 Bueno, pues adelante a los que hayáis traído las esterillas de yoga, como os pedimos en el correo de esta mañana, podéis pasar y ponerlas aquí detrás de Néstor, que vamos a empezar con el yoga, por favor. Lo que sí voy a pedir es que se acerquen los que están arriba, por favor. Vamos, venga, más abajo, que quedemos cogiendo espacio, por favor, venga. Animamos a bajar. ¡Vamos, vamos, vamos! Mientras voy a presentar a Néstor, Néstor es un hacker. Yo creo que es la persona que conozco que más sabe sobre seguridad, sistemas, y además que lo transmite de una manera que parece fácil. Así que, bueno, sin más, no quiero quitarte más tiempo. Néstor, adelante con tu charla. Muchas gracias. Vamos, más abajo. Bueno, vamos a ver, ¿quién sabe el yoga aquí? ¿Saben para qué sirve el yoga? ¿Sí? Relación, estiramientos, conexión con tuyo interior. En fin, voy a hacer una pequeña presentación, mientras esto se va escribiendo el solo, o debería. Vale, no se ha escrito, pero de igual. Bueno, tengo una titulación de seguridad, llamada CISP. Soy ingenio informático, emprendedor, tecnólogo humanista. Es decir, soy de los que aboga porque la tecnología ayuda al ser humano. Antes de 2015, me había montado ya un par de empresas, Parcanario, que es como el par de Lidia. Y en 2015, empecé a trabajar para Sucuri. En 2017, Sucuri fue comprada por Godady. Y en 2023, pues, bueno, me ha afectado todo este, los despidos masivos y demás, así que soy otra gente libre. Voy a empezar un blog, llamo NéstorAngulo.pro, estoy en ello, así que mucha paciencia. Y bueno, esta es la primera Workham, también, en la que vengo con una camiseta de ponentes, y aquí estoy. Normalmente, o venía antes con Godady y Sucuri, que seguramente mucho de ustedes ya me conocí. Me podéis encontrar en ese Twitter, pero hay algo que sí que me gustaría dar, la gracias a la organización, a la organización de Torre Lodones, por querer contar conmigo, por todo lo que han hecho aquí. Y por algo muy importante, que a mí me parece que deberían estar en todas las Workhams, por el final la ludoteca. Y esto es un paréntesis un poco que tiene que ver con el yoga, pero no es directamente en relación con el yoga, que es la tranquilidad uno interior, ¿vale? Y es que para mí hay un elemento que se mueve todos los días para estar trabajando, para hacer las cosas, intentar hacerlas mejor y demás, que es esta pequeña cosita que está aquí. Esta pequeña cosita que está aquí, y gracias a la ludoteca, como hacéis en esta Workham, que me gustaría que lo hicieran en todas, pues yo me voy moviendo por el mundo y eso de la organización familiar, gracias al trabajo en remoto y demás, es posible y puedo hacerlo. Yo soy un ejemplo de ello, ¿vale? Ella ha venido a muchos eventos conmigo, ha estado en Alcalá, ha estado en Pontevedra, ha estado en varios sitios, y es la primera vez que la muestro en público, así que me gustaría para mí creer un aplauso. No la he podido traer aquí, pero bueno, le hubiera gustado estar así. Normalmente acabamos normalmente todas las noches. No estoy en Elementor, no soy Angel por ahí, pero la camisa sirve mucho para estas cosas. Bien, antes que nada, ¿a qué yoga me estoy refiriendo? Obviamente podemos hacer todo. Pero bueno, ahora os voy a enseñar exactamente cuál es el yoga que me estoy refiriendo y esto es evidentemente lo que pone alrededor de esta chica. Son muchas de las cosas con las que tenemos que lidiar casi todos los que tenemos algún tipo de negocio online o presencia, ¿no? La comida a los niños, los regalos, el trabajo, el ejercicio, el dinero, etcétera, ¿no? Y un poco quiero enseñaros en el caso, por ejemplo, de la seguridad, cuáles son los pasos para tranquilizar y conectar un poco otra vez con nuestro yo interior. Sí que os animo que si tenéis una bolsa ahora mismo os la pongáis en la boca porque vais a respirar un poco profundamente porque voy a enseñar el resultado de qué pasa si os hackean. Puede pasar que os metan usuarios, administradores, que os fastidien todo lo que hay dentro, os pueden meter, cambiar