Archivo

Archive for the ‘Uncategorized’ Category

Los 48 mejores artículos del 2014 en TheHackerWay (THW)

diciembre 30, 2014 2 comentarios

Un año más que está a punto de terminar y continuo redactando entradas en este sitio, con la única finalidad de mantener un registro de las cosas que me gusta investigar y poder compartir mis estudios con todo el mundo. Este año ha sido especialmente interesante, ya que he tenido la posibilidad de presentar el proyecto Tortazo, con el cual he ganado el primer reto de jóvenes profesionales de ISACA. He redactado mi primer libro sobre “Python para Pentesters” con la editorial 0xWORD y he tenido el honor de conocer a gente realmente buena en el campo de la seguridad informática. Tengo muchas expectativas sobre los posibles proyectos que saldrán para el año que viene y espero que sea tan productivo como lo ha sido el 2014.
Por otro lado, el trafico de este blog se ha duplicado con respecto al año 2013, recibiendo un promedio de 2.500 visitas diarias y con más de de 1.000 personas inscritas. No está nada mal y es posible gracias a todos y cada uno de vosotros. :-D

Todo esto no solamente me motiva para seguir escribiendo, sino para seguir investigando en mayor profundidad todos los temas que se crucen por el camino y que despierten mi interés. Espero que el año que viene sea igual o mejor que este, por mi parte pondré todo mi empeño e intentaré mejorar la calidad técnica del blog y redactar algún que otro libro más.

En esta entrada, además de desearos una feliz navidad y un prospero año 2015, también quería dejaros algunos de los artículos más interesantes que se han publicado en este sitio en el 2014. Se encuentran ordenados por orden cronológico e incluyo la fecha de publicación, una breve descripción y el enlace de la entrada. Aquí van:

