 Bienvenidos. Muchas gracias por estar aquí. Muchas gracias a la organización de la Huercan Zaragoza. Tres tis tis trigue. La, la, la, la. Me gustaría darles la gracia y esto me parece maravilloso porque además lo he visto en algunas Huercan Internacionales y esto es una maravilla tenerlo. Las traducciones para la accesibilidad y demás, ¿vale? Bien, bueno, me lo cortaron en la tarjetita, pero bueno, la tarjetita ponía fight, round one fight, ¿no? O como sobrevió un ataque malicioso. Básicamente, no sé, ¿cuánto de estas gente conoce, cuánto de ustedes conocéis este videojuego? Vale, o sea que no voy a hablar en vano, ¿no? O sea que todo soy de mi época, más o menos. ¿Cuánto de ustedes han visto una charla mía ya? Bien, hay bastante nuevo, o sea que guay, puedo repetir cosas. Bien, tenia mucha ganas de dar esta charla hacía bastantes veces que le había presentado a otras Huercans, pero nunca me la habían pillado porque al final de lo que se trata aquí es de coger y decir ese mundo oscuro y mágico de la ciberseguridad. ¿Cómo explicarlo para gente que no es ni técnica, ni están metidos en el mundo de la ciberseguridad, aunque sean técnicos, ¿de acuerdo? Entonces, siempre es un poquito complicado. Y básicamente lo que vamos a hacer aquí es yo le voy a intentar explicar el mundo de la ciberseguridad diseñando un videojuego y ese videojuego se basa en este famoso videojuego que más o menos todos conocemos. Antes que nada, por presentarme, porque no me he presentado, yo soy nuestro rangulo, tengo una certificación CISP, que es una certificación de seguridad a nivel internacional bastante alta. Aparte, trabajo como analista de seguridad en Godady y en Sukuri desde 2017, desde 2015, perdón. Y si me queréis encontrar o queréis interaccionar conmigo, me queréis añadir, queréis preguntarme cualquier cosa, queréis mandarme un tal o me queréis simplemente criticar, me tenéis en Twitter con ese sobrenombre. Todo lo que he encontrado y de ese sobrenombre, muy posiblemente en Internet, tiene que ver conmigo porque es una palabra que me inventé hace muchos años. Bien, antes de todo esto, ¿qué es la ciberseguridad? Básicamente, los que nos dedicamos a ciberseguridad no te dedicamos a proteger esto, que no es engañen, ni es proteger el servidor, ni es proteger, no, no, lo importante es esto. Nosotros somos los guardianes de la información, ¿de acuerdo? O los guardianes o los que tenemos que intentar de alguna manera que esto no acceda. La información debe estar, debe ser confidencial, debe estar íntegra y debe estar disponible para las personas que realmente deben tener acceso. A esto se le llama la triada de la información que es la CIA o en castellano CID, no? Confidencialidad, integridad y disponibilidad. Y por su contra, a la confidencialidad, la filtración, a la integridad de la alteración y a la disponibilidad, la destrucción. Básicamente, en pueblo llano, la información debe ser accesible en tiempo y forma y completa a las personas adecuadas. Dentro de este esquema, lo importante es que esta información con esta triada tiene varios accesos por la parte del hardware, la parte del software y la parte de la comunicación. Estos son, digamos, los frentes a nivel abstracto que tenemos que tener en cuenta. Aparte de ahí está la seguridad física, la seguridad de las personas, de la organización y demás. Ciberseguridad se basa en esto. Bien, muy bien, vamos a diseñar un juego. Y este juego consiste en lo siguiente. Tenemos una fortaleza. Nuestra fortaleza es nuestro sitio WordPress. Tenemos nuestro colega que defiende la fortaleza del malote. Y tenemos una barra de vida para él y para mí, o para él y para el defensor, o para ella y ella, lo que sea. Empecemos el juego. Round one. Fight. Todos lo tenemos en la cabeza. No sé cuántas veces lo habrás escuchado, pero yo por lo menos siempre que oigo esto, siempre se me oye con esa voz. Muy bien, ¿cuáles son los posibles objetivos que el malote puede querer de nuestra fortaleza? La base de usuarios, la base de datos, el contenido que hay dentro de la página, ya sea imágenes o productos que quiera vender, digitales, el uso de la infraestructura, usarla como botnet o la reputación, que parece que no, pero es muy importante. Muy bien, por otro lado, tenemos el objeto barra de la vida. Va a representar para nosotros la capacidad de protección, es mapar más probabilidad. Ojo, ¿vale?, de ganar. ¿Qué significa probabilidad? ¿No significa que, porque yo tengo una barra de vida más grande, voy a defenderme de todos los hackers o si la tengo completa, seguridad 100%. Eso no existe. Simplemente tenemos más probabilidad. Si nuestro malote viene a atacar nuestra fortaleza y tiene más barra de vida que nosotros, es más probable que no cane y consiga acceso a cualquiera de los objetivos que hay en esa fortaleza. Bueno, esto es una imagen un poco del videojuego. Básicamente, uno que viene, le pega un guantazo y le ve resta vida. Pues vamos a intentar emular eso, pero en el mundo de la ciberseuridad. Esto ya son reglas que me invento yo y que de alguna manera intento que lo tengáis en la cabeza, porque son muy importantes y la gente no las entiende. Y hasta un poco estar en la dices, entonces vamos a intentar explicarla. Cada medida que nosotros vamos a