los posts y poner cosas como cosas de hackeo, os pueden cambiar la página, os pueden poner a vender y viagra cuando no tenéis ni puñete de la idea de qué es eso o para qué sirve. Podéis encontrar de repente plugins que no habéis instalado y que después dentro tiene cosas que parecen que es Hakismet, que es el del spam, pero no lo es. Podéis encontrar con que vuestra cuenta está suspendida y no podéis entrar en vuestra página. Podéis encontrar con que Google ha dicho, no queremos saber nada de vosotros o mira, que sepáis quedó todas las personas que esta página está hackeada. Podéis encontrar en Google que de repente estáis vendiendo cosas que jamás habéis vendido ni pretendéis vender nunca o que de repente os pone una etiqueta de que esta página igual está hackeada. Podéis encontrar con que Ads os prohíbe el acceso o os cancela las campañas por algo. Podéis encontrar con que de repente estáis vendiendo regalando a iPhone si respondéis a una pregunta chorra. Podéis encontrar con que tenéis que autorizar algo en la página. Podéis encontrar un ransomware, que tenéis que pagar un dinero para recuperar los datos. Podéis encontrar que además tenéis unas pérdidas brutales porque no habéis controlado las cuestiones de seguridad y tenéis que pagar multas. Podéis encontrar muchas cosas o incluso hasta la policía muestra a casa. Por eso digo... Y es ese momento en el que digo, bueno, hackeado, ¿no? Ahora es el momento de hacer yoga. ¿Y qué pasa? Si llegamos a esta situación, ¿no? Pues bueno, yo... A mí me han hackeado. No una, ni dos, ni tres, sino varias veces. Sé cómo es lo que funciona, sé cómo es la cuestión y sé que evidentemente después de este tipo de situaciones os podemos encontrar rollo emplamecado en Natal, la copia de seguridad del tío, que no sé que los acces son de no sé quién. En fin, es normal gritar, es normal sentirse hecho polvo, venirse abajo, es normal llorar, y os lo digo en serio, es normal, muy normal que lloremos. Pero bueno, después de todo esto, ¿cuál es la paz interior? La paz que podemos encontrar en la acción y la acción solo la podemos hacer si las conocemos. ¿Cuáles son los pasos que tenemos que seguir? Si nos encontramos en esta situación, ¿no? A mí me gusta siempre estructurar mis charlas dando unos pequeños minutos iniciales de conceptos. Algunos ya los conocéis, esta es una que yo suelo usar bastante y es bastante, aunque la digo y la repito, la gente no lo pilla bien. Sólo hay dos tipos de empresas en el mundo, no hay más, dos tipos de empresas, las que les han hackeado y las que aún no saben que les han hackeado. ¿Vale? Y esto lo dice el señor de CISCO, no lo digo yo. Y esto también soy consciente, prácticamente todo lo que estáis aquí, si la seguridad hubierais pasado de mi charla seguramente, pero los que estés aquí posiblemente os habéis lidiado alguna vez con algo de seguridad y os ha causado una sensación de estrés, como de la que estoy hablando. Que sí phishing, que sí malware, que sí virus, que sí bla, bla, bla, bla. Y es algo, al final, tú quieres usar internet y tienes que pasar por esta cuerda. Bien, hay muchos conceptos, no voy a entrar en muchos de ellos, uno de ellos es, uno que es importante para mí, que es el concepto de hacker. Es importante, desde mi punto de vista, recalcar y lo recalco mucho, que los hackers son las personas curiosas, aquellas personas que van más allá de los límites y convenciones. Seguramente todos habéis recibido el típico vídeo de cinco hacks que pueden hacerte vida mucho más fácil, porque conviertes una precha en no sé qué, un cuello de botella para no sé cuánto, en fin. ¿Finales o hackeo? ¿Vale? O biohacking, si te metes un café o un repulo, lo que sea. El ciberterrorista, por contra, es un hacker informático. ¿Vale? Que además lo que busca es enriquecerse. Normalmente acosta a tuyo, es el malo, como dicen nosotros. Si es verdad que mucha gente al final tiende a decir ese es el hacker por una cuestión, no sé por qué ha salido aquí, una cuestión de utilidad. Bien, es importante