Andrés: Estoy hoy con un gran amigo, que ahora lo considero amigo, ya que hablo una o dos veces a la semana con él desde hace algunos meses. Estoy refiriéndome a Bob… pero Bob, ese no es tu nombre real, ¿cuál es tu nombre real y cómo lo pronuncias? Bob: Hola Andrés, primero, muchas gracias por invitarme a tu famoso podcast, de hecho, Bob es el nombre que utilizo internacionalmente, para mis amigos internacionales porque mi nombre real es…  el cual es difícil de entender o pronunciar si no naciste aquí; nací en Ucrania, aquí vivo, así que, mi nombre a veces las personas que han visto Harry Potter me llaman incorrectamente como Voldemort o algún otro personaje de los libros, por lo que prefiero Bob, es simple y... fácil para pronunciar. Es corto, tiene casi el mismo significado. Era mi apodo en la Universidad, entonces lo uso como mi nickname en internet. Ahora soy Bob Diachenko. Andrés: Muy bien, todavía recuerdo ese día que me buscaste para pedir ayuda. Platicamos después para tratar de entender algo que habías encontrado en Internet, una base de datos. Para mí, era muy raro que una persona desde Ucrania me estaba buscando para entender una base de datos que podría tener datos personales de mexicanos. Pero antes de eso, ¿Cómo empezaste en el medio de ciberseguridad? Bob: Es una historia muy interesante, pero haré un resumen: Trabajé en una empresa que tuvo una vulneración de datos. Realmente no una vulneración tradicional. Un investigador de ciberseguridad nos avisó que una de nuestras bases de datos estaba en internet, sin contraseña, en Mongo DB (de be) y que la información de nuestros usuarios estaba disponible: así de simple. Yo trabajaba en ese momento en el departamento de Relaciones Públicas, básicamente en la línea frontal de comunicación ante una crisis y tuve que trabajar en una estrategia de cómo comunicarles a nuestros usuarios que sus datos estaban seguros ya que nadie había consultado los datos, gracias a las bitácoras pudimos saber que nadie había tenido acceso a ellos a excepción del investigador de ciberseguridad. En ese momento, hablé con el investigador para entender los principios o cómo los datos estaban disponibles. Quedé inspirado por cómo hacía sus investigaciones y qué tan fácil era encontrar los datos. Hablé con los desarrolladores y les pregunté por qué creían que la información estaba pública y ellos sólo se rascaban la cabeza y decían que era un tema del firewall; nunca encontré una respuesta que me satisficiera, así que traté de buscar bases de datos en la misma situación. Usé Shodan, Zoomeye, buscadores similares y me sorprendí de la cantidad de bases de datos que me encontré sin protección, incluso en Google, simplemente usando la sentencia correcta de búsqueda puedes encontrar índices de SQL (ESE kU ELE)… Hace cuánto fue esto? Mi punto clave fue 2015… fue cuando tuvimos el incidente y cuando empecé a cambiar mi carrera a ciberseguridad. Tengo que decir, que mi pasado está lejos de lo técnico. Estoy más en el lado no-técnico. Originalmente estudié periodismo-  Andrés: Esto es interesante, ya que ahora eres considerado uno de los más conocidos investigadores en ciberseguridad a nivel internacional. Es muy interesante cómo llegas al tema de ciberseguridad, que obtienes conocimiento a partir de tu esfuerzo y que no vas a un salón o curso para tener acceso al conocimiento. Bob: Es correcto, esa se convirtió en mi misión. ¿Qué tan fácil es encontrar los datos?, no necesitas ser un ingeniero o hacker o tener capacidades técnicas cuando hablas de “hackear”. Solo necesitas tus manos y conocimiento básico de dónde buscar. He usado eso como mi misión para mostrarle a la gente que, si puedo encontrar sus datos, entonces cualquier persona lo puede hacer en el mundo. Es muy impresionante, porque normalmente lo que llega a los medios, ellos suponen que eres un investigador y no un periodista. Entonces, iniciaste del otro lado, confrontaste a los técnicos, a los desarrolladores y encontraste que no entendieron