Dinoflux

Jose Ramon Palanco
by Jose Ramon Palanco July 1, 2018
entrepreneurship Projects
#ioc #snort #stix #suricata #taxii #threat intelligence #tip #yara #featured
Dinoflux

Tengo un título en Ingeniería de Telecomunicaciones de la Universidad de Alcalá de Henares en Madrid. Fui el fundador de Dinoflux, un producto de ciberseguridad especializado en la generación y distribución de inteligencia de amenazas a diferentes sistemas de ciberseguridad (IDS, Firewalls, IPS, SIEM, etc.), potenciando tecnologías preexistentes para ofrecer un rango más amplio de detección de amenazas. Desde 2018 en adelante, Dinoflux se convirtió en uno de los socios del área de ciberseguridad de la empresa Telefónica.

Comienzos…

Mi Formación Académica y Trayectoria como Freelance

Estudié ingeniería de telecomunicaciones en Madrid, y mientras estudiaba en la universidad, algunos compañeros y yo comenzamos nuestros primeros pasos como emprendedores ofreciendo servicios de ciberseguridad en hacking ético, problemas de sitios web e informes de alivio de errores para múltiples clientes.

Gracias a la experiencia adquirida durante este tiempo, amplié mi visión y detecté varios vacíos en otras áreas de ciberseguridad e inteligencia de amenazas, como la forma en que los sistemas de detección y protección contra malware identificaban, clasificaban y, en consecuencia, bloqueaban información maliciosa, lo cual visualicé como una “oportunidad de negocio”.

Cómo me enfoqué en la inteligencia de amenazas

Esto me llevó a desarrollar un análisis más detallado del malware que, a través de una muestra, logró extraer toda la inteligencia contenida en él (dónde se conecta, qué funciones tiene en el sistema Windows, si crea archivos, si abre directorios y otras actividades que el malware puede realizar) con el fin de crear un perfil del malware que pudiera exportarse en diferentes formatos (STIX, snort, etc.) para ser consumido no solo por tecnologías IDS, Firewalls, IPS, SIEM, sino también por antivirus.

Cuando trabajaba como freelance en 2014, se desarrollaron diferentes tipos de tecnologías para ayudar a proteger a las empresas de ciberataques, “tecnologías como IDS, Firewalls, IPS, SIEM, entre otras…”. De todos los sistemas de ciberseguridad disponibles en ese momento, los sistemas antivirus ya tenían bases de datos lo suficientemente ricas como para proporcionar información para detectar contenido malicioso. Los sistemas de detección de malware más recientes, a diferencia de esto, no habían evolucionado mucho y carecían de una base de datos rica. Estos sistemas también tenían antiguas “listas negras” de IOC (indicadores de compromiso) que utilizaban un estándar de hash (identificación estática) con reconocimiento de similitud al 100% que limitaba las posibilidades de detectar más amenazas de malware.

Cuando finalmente se concibió Dinoflux

Durante 2014 creé un PoC con Guillermo Campillo y en 2015 diseñé y desarrollé Dinoflux con Cristian Sandoval, quien me ayudó en el pasado a desarrollar drainware.

La idea de crear Dinoflux surgió inicialmente cuando un cliente me pidió generar informes de inteligencia e identificación de malware manualmente. Consecuentemente, generé reglas de IDS en formato snort, reglas de identificación de archivos en formato YARA, y reglas genéricas en formato STIX. Me di cuenta de que esto podría ser útil para otros clientes que también querían generar inteligencia. Para ayudarme a hacer esto, desarrollé un pequeño programa básico utilizando un “sandbox” (un mecanismo de seguridad que te permite ejecutar programas y malware en un entorno controlado sin comprometer tu equipo). A través de la evolución constante de esto, de alguna manera creé Dinoflux.

Cómo Funciona

Los informes de inteligencia de Dinoflux proporcionan información detallada sobre amenazas que enriquecen las bases de datos del sistema, que a través de la “atribución de un actor” (en otras palabras, la identificación de quién está detrás de la creación de la amenaza y el análisis del comportamiento) pueden reconocer comportamientos similares en amenazas futuras.

