 Bueno, no sé si es de los mayores expertos, pero al menos de los más pesados que suelen hablar en la WorldCamps y esas cosas, sí. Veamos. Ya sabes, este tema de ciberseburidad siempre es un poco coñazo de lo contarlo, porque al final la gente que no es técnica se asusta, dice esto es magia, magia negra y demás o estos hackers y demás y tal. Y después está el resto de los técnicos y estas cosas que vienen y dicen, oye, a ver qué cuenta, a ver qué cosas más guay, ¿no? Yo trabajaba hasta 2023 en una empresa de hosting muy grande en la parte de seguridad, entonces he trabajado como yo siempre decía como un CSI, limpiando página web, así que veía mucha actividad maliciosa por ahí, sobre todo muchos ejemplos y cómo se hacían en las páginas. Entonces, una de las cosas que siempre trato de hacer en mis charlas es explicar un poco con ejemplos que es lo que te puede pasar si te hackean, pero la gente sigue pasando un kilo de lo que les explico, entonces yo estoy un poco preocupado, estoy preocupado porque, a ver, que levante aquí la mano quien destine de su presupuesto de quien de sus páginas o de su agencia o de sus demás una cantidad a seguridad, una cantidad. Vale, esa cantidad, digamos, que es un 5% de presupuesto. Yo siempre intento de alguna manera concienciaros que aunque sea mi negocio, alguien lo dirá así, no? Bueno, es que tu ganas de la seguridad, hay que invertir en seguridad desde el principio. Nosotros decimos en la parte cuando un poco estudiamos el tema de seguridad que la seguridad no es algo que pongamos en nuestra página, sino que debe estar desde el diseño, ¿de acuerdo? Entonces, bueno, esta charla va un poco en ese sentido de mi preocupación de decirle, bueno, a ver si os enteráis de una vez que tenéis que aplicar un cierto dinero cuando hacéis página web para seguridad, sí o sí, ¿vale? Y si no, os vais a enfrentar a cuánto va a costar si os hackean. Y hay un señor muy conocido, por ahí tengo una slide, si no recuerdo mal, es la que le explica básicamente que dice que solo para ellos solo hay dos tipos de empresas y de personas, ¿no? Aquellos son las que le han hackeado y las personas que aún no saben que les han hackeado, ¿vale? O sea, les va a pasar. Ya usen playground, ya usen lo que sea. En el momento que pongáis un WordPress en funcionamiento, no va a tardar mucho en empezar a recibir ataques de China, de Rusia y demás y tal. Un poco presentándome un poco más a la parte profesional, pues eso trabaja como analista de seguridad en esos años, en Gouda y en Sukuri. Y ahora trabajo, soy buen ingeniero, hasta hace poquito, ahora soy data and research manager de Patchstack y después, aparte, pues un poco algo de gran envasador de esa marca. Puedes encontrarme principalmente en Twitter, me puedes encontrar también el LinkedIn, son las dos redes que uso, normalmente no me buscas ninguna otra porque paso un kilo. Pero bueno, sí que es importante, me gustaría que recalcar que he conseguido la certificación de la CISSP en 2022, que es una de las certificaciones más importantes a nivel internacional en seguridad. Así que no por decir, hey, soy un máquina, sino por decir, tenéis mi Twitter, tenéis mi LinkedIn, si tenéis un problema, contactadme. Si veo que el problema no lo puedo resolver o no podéis pagarme lo que cuesta para resolverlo, o voy a indicar cómo hacerlo o a quién debéis contactar para resolverlo, ¿de acuerdo? Así que al menos información útil vais a tener. Y lo digo simplemente porque realmente estoy preocupado, porque yo quiero que la gente realmente se asegure un poco, ¿vale? Esto lo he copiado de aquí, mi colega Joanca, que lo ponía también en sus presentaciones, que me gusta hacer de alguna manera un disclaimer, no sé ni abogado, ni soy contable, ni vengo a publicidad ninguna empresa, a pesar de que soy braca envasador, pero sí que es importante que tengáis en cuenta que lo que digo, lo digo desde el cariño, así que tampoco lo me interpreteis o igualmente cogeos las interpretaciones como algo vuestro, no como algo de lo que digo. Bien, es importante ahora que cojáis aire, porque voy a presentar qué os pasa si os haqué. Lo primero, obviamente, es lo de siempre, de, oye, mira, me han metido un administrador sospechoso, o de repente empiezan a cambiarte los posts, o