ENTREVISTA

Víctor Ronco, CEO y Fundador de Zerod: "buscamos democratizar el acceso a servicios ofensivos de ciberseguridad"

Entrevista
Foto Victor Ronco_OK

Entrevistamos a Víctor Ronco con ocasión del lanzamiento del hub y plataforma digital Zerod de la que es CEO y Fundador

1.- Hola Víctor, para empezar ¿podría presentarnos Zerod, qué es, a quién se dirige y qué ofrece y persigue? 

Zerod es el primer hub digital que conecta directamente a empresas con los mejores hackers éticos y consultores en ciberseguridad del mundo. Gracias a los nuestros especialistas disponibles en la plataforma somos capaces de ofrecer la mejor calidad del mercado, y además, gracias a nuestro modelo de negocio único en el sector, podemos escalar y ofrecer unos costes mucho más competitivos que algunas consultoras de primer nivel. Todo ello es posible mediante nuestra plataforma, que nos permite unir la oferta y la demanda de forma automatizada bajo este modelo marketplace. Sobre este modelo de negocio desintermediado, contamos con la línea Enterprise en la que el cliente nos cuenta cuáles son sus retos en ciberseguridad ofensiva, y sobre esto diseñamos un plan de trabajo que puede incluir desde un CISO remoto a un equipo completo de ciberseguridad ofensiva, trabajando como una pequeña consultora que da acceso al talento de nuestro Marketplace.

Además incorporamos software de detección de vulnerabilidades y auditoría de sistemas, y con ello somos capaces de ofrecer un enfoque híbrido que combina lo último en tecnología de ciberseguridad y el mejor talento del mundo, asegurando el negocio de nuestros clientes de forma continua durante todo el año. De hecho, desde Zerod precisamente buscamos democratizar el acceso a servicios ofensivos de ciberseguridad de forma ágil y accesible a cualquier tipo de organización.

2.- Para que nos entendamos ¿el hacking ético es el hacking bueno? ¿cómo lo definirías

“Hackear” es romper las reglas, o en este caso, sistemas. No es necesariamente malo si se utiliza para un buen fin. En nuestro caso, ponemos al acceso de los clientes a hackers con décadas de contrastada experiencia, y su habilidad en “romper” los sistemas de las empresas para detectar posibles vulnerabilidades es una herramienta muy potente. Consideramos que la mejor defensa ante un posible ciberataque es conocer al enemigo y lo que éste podría hacer, y precisamente el hacking ético ayuda a identificar y mitigar esas posibles vías de acceso que usaría un ciberdelincuente, y de este modo poder defender los sistemas y negocios tras estos.

3.- Por ejemplo, pensemos que mi equipo de HelpDesk hace auditorías internas regularmente con Metasploit. ¿Qué valor añadido ofrecería vuestro MarketPlace? ¿Por qué el modelo marketplace?

Metasploit es una herramienta automática que puede tener falsos positivos y se le escapan ciertas vulnerabilidades como lógica de negocio, alguna vulnerabilidad que no esté dentro de su “base de datos” de vulnerabilidades, filtración de información sensible, entre otras. El modelo Marketplace ofrece una base de datos de hackers experimentados que sin duda darán mucho más valor. No hay falsos positivos, encuentra vulnerabilidades que no están nada más que en la base de datos de metasploits, son capaces de encontrar zero days, pueden encontrar vulnerabilidades de lógica de negocio, escalación de privilegios (vertical y horizontal), buscan y explotan vulnerabilidades de forma manual y además usan varias herramientas, no solo una, por lo que pueden encontrar muchas más vulnerabilidades que la herramienta metasploit.

4.- Siguiendo con posibles casos prácticos reales, pongamos que creemos que hemos tenido recientemente una filtración o falla de ciberseguridad. ¿Cómo podríais ayudarnos desde Zerod?

Desde Zerod nos especializamos en servicios de ciberseguridad ofensiva, pero también contamos con una línea especializada en análisis forense. En este caso, se trata de identificar y analizar las evidencias que se encuentren al investigar un sistema afectado por un ciberataque, detallando así cómo sucedió y cuáles son los posibles daños. De este modo, se puede documentar el incidente, identificar potencialmente al responsable y su método para perpetrar el ataque, y, especialmente, un plan para tomar medidas y evitar que vuelva a ocurrir.

