Facebook-f Twitter Linkedin Instagram Telegram Discord

Podcast Impulso Cyber | Entrevista Juan Araya | Costa Rica

Podcast Impulso Cyber | Entrevista Juan Araya | Costa Rica

Conoce a Juan Araya, nacido en Costa Rica y que actualmente trabaja en España como Arquitecto de Seguridad en la Nube. También es speaker internacional de temas de cyber seguridad.

Eduardo Snape: Bienvenidos a este episodio número dos del Podcast Impulso Cyber un espacio tanto para los que desean iniciar una carrera en cyber seguridad, como para aquellos que ya están inmersos y desean mantenerse actualizados, les saluda su anfitrión Eduardo Snape fundador y director ejecutivo de la fundación comunidad DOJO me acompaña Sheila Pérez co-anfitriona del programa embajadora de la comunidad DOJO y líder de WSET Panamá, hola Sheila.! ¿Cómo estás?

Sheila Pérez: Hola que tal Bienvenidos

Eduardo Snape: Y nuestro invitado, un gran amigo de la casa Juan Araya bienvenido y gracias por aceptar la invitación Juan

Juan Araya: Muchas gracias Eduardo como siempre por tomarme en cuenta e invitarme a participar en esta actividad

Eduardo Snape: En este episodio conoceremos un poco de Juan Araya, hablaremos sobre lo que lo inspira, ¿Cómo inicio en cyber seguridad? ¿Qué hace actualmente? también compartiremos con ustedes ¿Cómo fue su proceso reubicarse de Costa Rica a Europa específicamente a España? y ¿Cómo fue su proceso para convertirse en un ponente internacional? Juan compártenos con la audiencia ¿De dónde eres? ¿Qué te inspira?

Juan Araya: Bueno yo soy de Costa Rica, tengo 3 años de estar trabajando aquí en España me vine para trabajar en el área de cyber seguridad como siempre que es el área que me apasiona, que me gusta, que me inspira, precisamente a tratar de ser mejor a tratar de ayudar a mitigar ataques tratar de entender más sobre  el secret lancer, las técnicas que se utilizan, eso es lo que a mí me inspira aprender de cómo funcionan los ataques y como se puede mitigar es un área apasionante honestamente

Eduardo Snape: Actualmente ¿Qué rol desempeñas? Y ¿Qué haces en el día a día laboral?

Juan Araya: Claro con mucho gusto, actualmente trabajo como Cloud Security Architec en otras palabras Arquitecto de Seguridad en el Nube y ¿qué hago en mí día a día? Bueno me toca precisamente asegurarme que cualquier configuración que hagamos en la empresa, ya sea en la nube de Outlook, en i shares de Alibaba, cualquiera de los diferentes proveedores de servicios en la nube, que se revise según las buenas prácticas de cyber seguridad, tengo que coordinar acciones como vulnerability scanning  asegurarme que se hagan Penetration Testing contra este tipo de infraestructura, asegurarme que se cumplan las buenas practicas, que cumplan la normativa, más aquí en Europa que hay un montón de normativas adicionales como GDPAIR y por ende tengo que asegurarme que se realicen bien desde el día 1, parte de mi rol como Cloud Securuty Architec es trabajar en un ambiente de (Dev Secut) entonces trabajo muy en conjunto con los desarrolladores de software trabajo en conjunto con el equipo de arquitectura y también trabajo en conjunto con un equipo   extendido de seguridad, en otras palabras con el Per Security Center, con arquitectos de seguridad también, ubicados en diferentes regiones y eso es lo que hago en mi día a día estar aportando colaboraciones para asegurarme que  cualquier cosa que hagamos sea seguro

Eduardo Snape: En comunidad DOJO nos interesa mucho las personas y de igual forma en este Podcast Impulso Cyber, así que nos interesaría en este momento hablar un poquito de ti ¿Qué haces en tu tiempo libre para recargar energías? luego de esta apretada agenda laboral en tu organización

Juan Araya: Claro, bueno eso es sumamente importante ¿por qué? Porque es higiene mental, si uno solamente está trabajando y solamente pensando en ataques, fácilmente pierde la perspectiva y no disfrutas lo que estás haciendo, entonces ¿Qué hago yo para recargar energías? Me encanta ver series de Netflix, me encanta ver películas, juego con mi hija, tengo video conferencias con mi hijo también y es algo que me apasiona que me recarga energía, precisamente esa interacción con mis niños en este caso.