si no sé si lo habéis visto esto, pero es el... ¿Cómo se llama esto? La interfaz para el tema de las revisiones de un post, ¿no? Pues si estáis viendo el post actual aquí a la derecha y el post anterior resulta que también estás hackeado, pues hay como una batalla de hackers, ¿no? Los puede cambiar la página web un poco ligeramente, empezáis de repente en el mercado de la droga y no lo sabéis, os meten plugins que no sabéis de dónde viene, uno de YULLA, oye, igual podéis instalar un YULLA dentro de vuestro Wordpress, pero no, no era un YULLA, era un XMET, no, no es un XMET, resulta que había usado una XMET para mimetizarse y hay pasar desapercibido, o resulta que vuestra cuenta las han suspendido, o resulta que os han marcado como que vuestra página puede ser peligrosa, o resulta que os han marcado con la famosa etiqueta tu sitio puede haber sido hackeado, o os puede haber rechazado vuestras campañas de ads que habéis pagado vuestro buen dinero y os lo han desaprobado, o os meten en una redirección inicial en las que de repente regaláis iPhone por preguntas estúpidas, o os sale un señor muy simpático para deciros, oye, y quiero que demuestres que no eres un robot, dale al permitirme, o yo que sé, os meten un ransom, pero los casos tenéis que gastar un dinero para recibir vuestro dinero, vuestro dato de nuevo, o bueno, o esto, que parece que es lo que más miedo le da a la mayoría de la gente que cargue vuestra página y no funciona, ¿vale? A mí lo que más miedo me da es cuando pasa esto, ¿qué ha pasado? Y conozco varios ejemplos, la gente que le entra, la gente en su casa, la policía, en plan, eres el mejor hacker de la historia, te vamos a meter en una prisión de estas escondidas en medio del Atlántico, y en el fondo no pasaba nada más que habían utilizado tu infraestructura para un ataque. Bien, en resumen, os han hackeado, ¿vale? Pueden pasar estas cosas, pero pueden pasar cosas mucho más chungas. Para mí es importante, sí, para hacer la diferencia, que es un hacker, ¿vale? Para mí este señor es un hacker, igual soy muy viejo o no, yo creo que aquí tenemos unas dadas todas, ¿verdad? Entonces, este para mí es el hacker, el hacker, ¿vale? El señor McIver, este acaba de coger un chicle y arreglar un coche, así que, en fin, en el fondo la traducción de hacker sería esa persona curiosa que va un poquito más allá de los convencionalismos y los límites, ¿no? Cualquier persona que ahora veis, pues eso, en TikTok y todas estas cosas, un montón de vídeos de cómo utilizar la gotella para hace 4.7887, cosas diferentes, o montáis un difusor automático, me da igual, lo que queráis, todos son hackers, ¿vale? Y todas estas personas que están aquí, hombres y mujeres de la historia, también fueron hackers, ¿vale? Son gente que utilizó cosas para lo que no estaba pensado y descubrieron cosas nuevas, ¿de acuerdo? Bien, entonces, ¿a qué llamamos hackers? Pues ese señor malicioso, ¿vale? Que se aprovecha de sus conocimientos de ordenador para ganar dinero. Normalmente en un juego sumacero, lo que significa que lo que él gana, tú lo pierdes, ¿vale? Todos tenemos esta imagen en la cabeza. Bien, siempre me gusta de alguna manera diferenciar que hay hackers y caes y hackers, ¿vale? O hackers maliciosos y hackers maliciosos, tal malo, el bueno, y el que no sabemos muy bien si es bueno o malo, dependiendo de qué le preguntes, ¿no? De esos que están en medio, tenemos, bueno, este es un poco antiguo también, pero también era un hacker, digamos, de los de grises, pero, bueno, este que es un poquito más actual, ¿vale? El señor Snowden y su compañero, de su soulmate. Bien, en el fondo, lo que tengáis en cuenta, que los analistas de seguridad también somos hackers, ¿vale? Somos guay, o sea, no nos piden que haquemos un Facebook, más que nada, porque es caro, ¿vale? Pero podemos hacerlo, pero tenemos esos conocimientos. ¿Por qué? Porque no podemos defendernos o defender si no sabemos cómo funciona. Vale, bien, hasta aquí una presentación más o menos de esto, pero sí que es importante para mí ponernos conceptos importantes, ¿qué es esto de ciberseguridad? ¿Qué rollo es este? ¿Vale? Bien, acotemos. No somos los salvadores de vuestras páginas web, ¿vale? No es como cuando dices, ah, soy informático, conches, me puedes