entender que la seguridad no es un todo, algo puede instalar seguridad en mi sitio. No, es que va por capas. Se dice siempre que la seguridad tiene que instalarla en profundidad, por capas. Aquí voy a poner un poco por encima las capas más habituales. Siempre digo, empiezo por la capa de la persona, que es la más débil, todos sabemos ejemplos de grandes hackeos, por no decir pequeñitos, pero grandes hackeos que han ocurrido porque bueno, alguien le dio por clicar en el sitio que no debía, que se las pregunta la gente del clinic, o a la famosa central nuclear, que eso la la reventaron con un pendrive, la tiraron por ahí, alguien se lo curió con el pendrive y enchufarlo en un equipo de la central. En fin, la capa más débil siempre es la persona y eso es un hecho que siempre hablamos en ciberseguridad. Lo siguiente es el dispositivo que utilizas para conectarte, lo siguiente es la conexión que utilizas para conectarte al sitio donde sea, el tráfico web, las credenciales que utilizas para entrar, la seguridad de tu sitio web, la seguridad del servidor, la base de datos, etcétera, y cada uno de los contras para esto es para las personas conocimiento. Por ejemplo, esta charla de alguna manera pretende meterles en la cabeza esa idea o ideas de que tenéis que tener cuidado con esto. Al dispositivo evidentemente antivirus, la conexión de SSL, tráfico web, yo les recomiendo un WAF, credenciales contra señas fuertes, factor authentication, la seguridad web monitores, plugins, actualizaciones, seguridad server igual, base de datos por monitorearla y tener una admistra de sistemas que esté al tanto y sobre todo, y por encima de todo eso y parece que no lo recalco suficiente, esto no es una lista de una sola vez en la vida, hay que mantenerlo constantemente, hay que estar repasando que todo esto está en su sitio y demás. En Zaragoza hice una charla sobre inventar un juego de ver cómo es el tema de seguridad y cómo afecta el tiempo y el tiempo afecta que cuando tú no monitoreas tu sitio durante un tiempo, va disminuyendo tu barra de vida mucho. Vale, como si infecta a un sitio Word, pero bueno, pues eso necesitas una buena vida, es decir, ah, tiene que haber un agujero, eso no lo controlamos para entonces habrá un exploit para usar ese agujero, inyectamos el código final, actor o bot note o lo que sea, o código o lo que sea. Bien, esto de los hechos, más o menos siempre los comento, voy a pasar un poco por encima porque voy a ir a la parte importante. ¿Qué pasa si te hackean? ¿Cuáles son los agentes involucrados en un proceso de recuperación de tu sitio? Por un lado, estás tú y tu infraestructura, por otro, está la infraestructura del soporte de hosting y por otro lado, ya unos servicios externos de seguridad. En la parte tuya, evidentemente lo tengo, de la página, los administradores, el desarrollador, el diseñador, los usuarios y clientes en el caso de que por ejemplo en conflicto con algo de la GDP en el caso del hosting pues tienen sus soportes y demás, tengan en cuenta que la inmensa mayoría, aproximadamente el 80% de los problemas de seguridad los puede solucionar el propio soporte del hosting, ¿vale? No necesitan analistas de seguridad para eso. Y después yo las medidas siempre las separo en dos tipos, las medidas reactivas y las medidas proactivas. Las reactivas son, cuando algo malo ya ha pasado vamos a disminuir el daño. Eso es lo que nosotros llamamos incidentes de responso, responso incidentes. Y después están las proactivas que son para evitar el daño, es previo. Y lo que estamos haciendo es reducir el riesgo, no quitar la posibilidad sino reducir el riesgo de ser hackeado. Bien. Primer paso del yoga, del yoga de recuperación. La respuesta incidente. Lo primero, segundo, lo primero sería eso, la respuesta incidente. Es decir, acabo de descubrir que mi sitio está hackeado. Yo he hecho un video de UBM4, la que ha copiado, pero básicamente son los esfuerzos para identificar rápidamente un ataque, minimizar los efectos y contener el daño, tal cual está hackeado