Lo que hace Dinoflux es proporcionar a cualquier producto de ciberseguridad, por ejemplo IDS, inteligencia adicional. Los IOC de Dinoflux son más avanzados y más descriptivos, lo que le permite detectar una gama más amplia de amenazas.

Demos

Resumen de Dinoflux

Integración de Dinoflux IDS

Cuándo y cómo Dinoflux comenzó a ofrecerse como una herramienta consolidada

Como expliqué, Dinoflux ya tenía una base de datos que se actualizaba diariamente y de manera autónoma, y que podía ser consultada por los clientes en cualquier momento. Aunque algo que añade aún más valor a la forma en que el sistema Dinoflux se enriquece es que el cliente también puede contribuir a la base de datos y, si así lo desea, compartir públicamente lo que se ha reportado, permitiendo que se genere inteligencia para todos los demás clientes.

Para cuando Dinoflux ya estaba más establecido como una plataforma de ciberseguridad, su precio de suscripción ascendía a USD 80,000 por año con la opción de probar una versión gratuita antes de pagar la suscripción anual.

Incluso antes de que estuviera terminado, los servicios de Dinoflux ya podían ofrecer valor desde el primer momento, esto me motivó a empezar a ofrecerlo a diferentes clientes mediante suscripción. Toda la inteligencia generada por Dinoflux se almacena en la nube, por lo tanto, no solo es la inteligencia que el sistema de los clientes recoge, además de eso, también podían consultar la base de datos que hemos actualizado en la nube, además de los informes de inteligencia diarios que les proporcionábamos. Esto era algo que los clientes valoraban mucho.

Dinoflux como una Startup Prometedora e INCIBE

Después de ofrecer Dinoflux a varios clientes para dar un impulso a los dispositivos de detección de amenazas, decidí aventurarme en nuevos desafíos y posicionar a Dinoflux a otro nivel. Fue en ese momento cuando se me sugirió participar en el programa de startups de ciberseguridad de INCIBE “Cybersecurity Ventures” en 2017.

Incibe Ventures

INCIBE es el Instituto Nacional de Ciberseguridad de España (INCIBE) que, en colaboración con la Junta de Castilla y León, a través del Instituto para la Competitividad Empresarial de Castilla y León (ICE), y el Instituto Leonés de Desarrollo, Formación y Empleo (ILDEFE) lanzó el Programa Internacional de Aceleración de Startups de Ciberseguridad Cybersecurity Ventures. El programa tiene una duración de un año en el que los proyectos participantes deben cumplir una serie de actividades.

Proceso de Incibe Ventures

Fuente: https://www.incibe.es/ventures

Mi Experiencia en el Programa “Cybersecurity Ventures”

Cada startup tenía 2 minutos para presentar su idea y cómo iban a ejecutarla como negocio, había expertos de diferentes empresas al frente que las personas de INCIBE habían contratado, íbamos fase por fase con la valoración más alta. Eso fue muy motivador. Además de que estábamos aprendiendo porque durante el programa recibes mentores que te explican qué enfoque puedes darle a tu proyecto, te ayudan a definir el precio que es más adecuado, estrategias de marketing, cómo escalar como empresa. La parte de negocios evolucioné mucho gracias al programa de startups. Estábamos en contacto con las principales empresas del IBEX 35. Fue casi como un máster porque tuvimos cursos de diferentes áreas de la parte legal, recursos humanos, estrategia, y lo mejor de todo es que tuvimos clases magistrales en las que emprendedores exitosos venían a impartir la clase magistral.

Dinoflux y Telefónica

Durante el tiempo que Dinoflux participaba en el programa de INCIBE, mi equipo y yo tuvimos contacto con la empresa Telefónica, que había mostrado interés en Dinoflux. Aunque habíamos sido contactados por otras empresas, Telefónica era la que tenía el mayor portafolio de clientes en España, el Reino Unido, Alemania, Estados Unidos y América Latina.