Nombre       Descripción Enlace Fecha
Explotación de Software Parte 2 -Modos de operación del procesador e Instrucciones en Assembly Conceptos básicos sobre las arquitecturas y modos de operación del procesador, así como las principales instrucciones disponibles en ensamblador Enlace 13/02/2014
Hacking con Python Parte 3 – DNSPython para consultar servidores DNS Uso de la librería DNSPython para realizar consultas a servidores DNS. Enlace 18/02/2014
Explotación de Software Parte 4 – Programacion en Assembly bajo Linux Explicación sobre el uso de las principales instrucciones disponibles en ensamblador bajo sistemas Linux Enlace 27/02/2014
10 sitios en la deep web de TOR que podrían interesarte – Parte 1 de 3 10 Sitios interesantes en la web profunda de TOR. Parte 1 Enlace 03/03/2014
10 Sitios en la deep web que podrían interesarte – Parte 2 de 3 10 Sitios interesantes en la web profunda de TOR. Parte 2 Enlace 10/03/2014
Hacking con Python Parte 6 – ARP Poisoning, MITM y DNSSpoofing con Scapy Explicación sobre cómo realizar un ataque de ARP Poisoning y DNS Spoofing utilizando Python. Enlace 11/03/2014
10 Sitios en la deep web que podrían interesarte – Parte 3 de 3 10 Sitios interesantes en la web profunda de TOR. Parte 3 Enlace 17/03/2014
Hacking con Python Parte 7 – Manipulación de peticiones HTTP Uso de librerías como urllib, urllib2, requests y httplib para realizar peticiones HTTP. Enlace 18/03/2014
Hacking con Python Parte 8 – Web Scraping con BeautifulSoup Uso de la librería BeautifulSoup para parseo y extracción de documentos HTML y XML Enlace 25/03/2014
Hacking con Python Parte 9 – Web Crawling con Scrapy Uso del framework “Scrapy” para la creación de rutinas de crawling contra sitios web. Enlace 01/04/2014
Explotación de Software Parte 9 – Funcionamiento de la Stack Explicación sobre la estructura de la stack de un programa. Enlace 03/04/2014
Hacking con Python Parte 11 – Desarrollo de un Crawler Desarrollo de un crawler básico utilizando Python. Enlace 15/04/2014
Tortazo: Desarrollo de un framework de auditoría para la deep web de TOR. Explicación de la primera versión del proyecto Tortazo Enlace 25/04/2014
Hacking con Python Parte 13 – Mecanismos de autenticación en protocolo HTTP Mecanismos básicos de autenticación sobre el protocolo HTTP. Enlace 29/04/2014
Hacking con Python Parte 14 – Utilizando NMAP desde Python Uso de python-nmap para realizar escaneos en segmentos de red con Nmap desde scripts en python. Enlace 06/05/1984
Hacking con Python Parte 15 – Utilizando Shodan desde Python Utilizando la API de Shodan para encontrar servicios y dispositivos en internet. Enlace 13/05/1984
21 Blogs sobre seguridad informática que deberías conocer, en castellano. Blogs en castellano sobre seguridad informática. Enlace 21/05/1984
Hacking con Python Parte 17 – FuzzDB y PyWebFuzz Uso del proyecto FuzzDB con PyWebFuzz Enlace 27/05/2014
Explotación de Software Parte 18- Introducción y Conceptos Básicos sobre Fuzzing Conceptos básicos sobre las principales técnicas de fuzzing para el descubrimiento de vulnerabilidades. Enlace 05/06/2014
Explotación de Software Parte 19 – Fuzzing con Spike Introducción a Fuzzing con SPIKE. Enlace 12/06/2014
Hacking con Python Parte 20 – Controlando servidores SSH con Paramiko Utilizando Paramiko para gestionar conexiones y ejecutar comandos contra máquinas remotas por medio de un servidor SSH. Enlace 17/06/2014
Explotación de Software Parte 20 – Fuzzing con Sulley Framework Fuzzing utilizando la API y herramientas disponibles en Sulley Framework. Enlace 19/06/2014
Explotación de Software Parte 21 – Instalación de Sulley Framework Procedimiento utilizado para instalar Sulley Framework, paso a paso. Enlace 26/06/2014
Hacking con Python Parte 23 – Controlando instancias de TOR con Stem Utilizando la API de Stem para acceder a repetidores locales de TOR Enlace 08/07/2014
Explotación de Software Parte 23 – Desarrollo de Exploits basados en la Stack Ejemplo simple sobre explotación de programas vulnerables sobre-escribiendo directamente el register EIP. Enlace 10/07/2014
Hacking con Python Parte 24 – Consulta de descriptores de TOR con Stem Conceptos básicos sobre los descriptores de TOR utilizando la API de STEM. Enlace 15/07/2014
Explotación de Software Parte 24 – Salto y Ejecución de Shellcodes Explicación sobre algunos métodos disponibles para realizar saltos a una dirección de mémoria donde reside un shellcode. También se explica el uso básico de memdump y msfpescan. Enlace 17/07/2014
Hacking con Python Parte 26 – Introducción a Twisted Conceptos básicos sobre la librería Twisted. Enlace 29/07/2014
Explotación de Software Parte 26 – Uso de Plugins en WinDBG para agilizar el desarrollo de exploits Uso de los comandos básicos en WinDBG y las extensiones Byakugan y Exploitable Enlace 31/07/2014
Explotación de Software Parte 27 – Uso de Mona en Inmunity Debugger para agilizar el desarrollo de exploits Uso de las opciones básicas de Mona.py desde Immunity Debugger. Enlace 07/08/2014
Hacking con Python Parte 29 – Scripting en Inmmunity Debugger – PyCommands Scripting con Immunity Debugger utilizando su API en Python.En este vídeo solamente en explican los conceptos principales para la creación de PyCommands. Enlace 19/08/2014
Explotación de Software Parte 29 – Identificando Bad Characters en Shellcodes Uso de mona.py para la generación de un array con todos los posibles caracteres que se pueden incluir en un shellcode.Posteriormente, se identifican y remueven todos aquellos caracteres que alteren el array. Enlace 21/08/2014
Hacking con Python Parte 31 – Examinando programas y librerías con pefile y pydasm Usando PEFile y PyDASM para inspeccionar y desensamblar ficheros en formato Portable Executable (PE) en sistemas windows. Enlace 02/09/2014
Explotación de Software Parte 31 – Desarrollo de Shellcodes en Linux – Execve Local Shell Primer vídeo en el que se hace un énfasis especial en el desarrollo de shellcodes bajo sistemas Linux. Se enseña un ejemplo en el que es posible generar una shell local. Enlace 04/09/2014
Hacking con Python Parte 32 – Uso de Fabric sobre servicios SSH Uso de la librería Fabric para administrar paralelamente múltiples servidores SSH. Puede ser útil para crear una botnet sobre servidores SSH vulnerables o con contraseñas débiles. Enlace 09/09/2014
Explotación de Software Parte 32 – Desarrollo de Shellcodes en Linux – Bind Shell Desarrollo de una BindShell en un sistema Linux. Se enseña el uso de la systemcall “socketcall” con las funciones “socket”, “bind”, “listen” y “accept”. Enlace 11/09/2014
Explotación de Software Parte 33 – Desarrollo de Shellcodes en Linux – Reverse Shell Desarrollo de una ReverseShell en un sistema Linux. Se enseña el uso de la systemcall “socketcall” con las funciones “socket” y “connect”. Enlace 18/09/2014
Tortazo v1.1 ya está disponible! Explicación sobre las funcionalidades incluidas en la versión 1.1 de Tortazo Enlace 19/09/2014
Hoy vengo a hablar de mi libro. Python para Pentesters. Publicación del libro “Python para Pentesters” Enlace 22/09/2014
Explotación de Software Parte 34 – Desarrollo de Shellcodes en Linux – Egghunters Explicación sobre el funcionamiento y uso de los EggHunters bajo plataformas Linux Enlace 02/10/2014
Vulnerabilidades comunes en HTML5 – Configuraciones inseguras con CORS – Parte 1 Vulnerabilidades en aplicaciones con HTML5 Parte 1 Enlace 08/10/2014
Servicios REST en Nessus y pynessus-rest Librería Pynessus-rest para acceso a los servicios REST de Nessus. Enlace 14/10/2014
Vulnerabilidades comunes en HTML5 – Localstorage y vulnerabilidades en WebSQL – Parte 2 Vulnerabilidades en aplicaciones con HTML5 Parte 2 Enlace 29/10/2014
Vulnerabilidades comunes en HTML5 – Conociendo el funcionamiento de los WebSockets – Parte 3 Vulnerabilidades en aplicaciones con HTML5 Parte 3 Enlace 11/11/2014
Inyección de Malware en programas Java con acceso nativo utilizando JNA Inyección de Malware utilizando programas Java con JNA Enlace 13/11/2014
Crea tu propia red privada de TOR – Emulación de TOR con Chutney Emulación de la red TOR en un segmento de red local con Chutney Enlace 20/11/2014
Registro y análisis de emociones con Wefeelfine – Ingeniería social automatizada Conociendo la plataforma wefeelfine Enlace 09/12/2014
7 ideas de desarrollo de software enfocadas a la seguridad informática para el 2015 Algunas ideas para el desarrollo de software para el 2015 Enlace 16/12/2014

Saludos y Feliz Navidad!

Adastra.

Buguroo Offensive Security, presente en la FOCUS2014 Las vegas

octubre 31, 2014 1 comentario

FOCUS es un evento de seguridad informática organizado y promovido por McAfee. Se trata de una conferencia que se celebra anualmente y que reúne a numerosos profesionales y empresas del sector. Los días 27, 28 y 29 de octubre del presente año se ha realizado su séptima edición y en esta ocasión, Buguroo Offensive Security ha estado presente en calidad de partner estratégico de McAfee. Buguroo es una empresa que da respuesta a una necesidad que cada día es más evidente: Identificar y clasificar el riesgo de las múltiples amenazas que hay en Internet y suministrar los mecanismos y herramientas necesarias para minimizar su impacto. Es una empresa compuesta por profesionales con un alto nivel técnico y mucha experiencia en temas relacionados con el desarrollo de software y seguridad informática.
A petición de Buguroo y con el fin de dar a conocer a la comunidad su participación en el evento FOCUS 2014 realizado en Las Vegas, trasmitiré a todos los lectores de este blog cómo ha sido su experiencia y algunos detalles sobre esta edición del evento.

