En la UAD de hoy os traemos la entrevista de Chema Alonso a Román Ramírez, conocido por todos nosotros como “PatoWC”, que entre otro millón de cosas en su carrera profesional, donde destaca su trabajo en equipos CISO toda la vida, y su impulso por la integración social gracias a su colaboración con la Fundación GoodJob, es uno de los fundadores de la RootedCON, que por méritos propios se ha convertido en la CON de hackers más importante en el panorama nacional.

Román ha estado siempre empujando la comunidad de hackers en este país, haciendo que la RootedCON cada año rompa nuevos límites, luchando por romper los estereotipos que han limitado muchas veces al personal técnico y que se han usado como barrera para hacer que una persona extremadamente técnica no pudiera tener un puesto de responsabilidad en una organización.

Le llama el C-Level o el C-Suite, durante mucho tiempo vetado a hackers, techies o ingenieros con altas destrezas tecnológicas. Román ha sido siempre muy vocal en defender que la excelencia técnica no está reñida con la excelencia en la gestión de negocio. Y yo le doy la razón, hay muchos hackers que se han convertido en CEO, COO, CTOs, CDO, CIO, CISO, sin perder sus destrezas y haciendo que eso sea un valor añadido en su trabajo a la hora de tomar decisiones.

También pelea por el emprendimiento en ciberseguridad, y por lo que él llama la igualdad “de verdad” de oportunidades, para que todos puedan competir en este mundo tan profesionalizado. Yo he tenido la suerte de estar en la RootedCON casi todos los años – si no todos -, y siempre que me den un silbidito, voy para allá con mi gorro y mis charlas.

Para que os hagáis una idea, en RootedCON procuro tener siempre mis charlas nuevas, y antes de ir a DefCON, BlackHat, y el resto de conferencias por el mundo donde acabo dando una charla, por allí pasaron la primera charla de FOCA, la primera charla de Owning Bad Guys {and mafia} using Javascript Botnets, Dust-RSS, Sappo, DirtyTooth “it´s only rock’n roll but I like it”, y un largo etcétera de charlas de las que me siento muy orgulloso. Pero primero las llevo a RootedCON, que es donde deben estar. De hecho, decidí que el día que anunciara que me iba a mi querida Telefónica sería sobre el escenario de la RootedCON para que los hackers fueran los primeros en saberlo. Y así lo hice.

Espero que disfrutéis esta entrevista, donde hemos hablado de cosas de estas que a las que ya os he introducido yo, pero ahora de primera mano del gran Román Ramírez, que poco le agradecemos el trabajo que ha hecho por la comunidad en este país. Gracias Román.

1)    Román, RootedCON se ha convertido en la CON más grande de España, y parece difícil hacer cosas más grandes, pero… tú siempre piensas a lo grande. ¿Qué tenéis en mente para el futuro de RootedCON?

Nuestro objetivo desde el principio ha sido lograr cohesionar una comunidad que, en nuestra opinión, estaba muy dispersa. Una vez avanzamos en esa idea, el siguiente objetivo es ganar «músculo» para poder tener más influencia y pelear por cosas que consideramos importantes. Como, por ejemplo, otorgarle a los profesionales que usan la Ñ la relevancia que merecen en el mundo. O, un ejemplo quizás más relevante, el tema salarial en España.

Más que lograr un evento muy grande, lo que creo que necesitamos como país (incluso sería más ambicioso, como cultura de la Ñ) es un punto de reunión de todos los actores que permita unir voluntades y energías y que se trate al sector con la importancia que merece.

Me preocupa la dispersión y que organicemos cosas por separado, cuando deberíamos trabajar todos juntos para atraer el foco a la Ñ (sea donde sea, aunque, claro, yo querría que fuera en Madrid). Más todavía con las altísimas capacidades que hemos demostrado en ciberseguridad.

Tenemos que lograr que no parezca que todo se hace en «inglés» o que tienes que ir a EEUU para encontrar «valor». O, algo lamentable, que no parezca que los responsables de las empresas españolas tienen que ir a eventos en San Francisco sí o sí para encontrar «cosas». Lo tenemos en casa. Lo tenemos en nuestra cultura. Vamos a reclamarlo con fuerza.

