 Y ahora continuamos con la charla de Jerson Ruiz. Jerson es un desarrollador de software para la empresa Sucuri GoDaddy, contribuidor de la herramienta de seguridad que tienen creado para WordPress. La pasión a la informática, la pasión a la seguridad en sitios web y sobre todo la pasión a la cerveza artesanal. Jerson nos va a hablar del principio del mínimo privilegio, algo tan importante en la informática y de cómo nos puede ayudar a mantener nuestros sitios web o los de nuestros clientes seguros. Os dejo con Jerson adelante. Hola qué tal, mi nombre es Jerson Ruiz y es un honor para mí estar acá participando en la primera work en España. Hoy estoy aquí para hablarles del principio del mínimo privilegio, un principio que utilizamos con mucha frecuencia en nuestra vida cotidiana, pero que a veces se nos olvida un poquito en nuestra vida digital, sobre todo a la hora de dar acceso a nuestros sitios web. Entonces, ¿para qué nos sirve este principio? Este principio nos sirve para colaborar de manera más segura, porque si algo tenemos que estar de acuerdo cuando tenemos un sitio web es que el riesgo de ser hackeado o comprometido nunca va a ser cero. De hecho, esto es algo en lo cual toda la comunidad en seguridad de sitios web está de acuerdo. Por eso se habla mucho de un término llamado defensa en capas que lo que implica es poner múltiples capas de seguridad alrededor de tu sitio web para protegerlo de manera redundante. Puedes ser utilizando hosties con funciones de seguridad, utilizando servicios de seguridad más especializados o lo que más veo lo que es de seguridad para work. El principio del mínimo privilegio también funciona como una capa de seguridad. A diferencia de los ejemplos anteriores es que este es un auto servicio, es decir, es algo que nosotros mismos tenemos que hacer por el bienestar de nuestro sitio web y el de nuestro proyecto. Entonces, ¿qué es el principio del mínimo privilegio? Este es un concepto que tiene dos partes. La primera es que para cada acción tenemos que utilizar la menor cantidad de privilegios posible. Y la segunda parte es que hay que utilizar o otorgar estos privilegios por el tiempo que sea necesario y un segundo más. Voy a poner un ejemplo de la vida cotidiana y luego de este ejemplo voy a trasladar este tema de regreso a work. Imaginemos que tenemos una casa, nos acabamos de comprar una casa, tenemos un patio enorme y queremos tener un jardín. Contratamos un jardinero y entonces nos enfrentamos a una pregunta. ¿Cuánto acceso necesita este jardinero para realizar su trabajo de manera perfectiva? Obviamente este jardinero va a necesitar acceso al espacio físico donde va a estar ubicado el jardín, va a necesitar acceso a uno de los puertos de baño y solamente. ¿Qué no necesita el jardinero? No necesita acceso a dentro de la casa o a la puerta principal de la casa, ni a las oficinas, ni a los puertos. Es más, una vez que el jardínero termina su trabajo le pagamos y se va. En el día a día nos vemos este tipo de situaciones, no las identificamos como concepto de seguridad, lo hacemos por sentido común, pero en realidad acá estamos aplicando el principio de mínimo privilegio. Porque nuestro jardinero le dimos los accesos necesarios para que hiciera su trabajo y nada más lo hicimos por el tiempo necesario. ¿Pero qué tiene que ver todo esto con sitio? ¿Qué tiene que ver todo esto con WordPress? Ok, cuando empezamos a colaborar con más personas en un proyecto web, creamos cuentas de usuarios y estas cuentas de usuarios vienen con privilegios. Estos privilegios pueden ser privilegios de administrador, privilegios de autor, de suscriptor, etcétera. Ya habíamos acordado de que el riesgo de ser comprometido cuando tenemos un sitio web jamás va a llegar a cero. Una vez que empezamos a agregar más colaboradores a nuestro proyecto, estamos haciendo totalmente lo contrario, estamos agregando más riesgo a nuestro proyecto porque estamos cediendo parte del control que tenemos en nuestro sitio web. Por ejemplo, podemos estar colaborando con una persona que tiene un conocimiento técnico avanzado, que tiene muy buen cuidado de sus creencias o podemos estar colaborando con una persona que reutiliza sus contraseñas en todos los servicios que tiene. U otra persona todavía menos técnica que lo que hace es que cada servicio que tiene utiliza no solo la misma contraseña, sino que esta contraseña es literal contraseña 1, 2, 3. Eso está malísimo. Y el impacto de los roles solamente se vuelve evidente cuando las cosas empiezan a salir mal. Me refiero a que si la cuenta