 

Datos del evento

nombre: Focus Security Conference
Fechas: 27-29 octubre 2014
Lugar: Hotel The Venetian (Las Vegas)
Organizador: McAfee
Asistentes: aproximadamente 6000 profesionales.
Descripción del evento: Séptimo encuentro anual de McAfee sobre Seguridad. Está enfocado fundamentalmente a ciberamenazas, estrategias para su neutralización y seguridad en sentido amplio. Es un evento netamente profesional, la cuota de participación es de 995$. Las conferencias las dan altos ejecutivos de empresas de la talla de Intel, McAfee, entre otras. Además, han asistido grandes personalidades como Condoleezza Rice, ex-Secretaria de Estado de los Estados Unidos y asesora de seguridad nacional durante el primer período de gobierno del presiden G. W. Bush.
Conferencias: Ha habido hasta 75 sesiones técnicas divididas en varios bloques, entre los que destacan malware avanzado, endpoint security o seguridad en el sector público. Dentro de ellas, hay charlas como “Cómo robar 60 millones de dólares en 60 segundos” o “Protección para emails en tiempo real”.

 

Experiencia de Buguroo Offensive Security en la Focus Security Conference

Buguroo Offensive Security ha participado en calidad de partner estratégico de McAfee, ya que son miembros de la SIA (Security Innovation Alliance) de McAfee. En el evento han conocido de cerca la visión de McAfee sobre seguridad en nuevas tecnologías, que coincide plenamente con la visión de buguroo que se enfoca en el malware avanzado. Su detección temprana es clave para frenar pérdidas millonarias en el sector, por lo que la ciberinteligencia pasa a ser un campo prioritario.
La empresa ha presentado bugThreats, una herramienta que se encarga de realizar la búsqueda inteligente y prevención de amenazas en la red. Las demos realizadas con la herramienta impresionaron a los asistentes y generaron muy buenos comentarios.

Declaraciones de Pablo de la Riva, socio fundador y CTO de Buguroo Offensive Security

Pablo de la Riva ha hablado sobre el evento y ha demostrado su satisfacción sobre el papel desempeñado por Buguroo y los resultados obtenidos tras haber conocido de primera mano, la línea de productos y la estrategia planteada por McAfee para la detección de amenazas y la gestión del riesgo. Describe con sus propias palabras la importancia que tiene hoy en día tomar consciencia sobre los riesgos que existen en Internet y la tremenda evolución de las amenazas en los últimos años.

“Como empresa especializada en ciberseguridad y ciberinteligencia, Buguroo Offensive Security tiene una visión similar a la de McAfee. Hoy por hoy, el malware avanzado es un problema para cualquier empresa, con independencia de que su core de negocio sea o no tecnológico. Todo el mundo utiliza un ordenador conectado a Internet, por lo que el riesgo existente tanto para un banco como para una tienda de ropa”.
Además añade:
“Pertenecemos al programa SIA de McAfee, lo cual nos abre las puertas a eventos internacionales como la Focus. Formar parte de una reunión internacional tan importante nos permite conocer de primera mano las principales novedades del sector, intercambiar impresiones con los principales players y, en definitiva, estar un paso por delante”.

 

Además de BugThreads, Buguroo tiene otras herramientas que he tenido la oportunidad de probar en el pasado, como BugBlast para la gestión de auditorías o BugScout para el análisis estático de código en varios lenguajes de programación. Herramientas que demuestran el nivel técnico de los profesionales que conforman Buguroo. Por otro lado, también cuentan con un plan de formaciones y certificaciones que van desde conceptos básicos de hacking ético y pentesting, hasta el análisis de maleware y reversing. Se trata de una muy buena alternativa para aquellas empresas que quieren formar a sus empleados en temas de seguridad informática de la mano de profesionales con mucha experiencia y con un alto nivel técnico.

Premios Bitácoras 2014.

octubre 22, 2014 1 comentario

Hoy me he enterado de que este blog estaba en las clasificaciones parciales de los premios “Bitácoras” en su décima edición y aunque a lo mejor es un poco tarde, me gustaría pedir vuestro apoyo para que votéis por este blog en la categoría de “Mejor Blog de Seguridad Informática”.
Actualmente creo que se encuentra en la posición 30 o por ahí, con lo cual supongo que algunos de vosotros ya lo habéis votado y quiero daros las gracias por vuestro apoyo que desde luego es muy importante. Para los que no lo habéis hecho y  queráis hacerlo, creo que aun estáis a tiempo. :-)

Aquí tenéis el enlace para votar: http://bitacoras.com/premios14/votar

Muchas gracias!

