gabi urrutia defi halborn ciberseguridad
gabi urrutia defi halborn ciberseguridad

Gabi Urrutia, un español en Halborn, corazón de la ciberseguridad DeFi

Desde hace casi tres meses, Gabi Urrutia, uno de los españoles que mejor conoce las tripas de los smart contracts de las Finanzas Descentralizadas (DeFi), trabaja como auditor de ciberseguridad en Halborn. La compañía estadounidense que se ha convertido en referente global de ciberseguridad para contratos inteligentes, las piezas de código con las que desarrolladores de todo el mundo están replicando en blockchain el actual sistema financiero. A diferencia de lo que sucede en las finanzas tradicionales, donde la seguridad se deposita en terceros, en las DeFi descansa sobre los pilares de la ciberseguridad más extrema.

Formar parte del equipo de Halborn, para un apasionado de la ciberseguridad y de blockchain como Gabi, es como tocar el cielo. Cuenta con orgullo que la compañía para la que trabaja tiene entre sus fundadores a uno de los hackers éticos más reconocidos de Estados Unidos. Estudioso de la ciberseguridad y de la criptología desde la adolescencia, no dudó en dejar aparcada, momentáneamente, una prometedora carrera en la Armada Española para enrolarse en la filas de Halborn. Una empresa que presta sus servicios a grandes nombres de la industria cripto/blockchain global.

Seguridad con Mayúsculas

Gabi, como otros muchos profesionales que trabajan para empresas de tecnología blockchain, lleva a cabo sus  tareas en remoto desde su casa de Madrid. En su día a día, se encarga de auditar smarts contracts, pero también de realizar test de penetración (pentesting) a todas las tecnologías que llevan blockchain y con las que se puede interactuar, como aplicaciones o páginas web. La misión de Halborn, explica a Observatorio Blockchain, «es ofrecer Seguridad con mayúsculas a las empresas, para que éstas, a su vez, puedan presentar productos cien por cien seguros a sus clientes».

Cross-chain, tendencia en el cosmos de la ciberseguridad blockchain

Urrutia, que ha publicado varios artículos sobre APT (Amenazas Persistentes Avanzadas) en el Instituto Español de Estudios Estratégicos, considera que los smarts contracts son las piezas con las que las DeFi está ensamblando las nuevas finanzas e imagina un futuro con muchas blockchains hablando entre sí. Para este andaluz de Almería, especializado en submarinos, la ciberseguridad en las DeFi es algo consustancial a ellas. Se refiere al lanzamiento de Uniswap como el acontecimiento que marcó un antes y un después en la industria DeFi. «El protocolo Uniswap revolucionó las finanzas descentralizadas y como sucede con todas las ideas pioneras, todos han querido copiarlo y mejorarlo después». Afirma que en la actualidad hay muchas compañías apostando fuerte por nuevas tecnologías aplicadas a las DeFi, «lo que nos obliga a caminar de la mano, pero siempre desde la orilla de la vanguardia de la ciberseguridad», indica.

Gabi Urrutia, auditor de ciberseguridad DeFi

A la tecnología blockchain aún le queda mucho recorrido en el área ciber, dice. «Los servicios de ciberseguridad abordan tres grandes ramas: inteligencia, forense y defensa. Por ejemplo, en el lanzamiento de la preventa de un token es necesario asegurar el operativo en todos los niveles. Los usuarios están esperando la salida del token, pero también los cibercriminales. Por lo tanto, es importante cubrir todos los aspectos. Desde la seguridad de la web, hasta posibles suplantaciones de identidad en las redes sociales de los altos cargos de la empresa que lanza el token. Tampoco hay que olvidar la línea forense; es decir, la búsqueda de evidencias y la ingeniería inversa en el mundo DeFi. Es muy importante indagar en el código hasta niveles muy bajos una vez que se ha desplegado el contrato».

Ciberseguridad blockchain para proteger la cadena de bloques

Lo bueno y lo malo de las blockchains es que son públicas, explica Gabi. «La información esta ahí, a disponibilidad de todos. Tanto para los atacantes, como para los defensores. Lo fundamental es buscarla bien para encontrarla. Ese será el trabajo de los futuros forenses de blockchain».