Eduardo Snape: Cuéntale a la audiencia ¿cómo fue tu proceso de transición o reubicación de Costa Rica a Europa? específicamente a la ciudad de Madrid en España

Juan Araya: Claro, mira fue y ha sido una experiencia súper interesante Eduardo, empezando el ¿Por qué me vine para acá? Es algo que es bonito compartir, en mi caso siempre había querido trabajar fuera de Costa Rica, y no porque no me sintiera feliz en Costa Rica sino más bien como una forma de retarme a nivel profesional y demostrar que hay talento en Latinoamérica, y que prácticamente cualquier cosa que hacemos en Latinoamérica se puede replicar en otras regiones, porque digo esto, porque al final de cuenta son los mismos ataques es la misma tecnología verdad, al final de cuentas este protegerlo desde Costa Rica es el equivalente a protegerlo desde Japón, entonces yo tenía esa espinita de ver cómo seria trabajar fuera de mi país, gracias a Dios tuve la oportunidad siempre de trabajar en empresas transnacionales, pero nunca había tenido la oportunidad de viajar si varias veces, pero nunca vivir fuera de mi país, la cosa es que hace ya unos años que para mí es mi ídolo, mi padre siempre tuvo la oportunidad de trabajar en múltiples países y lo último que el hizo faltando como 3 años para pensionarse, acepto una oportunidad laboral para irse a vivir a Filipinas y eso para mí fue High opener , fue algo que me inspiro tremendamente, porque quien en su sano juicio verdad estando a punto de pensionarse acepta una aventura así tan grande, tan importante y eso para mí y yo dije que bonito que bien, si se puede en realidad y la cuestión es que me motivo tantísimo ver que le fue también y que volvió y que ya está en Costa Rica y que ya está pensionado y todo, que yo dije que a mí me gustaría por lo menos vivir esa experiencia, y la cuestión es que yo empecé a aplicar, Eduardo no fue un proceso fácil, porque para que una empresa te acepte y te traiga a Europa o a cualquier otro país, tienen que demostrar de que hay una necesidad fuerte de traer a alguien, en lugar de contratar a alguien local, me explico entonces yo tuve que prepararme fuerte durante 2 años, me volví loco sacando certificaciones, esa fue mi arma verdad, gracias a Dios yo tengo el nivel de inglés bien alto, eso fue también mi segunda arma no pues porque con inglés y con computación se puede trabajar en cualquier parte del mundo, y al sacar un montón de certificaciones empecé a aplicar y fue un proceso donde yo aplicaba a través de redes sociales con Linkedin todos los días, todos los días yo quería ver de qué manera yo podía aumentar mi probabilidad de éxito, y así fue por supuesto me rechazaron muchísimas veces, muchas veces ni siquiera contestaron mis correos y del montón de solicitudes que envié en el lapso de esos dos, años al final de cuentas 10 empresas me contactaron, pero estamos hablando que perfectamente en 2 años aplique por lo menos unas 4000 veces, verdad, así sin mentir, todos los días me ponía un ratito a través de Linkedin a tratar de aplicar, la cuestión es que de esas 10 a 3 compañías le llame mucho la atención, recibí oferta laboral de 2 y al final de cuentas tuve la oportunidad para irme a Madrid precisamente con una empresa una transnacional de la india, que fueron los que me abrieron la puerta a trabajar y vivir aquí en Europa, después de casi 2 años de estar trabajando para ellos ahora actualmente estoy trabajando para otra empresa otra trasnacional ahora como arquitecto de seguridad en la nube, inicialmente en la primera empresa cuando estaba aquí en España, me toco hacer de todo un poquito, empecé como un security person center, un analista de un sock nivel 3 , allí estuve también en Nextwork security, cloud security y actualmente estoy como Cloud Security Architec, entonces ha sido toda una experiencia interesante donde tuve que demostrar mucho mi paciencia mi resistencia resilency, digamos aguantar ese rechazo continuo de un montón de empresas diciendo NO..!  No, no es lo suficientemente bueno como para justificar que usted venga todavía para acá y así fue sencillamente fue como un reto y continúe preparándome y al día de hoy todavía sigo sacando certificaciones estudiando a mis 42 años y me siento como chiquillo en 15 en cuanto a cada vez que tengo la oportunidad de estudiar porque es algo que me motiva porque sé que va a abrir puertas va a abrir más oportunidades todavía

Eduardo Snape: Mira lo que has comentado es interesante y lo voy a resaltar porque es algo que nosotros promovemos como grupo en comunidad DOJO, el tema de tomar el inglés como algo serio y dedicarle tiempo a mejor tu ingles a un nivel que te puedas comunicar de forma fluida es prioridad uno, en esta carrera de cyber seguridad, lo segundo que mencionas es que hiciste un esfuerzo por tener conocimientos técnicos validados, certificado, es algo que también promovemos y el hecho de que seas una persona que tiene disciplina, resiliencia y un mentalidad de crecimiento son las combinaciones perfectas para tu éxito, porque tu internamente entiendes que eres capaz de crecer y lograr cosas grandes, y gracias por haber compartido eso con nuestra audiencia, porque muchos de los que están comenzando necesitan tomar esa iniciativa y caminar por ese sendero, sé que eres un Speaker internacional y nosotros nos conocimos así, tú fuiste uno de los primeros que contacte para invitarlo a BSIDES Panamá 2019, y pudimos tenerte en Panamá compartiendo con nosotros, cuéntanos un poco ¿Cómo fue ese recorrido para convertirte en un Speaker que ha hablado en las principales conferencias de seguridad  en Europa y en América?

