Juan Oliva: «El reto para el futuro es la multicanalidad».

‘Estoy trabajando en una distribución de software libre enfocada a centralizar logs para monitorear y centralizar los eventos’.

Para uno de los ethical hacker más importantes del mundo ‘el reto para el futuro de las comunicaciones es, sin duda, la multicanalidad. Poco a poco nos estamos metiendo en eso sin darnos cuenta’.

Entrevista a juan oliva

Juan Oliva en una de sus ponencias. Foto: Instituto Continental

“Aprendí a hacer el mal para poder hacer algo bueno”. Este podría ser perfectamente el estado en Whatsapp de Juan Oliva, porque este consultor de telefonía IP se ha especializado en la asesoría de seguridad en las telecomunicaciones para empresas. Hoy, con más de diez años de experiencia, Juan es uno de los ethical hackers más reconocidos en todo el mundo.

Si visitan el blog de Juan Oliva comprenderán lo que les digo. En él podrán comprobar su compromiso con la seguridad en el sector de la tecnología de la información (TI) y su constante estudio de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social y revisión de código entre otras tareas de seguridad informática.

Entre uno de sus últimos proyectos nos encontramos con la publicación del libro “Implementando Elastix SIP FIREWALL” en el que desentraña la configuración del SIP Firewall de Elastix,  un equipo de frontera que añade una capa extra de seguridad a una IP PBX VoIP.

Ha desarrollado proyectos para el estado peruano y empresas privadas de todo el mundo y cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP que, sumadas a su experiencia, le han convertido en uno de los ponentes más buscados en eventos VoIP de corte internacional como ElastixWorl o VoIP2Day.

Arrancamos esta entrevista con Juan Oliva preguntándole precisamente por su faceta de comunicador y formador.

Buenas tardes Juan, ¿es la formación una de las facetas más gratificantes de tu actividad?.

Hola, pues sí, es muy estimulante para mi brindar formación, ya que personalmente me ayuda a validar los conocimientos que uno puede adquirir con los participantes, al final ellos son los que le dan el valor real al conocimiento que uno puede tener, otro aspecto es poder colaborar en la formación continua de profesionales consolidados, así como de estudiantes que están empezando en este mundo de la seguridad o telefonía IP, que puede ser tan confuso al inicio. Poder compartir el camino que uno ha recorrido y que les pueda servir de referencia, me agrada mucho.

Y una pregunta que se harán muchos lectores de esta entrevista, ¿qué es un ethical hacker?.

Es un poco complejo en estos tiempos, ya que cuando me preguntan a qué me dedico exactamente, normalmente no lo entienden o asocian la palabra hacker con algo malo, cuando no es así,  ya que como en toda profesión existen profesionales buenos y malos.

Sin embargo podría decir que es una persona que no solo usa los sistemas o la tecnología en general, como todos los demás, le interesa saber también cómo funciona por dentro, y es en esa “búsqueda” donde normalmente se encuentran fallos o vulnerabilidades al alterar el comportamiento de los sistemas.

En el ámbito profesional, a uno lo contratan para buscar vulnerabilidades en los sistemas y validar productos de seguridad que las empresas tienen, ya que muchas veces dicen que protegen pero en realidad no lo hacen.

Todo este trabajo se realiza en ambientes controlados y con el trabajo conjunto de la empresa que lo solicita. Siempre digo que no es llegar y empezar a disparar todas tus herramientas o mejores técnicas como el “llanero solitario”, no es así, al contrario, todas las actividades se realizan en coordinación con el cliente.

Luego dependiendo de lo que se encuentre, lo siguiente es ayudar a corregir o mitigar esos fallos, es un trabajo que tiene mucha responsabilidad, pero a la vez, también es muy divertido.

¿Cómo llegas al terreno de la seguridad en el sector de la tecnología de la información (TI)?.