arreglar el vídeo, no, o la impresora, no. Bien, ¿qué es un experto en ciberseguridad? Pues esa persona que cuida de la información, ¿vale? Básicamente, tiene en cuenta la triadacía en inglés, que viene a ser algo así como confidencialidad, integridad y disponibilidad, o traducido al castellano. El documento completo para la persona adecuada en el momento adecuado, ¿de acuerdo? Y después tal lo de abajo, ¿no? Que es cuando se filtra información, cuando saltera, cuando se destruye, digamos que son como la contra. Bien, pues nosotros somos los guardianes de esa información que está ahí en el centro, y esos tres factores son los que tenemos que garantizar, ¿de acuerdo? Después hay otro tipo de capas alrededor, ya física, hardware y demás y tal, y otro tipo de niveles de seguridad. Pero básicamente, ¿no es donde digamos esto? Y esto es importante en esta charla en particular. Y es, el concepto de due diligence o due care, ¿vale? ¿Qué significa esto? Imaginados que os hackean una página. Y esa página va a dar todos los importantes de la gente, de correos, horitación sexual, lo que fuere. Y resulta que os cae una multa. Y tenéis que personalizaros en el juicio, porque tenéis que defender vuestro caso. ¿Cómo demostraes que no os han hackeado porque realmente tenéis un plugin que tiene una vulnerabilidad y no porque ustedes habéis hecho las cosas mal? Actualmente, habéis montado Wordpress, ¿no? Habéis montado página web, porque ante los que estamos aquí lo han hecho todos. ¿Cómo demostráis que ustedes habéis hecho las cosas bien y que simplemente ha sido por una vida de otro grupo? No podéis hacerlo, ¿vale? Hay un plugin súper importante que debería estar en todas las páginas de Wordpress y que Wordpress debería tener en el core, y esperemos que lo tenga, que es básicamente para loguear todas las acciones, ¿vale? Para saber que tú como administrador instalaste tal plugin, que tú como administrador cambiaste esta opción, que tú como administrador creaste tal usuario, que tal usuario se puede meter, no sé qué, hizo esto y hizo lo otro. Ese logueo, esa información, es lo que después en un juicio se puede crimir para decir, eh, no ha sido cosa mía. Aquí tiene usted un log, un backtracking, donde usted puede ver dónde han sido todas las acciones y esto han entrado a través de la vulnerabilidad tal de tal sitio. Vale, pues toda la multa que ha dado para mí, se la manda para él, al grupo del plugin que ha fallado. O del Wordpress o de lo que sea, ¿de acuerdo? Entonces, ser diligente y tomar acciones es importantísimo dentro del mundo de la ciberseguridad, sobre todo de cara a problemas judiciales, ¿de acuerdo? Hay una cosa curiosa también, que está también en el cuadrito abajo, que es en la parte de tener cuidado cuando te preguntan en un juicio acciones que tú tomas, debes tener en cuenta la regla del hombre prudente. ¿Qué significa? ¿Qué haría una persona prudente en este caso? ¿Vale? Básicamente. Esto lo nombro porque ya me he visto con casos que me dicen, ya, pero es que si no tienes esto, no puede demostrar que tú lo hiciste bien. ¿Bien? ¿Cómo se hackea un Wordpress? Tiendo a decir siempre que los Wordpress no se infectan en el aire, no está como el COVID, tiene que haber una vulnerabilidad, tiene que haber un espacio, que alguien se da cuenta que está ahí, mete un digamos un poco de cemento para que no se cierre del todo y dentro de ahí te mete el paquetito y una vez que está el paquetito dentro, de igual si el agujero se cierra o no. Básicamente esa vulnerabilidad puede ser explotada y si es explotada te pueden inyectar algo dentro, puede ser Navagdor, en el peor de los casos, puede ser código final en el mejor de los casos o puedes tener una brecha de datos. ¿Vale? A partir de ahora nos vamos a poner un poquito, esto era un gif, muy mono de la máscara, no sé si conocéis esta película. Básicamente el tío se pone con una máquina, y si se pone en plan, vamos a ponernos en plan contable, ¿no? Ahora vamos a la parte, digamos, legal. ¿Qué es una brecha de datos? ¿Vale? Cuando existe una violación de seguridad y en la que existe una filtración de datos personales, ¿vale? Destrucción, pérdida y alteración occidental o ilícita de datos. Que no es una brecha de datos cuando hay iniciente de seguridad pero