Digital
Divina Vitorino Y Cybelle Oliveira reconocieron además que como mujeres en tecnología tienen que “demostrar mucho más que los hombre que sabemos y que somos capaces”.
Cybelle Oliveira y Divina Vitorino son dos hackers expertas, la primera en Inteligencia de Amenazas y la segunda en Seguridad Defensiva. Ambas llegaron a Chile para presentarse en la decimotercera versión del principal encuentro de hackers y expertos en ciberseguridad 8.8 TR3CE, cuyo objetivo es democratizar el conocimiento, educar y capacitar en torno a estos temas.
En un ambiente principalmente poblado por hombres, Cybelle y Divina dieron cátedra ante más de 500 personas, entre autoridades, profesionales, estudiantes y público general, con su charla: “El gran círculo vicioso de las CVEs: un juego del gato y el ratón con los adversarios”. Una charla técnica que unió sus conocimientos en cada área para hacer un análisis completo y realista sobre el manejo de vulnerabilidades, pero desde la perspectiva de los atacantes.
Para llegar a este punto y ser reconocidas por sus pares, han recorrido caminos distintos, pero ambos marcados por el esfuerzo, mucho estudio y la pasión por la tecnología.
¿Qué las motivó a entrar en el mundo del hacking?
CO: Yo no empecé en tecnología. Mi trayectoria como profesional comenzó con el hacktivismo, al revés de muchas personas. Mi modelo a seguir fue Edward J. Snowde, cuando supe de él dije wuau, obviamente mi objetivo no era ser arrestada, pero lo que hizo a favor del mundo y de todos me encantó. Eso fue lo que me motivó a meterme en este mundo y, a través del hacking y la ciberseguridad, ayudar a las personas.
DV: Yo empecé a meterme en tecnología desde que era una niña. Siempre tuve mucha curiosidad con respecto al funcionamiento de las cosas, del computador. En un primer momento sólo quería saber qué tenía adentro, cómo era, cómo funcionaba. Luego comencé mis estudios en ingeniería de redes de computadores y descubrí el área de la ciberseguridad, sin embargo, en aquella época era algo muy distante, pocas empresas tenían un área de ciberseguridad, era algo nuevo, estaba solamente reservada para grandes corporaciones. En la pandemia hice el cambio y empecé a trabajar en ciberseguridad.
¿Qué implica explorar las vulnerabilidades desde el lado de los atacantes?
DV: Cuando decimos que una persona está explotando una vulnerabilidad, está actuando como la persona que está haciendo la estafa.
CO: La ciberseguridad abarca muchas áreas. Si logramos pensar como un atacante como un ciberdelincuente podemos lograr saber cómo es que esta persona va a atacar nuestro sistema o red de la organización. Tenemos que pensar cómo él o ella lo intentará atacarnos hacer para poder protegernos. Debemos estar un paso adelante.
¿Cómo saben cómo van a actuar los ciberdelincuentes?
CO: De muchas maneras, pero lo principal es estudiar mucho. Literalmente no hay un día de mi vida en que no estudie. Nada es sencillo y tenemos que saber la parte técnica, entonces, cuando vemos algo raro podemos imaginar que es, pero no necesariamente es eso, por lo que leemos muchos reportes de expertos, de los fabricantes de un producto o de un software y cuando vemos que está ocurriendo algo, comenzamos a investigar, vemos si el código está visible, qué software es y vamos avanzando en la investigación, descrubiendo qué tipo de técnica de ataque están utilizando, cómo llegaron, cuál fue su motivación. Son muchísimas áreas y muchas expertise diferentes las que se utilizan, se requiere de un team.
DV: Esto es un problema porque muchas organizaciones creen que solo 1 o 2 personas de ciberseguridad son suficientes, pero no es así porque es un área muy grande con muchas especialidades. Cibelle y yo somos expertas cada una en una pequeña parte.
CO: La gran discusión en Ciberseguridad hoy es: en un mundo perfecto las distintas áreas deberían conversar, intercambiar información. Por eso, instancias como la 8.8 son tan importantes. Nosotras sabemos muy bien la parte que le concierne a cada una, pero no de la otra, pero nos la explicamos y les explicamos a los demás y aprendemos también de los otros speakers de la conferencia sobre áreas que nosotras no manejamos.
¿Cuáles son las principales recomendaciones que las personas y las empresas deben adoptar para proteger su información?
DV: Vamos a empezar por el principio: No puedes proteger lo que no sabes. Por lo tanto, es necesario conocer la información que se está protegiendo y la sensibilidad de esa información. Esto cambia mucho de una empresa a otra. Por ejemplo, una empresa de automóviles no va a tener la misma sensivilidad de una empresa de mercado. Por lo tanto, hay que saber la real importancia de cada información.