de la página. Estos son los pasos que tenés que seguir en incidente de responso. Primero, escanear tu sitio. Ahora entraré en detalle un poco más cada uno. Fronen lo pueden hacer con Sci-Check, escane de gratis como el de Warfens, algunos de estos. Lo segundo, actualizar y después explicaré cómo aplicar la metodología CRC en inglés. Check, remove, change o chequear, eliminar y cambiar, ¿de acuerdo? Primero, escanear el sitio. Lo primero que es intentar averiguar qué es lo que ha pasado. Para eso hay varios escanes por ahí. Por un lado está el de Fronen, que normalmente es bastante fidedigno de qué es lo que nos pasa dentro. Podéis usar el gratuito de Sukuri y un escaneer interno, como por ejemplo el gratuito que también usa Warfens. Y si tienes acceso al servidor, uno de servidor. Esto, por ejemplo, es un ejemplo de que no saldría en el caso, por ejemplo, de Sci-Check, de Sukuri. Aquí como vemos, hay una página que dice que hay 58 URL que han sido escaneadas y de las cuales se encuentra que en las archivos JS de los Javascript hay como se llama esto, publicidades no solicitadas. Esto es lo típico de que estás en la página y te sale como una ventanita de algo que no tiene que ver con nuestra página. Entonces, por ejemplo, esto os ayuda. Sobre todo cuando es algo muy visible porque es de Fronen, ¿de acuerdo? Bien, lo segundo, actualizar. Y esto es importante. Lo repetimos todos los que nos dedicamos a seguridad. Actualiza todo, incluido plugins y el propio WordPress. No solamente porque tapas los agujeros de seguridad para evitar que te reinfecten de nuevo, sino porque, además, cuando estás actualizando, quitas el código que tú tienes en tu página y pones el código nuevo bajado directamente al repositorio, con lo cual puedes confiar que ese código está correcto. Y el que tienes en tu página no lo sabes. Entonces, ese efecto de sobreescritura del código posiblemente comprometido es uno de los efectos de actualizar, con lo cual los recomiendo. Y si no puedes actualizar, porque ya tenés la última versión, lo que puedes hacer es volver a reinstalar los plugins de cero. ¿De acuerdo? Y WordPress igual. Cuando digo actualizar, digo todo, ¿vale? Y esto es un secreto que usamos nosotros internamente, pero la gente no lo conoce muy bien, pero que es una de las facilidades que da WordPress. WordPress está tan bien estructurado a nivel de código y ficheros que tú puedes coger, salvo esas dos cosas que están seleccionadas, que es el fichero VIP config, que es donde está la configuración del sitio, y el VIP content, que es donde está realmente el contenido de la página. Puedes eliminar todo el resto y ponerlo directamente de lo que baja WordPress y ya te aseguras que al menos todo eso está limpio. ¿Vale? Entonces ya solamente tendrás que concentrarte. Si quieres echar un vistazo al VIP config, si más o menos tienes habilidad, mires a ver si hay algo raro ahí. Y después VIP content, que ahí es donde, tendrás que escanear. ¿De acuerdo? Esto no se dice mucho, pero es una de las cuestiones de WordPress que hace muy fácil el troubleshooting, ¿no? Y después está la tercera parte, que es, ¿vale? Check, remove, inchange. ¿De acuerdo? El check remove es básicamente echar un vistazo. Oye, hay admins que no son los que yo he instalado, tengo puesto que por defecto sea administrador el que se registre, cosas que no son necesarias, que las tengo deshabilitadas, algo que la gente no entiende, y es que aunque esté deshabilitado se puede usar para hackear. ¿Vale? Si lo queréis deshabilitar y no permitir que hackeen y utilizando eso, eliminadlo. No pasa nada, lo podéis volver a descargar. ¿Vale? Así que no, hay gente que se dedica a coleccionar plugins y temas, ¿vale? Me he encontrado con 20 temas instalados, claro, solo puedes usar uno. 64, 80 plugins. Otra cosa que es interesante, no hagas copia de seguridad en tu servidor de desarrollo. Es decir, si tú quieres hacer copia de seguridad hazlas y mándalas fuera. Mándalas a Dropbox, mándalas a Drive, mándalas, descargalas lo que tú