 ¿Estamos en directo? Estamos en directo todo el rato. Pues muchas gracias a todos por venir. Muchas gracias. Voy a presentaros a Néstor. Antes que nada, desde parte de toda la organización, te queremos dar las gracias por haber venido a nuestro rescate cuando tal lo pedimos. Pero bueno, como nos da seguridad, pues ahí está. Néstor, viene de Canarias, como dice tierra de la terna primavera. Es porque todo el mundo piensa que hay sol y no... Aquí también la gente piensa que en Galicia llueve, pero aquí en Pontevera no llueve. Vivo en Valencia, desde que es papá, que te hemos visto por aquí ejerciendo. Ha trabajado durante siete años en seguridad web en Sucuri y en Gaudadi. Ha sufrido varios jaqueos de sitios, incluida una suplantación de identidad mediante el método de SIM Swapping, que espero que nos hables de esta historia. Uno de estos jaqueos fue lo que desencadenó, que se dedique a la seguridad y ha venido con ganas de romper mitos y miedos sobre seguridad y WordPress. Esta charla es un poco diferente, porque inicialmente el objetivo, aunque este hombre le podemos decir, empieza a hablar y a ocupar todo el rato, es que vosotros, si tenéis preguntas, si tenéis concepciones, no hagáis disertaciones, a ser posible, pero si le queréis preguntar cualquier cosa sobre seguridad, sobre WordPress, él está aquí. Entonces, yo entiendo que para romper el hielo es un poco complicado, pero podemos empezar tú y yo por donde usted quiera. A mí, si empiezas por el principio. El piezo, primero, por contarte una cosa rapidita. Rápidamente así. Anaísta de seguridad web, señor, de ciberseguridad. Es un mundo muy grande. Yo me dedico a la seguridad web. No me digan. ¿Cómo se deja que a Facebook? Te voy a decir cómo puedes hacerlo, pero parágrate otra persona. He sacado una certificación hace poco, llamada la CISP, Certified Information Systems Security Professional. Es una certificación mundial para gestión de sistemas de información. También puedes preguntar sobre ese tema. Y, bueno, yo, pues, siete años entre sucurio, gaudade y demás, ¿no? Todas estas cosas que vengo ustedes aquí, bla, bla, bla, bla, yo no la voy a explicar. ¿Vale? Está muy bonita, ¿verdad? Ya está, hemos terminado la presentación. Lo que se trata de esto, y es un poco lo que ha comentado Juan, es que la ciberseguridad siempre es algo como muy mágico, muy esotérico, muy parafrici, en fin, tiene muchos adjetivos. Y mi idea aquí es ponerme a corazón abierta a ustedes, es decir, ¿qué queréis saber? ¿Cuánto cobra una analista de seguridad informática? ¿Qué se necesita para ser analista de seguridad informática? Es Word Presseguro. Venga, a ver si tienen alguna pregunta. Levanté en la mano y aquí... Esto va a ser una conversación, ¿vale? La idea es que en estos 30 minutos me gustaría responder entre 10 y 15 preguntas. Así que si son cosas más o menos rápidas, guay, si no voy a intentar responder rapidito y a lo siguiente fuera, ¿vale? Bueno, vamos a romper el hielo con dos de los plugins de seguridad seguramente más conocidos para Word Pres, que deben de ser WordFence y WP Server. ¿Puede ser? ¿Y el WP Server? Ahora mismo lo han quitado del repositorio, no sé si sabes algo de estos temas y realmente es muy seguro, si no... No me dedico... Como yo trabajo para agudad y trabajo para otras suites de seguridad y imagino, me dedico a trabajar en la parte del core de Word, no te puedo responder a eso. Si tú preguntas qué es lo que recomiendo como plugin de seguridad, WordFence. WordFence, si eres más o menos profesional, si no entiendes mucho el tema, pues... ¿Hay themes security? Es bastante bien porque te guía bastante en el proceso. Y desde hace pocas personas en WordFence han añadido como una sección de security health o algo así, que es para un poco ver cómo está tu sitio de seguridad así por encima. Incluso Jetpack tiene ahora mismo una parte de seguridad que también recomiendo porque además parte de la gente que trabaja en el equipo de seguridad de Jetpack trabajó en su query. Más alegría. Pregunta. Aquí a la derecha. Que si tiene buena voz también, ¿eh? Hola, mira, pregunta. Estábamos ahora además así comentándolo un poquito antes. ¿Cómo consideras que podemos hacer una gestión de copias de seguridad que combine equilibrio