Pensar como el atacante

Sobre la otra gran rama de los servicios de ciberseguridad, la de defensa, indica que sin entrar en metodologías, como la práctica Threat Hunting, las tres patas fundamentales de una buena defensa son monitorización, gestión de incidentes y posteriormente, compartir dichos incidentes. «Todo el mundo que quiere ser ciberseguro tiene un SIEM (Security Information and Event Management) que monitoriza su red o sus sistemas. Pero también comparte información de ciberamenzas o incidentes a través de plataformas como MISP (Malware Information Sharing Platform). La gestion de incidentes es un caso de estudio profundo».

Explica que en Halborn, para tener una ciberseguridad fuerte, desarrollan procedimientos estandarizados de gestion de incidentes en el momento que suceden. Lo fundamental, afirma, es no dejar nada en manos de la improvisación. «Por ejemplo, cualquier incidente en un token, con total seguridad, la causa es ciber», dice.

Urrutia, que permaneció diez años en la Armada, los tres últimos como responsable de monitorización de las redes del Ministerio de Defensa de España, no cree que existan diferencias entre la ciberseguridad en blockchain y otras. «Al final, todo se reduce en pensar como el atacante», afirma.

Las vulnerabilidades vienen de la implementación

Explica que poder conjugar ciberseguridad con blockchain es un reto apasionante por la cantidad de lenguajes de programación y especificaciones que existen. «Es un mundo que va a toda prisa y donde hay que estar actualizándose constantemente». Gabi, que cuenta en su curriculum con las acreditaciones de ciberseguridad más reputadas, afirma que los principales problemas ciber en blockchain vienen derivados de su implementación. De hecho, explica que las principales causas de ataques siempre tienen que ver con la puesta en práctica de la tecnología. «Como sucede en todas las implementaciones que aplican criptografía, la vulnerabilidad está en la manera de llevarlas a cabo, que es lo que aprovechan «los malos» para atacar», dice.

Ciberseguridad blockchain y smart contracts, un curso de la prestigiosa SANS

Gabi, que cursó el master de ciberseguridad de la Universidad Carlos III de Madrid, explica que aunque internet y blockchain están irremediablemente unidas, blockchain es más difícil de hackear. Sin embargo, apunta que en caso de hackeo los daños económicos en blockchain pueden ser mayores. Explica que los ciberdelincuentes aprovechan que en blockchain el código los contratos inteligentes es público para montar su propio entorno, atacar y diversificar. Por ello, añade que todas las aplicaciones de blockchain requieren igual nivel de seguridad. «Las vulnerabilidades están a la vuelta de la esquina», precisa.

La principal diferencia de su compañía frente a sus competidoras es la manera de realizar las auditorias, afirma. «Realizarlas desde el punto de vista de la ciberseguridad nos permite enfocarlas desde un prisma desconocido hasta ahora para la gente de la comunidad Blockchain», afirma.

Estudiar todos los días

Como gran parte de las personas, Gabi descubrió blockchain gracias a Bitcoin.»Cuando salió fue realmente  un boom; pero, como una persona bastante curiosa, decidí investigar por mi cuenta más allá de bitcoin como criptomoneda. Empecé a bucear por la red y a leer libros sobre el funcionamiento de blockchain y así hasta hoy». Para él, los smart contracts representan un antes y un después en la historia de blockchain. Lo verdaderamente apasionante, dice, es la velocidad tan vertiginosa a la que avanza esta tecnología. «Hay que estudiar todos los días para estar al tanto de todo lo que sucede, que es muchísimo».

Gabi, que también cuenta con una certificación de auditor de Wireless por la prestigiosa escuela SANS, se muestra feliz porque en febrero podrá ejercer de profesor ayudante en curso sobre blockchain y smarts contracts de la famosa escuela de ciberseguridad. Además, como colofón, el próximo año publicará un libro sobre hacking wireless, porque su otra pasión, además de su familia, es escribir.

También puedes seguirnos en nuestros canales de Telegram y Twitter

Comparte esto:
Esta web utiliza cookies. Puedes ver aquí la Política de Cookies. Si continuas navegando estás aceptándola   
Privacidad