Y si además ayuda a evitar la salida de personas con talento y conseguimos retenerlas en empresas españolas, mucho mejor.

Por todo esto, en el futuro de RootedCON me centraría en:

• Colaboraciones: como la que ya tuvimos con la maravillosa gente de ProtAAPP. Queremos ampliar estas colaboraciones. Como decían en Barrio Sésamo: «solo no puedes, con amigos sí» 🙂
• Internacional, para buscar más aliados en otros países donde podamos crecer compartiendo y dando visibilidad a nuestro talento.
• Activismo: creo que el mundo cada vez es más y más complejo y se están tensionando los derechos fundamentales y los derechos laborales por los intereses de distintos actores. Hay que posicionarse y tomar acción.
• Influencia: ahora mismo tenemos mucha influencia en distintas áreas del sector de la ciberseguridad. Hay que usarla para promover cambios relevantes A MEJOR.

2)    Has hecho una carrera profesional en Ciberseguridad impresionante, pero siempre has estado pensando en la comunidad. ¿Qué le hace tan valiosa a esta comunidad de hackers que siempre hablamos tú y yo para la sociedad de un país como el nuestro?

Eres tan consciente como yo de que muchos de los procesos de ciberseguridad que existen en el mercado hoy, han tenido origen en actividades del mundo del hacking e, incluso, del underground.

Además, con la madurez del sector, hemos llegado a un punto en el que podemos hablar de profesionales de ciberseguridad y de hackers como dos roles bien diferenciados y ambos esenciales: unos como profesionales en tareas estructuradas y otros como «francotiradores digitales» para tareas muy especializadas.

Por mucho que se profesionalice el sector gracias a la evolución de universidades, oferta formativa, definición de roles, taxonomías, … hay hechos culturales notables en el mundo de los Riesgos que solamente se entienden cuando has crecido como hacker.

Creo esencial ese aporte. Esa visión alternativa, rupturista, incluso «ninja». No concibo un sector donde solamente haya profesionales de un tipo: necesitamos ambos y somos fuente de talento para ello.

En España, en concreto, hace falta un esfuerzo especial en salir de ideas enquistadas de lo que debe ser estar en un consejo de dirección de una IBEX35 (guiño-guiño-codazo-codazo) o en quién es el más capacitado para dirigir la lucha contra las amenazas. El hacking va a ayudar y a sentar muchas bases en esto. Aunque algunos actores no quieran… será inevitable, porque los adversarios dan lecciones constantes sobre ello.

Además, esta cultura divergente del hacking, aporta diversidad, mente abierta, visión innovadora… espero que hagamos crecer la cultura del hacking, la verdad.

3)    Han pasado muchos ponentes por RootedCON, pero si alguien no hubiera visto todas las ediciones, ¿qué tres charlas le recomendarías ver para que supiera qué es RootedCON?

Es complejo y poco cortés seleccionar unas charlas concretas para resumir qué es un evento como el que organizamos. Todas las charlas están por una razón.

Sí podría señalar con orgullo dos charlas que pueden parecer antagónicas:

¿Por qué citar estas dos charlas? Por algo que es una premisa esencial para nosotros. Nadie puede decidir quién o quién no está en una Comunidad.

Cuando invitamos a los mandos de Guardia Civil a un panel donde contaron la evolución de su función dentro de la institución, recibimos críticas de distintos actores del sector que creen estar en posición de decidir lo que tiene que estar o no en un evento para profesionales de ciberseguridad.

Cuando invitamos a La9 a hablar de sus motivaciones y debatir sobre las implicaciones éticas de estas, recibimos críticas de distintos actores del sector que creen estar en posición de decidir lo que tiene que estar o no en un evento para profesionales de ciberseguridad.

Distintos actores en, posiblemente, dos polos antagónicos; mismas reacciones de censura.

Nosotros como organización jamás vamos a ceder a la censura de unos u otros grupos ideológicos. Vamos a hacer siempre lo que creamos que es bueno para el sector.