de uno de los administradores tiene un sitio web comprometida, el atacante va a tener acceso a básicamente todas las funcionalidades de work. Va a poder tanto crear más usuario, redirigir el tráfico a través de un plugin hacia un sitio web de pornografía, instalar mineros de criptomonedas, en fin, las posibilidades son casi infinitas para este atacante. Por el contrario, si lograr a vulnerar la cuenta de uno de los autores que nada más puede modificar su propio contenido, entonces el riesgo va a haber un daño así, pero el riesgo va a ser mucho menor. Tenemos que estar claros y conscientes de que cada cuenta de usuario que tenemos dentro de work is manejada por una persona y cuando nosotros creamos estas cuentas estamos cumpliendo en estas personas dos veces, moralmente y témicamente. Lo otro que no se nos puede olvidar es que a la hora de que una de nuestras cuentas es comprometida, el impacto negativo de este hack va a ser proporcional a los privilegios que tiene esta cuenta. ¿Se acuerdan ustedes de la película El Todo Pobroso con Jim Carrey y Morgan Freeman? Cuando comienza la película, el personaje principal tiene privilegios muy básicos, entonces el único daño que puede hacer es el de hacerse daño a sí mismo. Está dañando su vida amorosa, está dañando su vida laboral, pero cuando conoce al personaje de Morgan Freeman, sus privilegios se elevan y entonces puede ocasionar un caos más grande. No sólo afecta su vida, también empieza a afectar la vida de las demás personas. Tenemos que confiar, pero también tenemos que abrificar y estoy hablando de nosotros mismos. Yo sé que en esta conferencia hay muchísima gente con habilidad de seguridad muy buena, pero no nos podemos quedar con que, ok, crees que este sitio web vorpe seguramente lo dice bien, no, tenemos que hacer auditorías constantes para ver cuántos usuarios tenemos y qué permiso tiene cada usuario. Les digo esto porque a la hora de preparar el contenido de este charlo me pasó algo muy interesante y es que, bueno, estoy, tengo un sitio en el que estoy colaborando con un amigo mío, un diseñador gráfico excelente, de hecho es la persona que creó estas diapositivas y lo que estamos haciendo es creando bloques de Gutenberg. Él lo diseña y lo escribo el código. Cuando yo termino de escribir el código subo esto uno a un servidor de pruebas que tenemos y un amigo viene y hace el trabajo de QB y empieza a probar estos bloques en diferentes condiciones. Pero bueno, por alguna razón cuando yo creé este proyecto lo agregue como un administrador. Básicamente lo que hice fue incrementar el riesgo, solo tenemos dos usuarios y entonces incrementé el riesgo de que las cosas salgan mal. ¿Por qué? Porque ahora los atacantes no solo tienen un usuario de administrador, tienen dos, duplique el riesgo. Para el trabajo que mi amigo y mi socio está realizando en el sitio no necesitan lo absoluto privilegio de administrador. No tienen que haber un rol dentro de WordPress mucho más básico que le permita hacer su trabajo de manera eficiente. Cuando yo creé el sitio no me molesté en buscar este rol. Entonces les hago una invitación a ustedes desde que comiencen a hacer una auditoría desde su proyecto más importante hasta su proyecto más humilde y verifiquen cuántos usuarios tienen y qué roles tienen cada uno de sus usuarios. También lo último de los que les quiero hablar en esta charla es de que el principio del mismo privilegio no es algo exclusivo para WordPress. Es un principio de la informática que lo podemos utilizar con cualquier servicio que impacte directa o directamente con nuestro sitio. Por ejemplo podemos tener, podemos aplicar este principio con nuestro proveedor de hosting, proveedor de seguridad, proveedor de DNS, de CDN, etcétera. Yo sé que cuando colaboramos con más personas, a veces nos encontramos con escenarios donde hayamos que compartir este tipo de acceso. Entonces cuidemos nuestro sitio web de la misma manera que cuidamos nuestro espacio físico. No le damos la llave de nuestra casa a cualquier persona. De la misma manera no le demos las creencias de acceso a nuestro sitio web a nuestra propiedad digital a cualquier persona. Seamos conscientes de lo que estamos compartiendo de todos los accesos que compartimos con otras personas. Tenemos que confiar pero también tenemos que verificar. Y bueno, he llegado al final de esta charla. Espero que haya sido algún tipo de beneficio para ustedes. Este es mi usuario de Twitter y estoy a disposición para cualquier duda o pregunta. Muchísimas gracias y que disfruten el work en España.