"Está claro que si no pagas por un producto, tú eres el producto"

Esta exposición pública surgió a raíz de que Chema Alonso, CDO de Telefónica, publicara en su blog el verano pasado un artículo sobre mí. Pero sinceramente creo que no ha cambiado nada. Sigo dedicándome prácticamente a lo mismo, a hacer innovación para ElevenPaths, la unidad de ciberseguridad de Telefónica. Los referentes son muy necesarios para futuras generaciones de cara a atraer el talento, pero todavía me queda mucho recorrido para serlo. En comparación con otras, llevo relativamente poco tiempo.

¿Cómo llega una periodista a trabajar en ciberseguridad?

De casualidad. Cuando acabé la carrera e incluso antes, me di cuenta de que no me gustaba mi profesión y decidí cambiar radicalmente. Aunque el mundo de la seguridad es un campo que he vivido desde pequeña. Comencé haciendo un master de análisis de inteligencia donde conocí a Félix Brezo, actual compañero de fatigas en ElevenPaths. La guía de Félix fue fundamental para que me comenzara a apasionar la tecnología. En mi campo se valora más la capacidad que tengas de aprender, que los títulos.

Ha sido la primera mujer española en participar en DefCON y Black Hat, dos de las macro convenciones más importantes del mundo. ¿Cómo se vive una experiencia así?

Un mes antes de que confirmaran mi presencia me preguntaron en una entrevista cuál era mi sueño laboral y, sin duda, dije que era dar una charla en alguna conferencia de este tipo. Cumplí mi sueño, pero disfruté poco. Fue una semana muy intensa. Presentamos dos herramientas en BlackHat y, por último, la conferencia en DefCON. Espero que si tengo la suerte de volver, pueda tomármelo de forma más relajada, aunque como soy, no creo que sea posible...[risas].

Uno de los hitos de Eleven Paths es BlackHat OSRFramework, un conjunto de herramientas de software libre, ¿en qué consiste?

OSRFramework es un conjunto de herramientas, en la que llevamos trabajando cuatro años y están orientadas a la investigación sobre la huella digital que vamos dejando los usuarios en internet. Al ser analistas de inteligencia, el proceso de recolección de información lo tenemos bastante claro y con esta herramienta lo que queremos es automatizar esa fase del ciclo.

Participaste en un vídeo que animaba a las mujeres a ser hackers , ¿por qué las mujeres deberían tomar ese camino?

En el área de CDO de Telefónica tenemos una campaña llamada Mujeres Hacker con el objetivo de visibilizar el talento técnico femenino. La visibilización es fundamental para que, cuando las futuras generaciones tengan que decidir qué estudiar, las carreras técnicas sean un opción. Dar a conocer lo que haces es la manera de poder inspirar a otras. Es necesario trasmitir que si hemos podido llegar aquí significa que no hay barreras en cuanto a sexos. Todo es cuestión de constancia.

La RAE define hacker como sinónimo de pirata informático, ¿es desacertada la acepción?

Completamente. El término hacker no es algo nuevo. Fue definido en 1993 en un glosario realizado por el Grupo de Trabajo de Ingeniería de Internet (IETF). Lo definieron como aquella persona que se deleita en tener una comprensión íntima del funcionamiento interno de un sistema, de los ordenadores y de las redes informáticas en particular. Esta inquietud por saber cómo funcionan los sistemas está muy lejos del estereotipo que se ha proyectado desde hace unos años en los medios. El fin último de estas personas es hacer de internet un mundo mucho más seguro, tanto para las compañías u organismos públicos como para cualquier usuario que vaya a hacer uso de él. Sin embargo, el término es a menudo utilizado en un contexto peyorativo, donde cracker (o cibercriminal) sería el término correcto.

El debate se centra ahora en el caso Cambridge Analítica y la seguridad de Facebook, ¿cree que podría haberse evitado?

Sinceramente creo que era muy difícil evitarlo teniendo en cuenta la era en la que estamos del Big Data. La gente está muy escandalizada con el caso cuando existen muchas empresas dedicadas a pensar cómo obtener cuantos más datos mejor y almacenarlos en lo que se denominan data lakes. Son repositorios de almacenamiento que contienen gran cantidad de datos en bruto procedentes de fuentes dispares.

¿Se puede definir como un fallo de seguridad de Facebook?

No, antes de 2014, Facebook permitía que aplicaciones con fines de investigación recopilaran datos de los usuarios que consintieran el acceso a la app y también de sus amigos. Pero según Facebook, Cambridge Analytica no cumplió con esta parte ya que en sus condiciones esos datos sólo se podían utilizar para investigación. No podían venderse ni utilizarse con fines comerciales.

¿Es posible ser invisible o que no recaben nuestros datos en el mundo digital?

Muy pocos servicios son los que no se dedican a capturar datos sobre usuarios. Un ejemplo de proyecto que aboga por la privacidad de los usuarios es el buscador DuckDuckGo, pero es una excepción. La gente debe hacer balance sobre si la información que está entregando es adecuada al valor que va a recibir. Cuando no pagas por un producto, tú eres el producto.

¿Se pueden proteger esos datos de cualquier amenaza?

Los datos a menudo contienen información confidencial que requerirá la implementación de las medidas de seguridad apropiadas. Sin embargo, una de las máximas que tenemos aquellos que nos dedicamos a esto es que la seguridad 100% no existe. No hay nada peor que pensar que nunca va a pasar nada y no estar preparado.

¿Ha sido duro ser mujer hacker en un mundo tradicionalmente de hombres?

Tengo unos compañeros de profesión que son auténticos cracks, profesional y personalmente. En mi caso, no es difícil trabajar en un mundo tradicionalmente de hombres. En esta profesión te valoran por lo que sabes hacer.

¿Qué dirías a las mujeres que quieren trabajar en el sector?

Son muchas horas las que van a tener que dedicar a la profesión, así que si deciden lanzarse que sea porque les gusta y no sólo porque ahora esté bien valorado.