quieras, pero no la tejes en local, porque eso es una de las formas más fáciles de hackear los sitios. ¿Por qué? La gente dice, bueno, pero está eso, está en un cipo, lo que sea, muy bien. Normalmente si no tiene bien configurado tu sitio, pueden ser indexados en los buscadores. Entonces, ahí lo que se llaman Google Docs, que son códigos que podemos hacer en Google para encontrar copia de seguridad en los sitios. Te descargas la copia de seguridad, la copia de seguridad normalmente están los datos del usuario y contraseña de tu base de datos. Y a través de eso, entro donde me dé la gana. Entienden? Entonces las copias de seguridad no la guarden en el servidor de desarrollo, el servidor de producción, disculpe. Si tienen un sitio de test o un sitio de desarrollo, tampoco lo guarden en ese servidor. Ese servidor debe ser única y exclusivamente para vuestra página y con lo único y exclusivamente innecesario para que funcione. Y después cambiar, básicamente, es cambiar todas las contraseñas. Yo, cambiar las contraseñas, no solo son los amistradores y demás y tal, sino es todo. Estas son los tres pasos. Aquí pueden ver el ejemplo que puso al principio de un amistrador Acmin, bueno, la foto ayuda también, pero Acmin con noarrobaemail.com y ese amistrador ya es un poco sospechoso, ¿de acuerdo? Y esto, por ejemplo, es una persona que se ha llegado a ir acumulando temas de los deportefectos, ¿de acuerdo? Bien, como última opción restaurar una copia de seguridad. Si tienen información, tenganlo en cuenta y además nunca sabemos cuándo se han infectado a la página, con lo cual podemos reinstalar el propio sitio, ¿no? Tengo una buena estrategia, nunca almacenes esto, y sobre todo haz una copia funcional o sea, una copia que sea funcional porque a veces tenemos copia de seguridad que no funciona, ¿de acuerdo? Por recordarlo, esto es lo que puse antes. Vale, ahora solo queda la parte de reputación. Una vez que ya está la página limpia, ¿de acuerdo? Hay que tener en cuenta que los bots están constantemente rastreando internet. Que los motores de búsquedas tienen blocklist, y que además las blocklist están relacionadas con la reputación, ¿de acuerdo? Cuando alguien quiere saber si tu página mola, pues lo consulta en la blocklist. Mientras más famosa sea, como la de Google, por ejemplo, pues más incidencia tiene. Algunos hechos, esto es importante porque la gente no entiende muy bien cómo funciona el rollo de la blocklist. No es un proceso inmediato, es decir, si ya estás en una blocklist es porque ya llevas tiempos hackeado. Y sacarte no es inmediato. Hay algunas listas de bloqueo en las que a lo mejor a los 30 minutos te sacan, pero hay otras que tardan 3, 4, 5 días laborables, ¿vale? Normalmente nunca dan información de por qué está en la blocklist. No les puedes preguntar, ¿oye, pero por qué? ¿Qué es lo que has detectado? Dime, no te van a dar información, ¿vale? Y las redes sociales utilizan la blocklist o no, pues postear en las redes. Ahí a veces no sé si lo has ocurrido, que en una página estás hackeada, lo vas a poner en Facebook un post de tu página y te pones no porque estás hackeada, ¿vale? Normalmente es porque leen la blocklist. Las empresas de ads también, ¿de acuerdo? Y los motores de búsquedas tienen la cuestión, o sea, los motores te buscan en general todos en cuanto detectan que una página estás hackeada, directamente ya no te muestran en las servers, ¿no? En las páginas de resultados de la búsqueda. Y algunos incluso te eliminan todo tu SEO, ¿vale? Google lo hacía antes, ahora ya no, pero antes sí que lo hacía. Bien, una cosa más importante sobre esto de la reputación. Es importante entender que nos movemos en un ámbito regulado, ¿vale? Sobre todo en Europa tenemos una regulación bastante estricta, con los datos, y podemos, si ha habido un hackeo, a lo mejor tenemos que decirle a la GDPR o a la autoridad competente que nos han hackeado. La GDPR, por ejemplo, estipula un plazo de 72 horas para que le diga que ha sido hackeado, solo en el caso de que se