CO: En general, las grandes compañías saben lo que tienen, pero las pequeñas no, ese es el primer paso. El segundo, es contratar personal experto, lo que no es barato porque requiere de mucha expertise. Ahora bien, un punto muy importante es no tener contratado personal descontento por las políticas de la empresa, esto es algo muy peligroso y no solamente dentro del área de TI, puede cualquier persona, una secretaria, un ejecutivo, etc. Por eso, se deben tener contratos que resguarden el mal uso de la información para que tengan que responder legalmente. Además, en todas las compañías se debe hacer concientización sobre el uso de la tecnología, es bueno saber de todo un pocos.
DV: Por más que sepamos cómo usar un computador es muy complejo saber cómo funciona el sistema y usarlo de manera segura. Sabemos que no es un conocimiento generalizado, entonces nosotras como encargadas de la seguridad de la empresa, debemos enseñarle a los demás personas que pertenecen a la organización.
¿Cuáles son los principales desafíos que han enfrentado en un ambiente mayormente masculino?
CO: Mi experiencia ha sido muy diferente a la mayoría de las chicas, ha sido súper tranquila. No sé si es por mi aspecto o por mi personalidad. Soy muy sociable entonces siempre me han respetado. Sin embargo, tengo amigas que han sufrido muchos problemas y han tenido que superar muchos retos para llegar donde están. Mi caso fue muy sencillo, pero es muy diferente a la historia de las demás, de hecho practicamente soy la única chica speaker presente en todos los eventos internacionales en Latam, Europa o Estados Unidos. Ahora a nivel corporativo, como mujeres en tecnología, sufrimos la misma discriminación que el resto de las mujeres en otros ámbitos con sueldos más bajos que nuestros pares o con dificultades de ascender rápidamente dentro de una empresa. Como mujeres tenemos que demostrar mucho más que los hombre que sabemos y que somos capaces. Yo tengo que ser realmente buena y probarlo, tengo que estudiar mucho, tengo que tener muchas más certificaciones, en cambio el hombre dice “yo soy bueno” y eso basta. Nosotras tenemos que esforzarnos mucho más y eso quiere decir que si una mujer en ciberseguridad es buena, es realmente buena.
DV: Yo tuve un poco más de dificultades que Cybelle creo que por escoger un área más técnica. Y bueno es exactamente como ella lo relata. Los chicos con una certificación ya pueden empezar en ciberseguridad, nosotras tenemos que tener más. Por ejemplo, terminé mi grado en 2012 y recién en 2021 conseguí la primera oportunidad para trabajar en un puesto de ciberseguridad, fue muy muy difícil conseguirla. De hecho, en algunos procesos en que participé, me dijeron que no debería trabajar en esta área o incluso que debería escoger otra área dentro de tecnología, porque no tenía las certificaciones ni la experiencia suficiente. Hay muy pocas personas dispuestas a darte la primera oportunidad.
CO: Creo que a Divina le costó más incluso por su color de piel. Además de ser mujer, hay mucho racismo, que es mayor a la misoginia.
Si tuvieran que aconsejar a una chica que quiere iniciarse en el mundo del hacking ¿Qué tips podrían darle?
DV: Lo más importante es aprender inglés. Creo que en mi carrera eso hizo toda la diferencia. Tuve la oportunidad de trabajar en grandes empresas y organizaciones y tener experencias muy diferentes solamente por hablar inglés. Después fui mejorando mi currículum y mis certificaciones, pero el inglés me abrió muchas puertas.
CO: Mi consejo es que hagan networking, que vayan a conferencias, meetups, que conecten a personas a través de LinkedIn, las más jóvenes a través de Instagram. Hay que conocer personas auque a veces seamos tímidos, porque es importante estar en el mismo lugar que otros que se desenvuelven en tu mismo ámbito. Hay muchas cosas ocurriendo ahora solo para mujeres, grupos, conferencias, etc.
DV: Tengo un tips adicional. La personas que participan en conferencias como 8.8 son personas que están disponibles para hablar, entonces no hay que ser tímidos si queremos acercarnos a un expositor, hacer una pregunta o simplemente decir que te gustó mucho el contenido porque son personas que ya están preparadas y muy disponibles para establecer contacto.
CO: Puede que existan algunos expositores más divos que otros, pero en general, las personas están aquí porque quieren hablar, quieren conectar con otros, hacer networking es muy bueno para todo en la vida. Nosotras mismas nos conocimos en un hackerspace, nos hicimos amigas y ahora estamos exponiendo juntas.
Durante las dos jornadas de conferencias de la 8.8 TR3CE, se develaron las últimas investigaciones en ciberseguridad y tendencias respecto a brechas y ataques cibernéticos, siempre en un ambiente distendido con constantes referencias al mundo de la cultura pop.
Además fue una oportunidad para compartir con ellos sobre: los desafíos que la Inteligencia Artificial pone a la Ciberseguridad, Biohacking, Ingeniería Social, Hacking en Web, Móviles e Infraestructura, Análisis e Inteligencia de Amenazas y Vulnerabilidadades, Protocolos y Sistemas de Comunicaciones, Hardware Hacking, Ciberseguridad en las Empresas y mucho más.