Categorías:Uncategorized

Navaja Negra 4 Edición

octubre 6, 2014 Deja un comentario

El pasado 2 de octubre, junto con Ismael González (aka kontrol0) hemos presentado nuestra charlar sobre Tortazo. El evento, como muchos de vosotros ya sabéis, ha sido en la ciudad de Albacete y si has podido asistir o ver los comentarios de la gente en redes sociales como Twitter, has visto que ha sido todo un éxito. Nuestra charla fue la primera del evento, lo que ha sido todo un honor, además de ser muy ventajoso ya que hemos podido disfrutar plenamente de todas las charlas, sin la presión y los nervios acumulados de esperar tu turno. He conocido mucha gente que si bien, ya sabia de ellos por su trabajo y sus “identidades virtuales”, ha sido muy gratificante conocerles personalmente, me ha encantado conocer personas como Kio (@kioardetroya), Telmo (@t31m0), Kao (@MininaKaotika), Daniel García (@cr0hn), Pablo Burgueño (@pablofb), Alex (@ocixela), Pedro (@ocixela), Rafa (@R_a_ff_a_e_ll_o), Pablo González (@pablogonzalezpe), Sauron (@NN2ed_s4ur0n), Carlos (@charliesec), Miguel (@Miguel_Angelhak) entre muchos, muchos otros. Grandes profesionales, grandes personas que me han aportado varias ideas sobre cosas con las que tengo pensado ponerme en breve y de las que espero, poder hablaros en este blog. No suelo asistir a este tipo de eventos por motivos que no vienen al cuento, pero desde luego la filosofía de Navaja Negra me parece que va muy de la mano con lo que yo entendiendo que debería ser una comunidad de Hackers, es una conferencia en la que me pienso apuntar de ahora en adelante, ya sea como ponente o asistente. También me he sorprendido por el interés que ha demostrado la gente con mi libro sobre Python para Pentesters, ya que se ha agotado muy rápidamente y me resultaba curioso ver a la gente andando a mi lado con el libro bajo el brazo, sin saber que era yo el autor XD. Algunos lo sabían y se me acercaban para que les escribiera una dedicatoria, algo que me ha producido una sensación extraña, ya que soy un poco “tímido” con la gente que no conozco y me da un poco de corte ese tipo de cosas, de entrada no sé qué escribir, pero de verdad que agradezco a todos los que compran el libro y de esa forma, apoyan mi trabajo. En conclusión, han sido 3 días en los que hemos aprendido muchísimo y en los que también ha habido cabida para la fiesta y la diversión. Vamos, que recomiendo que os apuntéis para la próxima :-) Para la charla de Tortazo, tenia preparados algunos vídeos en el caso de que tener problemas a la hora de conectarnos con TOR, pero todo ha ido bien, así que en esta corta entrada, os dejo los vídeos que teníamos preparados para la presentación, espero que os gusten y si tenéis cualquier duda, comentario, sugerencia o lo que sea, ya sabéis que podéis escribirnos un mensaje a Isma o a mi. Saludos y Happy Hack.

Tortazo – Information Gathering

Tortazo – Botnet Mode

Tortazo – Onion Repository

Tortazo – Plugin: crawler

Tortazo – Plugin: Hidden Service

Tortazo – Plugin: Bruter

Resultados del Primer reto de Jóvenes profesionales de ISACA – Madrid Chapter.

julio 2, 2014 Deja un comentario

Tal como mencionaba la semana pasada el viernes 27 de junio se ha celebrado la primera edición del concurso de jóvenes profesionales de ISACA (@ISACAMadrid), evento en el que hemos participado Ismael González (@kontrol0) y yo presentando Tortazo. Nuestro objetivo era dar a conocer el proyecto e intentar captar el interes de otros desarrolladores para que nos colaboren con ideas y código. Nuestra presentación fue la primera, pero desafortunadamente no fue tan bien como esperábamos, ya que el fichero ODP que llevamos, se rompió al abrirlo con el Office que tenia instalada la máquina donde íbamos a presentar la idea, pero ese era el menor de los problemas… ya que solamente contábamos con 25 minutos para la charla llevamos unos vídeos para intentar exponer el mayor número de características de la herramienta de forma rápida y explicando paso a paso el uso de Tortazo y aunque se veían genial en nuestros ordenadores, en la pantalla del proyector no se veían ni las letras, así que hemos tenido que ir sacando pantallos y e ir tratando de explicar el uso de la herramienta con las imágenes que íbamos sacando: En resumen, nuestra presentación no ha del todo bien. De todos modos, hemos intentado explicar claramente de qué va la herramienta y al parecer la gente lo entendía y además, mostraban interés, así que eso ha estado bien.
Los demás participantes han tenido un poco más de suerte, excepto el chico de los drones al que no le dejaron sacar su dron para la parte practica. Las demás charlas hablaban de modelos de negocio, ciberseguridad y herramientas para la gestión de la información. Las charlas han estado muy bien y han sido muy entretenidas, todas sin excepción.
Al final, en la entrega de premios, francamente pensábamos que dada la presentación que habíamos dado (en la que no enseñamos ni la mitad de lo que queriamos mostrar a los asistentes), los demás participantes tenían más opciones de ganar, sin embargo…

Oh sorpresa!! nos hemos llevado el primer premio!!  :-O

Ha sido una gran sorpresa para nosotros, ya que después de los problemas que habíamos tenido con la presentación y la calidad técnica de las otras propuestas, creíamos que nuestro proyecto no iba a estar tan bien valorado, pero no fue así. Hemos salido del evento con las pilas recargadas y con la sensación de que vamos por el buen camino, ha sido un incentivo que nos motiva a seguir desarrollando nuevas características en Tortazo y mejorando las que ya se encuentran desarrolladas. Ha sido todo un acierto participar en el evento y esperamos que el próximo año tenga mucha más difusión y que hayan muchas más propuestas (técnicas preferiblemente). Hay gente con mucho talento en este país y siempre es un placer conocerles y saber en qué están trabajando, que nos sorprendan con sus proyectos y sus ideas. Compartir conocimiento, es la clave para la mejora y el desarrollo de cualquier sociedad.
Del evento como tal, solamente decir que la planificación y la organización ha sido notable, aunque creo que le ha faltado más difusión y a lo mejor debido a las fechas, la asistencia no ha sido tan buena. Supongo que la gente se encontraba muy ocupada un viernes a las 16:00h en pleno verano… :-P
Por otro lado, hemos tenido la oportunidad de conocer a los organizadores de Navaja Negra, han estado en el evento y han rifado algunas entradas para el evento que se celebrará entre el 2 y 4 de Octubre en Albacete. Nos han dicho que habrá cervezas y otras bebidas alcohólicas, ha sido demasiado tentador así que evidentemente, no hemos dudado en enviar nuestra propuesta al CFP y aunque no quede seleccionada, tengo pensado asistir.
Por último, dejo algunas de imágenes, espero que se repita el próximo año.

