Ciberseguridad
Jorge Giraldo
6 de marzo de 2023
María José Afanador [00:43:37] Jorge ese retraso de la entrada del sector financiero a los servicios por internet ¿Es particular de Colombia o fue similar en otros países de la región? ¿El retraso es con relación a Estados Unidos y Europa?
Jorge Giraldo [00:43:52] En todas partes siempre ha sido más lento. Internet está desde 1960 y pico. No sé cuándo debió haber sido el primer banco, pero fueron muchos años después que entró la banca por internet, mucho antes que Colombia, definitivamente. Pero sí mucho después de que hubiera nacido internet. Lo mismo ocurrió en otros países de la región. En algunos que conocí aquí en América Latina también fue muy posterior. Hoy en día en temas como nube también, pasaron varios años después de que el mundo ya sabía que era Cloud, para que los bancos a nivel internacional se metieran a la nube. Yo creo que los bancos son de los últimos en meterse en esto (internet). Los bancos y el sector salud de pronto son los que más los atacan y todo eso. El tema de ciberseguridad ha impactado muchísimo ese desarrollo. De hecho, que haya un freno y sobre todo en esos sectores que son muy agobiados por la ciberseguridad, hace que se demoren en llegar en los nuevos desarrollos en tecnología.
Jorge Giraldo
6 de marzo de 2023
El Grupo Aval, la primera página que se publicó en internet fue en el año 2000, debió haber sido 2000 o 2001. Yo llegué en agosto del 2000. Llegué como el experto en ciberseguridad y cuando llegué aquí no sabían realmente nada de ciberseguridad y ya se estaban conectando a internet. Me acuerdo que habían empresas, algunos de estos bancos no tenían un firewall, por ejemplo, y ya estaban conectándose a internet en cualquier momento cogían y los atacaban. Y llegué a montar todos esos elementos de ciberseguridad. Llegué al grupo en el cual se montaron los servicios. Desde definir qué son los servicios, el servicio más básico era mostrar el saldo de lo que se tiene en la cuenta. Me acuerdo que nosotros hablábamos de las T1 a las T4, que eran las cuatro transacciones básicas pedir el saldo, pedir el extracto, hacer una transferencia y no me acuerdo cuál era la cuarta. Bueno, eran cuatro y eso era. El proyecto de un año con expertos de todas partes de Estados Unidos, de todas partes, viniendo acá a armar nuestras primeras páginas transaccionales. Debió haber sido a principios del 2001 o finales del 2000, la verdad no me acuerdo, cuando dimos la primera, nuestra primera página transaccional (del Grupo Aval), donde ya la gente podía ver su saldo.
Antes algunas empresas que tenían servicios para ver sus cosas, con sistemas dedicados, conexiones dedicadas, pero ya en el mundo de internet fue en el año 2001, por lo menos las empresas de Grupo Aval. La verdad no sé si en ese tiempo Conavi o algunas otras que estaban por ahí ya tenían algunas páginas, pero pues el Grupo Aval obviamente era de los grupos más grandes en ese tiempo y fueron uno de los primeros que arrancaron ahí. Se tenía mucho miedo, precisamente y yo creo que uno de los factores que atrasó la llegada de internet a las finanzas fue el miedo a la ciberseguridad. Porque precisamente ya se sabía que los robos podían venir metiéndose por ahí y efectivamente llegar. Por eso mi llegada, tenían que buscar el que más supiera de seguridad. Por eso llegué a decir: bueno, esto toca cerrarlo [controlarlo] de esta forma. Lo primero que les dije es: por más que yo les cierre esto, acá no hay garantía 100%. Eso hoy en día lo sabemos muy bien, pero digamos que la demora en el sector financiero es precisamente por el miedo a los fraudes. Hoy en día se ve reflejado también en otras cosas, en meterse a la cloud. ¿Hace cuánto están las universidades metidas en Cloud? Los bancos hasta ahorita están metiéndose de lleno. Hace cuatro años empezaron a meterse de lleno cuando ya llevamos 15 años con Cloud o cosas de ese estilo. El sector financiero tiende a ser un poco más parco en eso, precisamente por los riesgos que conlleva esto.
Pedro Villegas
27 de marzo de 2023
Jaime Humberto Borja [00:40:52] ¿Tú conociste hackers? ¿Así de primera época?