A la seguridad informática por el uso de Linux. EL día que recibí mi primera clase de sistemas operativos puedo decir que cambió mi vida. En ese momento me dije “esto me gusta” y siempre traté de buscar un trabajo relacionado con ello, aunque en esos años fuera uno de los pocos marcianos que usaba un Linux en su ordenador.

Luego trabajé muchos años como administrador de sistemas que estaban expuestos a la Internet y los ataques eran el pan nuestro de cada día, ahí es donde se consolidó mi curiosidad, en el sentido de aprender cómo me atacaban, para poder proteger los sistemas que protegía en ese momento. Más tarde llegaron los proyectos de pentesting en los que desarrollo actividades solo de seguridad ofensiva.

Después, con el nacimiento de Asterisk, mi orientación hacia la seguridad en sistemas de comunicación se profundizó mucho más ya que luego llegó Elastix, los SBC, Softwitch y toda la corriente de plataformas de VoIP que me interesaron mucho desde el inicio. Implementarlas y luego protegerlas es algo que me gusta mucho y hasta la fecha sigo investigando nuevas formas de ataques y protección, basándome en la propia evolución de estas soluciones.

Imagino que un experto en seguridad en sistemas de comunicación que se sirven de una plataforma que evoluciona a la velocidad que lo hace Internet estará constantemente estudiando e investigando. ¿No resulta un poco frustrante que los “hackers malos” vayan siempre un paso por delante o realmente no es así?.

No es tanto así, en el caso de la gente que está del lado oscuro, la diferencia es que suelen tener más tiempo, ya que pueden estar detrás de un objetivo por mucho tiempo, hasta encontrar una brecha por donde ingresar y generar dinero, comparado con uno que sitúa su tiempo, especialmente en el desarrollo de proyectos e investigando para luego generar más conocimiento, como es mi caso.

De todos modos, esa lucha constante entre el bien y el mal debe suponer un reto precioso.

Sí, y existe una línea muy delicada que uno tiene que tratar de no cruzar. En algunos momentos me divertido mucho con vulnerabilidades masivas que suelen aparecer, ingresando a sistemas y demás cosas, pero de ahí no paso, normalmente les aviso que son vulnerables y eso es todo, luego documento el fallo en mi blog y explico cómo se puede corregir para que puedan parchear sus sistemas.

Es necesario tener mucho cuidado con ello. En más de una oportunidad me ha contactado algún oportunista ofreciendo el oro y el moro a cambio de hackear determinado sistema, pero no es más que meterse en líos. Desde aquí aprovecho la oportunidad para recomendar no hacer caso de ello, especialmente a los jóvenes que están empezando.

¿Qué habilidades o características debe tener un ethical hacker?.

Como te indicaba antes, primordialmente es un curioso. Siempre está pensando cómo que funcionan las cosas por dentro, bajo qué lenguaje lo desarrollaron, si está expuesto a Internet o no, si existen variables de datos, qué mecanismos de seguridad tiene, etc. Es una característica muy marcada, es fácil reconocer a ese tipo de personas, sobre todo cuando entras a un café, fíjate las personas que tienen stickers en sus laptops, entonces preocúpate, jajaja (broma).

Supongo que en los más de diez años trabajando en el sector de la seguridad en la TI te habrás encontrado de casi todo. ¿Cuál ha sido el problema más gordo con el que te has tropezado, uno de esos que dices: “esto no lo saco adelante”?.

No tanto como no poder sacarlo adelante, lo que pasa es que si encuentras sistemas bien hechos, difíciles de encontrarles fallos, siempre existe algún aspecto que puedes aportar para la mejora. Por ejemplo, se descuida mucho la información que entregan las páginas de error, típicos errores 404, que proveen información del sistema. También están los banners de servicios que, si bien es cierto no es una vulnerabilidad en sí mismos, ayuda mucho al atacante a focalizar sus ataques. Siempre hay alguna forma de aportar valor.

¿Y cuál es el problema más habitual que te encuentras cuando realizas un estudio de los sistemas de telecomunicaciones de una empresa?.

