 Buenas. Seguimos con las charlas rápidas. Son rápidas e interesantes. Ahora vamos a dar la charla de Nilo Vélez. Nilo es al que a todos nos gustaría esperar y os resumo. Madrileño casado con una sevillana y viviendo en Sevilla. Fricky tecnológico de todo cacharro que se le pone por delante y encima se le da bien, doy fe. Si preguntas cualquier cosa en un foro de soporte es el único que sabe la respuesta a todo. Y sabéis lo mejor que además es buena persona. Siempre he dispuesto a ayudar a los demás y a colaborar con la comunidad WordPress. También doy fe. Y esta nota no la ha escrito Fernando Tellado ya que Nilo prefería que le hiciera él. Un aplauso y Nilo, adelante. Hola, ¿qué tal? Hola. Bueno, buenas tardes. Gracias por estar aquí hasta ahora. Y sobre todo teniendo en cuenta que os he dicho que no me engáis. Pero bueno, eso ya cada uno con sus neuras. Ya me han presentado de sobra más de lo que yo quisiera. Pero soy moderador de traducciones de español de España. Soy moderador de WordPress TV, organizador de la mita de WordPress Sevilla. Hago un montón de cosas. Soy también el tío que estaba ya arriba gritando para que os pusieres en la foto de familia. Que bien pensado, lo mejor antes de una charla no era la mejor de las ideas. Pero bueno, el tiempo dirá. Sí, vengo a hablaros de seguridad. Pero voy a daros la charla que no es la charla que queréis. Porque todo el mundo lo que queréis es la charla que yo me voy a contar batallitas. Y os diga el truquito, el plugin, que es lo que tenéis que hacer para asegurar vuestro sitio. Y en vez de eso lo que vengo es a contaros las verdades del barquero. Y la primera de las verdades del barquero es que los hackers no llevan capucha. A ver, puede llevar alguno habrá que lleve capucha. Bueno, a lo mejor no es tan obvio porque buscas en Google imágenes hacker y todo lo que sale son gente con capucha. Pero lo importante no es las preferencias de moda de los hackers. Sino que vosotros, este no es el tío que os vais a encontrar. No os vais a encontrar con el especialista que busca el agujero de vuestra web que va por vosotros con el que tenéis que buscar. No. O sea, a vosotros no os va a hackear el hacker de la capucha. Os va a hackear el chino en calzoncillos. O sea, esta buena gente de aquí es Microsoft. O sea, cuando a vosotros el banner ese que dice, ojo, tu equipo tiene virus, pincha aquí para hablar con Microsoft. Ellos son Microsoft, ¿vale? Estos no son hackers, son scammers, que son estafadores. Pero ellos están haciendo su trabajo. Están en una planta, en una empresa en la que trabajan eso. Estafando a la gente es su trabajo. O sea, ser un ladrón también es una profesión honrada. Y lo mismo que tenemos con los scammers, también hay gente que hace otras cosas. Esta foto no se la he visto alguna vez. Esta buena mujer, lo que tiene es un montón de iPhone y está modificando las puntuaciones en las App Store a base de darle cinco estrellitas a las aplicaciones de sus clientes. A ver, que lo veis así, tanto uno como otro y suena un poco rancio. Una persona que son empresas del tercer mundo, pero es que si vemos esto, vemos este vídeo, se arranca, ahí estamos. Veis que esto es una empresa que hace lo mismo. Tiene un chorro de emuladores, un chorro de iPhone. Y lo que están es manipulando perfiles de TikTok, perfiles de Tinder o de lo que le contraten para hacer, simplemente tener más visualizaciones. Estos tampoco son hackers. No voy a ser tan suicida como para poneros un vídeo de hacker de verdad, pero el concepto realmente es este, que el que a vosotros os va a hackear no es un lobo solitario que va a vos tra... No. Os va a hackear una empresa que lo que buscas beneficio. Entonces, ¿cuál es la realidad del ataque que os vais a encontrar en la inmensa mayoría de los casos? Pues es una de estas empresas que monta, contrata una botna, que simplemente es una red de ordenadores hackeados, le meten un script de vulnerabilidades, que simplemente es un ariete, una cosa que van tirando contra toda la web que se encuentra, y en algún momento pues llegan al punto en que encuentran un servidor en el que ese ariete funciona o una web en el que ese ariete funciona y consiguen entrar. Una vez que están dentro, por lo que hacen simplemente es instalar una puerta trasera. Vosotros en ese momento todavía no sabéis nada, no sabéis ni cosa ha hackeado, pero ellos ya han dejado instalado una puerta trasera con la que cuando quieran pueden volver a entrar o viene a vuestro servidor o a vuestra web. Y diréis, bueno, y ¿quién soy yo? O sea, ¿mi web para qué quieren mi web? Si mi web es un blog de mindfulness, o sea, ¿qué utilidad tiene para ellos? Vuestra web no la quieren para nada. Lo que quieren es vender esas creenciales. Esa puerta trasera, esas creenciales de esa puerta trasera, la venden. Aparte también se la quedan ellos mismos como parte de su botnet para seguir hackeando más gente, pero su principal interés es este. O sea, el día que vuestro servidor o vuestra web esté aquí, estáis muy