 Hola a todos. Voy a ir rápido porque voy a intentar resumir 120 páginas de una ley en 10 minutos. Sobre todo porque quiero que me hagáis preguntas al final. A este soy yo, ya me buscáis por ahí. Importante, yo no soy abogado, soy administrador de sistemas, pero esta ley es importante conocerla. Esto que os voy a explicar es todavía una propuesta, seguramente os suena la RGPD, un reglamento de la Unión Europea. Esto que os voy a explicar es un act, es un reglamento de la Unión Europea, lo que significa que acabará como ley en España. Es probable que los próximos meses cambie, se supone que se tiene que aprobar antes de final de año y como siempre en todas mis charlas lo que diga no podrá ser utilizado en mi contra. Sobre todo, ¿qué es la CERREA? La CERREA son las siglas de Ciberresilient Act, conocida como ley de ciberresiliencia y se lanzó al público el 15 de septiembre de 2022, hace un año que está y como ya lleva un año empieza su proceso de aprobación. Aplica a productos, ¿vale? Productos, lo puesto entre comillas, ya entenderéis luego el por qué, pero bueno, sobre todo es hardware y software. La tenéis aquí, os dejo el enlace fácil porque el enlace real es una locura y básicamente ¿por qué se piensa esta ley o por qué se lanza esta ley? Ya os adelanto, esto se va a aplicar, es muy buena ley, tiene cosas raras, que es lo que vamos a discutir sobre todo en la parte de WordPress, pero esto está muy bien, aunque ahora digáis, ostia, está muy bien esta ley. Sobre todo, ¿para qué se planteó esta ley? Para que los productos sean más seguros y para que los usuarios estén más seguros. Y diréis, perfecto, ¿vale? Hasta que no. Hay excepciones con esta ley, sobre todo porque esto ya tiene su propia legislación, que quedan excluidos los coches, los dispositivos médicos y los aviones. Entenderéis ahora el por qué. Para los objetivos, lo que decía, mejorar la seguridad de los productos a crear como un estándar de, he puesto de seguridad, de ciber seguridad, sobre todo la transparencia en seguridad, que en WordPress a veces se habla de si es muy seguro o no, esto va a arreglar un poco eso, y sobre todo el objetivo es tener productos seguros. ¿Qué significa productos seguros? Pues sobre todo que no nos hagan, todo el mundo dice, ay, que no me hagan el móvil, pues eso es hacer un producto seguro. Si queréis productos seguros, lo primero que tienes que hacer es actualizar, aplicaos el cuento, si no actualizáis vosotros, no os va a actualizar nadie, y esto, cogerlo entre pinzas, porque esto va a cambiar. Ya que os pongo un ejemplo de para qué está pensada esta ley, hoy os voy a hablar de una ley que aplica a vuestra nevera inteligente, porque vuestra nevera enfria, hace hielo y es lista. Eso significa que puedes recibir alertas en tu móvil de que te has quedado sin leche y si le das un botón, te enfriamos. Lo que significa que vuestra nevera está conectada a internet, a vuestra wifi y, depende de cómo, pues como pone ahí, la pueden calentar porque pueden entrar y hackearla. ¿Qué dice la ley? La ley básicamente lo que dice es que aparte del manual, como ya vienen pocos manuales, pues va a venir otro manual más del fabricante en el que se va a documentar todo lo relativo a seguridad y a ciber seguridad del dispositivo. Esta nevera lleva un software, podríamos llegar a meterle un WordPress, si hace falta, pero básicamente lo que queremos es que el fabricante nos diga cuál es los riesgos de seguridad de nuestra nevera. ¿Nos pueden hackear la nevera? ¿Nos pueden hackear la tele a través de la nevera? No sé, ese tipo de cosas. Por lo tanto, hace falta una documentación técnica, como cualquier otra cosa. Y vuestra nevera tiene un motor, tendrá una pantalla, tendrá un montón de cacharricos que hacen que una nevera sea una nevera. Por lo tanto, el fabricante tendrá que revisar toda la documentación de cada uno de los cacharricos e incluirla también en esa documentación. Cosas que hay que documentar de forma más o menos pública, vulnerabilidades, ¿vale? Y esto es muy importante, independientemente del tiempo de vida de ese producto, del tiempo en el que se venda ese producto, como mínimo la documentación de seguridad va a tener que estar 5 años o la vida útil del producto. ¿Vale? Si es más de 5 años. Eso implica que, como estaba diciendo, hay un proceso de ciber seguridad, ¿qué pasa si el fabricante descubre que se