añadir de las que vemos posteriormente va a añadir puntos a nuestra barra de vida, hasta el máximo de 100%. Si no actualizas tu sitio, esto te va a afectar un 5% a tu barra de vida mensualmente. Significa que si en 10 meses no actualizas tu página, el 50% de tu barra de vida se ha disminuido. Por cada admin adicional que no es necesario, te suma un 2% al mes de bajada. Así que si tenéis un admin que no es necesario, solo dos admin, por ejemplo, y tenéis no actualizáis el sitio, en 10 meses lo tendréis un 70% menos. Cero puntos, a mi barra de vida no significa que estoy muerto. Significa que hasta un chaval que le de por mirar tu página la puedes hackear sin ningún tipo de problema. Estas son las condiciones generales del juego. Me la estoy inventando, pero evidentemente esta basada en la realidad, esta basada en mi experiencia. Los personajes, aquí tenemos siempre la discusión hacker, ciberterrorista y demás. Yo siempre intento meterlos en la cabeza y esto es algo que sí que lo digo mucho en mi charla. Un hacker es una persona curiosa, vale, que vamos allá. Significa que todos deberíamos ser hackers. Todas estas personas que están aquí fueron hackers en sus épocas. Seguro que conocéis algunos de estos, fueron gente que cogieron algo que no sabía para que se podía usar para eso, lo usaron, inventaron algo que hoy en día ha cambiado posiblemente muchas de la forma de hacer los procesos de nuestra vida. Bien, dentro de esos hackers están los hackers buenos y dentro de los hackers buenos están los que llamamos White Hat Hackers, que son esas personas que están preparadas como hackers informáticos para empresas para proteger, etcétera. Dentro de esos White Hat Hackers hay empresas que los organizan en equipos como el equipo azul, el rojo, el púrpura, que es una mezcla, etcétera. Dentro de esos hackers, los White Hat Hackers, los analistas de seguridad, como yo por ejemplo, también están en este equipo. Los soportes técnicos de los, de las empresas de hosting también se consideran dentro de los equipos de hackers buenos y también voy a considerar dentro del equipo de los hackers buenos los plugins de seguridad, ¿de acuerdo? Este es Paquito, nuestro hacker bueno, ¿vale? Cada vez que veáis este chaval es que es uno de los buenos, una analista o un plugin de seguridad o plugin. Los ahí quieren intenta imitarlos o que tiene no toda la resolución que podría tener el personaje original, sino algunas cositas, pero es algo más barato, ojito. Tenemos hackers a su rollo, que son los que llamamos Grey Hat Hackers, son esas personas que no son, no sé si juegáis, estáis al rol, pero cada vez que no son legal buenos, sino que suelen ser caóticos o suelen ser neutrales, caóticos, neutrales legales, son gente que suele utilizar metodologías no legales para hacer cosas buenas, ¿vale? Como seguro que conocéis alguno de lo que haya pasado, ¿no? Los activistas, por ejemplo, suele ser habitualmente encontrar Grey Hat Hackers en el grupo de los activistas. Tenemos a Nica, nuestros hackers freelance, siempre que veáis a esta chavala, es alguien que habéis contratado para ayudaros en algo o para hacer algo, pero que no tiene que por qué ser una persona. Bueno, también hay imitaciones, imitaciones chinas que pueden coger y decir, jaja, yo no sé si os dago este tipo de cosas o hit, ¿vale? Tenemos a los hacker malotes. Los malos de la peli, algunos de estos, pues ya seguramente se habéis jugado este juego, pues ya lo recordaréis, son los que nosotros llamamos Black Hat Hackers, ciberterroristas, criminales, los scriptkiddies también, que son los chavales estos que se pueden utilizar metodologías o frameworks que se usan para dañar o hackear sistemas y demás, logos solitarios, gente que trabaja simplemente por su cuenta o equipos organizados, como puede ser Anonymous, Anonymous Fox, Doom Station, bueno, hay varios. Vale, dentro de estos malotes voy a diferenciar tres tipos de malotes. Está la Kami, que es nuestra scriptkiddy, que tiene una barra de 30 puntos o 20 o 30 puntos, ¿vale? Siempre que veáis a esta es algo que más o menos todos con un poquito de conocimiento podemos hacer, ¿de acuerdo? Tenemos a Bruce, que es nuestro Black Hat Hacker profesional, que podemos entre 5 o 70 puntos de barra, ¿vale? Y después tenemos al boss, ¿vale? El malo jefe que tiene 100 puntos, ¿OK? O sea, protegerse de este es complejo, pero hay que jugar en igualdad de condiciones. Muy bien, ya tenemos puestos, vamos a ver los personajes, tenemos puestos de juego, tenemos la regla, ¿está aquí alguna duda? No? Lo hemos entendido todos, ¿no? Yo creo que es fácil seguirme hasta aquí. Vamos a hablar ahora de los ataques que pueden ocurrir en nuestro entorno WordPress. ¿Cómo se hackea un WordPress? Así, no es magia. Tiene que existir un agujero, encontrarlo y, o sea, cuando digo encontrarlo, digo hacer un exploit para aprovechar ese agujero o esa vulnerabilidad y después cuando inyectamos código o lo que sea, ¿no? Es importante entender esto, porque las cosas no ocurren solo porque, ah, es que tengo protección, bueno, es que existen vulnerabilidades y en WordPress en particular, mientras más plugins metemos, más equipo de desarrollo e involucrados en tu sitio, ¿vale? Con lo cual más prueba hay es de que alguien se haya