Hazte premium Hazte premium

Yaiza Rubio, la primera mujer española en participar en los macro encuentros de hackers DefCON y Black Hat

La analista de inteligencia en ciberseguridad de ElevenPaths presentó en las macroconferencias de ciberseguridad un phising anónimo perfecto desde la red Tor y un conjunto de herramientas de seguimiento de huella digital

La analista de inteligencia de ElevenPaths Yaiza Rubio ElevenPaths
Lydia Natour

Esta funcionalidad es sólo para registrados

La analista de inteligencia en ciberseguridad de la plataforma ElevenPaths de Telefónica, Yaiza Rubio, se ha convertido en la primera mujer española en participar en las dos macroconvenciones de hackers celebradas en Las Vegas: DefCON y Black Hat .

En la primera, ha dado una conferencia sobre cómo incluir un phising anónimo en las redes sociales aprovechando una brecha de seguridad, apoyado en la red oscura Tor. En Black Hat ha presentado un paquete de herramientas para rastrear la huella digital de usuarios durante una investigación. DefCON es uno de los encuentros de hackers más antiguos, fue fundado en 1993 por Jeff Moss. El cual más tarde fundó también el evento de Black Hat cuatro años después.

Yaiza Rubio estudió Ciencias de la Información y tiene tres máster en Análisis de Inteligencia, Logística y Economía de la Defensa, y Derecho Tecnológico y de las TICS . Fue durante el máster de inteligencia que conoció a su actual compañero de trabajo Félix cuando decidió encaminarse por la rama del análisis de ciberseguridad. Antes de llegar a Telefónica trabajó en ISDEFE, la unidad de desarrollo de negocio de la industria española de defensa y seguridad.

La primera mujer hacker española en participar en DefCON y Black Hat, ¿este momento se ha producido demasiado tarde?

Sí es verdad que a lo mejor llegamos un poco tarde, pero tampoco hay tantas mujeres que se dediquen al mundo de la seguridad. También es verdad que no hay tantos hombres en España que les cojan conferencias en Black Hat y en DefCON, esto va como en todo a proporción. Si hay más hombres, pues por proporción deberán coger ciertas charlas de españoles que vayan allí y al ser menos mujeres, está claro. Es triste, a mí me encantaría que algún día esto no fuera noticia, que yo fuera noticia de ser la primera mujer en Españ a que va a una conferencia de este estilo. Eso significa que cuando esto deje de ser noticia, será que hay más mujeres que se están atreviendo a presentar sus «papers» , publicaciones, investigaciones y a este tipo de conferencias. Sin embargo, es cierto que cada vez hay más.

A día de hoy, todavía se ven más hombres en las facultades técnicas y en la rama de informática, ¿por qué cree que se produce esto?

Es algo que se aprende desde pequeño, por la familia. No se incentiva a tener esa primera experiencia con la tecnología que sea favorable. En algún momento alguna niña que se ha atrevido de pequeña, se le ha quitado las ganas de intentar trastear. Hay gente que no lo ve bien, son estereotipos al fin y al cabo, que a medida que pase el tiempo los iremos puliendo y no estén tan marcado. Hace unos años, probablemente no se veía tan bien que una niña juegue y trastee con la tecnología, como pueda ser un niño. En ese proceso, sus padres o en el colegio recibe algún tipo de «imput» negativo que no entiende para qué sirve eso , pues es muy difícil que en un futuro se vaya a dedicar a eso. Yo creo que desde pequeños, lo que hay que hacer es fomentar esa experiencia primera, para que en el futuro esas niñas o esos niños, porque yo lo veo en general, puedan optar por esas carrera técnicas.

En cuanto a tu currículum, sorprende para otra periodista que estudiase la rama de ciencias de la información, ¿cómo acabó de analista de inteligencia?

Eso no es tan difícil, que una persona que haya estudiado ciencias de la información no es tan complicado. El tema es que esos analistas se atrevan de alguna manera a ser coger esa parte técnica de la ciberseguridad. El analista de inteligencia está clasificado en muchas ramas. Por lo que yo, me he atrevido a la parte de ciberseguridad y he tenido que evolucionar tan rápido y aprender tan rápido como la gente que trabaja en mi sector. Es verdad que entré en el sector con desventaja con respecto a otra gente que venía de carreras técnicas, pero la gente tampoco se tiene que estar echando las manos a la cabeza. Los que estudian carreras técnicas, a la hora de la ciberseguridad que es a lo que nos dedicamos nosotros, a lo mejor solo tienen una asignatura de seguridad en toda la carrera. Ahora está creciendo más, pero hace unos años no había tanta especialización de ciberseguridad y es mucho lo que haces después de la carrera, pero de cara al mercado laboral y no la carrera que hayas estudiado anteriormente. Una vez que yo me metí a ciberanalista, que no es tan difícil, el salto vino a través de certificaciones, cursos de hacking, intentar aprender todo lo que sea posible.