Una tercera charla, y así no tengo que opinar sobre los ponentes de Rooted, sería cuando otorgamos el Premio Raúl Jover al CCN-CERT este año. Porque el CCN-CERT siempre se ha implicado y ha apoyado a todos los eventos de España y han cumplido una función esencial en el sector, por supuesto, pero sobre todo por ser el primer premio otorgado con el nombre de nuestro queridísimo amigo Raúl, cofundador de Rooted, quien falleció en 2021.

4)    Román, tú has “chupado trinchera” en los inicios del hacking. Hoy ha cambiado mucho esta forma de aprender hacking. Pero.. ¿qué es mejor y qué es peor para ti?

Bueno, cuando te pones a opinar sobre lo que es mejor o peor para una generación que no es la tuya, entras en la dinámica de los «Four Yorkshiremen» de los Monty Python xD.

Quizás, como diferencia esencial veo el volumen de información. Antes había relativamente poca y era costoso obtenerla. Ahora hay una verdadera avalancha y es bastante difícil seleccionar la que es de calidad… cada época tiene sus dificultades.

No sé realmente si es peor o mejor, pero si tuviera que empezar a aprender hoy, me agobiaría bastante el tener tantas opciones de cosas de las que no tengo claro si van a valer la pena el tiempo que les dedique. Para agravarlo, hay verdaderos maestros de la comunicación que no lo son tanto del contenido técnico de calidad por lo que, en ocasiones, puedes tragarte alguna cosa que luego descubres que es mala, mala, mala. Y el recurso más valioso que tienes en la vida es tu tiempo.

5)    Nadie que no ame lo que hace es bueno en esa profesión. Con Kevin Mitnick siempre que hablamos, decimos que para nosotros el Hacking es Fun. ¿Qué es el Hacking para Román y por qué lo amas?

Ya sabes que mi idea de un hacker es cualquiera, de cualquier disciplina o sector, que es capaz de «retorcer» la realidad asumida por la gente y descubrir formas alternativas de hacer cosas. No necesariamente un informático.

Para mí, que ideológicamente lucho por cosas tales como no aceptar las tradiciones o decisiones heredadas, a favor de la diversidad de pensamiento, la libertad de expresión, de identidad… el hacking es una forma ESENCIAL de enfrentarse al mundo sin permitir que este te cambie (para peor) o te corrompa. El status quo reacciona con «anticuerpos» contra las personas divergentes y usar «hacking» para luchar contra esos anticuerpos es importantísimo.

El hacking es una herramienta para la libertad y la identidad propias. Personalmente creo, además, que el deber de todo hacker (dado que es usuario de estas herramientas de «libertad» e «identidad») es, precisamente, luchar por los derechos fundamentales de todo el mundo como extensión de esas premisas.

Así que, el hacking es quien soy. Y soy la persona que soy gracias a que encontré el hacking.

6)    Y si tuvieras que darle algún consejo a un joven que quiere hacerse una carrera como Security pr0n Star, ¿qué le dirías que no debe hacer nunca y qué tiene que tener en mente hacer?

En mi opinión, una cosa que no hay que hacer nunca es erigirse como un Sacerdote de quién puede o no estar en una Comunidad. En el mismo instante en que crees que tienes la capacidad de determinar que unos y no otros pueden formar parte de una Comunidad, te has convertido en un elemento que resta, en vez de sumar.

Lo segundo, no hace falta asumir roles destructivos o hirientes con personas u organizaciones para demostrar maestría y autoridad (roles de “sobrado”). Esto lo veo últimamente mucho, gente que «prospera» a costa de asumir personajes con bastante mal estilo. No es necesario y, además, es destructivo y dañino para la Comunidad. En todo caso, si vas a asumir ese rol, ya puedes tener detrás un fondo muy sólido…

Sobre qué hacer, se resume en pásatelo bien (haz cosas que te hagan feliz), un pequeño logro cada día, ser auténtico (ser tú, no un personaje inventado), ser honrado (a veces esto es muy difícil de hacer, porque casi siempre tiene consecuencias, pero es el precio a pagar) y siempre, siempre, siempre, tener como premisa principal el aportar algo positivo y evitar hacer daño. En bioética existen los principios de beneficencia, de no malevolencia, de justicia y de autonomía: yo los aplicaría con rigidez si tuviera que empezar ahora en el hacking pensando en ser una referencia para otras personas.