UNIVERSIDAD POLITÉCNICA DE MADRID

Tweet

Luis Delgado, estudiante de la ETSI de Telecomunicación, es un nuevo miembro del "Salón de la Fama" de la Seguridad en Google. Tan sólo tres españoles aparecen en este prestigioso listado.

Luis Delgado en el Hall of Fame de Google

Entrevistamos a Luis Delgado, flamante nuevo miembro del "Hall of Fame" de Google Security, estudiante de 2º curso de la ETSI de Telecomunicación, miembro de la rama de estudiantes del IEEE

Hola Luis, ¿qué significa estar en el “Hall of Fame” de Google? ¿Quién puede aparecer en este prestigioso listado?

El "Salón de la Fama" de la seguridad de Google es un espacio que habilitaron en la parte corporativa de la página en octubre de 2010 para dar un reconocimiento público a aquellos 'security researchers' que les notificaran vulnerabilidades de cierta criticidad en sus servicios web. Para aparecer en este listado tienes que cumplir los requisitos descritos aquí (basicamente solo se contemplan ciertos tipos de vulnerabilidades).

¿En qué consiste el Bounty Program? ¿Por qué te decidiste a participar?

Los Bounty Programs son una iniciativa que han tomado empresas como Google, Twitter y Facebook para remunerar a los 'security researchers' que les notifican vulnerabilidades (los 'Hall of Fame' están intrinsecamente relacionados con ellos). En realidad la remuneración es practicamente simbólica (normalmente 500 dólares) pero permite que ambos salgan beneficiados. Yo decidí participar en su momento porque este tipo de programas suelen tener una respuesta bastante rápida y no te impiden publicar posteriormente los detalles de la vulnerabilidad ("actuas correctamente" y evitas que ese fallo pueda ser explotado por un tercero).

A grandes rasgos, ¿me puedes describir en qué ha consistido tu contribución?

La vulnerabilidad que he notificado en esta ocasión se encontraba en el sistema de gestión de etiquetas de GMail, permitiendo a un usuario malintencionado la creación arbitraria de etiquetas en cuentas ajenas. Principalmente tenía dos vectores de ataque, el de 'broma pesada' (se podían crear cuantas quisieras y su eliminación es manual) y el de spam indiscriminado (las etiquetas que se creaban permanecían visibles en la página principal).

Sé que eres una persona inquieta en relación con la seguridad ¿con qué otras empresas o servicios has colaborado?

No era la primera vez que colaboraba con Google, también tengo vulnerabilidades reconocidas en Mozilla, he colaborado con el Security Team de páginas como Tuenti, Microsoft y HP. Además, cuando son empresas privadas, suelo gestionar las notificaciones a través de Inteco, RedIris o el Grupo de Delitos Telemáticos de la Guardia Civil.

Tenemos una Web 2.0 de contenidos generados por el usuario ¿podría hablarse de lo mismo en lo relativo a la seguridad? ¿Colaboran los usuarios con los administradores de sistemas o responsables de seguridad para mejorar estos aspectos? ¿Es esto un “hacking” ético?

Los usuarios en sí no colaboran con nadie, simplemente quieren disponer de servicios, que su utilización sea lo más sencilla posible y que estos funcionen correctamente (y es normal, tampoco se puede pedir otro comportamiento).

La seguridad no suele ser un requisito y lo que en realidad suele valorarse es la "sensación de seguridad" más que la seguridad en sí, sin darnos cuenta de que vivimos en una era en la que es importante proteger nuestro "perfil virtual" (más vinculado al "real" de lo que pensamos).

Con respecto al "hacking ético", para mí es un concepto que recoge una actividad que persigue que los usuarios no se vean expuestos buscando que los sistemas sean cada día más seguros (evitando así que se comentan actos delictivos con ellos), colaborando con las empresas desarrolladoras de los mismos.

En ese entorno, ¿cuál es la respuesta de las empresas cuando comunicas una vulnerabilidad y cuál crees tú que debería ser su respuesta?

Bueno, creo que queda mucho camino por andar. Yo he tenido la suerte de que siempre que he notificado vulnerabilidades he tenido una respuesta colaborativa, pero por desgracia no ocurre siempre. Muchas veces a los equipos de desarrollo y/o seguridad no les gusta que se les reporten fallos en sus sistemas y hay que tener cuidado porque en diciembre del 2010 cambiaron el Código Penal y ahora muchas técnicas son 'ilegales' (aunque no haya finalidad delictiva).

Creo que se debería migrar la respuesta hacia modelos como los de Google (y Mozilla, Twitter, Facebook, etc) en los que no se persigue al que notifica sino que se le reconoce su trabajo e incluso se tiene un detalle con él (si no muchas vulnerabilidades dejarán de notificarse y todos saldremos perjudicados porque serán explotados por personas de "moral relajada").

Sé que eres un miembro orgulloso de la rama de estudiantes del IEEE, ¿me podrías hablar un poco de vuestra Asociación? ¿Qué actividades realizáis? ¿Colaboran las empresas con vosotros? ¿Qué les pediríais?

La verdad es que en nuestra Escuela tenemos mucha suerte por la cantidad de clubes (y vida) que hay. En el IEEE nos dedicamos un poco a todo, desde desarrollo hasta robótica. Además organizamos cursos y talleres de robótica, programación, seguridad (entre otros).

La colaboración con empresas no suele darse mucho aunque actualmente estamos organizando el Student Branch Congress del IEEE y por temas de patrocinios si que hay ahora más movimiento.

Imagino que si una empresa quiere patrocinar vuestro evento o establecer contacto con vosotros puede hacerlo a través de vuestra página web.

Por último y para terminar, siempre pedimos a nuestros entrevistados que nos den su opinión sobre la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid y si le recomendarían a un futuro estudiante que iniciara los estudios en nuestro centro y por qué.

Como ya he comentado antes, da gusto el movimiento 'extraescolar' que hay en nuestra escuela. Creo que el paso por la Universidad no sólo ha de centrarse en los estudios, venir a clases e irse nada más terminarlas y en ese sentido en la ETSI de Telecomunicación no hay tiempo para el aburrimiento. Además nuestra Escuela es la mejor valorada por las empresas que buscan Ingenieros de Telecomunicación (y no me cabe duda que lo será también con el Grado que oferta) por lo que es la mejor opción si TELECO es lo que quieres estudiar. 

Gracias Luis, enhorabuena otra vez, espero que nos sigas manteniendo informados de tus avances y que otros estudiantes de la Escuela sigan tu ejemplo. ¡Hasta muy pronto!

Tweet