equivocado, se le haya pasado algo por alto, haya un agujero de seguridad o lo que sea. Bien, este es el esquema general que le ha puesto también en alguna charla, cuando cargamos una página web, ¿de acuerdo? De manera rápida, nosotros somos esta chavala, cogemos nuestro portátil, nuestro ordenador o lo que sea y cargamos el dominio, dominio.com. Esto accede a uno TNS, lo TNS te devuelve en la dirección de sdominio.com y con esa dirección IP, yo ataco al servidor, le pregunto, oye, ¿qué quiero la página principal? El servidor dice, ok, espérate, está en la carpeta esta, vaya, IPHP, lo interpreto, eso tiene acceso a una base de datos donde saca los datos, los renderiza y te lo devuelva. Y lo que tú recibes en tu navegador es HTML, CSS, JavaScript y media, imágenes, audio, lo que sea, ¿de acuerdo? Esto es la base del diseño web o, digamos, de la navegación web. Bien, ataques, phishing y spam. Al final, de lo que se trata aquí es tanto usar phishing o spam como inyectarlo, es tanto el ataque, ¿no? Y esto puede aplicarse dentro de lo que son las categorías de reputación o porque quiero acceso a algún tipo de login de lo que sea, tarjeta de crédito, lo que sea. Una script-kid y puede hacerlo sin ningún tipo de problema. Y, claro, evidentemente, esto saca usada, digamos, la parte más débil de una cadena, que es las personas, ¿vale? Te engañan, ¿no? Bueno, esto es un ejemplo de un sitio de los que limpio yo practicando todos los días y aquí veis que en la parte de plugins nos han metido un par de plugins cuyos nombres no reconocemos y que tienen codios sospechosos dentro fácilmente. También está zoom.js, zoom la no tiene mucho que ver aquí en WordPress. Y como veis, usa la estructura de la Kismet para meter ficheros que son maliciosos, ¿vale? Esto es un ejemplo de la parte de inyección de spam, phishing y demás. Advertencia porque esto es lo que me he encontrado en el último mes. Revisad vuestra carpeta de plugins, user WordPress, y de temas. Si encontráis plugins con estos nombres, WP, lazy load y random, task controller, core stop, core engine, bpzip o un plugin que se llama plugins y en los temas, si o theme, classic o themes, ¿vale? Posiblemente las han hackeado. Esto es que me lo estoy encontrando en las últimas semanas, ¿vale? Es fresquito. Vale, otro ataque, fuerza bruta, diccionario, vaya. Esto es algo que a la gente le cuesta entender también. Si tú tienes un formulario con su área de contraseña y tienes un equipo de gente por detrás con, yo sé, un MAC de esto, te pueden estar probando cuatro millones de combinaciones de contraseñas por segundo. Si tú no tienes un sistema para detectar que de repente están probando cuatro millones de combinaciones y todas fallan, pues en algún momento te van a entrar, ¿vale? Cuando digo que pueden usarse con combinaciones informadas o no, significa que se pueden utilizar listas que se han hackeado de otros sitios, ¿vale? Porque hay otros sitios donde tú tienes un usuario de contraseña, las han hackeado, la venden en la web y después la gente es que al final tiende a reutilizar contraseñas. La gente compra por 10 pavos una lista de, no sé, 2 millones de usuarios y contraseñas y lo prueba masivamente mogollón de sitios. Siempre hay alguien que el repite, ¿vale? Porcentaje de hecho está entre 30, 35 y un 30% de esas contraseñas de usuarios caen, ¿vale? Se reutilizan. Les he puesto dos accesos o dos links ahí que son interesantes. La Wikipedia están las 10.000 más pavos más utilizadas, las pueden buscar en la Wikipedia directamente y estoy seguro que alguno de ustedes le va a sonar alguna de las que están ahí. Y Have a Been Pwned que es una web donde pueden poner vuestro correo, a ver si vuestro correo con ese cuenta de correo ha sido utilizado o ha sido ha caído en alguno de los hackeos o alguno de los liqueos que ha habido últimamente, el de Adobe, el de Dropbox, el de Blacepath, Word, alguno de ellos, ¿vale? Y también esto lo puede ser cualquier script query, es muy fácil. Ataques XSS. Esto lo vemos mucho pero igual no sabemos, entendemos muy bien. A igual si se los enseño así lo pueden entender más fácil. ¿Alguien le ha pasado esto? ¿O ha visitado una página y de repente se ha redireccionado a esto? ¿O algo similar? ¿Has ganado un Apple no sé qué o un iPhone o lo que sea de pincha aquí o si respondes a esto ganas un iPhone no sé qué, ¿vale? Esto es un ataque XSS, que es un ataque de redirección. Se inyectan el código, entonces cuando la gente te visita, pues según condiciones o no, se redirecciona a otra para obtener datos, para hackear tu sitio, etcétera. Este también seguramente alguno lo habrá visto, entiendo. Que visita con una página y de repente te sale un robotito, dame acceso, sí, permíteme entrar en, que esta extensión entre en tu navegador, ¿vale? Nuevas vulnerabilidades, descubrir nuevas vulnerabilidades, es decir, tu sitio web por la razón que sea, viene un voz y dice, bueno, voy a ver y te hace, te pasa un montón de scripts automatizados para encontrar información por la que hackearte, ¿vale? Esto necesita un nivel de alguien o de un equipo y está interesado específicamente en tu sitio, ¿vale? Man in the middle, que este es otro ataque bastante clásico que la gente no entiende muy bien. Voy a intentar explicar. Estamos