Telefonica

En ese momento, Dinoflux había crecido significativamente, por lo que mantener los servidores era demasiado caro.

Habíamos empleado 15 servidores de máxima capacidad con 64 gigabytes de RAM. Eso era caro de mantener y en ese momento no teníamos clientes, el primer gran cliente que podíamos intentar conseguir era Telefónica.

Unos meses antes de concluir nuestra participación en el programa “Cybersecurity Ventures”, Telefónica reiteró su interés en Dinoflux, lo cual sería un gran alivio para mí y mis socios tener un cliente como Telefónica. Sorprendentemente, la empresa se acercó no con la intención de convertirse en cliente, sino para comprar la startup.

Unos meses después del acercamiento de Telefónica a Dinoflux, el programa terminó. De los casi 100 participantes, Dinoflux obtuvo el segundo lugar, recibiendo así un premio de 24,000 EUR. Gracias a la exitosa participación de Dinoflux en este programa, la empresa Telefónica reafirmó su interés en adquirir Dinoflux.

A pesar de los altos costos que Dinoflux me generó, la idea de vender nunca fue contemplada, pero al encontrarme en una situación económica algo complicada en la que Dinoflux se autofinanciaba, se estaba volviendo cada vez más costoso, la competencia en el mercado estaba creciendo y la cartera de clientes de Dinoflux aún no era tan grande (ya que al estar en conversaciones y negociaciones con Telefónica, entre las condiciones estaba no adquirir más clientes hasta que tuviéramos un acuerdo), la idea de vender no era tan inadmisible al final.

De haber continuado así, habría sido un “suicidio”. Gracias a la segunda posición en el programa INCIBE conseguimos algo de dinero y pudimos pagar algunas de las cosas, pero aun así todo estaba muy al límite. Se tuvo que hacer un trabajo increíble porque, si no ganábamos ninguna posición, Telefónica también perdería interés en nosotros.

Después del acercamiento de Telefónica en la primavera de 2017 y tras un año de diversas negociaciones, el acuerdo finalmente se cerró en julio de 2018 cuando Dinoflux fue adquirido para formar parte del portafolio de productos y servicios de ElevenPaths. ElevenPaths es la unidad de ciberseguridad del Grupo Telefónica que combina la innovación de startups con la experiencia de una empresa que se ha consolidado durante años.

Después de la adquisición por parte de Telefónica, Dinoflux pudo crecer mucho más como producto, pero también como empresa, ya que trabajó con mejores capacidades, lo que le permitió renovarse y adaptarse a los cambios que ocurrieron en el futuro.

Mis experiencias como emprendedor

Durante todo el tiempo que trabajé como freelancer y desde que Dinoflux estaba tomando forma hasta llegar a lo que es hoy, tuve que enfrentar muchos desafíos económicos que nunca me desanimaron ni me hicieron detenerme en mi camino como emprendedor. Al contrario, todo esto me llevó a trabajar aún más duro y a educarme en negocios para llevar mi producto al siguiente nivel.

Antes de INCIBE y durante los inicios de Dinoflux, participé en varios talleres de emprendimiento que, de alguna manera, me ayudaron a formarme y estar preparado para lo que luego experimentaría en mi año en el programa de INCIBE.

Este asunto del emprendimiento había estado llamando mi atención durante muchos años, así que viajé casi cada año a San Francisco, que es la cuna de las startups, todo está allí. Solía asistir a un evento que me ayudó mucho, la Conferencia RSA.

Participé en eventos como el Palo Alto Startup Weekend en los cuales aprendí metodologías innovadoras como Lean Startup, muy útiles para el desarrollo de un producto y que mis socios y yo aplicamos mucho durante el desarrollo de Dinoflux y que posteriormente también aplicaríamos durante el programa INCIBE. Entre otras metodologías aprendidas estaba el Business Model Canvas.