BrJae7EIMAAyAORSinfonier

BrJVFd5CQAAxgDaTío! la presentación no abre y los vídeos no se ven ni con lupa… Toca improvisar, la …. que ….

BrJWpXbIQAAF7g5Homenaje a uno de los mejores currantes que conozco en el campo de la seguridad : Homer Simpson. No tiene el reconocimiento que se merece. ;-)

 

dY2MDc6Foto final

Saludos y Happy Hack!!

Categorías:Uncategorized

Reto de ISACA Madrid para Jóvenes Profesionales

junio 24, 2014 1 comentario

El día viernes 27 de Junio, a las 16:00 horas se celebrará la primera edición del “Reto de ISACA Madrid para Jóvenes Profesionales”. En mi caso, participaré junto con mi compañero Ismael González (aka. @kontrol0) para hablar sobre el funcionamiento de “Tortazo”. Hace algunas semanas he escrito un par de entradas hablando sobre el objetivo de dicha herramienta y ahora vamos a intentar explicarlo “a viva voz” en una charla presencial en el Salón de Actos de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI).  Será una charla corta de 25 minutos de duración, con lo cual solamente se podrán explicar las principales características de Tortazo y cómo va su desarrollo. Aunque es poco tiempo, creo que será suficiente para explicar exactamente de qué va ésta herramienta y despertar el interés de otras personas que quieran colaborar con el proyecto. Además, en la página donde se encuentra el programa del evento  veréis que hay otras charlas que tienen muy buena pinta y que seguro van a encantar a todos los asistentes. En mi caso, estoy seguro que me lo voy a pasar genial viendo las propuestas de los otros participantes y pensando sobre cómo poder “jugar” con lo que nos vayan a enseñar.
Cualquiera puede inscribirse gratuitamente, así que os invito a participar y disfrutar de cada una de las charlas que se van presentar. Además, también podéis seguir el hashtag en twitter “#RetoISACA” y la cuenta “@ISACAMadrid” para estar al tanto de todas las novedades que vayan surgiendo durante la semana.
Allí nos veremos!!

Saludos y Happy Hack!!

Categorías:Uncategorized

Lenguaje verbal y no verbal en las empresas

mayo 28, 2014 Deja un comentario

Las relaciones humanas son complejas. Los humanos somos seres cambiantes que respondemos a estímulos que activan determinadas zonas de nuestros cerebros y nos hacen comportarnos de formas que en muchos casos, no es posible medir con exactitud u objetivamente. No somos tan predecibles como cualquier ordenador, al que se le ingresan instrucciones y se ejecutan inmediatamente con muy poco margen a errores lógicos. Los vínculos que establecemos con otras personas, son mucho más intensos y permanentes que las conexiones que existen entre ordenadores y además, manejamos muchas más variables que influyen en nuestro comportamiento, tales como los factores ambientales y socio-culturales. Las relaciones humanas son las que realmente impulsan los movimientos y las causas más importantes que han provocado los progresos más impresionantes de los últimos años, no las máquinas. Imaginaros por un segundo, qué seria de la informática hoy en día si no existieran comunidades de usuarios y desarrolladores, imaginaros que el software privativo fuera la idea predominante y nadie compartiera lo que hace con sus colegas o amigos, ¿Qué seria de la informática? Sin duda, algo muy distinto a lo que conocemos hoy en día.
Los humanos somos una especie realmente interesante y sorprendente, tanto en su grandeza como en su bajeza y desde mi perspectiva; que no deja de ser la perspectiva de un informático, es especialmente interesante leer sobre los estudios de investigadores como Paul Ekman, Christopher Hadnagy o Daniel Goleman, así como entender los conceptos del “Social Engineering Framework” que a diferencia de lo que muchos opinan, no solamente se centra en engañar, estafar o ganar accesos no autorizados a zonas restringidas como en cualquier producción hollywoodense, sino que son principios que nos pueden ser útiles en nuestro día a día, nos ayudan a entender mejor a las personas que nos rodean y a nosotros mismos. Si aplicamos esos mismos principios psicológicos a nuestras relaciones personales, rápidamente podemos darnos cuenta que para establecer relaciones solidas, es necesario tiempo, dedicación, confianza y sobre todo, honestidad. Esto aplica para todo, no solamente en la vida personal, también en la vida profesional, pero es justo ahí donde nos encontramos un gran “pero”, una gran “excepción”.

Llevo casi 10 años trabajando en empresas de informática, he trabajado en varios sitios y siempre he desempeñado labores técnicas porque es lo que me interesa. En todos los sitios por los que he pasado me he encontrado con lo mismo (en mayor o menor medida): El lenguaje verbal casi nunca corresponde con el lenguaje no verbal y lo que realmente la gente quiere expresar, siempre se engalana con un lenguaje lleno de palabras cuidadosamente seleccionadas para no ofender ni cabrear a nadie. Evidentemente, lo que se esconde detrás de esa aparente educación y tacto a la hora de decir las cosas, es el miedo. Miedo a perder el empleo, miedo al “qué dirán”, miedo a que los demás no tengan una imagen “perfecta” de lo buenos que somos profesionalmente hablando, etc. Ese miedo se traduce posteriormente a un entorno completamente viciado, en el que todo el mundo se esfuerza por ocultar algo, por no enseñar a los demás lo que realmente piensan o sienten, por aparentar cosas que no son, en fin… la gente se esfuerza demasiado en disimular. En un entorno como ese todos pierden y la pregunta lógica es: ¿Por qué razón esto persiste y se ha vuelto una constante en las empresas? En mi opinión, se debe a los intereses de aquellos que solamente saben gestionar sus “chiringuitos” en base al miedo y no en base al conocimiento y las habilidades de sus empleados. Así de claro y así de simple.