de que ofrezca tranquilidad y que no sea complicarse la vida excesivamente? Respuesta rápida, depende. Depende del caso, ¿vale? Respuesta más menos rápida, pero también rápida. Yo lo dejaría en manos del hosting. El hosting tiene buenos sistemas. Normalmente el hosting tiene buenos sistemas de copias de seguridad y al final trasladas la responsabilidad a una tercera empresa que tiene que tenerlo muy clarito cómo funciona. En último lugar me iría a un plugin que juega su reputación en el hecho de que funcione. Ahora, si me estás preguntando cómo lo harías tú a nivel manual, pues eso depende. Hay varias normas, no recuerdo si está por ahí Jesús, pero tenía por ahí, comentaba que había una norma de 444 o algo así, no me acuerdo cómo era, pero era básicamente una semana, después cuatro semanas, para un mes, después cuatro meses, o 12 meses, un año, etcétera. Pero depende del caso, porque hay páginas que tienen, pues como ha dicho Marta, imagínate 16 megas o 20 megas o lo que sea y una copia de seguridad si eso lo vas a almacenar en Amazon y estos sitios pues te va a sacar la pasta a la bestia, si lo vas a almacenar en local prohibido, mal, eso en seguridad es lo peor, ¿vale? Si la vas a almacenar en local en tu... en tu ordenador, bueno, eso ya es todo asunto, como quieras generarlo y si la vas a almacenar en un servidor a la parte que tú tengas de FTP o lo que sea y tal, pues también tendrás que calcular cuánto será lo que va a ocupar en el fondo, ¿vale? Particularmente yo la estrategia de utilizar más a menudo es pues eso, siete, siete, cuatro, doce y dos, o sea, plan dos anuales, doce, una por mes, ¿vale? una por semana y una por día. No sé si te sirve. Esa es mi forma, pero también depende de digo del caso. Las preguntas. Hola, buenas tardes. Según tu experiencia, ¿cuáles crees que son las principales amenazas que puede tener un sitio que esté corriendo bajo WordPress? Gracias. Sobre WordPress, en particular, la principal amenaza está demostrada que son los plugins, ¿vale? plugins y temas. Básicamente, en otras charlas solo igualarlo a una fortaleza con muchas puertas, entonces por cada plugin que tú metas es una puerta y como sabemos hemos estudiado estrategia de guerra y esas cosas que somos todos los que estamos en la sala seguramente. Proteger una puerta ya es complicado. Proteger 20 es más. Pues el caso de que planteó Marta tenía 60 plugins. Pues imagínate, 60 más X temas que además hay gente que le encanta coleccionar temas. Y de repente dice, mi blog tiene ya seis años y tiene los seis temas por defecto instalados. ¿Por qué sí? No, o sea, si me preguntas a mí cómo paliar ese problema lo mejor es siempre, y lo que dijo también Marta es aplicar la ley del estrictamente necesario. Si es estrictamente necesario para que funcione su web, bien, si no ni desactivado ni leches fuera, eliminado. Y de temas solo uno por defecto, el otro el que tú quieras, pero al menos por defecto solo uno y del resto el que necesites y el child. Ahora, si te dedicas a coleccionar porque te gusta o porque tienes algún tipo de estrategia de estas dedicadas por temporadas y a veces activas o desactivas plugins y no quieres estar subiendo, bajándolos y demás y tal o temas y demás y tal, pues ahí lo único que te puedo recomendar es una velita de estas a la virgen o algo y un firewall. Un firewall te puede ayudar mucho, pero no un firewall de estos que conocemos todos, sino un WAF, que es un firewall especial para aplicaciones web, el que tú quieras, Cloudflare, Worfens, bueno Worfens, ese no lo recomiendo. No lo recomiendo por la forma en la que funciona ese firewall. Vás a preguntar. Hola, buenas. Yo te quería preguntar por el roadmap que recomendarías para especializarse en el tema de seguridad web. Esa es una pregunta en esas que no se encuentran mucho en internet. A ver, yo empecé porque soy informático. Yo hice mi carrera informática después me diqué a ser desarrollador y un día pues una de las web que yo tenía administradas empezó a dirigir a páginas por no. Y era una web del Gobierno. Entonces, claro, dio la bendita casualidad y es que además es una casualidad que justo compartí a piso con un chaval que trabajaba en Sucuri y cuando me vio así con cara deprimido pues dijo que estas son