hayan filtrado datos personales o haya sospecha de, ¿vale? Si tú, por ejemplo, tienes usuarios con contraseñas, con medio te pago, lo que sea, con direcciones y sabes que te han hackeado esto tienes que hacerlo, porque como no te cae una multa. Las leyes aplicables pues dependen un poco del país de tus clientes y de tu propio voto, ¿vale? ¿Cuál es la solución para salir de la bloglist? El virustotal.com es la página donde tenés que poner vuestro dominio, ahí salen todas las bloglist donde aparecéis, y una vez que esté limpio proceder a ir una a una a buscar los procesos para ir saliendo de la bloglist, pero tenés que hacerlo. Esto es muy importante, es muy interesante que la de vez en cuando lo chequeéis, porque a veces ni os habéis dado cuenta, os han hackeado y ya estáis en la bloglist, pero no lo sabéis. Y ya por último, en esta parte lo único que les quiero comentar, esto es interesante que lo hagáis, si os han hackeado y la gente lo sabe, es importante que hagáis un informe de qué es lo que ha pasado, como cuando ocurrió, porque cuando fue descubierto, que es lo que habéis hecho para evitarlo, etcétera y las lecciones aprendidas, ¿es duro? Porque expone una gestión que a lo mejor no habéis hecho correctamente, pero ayuda a aprender elecciones futuras y sobre todo a demostrar que vuestra empresa es Transparency Pocket, ¿no? Que decimos en inglés, que es pues, es un informe de qué ha pasado y es un informe de qué ha pasado, como cuando ocurrió, porque cuando fue lo que decimos en inglés, que es está alineada con los conceptos de transparencia, con lo cual puedes recuperar confianza del usuario. Bien, en esta parte, no lo voy a comentar super brevemente. Paz mental, una vez que ya hemos hecho los movimientos de yoga para llegar a la etapa, la paz mental para que no nos puedan pasar estas cosas sería aplicar las medidas proactivas. Pues utilizar solo las que son necesarias, gestor de contraseñas, copy de suidad, validarlas por favor, actualizar, vigilar el sitio de vez en cuando, monitorearlo por Dios. Aplicar un WAF, yo os lo recomiendo, el WAF pongo ahí un paraguas porque esa es la idea. Ustedes no salen un día a la calle que está lloviendo sin nada, os ponéis un paraguas, ¿no? Pues es lo mismo, internet, ustedes no saléis a internet ahí, a pecho descubierto, ¿no? O sí. Pero bueno, puede ocurrir lo que os ocurre. Entonces, para evitar eso, un WAF os puede, os reduce muchísimo ese tipo de cosas. Sobre todo es importante que validéis las copias de seguridad, ¿vale? Yo pongo esto un poco para que tenéis copias de seguridad pero las habéis validado significa reinstalarla, a ver si funcionan, ¿vale? Y ya, eso es todo. Se tengan en cuenta señores que es importante no solamente invertir en un buen hosting, sino también en un poco en seguridad desde el principio, no cuando ya tenéis el problema porque las copias de seguridad y la seguridad es aquello que te acuerdas cuando ya te han hackeado, ¿vale? Así que es importante que desde el principio te invertáis en esto. Así que, muchas gracias y es todo. Muchas gracias Néstor, nos has metido mucho miedo pero luego nos has dado seguridad. La idea es eso. ¿Alguna pregunta, por favor? Venga, aprovechadme que estoy aquí a ver si tenéis casos de hackeo que queréis comentar. O sea, vale pagar dinero por algo en específico y tenéis alguna duda, aprovechadme. Hola, buenas. Muy buenas. Buena charla. Te quería preguntar una cosa, nada más ¿un WAF que puedes recomendar? Depende de lo que quieras. O sea, hay dos tipos de WAF. Están los Cloud WAF o los WAF externos y están los WAF internos. Es decir, aquellos que consumen tus propios recursos son los internos, como el de Worfens, por ejemplo, o los que consumen recursos, o sea, no consumen recursos, sino que es como un servidor que exponen delante de vuestra página. ¿Vale? Como el de Cloudflare, como el de Sucuri y demás. Particularmente yo trabajo con el de Sucuri. Sucuri funciona muy bien, sobre todo tiene una base de datos extensa, con mucha experiencia. El de Cloudflare