Por ejemplo, veamos algunos casos comunes que he visto y desafortunadamente, sigo viendo en entornos empresariales. Cualquier parecido con la realidad de alguno, es pura coincidencia:

  1. Jefe solicitando un esfuerzo a su equipo.Lo que el lenguaje verbal dice:
    Jefe: El tiempo que teníamos disponible para entregar el proyecto se ha terminado y aun quedan muchos frentes abiertos que necesitamos cubrir entre todos. Tenemos un compromiso con el cliente que estamos obligados a cumplir. Sé perfectamente que todos y cada uno de vosotros lo habéis dado todo para llegar hasta donde hemos llegado, pero necesitamos hacer un esfuerzo extra para conseguir el objetivo de la entrega.
    Equipo: <resignación y caras largas>
    Lo que el lenguaje no verbal dice:

    Jefecillo de algo: Vamos a ver, os habéis estado tocando los huevos todo este tiempo y me han metido un jalón de orejas por no tener esta mierda terminada. Necesito que vosotros acabéis el trabajo que queda pendiente para que los amos no me aprieten más la corbata y pueda seguir viviendo tranquilamente, vamos… como he hecho todo este tiempo.
    Pues eso, a currar cabrones!! <Estremecedor sonido de un látigo rasgando pieles>
    Equipo: Ya estamos otra vez con las gilipolleces. Puta crisis! Cuando será que se acaba para mandarles a tomar por culo e irnos a otra empresa.

  2. Un Simple saludo en las mañanas.Lo que el lenguaje verbal dice:

    Compañero 1: Buenos días.
    Compañero 2: Buenos días.

    Lo que el lenguaje no verbal dice:

    Currito 1: Estoy hasta los huevos de tirarme todos los días más de 1 hora en transporte público para llegar hasta aquí. No me explico porque tenían que montar esta oficina en un extremo de la ciudad. Además, no he dormido bien, estoy cansado y francamente no me apetece estar aquí.

    Currito 2: ¿Me lo dices o me lo cuentas? Ayer me he tenido que quedar hasta las tantas; horas extra que por supuesto no me van a pagar y por si fuera poco, llego y lo primero que recibo es un correo de mi jefe con más curro que tengo que sacar para hoy.

  3. Comercial intentando ganar un proyecto o vender un producto:
    Lo que el lenguaje verbal dice:
    Comercial: Tenemos equipos con un alto perfil técnico y con una dilatada experiencia tanto en el área del desarrollo de software como en temas relacionados con auditoria de sistemas. Somos una empresa que se caracteriza por ser eficaz y eficiente en el desempeño de su actividad profesional y tenemos en nomina a los mejores profesionales que se dedican a crear proyectos de última tecnología con un énfasis especial en satisfacer las necesidades de nuestros clientes.
    Cliente: <Silencio absoluto, únicamente se escucha el eco de la voz del comercial> <Después de unos instantes de silencio> Muy bien, suena interesante pero tendremos que hablar detenidamente sobre las condiciones del acuerdo.Lo que el lenguaje no verbal dice:
    Vende-Motos: No tengo ni puta idea de cual es la diferencia entre un programa y una patata, ambos se comen, ¿no?. No se que es un equipo de desarrollo, ni mucho menos lo que es un sistema, pero me han dicho que el equipo que tenemos es muy bueno. ¿Nos contratas? Te invitamos a copas y lo que haga falta!
    Abusón: Hijo mío, ¿estas escuchando lo que nos estas contando?… Espera, ¿Has dicho copas y lo que haga falta? Mira, nos interesa lo que nos cuentas y el proyecto es tuyo si nos haces un descuento del 80%, que es que con la crisis todo anda muy mal.
  4. Definiendo el alcance de un proyecto.Lo que el lenguaje verbal dice:

    Cliente: Quiero que el sistema sea capaz de conectarse con todos los sistemas de mi organización y me genere reportes parametrizables, fáciles de manejar y con muchas gráficas que me muestren las rutas más criticas en términos de recursos, proveedores, insumos y tiempos de espera. Además, quiero que el sistema sea capaz de monitorizar todos los ordenadores de la organización y permita detectar el momento en el que un ordenador ha dejado de funcionar por un problema de hardware. Otra funcionalidad critica que también quiero que el sistema controle, es que sea capaz de conectarse a las máquinas de café de todas las plantas del edificio y permita saber cuál de todas tiene el mejor café, que no hay nada que me moleste más que un café con mal sabor a primeras horas de la mañana.

    Jefe de Proyecto: Creo que podemos cumplir con las necesidades del proyecto, ¿Qué opinas consultor experto de mi compañía?

    Consultor Experto: Estoy de acuerdo, pero creo que para cumplir íntegramente con todos los objetivos expuestos, tenemos que utilizar X tecnología (basada en Java o .Net, casi seguro), ya que es la arquitectura más eficiente, robusta, estable, eficaz, escalable, precisa y genial.

    Lo que el lenguaje no verbal dice:

    Niño escribiendo su carta a los reyes: Quiero que me lo hagáis todo hecho. Que haya un botón gordo que haga todo por mi. Si se me acaba la viagra, que sea capaz de ir a donde haga falta para comprármela, que cuando ataque el hambre, sea capaz preparar un bocadillo de jamón con queso y me consuele cuando me sienta triste.

    Jefecillo de algo: Esto se ve complicado… Eh tú, di algo que para eso te he traído, no podemos quedar mal!.

    Tecno-paleto haciéndose pasar por informático: No tengo ni puta idea de lo que me están hablando, de hecho, no tengo ni idea de cómo funciona un ordenador, pero claro, no puedo decir que no sé o quedarme callado, así que mi estrategia consistirá en despistar con palabrejas y haciéndoles creer que controlo mucho de tecnología. Total, el problema será para los desarrolladores, así que me da igual. Lo importante es venderme bien y tener un subidón de auto-estima viéndoles como admiran mis supuestos conocimientos. Si, lo sé. Soy patético.

