Marco Carrasco - Hacking ético y Red Team 4o255v

Bueno, nada, recuperamos la normalidad de pocas semanas.

Después de tanta oscuridad, un apagón, un caos, recuperamos, recuperamos.

Recuperamos nuestro show rider habituales, de los toys.

Se les acabaron las vacaciones ya, aquí ya vamos.

Invitado super top, ¿quién tenemos hoy? Invitado super top, pues hoy retomamos un poquito el tema de la ciberseguridad de manera extra y tenemos a Marco Carrasco Tarán, experto en seguridad informática, perdón.

Cuéntanos un poco más, porque yo lo de los títulos en inglés lo llevo fatal y ya nos has comentado que está mucho mejor así.

Sí, bueno pues, a mí lo que me gusta mucho es testipar todo.

O sea, tanto los ordenadores a nivel físico, como cualquier programa a nivel software.

Siempre me han gustado mucho los sistemas operativos, siempre me ha gustado mucho investigar, cacharrear y como la seguridad informática es algo muy diverso, o sea que se puede aplicar a todo, a la medicina, a la bioinformática por ejemplo, pues es como un subidón de dopamina cada vez que haces algo.

Entonces, me he metido lleno y aquí estoy.

Qué bueno, qué bueno.

Sí, sí, brutal, brutal.

O sea, es que por lo poco que nos has estado contando antes del podcast, me he quedado flipada.

Es que hemos tenido una previa disparo.

Queremos saberlo todo.

Disparo uno, lo primero, buenas tardes a todos, a todas.

Ya te han visto.

Ya lo sé, ya lo sé, ya me conocéis todos.

Bien, vamos con lo importante, que eres tú evidentemente.

Me gustaría que nos contases un poco qué es lo que haces, cuál es tu rol exactamente, que nos adelantarás un poco conceptos, cómo funciona lo que haces.

Bueno pues, por así decirlo, si los managers son los de PowerPoint, yo soy el del PowerPoint y también el trabajador de campo.

Entonces, me dedico un poco a evaluar la seguridad de no solo sistemas informáticos, infraestructuras también, organizaciones y un poco también personal.

Soy lo que se dice en inglés penetration tester, pero básicamente es hacker.

Pero es un poco cliché el término.

Y luego también me dedico un poco a la parte de simulaciones de adversario, que es un poco más reciente.

Que eso sería la parte de Red Team, que es un poco más realista, por así decirlo.

Entonces, básicamente es, me ponen lo que sea, un móvil o una página web, que sobre todo hago páginas web y infraestructuras, que son dominios básicamente.

Y si no sé lo que es, lo busco.

Lo mejor de todo es que lo tienes que hacer en un tiempo estimado, porque si no, no sacas trabajo.

Entonces tienes que aprender, adaptarte y hablar en el idioma de los managers.

Que suele ser el idioma de riesgo es igual a dinero, básicamente.

Muy bueno ese apunte.

Bien, me genera bastante curiosidad el saber cómo empezaste en todo este mundo.

¿Por qué es tu pasión? ¿Por qué es tu afición? ¿Por qué eligiste esto? A ver, yo con seguridad informática, yo no empecé en seguridad informática.

Yo empecé en informática, yo no sabía lo que era seguridad informática.

Yo empecé con la informática en general a los 7 años, un poquito más pequeño.

Mi primer ordenador de hecho tuvo Windows 95, 98, no me acuerdo exactamente.

Con disquetera, o sea, yo he tocado VHS, disquetera, todo eso.

Yo no tenía internet hasta los 11.

Entonces jugaba al Tomb Raider o al Imperium Lagraga, que es un juego...

Es demasiado Boomer ese.

Luego también las VHS con el bolígrafo a resepearlo.

Y también los casetes con el Workman y todo eso.

El lápiz, ¿no? De hacerlo así para que...

Sí, sí.

Luego yo vengo de la parte de sistemas, o sea, sigo siendo informático por 10 años.

Empecé con 12, justo porque cuando sacaron el Star Wars Battlefront, me compraron mis padres el ordenador al empezar la secundaria y no tenía requisitos el ordenador para jugar.

Entonces, ¿por qué me sale este error? ¿Qué pasa? Pues justo me puse a investigar y ahí empecé informática.

Luego al terminar el grado medio, en esos meses previos, que nosotros tenemos una asignatura de seguridad informática, yo sin saberlo estaba haciendo cosas de hacking ya.

Porque seguridad informática es muchas cosas, es papeleo, es normativa, etc.

Entonces yo, por ejemplo, así de típicas trastadas, en plan te conectas al ordenador de otra persona, se lo apagas mientras y pues te echas unas risas con la clase.

Tumar un colegio, ¿no? No, ¿tumar un colegio? Sí, eso fue básicamente un profesor que se trajo a una práctica un firewall de Cisco para simplemente ver cómo configurarlo, pero bueno, yo en ese momento viché 10 minutillos a ver qué se podía hacer con esto e hice lo que se llama denegación de servicio.

El firewall no podía soportarlo y creo que es lo que se ha hecho.