Pasar al contenido principal

De programar videojuegos con 10 años a ser el cerebro de la ciberseguridad de Google desde Málaga: así ha sido la trayectoria de Bernardo Quintero

Bernardo Quintero es el fundador de VirusTotal y líder de la ciberseguridad de Google
Bernardo Quintero. Google
  • Bernardo Quintero comenzó creando sus propios videojuegos a los 10 años y construyó su primer repositorio de virus a los 14 tomando muestras de los ordenadores de sus amigos. 
  • Ahora es el cerebro detrás de los proyectos de ciberseguridad más avanzados de Google, aunque a él le gusta atribuir todo el éxito a todo su equipo de VirusTotal, la mayor base de datos de virus informáticos del mundo. 
  • En 2012, Quintero no solo consiguió que Google le comprara la startup, sino que logró seguir trabajando desde Málaga. 
  • En una entrevista con Business Insider España, el genio de la ciberseguridad comparte su trayectoria, su visión sobre el futuro de la industria y la ética que ha guiado sus decisiones hasta ahora. 
  • Descubre más historias en Business Insider España.

Como buen hacker hecho a sí mismo, a Bernardo Quintero no le fascina la exposición pública. Él mismo lo reconoce y se disculpa durante la presentación del nuevo proyecto de ciberseguridad de Google: "mi sitio suele estar delante de un ordenador". 

Sin embargo, a medida que van pasando las diapositivas, Quintero se muestra como un excelente comunicador que no solo ama lo que hace — la ciberseguridad — sino que sabe transmitirlo y consigue arrancar carcajadas en numerosas ocasiones. 

Y no solo es peloteo por parte de su público, aunque podría serlo. Al fin y al cabo, Bernardo Quintero es el cerebro de la ciberseguridad de Google y, probablemente, uno de los mayores expertos del mundo, aunque él le quite importancia asegurando que su caso es el típico de "más sabe el diablo por viejo que por diablo". 

Leer más: Llama al 017 si eres víctima de un ataque informático o tienes otra emergencia en internet: nuevo teléfono gratuito de la línea de ayuda en ciberseguridad

Bernardo Quintero no es viejo, pero es que su experiencia profesional comienza bastante antes de lo que suele hacer la mayoría. Antes incluso de acabar sus estudios en Ingenería Informática. La presentación en la que explica su trayectoria arranca con un Bernardo de 10 años que experimenta con un ordenador Spectrum que le regaló su padre. 

A día de hoy, el mayor éxito de Quintero es la creación de VirusTotal, un repositorio que contiene los virus informáticos del mundo y al que cualquiera puede acudir para saber si un fichero está infectado. Lo primero en lo que insiste Bernardo Quintero cuando se le pregunta por el proyecto, es que es un trabajo de equipo en el que todos sus compañeros han contribuido de igual manera. 

Desde sus primeros videojuegos creados por él hasta liderar los proyectos de ciberseguridad de Google, la trayectoria de este español es toda una lección en emprendimiento, negociación, y hacking ético

En una entrevista con Business Insider España, Quintero repasa su carrera profesional y comparte sus reflexiones sobre la cultura de trabajo en Google y la ciberseguridad.

Programando videojuegos a los 10 años y creando su primer antivirus a los 14

Virus Ping Pong
Así era el virus Ping Pong con el que se infectó el PC de Quintero. Wikimedia Commons

"Empecé programando videojuegos, era mi pasión con 10 años", cuenta Quintero que aprendió, como todo buen hacker que se precie, de forma autodidacta. 

Con un ordenador Spectrum — que solo consiguen identificar los "de más edad" — según bromea el ingeniero, utilizaba "la ingeniería inversa" para estudiar los juegos comerciales y crear los suyos propios. 

Unos años más tarde, cuando ya tenía un PC, "metí un disco y apareció una pelotita rebotando por la pantalla", recuerda. Bernardo tuvo así su primer contacto con un virus informático al conocer "el virus Ping Pong". 

Gracias a sus conocimientos de ingeniería inversa, consiguió hacer su primer antivirus con tan solo 14 años. "Cada vez que el ordenador de un amigo se infectaba, yo iba a su casa y lo estudiaba", explica. 

Así, al cabo de un año, el adolescente tenía una base con 7 virus. "No había más", afirma. Actualmente, VirusTotal detecta 400.000 malware nuevos cada día. 

Leer más: Así es como los hackers pueden robar tu contraseña o transcribir una conversación entera sin que te des cuenta a través de Google Home y Alexa

Una al día y la entrevista que podría haberle costado una idea

Hispasec, fundada de forma oficial como Hispasec Sistemas en el 2000, fue la primera empresa en España especializada en temas de consultoría de ciberseguridad, pero comenzó como una web para alojar la primera newsletter de ciberseguridad en español, una al día

El éxito de la newsletter hizo que El País lo entrevistara en 1999 y, cuando la periodista Mercè Molist le interrogó sobre sus planes de futuro, Quintero respondió con mucha sinceridad y, probablemente, poca prudencia. 

"Le describí lo que sería VirusTotal, un servicio multi-antivirus online para analizar ficheros sospechosos. Sin embargo, no lo desarrollamos hasta 2004. En esos 5 años cualquiera podría haberse adelantado, pero nadie lo hizo", recuerda. 

Seguramente, a Bernardo Quintero ya no sea tan fácil sonsacarle sus planes de futuro, pero él ha sacado otra lección de la que puede aprender todo el mundo. "Tener ideas es fácil, llevarlas a cabo es lo que marca la diferencia. Las ideas sin ejecución no sirven de nada", concluye. 

Leer más: Vender tu móvil podría ser una 'bomba de relojería' para tus datos personales: así debes protegerlos, según un experto

Software solidario: el karma permitió construir un hospital en Sierra Leona

Software solidario
Publicación de 2003 de Una al día en la que se explicaba el software solidario de Quintero. Hispasec

"Esto, cuando lo cuento en los institutos no se lo creen", dice Benardo Quintero, haciendo referencia a la forma en la que, hace unos años,  la conexión a Internet se hacía a través de la red telefónica. La factura contabilizaba el tiempo de conexión.

En el 2003 apareció un malware, denominado troyanos dialers, "que modificaban el número de teléfono con el que tenías configurado el acceso a Internet", explica Quintero. "Estos troyanos cambiaban de forma oculta el número de teléfono de nuestro proveedor por uno que empezara por 906, es decir, un número de tarificación adicional. Los usuarios infectados seguían conectándose a Internet sin que notaran nada fuera de lo normal hasta que, a final de mes, les venía una abultada factura telefónica", dice. 

Para luchar contra ese fraude, Quintero creó CheckDialer, "una solución genérica a cualquier intento de marcar un número de tarificación adicional" y que avisaba al usuario cuando se estaba produciendo para que bloqueara la orden. 

"Mis socios de Hispasec vieron esto y pensaron 'aquí nos vamos a forrar'", cuenta Quintero. Sin embargo, el ingeniero no las tenía todas consigo porque, por aquel entonces, "Hispasec ya tenía un negocio floreciente dedicado a ofrecer servicios de auditoría y hacking ético a grandes empresas". 

"Me sabía mal cobrar a los particulares que estaban sufriendo el fraude, así que al final decidí lanzarlo de formar gratuita", justifica.

Así que CheckDialer quedó a disposición de todo el mundo y Quintero empezó a recibir correos de personas agradecidas que querían pagarle por el servicio.  "Yo creo en el karma", dice simplemente el ingeniero para explicar la reacción.

"De alguna manera, había que canalizar este interés en pagarme", bromea. "Contacté con un banco para un TPV virtual, con un formulario donde la gente pudiera meter su tarjeta de crédito", explica. El formulario no marcaba un precio fijo y las donaciones se destinaron a programas infantiles de ONG. 

"Inventé un término nuevo que se llamó software solidario y todo lo que se recaudó se utilizó para montar un hospital de campaña en Sierra Leona", concluye. 

Vino y queso gratuitos: una guía para conseguir clientes

Quesos y dos copas de vino
Getty Images

Y el karma también le trajo uno de sus primeros clientes nacionales: el banco con el que montó la pasarela de pago para las donaciones del sofware solidario. 

"Cuando estaba montando el formulario encontré una vulnerabilidad", cuenta el fundador de VirusTotal. Básicamente, el fallo permitía comprar por Internet de forma gratuita. 

"Compré el mejor queso y el mejor vino y se lo mandé al responsable de tecnología del banco", explica Quintero.  Unos días después recibió una llamada del directivo para agradecerle el regalo. 

"No, no te preocupes que no ha sido nada", respondió Bernardo Quintero. Cuando el responsable de tecnología se enteró de que cuando el ingeniero decía "nada", quería decir, literalmente, "nada", se hizo un silencio. 

Al día siguiente, Quintero estaba reunido con el equipo del banco para enseñarles cuál era la vulnerabilidad y cómo arreglarla. 

"Desde entonces es uno de nuestros mayores clientes de banca en España", concluye Quintero. Así de fácil. 

Leer más: Los riesgos de los deepfakes para la democracia son evidentes, pero quien más está sufriendo el fenómeno son las mujeres que aparecen en vídeos de 'pornografía involuntaria'

 

El nacimiento de VirusTotal 

Equipo de VirusTotal
De izquierda a derecha, Julio Canto, Alejandro Bermúdez, Francisco Santos, Bernardo Quintero, Victor Manuel Álvarez y Emiliano Martínez, durante un reunión en Google Zurich (2012). Cedida

El servicio de VirusTotal.com se lanzó en el año 2004 aprovechando un congreso de seguridad en Galicia. 

La base formaba parte de Hispasec y funcionaba (y funciona) de tal forma que "cualquier organismo, empresa o particular que tenga un fichero sospechoso puede enviarlo en VirusTotal", explica el fundador. 

Un montón de antivirus lo analizan y ofrecen un resultado mientras que VirusTotal integra los virus encontrados en su base de datos para seguir retroalimentando el modelo.

"Las compañías antivirus recibían las nuevas muestras de malware que no detectaban a cambio de permitirnos el uso de sus escáneres en el servicio, y los usuarios subían ficheros sospechosos a cambio de recibir el reporte de múltiples escáneres antivirus", explica.

 El equipo, que ahora supera los 30 miembros, estaba formado por seis ingenieros y Quintero se deshace en elogios hacia ellos. 

"Julio Canto escribió la primera versión y continúa manteniendo el core de análisis antivirus. Si yo soy considerado el padre de VirusTotal por tener la idea, Julio es la madre por concebir la primera versión. Francisco Santos es nuestro sysadmin, un ingeniero muy versátil, desarrolló la primera versión web y se encargó de la base de datos del backend. Alejandro Bermúdez desarrolló y administró el cluster de análisis, incluso montó personalmente los primeros servidores de VirusTotal pieza a pieza. Continúa desarrollando el cluster de análisis, pero ahora con cientos de máquinas. Victor Manuel Álvarez, es todo un hacker del desarrollo software reconocido mundialmente por ser el creador de YARA, una herramienta utilizada en VirusTotal y que se ha convertido en sí misma en un estándar para toda la industria de la ciberseguridad con la que crear firmas de detección. Y Emiliano Martínez, el ingeniero más productivo que jamás he conocido, un hombre orquesta que hace de todo y todo bien". 

Hasta que VirusTotal fuera adquirido por Google, hubo temporadas en las que sobrevivió gracias a la fe y el esfuerzo de Bernardo Quintero y sus socios.

Leer más: Alerta de la UE sobre el 5G: las redes podrían ser más susceptibles a sufrir ciberataques respaldados por otros países

"No busqué una forma de monetizar a VirusTotal porque no quería corromper un modelo que funcionaba perfectamente", explica. Era un modelo de retroalimentación en el que las compañías salían beneficiadas y VirusTotal obtenía más información para seguir mejorando su base.

"Era (y es) gratis para todo el mundo, para las compañías antivirus y para cualquiera que usara VirusTotal para escanear ficheros. El foco estaba en hacerlo crecer, en ofrecer la mejor experiencia posible tanto a empresas antivirus como a usuarios", añade.

"Pudimos aguantar bien durante esos primeros años, sin contar con ningún tipo de financiación externa, porque nuestra principal línea de negocio en Hispasec eran las auditorías informáticas, el hacking ético y los servicios antifraude para la banca".

El equipo confiaba en que, si conseguía "tracción y suficiente masa", el propio mercado se encargaría de hacer de VirusTotal un negocio sostenible. Y así fue.  

Llamando a las puertas de Google

VirusTotal: una base que recoge todos los virus del mundo
VirusTotal

"En el año 2012 nos unimos a la familia de Google", cuenta Quintero. No fue algo que pillara al hacker por sorpresa, sino más bien la culminación de todos los esfuerzos de Quintero, cuyo objetivo había sido siempre que el gigante se fijara en ellos. 

Para lograrlo había dado a VirusTotal la interfaz y los términos de uso y servicio del gigante y había mantenido el contacto con un miembro de Google, al que mandaba correos para mantenerlo informado, logrando alcanzar una relación de colaboración con ellos. 

¿Y por qué Google? Para algunos, el que una startup que funciona bien por sí sola y ya tiene una empresa detrás que garantiza la rentabilidad del proyecto, como hacían los servicios de Hispasec para VirusTotal, la adquisición por parte de un gigante internacional podría verse como una manera de desaprovechar talento español. 

"Nosotros buscamos asegurar la viabilidad del proyecto a largo plazo y continuar con nuestra visión y misión. Desde el punto de vista estratégico Google era el hogar perfecto para VirusTotal y el rol neutral que jugamos en la industria ayudando a todas las empresas de seguridad en igualdad de condiciones. Si la misión de Google es organizar la información del mundo y lograr que sea útil y accesible para todo el mundo, la de VirusTotal es organizar la información sobre malware y amenazas de seguridad para hacerla igualmente útil y accesible", explica Quintero.

Leer más: El CNI y expertos advierten de una oleada de ataques informáticos que está afectando a las administraciones españolas: Jerez ha tenido sus sistemas bloqueados varios días

Su objetivo siempre fue garantizar la mejor experiencia del servicio, y la tecnología de Google era vital para conseguirlo.  

"La tecnología de Google Cloud también nos permitiría escalar el servicio en las mejores condiciones: la migración a Appengine, el uso de Storage y el resto de servicios de indexado y computación en la nube de Google fueron críticos para el crecimiento de VirusTotal", explica.

Lo que acabó por convencer al gigante para hacer una oferta fue la implicación de la base de Quintero en el caso de la empresa de seguridad informática RSA de 2011. Un ataque al sistema había conseguido robar un algoritmo que generaba contraseñas de un solo uso. Quintero alertó al FBI de que el origen estaba en China. 

Para Quintero, ese fue el empujón final que les abrió las puertas de Google. Les llovieron las ofertas (incluso por parte de militares) y el ingeniero se lo comunicó al gigante, que no quiso que nadie les robara su mina de oro. 

¿Silicon Valley? No, gracias. Nos gusta Málaga 

Vista de Málaga
Getty Images

Bernardo Quintero no estaba dispuesto a aceptar la entrada de VirusTotal en Google sin imponer primero algunas condiciones, y se vio con posibilidades de negociar con un objetivo: quedarse en su ciudad.

"Al margen de la calidad de vida, estábamos convencidos que en Málaga teníamos acceso al talento que necesitábamos para crecer, además de una ciudad muy bien conectada internacionalmente con atractivos también para los profesionales foráneos", dice Quintero para justificar su decisión de no mudarse a Mountain View.

Así es como VirusTotal consiguió que el cerebro de la ciberseguridad en Google se quedará en Málaga, una ciudad a la que también agradecen "el apoyo que siempre hemos tenido", y a la que esperan "devolver un poco de lo mucho que nos ha dado". 

A jóvenes emprendedores que se vean un día enfrentados con la posibilidad de que un gigante les compre, Quintero les anima "negociar sin complejos, muchas veces nos ponemos limitaciones por nosotros mismos".  Y añade: "mi experiencia con Google fue muy buena, fueron muy receptivos y sensibles con nuestra forma de ver el proyecto". 

Quintero señala que hay "muchas cosas positivas de la cultura de trabajo" del gigante que siempre "fomenta mucho el debate, la discusión, la creatividad" y en donde "se cuida mucho al trabajador y se le ofrece una línea clara de crecimiento profesional"

"Uno de nuestros mayores descubrimientos al entrar en Google fue la política de alimentación y recreo. Los googlers disponemos de restaurantes y cafeterías totalmente gratis, así como salas de recreo. Nunca fui consciente del efecto tan positivo que tiene en el trabajo este tipo de servicios para los empleados, basado en research sobre cómo esto está directamente relacionado con mayor productividad por parte del empleado.

Leer más: Bill Gates dice que la serie 'Silicon Valley' de HBO es la mejor manera para entender cómo es el verdadero Silicon Valley

Por su parte, desde VirusTotal creen haber aportado una dinámica de trabajo más versátil y veloz. "En Google siempre han resaltado nuestro conocimiento del ecosistema de la ciberseguridad, el compromiso con la visión del proyecto y la familia que formamos en el equipo (en 15 años nadie ha abandonado VirusTotal)", señala Quintero. 

"Trabajamos en una gran empresa como Google aplicando mentalidad y velocidad de startup", concluye.

Coronado como el rey de la ciberseguridad en Google

Bernardo Quintero
VirusTotal

VirusTotal no decepcionó en Google. 

"Tras cuatro años en Google dónde fuimos doblando nuestras métricas principales año tras año, nos convertimos en el primer equipo de ciberseguridad que se trasladaba a Google X para intentar lo que ellos llaman un 'moonshot'". 

En dos años, el equipo resurgió de los laboratorios de Google X como Chronicle — y recientemente se ha anunciado que se ha fusionado con Google Cloud — en donde Quintero sigue siendo una parte fundamental como parte del cerebro que dirige todas las acciones de ciberseguridad del gigante de Alphabet. 

La estrategia de ciberseguridad Google está basada en el zero trust, cuyo nombre está basado en la filosofía que rige el proyecto: confianza cero. Google pretende así dar solución a uno de lo que Quintero considera los grandes problemas en ciberseguridad. 

"En el tema de la ciberseguridad, nos estamos tropezando siempre con la misma piedra", asegura el ingeniero. Quintero explica que el 99% de las empresas se protege con un modelo de firewall: "lo malos fuera y los buenos estamos dentro". 

Este modelo permitió, según explica el experto, que el virus WannaCry infectara y se propagara por miles de ordenadores. "Gente que estaba infectada de fuera accedió a la red privada por VPN, lo que abre una puerta en el firewall", explica. 

Para atajar ese problema, Quintero es uno de los impulsores de la "confianza cero" en la que se basan las iniciativas de ciberseguridad de Google.  "Seguimos con esta percepción de que, en ciertos entornos, podemos relajar la seguridad", dice el ingeniero, pero si algo ha enseñado la experiencia de WannaCry es que el acceso tiene que estar igual de protegido en cualquier red. 

Ahora, da igual "si es red interna o externa", asegura Quintero. "El acceso es muy gradual y confirma si eres la persona que tiene autorización para entrar y, también, desde qué dispositivo te conectas", resume el ingeniero sobre la filosofía de su empresa.  

Cuando se le pregunta por su futuro, Bernardo Quintero asegura que no le gusta "hacer planes a muy largo plazo". Pero sí, "me veo en Google, trabajando en ciberseguridad y, sin lugar a dudas, desde Málaga".

Y además