"Queremos que en España haya un evento de ciberseguridad de 30.000 personas": el pasado, presente y futuro del mayor congreso hacker del país, contado por sus organizadores

RootedCON, el evento hacker más grande de España, volverá a ser presencial en 2022 y ha anunciado un nuevo congreso en Málaga, tal y como avanzó este medio. Además de dar algunos detalles sobre cómo serán sus próximas citas, tres de sus responsables, Román Ramírez, Omar Benbouazza y Arantxa Sanz, han desvelado también cuáles son sus planes de futuro.

"Si tuviera que pedir un deseo, querría que en España hubiera un evento de ciberseguridad de 30.000 personas". "Es mi obsesión", confirma Ramírez en conversación con Business Insider España. El sector de la ciberseguridad goza de un gran momento en España. La digitalización ha consolidado su crecimiento. Pero el sector no son solo sus empresas y sus expectativas contables.

También lo es su comunidad. Y una gran parte de la comunidad de hackers españoles encuentra en la RootedCON su punto de reunión. Con esa premisa nacía el congreso en 2009, con una primera edición celebrada en 2010: ayudando a "meter a las empresas en el mundo del hacking", "acercándolas a la comunidad", algo que "hasta entonces no se había visto en España", dice Benbouazza.

Un evento para que la comunidad y la industria crezcan

"Me da igual quien lo haga, pero tiene que haberlo". Román Ramírez incide en la necesidad de que España cuente con un evento central en ciberseguridad. "Si no hay un sitio de reunión que atraiga inversores, atención internacional, un sustrato y startups que crezcan a su alrededor, nuestro país seguirá pagando nóminas de 22.000 y 23.000 euros a sus profesionales".

El énfasis de Román por las nóminas que los especialistas en seguridad informática perciben en España no es casual. Ramírez es uno de los más críticos con la "brecha" de talento que altos cargos públicos y directivos empresariales aseguran que existe en el país. Aseguran que las empresas compiten por profesionales porque todavía no existen los suficientes perfiles formados.

Los entresijos de la gran 'hacker night' española, en la que 70 ciberexpertos 'atacaron' a una gran empresa del Ibex por un botín de hasta 200.000 euros

Para Ramírez y el equipo que organiza la RootedCON anualmente esto no es así: el talento sobra en España, pero mucho decide marcharse fuera precisamente por la poca competitividad de los sueldos y de las condiciones laborales que ofrece aquí el mercado. "España tiene muchísimo talento en ciberseguridad. ¡Muchísimo! Hay mucha gente que hace las cosas muy bien".

La RootedCON responde a la necesidad de que exista un "polo" nacional en ciberseguridad lo suficientemente potente como para el sector siga creciendo. Un lugar en el que además de aprender se fomente el networking. Eso, en parte, explica la razón por la que la organización optó por no celebrar eventos digitales durante los peores meses de la pandemia.

El último evento presencial fue la Rooted de 2020, que se celebró en Madrid a escasas semanas de que se decretase el estado de alarma en toda España. Pero la cancelación de las siguientes citas, como la del congreso en Valencia o el evento de este año no han supuesto traumas económicos. "Otra cosa hubiese sido cancelar el de 2020", admite Arantxa Sanz.

Por qué no hubo una Rooted digital durante la pandemia

Hacer un evento digital nunca fue una alternativa. Román Ramírez, que reconoce ser "bastante más crudo" que sus compañeros, suelta la bomba: "Si alguien no viene presencialmente a la Rooted porque prefiere estar en un evento digital, seguramente sea un asistente que no queramos en la Rooted".

"Queremos construir comunidad, sustrato. Todo esto requiere de que las personas estén juntas haciendo cosas. Los eventos digitales, bueno, para eso me voy a ver vídeos en YouTube", apostilla.

Pero siempre salvaguardando algunas señas de identidad. Para ello, es imprescindible contar con independencia financiera. "Hemos llegado a perder dinero", reconoce Ramírez. "Eso ya no va a volver a pasar, porque soy súper maniático con el control financiero y el cash flow", sonríe. Pero Román no es, en ningún caso, una persona con aversión al riesgo.

Para entender por qué hay que remontarse una década atrás en el tiempo. 2009. Un grupo de amigos charla en un canal de IRC. "Comentábamos que echábamos de menos que en España existieran eventos técnicos grandes". Es verdad que ya existían congresos como la NoConName, pero ellos se referían a eventos "multitudinarios".

Lo aprendido en el camino

La semilla se había plantado. Un grupo de unas 15 personas se animó, aunque finalmente muchas acabaron descolgándose de la iniciativa. Sí se mantuvieron Javier Olascoaga, Román Medina-Heigl, Román Ramírez y Raúl Jover.

"Hubo muchas discusiones internas porque yo soy muy agresivo comercialmente", explica Ramírez. "Pensaba que en el evento íbamos a meter a unas 700 u 800 personas en su primera edición". Otros miembros del equipo fundador no tenían las mismas expectativas, por eso la primera edición de la RootedCON se celebró en un auditorio en Moda Shopping, un centro comercial madrileño.

El segundo cibercafé de Europa abrió en Madrid hace justo 25 años, cuando nadie sabía qué era internet: la historia de la Ciberteca, contada por sus protagonistas

Lo que ofrecía aquel auditorio era una sala panelada, "con lo que si metíamos a 100 personas no parecería que la sala se había quedado vacía". Finalmente la sala se llenó hasta completar el aforo, y hubo 200 personas en lista de espera que no pudieron conseguir entradas.

Ramírez recuerda que el primer congreso fue un éxito, a pesar de ser plenamente consciente de tantas cosas en las que fallaron y luego fueron aprendiendo. Siempre tuvieron claro que era necesario cobrar entrada. "No nos gustan los eventos gratuitos. O dependes totalmente de un patrocinador y él manda, o la calidad será regular".

"A veces pasaban cosas que no entendíamos. Pero recibimos una buena noticia: mucho de ese estrés y de esas cosas que estábamos haciendo mal no se percibían desde fuera. La gente quedó muy satisfecha". Desde entonces, la inversión de los patrocinadores nunca supera el 25% de la financiación del congreso.

Lo hacen así para preservar su independencia y garantizar que el evento que se organiza es el que realmente quieren. Si se les pregunta a Ramírez, Benbouazza o Sanz sobre qué eventos de referencia miran ahí afuera, salen algunos nombres como la DefCon de Las Vegas o la Black Hat, ambos congresos en EEUU.

Pero RootedCON quiere ir más allá. A Ramírez le gusta de la DefCon, por ejemplo, "la cultura". "Yo soy parte de esa cultura". Ramírez siempre ha hecho una encendida defensa de que hay que defender qué es un hacker y cuál es su identidad. "Pero este es un ambiente profesional, y meter humor o píldoras culturales no está reñido con hacer cosas serias con la pantalla más grande de Europa".

Desde hace años la RootedCON se celebra en los cines Kinépolis de Madrid, y sigue creciendo en público, síntoma de que esa mezcla que buscan los organizadores surte efecto. "Si tú mismo no reivindicas quién eres públicamente, acabas sometido en un rincón, a oscuras, donde vas a hablar con otra gente que como tú prefiere quedarse en silencio".

En defensa de la cultura 'hacker'

La RootedCON y sus organizadores no siempre han sido populares entre la comunidad hacker española. "Había una tendencia por la que se podía decidir quién estaba y quién no e la comunidad, algo que a mí siempre me ha soliviantado bastante. ¿Quién es nadie para decidir si puede haber gente de la Guardia Civil, de la Policía, del CNI o de un banco en la comunidad?".

Esas críticas no vinieron solo por parte de los hackers: las empresas no entendían que un congreso de ciberseguridad hablara claro y a las bravas de cómo hackear cosas. Faltaba "madurez" entre ambos sectores. Por eso la RootedCON aboga por la neutralidad ideológica. La ideología se queda "en la puerta" cuando alguien va a uno de los mayores eventos hackers del país.

RootedCON quiere ser ese evento central sin el que no se pueda entender el sector de la ciberseguridad y el hacking en España. Quiere reunir 30.000 personas y ya consiguen casi llenar los cines Kinépolis de Madrid año tras año. Pero también revelan un crecimiento cimentado sobre un trabajo constante y mucha voluntad.

Fronteras Electrónicas fue la primera asociación en defensa de los derechos digitales en España: "Se ha perdido la capacidad utópica que tuvo internet"

Por ejemplo, como cuando Omar Benbouazza explica cómo acuden al evento menores de edad y dedican unos minutos a hablar con sus madres y padres asegurándoles que cuidarán de los críos, o la anécdota que Arantxa Sanz comparte sobre el catering que pusieron en el primer evento (conchas Codan en los packs de bienvenida para evitar contratar los servicios del auditorio).

Por esa misma razón la RootedCON se extiende a más lugares. Valencia, desde 2018, y Málaga, desde diciembre de este mismo 2021. La razón no es otra que no quieren acudir a lugares en los que ya haya eventos de ciberseguridad, porque su deseo no es competir contra ningún otro foro. Y Málaga se está convirtiendo en un enclave imprescindible para la industria.

Román Ramírez, Arantxa Sanz y Omar Benbouazza confían en que la Rooted seguirá creciendo, aunque siempre con el mismo espíritu rebelde e irreverente. 

"Como cuando desplegamos una bandera pirata en el auditorio, pero luego acabamos colgándola un rato en un puente de la Castellana", sonríen.

Si tienes pistas, consejos o información sobre la industria de la ciberseguridad, puedes contactar conmigo en alberto.ruiz@axelspringer.es.