no existe esa filtración, manipulación de datos personales, ¿de acuerdo? Esto es importante. ¿Por qué es importante? Porque si tú tienes una página que es la que, por ejemplo, el hace permanente, ¿no? En la que tú simplemente haces una curación de información y ya está, y te entran, ¿vale? Ahí la información que a lo mejor... Ciudad no ve, yo se lo conozco por el nick. Debería salvaguardar es todas esas personas que están suscritas, los correos de esas personas. Ahí es la información sustitiva. Si él tiene un sistema de loggeo en el que se demuestra que su información de la base de datos no ha sido filtrada, aunque le venga una citación, no va a tener ningún problema porque no es una brecha de seguridad de datos. ¿Qué significa daño a perjuicios? Pues, bueno, cualquiera de estos, su pasión de identidad, que a mí me ha pasado, perdida financiera, daños reputacionales, daños reputacionales, eso es importante también. Si tu reputación está demostrada que ha sido afectada por una brecha de datos o la reputación de otras personas, ahí hay caso. Bien, para finales de personas, ¿vale? ¿Qué se consideran esos datos sensibles? No sé si alguna vez lo habéis visto, si habéis revisado un poco la GDPR más o menos y tal, pero esto es un poquito más o menos lo que hay. De datos básicos, nombre, apellidos y demás, ya son datos sensibles, hasta datos de contacto como e-mail y demás. Es decir, si tú haces una página y hay suscriptores que ya coges su e-mail, como no los encryptes en la base de datos y te los filtren, GDPR al canto y multa, ¿vale? Hay cosas mucho más complejas, no creo, no sé si alguno de los que están aquí los buscáis, pero datos económicos, financieros, en fin, de esto típico que, bueno, pero si te quieres bajar mi e-book, quiero que me cuentes si pertenece a una empresa que puesto de trabajo tiene y de más, ¿y cuántos empleados tiene tu empresa? Esa información también es sensible. Religión, creencia, datos genéticos, bueno, no creo que trabajéis con datos genéticos, pero bueno, sí que es importante, si hay una brecha de datos o sospecháis que hay una brecha de datos, tenéis que comunicarlo antes de 72 horas a las autoridades competentes aquí, la que gestiona la ley Organica de Protección de Datos en España. Y tenéis que hacer una evaluación de riesgo, esto es importante, la gente se olvida de esta parte. Y eso qué significa, pues, tenéis que buscar toda la información que tenéis en vuestra página, tenéis que contratar una analista o a vuestros manitas de sistemas y que os diga, oye, ¿ha pasado esto? Dime exactamente qué ha pasado por confechas y con obras y contarnos cuántos y hasta dónde pueden haber llegado una valoración, ¿no?, de probabilidad alta, muy alta, baja o improbable, hasta la severidad de gravedad del impacto. En base a eso, tienes una tabla. Bien, voy a daros un ejemplo. ¿Qué pasaría si yo tengo un blog personal y una newsletter? Creo que es el caso de varios de los que están aquí, ¿no? Levanta la mano a quien tiene este caso o que lo está manejando algún cliente con este caso. Vale, bastante típico. Bien, ¿qué sueles pedir en una página como esta? Pues, nombres, apellidos, correos, a veces teléfonos, cargos, empresas, edad, esta información que a veces la gente encuentra útil. Tenga de en cuenta o tenga de en cuenta que si hay una denuncia también de un organismo como la GDP o la Ley Orgánica de Protección de Datos y ustedes no demostráis por qué estáis pidiendo el teléfono a vuestros clientes, también tenéis una multa, ¿vale? Si el que pedís el teléfono es porque tenéis justificación para ellos. Bien, esto, bueno, la idea era que fuera por partes. Aquí estoy haciendo un declose de cuánto te está costando la web, cuánto más o menos hora por, o sea, el dinero por hora os costaría mantenerla y cuántos serían vuestros ingresos en general, ¿no? Estoy estimando que el hosting y el dominio te cuesta entre cientos de euros al año, que el diseño te va a costar de cero a tres mil cero, pues si tenéis un cuñado que os lo haces o lo hacéis a vosotros a mano, nos cuesta cero. Y los plugins en servicio, pues si vais a los súper mega gratuitos o si pagáis un dinero por algo, más o menos está en ese rango. Y, pero aquí, ¿qué es lo más importante? El tiempo que le digáis, ¿vale? El