también funciona muy bien y esos son más o menos los que yo recomiendo. Si a mí me preguntas, yo invertiría siempre en uno externo. Así, el tráfico que llega a mi página sé que es exactamente el que ya está limpeado por el WAF. Vale, gracias. ¿Va a dudas? ¿Nada? ¿A nadie le han hackeado aquí en la sala? ¿Levante la mano que le han hackeado? No lo sé. Seguro que sí, pero todavía no lo sabes exactamente. Aquí tenemos una pregunta. Venga. ¿Dónde está el micro? Yo he preguntado si les han hackeado y han levantado la mano y a todo el mundo ya tenía pregunta. Si no, me aprovecháis por aquí por el pasillo y ya está. Pero bueno, plugins, ¿Qué pienso de la guerra de Ucrania? Lo que queráis. Si Anonymous realmente existe, no existe. Bueno, de hecho, sobre la guerra de Ucrania así les les comento, que es una liga entre comillas que tenemos de ciberseguridad underground que trabajamos a través de Telegram para, pues eso, apoyas a un bando o otro, ayudando a atacar ciertos objetivos dependiendo si te gusta más Ucrania, te gusta más Rusia. Y parece un juego, pero es que es así. Podéis entrar en Telegram, podéis poner cibersecurity ucrania o algo así. Verás, hay varios canales al respecto y empezáis a mirar y hay uno de Doomshel o algo así se llama que va poniendo todos los días una página de los rusos, de tal, los servicios que han parado y tal y así. Parece mentira, pero es así. Sólo una pequeña, así, un pequeño apunte. No dicen a veces o lo menos yo lo he escuchado, que a veces el que te haca es bueno porque es que la página es buena. O sea, aquello de que si tienes haters porque estás haciendo algo bueno, ¿no? Algo bien. Puede ser, en el caso de la ciberseguridad yo te diría que no, porque muchas veces por no decirte el 95% de los casos que simplemente estás en medio, ¿vale? Entonces yo necesitan reclutar sitios o coger sitios para hacer un ataque masivo, un ataque 2 o lo que sea y te piden en medio que tu página es vulnerable la meten en la red y le da igual si te dedicas a comida de gatitos o tienes un adonje o le da igual. Simplemente el anja que hay la usan para atacar a otra. Y esto de la policía os reiréis pero a un compañero le pasó que le entraron en la casa así de entrada a lo bestia y fue básicamente porque le habían hackeado su ordenador en este caso no fue la página sino el ordenador y le habían utilizado como plataforma para un ataque a otro lado y le habían detectado y se pensaban que él tenía que ver con eso después ya se demostró que no. Parece una tontería pero la policía que está muy atante a esto. A ver, pregunta. Ahora que ha habido tanto Jaleo con Twitter con lo de quitar el F2A por SMS que se ha hablado mucho ¿Realmente es verdad lo de que el SMS es tan inseguro como dicen para F2A o se puede seguir usando? Tú te conoces mi caso. A mí me hackearon el año pasado usando un ataque sin swapping. Cuando tú tienes un segundo factor de identificación usando SMS es porque usas tu número de teléfono. ¿Qué pasa con las compañías de teléfono cuando tú has perdido una síntoma? Pides un duplicado y humedamente deja de funcionar y tienes una nueva con el teléfono. Si tú estas dentro de una campaña de ataque por la razón que sea resulta que cometiste el gran, maravilloso y error de poner tus contraseñas en laspas y laspas resulta que la reventaron y resulta que tienes todas las contraseñas allí solo necesitas cuál es el second factor de la identificación y hay muchos bancos que utilizan SMS. En mi caso concreto lo que hicieron fue yo, le dieron un duplicado y durante 35 minutos que tuvieron la SIM ellos pudieron entrar a varios servicios míos e intentar hacer cosas. Tuve suerte de que para hacer operativa interna en mi cuenta de Banco en particular que era lo que buscaban al final del dinero tenía un PIN que no estaba apuntado a ningún lado. Fortunadamente me salve por ahí porque en cuanto hicieron dos otras operaciones y vieron que los PIN no coincidían me avisaron y enseguida bloqueamos todo. Hasta ese momento yo estuve tres días hasta aquí de estrés porque