puede hackear la nevera? Tiene la obligación en 24 horas de informarlo y, por ahora, de hacerlo público. Los que sepáis un poco de seguridad, si estaréis por si os habrán puesto los pelos de punta. Sí, a mí y yo cuando lo leí también. ¿Vale? Y otra cosa, no es sólo informar al organismo como que se cree en España intuyo que será el incibe, que es normalmente el que se encarrega estas cosas, sino que además también hay que informar a los usuarios, ¿vale? Que también, súper tranquilizador, que te estén mandando los propietarios de tu nevera diciéndote, te están hackeando la nevera. Incluso, si hay algún componente de la nevera que es hackeable, también se tendrá que informar. Ostras, ostras, ya os lo he dicho. Esto es las obligaciones del fabricante, pero también hay obligaciones del distribuidor, ¿vale? El que os vende la nevera, la tienda que os vende la nevera. También tiene obligaciones con respecto a la ciberseguridad. Esto yo lo planteo más como las marcas blancas, ¿vale? Quizá es un ejemplo mucho más sencillo. Una marca blanca al final lo que hace es revender el producto de otro. Por lo tanto, la marca blanca tendrá que leerse la documentación, revisar que cumple la documentación y se tendrá que aplicar. Por lo tanto, si el distribuidor detecta que algo no cumple, no podrá distribuir ese producto. Atención, ¿eh? Has comprado mil neveras y no las puedes vender porque algo no cuadra. Y incluso si tú detectas que eso no cuadra, tienes que informarlo al incibe de turno o a lo que se decida. ¿Qué tiene que incluir la documentación técnica? Pues, por ejemplo, ¿qué es lo que se ha hecho, qué medios se han utilizado para crear esa documentación? La documentación siempre tiene que estar actualizada prácticamente en tiempo real. Estamos hablando de un margen de 24 horas como mínimo por 5 años. Y tiene que estar como mínimo en la lengua oficial del estado donde se venda el producto o una lengua aceptable. Eso es lo que dice la ley. Ya veremos qué significa eso. ¿Qué cosas entendemos por ciberseguridad? Pues que todos los cacharros que se hagan sean seguros. Obviamente no tiene mucho más misterio. Básicamente, la idea es que el producto se entregue con la configuración segura por defecto, cosa que ahora no suele pasar. Tienes que tener un firewall, no puede haber... Bueno, se tiene que proteger los datos personales. Incluso esto es más restrictivo que la RGPD. No puedes tratar datos personales si no son extremadamente necesarios. Vuestra nevera nos puede pedir vuestra dirección de e-mail, entre otras cosas. Y las vulnerabilidades se tienen que corregir. Las vulnerabilidades se tendrán que publicar en un formato estándar. Otra de estas cosas genéricas, que es estándar. Ya lo veremos, alguien lo decidirá. Se tienen que llevar a cabo ensayos periódicos de ciberseguridad. Y cuando haya una actualización de seguridad, el fabricante hará push sobre vuestra nevera y forzará la actualización. Esto de que vuestro móvil os diga o tenéis el botón de tenéis que actualizar. No, no. Se actualizará solo porque sí. Eso es lo que dice la ley. Todas las vulnerabilidades que se encuentren de todas las neveras tendrán que estar en una base de datos de vulnerabilidades de neveras. Y se tendrán que intercambiar los datos, los responsables de las neveras y los distribuidores de las neveras. Y encima, todas las actualizaciones tendrán que actualizarse de forma segura. Y todos los parches, obviamente, son de obligado cumplimiento. Pero, hasta aquí todo bien. Esta era la parte rápida. Ahora viene lo bueno. ¿Qué pasa el código abierto? Claro, hay software de código abierto que se utiliza, por ejemplo, Android. Es código abierto. En este caso, aquí lo podéis ver. Se supone que el código abierto, siempre y cuando esté hecho tal, todo bien, en principio no debería haber ningún problema. O al menos esperemos que no lo haya, que no se le cruce el cable a alguien. Pero, si tú haces una actividad comercial que puede caracterizarse no solo por la aplicación de un precio a un producto, sino también por la aplicación de un precio a los servicios de asistencia o el suministro del software a través de algo que tú monetices. ¿Quién de aquí hace webs? Vale, a todos os afecta esto. Es probable, es probable, que no afecte a WordPress como Core, pero cualquiera que haga un plugin, monte un WordPress, instale un plugin, instale un plugin, automáticamente