En cuanto al tema que has tratado en DefCON, has acudido a hablar del Phising que se puede producir apoyándose desde la red Tor.

Phising: método para engañar y conseguir que el usuario revele información personal como datos bancarios o contraseñas.

El motivo de la charla era la creación de un phishing perfecto desde el punto de vista del atacante buscando dicha perfección desde el anonimato. Lo que hicimos fue identificar ciertas redes sociales todavía vulnerables a ataques de «reverse tabnabbing» con el objetivo de abarcar cuantas más víctimas mejor. ¿Qué nos permite hacer? En el momento en el que cualquier plataforma que no haya parcheado dicha vulnerabilidad, en nuestro caso serían redes sociales como Facebook o Google+, es posible publicar un link que dirigirá al usuario a una web abriendo una nueva pestaña en el navegador mientras que el contenido de la pestaña anterior habrá sido cambiada por otra bajo el control del atacante. Esta mala práctica en la gestión de enlaces se torna todavía más crítica cuando es posible alojar el phishing en la red Tor con el objetivo de borrar cualquier huella, así como hacerlo perdurable en el tiempo. Para ello no es necesario ni que las víctimas tengan Tor instalado, se puede forzar al usuario la navegación a estar páginas a través de plataformas de terceros que hagan la consulta por nosotros, como es el caso de los «gateways». Este modelo teórico de ataque tendría muy difícil seguimiento desde el punto de vista de las fuerzas y cuerpo de seguridad.

En la red Tor hay páginas que si no están indexadas en la wiki (índice), ni si quiera se pueden encontrar, ¿qué se hace entonces?

Crawlers: o araña de la web que rastrean las páginas en busca de links

Claro, ese es el tema. Imagínate que ese phising que yo he creado no lo publico en ningún sitio y no le digo a nadie donde está, nadie lo va a saber. Hay «crawlers» que cogen los links: abren la página, cogen los links dentro de las página y los almacenan, así como los links que redireccionan a otra. Si ese link no aparece en un sitio, ningún «crawler» lo va a pillar. Lo que se publica, o nuestra aproximación de lo que se publica en Google+ que es como nuestro método de difusión del phising, no aparece ese link, porque va a estar como las urls acortadas, por ejemplo los «bit.ly». Nadie va a saber que por debajo hay un «.onion».

¿Cuál es el producto que ha presentado en Black Hat?

Hemos tenido dos presentaciones. La del primer día tiene que ver con el «framework», que hemos ido desarrollando durante cuatro años Félix y yo, orientado al análisis de inteligencia. Es un conjunto de herramientas que se dedica a la obteción de información en internet y muy orientada a perfiles, a la huella digital que pueda tener una persona en internet. Una analista de inteligencia cuando necesita hacer una investigación sobre ciertos perfiles en la red o la huella digital necesita acceder a cierta información: nombre de usuario, dirección de correo, nombre y apellido o dominios.

¿Las herramientas están desarrolladas para seguir un rastro?

Sí, este software lo tienen integrado los cuerpos de seguridad en su unidad. Es software libre, todo el mundo se lo puede instalar, no es de pago y todo el mundo puede contribuir. La herramienta principal que hay es una llamada «usuzi». Si un usuario en Twitter aparece relacionado con un tema, te va a interesar tener toda la información relacionada con ella: qué cuentas tiene asociadas, qué perfiles en redes sociales puede tener. Pues lo que hace es coger ese usuario y validar 300 redes sociales, foros, también de la «deep web». Son bastantes fuentes de información, que además la herramienta está montada para que sea muy fácil de integrar en el entorno. Nosotros nos dedicamos a ciertas amenazas concretas, pero luego hay gente se dedica a terrorismo y necesitas integrar en otros foros. Luego también suele ser muy importante en una investigación validar que esa cuenta de correo existe. Intentas por combinaciones de nombres y apellido, y generas muchos alias que con ellos intentas forzar muchos nombres potenciales de correo.

Esta funcionalidad es sólo para suscriptores

Suscribete
Comentarios
0
Comparte esta noticia por correo electrónico

*Campos obligatorios

Algunos campos contienen errores

Tu mensaje se ha enviado con éxito

Reporta un error en esta noticia

*Campos obligatorios

Algunos campos contienen errores

Tu mensaje se ha enviado con éxito

Muchas gracias por tu participación