tiempo que hacéis para recuperar datos tal como lo que hacéis para vuestro blog y para que los suscriptores digan, oye, pues me molesta de estar suscriptores a este sitio. Vamos a poner que cobráis 20 euros la hora, una miseria, pero bueno, ponéis que está eso, ¿vale? ¿Y qué le digáis 300, 400 horas? Pues aproximadamente el coste va a ser entre 6.000 y 9.000 euros, solo por vuestro tiempo, ¿vale? Y por los ingresos resulta que tenéis un blog de la leche y os contratan a varias sitios, os mandan yo que sé, una invitación al Caladenares a ver una charla en la web, como va el week. Y resulta que gracias a eso, pues tenéis un contrato y de manera indirecta ganáis 10.000 euros al año, ¿vale? Pues, bueno, es la cuenta de la vieja, básicamente mis beneficios, entre 1.000 y 4.000 euros al año, por mi blog de noticias y newsletter, y le estoy dedicando 400 horas. Bueno, bien, puede ser un caso. Muy bien, ¿qué pasa si te hackeo? Pues tienes que invertir estas cosas. Primero, determinar qué ha pasado, necesitas tiempo, implementar medidas tesoriales, necesitas tiempo y contratar a un servicio de seguridad, servicio para limpiar el sitio, lo mismo, tiempo y tal, siempre necesitas tiempo, ¿vale? Así que el tiempo, como vos visto, cuesta 20 euros la hora. Por cada hora que estáis invirtiendo, el dinero que estáis perdiendo. Comunicación a la Agencia de Española de Protección de Datos, estudio de riesgo de impacto, y si encima, o sale que en ese estudio, la probabilidad de la severidad es alta, pues encima tenéis que hacer esto, notificar a vuestros clientes, lidiar con las quejas de comunicaciones, si en su caso hay demandas, sobre todo el estrés, que también es un dinero porque hay que pagar al psicólogo para mantener el estatus y la cara bonita delante de la gente, pero después hay una cosa que se llama la multa de la GDPR, ¿vale? Y esa multa para personas normales, como nosotros, va entre los 20.000 y los 40.000, 20.000, hasta un máximo de 20.000, si sí que es el protocolo, 40.000, si no lo notificas en tiempo, ¿de acuerdo? Así que, haciendo la cuenta de la vieja, resulta que si ingresamos todo eso, pero nos han hackeado, resulta que nuestro tiempo se multiplica, ya no invertimos 300 a 450 horas, sino vamos a invertir entre 600 y 1.000. Eso implica una pérdida de, bueno, una inversión de 12.000 a 20.000. Pero, sin más, tenemos una multa, pongamos que seguimos el protocolo, que es una multa pequeñita, 8.000 pavos, bueno, 8.000 pavos, y después una pérdida de reputación, pongamos que ya no podemos ganar eso 10.000 euros, sino 40% perdemos de reputación, y, por tanto, solo ganamos 6.000, ¿vale? La cuenta de la vieja nos sale que, en vez de ganar entre 1.000 y 4.000 euros, perdemos o invertimos, o pagamos, de 14.000 a 22.000, ¿vale? No sé, hay diferencia, ¿no? Entre ganar un dinerillo ahí, 100 euros al mes, 300 euros al mes, ha tenido que pagar 22.000 pavos, ya es lo suyo, ¿no? ¿Qué es lo que has comentado aquí? Básicamente, si las medidas de seguridad son instalar un plugin, instalar o tener un equipo o alguien a cargo de vuestra seguridad de vuestra página, o invertirla en un buen hosting o lo que sea, os cuesta entre 100 y 300 euros al mes, la diferencia es abismal, ¿vale? Es lo que os estoy intentando vender en este caso. Y estamos hablando en un blog pequeñito, imaginado si llegamos a el e-commerce. Oye, es que tengo ciertos productos y los estoy vendiendo. Vale, pues ya hay otro tipo de información, es que ahora ya almaceno incluso hasta medio de pago, pero también direcciones físicas, etcétera, etcétera. Vale, aquí la cosa es más compleja. Yo invierto mucho más horas porque es un e-commerce, ¿vale? 900 a 150 horas, perdón, a 1.500 horas, que son entre 18.000 y 30.000, a ese ratio debe 20 euros la hora. Pero hay otros costes, costes de manipulación, costes de contratación, costes de impuestos, etcétera, etcétera, que son esos otros costes que hay ahí al lado, ¿no? Normalmente, cuando tienes un e-commerce con cierto éxito, de alguna manera, siempre pagas por los plugins, así que por eso ya incorporo un cierto dinero, aunque puedes seguir tirando de tu cuñado para hacer el diseño. Bien, ¿cuál es el tema? Que la reputación es mayor, porque ya tu y comer van mucho mejor, pues ya ganas unos 20.000 