Fermín J. Serna, responsable de seguridad en Google: “Todos los servicios deben tener nuestro visto bueno antes de ser publicados”

Los ordenadores y el hacking llegaron a su vida desde muy pequeño. Y se quedaron. Su precocidad sumada a la constancia y el trabajo, han convertido a Fermín J. Serna en uno de los ingenieros informáticos e investigadores de ciberseguridad más reconocidos en el panorama internacional. Después de ser socio fundador de una de las compañías de ciberseguridad más longevas en nuestro país, S21sec y fundar su empresa Next Generation Security, el madrileño se embarcó en la aventura de viajar a Estados Unidos para trabajar con las grandes tecnológicas, y allí continúa. Después de pasar por Microsoft, desde 2011 forma parte del equipo de seguridad de Google en Seattle. Allí, su labor como ingeniero y responsable del área que denominan ISE-TPS o third party security, es encontrar vulnerabilidades y asegurarse de que todos los productos y servicios llegan al usuario cumpliendo los máximos estándares de seguridad. Ningún producto llega al cliente sin haber pasado por sus manos y tener su aprobación. “Podemos bloquear la publicación de nuevos servicios hasta que se arreglen fallos que hemos encontrado”, explica el experto en esta entrevista.

Todos los servicios que salen públicos a los usuarios, como Gmail, Google Drive, deben tener el visto bueno de nuestro equipo. Nos aseguramos de que esos productos salgan con una seguridad óptima para que sus datos estén protegidos”, señala el investigador. “El equipo de seguridad está muy valorado en Google, es importantísimo. Uno de los mayores activos es la confianza de los usuarios. Hay unos procesos muy rigurosos y una estrategia detrás para minimizar riesgos. La seguridad es básicamente gestión de riesgos“.

Fermín J. Serna durante su ponencia en las XI Jornadas del Centro Criptológico Nacional.

Intuición y experiencia para encontrar vulnerabilidades

Esta semana, el ingeniero madrileño ha viajado a Madrid para participar en las Jornadas del CCN-CERT como ponente, con una charla en la que ha explicado el proceso que llevan a cabo para encontrar las vulnerabilidades. Pero, ¿de cuántas vulnerabilidades estamos hablando? Tan solo hay que darse una vuelta por esta página donde las van publicando para hacerse una idea.

Serna ha dado ponencias en todo el mundo para hablar de las vulnerabilidades que ha investigado y descubierto. Una de la que se siente especialmente orgulloso es la que presentó el año pasado. Una vulnerabilidad de glibc, una librería muy popular de Linux, que básicamente “afectaba a medio internet”. Si los malos hubiesen descubierto esta vulnerabilidad, se habría podido paralizar la mitad de los servicios de internet.

A la hora de buscar fallos y agujeros de seguridad “se comienza realizando un análisis de riesgo, ver a qué estamos expuestos, y buscamos las áreas donde nuestra intuición nos dice que puede haber fallos importantes y relevantes para los usuarios“, explica Serna. “Es un trabajo muy sistemático, en el que no se pueden dejar zonas sin mirar”. También forma parte del trabajo el ensayo-error. “Lo fundamental es no equivocarse dos veces. Para mí el fallo es no intentar las cosas, conformarse con el estado actual”.

Deja un comentario