Pedro Villegas [00:41:07] No del lado oscuro, que en ese momento no era tan oscuro. Cuando hicimos eso de nuestra banca de internet en el banco, contratamos una compañía de seguros que nos hizo como el primer ethical hacking, y vino un inglés, firmamos un acuerdo de confidencialidad, y así como lo ves la banca se ha ido modernizando, pero en ese momento… Además, ni te cuento mi choque; de Medellín, trabajé en una compañía paisa como Corona. Acá la primera vez que yo me puse corbata en mi vida fue en el Banco Occidente. Entonces aquí todo era formal y, no te bajan de doctor, es una formalidad. Y contratamos al inglés y llegó un tipo con piercings, tatuajes, no le faltaba sino como medio punk. Era un shock. O sea, cuando yo lo vi entrar yo dije va a llegar el experto de seguridad y yo dije “¿No le estaré abriendo la puerta al demonio aquí?”. Entonces te diría que el primer hacker que conocí fue un ethical hacker, como les dicen. Pero me impresionó porque yo creo que los hackers, hasta los ethical hackers, tienen un tema ahí como de ¿Qué será? Como de problema con la autoridad. O sea, no un problema, como... En fin, contestatarios y como romper el statu quo. Ese fue como el primero que yo conocí. Pero era un ethical hacker. De los otros no era por ahí, pero era en esa época, como te digo, más por la medalla. Incluso la gente de seguridad termina sabiendo muchas cosas. Yo creo que a ellos lo que los mantiene es su lado ético porque terminan conociendo muchos huecos.
Te diría que ese fue el primero. Y así hackers hackers no. En algún momento tuvimos un tema en Credibanco muy curioso, pero eso fue años después, ya ponle 2010, 2008, por ahí. Los datafonos empezaron a ser muy atacados y surgieron muchas cosas. Antes era la banda, es decir, el chip, eran muchas cosas. Y los vendedores decían “este datafono es a prueba de hackers. O sea, esto no lo viola nadie.” Empezamos a encontrar en Bogotá datafonos adulterados. Entonces los fabricantes franceses mandaron más o menos un grupo de estudio a ver qué era lo que había pasado, y encontraron que estos pelados, y eso lo terminamos pues buscándolos por el lado bueno, por llamarlo así. Se dio una mezcla muy interesante. Era gente muy buena, con capacitación muy técnica y muy barata. Déjame ponerlo así, entonces, ingeniero electrónico de la Universidad Distrital que sabía un montón de cosas, estaba en octavo o noveno, y alguien le ofreció eso y él cogió varios, los desbarató y logró hacer una cosa que los fabricantes franceses nunca se habían imaginado, porque ese no era el contexto. Allá un tipo con ese conocimiento, pues, se puede conseguir el trabajo que quiera, ¿Me entiendes? Una mezcla muy curiosa, mucha capacidad y barato. No quiero entrar en los temas éticos, pero te diría eso, barato, con necesidad y con mucho conocimiento. Y ese también lo contratamos para que nos ayudara a hacer inteligencia.
Jaime Humberto Borja [00:44:19] Súper interesante porque, de hecho, en la entrevista que le hicimos a Jorge Giraldo, él nos puso el tema en el radar, que no lo habíamos considerado y esto se vuelve un tema interesantísimo. Hay toda una veta por construir en la historia de la tecnología del país.
Pedro Villegas [00:44:45] Y Milton Quiroga definitivamente te puede dar mucho… Milton vale la pena que hablen con él porque, en su momento, era profesor mío en telecomunicación Informática, de temas de criptografía, en fin. Y hace poco había terminado la Maestría en Sistemas de la Universidad de los Andes, y siempre ha sido muy inquieto y sigue siéndolo. Yo creo que él les puede dar muy buena información. Luego estuvo en Carnegie Mellon haciéndose algo relacionado con tecnología. Creo que les puede dar mucha información. Milton Quiroga.
Gonzalo Ulloa
5 de octubre de 2023
15. Seguridad de internet, hackers y rivalidad entre estudiantes
Laura Viviana Manrique Gómez [00:55:55] ¿Cuándo recuerdas que comenzaron a suceder eventos de seguridad, de hackers, de personas que querían intervenir, llegar a los servidores, dañar? No sé, ¿recuerdas esos primeros?
Gonzalo Ulloa [00:56:13] Uy sí, sí, sí, claro, como no lo voy a recordar. Fue con unos estudiantes de la Universidad de los Andes, que los hicimos expulsar. Claro. Había una guerra entre los estudiantes de la Universidad del Valle y los estudiantes de la Universidad de los Andes. Como los estudiantes de la Universidad del Valle estaban manejando los servidores, los de la Universidad de los Andes querían entrar a los servidores a piratearlos. Yo tenía un muchacho que era alumno mío, muy inquieto, pero era de esos que es lengua negra, es horrible, todo le parecía mal, nos criticaba todo el tiempo. Le dije, “Gustavo, mira, en vez de criticarnos, ayúdanos, ¿si? Ayúdanos, sentate a trabajar con nosotros en vez de estar criticando. Vea, es que esto no funciona, es que se les cayó, es que tiene un hueco de seguridad, no sé qué. Ayúdenos”. Entonces se volvió nuestro oficial de seguridad y él era muy inquieto en ese tema. Se dedicó a perseguir a los de la Universidad de los Andes que querían entrar a los servidores de nosotros, que los teníamos bien configurados pero de todos modos teníamos huecos de seguridad. Entonces Gustavo los pilló, le hizo la perseguidora, recogió pruebas y las mandamos a la Universidad de los Andes. Y allá como que les hicieron un proceso disciplinario y expulsaron a los muchachos. Yo no soy partidario de expulsar a un muchacho cuando hace travesuras porque todos los que hicieron internet hicieron travesuras. Todos fueron inquietos y eso es una muestra de la inquietud de un muchacho. Eso es más bien una muestra.
