La primera Defcon se celebró en Las Vegas en junio de 1993 a iniciativa de Jeff Moss, que también es el fundador de la otra gran cita del mundo 'hacker': Black Hat. Su espíritu desde el principio fue más 'underground' y gamberro que el de su rival y no pocas veces han surgido conflictos de sus conferencias, sobre todo a consecuencia de empresas o instituciones asustadas de que sus fallos de seguridad quedaran al descubierto.

Precisamente en diciembre del año pasado, Sergio de los Santos y Sheila Berta acudieron a la conferencia Black Hat de Londres, una de las tres citas 'hermanas' de la edición madre de Las Vegas, junto a las de Sao Paulo y Singapur (ver aquí la información de SUR), para presentar una investigación que descubrió nuevas vulnerabilidades en el protocolo de seguridad de las páginas web.

Sergio de los Santos y su equipo de ingenieros –14 personas entre Málaga, Madrid, Buenos Aires y Granada– se encargan desde hace cinco años de explorar el futuro de la seguridad informática y ensayar mejoras para todos los productos y servicios de Telefónica Digital. Forman el laboratorio de innovación de Eleven Paths, la división de seguridad informática de Telefónica; más conocido como «laboratorio de ideas locas» dentro de la casa. Son un pequeño equipo con amplia independencia dentro de la corporación que genera el 10% de las patentes de todo el grupo Telefónica.

De los Santos fue fichado en 2013 por Chema Alonso, máximo responsable de ciberseguridad de Telefónica. Hasta entonces él trabajaba en Hispasec, una empresa malagueña que ha sido una verdadera cantera de profesionales de prestigio en este ámbito. De hecho, quien le había contratado en Hispasec es otro reconocido 'hacker': Bernardo Quintero, fundador de Virustotal y ahora una de las cabezas visibles de Chronicle, la flamante megadivisión de ciberseguridad de Google.

Su condición de alto ejecutivo de Telefónica no impide a De los Santos mantener viva su faceta de 'hacker ético', investigando y compartiendo conocimientos con la comunidad de forma altruista. Su especialidad es Windows; de hecho, Microsoft le ha nombrado varias veces MVP (Most Valuable Professional) en Seguridad en España por su contribución a la mejora del su 'software'. También ha publicado libros superventas en su campo, como 'Máxima seguridad en Windows: secretos técnicos'.