Los más habituales, podría citar dos, primero los usuarios y contraseñas de fábrica. Es una situación típica. Cuando las empresas compran equipos nuevos, los instalan (o contratan a un tercero) y no tienen el interés en conocer el equipo y/o sistema al detalle y menos aún leer un manual. Solo les interesa que haga su trabajo y la mayoría no son conscientes de lo complejo que puede ser por dentro y que pueden tener más de un tipo de acceso o inclusive alguna puerta trasera que el mismo implementador/integrador desconoce.

Por otro lado, las contraseñas débiles. Es impresionante la cantidad de sistemas importantes que uno puede encontrar con ese defecto y eso ya es producto de la cultura informática que cada individuo pueda tener.

¿Seguimos dejando la seguridad en un segundo plano hasta que el problema nos explota en las manos?.

Es correcto, muchas empresas recién toman el tema con seriedad cuando tienen algún incidente y a partir de ese momento empiezan a prestarle atención a la seguridad porque ya tienen conocimiento del impacto que este tipo de sucesos puede tener y más si les ha tocado el bolsillo. Lamentablemente es así.

Entonces entiendo que se podría decir que la prevención es uno de los aspectos más importantes. ¿Dónde piensas que está la clave para mantener una implementación bajo control y no tener que lamentar un ataque cuando sea tarde?.

Bueno, lo has indicado, la clave es el “control”. Yo siempre recalco este punto. Es necesario tener sistemas que monitoricen todo lo que sucede en tu red, y que esa monitorización sea proactiva ante posibles amenazas tanto si tienes un solo servidor o sistema y más aún si se trata de un sistema de telefonía IP, donde es evidente que las llamadas son dinero.

Es necesario tener en cuenta que los sistemas tienen eventos en cada momento que, al igual que un sistema orgánico, representan algo y eso puede ser un ataque o una intrusión ante la cual es necesario reaccionar.

¿Y cuál es el mejor consejo que pueden recibir los técnicos? ¿Y el peor?

Si decidiste meterte al lío de la tecnológica y la informática, el mejor consejo es que siempre investigues, hay que leer mucho.

El peor consejo que te digan o sientas estar conforme con lo que sabes.

Tras leer tu último libro, ¿crees que es el firewall que se ha implementado es impenetrable?

Bueno no existe un sistema impenetrable, en este caso Elastix SIP Firewall,  protege el protocolo más importante en las comunicaciones de VoIP, el cual es el protocolo SIP.

El SIP Firewall bloquea en gran medida los ataques a plataformas de comunicaciones que hacen uso de este protocolo.

Sin embargo de nada servirá un equipo tan poderoso si no eres consciente de todos los demás protocolos y servicios que este tipo de plataforma también tienen. Por eso siempre se recomienda solo mostrar hacia Internet los servicios necesarios. En este caso, si es solo SIP el que expones a Internet, podrás dormir tranquilo si tienes un SIP Firewall protegiendo.

De todos los tipos que se contemplan en el libre tales como , Enumeración de extensiones/bruteforcing de contraseñas, INVITE attack, DoS/DDoS flood, ¿Qué tipo de ataque crees que deberíamos controlar más?, ¿cuál es el más peligroso?

El más peligroso, siempre es el más sencillo de realizar, en ese caso es el bruteforcing de contraseñas, ya que apela a lo que anteriormente hemos mencionado, las claves débiles, y en ese aspecto ni el Firewall más completo va poder ayudar.

Hablemos de futuro. Millones de empresas en todo el mundo trabajan con sistemas de comunicación basados en la VoIP, ¿cuál crees que es el horizonte y los retos de la comunicación en la empresa para los próximos años?, ¿quizá las comunicaciones unificadas?.

Pues la convergencia de medios o, lo que muchos llaman, el multicanal, donde la voz es solo un componente más de toda la gama de servicios y medios para comunicarse. En estos momentos apuntamos a eso y no estamos muy lejos de vivirlo. De hecho, creo que poco a poco lo estamos viviendo, casi sin darnos cuenta.