[00:57:58] Tuve un muchacho que lo expulsamos de la universidad, yo era el decano de ingeniería en Icesi, y lo expulsamos de la universidad porque hizo un fraude, se le metió al computador de un profesor y le sacó un examen. Pues sí, pero el profesor tuvo la culpa de dejar ese examen. Está bien, sancionémoslo, pero no lo expulsemos de la universidad. Un muchacho brillante. A nadie se le había ocurrido que él podía entrar por ahí. Pues él entró y lo pirateó. Y hoy en día tiene una compañía de internet, no se graduó, y sigue siendo un tipo brillante, un autodidacta. Entonces, ¿cómo vamos a echar a esa gente. Les digo, en esa situación, ustedes a Steve Wozniak lo hubieran echado de la universidad? ¿A Steve Jobs lo hubieran echado? Bueno, Steve Jobs no hizo travesuras, Steve Jobs se retiró muy temprano. Pero Steve Wozniak si, lo cogieron pirateando la red telefónica y haciendo la caja azul para hacer llamadas internacionales. Todo el mundo hace esas travesuras. Larry Ellison, el de Oracle, también. Todos. Entonces, ¿cómo vamos a cortar la creatividad de la gente? Entonces yo sí soy muy liberal en ese sentido, hay gente más conservadora, pero en Icesi no pude ganar. Todos lucharon, intenté que lo readmitieran pero no, no fue posible. Pero bueno, lo lamento. Y sigue siendo amigo mío. Ahora somos fotógrafos de pájaros ambos y nos vemos en el campo. Pero tengo buenas relaciones con ellos. Y con Gustavo Barreto, que es el hijo del muchacho este que nos hacía travesuras, Gustavo es muy querido, pues es medio hijo mío, hijo putativo.
Pedro Villegas
27 de marzo de 2023
11. El primer fraude electrónico Hackers
Pedro Villegas [00:38:22] Espera a ver si Google sabe. Creo que era Prieto. El caso es que esta persona logró un fraude... Soto Prieto….1993, cayó en Alemania Roberto Soto Prieto. Fue una cosa porque el tipo usando, desde adentro, o sea “inside-job” mandando un giro, esos usos iniciales, mando una plata no sé a dónde y se la llevó, y luego se fue de Colombia por años. Y por ahí lo cogieron muchos años después. Entonces, todo esto para decirte que cuando ya empiezas a meter dinero de por medio, empieza a ser más necesaria la seguridad. Yo te diría que tal vez en la Universidad de los Andesfue mi primera aproximación, hablando de criptografía, allá fue donde conocí a Milton Quiroga, y la importancia de que los mensajes estuvieran cifrados. Porque hay como un cifrado natural tecnológico, eso no lo escucha nadie, pero luego empezaban a aparecer cosas. Esto que te digo, medio anecdótico, de los tic tic y los teléfonos, pues luego el que sabe cómo es el protocolo del módem lo puede hackear. En TCP/IP me puedo meter y escuchar. Entonces yo creo que al comienzo tampoco había tanta intención maligna y por eso los primeros hackers era como por la medalla, ¿Te acuerdas? “Yo logré hacer esto.” O sea, era como “le puse la página y le cambié el logo a una gran compañía". Hoy no, hoy son multinacionales, hasta el gobierno, ustedes saben que el gobierno de Corea una parte de sus ingresos es por hackers profesionales, es otra cosa. Pero te diría que fue probablemente en la Universidad de los Andes con criptografía, con todos los temas de encriptación, porque hay que encriptar porque yo quiero que este mensaje llegue al otro lado y nadie le escuche, que eso vino mucho del mundo militar.
¿Si? era para otras cosas, entonces yo quiero que la transacción sea segura. Y los passwords y la seguridad de los passwords, cuando inventamos la banca móvil, la banca de internet, pero casi que comparado con lo de hoy era medio inocente, si quieres, era como pasitos pero hoy estamos expuestos a una cosa demasiado sofisticada. Pero te diría que por ahí fue como el primer contacto. Es decir, cuando las comunicaciones eran para propósitos más académicos, si quieres, o exploratorios, pero cuando empiezas a mover negocios empiezan también a llegar los interesados en los fraudes y toca poner la seguridad.
Pedro Villegas
27 de marzo de 2023
10. Ciberseguridad
Jaime Humberto Borja [00:35:05] ¿Cómo fue tu entrada a la ciberseguridad? ¿Cómo llegaste a conocer, a absorber información alrededor de esta temática?