se convierte en corresponsable de la ciberseguridad del sitio. Ya digo, obviamente va a afectar mucho a los desarrolladores de plugins y habrá excepciones. Bueno, en general todo el mundo estará dentro de lo que se llama producto no crítico, un plugin normal y corriente pues a priori no va a ser crítico, WordPress no es crítico para el mundo, por eso quedan fuera aviones, coches y material médico, como podréis entender, pero sí que hay excepciones. Si utilizáis plugins como firewalls y tal, todo el mundo de aquí sabe plugins de estos de seguridad, estos entran en otro nivel, que es todavía mucho más estricto en cuanto a la aplicación. A ver si pasa. Cosas, la ley en principio no afecta a versiones betas o release candidates. Esto es importante, siempre y cuando tengan un tiempo definido de caducidad. En el caso de WordPress, como sabemos exactamente el proceso de lanzamiento, ahora por ejemplo estamos justo en medio de la release candidate de 6.4, en principio esas versiones pueden incluir agujeros de seguridad. La versión final se supone que no. Si o si hay que documentar y anunciar las vulnerabilidades, no os pueden hacer pagar por ello, tiene que ser completamente libre. Y la comunidad deberá adaptarse para facilitar la actualización forzada de plugins, entre otras cosas, aunque el usuario lo tenga puesto a no actualizar automáticamente. Tiene truque esto, porque normalmente estamos mal acostumbrados a que cuando a veces viene una actualización de seguridad y viene con otras cosas más, habrá que hacer versiones de seguridad un poco lo que se conoce técnicamente como un hotfix, que es solo, o sea esa versión hiper menor, o sea si tenemos la 1.0.0, a lo mejor sale la 1.0.0.1, que es una actualización que solo corrige eso, que es inseguro, ¿vale? Sois desarrolladores, agencias, ¿cómo os va a afectar? Vais a ser responsables indirectos de la seguridad de servidores, WordPress, plugins, temas o cualquier cosa. Hay que actualizar todo, siempre, ya se puede quejar el cliente de lo que quiera. Es obligatorio por ley, las multas son de 15 millones de euros. Para que os hagáis un contexto, las máximas de la RGPD son de 600.000 euros. Atención, que esto es muy jodido, ¿eh? Y otra cosa importante, tenéis que documentar todas las pruebas de seguridad sobre los sitios que tienen que ser continuas como se estaba diciendo. ¿Cuándo va a llegar? Todavía no se sabe. Esa es la buena noticia, ¿vale? Ya os aseguro que esto va a llegar, ¿vale? Mi intuición es que, en teoría, se va a probar antes de final de año o a principios del año que viene, pero esto va a llegar. Es probable que, como la RGPD, en un plazo de dos años, etc, etc, etc, o sea que no lo vamos a ver hasta el 2026, pero bueno, ahí está. Mi recomendación, que empecéis a hacerlo, porque va a llegar, sobre todo la parte de documentar, ¿vale? Cosas que hay que hacer o que deberíais de empezar a tener como buenas prácticas. Esto ya lo digo como responsable de mantenimientos de muchas cosas y parte del equipo de hosting de WordPress. Actualizar todo, ¿vale? Acostumbraos. Vuelvo a lo de antes. El cliente puede decir misa, ¿vale? Porque ya le podéis empezar a cascar esto. ¿Te acuerdas de lo de las cookies y tal? Que no te pille el toro porque esto va a llegar. Sobre todo, avisar a los clientes de las vulnerabilidades, ¿vale? Os recomiendo, esto aquí es un poco autobombo. Tenéis un bonito plugin que se llama WP Vulnerability en el que tenéis todas las vulnerabilidades de WordPress completamente gratis gracias a muchos patrocinadores. Y añadir, esto yo ya lo he empezado a hacer, podéis mirarlo precisamente en este plugin. Añadir una sección de seguridad en vuestros plugins o temas, ¿vale? Yo, por ejemplo, lo que he añadido es un poco las pruebas que he hecho, medidas de seguridad activa y sobre todo método de contacto. Va a ser obligatorio que sea fácil contactar. Y ya está. Sé que he ido muy rápido. Pero tenemos tiempo para preguntas. Que era lo que quería. Entonces, preguntas. A ver, ¿va a aplicar a todo el planeta cómo aplicó la RGPD? Se plantea que esta ley, como pasó con la RGPD, acaba extendiéndose a otros sitios. En Estados Unidos seguramente pasará como la RGPD que va por Estados. Pero esto es algo que todo el mundo, porque lo sé, porque hay otros países que están a la espera de ver qué es lo que pasa aquí. Un poco, ya digo, como la RGPD. El