En el Canvas dibujas quiénes son los socios clave, actividades clave, propuesta de valor, relación con el cliente, segmento de clientes, recursos clave, segmento de distribución, estructura de costos y flujo de ingresos y, una vez que estos están identificados, cada cierto período de tiempo actualizas la información para obtener una idea clara de tu negocio. Para una startup que está comenzando, este tema es súper crítico. En Lean Startup, haces una suposición, por ejemplo “Creo que las empresas en España necesitan inteligencia de ciberseguridad adicional para sus productos, por lo tanto, para llegar a ellas voy a realizar estos experimentos”, así que estás creando un producto con lo que se conoce como un MVP (producto mínimo viable) que es lo mínimo, lo más barato que tienes que hacer para satisfacer esa necesidad. Estás enseñando este producto a clientes no terminados mientras te dan retroalimentación, así que si hay algo que no les gusta, lo rehaces o lo modificas. La idea es pivotar hasta que llegues a una buena idea que tus clientes validen.

Según mi experiencia, confiamos mucho en estas dos metodologías para desarrollar Dinoflux, lo que nos ahorró mucho dinero y al mismo tiempo nos benefició cuando llegamos al programa de ciberseguridad de INCIBE, ya que participamos en otros eventos y talleres para startups como Lean Startup Madrid, Philippines Startup Weekend y la mencionada RSA Conference y Palo Alto Startup Weekend. Incluso en algún momento se pensó llevar Dinoflux al programa de emprendimiento llevado a cabo por Telefónica, la misma empresa que nos adquirió años después, esto al final no fue posible porque el programa de Telefónica apoyaba el desarrollo de empresas en etapas más tempranas y Dinoflux, siendo un producto ya avanzado, ya no cumplía con los requisitos solicitados por Telefónica.

Una parte importante de mi experiencia como emprendedor fue trabajar en el lugar ideal donde podía tomar un descanso y relajarme del estrés que puede surgir al iniciar un proyecto por mi cuenta. Encontré este espacio en Filipinas, un lugar al que siempre regresaba para reiniciar y encontrar la concentración necesaria para continuar.

Fue una de las mejores cosas que pude haber hecho. Me hubiera gustado vivir toda mi vida allí, pero por razones de trabajo y porque desde 2017 fue un proceso de negociación continuo, al final tuve que regresar a España, pero entre 2015 y principios de 2017, puedo decir que fui muy feliz.

¿Qué sigue?

Trabajé de forma remota por contrato como Vicepresidente de Inteligencia de Amenazas de Telefónica. Esto se acordó bajo mis condiciones como un “contrato de adquisición” en el cual básicamente estaba obligado a comprometerme con tres años en la empresa. Aunque en ese momento me encontraba en una situación muy cómoda en términos de estabilidad, esperaba seguir haciendo lo que más me gustaba “iniciar un proyecto” en el que pudiera enfocar toda mi energía y pasión, tal como lo hice con Dinoflux.

About the Author

Jose Ramon Palanco
Jose Ramon Palanco

Jose Ramón Palanco es el CEO/CTO de Plexicus, una empresa pionera en ASPM (Gestión de la Postura de Seguridad de Aplicaciones) lanzada en 2024, que ofrece capacidades de remediación impulsadas por IA. Anteriormente, fundó Dinoflux en 2014, una startup de Inteligencia de Amenazas que fue adquirida por Telefónica, y ha estado trabajando con 11paths desde 2018. Su experiencia incluye roles en el departamento de I+D de Ericsson y Optenet (Allot). Tiene un título en Ingeniería de Telecomunicaciones de la Universidad de Alcalá de Henares y un Máster en Gobernanza de TI de la Universidad de Deusto. Como experto reconocido en ciberseguridad, ha sido ponente en varias conferencias prestigiosas, incluyendo OWASP, ROOTEDCON, ROOTCON, MALCON y FAQin. Sus contribuciones al campo de la ciberseguridad incluyen múltiples publicaciones de CVE y el desarrollo de varias herramientas de código abierto como nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS, y más.

Share