Pedro Villegas [00:35:23] Qué pregunta tan interesante. Pero mira. Mi primera experiencia con eso fue el lado de los hackers, yo creo. Porque en la Pontificia Bolivariana había muchos estudiantes costeños. Pues, no muchos, pero algunos, lo mismo que en la Universidad de los Andes. Entonces ellos venían y una llamada a larga distancia costaba, o sea, no era trivial, o ibas a Telecom, que era un sitio, o ellos se quedaban en una residencia o un lugar que contrataban, pero digamos que llamar todos los días a la casa, no estaba en el presupuesto de un estudiante. O sea, eso no era una posibilidad. Entonces ellos encontraron un sistemita de hackear los teléfonos públicos. Pero el teléfono era de disco, ¿Se acuerdan? Marcó el uno, dos, y eso realmente lo que tiene detrás es un swich. Si es el 1 hace tic, si es dos hace tic tic, si es el ocho, tic, tic, tic, tic, tic. Entonces ellos descolgaban el teléfono. Cuando utilizaba la moneda eso activa el disco, pero ellos encontraron que descolgaban el teléfono y solo con eso, colgando, marcaban. Entonces 236 era tic tic, dos, esperaban un poquito, tic tic tic, tres, y luego seis. Eso es súper sofisticado, pero es que nosotros éramos ingenieros electrónicos y sabíamos cómo funcionaba la central telefónica, y estos iban y hackeaban los teléfonos DPM así.
Eso de hecho terminó siendo una fuente de pérdidas para las empresas. Luego las empresas cambiaron los discos por los tornos, para hacer lo que tenemos ahora, pip, pip, pip. Entonces empezaron a construir aparatitos que hacían pip, pip y lo ponían en la bocina. Sí, pero eso hacían ellos. Yo creo que ese fue el primer fraude que hubo. Sí, como de ese tipo de cosas que son recursos. Tal vez en su momento no eran la preocupación, pero yo creo que es lo que pasa normalmente. En este mundo, aprovecho para contarte, hay un dilema entre funcionalidad y seguridad siempre. Si lo hago seguro no lo usa nadie. Y ahora es más evidente. Ustedes ven, las compañías que son más exitosas logran una poca fricción, pero suficientemente seguro. Ese es el reto. Entonces ahí yo creo que estamos privilegiando la funcionalidad. Pues si no me conecto con nadie, ¿Qué puede pasar? Pero en la medida en que aumenta la adopción, hay más gente, pues también llegan los defraudadores. En los datafonos esto pasaba. Esto que te digo que era solo usar unos minutos, luego empezó a pasar con los temas de internet.
No sé si te acuerdas un fraude, eso vale la pena que lo consulten un poquito, pero un fraude de los primeros que se hizo en Colombia, un tipo del Banco de la República que terminó en Suiza, en Alemania y luego lo capturaron, ¿Se acuerdan? Nieto, Prieto, algo, fue usando sistemas electrónicos. ¿No lo tiene en el radar?
Pedro Villegas
27 de marzo de 2023
6. Los dominios y las transacciones
Pedro Villegas [00:21:09] Pues me acuerdo también de la conexión internacional entre ustedes, con la Universidad de los Andes, con algo más. No era trivial. Y estaba la discusión del NAP de las Américas, porque cómo Colombia se conecta allá. El ancho de banda no tenía tanta capacidad. Y luego la discusión de las direcciones IP y los dominios, y conseguir un dominio. No sé quién manejaba eso inicialmente, pero puede ser interesante porque esto que les digo de abajo en las conexiones iba acompañado arriba por los nombres. También me acuerdo del momento de registrar el nombre y las cosas que ocurrían. Entonces cómo íbamos un poco atrás, cualquier marca, cualquier compañía, por decir algo, bancodeoccidente.com, cuando íbamos a registrarlo alguien ya lo pudo haber registrado, entonces, medio lo secuestraba y tocaba pagarle para que te cediera el dominio. Luego con la Superintendencia de Industria y Comercio hubo algo que ayudó, es que si tu nombre y razón social es este, tienes como derecho de dominio. Pero ese tema de los dominios tuvo su “jaleito”, en todo el mundo. Pues, o sea, hay historias, yo registro su dominio y luego se lo vendo. Eso fue un tema interesante. Vale la pena si consiguen con quien manejaba el tema de los dominios, pero esa fue una dinámica interesante en su momento.
Jaime Humberto Borja [00:22:28] ¿Qué tipo de transacciones se comenzó a manejar fundamentalmente en los dispositivos?
Pedro Villegas [00:23:00] Sobre todo financieras, muy cortitas. Paso una tarjeta que lleva mis datos, mi nombre y algunos temas de seguridad y el monto. Si hay una mensajería corta. Y consulta de saldos. Yo te diría eso, en esa época eso. “¿Tiene saldo? Sí tiene. ¿Autorizado? Autorizado”. Lo mismo en los cajeros. Inicialmente porque luego se fue sofisticando y aumentando servicios, pero eran así de básicos, transacciones muy pequeñas realmente.
Jorge Giraldo
6 de marzo de 2023
14. Historia de la Ciberseguridad
Jaime Humberto Borja [00:54:39] ¿Cuáles son para ti los hitos entre los 90 y comienzos de los 2000, para pensar cómo es el proceso de la aparición y formación de la ciberseguridad?
