Entrevista a Eduardo Aguado
Eduardo Aguado
Un ingeniero de software en el mundo de los hackers
Eduardo tuvo claro desde los 10 años que quería dedicarse a esto de la ‘informática’ el resto de su vida y hasta hoy parece que ha cumplido su sueño. Este palentino Ingeniero en Informática por la Universidad de Valladolid comenzó su experiencia profesional hace 8 años y desde entonces ha estado vinculado al desarrollo de motores de análisis estático de código fuente para su explotación desde aplicaciones web en la nube. Inicialmente desde un punto de vista de calidad de código en una empresa en Valladolid y actualmente orientado al descubrimiento de vulnerabilidades de seguridad en buguroo, una startup tecnológica situada en Madrid, donde trabaja actualmente.
Eduardo Aguado
Un ingeniero de software en el mundo de los hackers
Eduardo tuvo claro desde los 10 años que quería dedicarse a esto de la ‘informática’ el resto de su vida y hasta hoy parece que ha cumplido su sueño. Este palentino Ingeniero en Informática por la Universidad de Valladolid comenzó su experiencia profesional hace 8 años y desde entonces ha estado vinculado al desarrollo de motores de análisis estático de código fuente para su explotación desde aplicaciones web en la nube. Inicialmente desde un punto de vista de calidad de código en una empresa en Valladolid y actualmente orientado al descubrimiento de vulnerabilidades de seguridad en buguroo, una startup tecnológica situada en Madrid, donde trabaja actualmente.
Háblanos de tu trabajo
Mi trabajo me ha exigido utilizar y expandir mis conocimientos en procesadores de lenguajes, autómatas y lenguajes formales, interpretación abstracta, ejecución simbólica… cosas que normalmente solo se estudian en la carrera y luego pocos usan en su andadura profesional. Me dedico junto a mis compañeros de equipo a implementar técnicas aplicadas históricamente en compiladores para construir herramientas de análisis estático de código fuente. Nos centramos sobre todo en reconocimiento léxico-sintáctico de programas, inferencia de tipos, verificación formal, análisis de flujo de datos y en otras técnicas para lograr encontrar en el código fuente que los clientes suben a nuestra aplicación web puntos vulnerables en sus programas ante ataques externos. Por ejemplo, inyección de código SQL en formularios HTML de entrada que acaban en la base de datos sin limpiar, cross-site scriptings, etc.
Esta problemática nos plantea retos muy complejos con los que tenemos que luchar día a día y para los que no existe una solución óptima. Por ello tenemos que estar investigando continuamente , evaluando y cuestionando cada idea que se nos ocurre. El mundo académico tiene planteados ciertas soluciones desde un punto de vista matemático que no son viables desde un punto de vista comercial por varias razones, entre ellas la que para analizar hasta el más pequeño de los códigos de nuestros clientes los análisis más potentes (y por tanto los más interesantes) que existen requieren de una potencia computacional y una cantidad de memoria exponencial que los suele hacer inviables.
¿Qué es lo que más te gusta de tu trabajo?
El continuo aprendizaje, estar rodeado de profesionales sobresalientes en sus campos (de los mejores del mundo) ,estar siempre intentado ir más allá de lo que existe actualmente en esta industria y sobre todo que en buguroo se valore tanto a los técnicos (somos el 99% de la plantilla) y tengamos un ambiente y condiciones de trabajo francamente buenas.
También valoro el plan de formación de la empresa. Actualmente estamos recibiendo un curso de teoría de compiladores ‘personalizado’ a través de la Universidad Politécnica de Madrid. Nuestros profesores son miembros de un departamento que se dedica precisamente al análisis estático, por lo que podemos hablar ‘casi casi’ en el mismo idioma.
¿Un mundo de hackers?
Trabajando en una empresa de seguridad estoy en contacto con muchos profesionales de la seguridad informática: ‘hackers éticos’, investigadores de seguridad , pentesters, expertos en reversing y muchos otros. Siempre que puedo intento mejorar mis conocimientos estando al día en este campo, realizando cursos de formación, interactuando con la comunidad y en general aprendiendo de mis compañeros de trabajo. Aprender sobre ciberseguridad te convierte en un auténtico paranoico, si no me creéis os recomiendo que investiguéis un poco este mundillo.
Mi trabajo ‘desde fuera’ básicamente consiste en evitar que los hackers ‘malvados’ (literalmente, se organizan en mafias y organizaciones criminales) se cuelen en el software que el resto de profesionales desarrollamos. Es una tarea muy difícil, entre otras muchas razones porque ‘destruir’ o atacar un sistema tiene más vías de acción que construirlo, no puedes tener en cuenta como programador todos los posibles vectores de ataque en tu código, los ‘malos‘ son muchos más que tú y tu equipo, y un sinfín de cosas más.
¿Cómo ves el futuro?
Considero que en nuestro país hay bastantes oportunidades de trabajo en programación, pero no tantas donde se requiera una auténtica formación como ingeniero de software, por eso me gustaría recomendar a todo el mundo que luche por un trabajo donde puedan poner a prueba su valía y que realmente le apasione. Actualmente en España veo cada vez más oportunidades de hacer un trabajo que ‘mole’ de verdad, así que espero que todos los estudiantes o profesionales que lo deseen aprovechen la oportunidad.
La seguridad es un campo cada vez mas importante en informática y con más demanda de profesionales en el mundo. Existen muchas oportunidades laborales y es un campo en franca expansión. No solo en análisis estático como el que yo hago, sino en auditorías de seguridad, análisis de malware, informática forense, etc. Eso sí, deberéis elegir si queréis ser hackers de los buenos o desarrolladores que saben como defender su software, aunque … ¡tal vez podáis ser ambas cosas!