solamente en reputación y inventas, vamos a decir que lo petas, porque has puesto el, yo que sé, el típico anillo de este para detrás de los móviles hecho en 3D, maravilloso y te salen 200.000 euros anuales de beneficio. Bien, genial, volvamos a lo de antes. Uy, te hackea, vale, tiempo, tiempo, dinero, bla, bla, bla, estrés, no sé cuándo cuantos, multa a las de perre. Uy, usted tiene una empresa, usted ingresa un cierto dinero, pues ya la multa puede ser hasta un máximo de 10 millones. Sí, si deje protocolo, si no, son 20 millones, ¿vale? O un 4% de tus ingresos, lo que mejor le salga a la hacienda, perdona. Bien, pues vamos a hacer otra vez la cuenta de la vieja. Si resulta que teníamos esas horas, ahora tenemos más horas, porque invertimos más tiempo por todo este tema de seguridad. Así que pasamos a 1200, 1700, bla, bla, bla, 24.000, 34.000. Y vamos a decir que la multa cae en 300.000 euros. Me ha tocado, 300.000 euros. Es lo que tengo que pagar la multa porque sigo protocolo. Bien, no son 10 millones. Pierdo la reputación y además pierdo, además, un 40% de venta. Esto me lo he inventado, pero estoy aplicando, digamos, un poco de lógica. Vale, pues resulta que de cobrar lo que teníamos antes entre ganar entre 50.000 y 100.000 al año, pasamos a perder o tener que pagar 270.000 o 300.000. No sé si pilláis la diferencia. Por poner unas medidas de seguridad, pon tú que inviertes mil pagos al año, ¿vale? No te digo que me las pagues a mí, digo que los inviertes, ¿vale? Vale, esto que has puesto aquí es de una página que se llama Enforced Trackmen, que es una página online en la que podéis ver un poco las multas de la GDPR últimamente que ha habido, ¿no? Aquí estoy poniendo de 2023 de julio y de septiembre, pero quiero que os fijéis, no sé si lo veis bien el de abajo, el de Irlanda es de Tik Tok, ¿vale? O pone unos 345 millones, no 345 millones, dos millones. Y básicamente todos esos son los artículos. Básicamente no cumple, digamos, con el procesamiento de datos, mínimo, los principios de procesamiento de datos, es mínimo, básicamente. O sea, seguí usando Tik Tok si queréis. ¿Tenéis otras empresas? Españolas, pues como por ejemplo... Bueno, tenéis privados que son 300 euros, 4.000, que yo lo saqué directamente, lo estoy leyendo básicamente ahora, pero sí que me hice ver hacia el de Tik Tok, ¿vale? Esto lo podéis ver ahora mismo en la página, Enforced Trackmen, el punto RG o algo así. Vale, ¿qué no me pasa a mí por dios? Vale, ¿qué tenemos que hacer? ¿Dónde está esa inversión que tenemos que hacer anualmente para que no nos pase esto? Bien, una cosa tan sencilla como actualizar, por favor, esto lo de repito 40 veces, pero 41 que la voy a hacer ahora porque es importante. Tapa agujero de seguridad, pero aún más importante es la parte que está en medio, el tercer punto. Sobreescribe el código que está en vuestra página con código limpio. Eso significa que en el momento que lo actualizáis, resulta que el código que está en vuestra página ras y se baja el que está en lo oficial y se despliega. Si tenéis algún tipo de infección a un avalador y no la habéis detectado, ¿vale? Y resulta que haciendo esto os la cargáis, pues ni tan mal, ¿vale? Eso, actualizar, actualizar el bebé bien el tipo, ¡Ay, que si se me cae porque eres incompatible con la lateralización! Pues mira, usa Playgre aún, ¿no? Lo que estaba hablando aquí el colega Robolledo. Pero esta fórmula, para los que sabéis algo de matemáticas, cualquier costo de hueca ida es siempre menor que cualquier costo de hueca ida. Y os emplazo a que me cambiéis de opinión, ¿sí? O sí, cualquier costo, el que os dé la gana, que os cueste una página caída, va a ser siempre menor que cualquier costo de una hueca ida. Esto es importante. Bien, después tal rollo de las contraseñas, según factor authentication, yo, a mí me hackearon. Me hicieron una subplantación de identidad y accedieron a mi banco. Pero tenía un factor de seguridad. Gracias a Dios, los bancos están obligados a tener dos factores de seguridad, es decir, tienes un PIM de acceso, pero tienes otro PIM para las operaciones. Y afortunadamente yo, a pesar de que soy del gremio, lo digo como afortunado, ¿vale? El segundo PIM no lo tenía apuntado a ningún lado. He estado aquí. Pero primero sí. Resulta