aquí, este usuario quiere transmitir algo a la aplicación web. ¿Qué pasa si yo no lo estoy transmitiendo a la aplicación web si no estoy pasando a través de un sistema donde hay un señor escuchando lo que pasa? Por eso se llama man in the middle, ¿vale? Paso también a los ataques de DNS spoofing. DNS spoofing significa yo quiero ir a tal web y le pregunto al DNS cuál es la IP de ese dominio. Si mi DNS ha sido hackeado, voy a tener una IP que no es la de mi web sino es la de otra web diferente desde la que yo puedo obtener información, ¿de acuerdo? Ataque 2, cuando normalmente te interesa deshabitar un servicio, ¿vale? Esto no sé si lo habéis escuchado, los ataques 2 y no, más o menos. Yo siempre pongo este ejemplo en particular de 2016, que fue un ataque que tumbó, pues, a Netflix o tumbó muchísimos servicios y además tiene la gracia de que fue el primer ataque de la historia provocado por infraestructura IoT, es decir, elemento de internet de las cosas. Eran cámaras de seguridad en particular. Para los que no entiendan ese gráfico, siempre les pongo este GIF que es bastante explicativo, ¿no? Es decir, si nuestro servidor es a red, pues, un ataque 2 es eso, ¿vale? En final se ve sobrecargado por la cantidad de petición. SQL Injection es decir, teme todo algo en la base de datos directamente, ¿de acuerdo? Esto también un profesional lo puede hacer sin ningún problema. ransomware, que lo oímos, lo oímos mucho recientemente, que es un secuestro de ficheros y datos. Lo puede hacer también un profesional. Krypton Mining, que hablábamos antes, no sé si Juanca está por ahí, pero Juanca me hablaba sobre el tema de minado de moneda. Esto no se está viendo tanto ahora. Se vio más hace un par de años que básicamente utilizaban tu página web, inyectaban un código de manera que cada persona que visitaba tu página estaba minando moneda para alguien. Por eso se notaba mucho porque visitabas una página y de repente el procesador se ponía a mil, el ventilador se ponía a mil, el procesador iba lento y tú dices, pero si estoy visitando una página, ¿por qué? El uso de recurso, ¿vale? Bot node es decir, cojo tu sitio y lo convierto en una especie de zombi o nodo que yo puedo utilizar para atacar después más adelante, como esto. Tenemos un botmaster que utiliza esas páginas zombis que no se enteran que están hackeadas para hacer un ataque 2 a una víctima, para inyectar spam en otra, para un trollano, para lo que sea, pero al final nunca llegas al botmaster porque siempre te quedas en la capa de las páginas o de los sitios Wordpress que has utilizado para atacar otro, lo has utilizado de plataforma. Y la última que, aunque no es un ataque particularmente, sí que es lo que se llama un paso lateral que se utiliza en seguridad y que es importante, me gustaría nombrarlo porque nunca lo nombro y la gente muchas veces me lo saca a colación. Básicamente tú tienes cinco sitios en tu cuenta, ¿vale? De si panel, de play, con un servidor tuyo propio, te hackean uno y a partir de ese que te han hackeado hackea el resto, ¿vale? Eso es un cross site contamination. ¿Cuál es la curiosidad de este ataque? Que es que no te lo va a detectar ni Dios, ¿vale? Porque esté de dentro, es como el servidor y como si el servidor hiciera una serie de peticiones, entonces ningún WAF ni nada te van a detectar esto. Ahora hablaré un poco de las defensas que se pueden hacer contra estos ataques. ¿Hasta aquí los ataques? ¿Claro? ¿Alguna duda? Vale. Os pongo esto porque aunque yo he puesto ahí sus nombres, más o menos he seleccionado algunos y tal, según la WAF, que es la organización para la web security, estos son los ataques que están en 2021 seleccionados porque cada cinco años lo hacen, como digamos los ataques más importantes, ¿de acuerdo? Los 10 ataques más típicos o los top 10, ¿de acuerdo? Está el broken access control cuando te entran por login, inyecciones, fallos criptográficos, diseño inseguro, uno de los más típicos, diseño seguro mal configurado, ese es otro, componentes desactualizados, importantísimo y es que parece que lo puedo repetir 50 veces y aún así la gente no actualiza sus páginas web. Aquí está en la sexta posición, fallos de identificación, datos, bueno, en fin. Vale. ¿Y qué pasa con la IA? Hablábamos antes de la inteligencia artificial, ahora está muy de moda, estamos en el chat gpt, en fin, toda la generación de imágenes que estamos haciendo ahora, que está poniendo en pie de guerra todos los diseñadores, en fin, o incluso los creadores de contenido y demás, ¿no? ¿Y esto qué va a pasar? Pues pasa, lo que se llama el concepto en castellano sería la contradicción de la inteligencia artificial o la icono en un drum, pasa que hay ahora muchas herramientas para atacar sitios utilizando inteligencia artificial, pero es que también hay herramientas para defenderse de sitios utilizando inteligencia artificial, entonces al final va a pasar lo que está en la imagen, que sí, que yo utilizo inteligencia artificial para atacarte, pero es que yo utilizo inteligencia artificial para defenderme, con lo cual no va a haber ningún problema, vamos a seguir en el mismo, en el mismo escenario que estábamos antes, ¿vale? Entonces, lo que quiero decirles con esto, que aunque se pueden utilizar estas herramientas, también