jodidos. Esto es una de las cientos de páginas que hay en la Darweb que se dedican a vender creenciales. Lo mismo que venden cuentas de PayPal o cuentas verificadas de banco, pues hay gente que vende creenciales de hosting. Entonces, ellos realmente, a vosotros, vuestra web no le importa una mierda. Lo que quieren es un servidor, una IP limpia desde la que mandar spam, un sitio donde montar phishing, realmente están buscando ganar beneficio. Entonces, para entender cómo funciona este tipo de ataques y dónde está realmente la vulnerabilidad, hay que entender el modelo OSI, que es el que explica las distintas capas de un protocolo de transferencia, de cómo pasa la información de un punto a otro por internet. Y si habláis con cualquier experto de seguridad, os van a decir que siempre la culpa es de la capa 8. Si aquí hay 7, ¿cuál es la capa 8? La capa 8 es la interfaz silla ordenador, también conocida como el usuario. La inmensa mayoría de los ataques son prevenibles y porque son culpa de negligencias del usuario. ¿Cómo se evitan? Pues con las tres tonterías que ya hemos diciendo toda la vida, que si las cumplirais, esta charla no existiría, estaríamos dando la charla de las batallitas, tener copiar de seguridad al día, contraseñas seguras y tenerlo todo actualizado. ¿Copiar de seguridad? Pues simplemente una copia de seguridad. Copiar de seguridad que tengáis probadas, que veis que funciona, una copia de seguridad hasta que no se prueba, no sirve para nada, porque el día que tiréis de ya a lo mejor no está bien configurada y no funciona. Intentar utilizar la regla del 3.2.1, que lo decimos también siempre, que cada contenido esté al menos entre sitios, que sean dos ubicaciones distintas y que al menos una de ellas sea una ubicación remota. Básicamente para que, si vos todo atacente sale ardiendo, que siga quedando una copia en algún lado. Y también, por supuesto, adecuar la frecuencia de las copias de seguridad el contenido que estáis protegiendo. No es lo mismo, una web corporativa, que si restauráis un backup de hace un mes, no se enterará nadie, que si restauráis un backup de una tienda online de algo autodráfico, que como recuperéis un backup de ayer, estáis perdiendo 500 pedidos. Para las contraseñas también lo mismo de siempre. La primera regla es que una contraseña que sois capaces de recordar es una mierda de contraseña. Patatita no es una buena contraseña. Pero lo más importante es que no utilicéis patatita en todos los sitios para cada cosa una contraseña. Si combines las dos cosas de contraseñas complejas con intentar utilizar en la medida de lo posible una contraseña para cada sitio, puedes simplemente utilizar un gestor de contraseñas de los que hay a miles. Casi todos tienen un plan gratuito que para uso normal lo basta y lo sobra. Y ya está. Ahora, si tratáis con datos sensibles, estáis en algún puesto de responsabilidad, donde sea posible utilizar la autentificación de dos factores. Es lo que además de pedir la contraseña os mandan un email, os mandan un SMS, os mandan un código a la aplicación, es que además de saber vuestra contraseña tienen que tener algo vuestro, que es una medida extra de seguridad. Si coordináis a algún equipo, si estáis en algo de la comunidad WordPress, simplemente en vuestro perfil de WordPress tenéis la opción ya de meter la autentificación en dos factores, por SMS, con Authenticator o con lo que sea. Por favor, activadlo. Y, por último, las actualizaciones que esta tiene, son más complicadas de lo que parece, porque la regla es muy sencilla tenerlo actualizado todos los componentes del servidor, el núcleo de WordPress, los plugins, los temas y vuestro código. Porque el código que escribisteis hace 20 años cuando tenéis 2017, a lo mejor no es lo más seguro del mundo y a lo mejor había que dar una vueltecita. También aquí, chocamos muchas veces con que te llega el cliente y te dice, no, no, es que esto es una cosa que no se puede actualizar porque explota. Bueno, pues entonces hay que rehacerlo. Aunque eso implique, rehacer la página, cambiar de plugins, cambiar de componentes, lo que sea. Y esta es la que más mala leche tiene de todas. Y es que todo el mundo lo que entendéis por actualizar es que vais a vuestro WordPress, a la pantalla de actualizaciones, ves si hay algo pendiente y si hay algo pendiente lo actualizáis. Bueno, pero qué pasa cuando ese plugin lo han cerrado, ha desaparecido, el autor ha dejado actualizarlo hace 10 años. Entonces aquí una muy buena costumbre es una vez al año daros una vueltecita por todos los plugins que tenéis instalado y simplemente mirar el repositorio que sigan existiendo y que sigan recibiendo actualizaciones. Y si no, pues, reemplazarlo por otra cosa. Y ya está. Son estos, son tres cositas. Las contraseñas, las copias de seguridad, las actualizaciones, lo de siempre. Cuando tengáis esto hecho nos empezaremos a preocupar del hacker de la capucha. Hasta que lleguéis a este punto el problema sigue siendo vosotros. Y eso es todo. Muchas gracias.