que estaba en un sitio llamado Laspas, que resulta que los hackearon hace un año. Y resultó que gracias a eso, pudieron acceder a miles de cosas. En 35 minutos que me cuenta mi número de teléfono, estuvo fuera de mi control, me hicieron un de par ajustes hasta entrar en el banco. Pero afortunadamente no pudieron hacer nada porque ese PIM no estaba apuntado. Yo soy del gremio. Ahora sí que es importante. No os paséis tampoco, ¿vale? En ciberseguridad tenemos también una máxima que dice, no tiene sentido invertir más dinero en securizar algo cuyo valor es inferior. ¿Vale? Si el valor de lo que tengáis en vuestra página o en vuestro web o en vuestro blog, en vuestro e-commerce o lo que sea, cuesta en total, pon tú 200.000 euros, no gastéis 300.000. ¿Vale? Ahora también es importante, hay más factores de seguridad, más seguro, pero también más complejo. Y ya por último, ¿qué medidas proactivas debéis tomar? Reducir administradores, plugins y plantillas. Todo es, digamos, básico, igual todos lo sabéis pero nunca lo séis. He encontrado, vamos, el 80% de la web que yo limpio, tiene una colección que parece como una especie de rango de todos los temas por defecto. Es decir, yo instalé la versión WordPress 4.27, pues ahí estaba el 2021, el 2030, pues tiene todos los temas por defecto, los tiene ahí. Pues todos esos son puertas de acceso, lo que nosotros en seguridad llamamos superficie de ataque, ¿de acuerdo? Copia de seguridad es la única forma de salvarse de un ransomware. Ahora que lo vimos tanto, que vimos como empresa de hosting, la Nordic, Cloud Nordic, esta que pasó hace un mes y pico, tuvo que cerrar y decir, no podemos pagar lo que nos piden, no tenemos copia de seguridad para poder restaurar a nuestros clientes, tuvo que llamar a todos los clientes y decirle, habéis perdido todo. OVH, hace también un par de años que se les quemó la sede, donde tenían las copias de seguridad y por tanto no pudo tampoco restaurarle nada a nadie, ¿vale? Donde las copias de seguridad, aunque yo lo nombro así en plan tal, da para una charlantera. Hay una estrategia importante de seguridad que debes hacer, pero hay una regla importantísima de localizar la copia de seguridad, ¿de acuerdo? Si hacéis una copia de seguridad en vuestro web, no la guardéis en la web, ni en ese servidor guardarla en otros sitios, ¿de acuerdo? Vale, a todos los sitios ya la he nombrado. Invertir en un buen hosting en seguridad es que desde el principio, si empezáis, desde el principio va a ir mucho mejor. Y después el web application firewall o el WAF, a mí siempre me suena a que estáis ladrando, ¿no? WAF, WAF. Es importante también, es que es una de las herramientas más efectivas de seguridad instaladas en vuestro sitio. Ahora, hay dos tipos de WAF que no vendan la moto diciendo, es que tenemos un hosting con un WAF, no. Tiene un hosting cuyo servidor tiene un firewall, pero no es un WAF. Un WAF está orientado exclusivamente al tráfico web, no al tráfico de servidor, al tráfico web. Y en el tráfico web hay dos tipos, uno instalado en el sitio y otro, externo, en lo que llamamos Cloud, OCDN, WAF. El WAF externo puede bloquear mucho del acceso, hacer de paraguas a vuestro sitio y el interno puede, digamos, detectar cosas con mucho mejor, un grano mucho más fino, ¿vale? Vale, mi convocador particular, SSL, por supuesto. Yo recomiendo tener su curry, yo trabajé allí y sé que es un sistema, o sea, os permite por 200 euros al año tener un sistema ilimitado de soporte para que le preguntéis, para que os limpie la página, para que os la chequee, si está todo bien y os hagan recomendaciones, etcétera. Y después tiene, perdón, disculpa, uno de los firewalls externo, más, para mí más efectivos que hay. SolidVP Security, es un plugin interno. Ese mismo está bien, con que invirtáis en uno, me da igual, ya se llame Warfence, el que te la gana o Patshark, por ejemplo, que es la persona en la que trabajo, ¿de acuerdo? Este tipo de plugins internos que, además, suelen tener firewalls interno, funcionan mínimamente. Hay un debate ahora bastante fuerte sobre cuán efectivos son estos plugins internos, porque, claro, estando dentro, si ya te han jacado la sitio, te pueden engañar a este firewall interno o a estos limpiadores internos. Con lo cual, no