están en la defensa, ¿de acuerdo? Ok, hasta aquí, ataques, ya tenemos un juego, tenemos un escenario, tenemos personajes, tenemos los ataques, vamos a defendernos de esos ataques, lo primero, hay que practicar, ¿vale? Es decir, te tiene que pasar para darte cuenta muchas veces de qué es lo que está pasando. Contra el phishing y el spam, aparte del tema de la formación que yo siempre digo y que estáis aquí en esta sala precisamente para tomar conciencia de que estas cosas ocurren y por tanto vais a entenderlo, cuáles son las protecciones, pues un poco la habilidad del administrador, ¿vale? Y también si tenéis algún monitor de frontend, esto yo aquí les recomiendo usar side check, que es el que utiliza Sukuri, pero podéis utilizar otros, el side check no es un monitor o un escenario gratuito de vuestro sitio, sino del frontend, ¿vale? Hace una foto a ver qué es lo que ven los usuarios y de ahí si hay algo misterioso, como por ejemplo spam, phishing o lo que sea, va a saltar. Esto, ataque a reputación y login. Bien, fuerza bruta o diccionario, ¿cómo voy a evitar los ataques de fuerza bruta? O de 4 millones de combinaciones, principalmente con el WAF. El WAF es un sistema que funciona como un paraguas. Si tú no sales a la calle y está lloviendo y no te llevas un paraguas, normalmente te llevas un paraguas, pues si estás en la red y tienes toda esta gente atacando tu página web, te pones un paraguitas para protegerte de los que no te interesan, que en este caso es el agua, ¿de acuerdo? Pues así funciona un WAF. Olvidado de la palabra Sukuri, porque no estoy aquí intentando desvenderos uno, si esto funciona igual con Cloudflare, con cualquiera de los WAF reales. Y cuando digo reales es porque hay mucha gente que va a vender que hay un WAF cuando no es un WAF, cuando es un FIWAL de servidor, no es un WAF, ¿vale? Un WAF FIWAL de servidor es un FIWAL generalista para lo que son los procesos internos de un servidor. Un WAF es un... Bueno, un FIWAL he orientado exclusivamente al tráfico web, solo tráfico web. Aquí entra el tráfico web, se analiza qué es lo que se quiere, utilizando ya la base de datos internas de cada una de las empresas que han desarrollado, porque ya lo han codificado, deciden si eso tiene malas intenciones y se tira o puede seguir. Y a partir de ahí aprendes y sigue y entonces llega a tu página web, ¿vale? Esto es un WAF, entonces yo lo llamo el Paraguas. Filtra, tráfico web, parchea virtualmente cantidad de vulnerables conocidas. Esto es interesante porque si se sabe ya que tú, por ejemplo, estás usando un plugin que ya es vulnerable, que ya lo conocemos todos y demás, pero tú no lo quieres actualizar o no lo puedes actualizar porque no tienes la licencia, porque en fin, por lo que sea. Y ya se conoce, normalmente los WAF ya vienen codificadas con qué es lo típico que se usa para atacar desde fuera, utilizando ese plugin, esa una idea. Esto, pues cuando yo lo detecto, ya no te dejo entrar. Entonces por eso dice que parchea virtualmente. Yo ya sé lo que tú vas a atacar, entonces te bloqueo, ¿vale? Eso es un parche virtual. Se puede utilizar herramientas forense, proteger contra ese tipo de ataques y casi siempre vienen con un cdn actualizado y con un cdn incorporado, con lo cual mejora el rendimiento de tu página. Contra los ataques XSS, puedes usar un WAF porque al final es desde fuera. Yo ataco una unidad y te inyecto un código en Javascript. Como es desde fuera, los WAF siempre actúan. Siete de fuera, ¿vale? Pero también la integridad de fichero. La integridad de fichero es uno de los monitores más interesantes que podéis tener siempre en vuestro sitio web. Lo tienen casi todos los plugins de seguridad y lo tienen muchos de los hosting que realmente se preocupan por la seguridad. Y esa integridad de fichero es un monitor en el que te dice, eh, tal fichero ha cambiado de tanto a tanto en tal fecha. Puede crear mucho ruido porque en la actualización ya cambiamos guion de fichero. Pero al menos tienes ahí una forma de ver qué es lo que ha cambiado y por qué tú puedes mirar y decir, oye, ¿por qué ha cambiado? Te inyecta un XSS. Ah, te pillé. Pero si tú no tienes algo que te alarme en ese sentido, no lo vas a detectar por mucho que lo intente. Es algo que seas muy, muy pro. El tema de la nueva vulnerabilidad es lo mismo. Desde fuera, yo intento ver qué vulnerabilidad estás en tu sitio web. Te meto un WAF, con lo cual te protejo. Pero aparte, el mantenimiento, oye, yo estoy vigilando las actualizaciones, que está todo bien, etcétera. Magnemiddles, SSL. Si yo quiero proteger las comunicaciones de mí y con el servidor, te doy una encritación en la comunicación, ¿vale? Poco así, ¿no? En su área, con el website. Si esto está encritado, nadie puede. El eavesdropping es el nombre con el que se conoce al típico que mira por encima del hombro, ¿vale? O que está mirizando una red y simplemente quiere ver qué es lo que está pasando en la red. ¿Vale? Eso es el eavesdropping. Si utilizamos una VPN, que es un canal encritado, pero además seguro, es decir, yo me conecto a este sistema, ¿cómo si estuviera dentro de este sistema? Entonces, a través de este sistema, yo ataco internet. Con lo cual, ni gobierno, ni hacker, ni nadie puede acceder a lo que yo estoy