las cosas que hago yo en mi empresa entonces me enseñó cómo lo hacía y dije que quiero aprender. Lo siguiente fue que me presenté mi currícula y a los pocos días me llamaron para contratarla. En aquel momento yo solo sabía desarrollo web tal como lo sabéis vosotros estamos hablando de 2015 2014 y no estaba muy metido en el mundo de WordPress especialmente entonces cuando entré allí básicamente lo que me hicieron fue un examen técnico ni me preguntaron ni por mi formación ni por mi experiencia y me dijeron ¿sabes leer esto? ¿sabe identificarme los problemas que puede haber en esto? Todo por chat, en inglés obviamente y ya tal básicamente a partir de ahí analizaron que sí que les interesaba me hicieron una oferta desregaté y esas cosas en plan super marroquí pero en fin y al final pues entré así de sencillo fue en Seguría Web y básicamente puedes hacer lo mismo en Kinsta, en Siteground en varias cosas que ahora mismo están generando sus propios equipos de desarrollo de diseño de Seguría Web ahora si me preguntas si necesitas algún tipo de certificación y demás para estudiar la lista de seguridad ¿que te vendría bien? yo te diría que no porque realmente Seguría Web no existe una formación como tal existe como Pentester existe como CISP como equipos Red, Blue etcétera pero para Seguridad Web no existe ahora si te interesa ¿qué tecnologías uso yo internamente? SSQL SSQL es realmente el HP obviamente Regex a punta pala y herramientas online que hay varias por ahí para decodificar base 64 o lo que sea ¿vale? más dudas das preguntas yo no sé si tengo algún ejemplo o algo por aquí porque claro, yo lo que he puesto aquí básicamente son cosas que he ido viendo por ahí que pueden ser interesantes para usted en algún momento bueno, este es el equipo de Segurí hace unos cuantos años este es ruso, este es canadiense este es argelino, este es egipcio este es Malayo, este es brasileño este es americano este es sudafricano este es español este hombre es Nicaragüense en fin que somos equipos multidisplinares de todo el mundo hola, buenas tardes ¿por tu experiencia durante todos estos años? no te veo lo típico que acabas de comentar ahora de inserción, de código sobre todo hacia enlaces externos como puede ser pues páginas porno, incluso de tercero o incluso la propia competencia ¿cuáles son los ficheros que habitualmente son los que empiezan a infectar o los más vulnerables que normalmente te has encontrado? ese tipo de ataque se llama XSS Crossside Scripting no lo sé básicamente los he visto en tres sitios principales ¿vale? el más típico y que seguramente a todos les sonará es el HTE Access que lo que hace es te meterte en una línea de código, una orden de decir, oye, pues cuando vayas a cargar esta página en vez de cargar esta página, carga aquella la que sea, normalmente terminada en punto root esa es una, la más fácil de detectar ¿vale? la siguiente suele ser meter código en javascript, ese código en javascript puede ser insertado directamente en ficheros que puede ser en el footer, en el heeder o en el index PHP ¿vale? o en base de datos y después ya aparte de esas esas son las más típicas realmente la inserción de javascript directamente en ficheros o en base de datos los delincuentes en la vida real siempre decimos que utilizar en esa inteligencia para trabajar serían millonarios pero en el caso de los ciberataques hay que ser mucho más inteligente porque hay que conocer esos pequeños gaps de seguridad seguramente tendrás miles de anécdotas pero cuéntanos una que diga, mira por dónde no las han colado tengo tantas hombre, a nosotros en particular se nos han pasado muchas porque al final, claro pasa como todo, cuando viene tú tienes el sistema de seguridad más maravilloso del planeta total, eres huber, tienes 60 millones de euros que generas al día y demás y te hackean y como te hackean pues normalmente por la parte social que es las personas, les cogen las contraseñas y a partir de ahí pues escalan y ya está pues pasa eso que normalmente siempre vamos detrás de los delincuentes de las ideas que se van generando y demás, entonces el equipo digamos de expertos, aquí que los puede expertos con muchas cara de de felicidad y básicamente es, runiamos scripts que ya son cosas que sabemos