  5. Empleado “quemado” pasando de su jefe.Lo que el lenguaje verbal dice:
    Jefe: ¿Has visto el correo? Nos han enviado una incidencia reportada por un usuario. Nos comenta que la escala de grises que tiene la pantalla principal le parece fea y quiere que la cambiemos por un “azul aguamarina” para que tenga la sensación de estar en una playa mientras navega por nuestra web. ¿Has podido echarle un vistazo?

    Soporte Técnico: No, he tenido mucho lío hoy y no he podido revisar tu correo.
    Jefe: Ok, échale un vistazo cuanto antes, es un tema que nos urge resolver.

    Lo que el lenguaje no verbal dice:

    Jefecillo de algo: Eh, ppissssstt pisstt, que he visto que tienes poco curro y me he buscado la gilipollez más rebuscada que hay para mantenerte ocupado, pero estoy notando con total asombro, que pasas completamente de mi y de mis deseos.
    Currito soportando idioteces: Pues si, paso de ti porque tengo cosas más importantes que hacer. Si estas aburrido, te sugiero que te dirijas al cuarto de baño con un libro de informática en mano y te quedes allí todo el día leyendo. Falta que te hace!

    Jefecillo de algo: Ah, ya veo. Pues, ahora quiero que dejes lo que sea que estés haciendo y te centres en hacer lo que te digo. Que aquí el que manda soy yo!

  6. Súper Jefe explicando a un desarrollador las bondades en un nuevo proyecto.
    Lo que el lenguaje verbal dice:Super Jefe: Tenemos un proyecto que creemos que se ajusta perfectamente a tu perfil y a tus necesidades profesionales. Es un proyecto en el que vas a aprender muchísimo y vas a poder afinar tus habilidades. Creemos que es el proyecto ideal para ti y queremos verte crecer profesionalmente en nuestra compañía.

    Desarrollador Novato: Claro, suena muy interesante y también creo que encaja con mis metas profesionales.

    Desarrollador Experimentado: <Silencio absoluto>

    Lo que el lenguaje no verbal dice:
    Gran Corbata: Tenemos un marrón de tres pares y quiero que te lo comas tú, pero eso si, con buen rollito. Me da igual lo que respondas, ahí vas a ir de cabeza te guste o no.

    Currito sin pelos en los huevos: Buah, mi jefe me valora un montón. Por fin alguien que aprecia mis habilidades como uno de los más grandes hackers de los últimos tiempos. Esto es solo el comienzo, lo siguiente será trabajar para la NSA o la NASA. Bueno, ya veremos quien me ofrece más dinero.

    Currito quemado: Otro marrón que me cae a mi. Puff… estoy cansado de proyectos que no me aportan nada interesante técnicamente y que encima, me venden como si fueran la hostia.

  7. Compañerismo en fechas de entregas.Lo que el lenguaje verbal dice:

    Técnico con problemas: Que tal tío, mira es que ahora estoy con la funcionalidad “B” que depende de “A”, que tengo entendido que la has hecho tú y resulta que me esta dando errores a la hora de utilizarla, con lo cual se me dificulta avanzar. ¿Me puedes echar un cable un momento a ver si a ti se te ocurre porque puede ser?

    Técnico ocupado: Hombre, cuando yo lo probé en mi local funcionaba perfectamente, fíjate en lo que sale en los logs de tu funcionalidad a ver si ves algo, porque la funcionalidad que yo desarrolle funcionaba cuando la subí al repositorio y si ahora falla es que alguien la ha tocado. Yo ahora estoy con otras cosas y no te puedo ayudar, pero si sigues atascado, me dices y lo vemos.

    Técnico con problemas: Ok, gracias!

    Técnico con problemas <10 minutos después>: Ya he visto el problema en la funcionalidad “A” que habías subido y lo he corregido, lo subo nuevamente al repositorio para que te actualices cuando puedas.

    Técnico ocupado: Ok, luego le echo un vistazo.

    Lo que el lenguaje no verbal dice:
    Compañero Jodido: Tío, lo que has hecho esta fallando y me impide continuar, ¿podrías revisarlo por si ves algo que te haya faltado por subir?. Sabes que tenemos que entregar para ayer y ahora mismo, estoy perjudicado porque no funciona lo que has hecho.

    Compañero Cabrón: La funcionalidad es perfecta en si misma. ¿Que cómo lo sé? Joder, la he hecho yo, así que por definición es perfecta. Lo que pasa es que eres un paquete que no sabe programar y claro, para ti es imposible entender la magnificencia de mi código.
    Compañero Jodido: Ok, gran señor programador, pues tendré que revisar lo que has hecho con detenimiento para ver en donde está el fallo.

    Compañero Jodido<10 minutos después>: Ya he visto lo que has hecho mal y lo he corregido con mis manitas. Te lo comento para que te duela un poquito el orgullo.

    Compañero Cabrón: No me lo creo, ahora mismo voy a ver lo que has subido! Como te has atrevido a profanar mi código perfecto con tu deficiente lógica! Que sepas que esto ha sido una afrenta contra mi profesionalidad y gran talento.

  8. Interacción entre pentester y cliente
    Lo que el lenguaje verbal dice:Pentester: En este documento indica que la auditoria cubrirá los casos “A” y “B”. Descubriremos cualquier vulnerabilidad en dichos contextos y te daremos un reporte, sin embargo, los casos “C” y “D” pueden ser igualmente críticos y se recomienda realizar pruebas sobre dichos casos también.

    Cliente: Nos interesa los casos “A” y “B”. Sobre los casos “C” y “D”, hablaremos más adelante.

    Pentester: De acuerdo, pero es importante puntualizar que son casos que pueden incluir vulnerabilidades criticas y que no se cubrirán en la auditoria que realizaremos en “X” fecha.