Jorge Giraldo [00:55:07] Bueno, pues el internet es el primer hito porque inicia en el 94. En el 95 yo creo que es el primer ataque que recibe alguna empresa aquí en Colombia, que fue el que recibí. En ese año me mandaron a estudiar eso en la Universidad de los Andes. En ese tiempo poco mandaban a alguien afuera a pegarse una conferencia. A mí me mandaron a una conferencia. Vine aquí a enseñar todos esos temas de ciberseguridad. Yo creo que las primeras eran de ataques y de aprendizaje. Yo estuve muy metido en el sector financiero, entonces te puedo decir que la entrada, por ejemplo, de PSE fue un hito importante porque se unieron todos los sistemas bancarios. Antes cada banco tenía su forma de hacer comercio en línea, se unieron crearon ACH hace mucho tiempo para otras cosas, pero en ACH se crea todo el tema de comercio electrónico. Yo creo que ese es uno de los puntos que armándolo de esa forma con lo que hoy en día conocemos como PSE se hizo un impulso muy grande. Antes era cada banco con cada comercio, eran conexiones independientes. Lo que se armó es que cada comercio con ACH, y PSE con cada banco el comercio electrónico comenzó alrededor del 2002, 2003. En 2002, debió haber sido la explosión del comercio electrónicoy a eso el tema de ciberseguridad ayudó mucho.
En el año 2005 empezaron los primeros ataques de phishing, que impactó mucho. Hace cinco años comenzaron los ataques de ransomware, es lo que hoy en día estamos sufriendo. Antes, ataques a las páginas web hubo por todos lados. Bueno, digamos que el tema de los primeros grandes ataques fue el “graffiti” a las páginas. Entonces están las páginas y los grafitean una calavera, cualquier cosa. Eso debe haber sido en el año 98. Empezamos a ver esos ataques, que las páginas de aquí no estaban muy bien aseguradas y entraban y les grafiteban las páginas. Se armaban unas listas completas de cuáles son las páginas que se han hackeado aquí en Colombia. Luego está el tema de PSE, luego lo de phishing, luego los troyanos en el año 2010, en el 2015, por ahí ransomware. Digamos que es como la historia de los de los grandes ataques.
Ha habido ataques masivos. Los virus masivos como I Love You, WannaCry y algunos otros ataques masivos en diferentes épocas que también nos han afectado en Colombia. A partir de cierto momento, ya lo que pasa aquí es porque ya ocurre en todas partes. Entonces debemos ir al mismo ritmo que al nivel mundial. Una de las ventajas en ciberseguridad es que nosotros teníamos como unos tres años de atraso antes de que un ataque, cuando ocurría un ataque a nivel internacional, aquí se demoraba como tres años. Hoy en día esa diferencia ya no la tenemos. Hoy en día ocurre un ataque a nivel internacional y aquí, al día siguiente, ya está ocurriendo. El nivel de experticia que necesitamos aquí en ciberseguridad es alto. El problema es [la fuga de talento], a todo el mundo lo están llevando a trabajar a todas partes.
Jorge Giraldo
6 de marzo de 2023
12. Percepción del gobierno e internet
Laura Manrique [00:44:58] ¿Cómo percibes el papel del gobierno en ese inicio? Y ¿cómo fue cambiando la regulación y las entidades gubernamentales en este en este proceso de la llegada de internet?
Jorge Giraldo [00:45:17] Creo que nunca ha sido fácil. Acordémonos que en ese tiempo no había sino una empresa de telecomunicaciones por ley que era Telecom en los años 90 y pico. Como no había competencia no era un tema muy relevante. Yo creo que internet fue uno de esos factores que obligó a que empezaran a abrirse un poco los operadores. Yo creo que ya en el año 94, más o menos, se abrieron otras empresas de telecomunicaciones. Creo que el sector privado con la competencia es un factor que ha hecho que se apalanque el desarrollo.
Me acuerdo que sí habían muchos inconvenientes en la Universidad de los Andes, aunque yo no estuve como les dije, para que Telecom asignara los recursos para esto. Le tocó incluso ya a la misma la Universidad de los Andes apropiar recursos para poder tener esas conexiones. Me acuerdo que Bitnet en ese momento, esa conexión con Colombia se iba a acabar y tocaba de alguna forma sacar recursos y la Universidad de los Andes precisamente estaba buscando recursos de Telecom. No fue posible, entonces por eso fue la unión de las universidades para poder trabajar eso. La verdad fue muy difícil. Después de que la Universidad de los Andes demostró que sí se podía y que sí era un tema que iba a ser importante para el país y para para todo el mundo, ahí ya empezaron más seguidores, pero los pioneros fueron las universidades.
El Gobierno fue más bien seguidor. Después de la apertura de las telecomunicaciones en los años 90, no fue tanto el Gobierno, sino más bien las empresas privadas que manejan los temas de telecomunicaciones, los que los que han impulsado algo. AT&T, por ejemplo, que llegó al país, que hoy en día es lo que es Claro, Telecom que era Movistar en su momento, Telefónica España que les cambió un poco, pero ya mucho tiempo después, realmente ha sido el sector privado. El sector Gobierno, yo en particular he tenido muchos inconvenientes con ellos. Por ejemplo, armar el NAP Colombia fue muy difícil hasta que no se unieron los Prestadores del servicio de internet (ISP). El NAP Colombia es la unión de los ISP. Antes para comunicarse cuando nacimos y yo quería comunicarme con el vecino que tenía IMPSAT y yo tenía Entelco o MultiNet, esa comunicación iba hasta Estados Unidos y volvía. Entonces se debía armar una red interna entre los Prestadores del servicio de internet (ISP) colombianos para no tener que gastar ese ancho de banda internacional. Para eso es lo que se llamó el NAP Colombia. También fue con recursos propios. Me acuerdo haber ido con el presidente de Cisco a pedirle que nos regalara un router para armar ese gran centro, cuando yo trabajaba en Entelco, pidiendo regalado al sector privado algo para hacer esas conexiones con el Gobierno nunca fue posible.
En el tema, por ejemplo, de ciberseguridad también tuve muchos inconvenientes. Fuimos para que hiciera una regulación poder bloquear desde los Prestadores del servicio de internet (ISP) nacionales esas esas páginas, phishing y cosas de estilo y fue imposible. Nos pusimos de acuerdo en la CCIT que eran la agremiación de los ISP y logramos hacer algunas cosas. Digamos que ha sido muy el sector privado el que ha logrado impulsar esto, ha sido muy difícil realmente con el Gobierno.
Jorge Giraldo
6 de marzo de 2023
10. Adicción temprana a internet
Jorge Giraldo [00:31:58] Me acuerdo el tema social, el tema de humanidades. Por ejemplo, me acuerdo en el año 96 le propuse al área de Psicología que se estudiara el tema de la adicción de internet. Estoy hablando que en el 96 ya la adicción era impresionante. En eso no me siguieron [en el área de psicología] porque no sabían mucho qué era el internet. Pero yo siendo profesor y empleado, veía chinos hasta las 3-4 de la mañana conectados, y se la pasaban viendo pendejadas en internet … a veces pues uno lo primero que uno hace es… ¡empezar a ver pendejadas!. Era una adicción. Yo vi mucha gente adicta a internet. Nosotros en la Universidad de los Andes y en ese tiempo, creo que hubo una explosión [de contratación] en el Centro de Cómputo éramos unas 10 o 12 personas para poder desarrollar todo lo que tocaba, o sea, para conectarse al mundo. Internet nos abrió el mundo gigante. Nos tocó trabajar en muchas cosas al tiempo, y lo que hicimos fue apoyarnos en los estudiantes. Yo inicié como un estudiante con Mauricio Pinilla. Luego, yo contraté a diez estudiantes. Tenía un grupo de diez estudiantes ayudándome a configurar, por ejemplo, en ese tiempo una de las máquinas importantes o de los servidores importantes era Sun Microsystems. Nos volvimos un sitio de Sun a nivel mundial en América Latina. Entonces me tocaba armar toda una biblioteca de cosas, gigante acá. Contraté uno o dos estudiantes para esto. ¿Cómo armamos la línea de atención a los estudiantes? Entonces [lanzamos] la línea de la 3333, si uno tenía un problema con cualquier cosa, llama al 3333. Esa es la línea de ese numerito me lo inventé yo. Contratamos a un estudiante y él me ayudaba entonces a armar la línea de soporte a los estudiantes.
Me acuerdo en el tema de ciberseguridad fue un tema muy complejo, porque se armaron unos grupos de la Universidad de los Andesde hackers. Me acuerdo de un grupo muy famoso que se llamó Los 69RS y ese grupo empezaba a jugar ahí, con las máquinas nuestras, atacarse entre unos y otros, a “mamar gallo”. Se tiraban las máquinas. La estrategia que hicimos con Hugo Sin fue reconocer que lo que teníamos ahí, en vez de unos hackers era mano de obra. Los llamamos y empezaron a trabajar con nosotros. Y de ese grupo, hoy en día, por ejemplo, Jeimy Cano trabajó mucho con la universidad y fue profesor también. Es también un gurú de seguridad. Nació de ese grupo, entonces fue uno de los que reconvertimos del lado oscuro, al lado bueno. Fueron y trabajaron con nosotros en el lado bueno. De todos esos pues tuvimos nuestro “Darth Vader“ y, por ejemplo, me acuerdo, tuvimos que sacar a un par de estudiantes de la universidad porque hicieron trampa mandando correos falsos que decían yo hice este trabajo con este compañero y mentiras, no lo habían hecho. Con investigación de seguridad encontramos que algunos hacían eso, e inclusive, alguna vez me llamaron del FBI en Estados Unidos porque había un pelado de la Universidad de los Andes que estaba tratando de meterse allá al FBI en Estados Unidos. Como éramos el dominio punto Co (.co), los que mandábamos en Colombia y yo era el responsable del dominio punto Co (.co), me llamaban del FBI: “Oiga, venga, hay un señor”. Me tocó llamar al padre Giraldo allá. Oiga, hay un estudiante de la Universidad Javeriana (Bogotá) que está haciendo hackeos. Muchos estudiantes involucrados con esto. Creo que ahí fue el nacimiento de todo un mundo de conocimiento impresionante. La explosión de eso fue muy chévere. Ver todo ese todo ese mundo.
Jorge Giraldo
6 de marzo de 2023
7. ISP y nuevos vínculos laborales
Claudia Sastre fue una de las que más ayudó en esos servicios web, ya empezábamos a ofrecer servicios. Luego yo creo que todos, casi que todos los que estábamos allá en la universidad y que trabajamos en el mundo de internet ya años posteriores, años 96 por ahí 97, todo este grupo de personas que sabíamos mucho nos empezaron a contratar empresas, los Prestadores del servicio de internet (ISP) en Colombia. Ahí empezaron a nacer los Prestadores del servicio de internet (ISP) y se empezó a masificar esto. Digamos que antes era muy de las universidades, muy algunas empresas importantes, no sé, Ecopetrol tenía su conexión a internet, pero eran muy poquitas empresas. Cuando empiezan a nacer los Prestadores del servicio de internet (ISP) en Colombia, que yo creo que en más o menos año 96, empiezan a contratar ¿A quiénes? Pues a los que saben de esto, entonces yo terminé trabajando en Entelco. Me acuerdo que era del grupo Empresas Públicas De Medellín, (EPM) que armaron la red de Multi Punto Net en ese en ese tiempo, hace mucho tiempo. Yo empecé a trabajar allá, había otros compañeros míos y todos nos fuimos a empresas competidoras. Claudia Sastre terminó trabajando en El Tiempo armando la página de internet de El Tiempo. Ella fue de las primeras que puso El Tiempo que es hoy en día, como la página más vista en Colombia y fue de las primeras que trabajó allá como como webmaster. Todos nos fuimos a crear los Prestadores del servicio de internet (ISP) y a crear ya los servicios y masificar los servicios.
Bueno, y después de eso, si viene toda la explosión de todas las cosas de internet, los buscadores que primero era Yahoo, luego Google. Bueno, ya nos alineamos al mundo y son las historias de a nivel mundial. Digamos que desde antes que yo estuviera trabajando no conozco esa historia del nacimiento per sé de internet. Me acuerdo Hugo Sin allá agarrado con los de la EAFIT no, los de la Universidad del Valle y los de la Universidad Nacional.
Milton Quiroga
18 de agosto de 2023
14. Seguridad informática
Milton Quiroga [00:52:09] en la Universidad de los Andes yo cree la especialización en seguridad de la información eso se convirtió en maestría y pues ahora mis destrezas son todos en el tema de criptografía, infosec, seguridad de la información. Entonces, si por alguna razón quisieras tener como la visión desde el punto de vista de seguridad de la información, como los primeros fraudes que sucedieron, de por qué sucedieron todo eso. Tengo información de primera mano que te podría colaborar.
Laura Manrique [00:52:40] ¿Estamos hablando de más o menos qué fechas?
Milton Quiroga [00:52:45] De los primeros fraudes, digamos económicos, porque antes, como te decía, cambiar la abejita Conavi por la casita roja de Davivienda eran medio travesuras, pero los primeros fraudes. Yo creo que el primer fraude sí importante fue el de Valledupar de AV Villas en el 2007. Siendo completamente estrictos, pues lo de Roberto Soto Prieto con los 13 millones y medio de dólares fue por un medio telemático. Pero yo creo que tal vez el fraude de AV Villas en el Festival Vallenato, lo que consiguió es que los bancos se dieron cuenta. Oiga, mire, estamos sacándole mucho provecho a esta tecnología, pero esto tiene sus consecuencias. Lo que se dice es que una empresa en promedio dedica el 10% de su presupuesto a temas de IT y de ese 10% el 24% va a seguridad de la información. Lo que te quiero hacer notar es que es un fenómeno bastante, bastante complejo.
Laura Manrique [00:55:55] Quería hacerle una última pregunta con respecto al tema de las de la educación y el papel que tuvo la Universidad en la formación de sus primeros ingenieros. Qué tipo de materia, de tema, de habilidades se daban al principio y se consideraban importantísimas para dotar a los primeros ingenieros. Y esto de pronto contrasta con el papel del ITEC y la formación ya de número de ingenieros profesionalizados, sino a nivel técnico.
#
Milton Quiroga
18 de agosto de 2023
11. Sector bancario y diseño de redes
Milton Quiroga [00:36:46] Bueno, entonces todas estas empresas del Grupo Aval lo que se les ocurrió fue conectarlas utilizando una tecnología de manera tal que reduzcamos costos de comunicaciones. El que tenía experiencia conectando tecnologías disímiles era yo. Quien llevó ese proyecto hasta donde yo recuerdo fue Pedro Villegas. Eso fue un mérito muy grande. Porque él como director de tecnología estaba asumiendo una serie de riesgos muy grandes. Pero hoy el Grupo Aval funciona todo conectado, y básicamente se comunican. Es más, la empresa que hace la interconexión de todos con todos se llama ATH. Se creó precisamente para hacer toda esa interconexión de hardware, software, comunicaciones, etcétera. Me dediqué a diseñar redes de computadores muy sofisticadas. En algún momento diseñé la del edificio inteligente de Empresas Públicas de Medellín, (EPM) y así diferentes redes de diferentes entidades. Pero por esas cosas de la vida terminé en temas de seguridad de la información. Porque cuando se interconectan todos con todos, pues existe la posibilidad que haya alguien que se que se comporte mal. Por esa que se comporta mal, pues termina haciendo unos fraudes gigantescos.
Hubo un caso muy famoso, tendría que buscar la fecha. El director de tecnología de Granahorrar era un señor venezolano, que básicamente programó los cajeros automáticos para que el que le pidiera plata el cajero automático le entregaba plata y se voló para Caracas. Entonces, viernes, sábado, domingo y lunes, esos cajeros de Granahorrar estuvieron despachando plata al que le pidiera no verificaba saldo, no verificaba nada. Simplemente se ponía la tarjeta y él despachaba lo que se pidiera. Ese fue uno de los fraudes que empezó a suceder gracias a este fenómeno de tecnología abierta. Hubo otro caso bastante conocido en el 2007. En Valledupar, en pleno festival vallenato. Como les parece que había unos cajeros automáticos, uno de ellos de AV VIllas y misteriosamente todos los otros cajeros automáticos se dañaron, solamente quedaba funcionando el de AV VIllas y el que le pidiera plata al cajero automático entregaba plata. Lo que les quiero hacer notar es que hubo un tema de fraude creciente en internet. Específicamente de las empresas que habían adoptado las tecnologías internet en Colombia.
Había cosas pintorescas. Por ejemplo, una vez a Conavi le cambiaron la abejita por la casita roja de Davivienda. Eso no pasó de risas, pero luego empezaron a ver una serie de fraudes supremamente grandes. Pero el caso es que por estos temas de seguridad me tocó irme a estudiar a Estados Unidosy aproveché para estudiar criptografía. Luego volví de Estados Unidos y entonces empecé a mover el tema de criptografía que es la parte matemática de la seguridad de la información, lo que permite tener comunicaciones seguras. A eso me dedico. Tenemos una empresa que fabrica software de criptografía y básicamente pues lo que hacemos es vender criptografía a varias empresas, incluso fuera de Colombia. Ya estamos vendiendo más fuera de Colombia que en Colombia.
Milton Quiroga
18 de agosto de 2023
1. Primer robo digital
Milton Quiroga [00:00:15] Yo voy a tratar de darles todo el contexto. Precisamente hace unos días me veía con un amigo y conversamos de todos estos temas, de cómo se introdujo internet en el país y todo. Voy a tratar de darte todo el contexto que pueda. Mi énfasis en este momento es en seguridad de la información. Tú te reuniste con Pedro Villegas, que tuvo un esfuerzo heroico en su momento en Grupo Aval por tratar de cambiar la tecnología de Grupo Aval. Hizo unas cosas maravillosas y yo le ayudé en temas de interconectividad y por eso viene la relación de amistad con él. Él fue estudiante nuestro en la Universidad de los Andes, Pedro Villegas él hizo la especialización en telemática. Bueno, yo ahí les voy dando contexto, pero cuando tú me digas arranco.
Milton Quiroga [00:03:02] Lo que imagino es contarles algunos hitos para darles el contexto de todo este fenómeno del internet en Colombia. El primer contexto que yo quiero darles es un robo que sucedió, Roberto Soto Prieto se robó 13 millones y medio de dólares en 1984. Él era empleado del Banco de la República y básicamente envió un mensaje de Télex al Chase Manhattan Bank diciendo: “Giren este dinero a esta cuenta”. Roberto Soto Prieto cogió el dinero y se lo robó. Eso quedó impune durante mucho tiempo. El Chase Manhattan Bank lo reconoció por la póliza de seguros bancarios que tenía y le devolvió a Colombia el dinero. Roberto Soto Prieto siguió dando vueltas e incluso estuvo en el Museo de Arte Moderno de Bogotá y aparece como uno de sus benefactores, del MAMBO. Me imagino que de los 13 millones y medio de dólares alguna parte le dio al Museo de Arte Moderno de Bogotá. Cayó preso por narcotráfico en 1993. Una carrera delictiva lo que el tipo llevaba y pues básicamente lo agarraron en Alemania por mula. Yo creo que terminó sus días. Te lo digo porque fue fraude a través de sistemas electrónicos, que esa fue la polémica con los abogados.