En el podcast From Noise to Signal con Mehul Revankar

Lo pasé muy bien respondiendo a la entrevista de Mehul Revankar sobre Bromure, Nessus y más. Mehul fue mi colega en Tenable y hoy es co-fundador de Quantro Security.

De qué hablamos

La entrevista dura cerca de una hora. Algunos momentos destacados:

• Los primeros años de Nessus. Arrancar el proyecto en 1998, escribir un escáner paralelo que tenía que caber en 56 MB de RAM, enviar actualizaciones diarias de plugins en 2003 (CI/CD antes de que existiera el acrónimo), y por qué terminé abandonando Perl por un lenguaje hecho a medida llamado NASL.
• «La AppSec ha muerto». Cómo la infraestructura auto-reparable generada por IA está dejando obsoleta, sin hacer ruido, buena parte de la seguridad aplicativa tradicional — y por qué los fundadores profundamente técnicos tienen hoy una ventaja desleal, porque saben decirle exactamente a un agente de IA qué hacer, en vez de esperar a que lo adivine.
• Cómo nació Bromure. La versión corta incluye un honeypot financiero, muchos enlaces de estafa que no quería abrir en mi máquina real, y la constatación de que nadie ofrecía un navegador diseñado asumiendo que sería comprometido. La versión larga está en el podcast.
• Overbearer. Un proxy que enmascara los tokens portadores y las claves de API reales usados por la automatización interna, para que un runner de CI o un portátil de desarrollo comprometidos no entreguen al atacante, de inmediato, las llaves de producción.
• Financiación y panorama VC. Rondas seed de 200 M$, perder el control sobre tu propia salida, y por qué sacar dos herramientas de código abierto en dos semanas se siente mucho más sano que perseguir una valoración de unicornio.

Terminamos con un breve paseo por el «salón de la fama de las vulnerabilidades» — WannaCry, Heartbleed, Log4Shell — y lo que cada una le enseñó (o no) a la industria.