modelo a seguir, esto ya os digo, ¿eh? Va a pasar sobre lo que seguro que no se va a eliminar en cualquier caso de la ley, es lo de la documentación. O sea, lo de la documentación y lo de los test y lo de que todo tiene que estar actualizado. Eso no se va a eliminar independientemente de que se haga la excepción del core de WordPress o no se haga. Eso tenerlo casi seguro. Por ahí hay preguntas. ¿Qué pasa en el micro? No soy abogado, no me preguntéis cosas chungas. En los trenes de cercanías y de Renfe, que sé que siguen utilizando Windows 98, 95, ¿esto les afecta? Es decir, vamos a poder estar al día de si están actualizados a nivel de seguridad. Sí, sí. Esto aplica, ya os digo, se ha puesto el ejemplo de la nevera, porque pensaba que, o sea, no quería poner el ejemplo de WordPress para que veáis que afecta a cualquier dispositivo. O sea, cualquier pieza de hardware que tenga software conectado a Internet a priori o pero da igual, cualquier cosa que tenga algo para enchufar un USB, cualquier cosa le va a afectar esta ley. Sí. A ver, yo muchas veces hago un desarrollo para un cliente y se lo doy y a partir de ahí él se encarga del mantenimiento o su equipo o nadie. Yo no puedo seguir, pues, si yo tengo que seguir, tiene que ser, sí, pero si yo tengo que seguir se lo tengo que cobrar. No se le puede cobrar las actualizaciones de seguridad. Tienen que ser gratuitas, lo pone claramente la ley. O sea, que se lo vas a meter en el contrato inicial. Lo que tú hagas, como lo hagas, me da igual. Exacto. Pero sí. Las actualizaciones, entonces, de plugins de terceros o todo. A ver, los desarrollos a medida, los desarrollos a medida que hagáis o los plugins que tengáis o los temas que vosotros desarrolléis, sois 100% responsables de ellos, porque vosotros tenéis, digamos, como la propiedad intelectual del código, aunque el cliente lo haya pagado. Los responsables de desarrollo son las personas que pican el código. Cuando vaya a buscaros el juez, le dirá, ¿Y quién ha puesto a igual a uno esta persona? ¿Solo ha hecho a igual a uno? Esto es insegur... Está metido en esto. Esa persona va a estar en ese juicio. ¿Vale? En ese caso, tú eres responsable de que, al menos, cuando se entrega, tú tienes que haber revisado toda la documentación y validar que sea todo seguro. O sea, eso es seguro. Lo otra cosa es quién hace mantenimientos y demás. Os pongo un ejemplo. Si una gente que utiliza... Pongo un ejemplo muy conocido. Pero gente que utiliza Elementor. Normalmente, la gente que maqueta con Elementor, que simplemente se limita a maquetar, o sea, que no hace nada, suelen pedir, ¿Me puedes instalar el plugin de no sé qué? Esa persona, sólo por pedir ese plugin, ya responsable de la seguridad completa del sitio. Os vuelvo a decir, esto es lo que dice hoy en día el lante proyecto de ley. Cuando esté la versión final, ya os diré, a lo mejor tengo que venir y retractarme de cosas. Pero ya os digo, hay cosas que es muy probable, muy poco probable, que vayan a cambiar. Esta es una de ellas. Y ahora la pregunta lógica que viene después de todo esto que estamos comentando. ¿Qué mecanismos se prevén para que haya un seguimiento de ver cuándo no se ha cumplido esta ley? O sea, se va perseguir activamente para ver que alguien no está cumpliendo esto para sancionarle, o es más bien cuando ocurra algo, el cliente o afectado puede denunciar a su proveedor y entonces a partir de ahí se toma acción. A ver, la ley te obliga. Esto es un poco lo que pasa con la RGPD. Que por norma general no pasa nada hasta que alguien empieza a navegar por internet y ve que hay cosas que no van bien y que no estás filtrando el código de Google Analytics y te llega una notificación de la Agencia Española de Protección de Datos. Y ya está, a veces es una notificación. O sea, lo que todavía no se sabe es dónde están los rangos de qué es grave, qué es leve y tal. Porque eso no depende del reglamento, sino que dependerá de la ley orgánica que se aplica en cada país. El AACS este el reglamento lo que hace es las directrices de los mínimos que todos los países de la Unión tienen que aplicar. Ya digo, esta es la misma movida de la RGPD, la tenemos en la puerta para esto. Que dentro de un par de años te digáis, ¡Hostia! Lo que dijo Javi, ahora me lo voy a comer. Que sepáis que esto viene para quedarse. ¡Hala! Se ha dejado súper tranquilos, después de la comida.