Juan Araya: Eso es un reto y un logro muy importante el haber tenido esta oportunidad de la cual primero que todo siempre voy  estar muy agradecido por la oportunidad que me dio BSIDES en Panamá fue una experiencia lindísima, ahora ¿Cómo me convertí en speakers internacional? Es algo que nadie hubiera creído hace algunos años, algo que a mí siempre me ha costado Eduardo es hablar en público, aunque no lo parezca verdad es algo que y yo me acuerdo en la universidad me ponía súper nervioso, cuando me tocaba dar una simple exposición, el hombre hasta se ponía tartamudo y era súper, súper difícil para mí y precisamente cuando uno detecta un área en que debes mejorar, en lugar de achantarse como decimos en Costa Rica, decir cónchale que problema eso me va a afectar toda la vida, no más bien es buscar la forma de superarlo, y que mejor forma superar un reto o un problema que enfrentándolo y como logre en este caso, poco a poco convertirme en speaker internacional, precisamente retándome y participando cada vez más en conferencias, aplicando porque para poder ser un speaker internacional tienes que aplicar, hay un proceso couch of paper, uno tiene que proponer temas y tienen que ser innovadores o bonitos, y tiene que ser un trabajo bien hecho verdad donde tienes que tomar en cuenta cual es el objetivo el contenido que quieres compartir y cuánto tiempo tienes, cual es el mensaje final que quieres presentar y la cuestión es que fue una forma de obligarme a superar ese miedo de hablar en público, y recuerdo como anécdota súper curiosa recién llegando a España, yo llegue como en Abril y como en Octubre precisamente se dio una conferencia muy interesante muy importante aquí en España que se llama navaja negra, ok la cuestión es que recién llegando a España le dije a mi esposa mira voy a aplicar voy a ver que aunque sea de oyente si no me aceptan mi charla, la cuestión es que yo ofrecí un tema de esteganografía esa era mi tema favorito como ya te lo imaginas, y la cuestión es que yo llegue aplique sugerí y como quería empezar despacito como dice la canción sencillamente, introducción a la esteganografía ese fue mi tema, para no poner expectativas muy altas por el miedo por ser la primera vez, la cuestión es que llego al taller, era un taller práctico de introducción a la esteganografía y al malware y habían más, yo calculo que unas 80 o 100 personas en ese lugar y me llamo mucho la atención del porque tanta gente llego a mi taller, habiendo charlas todavía más interesantes, y la cuestión es que después de que terminaba mi taller, seguía la siguiente charla que era nada más y nada menos que la del Chema Alonso  y, el Chema Alonso iba a hacer un demo de un ataque con esteganografía, eso explica por qué la gente quiso ir primero a mi charla para entender que esa terminología para poder sacarle más provecho a la charla del Chema Alonzo, eso para mí fue Dios, que para mí vemos que todo lo armo de esa manera y me abrió muchas puertas, porque tuve la oportunidad de hablar con el Chema conocerlo, después de eso que como para toda persona en la parte de cyber seguridad es otro ídolo en el área de cyber seguridad, y a partir de ese momento ha sido oportunidad tras oportunidad de participar en charlas, en un montón de lugares, viajar a Panamá que fue una bendición porque aproveche para visitar a mi familia por cierto y después de allí he participado en un montón de conferencias cono en BSIDES, DOLAND, OPEN NEXT EUROPA, hace poquito en HACKING PARIS, y allí contantemente estoy participando en un montón de charlas y me gusta verdad, porque es una forma de nuevo para mí para retarme, me gusta investigar, entonces cada vez que yo propongo un tema para dar una charla, trato de que sea un tema que yo entienda un poquito pero que no sea un experto porque, porque me obliga a aprender más, me obliga a participar, me obliga a realmente montarme en mi propio laboratorio verdad, para poder dar una charla de calidad, no llegar y simplemente repetir algo una y otra vez, cada vez que voy a dar una charla aunque el tema se parece, trato siempre como de innovar de hacerlo siempre diferente y así ha sido realmente es algo que jamás me había imaginado, convertirme en un speaker internacional y gracias a Dios todos los años, todos los años estoy participando en diferentes lugares.

Sheila Pérez:  Que genial recorrido Juan, la verdad es que si se nota que en todo tu largo recorrido que ha sido mucha disciplina, mucha constancia, el mantenerse siempre allí practicando haciendo las cosas, en línea de eso y para aquellas personas que están ahora iniciándose en esta carrera de cyber seguridad y que quieren iniciar, ¿Cómo te iniciaste tú? ¿Cuáles fueron tus primeros pasos que diste?  ¿Qué fue tu primer trabajo? ¿Qué le dijo a Juan Araya? Voy a dedicarme a cyber seguridad..!

Juan Araya: Muy bien esa es una excelente pregunta porque es algo que me motiva mucho, ojala motive a otras personas, en mi caso yo empecé, bueno yo saque mi bachillerato en el área de informática empresarial y mis primeros trabajos fueron en el área de redes, ok al empezar a trabajar en redes, empecé a aprender sobre protocolos, aprendí sobre comunicaciones y también me di cuenta que las redes las atacan, jajajajaja, que los ataques se hacen a través de las redes, entonces yo dije mira que interesante como funciona esto y me empezó a llamar la atención las formas en que funcionan las redes y las comunicaciones y las vulnerabilidades que tiene, luego tuve la oportunidad de trabajar como desarrollador de software y ahí fue donde aprendí como es que funciona una aplicación como  se hace un script y ustedes saben que a final de cuenta los famosos virus y los gusanos a final de cuentas es un software, solo que ese caso sería malicious software o malware otras palabras, entones como empecé a aprender y a trabajar como desarrollador de software también me di cuenta que se puede utilizar para mal, lamentablemente y también el conocimiento que uno tiene en el área de software te ayuda para poder hacer ingeniería inversa, para poder entender el código, para poder interpretar lo que una aplicación está haciendo, luego mi primer trabajo en al área de cyber seguridad fue más bien en seguridad de la información que eso un poquito diferente, es parte del área, del concepto, pero el área de seguridad de la información, que fue mi primer trabajo fue a cargo de un equipo que todo Identity And Acces Panels, todo lo que era creación de cuentas, manejo de privilegios, asignación de roles, acceso y la automatización que hay detrás de eso, ese fue mi primer trabajo como era un team let del equipo de Information Security Administrator, verdad de administrador de seguridad de la información, luego de allí estuve trabajando en otras áreas como desarrollador, perdón como administrador de proyectos y el siguiente puesto en al área de ciberseguridad que tuve que ese si fue cyber seguridad fue en ACAMAI, en ACAMAI fue lindísimo allí empecé como un simple TPI como un Tecnical Project Manager del área de cyber seguridad y luego fui creciendo rapidísimo como TPI 2 luego como un Manager del equipo de arquitectos de cyber seguridad y ahí fue donde yo sentí, esta es mi pasión, esto es lo que a mí me encanta, porque, porque lo que teníamos que hacer era configurar  soluciones para proteger painas web, para proteger entidades, proteger la reputación de empresas, hay aprendí muchísimo sobre los ataques de capa 7, negación de servicio, entonces fue algo que durante casi 5 años estuve trabajando, y aprendí muchísimo en el área de cyber seguridad y cuando me vine aquí a Europa como les comente trabaje en un sock, nivel 3 , lo que nivel 1 nivel 2 no podían solucionar allí estaba yo para tratar de mitigar el ataque, a orientar, a manejar incidentes y esos fueron diría yo como mis 3 trabajos claves y el actual también es algo que, lo que es seguridad en la nube es otro planeta, es lindísimo también digamos no es lo mismo proteger a OUTLOOK ES que proteger a ISHARE que proteger este el de ORACLE, cualquiera de esas redes, se parecen pero no son iguales la tecnología que esta por detrás es diferentes, las soluciones que tiene cada una es distinta, el famoso superficie ataque, también cambia, así que esas son como mis áreas donde me he especializado y así fue como empecé, simplemente trabajando primero en el área de redes

Sheila Pérez: Justamente para ir creando una idea, un camino para estas personas que están ingresando en la carrera y tú que has tenido pues toda esta experiencia incluso ese sueño y ese  reto de salir de tu país, de trabajar para empresas multinacionales desde otros lugares, dentro del proceso de selección, qué piensas tu que las empresas buscan en el personal, por lo menos las competencias que tengan en el área de cyber seguridad, ¿Crees que buscan más certificaciones? ¿Su carrera universitaria?  ¿Una experiencia? ¿Qué piensas tu que tiene más valor para una empresa a la hora de buscar una plaza en el área de cyber seguridad?

Juan Araya: Muy bien, me alegra mucho que estás haciendo esta pregunta porque, ok las certificaciones son importantes, la carrera universitaria es importante, la combinación de los dos es lo máximo, es lo mejor que uno puede hacer, sin embargo hay un área más que también se toma muy cuenta que son los outkills, que son las destrezas blandas de las personas, ok la actitud que tenga la persona, las ganas que tenga de trabajar de aprender, la forma que la persona trabaja en equipo, porque a una empresa de nada le sirve una empresa contratar a alguien que tenga todas las certificaciones y todas las maestrías y doctorados, sino trabaja en equipo con los demás, si no va a hacer química, me explico por eso las empresas no solamente se fijan, ok si tienes certificaciones para que ayudan, para garantizar que las personas sea un experto en un área, eso es lo que hace una certificación y la carrera universitaria ayuda muchísimo, porque te da una visión mucho más amplia verdad, de todo el área de informática, porque la parte de informática es enorme, uno se puede especializar en redes, seguridad en redes, uno puede ser especialista de seguridad en la nube, seguridad en aplicaciones, es un mundo donde el que se queda sin trabajo y no consigue otro trabajito, tal vez es porque no ha cuidado esos detalles, para fortalecer esa carrera verdad, porque hay mucho trabajito, pero básicamente es eso yo creo que las personas se fijan mucho en eso primero en la actitud de la persona y luego ok, que estudios tiene y no importa incluso si la carrera universitaria no la ha completado, ok eso es algo que es importante, porque mucha gente siente que van a ser rechazada porque todavía no tiene el bachillerato o porque solamente tiene el modulo uno de cisco, de nuevo lo importante es hasta donde o qué potencial tiene esa persona, porque la personas apoyan para que las personas normalmente sigan estudiando, el hecho de que todavía no te hayas graduado, no es un rock block, no es algo que te va a causar un obstáculo en el desarrollo de la carrera, lo ideal para mi es la combinación de las dos cosas, tener una carrera universitaria y también tener certificaciones, porque las certificaciones te dice que eres especialista en un área, pero la carrera universitaria de una visión mucho más amplia, verdad, de cómo funcionan las cosas,  de nuevas tendencias y también la carrera universitaria normalmente te enseña a aprender, que eso es importantísimo en la carrera de nosotros, porque la tecnología cambia tan rápido que el que no está preparado para aprender constantemente no va a poder manejar el ritmo que requiere esta carrera

Sheila Pérez: Gracias Juan por esa respuesta, me ha encantado tu respuesta en realidad, mira que nos conversabas hace un rato que tú para la preparación a tus charlas a todas estas exposiciones en conferencias pues también te has preparado, preparas tu laboratorio creas tus ambientes, haces tus demo para sentirte pues en pleno conocimiento de lo que vas a dictar, en línea de lo que es preparación algunas personas pues entran mucho a estos juegos de CTFS o capture the flags verdad como método de entrenamiento, nosotros conocemos que para iniciar por ejemplo PICO CTFS o picoctfs como le llaman es un buen punto de inicio quería consultarte, que puedes darnos como recomendación, algún CTF como PICO CTF y qué opinas tú de lo que son las herramientas y plataformas para practicar todas las habilidades, como esta plataforma OVER DE WIRE  por ejemplo podrás recomendarnos a una de ellas.

Juan Araya: Claro con mucho gusto, bueno primero que todo la practica hace al maestro y en cyber seguridad eso es un arma que uno tiene que aplicar todos los días, contantemente hay que estar practicando para que el conocimiento no se quede teórico, ¿por qué?, porque ok uno puede saber que SQL inyection pero si nunca lo ha hecho, cómo va a darse cuenta que alguien está tratando de hacer un ataque se SQL inyection, entonces para poder defender hay que saber atacar, y para saber atacar hay que saber las herramientas que usa la gente de defensa para bloquear tu ataque, vez por eso contantemente hay que estar entrenándose, ahora yo creo que los CTFS es una muy buena opción precisamente porque son ejercicios guiados verdad, ejercicios que están diseñados para que uno poco a poco valla subiendo su nivel, y valla practicando lo que va aprendiendo, pero creo que es importante nada más recordar que el aprendizaje que uno tiene en temas de cyber seguridad hay que utilizarlo responsablemente, ok el conocimiento es poder y precisamente ese tipo de conocimiento que vamos adquiriendo poco a poco hay que utilizarlo para bien y hay que saber practicar de forma legal, entonces en lugar de tratar de atacar la página del gobierno para ver si está segura, mejor no se meta en problemas legales porque nadie lo está contratando para que haga eso, número uno, segundo es un delito informático, tercero mejor practique en un ambiente controlado es su propio laboratorio, monte servicial box, móntese máquinas virtuales, practique solo verdad, todo lo que pueda y también hágase cuentas por ejemplo en sitios como hackme, rootme, a mí me gusta mucho rootme por cierto,   y hasta donde también hay CTFS hay cursos y cursos gratuitos y uno va aumentando su puntaje conforme va logrando ir superando diferentes challenger o retos, así que esa sería mi recomendación, practicar todo lo que se pueda en ambientes controlados y ese par de plataformas son dos de las que yo he utilizado y que me parece que son bastante útiles para aprender

Sheila Pérez: Muchísimas gracias por compartirnos pues de seguro va a ser de mucho valor para nuestros oyentes, si quería entonces viendo que uno de tus primeros puestos fue el de desarrollador de software ¿Qué tan importante es la programación para desempeñarse en la carrera de cyber seguridad? ¿Cuáles son esos lenguajes de programación que recomendarías para el desarrollo de cyber seguridad?

Juan Araya:  Definitivamente saber de programación te da un valor agregado, te va facilitar el proceso de identificación de posibles ataques, te va a facilitar tratar de principalmente como en mi caso verdad que trabajo en un ambiente Desk Setup  poder hablar de tú a tú con el equipo desarrollador de software, de nuevo no es lo mismo decirle a un desarrollador de software mira si tu aplicación es vulnerable a crossing scripting  a realmente explicarle él porque es vulnerable, demostrarle como se podría explotar, hablarle en el mismo idioma hablar de librerías y especificarle cual librería es la que tiene que tener cuidado verdad, eso ayuda muchísimo desde el punto de vista de credibilidad, segundo cuando estamos mitigando ataques, estamos haciendo correlación a hacerlo manualmente es casi imposible, entonces el que sabe programar sabe automatizar, verdad eso es en el mundo ideal, esa es la idea entonces precisamente el que sabe automatizar, puede automatizar acciones, automáticamente para darles un ejemplo, el que sabe un poco de programación va a ser capaz de utilizar la información de trending inteligence, un ejemplo muy sencillo de IP´S que se está utilizando para hacer ataques, para automáticamente hacer que esas IP´S se bloqueen en un firewall, se bloqueen en un web aplication firewall vez, sin necesidad de intervención humana, si no que rápidamente el nivel el tiempo de respuesta se disminuye y rápidamente vamos a poder actuar y poder mitigar el ataque de forma más efectiva, entonces ayuda mucho a ese proceso de manejo de datos, de correlación de datos y de toma de decisiones basados precisamente en información y en datos.

Eduardo Snape: En la comunidad DOJO nos enfocamos en generar oportunidades laborales  podrías compartir con la audiencia ¿Qué alternativas laborales tú conoces que ellos puedan estar interesados en aplicar? más allá del tradicional puesto de pen testing.

Juan Araya: Cyber seguridad es un área enorme, entonces uno se puede especializar no solamente en pen test, pen test es la parte ofensiva, pero uno se puede especializar en la parte defensiva ok y la parte defensiva es de múltiples áreas, uno se podría especializar en el área de seguridad de desarrollo de aplicaciones, no es que vas a programar, vas a ser que el equipo de desarrollo programe de forma correcta, que siga las buenas practicas, encontrar vulnerabilidades, me explico también podría uno perfectamente especializarse en el área forense, en otras palabras poder interpretar evidencias que se pueden utilizar incluso para poder encontrar  datos que justifiquen que hay un posible delito informático y llevarlo a un tribunal a un criminal que está haciendo daño, hay muchas áreas y porque no, hay un área que es algo para mi muy noble que es la educación, el educar, el compartir el conocimiento es otra área donde uno se puede especializar en el área de cyber seguridad se necesita muchos instructores, personas que tenga la capacidad de poder transferir el conocimiento a otros y que tenga esa capacidad de adaptarse dependiendo de la audiencia, entonces uno se puede especializar en tantas áreas que no solamente pen test es la única oportunidad de hacer carrera, hay muchísimas más y que mejor ejemplo que mi carrera que yo empecé en seguridad de la información he trabajado en parte del sock he trabajado como arquitecto de seguridad en la nube verdad, entonces hay tantas áreas donde uno contantemente se puede reinventar

Eduardo Snape: Para aquellos que tienen cierta experiencia ya que recomendarías para que se mantengan actualizado o ¿Cuál es la estrategia que tú haces para mantenerte actualizado con los temas de cyber seguridad y temas en general?

Juan Araya: Bueno hay servicios de treding Inteligence  donde uno recibe notificaciones sobre los últimos ataques, hay algunos que son gratuitos como la de Alien Vault verdad, Alien Vault tiene un foro hay donde uno puede recibir información de trending Inteligence y puede interactuar con otras personas que también estaban aportando posibles indicadores de compromisos, entonces eso te ayuda como por ejemplo para aprender, que es lo último que está pasando, uno se puede suscribir a boletines por ejemplo al de counting, counting tiene una sección donde uno se suscribe y uno recibe por correo la información de lo último, por ejemplo lo del  out for yeah y un monton de vulnerabilidades que están sucediendo todos los días, también marcar en sus favoritos sitios como el The Matrix donde están todos los CVS los common vulnarabilitys ports donde uno puede aprenderse las ultimas vulnerabilidades y de esa manera pues aprender lo último, ahora para formación continua es algo que uno tiene que tiene que tenerse my insert, de que en eso uno no puede parar de estudiar, entonces contantemente estar inscribiéndose en cursos, cursos en línea, estar viendo videos en Youtube, verdad porque no tener dinero no es excusa, uno perfectamente por youtube puede aprender muchísimo, uno puede buscar un mentor, alguien que te guie, alguien que te aclare dudas verdad, en fin en realidad lo que se necesita es tener esa creatividad y esas ganas de continuamente estar aprendiendo para mantenerse al día

Eduardo Snape: ¿Has tenido tú un mentor?

Juan Araya: He tenido varios mentores definitivamente en mi carrera, uno de ellos es Rodolfo González, Rodolfo fue mi jefe en ACAMAI, y fue una persona que me guio muchísimo en el área de cyber seguridad en el área de carrera verdad, me ayudó muchísimo incluso cuando tome la decisión de aplicar aquí a Europa me dio muchos consejos que verdaderamente me han ayudado muchísimo, entonces yo diría que él es uno de mis mentores más importante en la carrera.

Eduardo Snape: Siempre le pedimos a nuestros invitados que compartan alguna recomendación general sobre libros películas, cursos en línea que los ha ayudado o que le parece que tiene valor para la audiencia, si pudiera compartirnos alguno de esos te agradezco

Juan Araya: Claro con mucho gusto, bueno para películas definitivamente Matrix, jajaja véanla N cantidad de veces, les va a encantar ¿Por qué? Porque a pesar que es una película de ciencia ficción, tiene un montón de temas de informática y temas de cyber seguridad, uno ve por ejemplo los gusanos, no sé si recuerda el personaje de estos dos hermanos que tocaban al atacante y tomaban la forma del atacante, allí hay tema de polimorfismo, un montón de temas relacionados con cyber seguridad que a mí me encanta, en cuanto a serie definitivamente Mr. Robot que te abre la visión un poco más realista, de cómo son los ataques de como uno defiende empresas verdad, entonces esa es otra parte bastante interesante y para cuestión de fuentes de donde aprender, a mí me gusta mucho el material que está en UREALLY hay uno tiene acceso a libros, acceso a videos, bueno tiene acceso a exámenes de practica y por una mensualidad digamos que es relativamente baja, comparado a tener que comprar los libros manualmente, que sería un montón de dinero que uno tendría que gastar, me gusta mucho esa plataforma, Cyberi es otra que tiene un montón de cursos algunos gratuitos Udemy, en fin hay tantas, tantas fuentes donde digamos prepararse para cyber seguridad no tiene que significar tener que pasar la tarjeta de crédito y llevarla al máximo, más bien hay muchas oportunidades donde uno puede aprender de forma gratuita o un costo efectivo.

Sheila Pérez: La verdad es que una gama de oportunidades ahora vamos Juan, vamos a conocer un poquito más de ti, te voy a hacer 5 preguntas directas, para conocer un poquito más de Juan Araya, estamos las personas que trabajamos mucho más y mejor en horas nocturnas y otras que bueno lo hacen mucho mejor en la mañana ¿Cuándo es más productivo Juan Araya? ¿Tempranísimo en la mañana o ya en horas adelantadas de la noche?

Juan Araya: Ok, Definitivamente en la noche, yo soy como un murciélago jajajajaja realmente duermo muy poco, yo duermo un promedio de 5 horas, 5 o 6 horas y este realmente me puedo quedar hasta las 2 o 3 de la mañana si es necesario, bien esto es algo que me apasiona es algo que es urgente y paso entretenido, yo creo que la clave el porque me ayuda mucho es porque soy más productivo en la noche, es porque es algo que me apasiona, si fuera algo que no me guste, Dios santo, sería un sacrificio enorme digamos tener que quedarme analizando bitácoras hasta las 2 de la mañana, pero como es algo que me gusta, cuando veo que son las 2 de la mañana ya ni cuenta me di, en las mañana lo que serían las madrugadas definitivamente no es para Juan Araya jajajaja mi cerebro cuesta mucho que, es como un motor de diésel verdad, al inicio cuesta que arranque entonces es mejor cuando está bien caliente en la noche que puede aprender y hacer cosas jajaja

Sheila Pérez: Bien genial, muchos encontramos en la noche mucho más de adrenalina incluso a veces hasta con el corto tiempo que nos queda en hacer algo de verdad, así que va bastante más productivo de noche, genial..! Cuando estas en el evento de participar en competencias y hacking eres más de ¿Hack and beer o eres hack and wine?

Juan Araya: Creo que soy más de hack and beer porque es un ambiente como más relajado, más entre amigos, más este donde me parece que es un ambiente donde uno puede llegar y aportar ideas y no sentir que nadie se va a burlar de lo que uno diga, porque recuerden que no hay ninguna pregunta tonta, entonces en realidad una duda que uno tenga suéltela, pregúntela y un ambiente así entre amigos como el que se hace en hack and beer es un ambiente bonito.

Sheila Pérez:  Juan..! Esta si es directa para Juan Araya, sabemos que has hecho varias investigaciones y estudios en lo que son los autos autónomos, conociendo tu algunas vulnerabilidades que ya sabes ¿Te comprarías un Tesla?

Juan Araya: Me encantaría tener un Tesla, la verdad es que si, la verdad que si porque esa va a ser la tendencia el futuro, ahorita no tengo un tesla pero tengo un carrito conectado, gracias a Dios, y a pesar de que no es un Tesla para a mí me impresiona muchísimo realmente la tecnología que tiene y como precisamente he dado charla de cyber seguridad en vehículos conectados, también me entra la curiosidad para ver cómo hasta qué punto esa superficie de ataque es explotable, porque realmente da miedo que uno se puede conectar a través de bluetooh,  a través del puerto USB, que a través del puerto db2, que a través de repuesto que haya sido alterado del framework, para que envié mensajes falsos al S.O ect..1 Entonces si me encantaría un Tesla si, da miedo, la verdad es que si porque es una tecnología nueva, pero todo cambio al inicio de miedo, el cambio al inicio van a haber errores verdad, toda innovación al inicio verdad lamentablemente tiene esos brincos verdad o esos inconvenientes, pero esa va a ser la tendencia, vehículos conectados.

Sheila Pérez: Así es..! Y si no probamos no sabemos que es lo bueno que podemos encontrar verdad..!

Juan Araya: Exactamente

Sheila Pérez: Juan ¿Cuál consideras tu que es tu mayor virtud?

Juan Araya: Mi mayor virtud, yo diría que es la humildad, la humildad de decir no sé, la humildad de preguntarle a alguien mira Eduardo me puedes explicar tal cosa, estoy pegado no entiendo verdad, por qué? Porque muchas veces nos da vergüenza hacer ese tipo de preguntas, y yo pienso que la humildad es algo que uno no la tiene que perder nunca y también la humildad de recordar de donde son, yo soy de Costa Rica soy de un pueblito chiquitito que se llama Philadelphia, vivo en Acaste donde sólo sale en la noticia cuando hay inundaciones jajajaja y es algo que para mí yo lo guardo con mucho cariño, que se dé dónde soy y eso me trae con los pies bien puestos sobre la tierra, esa humildad.

Sheila Pérez: Si fuera a cenar a almorzar tener una reunión con una persona que admiras del pasado o del presente ¿Quién sería?

Juan Araya: Definitivamente Steve Jobs..! es alguien que siempre me ha impresionado la innovación que ha hecho, los productos nuevos, la forma en que logro montar su empresa, realmente para mi me encantaría con Steves Jobs

Eduardo Snape: Muchas Gracias por compartir con nuestra audiencia, Juan ha sido un placer platicar contigo y conocer un poco más de ti

Juan Araya: Bueno realmente les agradezco por la oportunidad, para mí siempre es un honor compartir con ustedes y ojala, ojala mucha gente se motive a aprender de cyber seguridad de hacer carrera, si ha estudiado otra cosa y le llama la atención cyber seguridad  nunca es tarde, nunca es tarde conozco muchas personas que son arquitectos y de un momento a otro le gusta cyber seguridad y se hacen los mejores especialistas, psicólogos le gusta la cyber seguridad pásense a esa área, si es algo que les apasiona y les gusta es algo donde perfectamente pueden hacer carrera, que importa si están empezando desde cero o ya tienen otra carrera o si ya están a punto de terminar su carrera universitaria y no saben si especializarse en el área de cyber seguridad, si es algo que le llama la atención y les gusta y les apasiona no lo piensen dos veces, pero éntrenle con todas las ganas

Eduardo Snape: Gracias a todos ustedes que nos escuchan y esperamos que este episodio haya sido de su agrado, recuerden que sus comentarios son importante para nosotros, pueden escribir a [email protected] soy Eduardo Snape y hoy me acompañaron Sheila Pérez y Juan Araya  y como decimos en comunidad DOJO sigamos formando profesionales de clase mundial, esperamos contar con su compañía en el próximo episodio hasta luego..!

También te puede interesar

Zero Trust

En el actual panorama de la ciberseguridad, la adopción de la estrategia Zero Trust se ha convertido en un tema relevante para las empresas. Esta estrategia consiste en no confiar en ningún dispositivo, usuario o sistema dentro o fuera de la red, por lo que se requiere autenticación y autorización para cada acceso. En este artículo exploraremos en qué consiste Zero Trust, cómo aplicarlo y algunos ejemplos de su uso.
Ver Más

Tras la pista de un Insider

Sun Tzu expresaba en una de sus máximas: “El arte de la guerra se basa en el engaño. Por lo tanto, cuando se es capaz de atacar, hay que aparentar incapacidad; y cuando las tropas se mueven, hay que aparentar inactividad”.
Ver Más

Publicaciones populares

Únete a la comunidad

Cambiar vidas por medio de la ciberseguridad.

Contáctenos
Nuestros canales de contacto

Nuestros canales de contacto

  • Correo Electrónico:
    [email protected]
  • Teléfono:
    +507 306-3700
  • Llámenos o escríbanos a:
    (507) 6615-1093
Encuéntranos en Panamá

Encuéntranos en Panamá

  • Horario de Lunes a Viernes:
    8:00am - 5:00pm
  • Dirección:
    Coworking Space, Innova 109,clayton Ciudad del saber, Calle Jorge Gil