transmitiendo de aquí para acá. ¿De acuerdo? Toda la VPN ahora se está poniendo muy de moda también. Ataque es dos, pues lo mismo, como un ataque externo que intenta, de alguna manera, reventar mi sistema. WAF. Inyección de SQL, lo mismo, aunque hablo también de mantenimiento y logs, pero bueno, que al final es lo mismo, el mantenimiento, ¿vale? Contra ransomware. Hay alguna defensa, backups, recuperar un estado anterior. O sea, acabó. Si te han secuestrado los datos y lo han hecho medianamente bien, no vas a poder recuperarlo, salvo que, o bien pagues, o bien, restabres una versión anterior. Por eso es importante mantener un sistema de copia de seguridad adecuado o estar en un hosting que se preocupe por ello. ¿Qué pasa con las copias de seguridad? Pues lo mismo que pasaban en esta peli, que seguramente algunos de ustedes habrá visto. Que si has cambiado algo o si cambias algo, pues el estado al que vuelves después no es el mismo en el que estabas. ¿Vale? Entonces, tengamos en cuenta que si la última vaca que ha hecho la semana pasada, pues todo lo que ha pasado en esta semana se borra. Crypto mining es muy difícil saber si esto te lo han inyectado. Lo puedes hacer a través de los logs, o de la integridad de ficheros, mantenimiento y demás. Pero quien más te va a decir al respecto y más te vas a enterar es, o bien, porque ves que los monitores de CPU, o sea, como esto, ataque realmente al usuario, no a ti, ¿vale? Quien más te lo va a decir es uno de los usuarios, te van a decir, oye, cada vez que he hecho tu página, se me pone a mil por este script. O sea, entonces, habilitar un canal de comunicación con el usuario, o varios canales, redes sociales, un tal, o lo que sea, es importantísimo para detectar este tipo de ataques. Para lo del tema de both notes, lo mismo, mirar los logs y demás, o el WAF. Para cross site contamination, que es la contaminación de dentro, lo cual no sirven, porque les he dicho que el WAF es desde fuera. Los ataques desde dentro no se van a detectar. ¿Cuál es la única forma que tiene de detectarlo? A través de un monitor de integridad de ficheros. Es decir, cuando veas que los ficheros internos te están cambiando por algo, es cuando vas a revisar qué ha pasado. Y a partir de ahí, entonces, tírate el hilo y encuentras dónde está el problema. Bien, mucho rollo, pero esta era la parte más chunga. Bien, ya tenemos el juego, tenemos la defensa, tenemos los ataques, voy a hacer un pequeño resumen de esta defensa. WAF, como hemos visto, sirve para muchas cosas, ¿vale? Le voy a dar 50 puntos de la barra de vida. Monitores, es decir, tener cuenta de los logs, los escáneres, triggers internos que tú te hagas, porque como amistadores es un pro lo que sea, 20 puntos. Backup, 10, aunque son 10, pero son 10 importantes, ¿vale? SSL, otros 10, venga, transmisión segura, mantenimiento de hardening. Y esto es importante, es decir, estar al tanto, pendiente, decir, una persona que está ahí trabajando para eso, acción de protección y fuscación y actualización. Es decir, gente que ya conoce tu sistema, tu necesidad particular de tu work, de tu servicio y entonces toma medidas específicas para tu servicio, le vamos a cinar 20. Y después la habilidad de la persona que tenga el sitio, pues, oye, si tú tienes más o menos habilidad, le estás mirando constantemente y le damos que tal, venga, otros 10. Suman más de 100, pero la idea es que solo es máximo estar ciego, ¿sí? Cuando hablamos de combos, que básicamente en este juego lo que eran es, ¿vale? Y si hago abajo, arriba, a ver, no sé cuántos hace un superpoder que te cagas, ¿no? Pues esto es lo que vamos a intentar ahora explicaros en este caso, mi combo, el combo que yo pondría en la página genérica. Pero antes que eso, hay que mentalizarse de que hay que invertir en seguridad porque, se lo ha formado en una matemática, no sé si sabes un poco qué significa estos símbolos, es cualquier costo de una web caída es siempre mayor, ¿vale? Que el costo de una web hackeada, ¿de acuerdo? O sea, me, perdón menor, disculpa, menor se me ha ido, menor, menor que una costa de una web hackeada. ¿Por qué? Porque si se me cae la web se me pueden pasar unos, yo qué sé, un rato o lo que sea o la puedo recuperar con una backup rápidamente y lo que me haya costado en ese rato por lo que me había costado. Pero es que si me han hackeado tengo todos los costos de seguridad, contacto y si encima hay datos que se han filtrado pues la gestión que tengo que hacer con la policía, con las entidades gubernamentales que toque en el momento y para el caso concreto, no sé si alguien habrá visto la charla que hice en Grinón hace unos meses, que era sobre el costo de un hackeo, pues ahí explico y desgrano qué pasa si te han hackeado y es mucho más caro, ¿vale? Entonces siempre digo, cualquier costo de una web caída es siempre menor que el costo de una web hackeada. Bien, también sobre WordPress les recomiendo, si quieren mirarlo en el QR, que visiten la página sobre la seguridad de WordPress, donde os va a explicar qué hace WordPress para potenciar la seguridad dentro del código de WordPress, porque WordPress al final se responsabiliza en su código, ¿vale? No de los plugins que hacen otras personas, terceros y demás, entonces ellos te van a explicar