    Cliente: Tendremos en cuenta tus recomendaciones.

    <POCO TIEMPO DESPUÉS, UNA VULNERABILIDAD EN EL CASO “E” COMPROMETE INFORMACIÓN DE NEGOCIO CRITICA DEL CLIENTE>
    Cliente: La auditoria ha sido ineficaz y no se han reportado todas las vulnerabilidades que debería haber incluido.

    Pentester: La auditoria ha sido completa, pero tal como se ha indicado en su momento, no nos hacemos responsables por los entornos y casos de prueba que no se han pactado en el acuerdo firmado.

    Lo que el lenguaje no verbal dice:

    Currante de la seguridad: Vamos a ejecutar una auditoria completa sobre los casos “A” y “B”, pero en los casos “C” y “D” te puedes encontrar con un problema serio, que lo sepas.

    Cliente rácano: No creo, me interesan los casos “A” y “B”. Los demás casos no me preocupan. Voy a aflojar la pasta justa para tener un informe de seguridad que me permita dormir tranquilamente por las noches. Que si algo falla, es culpa tuya y te exigiré responsabilidades.

    Currante de la seguridad: Ok, como tu digas. Los demás casos no están cubiertos y si hay un problema, el marrón te lo comes tú. Recuerda que la información es tuya y no mía, así que tú mismo.

    Cliente rácano: Vale, vale… lo apunto en mi libreta invisible.

    <POCO TIEMPO DESPUÉS, UNA VULNERABILIDAD EN EL CASO “E” COMPROMETE INFORMACIÓN DE NEGOCIO CRITICA DEL CLIENTE>
    Cliente rácano cabreado: Pero que ha pasao!! ¿y tu eres un hacker ético profesional? Esto es el puto caos! Hasta nuestro competidor más pequeño se está mofando de nosotros en nuestra cara! y con la pasta que te he pagado y van y se nos meten hasta la cocina!. El informe que me has dado es una mierda, no ha servido para nada el esfuerzo y el dinero invertido. Que sepas que nos has jodido el negocio y te voy a exigir responsabilidades legales.

    Currante de la seguridad: Te lo dijimos en su momento, pero por andar racaneando te han jodido vivo. Te lo hemos advertido y está por escrito, así que ahora no vengas a echarnos la mierda encima que no cuela. La responsabilidad ha sido toda tuya.

En todos los casos faltan dos cosas primordiales: HONESTIDAD y PROFESIONALIDAD. Valores que desafortunadamente brillan por su ausencia en muchas empresas dedicadas a la informática. Han sido muchas las ocasiones en las que he hablado con compañeros sobre estas cosas y siempre hemos llegado a lo mismo: Lo mejor es pasar de todo eso, hacer tu trabajo de la mejor forma que te sea posible e intentar ser buena persona, que no es más que colaborar con tus compañeros y entender que haces parte de en un equipo de trabajo, que ellos también son personas como tú, que tienen problemas y que lo pasan mal, exactamente igual que tu, ese que se sienta a tu lado también sangra si le pinchas. Piénsalo de ese modo y te será más fácil ponerte en su lugar. Sin embargo, los problemas de algunos que conforman las “capas altas”, no tienen solución inmediata. ¿Qué solución habría ante un jefe que desconoce por completo el termino “informática” y que con total arrogancia se cree superior a los técnicos por estar en las posiciones altas de una jerarquía mediocre? ¿Qué solución habría para un “consultor” que no solamente no quiere aprender nada, sino que además se cree que lo sabe todo o se vende como un experto? ¿Qué solución habría ante clientes y empleadores que se aprovechan de la situación actual para bajar los precios a costa de la calidad de productos y servicios? No he encontrado respuesta para preguntas como esas, pero sinceramente espero que las nuevas generaciones desarrollen verdaderas capacidades para la gestión y que no tengan problemas en investigar y aprender cosas nuevas, que se centren más en hacer bien su trabajo y menos en la “política” para ascender o mantenerse en una empresa, que apuesten por su auto-formación y que admitan con total sinceridad cuando no tienen conocimientos sobre alguna tecnología o tema concreto.
Hay demasiados “jefecillos” que creen que ser jefe es sinónimo de “vivir bien” y hacer un “dispaching” de todo el trabajo, así como “consultores” que creen que la informática es simplemente aprender dos palabrejas y hacerse pasar por experto sin tener ni puta idea de nada. Aun los hay que son buenos, que gestionan bien sus equipos de trabajo, con profesionalidad y un juicio adecuado, los hay que son expertos de verdad, esos que no les da miedo meterse con configuraciones o analizar código, esos que no tienen miedo de meterse en “el fregao” aunque tengan puesto un traje impecable. He tenido la oportunidad de trabajar con profesionales como esos y además de ser excelentes compañeros y jefes, son excelentes personas, pero desafortunadamente han sido muy pocos y cada vez hay menos porque prefieren irse a trabajar fuera. Desde mi punto de vista, hacen falta más informáticos y gestores de verdad, hacen falta más profesionales y menos farsantes.

Conclusión: Hace falta un cambio de mentalidad. Aprender a ser más honestos en el trato con nuestros compañeros de trabajo y clientes, del mismo modo que lo intentamos en nuestras vidas personales; evidentemente separando ambos contextos, tanto el personal como el profesional. De esa forma, a lo mejor, se podrá mitigar un poco el malestar que muchos sienten en sus puestos de trabajo, así como intentar ser más productivos y eficientes por medio del esfuerzo y la dedicación, que al final de cuentas son las principales características de un buen informático.
Hay que dejar hacer el subnormal en la fauna empresarial y empezar a ver que lo realmente importante, no es el color de la corbata del jefe de turno, sus afiliaciones políticas o sus “capacidades” a la hora de hacerle la pelota a “los de arriba”.

Saludos y Happy Hack!

Categorías:Uncategorized Etiquetas:
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.220 seguidores

A %d blogueros les gusta esto: