Facebook-f Twitter Linkedin Instagram Telegram Discord

Podcast Impulso Cyber | Entrevista Mauricio Velazco | Perú

Podcast Impulso Cyber | Entrevista Mauricio Velazco | Perú

Eduardo Snape: Bienvenidos a este episodio del Podcast impulso Cyber un espacio para los que desean iniciar una carrera en cyber seguridad, como para aquellos que ya están inmersos y desean mantenerse actualizados, les saluda su anfitrión Eduardo Snape fundador y director ejecutivo de la fundación comunidad DOJO me acompaña Sheila Pérez co-anfitriona del programa embajadora de comunidad DOJO y líder de WSET Panamá

Sheila Pérez: Hola ¿qué tal?

Eduardo Snape: Y nuestro invitado Mauricio Velazco bienvenido y gracias por aceptar la invitación

Mauricio Velazco: Hola ¿cómo estas Eduardo? un gusto de estar por acá con ustedes

Eduardo Snape: En este episodio conoceremos un poco más de Mauricio, hablaremos sobre ¿Qué lo inspira? ¿Cómo inicio en cyber seguridad? ¿Qué hace actualmente? También, compartiremos con ustedes cómo fue el proceso de reubicarse de Perú a los EEUU y cómo fue su proceso para convertirse en un ponente internacional, Mauricio, comparte con la audiencia ¿Quién eres? ¿De dónde eres? Y ¿Qué te inspira?

Mauricio Velazco: Soy Mauricio y soy de Perú y creo que lo que siempre me ha inspirado a lo largo de mi carrera ha sido entender cómo funcionan las cosas de la tecnología y entenderla a un punto que puedas abusar de ellas o defenderla no, entonces sí creo que entender las cosas es lo que me inspira siempre me ha inspirado y motivado

Eduardo Snape: Puedes compartir con la audiencia ¿cuál es tú rol actualmente? y ¿qué actividades haces en tú día a día?

Mauricio Velazco: Si, actualmente mi rol oficial es Principal Therat Research Engineer, yo trabajo para Splunk, Splunk es un Software de análisis de datos, lo que en seguridad también están llamando SIM y en mi día a día como parte del equipo de investigación de Splunk, tenemos una será de objetivos y nuestro objetivos son, entender las amenazas, identificar amenazas existentes, nuevas, antiguas utilizadas por atacantes, entenderlas simularlas en un ambiente de laboratorio y colectar la telemetría que esta ejecución genera y con esa telemetría desarrollar detecciones y también utilizar esa telemetría para probar nuestras detecciones, entonces lo que hacemos es investigar amenazas, intentar simularlas, generar la telemetría que resulta de la ejecución y además crear detecciones, eso es el objetivo principal del equipo  de investigación de Splunk

Eduardo Snape: Guao, que interesante seguro que todos tús días están llenos de retos y no hay aburrimiento, pero supongo que también van acompañados de mucho estrés, así que compártele a la audiencia ¿Qué hace tú para liberar ese estrés? ¿Qué actividades haces en tú tiempo libre? Para recargar energías

Mauricio Velazco: Si bueno en el día a día, unas de las cosas que hago es nadar, creo que el nadar además del ejercicio físico, me da como una carga mental, muchas veces puedo pensar muchas cosas mientras estoy nadando, y además de eso siempre nos gusta viajar, obviamente no se puede hacer en el día a día pero en tiempos de verano y cuando se puede intentamos conocer nuevos lugares, tratamos de hacer un balance entre el trabajo y el esfuerzo y también algo de  viaje y un poco de conocer nuevas cosas, comer nuevas cosas, entonces eso también creo que el viajar, también es una gran parte de como pasar mi tiempo libre jeje..!

Eduardo Snape: Oye y cuéntame algo ahora que mencionaste que te gusta nadar, ¿Tú nadas en piscina climatizadas en EEUU allí en nueva York o tú vas a las piscinas donde el agua esta fría? cuéntale a la audiencia.

Mauricio Velazco: Jeje, no esta es una piscina dentro de un edificio indoor está a una temperatura de 20° grados celcius, lo que es la medida no, en la que siempre esta

Eduardo Snape: Perfecto, gracias por compartir eso cuéntame ¿Cómo pasaste de vivir en Perú a trabajar en una de las empresas más importantes del mundo en temas de cyber seguridad y residir en New York? cuéntanos un poco

Mauricio Velazco: Si, en mi caso fue una mezcla de estar en el momento adecuado en el lugar adecuado, yo trabajaba en Perú en cyber seguridad tenía ya 3 o 4 años de experiencia trabajando en Perú, haciendo no 4 o 5 creo haciendo seguridad ofensiva, y servicios de seguridad,  tutoría de seguridad  y luego empecé a trabajar en otra empresa americana y mis jefes eran de acá y uno de ellos se cambió de trabajo, y cuando se cambió me ofreció estar en el equipo que él estaba armando y que si quería ayudarlo a crear un programa de seguridad en esta empresa, que digamos no tenía un programa de seguridad establecido y lo hicimos, y estuve allí 8 años, creamos un programa bastante interesante y en ese tiempo aprendí mucho haciendo, digamos intentando defender una organización, desde casi todas las perspectivas desde los 8 años que estuve allí, así es como se dio una oportunidad no, entonces fue digamos en ese momento justo y mi anterior jefe había renunciado tuvo un nuevo trabajo, justo nos conocíamos entonces se dio así por esas casualidades de la vida

Eduardo Snape: Y entiendo que también eres un ponente internacional, has tenido la oportunidad de dictar charlas en conferencias de clase mundial tipo Black Hack, ¿Cómo fue ese proceso de no hablar en público a ser reconocido como un ponente internacional?

Mauricio Velazco: Desde el inicio de mi carrera en Perú, ya se dieron oportunidades de dictar cursos, como justamente en ese momento, y bueno creo que continua el proceso de digamos la seguridad informática siendo más importante Latinoamérica y en Perú cosas que no había mucho era entrenamiento y a diferencia de ahora, que hay muchas plataformas online que te permiten aprender muchas cosas, en ese momento no había tanto y yo empecé a diseñar curso y creo que ese fue el salto para mí de poder  hablar en público y digamos dirigir una sesión, pude empezar enseñando Ethical Hacking y de haber enseñado por 2 o 3 años muy seguido, creo que ese fue el inicio ya desde Perú, habían unas conferencias que incluso amigos y colegas míos en ese momento organizamos, la primera conferencias de seguridad, bueno una de las primeras conferencias de seguridad que llamamos Lima Hack en el 2009 y me acuerdo que esa fue mi primera charla en el Lima Hack en el 2009, y cuando vine a vivir a New York, en los primeros años como que fue más establecerme y encontrar mi lugar, pero una vez que me sentí codo también empecé a hacer charlas en el 2015 y 2014 empecé dando charlas en algunas conferencias y luego ya en conferencias un poco más de parte de la cultura hacker, como Black Dead cow y Derry Con, si ha sido todo un proceso desde el inicio

Eduardo Snape: y ¿Has estado en algún BSIDES en EEUU?

Mauricio Velazco: Si claro he estado en algunas BSIDES presentando algunos BSIDES, BSIDES Baltimore, BSIDES New York, BSIDES Long Island, bueno por el área donde estoy no por el noroeste EEUU, he ido a otros BSIDES en otras partes pero no he dado charlas en esos BSIDES solo en eso que te comente y bueno también hemos hecho BSIDES Latinoamérica, en Lima el año pasado, no bueno no el año pasado hace 2 o 3 años, y ahí también estuve

Eduardo Snape: Mauricio tengo curiosidad ¿Tú ya dominabas el idioma ingles antes de transicionar a EEUU o era algo que ya tenías avanzado?

Mauricio Velazco: Si yo diría que sí, antes de venir ya, había tenido oportunidad de estar acá, visitar no, por unos meses y digamos que tenía un poco, ósea no fue difícil el idioma creo que algunas cosas, algunos tecnicismos en cuanto al mundo de tecnología si fueron difíciles, pero además de eso, ya podía entablar conversaciones ya

Sheila Pérez: Guao la verdad es que muy interesante todo lo compartido, súper chévere como poco a poco fuiste, me llama mucho la atención, este recorrido de como empezaste a dar charlas, concursos, luego pues entonces te volviste todo un exponente internacional, mira yo quisiera preguntarte y mucho para que nos hables a esas personas que están iniciando la carrera que le cuentes un poco ¿Cómo inicio Mauricio en el área de la cyber seguridad?  Ósea ¿Qué te dijo a ti? esto es lo que me gusta, este es mi camino ¿Cómo fue tú ruta en tú carrera de cyber seguridad? Tus estudios de repente o ¿Cuál fue ese primer trabajo que te dijo? Esto es lo que me gusta

Mauricio Velazco: Para mí cuando, tuve acceso a computadoras y a utilizarlas me gustaron mucho y como que obviamente me acuerdo de haber empezado con el sistema operativo DOS  y estar en la línea de comando, no podía hacer mucho además de crear directorios y mover archivos, pero utilizar la línea de comando fue como un challenge interesante, no sabía nada de seguridad pero sabía que me gustaban las computadoras mucho, cuando tenía no se 10 11 o 12 años, y en algún momento de mi vida, también temprano ósea que no se un par de años más tarde vi una película que como que me abrió el mundo de hackers, y es la película que se ha vuelto bastante digamos icónica en la cultura hacker, es la película Hacker que salió en el 93 creo, esta película cuando la vi no sabía que existía ese mundo no dentro de las computadoras, y me acuerdo como que en ese momento empecé a buscar en internet lo que he podido encontrar, en ese momento ya sabía que esto es lo que me gustaba, entonces cuando ya llego la época de salir del colegio y estudiar en la universidad fue fácil elegir una carrera de ciencias de la computación, o como en Latinoamérica llamamos también ingeniería en sistemas, ingeniería informática, estudie eso pero en la carrera no necesariamente lleve muchos cursos de seguridad, de hecho creo que uno que era más auditoria pero obviamente estar tan cercano a la carrera, y aprender cosas como redes y conceptos de programación y de datos etc.; también obviamente ayudo a entender más seguridad, pero seguridad lo aprendí en internet en google, todo lo que he aprendido ha sido de google jeje, creo y bueno apenas termine en la universidad, también tuve una buena oportunidad de trabajar en pen Lima haciendo evaluaciones de seguridad lo que llamamos Ethical Hacking o Penetration Testing, entonces ya desde los días de mi carrera estaba haciendo estas evaluaciones, y luego ya me pase a defender organizaciones he estado por los dos lados de la fuerza

Sheila Pérez: Y si justamente eso te iba a comentar, quecomenzaste haciendo esto del ethical hacking comentaste incluso atacabas y ahora también defiendes, esto lo puedes, la cyber defensa que estas ahora en una empresa de estar vigilantes de proteger y de conocer todas las amenazas y pero antes venias con este background de las explotaciones de ese incentivo de buscar cómo se rompe, para poder aprender entonces desarrollar un poco más, me parece genial la ruta que mencionaste, mencionaste redes, mencionaste programación, mencionaste mucha de las áreas que generalmente nos preguntan ¿Por dónde comienzo? y si en esa línea quería preguntarte ya cuando fuiste tratado por una empresa en tú juicio la empresa considera ¿Qué tiene mayor valor? ¿Qué tengas una carrera universitaria? O ¿Qué te hayas preparado lo suficiente con certificaciones? Así como lo compartiste tú fuiste muy autodidacta con google y si me gustaría preguntarte eso ¿Qué consideras que le aporta más valor a una empresa?  ¿Qué piensas que es lo que ellos consideran con más valor? Si ¿Una carrera universitaria o las certificaciones?

Mauricio Velazco: Si bueno hay yo creo que cambiaría un poco tú pregunta, y diría qué es lo que pienso en general que es mejor talento para seguridad digamos en una empresa e que yo trabaría, definitivamente no sería ni certificaciones, ni carrera universitaria sino el conocimiento o la experiencia, en algunos casos también hay personas que no tienen experiencia, pero uno puede saber lo que saben, entonces si yo estoy contratando a alguien y las veces que he tenido que contratar a alguien, es fácil utilizar las certificaciones para hacer un filtro cuando tienes muchos resúmenes o currículos, pero ya estando con la persona al frente si yo creo que más su experiencia, es su curiosidad y lo que sabe, ahora las empresas, ¿Qué es lo que están haciendo las empresas? Seguramente, depende del lugar de la realidad, probablemente en Perú sea distinto que en Panamá y que en New York, pero por lo que yo he visto de empresas serias, es que realmente hay gente muy importante en seguridad informática en estos días que no ha estudiado nada, entonces si depende mucho del lugar donde estamos, desde mi perspectiva si yo estoy contratando a alguien, creo que no buscaría ni títulos universitario, ni certificaciones, sino más experiencia y la manera de pensar también, eso no se enseña la curiosidad, eso nadie te lo enseña, uno tiene que tenerlo.

Sheila Pérez: Bueno así es, en esa línea justamente hablando de experiencias ¿Considerarías por lo menos las habilidades adquiridas durante un entrenamiento en el que tú hayas creado tú portafolio de investigación de repente también haber utilizado plataformas de juego como CTF´S o quizás estas para practicar habilidades como over the wire ?

Mauricio Velazco:  Si ósea, creo que jugar este tipo de retos es interesante, y creo que si lo veo como un plus, si lo veo como algo que si recomendaría hacer, al igual que recomendaría hacer muchas otras cosas, no solo este tipo de retos, pero si le veo el valor, y si bien no representan muchas veces y casi ninguna vez lo que realmente se puede encontrar haciendo evaluación  de seguridad en el mundo real, si tiene una valor y genera una serie de escenarios que sí creo pueden darle valor a un profesional

Sheila Pérez: ¿Le recomendarías algunas de estas herramientas a alguien? una que conozcas

Mauricio Velazco: Bueno personalmente, creo que no soy el ideal para hacer ese tipo de recomendaciones, porque hace mucho tiempo que estoy un poco alejado de eso pero, digamos las que escucho que siempre muy importante es Hack the Box, pero no sé si tal vez, hay muchas más y mejores pero no las conozco.

Eduardo Snape: Mauricio y ¿Que tal Boss of The SOC?

Mauricio Velazco: Ha..!  Boss of The SOC claro, pero para los que no conocen Boss of The SOC es básicamente un método de entrenamiento, por lo cual gente de Splunk ha generado una serie de, un data set, datos como muchos ataques y hay un reto todos los años de impulsar la herramienta Splunk para encontrar estos ataques así, me parece buenas manera de entrenar, porque no necesariamente siempre vamos a tener un ataque real para investigarlo, así que hacer este tipo de juegos enseñan a tú gente, a las personas, a los analistas a pensar fuera de la caja y digamos unir los hilos que están separados dos eventos totalmente separados pero unirlos, si son muy interesantes esos juegos

Sheila Pérez: Splunk maneja un lenguaje de programación verdad ¿Cómo ves la importancia de la programación en la carrera?

Mauricio Velazco: Primero a modo genérico, yo veo entender programación, entender conceptos de programación un skill importante para profesionales de seguridad informática, definitivamente, no es que no necesariamente vas a tener que programar, pero entender te va a ayudar a entender cómo funcionan los sistemas, y al final ser un profesional de seguridad implica que hay que entender sistemas, entonces a mí me parece importante claro es verdad que muchísima gente de seguridad no va a programar una línea de código en años, pero entenderla creo que es importante y a aparte que es divertido, crear herramientas y con algunos pedazos de código y que luego hagan algo, para la cual tú lo has diseñado es muy divertido también, no solo digamos es bueno si no que como tú carrera, sino que también es divertido,  entonces fíjate yo si lo recomiendo

Eduardo Snape: ¿Cómo haces tú para mantenerte actualizado? ¿Cómo te mantienes have keep self search? ¿Cómo te mantienes al día?

Mauricio Velazco: Si bueno creo que siempre soy atento a las ultimas, consumo bastante información en cuanto, a no sé, los últimos casos de antivirus, las empresas de antivirus lo que están sacando, creo que es muy importante estar atento a toda la información que genera, open search públicamente, que esta hay, porque hay muchos, mucha información últimamente, bueno además de eso claro siempre ser hand some, yo quiero ser hand some, yo quiero ser técnico, entonces hay mucha experimentación, y esa misma experimentación que hacia hace no se X años con una tecnología muy antigua, ahora simplemente hay nuevas tecnologías y hay que estar probando las nuevas tecnologías, bueno las importantes las que podemos, las que tenemos acceso para aprenderlas y así siempre me gusta siempre estar interactuando con tecnología

Eduardo Snape: Si tuvieras que aconsejar al Mauricio del pasado en cómo iniciar su carrera profesional como cyber seguridad, ¿Qué le recomendarías un paso a paso? aprende programación, aprende redes, aprende base de datos ¿Qué le recomendarías?

Mauricio Velazco: Moviendo tú pregunta un poco más genérica ¿Cuáles son los pilares de conocimiento de profesionales de seguridad que yo consideraría buenos? Serían unos pilares que lo tengo claros, uno administración de sistemas o system adminitration, que implica entender cómo gestionar y administrar servicios, por ejemplo, cómo administrar un sistema operativo, cómo administrar un directorio activo, un servidor DNS, un servidor web, entonces entender el mundo de la tecnología desde la perspectiva de un de un administrador de sistemas un system administrator, es muy importante, dos consiente en redes, entender cómo funciona internet, cómo funcionan las comunicaciones con los protocolos que conocemos, eso me parece muy importante y tres conocimientos de programación, de entender flujos de programación, como había dicho antes no necesariamente programar, pero al menos me parece importante entender el concepto de cómo funciona una pila, por ejemplo procesadores, bueno depende de a qué nivel, nivel no me refiero a que tan bueno, sino me digamos nivel del stack, por ejemplo hay gente que está trabajando haciendo kernels, haciendo drivers y haciendo suits para drivers, para ellos es muy importante entender arquitectura del procesador y etc.; cosas más a bajo nivel pero algunos estamos trabajando en aplicaciones web, que implica entender cómo funcionan ciertos lenguajes de programación, ciertas plataformas de aplicaciones, así que digamos estamos a distintos niveles en cuanto al técnico, pero hay cosas genéricas y universales, como la programación que se aplica en todo, entonces yo creo que es importante, eso serian mis tres pilares, system administration, redes y programación, el último punto creo que nadie te enseña es curiosidad, sin curiosidad algunas cosas vas a estar limitado porque yo creo que es la misma curiosidad que te da fuerzas y energías para leer por mucho tiempo y probar algo y que no funcione hasta que funcione, sin esa curiosidad no vas a llegar a ese mismo lugar te vas a rendir.

Eduardo Snape: Exacto eso es parte del tema de tener disciplina, resiliencia y una meta clara, Mauricio siempre le pedimos a nuestros invitados que nos compartan alguna recomendación sobre algún libro que tú hayas considerado de valor y quieras compartir, ya mencionaste la película pero a aparte de eso algún curso que tú creas, tienes que tomar este curso o te recomiendo que te leas este libro

Mauricio Velazco: Me parece bastante difícil recomendar un curso o un libro, porque todos en el mundo de la seguridad hay muchas ramas y muchas cosas que hacer, entonces algunos libros no solamente van a aplicar para algunas cosas que tengamos que hacer, pero claro si tuviera que recomendar un libro algo más genérico y diría un libro de programación, un libro de redes, por ejemplo, claro bueno no se me el nombre, pero si te tuviera que recomendar algo sería un libro de cómo funcionan las redes.

Sheila Pérez: Mauricio vamos a conocerte un poquito más, te voy a hacer 5 preguntas que son muy personalizadas, en el caso de Mauricio ¿Cuál consideras que es tú mayor virtud?

Mauricio Velazco: Creo que me quedo con curiosidad

Sheila Pérez: Claro, tener ese ánimo de buscar lo que está por allí verdad, cuando estas trabajando, cuando estuviste haciendo ese ethical hacking y todo esto o cuando estuviste en algún momento jugando el hacking ¿Eres hack and beer o hack and wine?

Mauricio Velazco: Creo que últimamente hack and wine

Sheila Pérez: Y cuéntame a la hora de trabajar y cuando estás haciendo tús investigaciones eres más productivo, ¿Te consideras que eres más productivo en la mañana o en la noche?

Mauricio Velazco: Definitivamente en la noche y no solamente en la noche sino en la madrugada, pero si todo es distinto al día la verdad, en realidad jaja

Sheila Pérez: Y durante el día en la mañanita temprano ¿Tomás café o té? ¿Qué prefieres?

Mauricio Velazco: No soy necesariamente un fan de ninguno, digamos religiosamente, pero si me gusta un café de vez en cuando

Sheila Pérez: Y bueno una última, si pudieras cenar con una persona que admiras no importa del pasado y el presente ¿Quién sería?

Mauricio Velazco: Se me ocurren algunos nombres, distintas perspectivas de la vida jaja, pero creo que sería con un bisabuelo no que he escuchado mucho y que me hubiese gustado conocerlo

Sheila Pérez: Guao un bisabuelo un familiar que te han mencionado mucho

Mauricio Velazco: Si

Eduardo Snape: Muchas gracias, por compartir con nuestra audiencia, ha sido un placer platicar contigo Mauricio y conocer un poco más de ti, te damos un espacio para que te puedas despedir de aquellos que nos escuchan

Mauricio Velazco: Gracias Eduardo, gracias Sheila todas las preguntas y un saludo a todos tús radioescuchas, no sé cómo le dicen a los que escuchan Podcast  jaja, pero lo que puede dejar es que el mundo de la cyber seguridad es un mundo muy apasionante, muy divertido realmente que tenemos esa curiosidad, esas ganas de aprender nuevas cosas, puede ser una carrera también muy rentable, así que saludos a todos y aprender más hack the planet.

Eduardo Snape: Gracias a ustedes que nos escuchan, por su atención esperamos que este episodio haya sido de su agrado, recuerden que sus comentarios son muy importantes para nosotros y nos pueden escribir a [email protected] soy Eduardo Snape y hoy me acompañaron Sheila Pérez, Mauricio Velazco y como decimos en comunidad DOJO, “sigamos formando profesionales de clase mundial”, esperamos contar con su compañía en el próximo episodio hasta luego.

También te puede interesar

Zero Trust

En el actual panorama de la ciberseguridad, la adopción de la estrategia Zero Trust se ha convertido en un tema relevante para las empresas. Esta estrategia consiste en no confiar en ningún dispositivo, usuario o sistema dentro o fuera de la red, por lo que se requiere autenticación y autorización para cada acceso. En este artículo exploraremos en qué consiste Zero Trust, cómo aplicarlo y algunos ejemplos de su uso.
Ver Más

Tras la pista de un Insider

Sun Tzu expresaba en una de sus máximas: “El arte de la guerra se basa en el engaño. Por lo tanto, cuando se es capaz de atacar, hay que aparentar incapacidad; y cuando las tropas se mueven, hay que aparentar inactividad”.
Ver Más

Publicaciones populares

Únete a la comunidad

Cambiar vidas por medio de la ciberseguridad.

Contáctenos
Nuestros canales de contacto

Nuestros canales de contacto

  • Correo Electrónico:
    [email protected]
  • Teléfono:
    +507 306-3700
  • Llámenos o escríbanos a:
    (507) 6615-1093
Encuéntranos en Panamá

Encuéntranos en Panamá

  • Horario de Lunes a Viernes:
    8:00am - 5:00pm
  • Dirección:
    Coworking Space, Innova 109,clayton Ciudad del saber, Calle Jorge Gil