ahí, pues contra ataques todos que hacemos nosotros tanto, pues que para ataques de este estilo que hacemos tanto, ¿vale? Les recomiendo que visiten esa página. Bueno, y aquí viene, digamos, quizás la parte más útil para todos ustedes. ¿Cuál sería mi combo? ¿vale? Los primeros un buen hosting, ¿vale? No voy a hablar aquí de qué hosting en particular, no se ve muy bien, pero básicamente es un hosting que me fracases él. Un hosting que además tenga un buen sistema de soporte, que me responda rápido, que me resuelvan los problemas y que tenga un sistema de backups integrados, perdón. Y si puede, que además tenga un plan gestionado. Mientras menos cosas, yo tengo que estar pendiente, más fácil y al final tendré un equipo que está encargado de eso. ¿Vale? Sistema de backups, yo recomiendo algunos de estos plugins. Por la general, yo utilizaba antes VALPRES, pero si no me lo hago yo, me hago un script de copia de seguridad rápido, lo que queráis. BLOCKBAUL también funciona muy bien y AppDraft. Para WASDN, sucuri, porque al final es el que uso yo prácticamente todos los días, pero Cloudflare funciona también muy bien para este tipo de cosas. Plans de seguridad, y aquí viene el meollo. Yo recomiendo Warfans en su free tier, es decir, no pagueis por la licencia, porque ya solamente lo que hace Warpres por el free, la parte free, ya es suficiente. Esto te va a tocar varias cosas de tu sitio web para protegerlas, que es lo que hablábamos del hardening, ¿de acuerdo? O si en su defecto prefieres Highsims, porque no eres tan, porque la mejor Warfans es un poquito más para gente que tiene un poquito más de conocimiento, Highsims es un poquito más para gente que no es técnica. Y después es importante para mí que instaléis además, Filtobank o Limit Logins Attempt Reloaded. Cualquiera de esos dos plugins funciona muy bien para controlar los accesos a un sitio en los Logins. Lo que va a hacer es, tú le puedes configurar cuántas veces puedes fallar antes de que te vanees durante un tiempo. De esa manera os evitáis los ataques de fuerza bruta. Y después instalad un catch, por favor. Yo les recomiendo un catch a cuatro web que lo acaban de cambiar antes se me va de otra manera, pero no me acuerdo. Pero si no queréis ese, cualquiera de los otros. ¿Por qué? Porque el hecho de que tengáis un formulario de contacto en vuestro Warpres, eso permite que la gente os meta a spam por un tubo, ¿vale? Entonces, si tenéis un plugin de esto de capture, lo que va a hacer es añadirte a todos estos formularios, cualquier formulario de vuestra página, un sistema de control, un sistema de chequeo de capture, de manera que va a evitar que los spammers os revienten el sistema. Yo no sé si habéis jugado mucho estos juegos, pero una de las cosas graciosas cuando jugábais era que siempre teníamos algún personaje favorito y siempre había algún golpe de ese personaje favorito que le estábamos apretando de manera compulsiva. Con Bison estaba siempre va, va, con las piernas y tal, alguno de estos. Y uno de los botones compulsivos que os recomiendo siempre es ese. Es un botón compulsivamente que debes apretar siempre que ves un numerito. Actualizar por qué? Porque tapa agujeros de seguridad, ¿vale? Es decir, cuando hay una actualización es porque alguien ha detectado algo y hay que cambiarlo, ¿vale? Pero una cosa que es importante que la gente no lo sabe, bueno, aparte, es que esto es importante. Los parches de seguridad siempre aparecen después de los exploit. Es decir, si ya hay un parche de seguridad es porque ya hay gente utilizando o explotando esa vulnerabilidad, ¿vale? Pero sí que es importante esto. Es que cuando tú actualizas un sitio, ya sea al WarPres o ya sea un plugin, ya sea un tema, estás sobrescribiendo el código que ya existe en tu sitio con el código nuevo que viene del repositorio. Entonces, si el código que estaba en tu sitio está hackeado, no lo ha detectado o es descorrupto o lo que sea, ya con eso os estáis quitando una parte del código y lo estáis limpiando, estáis como haciendo un reset. Vale, pues esto sé que está limpio porque lo he actualizado, ¿vale? Salvo que hayan hackeado el repositorio oficio. Eso es bastante más complejo, pero puede ocurrir. Y después, esto ya porque trabajo en la empresa de seguridad y lo sé, vale, el 70% o más de las infecciones en los sitios WarPres ocurren porque los plugins o temas están desactualizados. Es lo más habitual que yo pongo siempre a mis clientes. Cuando limpio un sitio, siempre le pongo tienes 27 actualizaciones, tienes 67 actualizaciones. O sea, es imposible que tengáis un sitio con 67 actualizaciones, salvo que se os haya ido la olla y hayais puesto unos segundos plugins, deshabilitados todos, pero unos segundos plugins, ¿vale? No olvidéis que los plugins deshabilitados también se pueden usar para hackearlos. Entonces, lo de deshabilitarlos, no lo recomiendo. Recomiendo que lo eliminen. Pasa lo mismo con los temas, ¿vale? Y ya por último, la importancia de las contraseñas. Y aquí hay una historia personal mía detrás. Y es que a mí, yo guardaba las contraseñas en laspas. No sé si sabes que laspas en la hanja, ¿qué hago? ¿Vale? Y a mí me reventaron el sistema de contraseñas con laspas. Entraron, las usaron para atacarme a mí personalmente utilizando