De programar videojuegos con 10 años a ser el cerebro de la ciberseguridad de Google desde Málaga: así ha sido la trayectoria de Bernardo Quintero
- Bernardo Quintero comenzó creando sus propios videojuegos a los 10 años y construyó su primer repositorio de virus a los 14 tomando muestras de los ordenadores de sus amigos.
- Ahora es el cerebro detrás de los proyectos de ciberseguridad más avanzados de Google, aunque a él le gusta atribuir todo el éxito a todo su equipo de VirusTotal, la mayor base de datos de virus informáticos del mundo.
- En 2012, Quintero no solo consiguió que Google le comprara la startup, sino que logró seguir trabajando desde Málaga.
- En una entrevista con Business Insider España, el genio de la ciberseguridad comparte su trayectoria, su visión sobre el futuro de la industria y la ética que ha guiado sus decisiones hasta ahora.
- Descubre más historias en Business Insider España.
Como buen hacker hecho a sí mismo, a Bernardo Quintero no le fascina la exposición pública. Él mismo lo reconoce y se disculpa durante la presentación del nuevo proyecto de ciberseguridad de Google: "mi sitio suele estar delante de un ordenador".
Sin embargo, a medida que van pasando las diapositivas, Quintero se muestra como un excelente comunicador que no solo ama lo que hace — la ciberseguridad — sino que sabe transmitirlo y consigue arrancar carcajadas en numerosas ocasiones.
Y no solo es peloteo por parte de su público, aunque podría serlo. Al fin y al cabo, Bernardo Quintero es el cerebro de la ciberseguridad de Google y, probablemente, uno de los mayores expertos del mundo, aunque él le quite importancia asegurando que su caso es el típico de "más sabe el diablo por viejo que por diablo".
Bernardo Quintero no es viejo, pero es que su experiencia profesional comienza bastante antes de lo que suele hacer la mayoría. Antes incluso de acabar sus estudios en Ingenería Informática. La presentación en la que explica su trayectoria arranca con un Bernardo de 10 años que experimenta con un ordenador Spectrum que le regaló su padre.
A día de hoy, el mayor éxito de Quintero es la creación de VirusTotal,un repositorio que contiene los virus informáticos del mundo y al que cualquiera puede acudir para saber si un fichero está infectado. Lo primero en lo que insiste Bernardo Quintero cuando se le pregunta por el proyecto, es que es un trabajo de equipo en el que todos sus compañeros han contribuido de igual manera.
Desde sus primeros videojuegos creados por él hasta liderar los proyectos de ciberseguridad de Google, la trayectoria de este español es toda una lección en emprendimiento, negociación, y hacking ético.
En una entrevista con Business Insider España, Quintero repasa su carrera profesional y comparte sus reflexiones sobre la cultura de trabajo en Google y la ciberseguridad.
Programando videojuegos a los 10 años y creando su primer antivirus a los 14
"Empecé programando videojuegos, era mi pasión con 10 años", cuenta Quintero que aprendió, como todo buen hacker que se precie, de forma autodidacta.
Con un ordenador Spectrum — que solo consiguen identificar los "de más edad" — según bromea el ingeniero, utilizaba "la ingeniería inversa" para estudiar los juegos comerciales y crear los suyos propios.
Unos años más tarde, cuando ya tenía un PC, "metí un disco y apareció una pelotita rebotando por la pantalla", recuerda. Bernardo tuvo así su primer contacto con un virus informático al conocer "el virus Ping Pong".
Gracias a sus conocimientos de ingeniería inversa, consiguió hacer su primer antivirus con tan solo 14 años. "Cada vez que el ordenador de un amigo se infectaba, yo iba a su casa y lo estudiaba", explica.
Así, al cabo de un año, el adolescente tenía una base con 7 virus. "No había más", afirma. Actualmente, VirusTotal detecta 400.000 malware nuevos cada día.
Una al día y la entrevista que podría haberle costado una idea
Hispasec, fundada de forma oficial como Hispasec Sistemas en el 2000, fue la primera empresa en España especializada en temas de consultoría de ciberseguridad, pero comenzó como una web para alojar la primera newsletter de ciberseguridad en español, una al día.
El éxito de la newsletter hizo que El País lo entrevistara en 1999 y, cuando la periodista Mercè Molist le interrogó sobre sus planes de futuro, Quintero respondió con mucha sinceridad y, probablemente, poca prudencia.
"Le describí lo que sería VirusTotal, un servicio multi-antivirus online para analizar ficheros sospechosos. Sin embargo, no lo desarrollamos hasta 2004. En esos 5 años cualquiera podría haberse adelantado, pero nadie lo hizo", recuerda.
Seguramente, a Bernardo Quintero ya no sea tan fácil sonsacarle sus planes de futuro, pero él ha sacado otra lección de la que puede aprender todo el mundo. "Tener ideas es fácil, llevarlas a cabo es lo que marca la diferencia. Las ideas sin ejecución no sirven de nada", concluye.
Software solidario: el karma permitió construir un hospital en Sierra Leona
"Esto, cuando lo cuento en los institutos no se lo creen", dice Benardo Quintero, haciendo referencia a la forma en la que, hace unos años, la conexión a Internet se hacía a través de la red telefónica. La factura contabilizaba el tiempo de conexión.
En el 2003 apareció un malware, denominado troyanos dialers, "que modificaban el número de teléfono con el que tenías configurado el acceso a Internet", explica Quintero. "Estos troyanos cambiaban de forma oculta el número de teléfono de nuestro proveedor por uno que empezara por 906, es decir, un número de tarificación adicional. Los usuarios infectados seguían conectándose a Internet sin que notaran nada fuera de lo normal hasta que, a final de mes, les venía una abultada factura telefónica", dice.
Para luchar contra ese fraude, Quintero creó CheckDialer, "una solución genérica a cualquier intento de marcar un número de tarificación adicional" y que avisaba al usuario cuando se estaba produciendo para que bloqueara la orden.
"Mis socios de Hispasec vieron esto y pensaron 'aquí nos vamos a forrar'", cuenta Quintero. Sin embargo, el ingeniero no las tenía todas consigo porque, por aquel entonces, "Hispasec ya tenía un negocio floreciente dedicado a ofrecer servicios de auditoría y hacking ético a grandes empresas".
"Me sabía mal cobrar a los particulares que estaban sufriendo el fraude, así que al final decidí lanzarlo de formar gratuita", justifica.
Así que CheckDialer quedó a disposición de todo el mundo y Quintero empezó a recibir correos de personas agradecidas que querían pagarle por el servicio. "Yo creo en el karma", dice simplemente el ingeniero para explicar la reacción.
"De alguna manera, había que canalizar este interés en pagarme", bromea. "Contacté con un banco para un TPV virtual, con un formulario donde la gente pudiera meter su tarjeta de crédito", explica. El formulario no marcaba un precio fijo y las donaciones se destinaron a programas infantiles de ONG.
"Inventé un término nuevo que se llamó software solidario y todo lo que se recaudó se utilizó para montar un hospital de campaña en Sierra Leona", concluye.
Vino y queso gratuitos: una guía para conseguir clientes
Y el karma también le trajo uno de sus primeros clientes nacionales: el banco con el que montó la pasarela de pago para las donaciones del sofware solidario.
"Cuando estaba montando el formulario encontré una vulnerabilidad", cuenta el fundador de VirusTotal. Básicamente, el fallo permitía comprar por Internet de forma gratuita.
"Compré el mejor queso y el mejor vino y se lo mandé al responsable de tecnología del banco", explica Quintero. Unos días después recibió una llamada del directivo para agradecerle el regalo.
"No, no te preocupes que no ha sido nada", respondió Bernardo Quintero. Cuando el responsable de tecnología se enteró de que cuando el ingeniero decía "nada", quería decir, literalmente, "nada", se hizo un silencio.
Al día siguiente, Quintero estaba reunido con el equipo del banco para enseñarles cuál era la vulnerabilidad y cómo arreglarla.
"Desde entonces es uno de nuestros mayores clientes de banca en España", concluye Quintero. Así de fácil.
El nacimiento de VirusTotal
El servicio de VirusTotal.com se lanzó en el año 2004 aprovechando un congreso de seguridad en Galicia.
La base formaba parte de Hispasec y funcionaba (y funciona) de tal forma que "cualquier organismo, empresa o particular que tenga un fichero sospechoso puede enviarlo en VirusTotal", explica el fundador.
Un montón de antivirus lo analizan y ofrecen un resultado mientras que VirusTotal integra los virus encontrados en su base de datos para seguir retroalimentando el modelo.
"Las compañías antivirus recibían las nuevas muestras de malware que no detectaban a cambio de permitirnos el uso de sus escáneres en el servicio, y los usuarios subían ficheros sospechosos a cambio de recibir el reporte de múltiples escáneres antivirus", explica.
El equipo, que ahora supera los 30 miembros, estaba formado por seis ingenieros y Quintero se deshace en elogios hacia ellos.
"Julio Canto escribió la primera versión y continúa manteniendo el core de análisis antivirus. Si yo soy considerado el padre de VirusTotal por tener la idea, Julio es la madre por concebir la primera versión. Francisco Santos es nuestro sysadmin, un ingeniero muy versátil, desarrolló la primera versión web y se encargó de la base de datos del backend. Alejandro Bermúdez desarrolló y administró el cluster de análisis, incluso montó personalmente los primeros servidores de VirusTotal pieza a pieza. Continúa desarrollando el cluster de análisis, pero ahora con cientos de máquinas. Victor Manuel Álvarez, es todo un hacker del desarrollo software reconocido mundialmente por ser el creador de YARA, una herramienta utilizada en VirusTotal y que se ha convertido en sí misma en un estándar para toda la industria de la ciberseguridad con la que crear firmas de detección. Y Emiliano Martínez, el ingeniero más productivo que jamás he conocido, un hombre orquesta que hace de todo y todo bien".
Hasta que VirusTotal fuera adquirido por Google, hubo temporadas en las que sobrevivió gracias a la fe y el esfuerzo de Bernardo Quintero y sus socios.
"No busqué una forma de monetizar a VirusTotal porque no quería corromper un modelo que funcionaba perfectamente", explica. Era un modelo de retroalimentación en el que las compañías salían beneficiadas y VirusTotal obtenía más información para seguir mejorando su base.
"Era (y es) gratis para todo el mundo, para las compañías antivirus y para cualquiera que usara VirusTotal para escanear ficheros. El foco estaba en hacerlo crecer, en ofrecer la mejor experiencia posible tanto a empresas antivirus como a usuarios", añade.
"Pudimos aguantar bien durante esos primeros años, sin contar con ningún tipo de financiación externa, porque nuestra principal línea de negocio en Hispasec eran las auditorías informáticas, el hacking ético y los servicios antifraude para la banca".
El equipo confiaba en que, si conseguía "tracción y suficiente masa", el propio mercado se encargaría de hacer de VirusTotal un negocio sostenible. Y así fue.
Llamando a las puertas de Google
"En el año 2012 nos unimos a la familia de Google", cuenta Quintero. No fue algo que pillara al hacker por sorpresa, sino más bien la culminación de todos los esfuerzos de Quintero, cuyo objetivo había sido siempre que el gigante se fijara en ellos.
Para lograrlo había dado a VirusTotal la interfaz y los términos de uso y servicio del gigante y había mantenido el contacto con un miembro de Google, al que mandaba correos para mantenerlo informado, logrando alcanzar una relación de colaboración con ellos.
¿Y por qué Google? Para algunos, el que una startup que funciona bien por sí sola y ya tiene una empresa detrás que garantiza la rentabilidad del proyecto, como hacían los servicios de Hispasec para VirusTotal, la adquisición por parte de un gigante internacional podría verse como una manera de desaprovechar talento español.
"Nosotros buscamos asegurar la viabilidad del proyecto a largo plazo y continuar con nuestra visión y misión. Desde el punto de vista estratégico Google era el hogar perfecto para VirusTotal y el rol neutral que jugamos en la industria ayudando a todas las empresas de seguridad en igualdad de condiciones. Si la misión de Google es organizar la información del mundo y lograr que sea útil y accesible para todo el mundo, la de VirusTotal es organizar la información sobre malware y amenazas de seguridad para hacerla igualmente útil y accesible", explica Quintero.
Su objetivo siempre fue garantizar la mejor experiencia del servicio, y la tecnología de Google era vital para conseguirlo.
"La tecnología de Google Cloud también nos permitiría escalar el servicio en las mejores condiciones: la migración a Appengine, el uso de Storage y el resto de servicios de indexado y computación en la nube de Google fueron críticos para el crecimiento de VirusTotal", explica.
Lo que acabó por convencer al gigante para hacer una oferta fue la implicación de la base de Quintero en el caso de la empresa de seguridad informática RSA de 2011. Un ataque al sistema había conseguido robar un algoritmo que generaba contraseñas de un solo uso. Quintero alertó al FBI de que el origen estaba en China.
Para Quintero, ese fue el empujón final que les abrió las puertas de Google. Les llovieron las ofertas (incluso por parte de militares) y el ingeniero se lo comunicó al gigante, que no quiso que nadie les robara su mina de oro.
¿Silicon Valley? No, gracias. Nos gusta Málaga
Bernardo Quintero no estaba dispuesto a aceptar la entrada de VirusTotal en Google sin imponer primero algunas condiciones, y se vio con posibilidades de negociar con un objetivo: quedarse en su ciudad.
"Al margen de la calidad de vida, estábamos convencidos que en Málaga teníamos acceso al talento que necesitábamos para crecer, además de una ciudad muy bien conectada internacionalmente con atractivos también para los profesionales foráneos", dice Quintero para justificar su decisión de no mudarse a Mountain View.
Así es como VirusTotal consiguió que el cerebro de la ciberseguridad en Google se quedará en Málaga, una ciudad a la que también agradecen "el apoyo que siempre hemos tenido", y a la que esperan "devolver un poco de lo mucho que nos ha dado".
A jóvenes emprendedores que se vean un día enfrentados con la posibilidad de que un gigante les compre, Quintero les anima "negociar sin complejos, muchas veces nos ponemos limitaciones por nosotros mismos". Y añade: "mi experiencia con Google fue muy buena, fueron muy receptivos y sensibles con nuestra forma de ver el proyecto".
Quintero señala que hay "muchas cosas positivas de la cultura de trabajo" del gigante que siempre "fomenta mucho el debate, la discusión, la creatividad" y en donde "se cuida mucho al trabajador y se le ofrece una línea clara de crecimiento profesional"
"Uno de nuestros mayores descubrimientos al entrar en Google fue la política de alimentación y recreo. Los googlers disponemos de restaurantes y cafeterías totalmente gratis, así como salas de recreo. Nunca fui consciente del efecto tan positivo que tiene en el trabajo este tipo de servicios para los empleados, basado en research sobre cómo esto está directamente relacionado con mayor productividad por parte del empleado.
Por su parte, desde VirusTotal creen haber aportado una dinámica de trabajo más versátil y veloz. "En Google siempre han resaltado nuestro conocimiento del ecosistema de la ciberseguridad, el compromiso con la visión del proyecto y la familia que formamos en el equipo (en 15 años nadie ha abandonado VirusTotal)", señala Quintero.
"Trabajamos en una gran empresa como Google aplicando mentalidad y velocidad de startup", concluye.
Coronado como el rey de la ciberseguridad en Google
VirusTotal no decepcionó en Google.
"Tras cuatro años en Google dónde fuimos doblando nuestras métricas principales año tras año, nos convertimos en el primer equipo de ciberseguridad que se trasladaba a Google X para intentar lo que ellos llaman un 'moonshot'".
En dos años, el equipo resurgió de los laboratorios de Google X como Chronicle — y recientemente se ha anunciado que se ha fusionado con Google Cloud — en donde Quintero sigue siendo una parte fundamental como parte del cerebro que dirige todas las acciones de ciberseguridad del gigante de Alphabet.
La estrategia de ciberseguridad Google está basada en el zero trust, cuyo nombre está basado en la filosofía que rige el proyecto: confianza cero. Google pretende así dar solución a uno de lo que Quintero considera los grandes problemas en ciberseguridad.
"En el tema de la ciberseguridad, nos estamos tropezando siempre con la misma piedra", asegura el ingeniero. Quintero explica que el 99% de las empresas se protege con un modelo de firewall: "lo malos fuera y los buenos estamos dentro".
Este modelo permitió, según explica el experto, que el virus WannaCry infectara y se propagara por miles de ordenadores. "Gente que estaba infectada de fuera accedió a la red privada por VPN, lo que abre una puerta en el firewall", explica.
Para atajar ese problema, Quintero es uno de los impulsores de la "confianza cero" en la que se basan las iniciativas de ciberseguridad de Google. "Seguimos con esta percepción de que, en ciertos entornos, podemos relajar la seguridad", dice el ingeniero, pero si algo ha enseñado la experiencia de WannaCry es que el acceso tiene que estar igual de protegido en cualquier red.
Ahora, da igual "si es red interna o externa", asegura Quintero. "El acceso es muy gradual y confirma si eres la persona que tiene autorización para entrar y, también, desde qué dispositivo te conectas", resume el ingeniero sobre la filosofía de su empresa.
Cuando se le pregunta por su futuro, Bernardo Quintero asegura que no le gusta "hacer planes a muy largo plazo". Pero sí, "me veo en Google, trabajando en ciberseguridad y, sin lugar a dudas, desde Málaga".
Otros artículos interesantes:
Descubre más sobre Ana Zarzalejos, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.