Para ello deben utilizarse una serie de herramientas y técnicas específicas para examinar datos electrónicos sin alterarlos, algo que puede incluir archivos, logs configuraciones u otros registros. Los analistas extraen información relevante, reconstruyen eventos y presentan pruebas de manera precisa, lo que es vital para proteger empresas contra ciberataques.

5.- ¿Consideras que las empresas (tus potenciales clientes) aprecian la excelencia en la gestión de seguridad y protección de datos en su organización, o por el contrario se conforman con cumplir con los mínimos requisitos legales pues con ello les es suficiente para mantener la reputación del negocio?

Hay de todo. Existen empresas que simplemente buscan auditar sus sistemas con el objetivo de obtener una certificación, por una due diligence externa ante una ronda de inversión o por razones de compliance. Desde Zerod cubrimos estos casos, pero el objetivo de nuestras pruebas de penetración es llegar incluso más allá y encontrar vulnerabilidades reales que puedan suponer un riesgo real para el negocio, datos o reputación de nuestros clientes. Por ello contamos con ethical hackers de especializaciones muy distintas, lo cual nos permite encontrar al profesional más adecuado en cada caso, con independencia de la tecnología o complejidad del proyecto. Pero por encima de todo, los reportes tras los pentests se presentan a los clientes detallando mucho el riesgo de negocio que implica cada vulnerabilidad, y se pone mucho hincapié para que el cliente pueda mitigar cada punto con un restest posterior incluido en el servicio. Queremos a clientes alineados en cuanto a compliance y regulación, pero ante todo, clientes con sistemas protegidos.

6.- A todos nos preocupa la confidencialidad. ¿Qué me garantiza a mí  -como potencial cliente de Zerod- que un colaborador vuestro de BanglaDesh no me vaya a dejar una backdoor o una bombshell?

La palabra bombshell no es un término técnico específico en el ámbito de la ciberseguridad o hacking, no está estandarizado y puede variar según el contexto y la interpretación, supongo que aquí os referís a una amenaza que pueda comprometer la confidencialidad de la información. Esto es un riesgo que te puede pasar con cualquier consultora o incluso en el bug bounty, nosotros filtramos a nuestros hacker para disminuir el riesgo, tenemos sus datos personales y cuando se registran en nuestra Plataforma aceptan los términos y condiciones y el acuerdo legal donde cualquier acción no ética tendrá consecuencias económicas severas. Dicho esto, la responsabilidad cuando se contrata un servicio en Zerod (vía marketplace o enterprise) siempre es de Zerod).

7.- ¿Se podrá contar por medio de vuestro marketplace con personajes del hacking hispano relevantes como son los casos de s4vitar o Álvaro Chirou?  En este sentido ¿tenéis pensado extender Zerod a Hispanoamérica?

Actualmente tenemos hackers hispanos de renombre en nuestra plataforma, pero la información personal de nuestros hackers es confidencial, por lo que el cliente nunca sabrá el nombre real o nickname públicamente conocido como “X” persona. La idea de nuestra plataforma es que puedan registrarse los mejores hackers del mundo y ofrecer un servicio de muy alta calidad. Zerod ya está extendido en Hispanoamérica, se han dado servicios en España y en varios países de LATAM. En nuestra base de datos de hackers ya hay varios que son de habla hispana. En la plataforma actualmente hay más de 150 hackers de más de 33 países incluyendo países hispanos.

8.- Por último, pensando en nuestro público objetivo compuesto principalmente por profesionales jurídicos como abogados, jueces, asesores, notarios, procuradores, etc… ¿qué les puede ofrecer Zerod y por qué han de familiarizarse con el concepto del hacking ético? ¿Puede resultar un aliado fiable para llevar a cabo la labor de compliance en materia de ciberseguridad a sus clientes (empresas y pymes)?

El concepto de hacking ético cada vez va teniendo más auge y se va popularizando más debido a los ataques que sufren las empresas y personas cada día, por lo que intentan solucionar y evitar estos ataques. Es ahí cuando se hacen la pregunta de cómo evitar estos ataques o disminuir el riesgo de sufrir un ataque que surge el concepto de hacking ético, profesiones de la ciberseguridad (hackers profesionales) que se dedican a atacar a las empresas, previa autorización, para poder conocer las debilidades y solucionar las brechas de seguridad que en un futuro derivarían en posibles ataques reales de alto impacto para la empresa por parte de un ciberdelincuente.