un ataque de SIM swapping. Es decir, cambiarme la SIM, lo duplicaron. Utilizando eso como second factor authentication. Me intentaron entrar en el banco. Me intentaron hacer una portabilidad. Me hicieron un mogollón de cosas. Pero, tuve suerte. Yo digo que aunque me dedique a hacer seguridad, que tuve suerte. Y al final salí del tema. Pero claro, tres días que pasé con bastante ansiedad y yo me dedico a eso. ¿Vale? Entonces es importante el tema de la gestión de las contraseñas y del second factor authentication. Y con el tema de este ataque en particular le digo siempre que el second factor authentication. Es decir, el factor de seguridad adicional a parte de usuario y contraseña. Sea el teléfono, el número de teléfono, mal. ¿Por qué pasa esto? Que le duplican la SIM y ya el teléfono es de otra persona. Con lo cual, con eso ya obtienen el second factor authentication y ya lo tienen. Entonces, siempre que se pueda mejor con una aplicación. Siempre se dice que la parte de la autenticación para que sea más segura debe ser algo que el usuario es, algo que tiene o algo que sabe. Con miraciones de las tres. A más factores, si es algo que es que tiene y que sabe, más seguro, pero también más complejo. No queremos hacer que los usuarios digan, qué rollo estaré ahí entrando en vuestro sitio contante. Normalmente se usa un second factor authentication. Algo que sabes, que es contraseña, pin y después le metes un teléfono celular o lo que sea o vaya digital o lo que sea. Entonces son dos factores, por eso es second factor. Sabí es, sabe y tiene. En el caso mío, para entrar en mí, en mis sistemas de mi empresa, ¿de acuerdo? Es que tenemos los tres, ¿vale? Pero claro, ahí estamos hablando de otro tipo de tema. Y con esto y un bizcocho, cao a las ocho, se acabó. Game over. Y a mí me gusta siempre terminar de decir que al final necesitamos que todos, todos necesitamos hackers en la vida, ¿vale? En curiosidad por ir más allá. Y con eso, lo dejo. Y ahora es momento de dudas. Aprovechadme que me tenéis aquí. Yo lo veo dos, decepcionado, me hallo. Sí, después cuando esté ahí en el patio, ya viene la gente que no quería exponerse. Hola, buenas. Una pregunta. Con el tema de cuando se hacen inyecciones a tu web de forma externa, ¿el servidor, los logs o pueden llegar a detectar desde dónde proceden? Y cuando se realiza, por ejemplo, una actualización de Wordpress, tú llamas al repositorio de Wordpress para traerte todo el código, sabes que te estás traiendo un sitio de confianza, pero si te han hackeado y te lo inyectan desde fuera, ¿el servidor puede llegar a detectarlo? Sí. Y sí, es decir, la principal forma, o sea, digamos la forma básica de detectar un ataque GXSS, es mirar en los logs. Ahora, si tú quieres pegarte el trabajazo, que es leerte uno a uno, que te detectas el que es, para eso, noventa, hay sistemas de IA que te detectan cuál no es, pero lo mejor es el WAF, porque ya eso, en vez de hacerlo en el servidor, lo hacen antes de que llegue a tu sitio web, con lo cual es mucho más fácil, mucho más sencillo, ¿de acuerdo? Después está el monitor de integridad. El monitor de integridad que hablábamos era cuando los ficheros cambian, pues en el momento que cambian tropeciendo ficheros, porque hay una actualización de que además alguien tenga detectado GXSS, pues vas a ver el mogollón de ficheros que han cambiado y uno de ellos es el malo, ¿vale? Si ha cambiado un solo día, un solo fichero porque tu página web hace cuatro años que no cambia y cambió uno, de repente, mosquéate. Por eso digo que el monitor de integridad de ficheros es muy interesante, es muy importante. Te lo pones Worfens, te lo ponen incluso los propios hosting, tienen su propio sistema de control de integridad de ficheros, o lo puedes hacer tú, porque al final es un comando determinado que lo puedes hacer con cierta facilidad. Si no estás medio en el tema, además es una tarea más que no tienes por qué hacer, ¿vale? Más dudas. Bueno, gracias Neso por la charla, muy interesante. Mi duda es la siguiente, ¿ayudaría de algo hacer que todos los archivos estuvieran en modo lectura o que PHP no tuviera permisos para editarlo? ¿Dejamos dejar congelado? De hecho, en WordPress eso lo hacen varias empresas de hosting, es decir, lo que hacen es, como sabemos que digamos en el manual de buenas prácticas, BP Includes y BP Admin no se deben tocar para nada, ¿vale? Y solo lo que se debe tocar, como mucho, es lo que está dentro de BP Content, ¿de acuerdo? Uploads, plugins o lo que sea. Lo que hacen es meter esas dos carpetas especialmente dentro de un repositorio común, con lo cual ni siquiera es accesible de la propia página y utilizan vínculos, ¿vale? en la propia página para que accedan pero como son vínculos, tú puedes controlar si de acceso de lectura, de escritura o lo que sea y eso lo hacen en algunas empresas. Es una forma, pero claro implica mucho más mantenimiento, ¿vale? Pero también implica que cada vez que haya una autorización de WordPress tienes que detectarla y cambiar algo en el código porque al final tú le tienes que decir al propio al BP Config, ¿vale? PHP le tienes que poner algunas cositas cuando hay una actualización. Pero bueno, se puede hacer y ya te digo que lo hacen. Gracias. ¿Dito? Pues encantado.