os voy a decir que os fíeis, pero sí que es una capa más, ¿vale? Y después, copia de seguridad, la app draft, por ejemplo, está bien. Plugins que es importante que tengáis, que muchas veces se solapan con los anteriores, pero, bueno, si no los tenéis, es importante que sí que los tengáis siempre. El fail to bang, el to factor authentication, el capture plugin, cualquiera de ellos o lo que sea. Y hay uno que no nombro aquí, que lo he dicho desde el principio. Hay varios, de hecho, pero hay uno que se llama WordPress Audit, si no recuerdo mal, ¿de acuerdo? Ese va a loguear todas las acciones de vuestros usuarios en vuestra página web. Y eso os puede salvar de una vuelta, ¿vale? Así que, nada, invertida en seguridad y en un buen hosting, ya lo he dicho antes, hosting al final cubre esa primera capa de, digamos, de ataques, mantiene el software, mantiene la base de datos y demás actualizadas. Y hay 90 ofrecen capas de seguridad. Y después, con respecto al tema del plan que accedéis, tengáis de cuenta que si vais al barato y tenéis un hosting compartido o puedo pasar lo mismo que en 13 Ruedes Percebes, igual soy demasiado viejo, pero en un vecindario ruidoso y sucio, pues lo que pasa es que vuestra web se va a ver afectada, ¿vale? Si os vais a un UPS o vais a un chaletazo. Tenéis que hacer un equilibrio, porque evidentemente no vais a hacer un chaletazo para un blog personal, o sea, algo que tengáis pasta y os apetezca quemarla. Pero tenéis que valorarlo. Si estáis en un hosting compartido, esto del vecindario es real. Vale, tenéis la referencia. Cuando paséis la presentación, las podéis chequear, pero básicamente la de EnformersTracker.com es la que les enseñé antes de que estaba aquello, ¿vale? Bien, pues nada, eso es todo. Everybody needs a hacker, todos necesitamos un hacker. Cualquier cosa, aquí estoy. Creo que da tiempo a una pregunta. Si tenéis dudas, aprovechadme que soy de aquí. Es que si no la hago. Que salgo caro, la hora. Hola, Néstor, ¿qué tal? Hola. No sé si darte las gracias o qué, porque nos has dejado muy acojonados a todos. A mí me da pena que la única forma que tengan la gente de entender el tema de seguridad es enseñándoles este gore que les ha enseñado hoy. Una pregunta. Ha dicho así de pasada y se me ha quedado el rum rum. Que según la GDPR no se pueden tener en la base de datos, datos almacenados sin, por ejemplo, correos electrónicos, nombre. Entonces yo me pregunto la tabla de usuarios de Wordpress. A ver, no he dicho eso y si lo he dicho no es lo que he querido decir. No, yo te he entendido. Lo que he dicho es que solamente el correo es información sensible. Entonces, según la GDPR. Entonces, yo lo que les recomiendo es toda información que almacenáis en vuestra base de datos, encriptarla. No hace falta que sea una password, no hace falta que sea una contraseña. Encriptar también los correos, encriptar también toda la información que tengáis de usuarios, cualquiera, con un buen hash de encriptación. Porque de esa manera, si os liquean la base de datos, se les va a hacer más difícil. Si filtra la base de datos, la información que está ahí, les va a ser más difícil acceder a esa información, digamos, en crudo. Para ti, el te va a dar igual, porque si tú sabes que te hayan filtrado la base de datos, la GDPR va a ir contra ti igualmente. Pero al menos tú sabes que dices, hecho lo que se llama en el mundo de ciberseguridad, due care, ¿no? He tomado acciones para evitar esto. Hay un problemón importante en el almacenamiento de información dentro de la base de datos, tal como Wolper lo planteó hace muchos años, ¿no? Que es en plan, en general, ¿no? Que las passwords sí estén encriptadas y que algún así les ha costado bastante presión de ir mejorando ese proceso. Hay ciertos otros datos que deberían estar encriptados de base, como por ejemplo, toda la información de correos. Es muy fácil, le traes en el PHP maya admin, no sé si más o menos tenéis un nivel técnico para ello, y entras en la base de datos usuarios, que veis ahí el nombre del usuario, el correo, la dirección si lo he puesto, etcétera, etcétera, pues toda esa información debería estar encriptada, para que no sea fácil verla. Eso era lo que quería decir. Por nada, muchas gracias, Néstor. Un aplauso, por favor.