claro no sabía qué querían no sabía si querían mi trabajo, mi reputación mi dinero, qué... Entonces hasta el momento que ya vi que estaban intentando hacer al banco y dije, vale, ok, quiere tener... Casi que es lo que puedo perder y no me importa la reputación el trabajo y todo lo demás como que es mucho más difícil de recuperar o de conciliar. Gracias, me voy a llorar un rincón. Venga, ven, ven. Mi seguridad me ha pasado, a vosotros os puede pasar también. Hace poco pregunté a un tío que se dedicaba a seguridad si había alguna forma de explicarle la gente que no sabía de seguridad este tipo de conceptos sin meterles miedo y no... era de hecho un consorcio de varios cisos sistemas de seguridad ninguno supo darme otra solución. Así que lo siento mucho si estáis un poco tensos cualquier duda aprovechar que me tenéis aquí en la comunidad, me tenéis en Twitter y me podéis preguntar porque al final para decirles, vete a la policía ya corriendo o vete a tal sitio o mira consulta con tal o contrata tal servicio o mira ni te preocupes, para eso siempre estoy. También. Gracias a todos. Bueno, yo tengo una pregunta más es muy sencilla, creo y no directamente relacionada, pero sí. Bueno, tú por ejemplo te apuntaste las contracines en las pastas y los hackearan y bueno, yo por ejemplo no las tengo apuntadas en ningún sitio solo en mi cerebro, pero claro al final es un patrón para mí sencillo que al final es como que todas comparten una parte igual y tienen una parte diferente eso crees que... ya que estamos cuentas las hombres ya que estamos, tínalas Con esa información ya te puedo sacar muchas cosas Claro, eso te iba a decir ¿es más seguro o crees que es más seguro tener las apuntadas en las pastas y que sean totalmente aleatorias? A ver, lo más seguro desde mi punto de vista es el formato las pastas ¿Cuál es el problema? que al final estás confiando en una empresa de terceros si es esa empresa de terceros pues siempre al final los hackers o los hackers maliciosos siempre son listos, van un poco por delante de alguna manera, entonces bueno, nunca hay un sistema súper seguro el que tú planteas es un sistema seguro en tanto en cuanto no conozca ninguna de tus contraseñas si yo conozco dos de tus contraseñas ya puedo deducir tu patrón, con lo cual puedo deducir cuál es la siguiente o al menos puedo enseñar a un programa a que deduzca la siguiente en nada, en unos segundos Entonces, claro, tú ahí juegas con las ventas a decir, vale, sí, yo me las conozco y ya está pero imagínate que tú las has usado en un servicio el que sea, Activision y ha pasado por una brecha de seguridad y esa contraseña ya la tiene alguien de eso que tú las has usado en Spotify y resulta que también tuvo una o en Dropbox y también tuvo una brecha de seguridad pues ya tienen dos de tus contraseñas y si es el mismo patrón puedo deducir todas las que quieran vale, es muy fácil mientras tengas información contextual el tema de la de usar contraseñas random, un rollo 32 bits de estos que no te vas a curar en tu puñet de la vida pero las tienes centralizadas en un sistema de control de contraseñas pues pasa por el proceso de que confías en la presa de terceros que estás gestionando eso ¿Es habitual que esto ocurra? hombre, no, lo de las paz fue ya no solamente fue inesperado, sino además muy mal gestionado por su parte porque no hicieron un posmorten, un informe posmorten no lo aceptaron hasta octubre de este año pasado cuando había ocurrido el noviembre del año anterior tuvieron varias fases en fin, ahora tú me dices ¿puedes confiar en alguno? pues ahora que te diría que en las paz no vale está también en one pass hay otros que son sistemas internos que son privados hay un sistema mejor que funciona, no ¿cuál es el mejor sistema que al mejor puede hacer? si tú puedes un sistema de esto centralizado pero cambias las contraseñas cada pocos meses pues eso te va a salvar bastante pero claro, tienes que pegar el trabajo de cambiarlas todas muchísimas gracias Néstor, ya no tenemos más tiempo para preguntas