Hay quien apuesta por la WebRTC como el futuro de las comunicaciones unificadas tanto en la empresa como en las relaciones personales. ¿Te vas a quedar sin trabajo, Juan? (bromeo).

No lo creo. Desde mi punto de vista, unificarla a la web solamente acerca la voz a los sistemas web que históricamente tienen los problemas de seguridad más grandes que existen en el mundo de la informática. No en vano existe una organización que ve exclusivamente está temática. Estoy hablando de “OWASP” (Proyecto Abierto de Seguridad de Aplicaciones Web) a la que os invito a echarle un vistazo, tanto si son programadores como si no.

Es así que los que implementen o más aun desarrollen servicios en WebRTC tienen que ser doblemente cuidadosos, nos solo por el transporte de la voz, sino porque también su aplicación web sea segura, eso demanda un cuidado especial, así que tengo trabajo para rato, jajaja (risas).

Estamos hablando de seguridad debido a tu especialidad pero las implementaciones de voz sobre IP son en realidad uno de los sistemas más estables y ofrecen mayores ventajas que la telefonía tradicional. Como vamos a conseguir que esta entreviste llegue a muchas empresas, ¿cómo convencerías a un empresario que está pensando en pasarse a la telefonía IP?.

Pues no es muy difícil, invito al empresario a realizar un cálculo básico entre lo que invertiría en una solución de telefonía tradicional y la campare con la inversión de todos los servicios de valor agregado que obtiene con una solución de telefonía IP (sobre todo una basada en software libre) como Elastix. Si tenemos en cuenta serrvicios como la movilidad, los ahorros de costos en cada llamada, el ahorro de licencias de uso por extensiones adicionales o los módulos de funcionalidades adicionales que no tendrá que pagar, por ejemplo un call center, es muy sencillo recomendar la telefonía IP.

¿Y algún proyecto que tengas entre manos y que podamos adelantar a nuestros lectores?.

Existen proyectos que no puedo comentar por reserva, pero uno personal en el que estoy trabajando es en una distribución de software libre enfocada a centralizar logs para monitorear y centralizar los eventos.

Existen software desarrollado, claro que sí; pero no consolidado en una distribución. Actualmente es solo un script de instalación que automatiza el proceso, pero es de uso personal en los proyectos que realizo. Ahora quiero dar el salto, crear una distro y liberarla posteriormente, me parece que sería muy útil para todos, ya que es algo que he buscado y no he encontrado una solución como tal.

¿Cuándo te veremos por España para poder invitarte a una buena paella. Valenciana, por supuesto?.

Pues te tomo la palabra con la paella. Yo encantado de visitar nuevamente España. Ya he estado algunas veces y siempre quedé encantado. Espero volver pronto y mejor aún si es para compartir conocimiento.

Pues estamos terminando, Juan. ¿Alguna cosa que te gustase comentarnos?.

Pues sí. Me gustaría aprovechar para invitar personalmente a vuestros lectores al evento Elastixworld 2015 que esté año se celebra en Bogotá. Los que vengan no se arrepentirán y podremos charlar sobre el interesante mundo de la VoIP y de Elastix.

Muchas gracias por tu tiempo y tu cordialidad, Juan. Ha sido un verdadero placer charlar contigo.

Gracias a ustedes, ¡hasta pronto!

 

Si queréis saber más sobre Juan Oliva, podéis seguirle en estas cuentas:

Juan Oliva en Twitter : https://twitter.com/jroliva
Juan Oliva en Linkedin : https://www.linkedin.com/pub/juan-oliva-c-eh-c-pte-dcaa-lpic-1-cla/31/470/453
ElastixWorld : https://www.elastixworld.com/

+IP | Telefonía IP · CRM Software · Call Center · Contact Center · Centralita Virtual

Contacta con nosotros

¿Quieres hablar con nosotros?