que pueden estar ocurriendo en el sistema dependiendo de lo que no tengan esos scripts vamos un poquito más allá, buscamos y demás así en cuestión de anécdotas pues así tengo alguna por aquí es la que piense había una que era el tipo de ataque dependiendo hay uno que es un ataque por ejemplo por the face man que significa esta es tu página, ahora no es tu página no es tu página básicamente sustituye en la página principal había una, hoy somos free siria o mal por el gobierno suelen ser páginas así con un diseño horrible pero había una en particular de un chaval de adolescente de instituto o eso decía que era una carta de amor hacia una actriz de una serie de estadounidenses y era como en plan sé que no vas a leer esto pero en plan podemos, sé que no vas a leer esto nunca, pero bueno quiero que de alguna manera representar mi amor y esto que llega a algún lado entonces claro cuando llega el ticket a tu caso, a tus manos pues es como en plan de no sé si dejar un ratito más a ver si vamos a la llamada se entera o algo ese fue muy gracioso pero vamos fue una fue un difisme muy sencillo después nos han ocurrido algunos que son como más pues más complejos ahora mismo está de moda hace unos años estaba de moda hacer escrito moneda con las páginas de repente tu entrabas en una página tu sistema de ordenador se ponía a mil, tu batería no duraba nada entonces no lo pasaba a nosotros, no encontramos nada no encontramos nada porque lo que había eran unos scripts que minaban moneda cada vez que tu visitabas la página entonces hasta que nos dimos cuenta fue un verdadero follón y tuvimos que claro empezamos a buscar por monero por Coinbase, por cosas así para pillarlo ahora está de moda pues insertar plugins de plugins falsos de repente te encuentras uno que pone uvp security hay otro que te pone en plan don't delay me otro que en vez de hello el hello dolly, hello dola dola y cosas así entonces tengo movillones pero bueno eso son algunas que son simpáticas más preguntas yo me pongo a preguntar sin ningún problema antes has dicho lo de guaf eso que me parece bien que digas nombres pero que estoy instalando con eso voy a marear así pasando un lado a otro pero en fin es lo que hay, lo siento un guaf es esto yo lo intento igualar a un paraguas tú no sales a la calle cuando está lloviendo sin un paraguas pues no salgas a internet sin un guaf no te metas en la cama sin protección es lo mismo en este caso que es lo que se trata este es tu server esto es otro server da igual que ponga aquí su query pueden ponerle su query clover es un server que se pone delante del tuyo y recibe todo tu tráfico web ese tráfico web pasa a través de las diferentes fases de identificación de amenaza si ven que no mola esa conexión fuera si ven que mola la conexión llega a tu server básicamente es eso cuál es lo que hablaba antes del guaf de warfans y tantos otros que no es un server que se pone delante del tuyo sino que es tus propios recursos en el server con lo cual desde mi punto de vista consumir más recursos porque hace un enrutamiento un poquito más complejo tiene que pasar a través de análisis y no es tan óptimo como esto en el caso de no tener posibilidad mejor tener un guaf interno estos son como guaf externos ¿quedo claro? si si tienes esta estructura montada te hace falta el warfans o no los dos yo recomiendo los dos porque una cosa es la seguridad de las conexiones que entran a tu servidor y otra cosa es lo que ocurra aquí son cosas diferentes de hecho es siempre muy gracioso porque claro es que tengo un guaf tengo el warf en frente de unos cuantos y así me han hackeado bueno a ver cuál es el caso y resulta que en su propia carpeta del sitio tiene 6 sitios diferentes pues uno de ellos se le habrá olvidado un admin 2.3 o algo de esto y a través de eso se hace lo que se llama cross-site contamination contaminación de los propios sitios ni antivirus ni nada lo va a parar entonces si me preguntas cuál es el esquema más seguro que te recomiendo a nivel arquitectónico un guaf un plugin de seguridad y un servidor en inglés en castellano sería como isolated aislado si aislado eso un servidor exclusivamente para tu sitio y se acabó y ninguno más por lo menos a nivel arquitectura recomendaciones ssl arquitectura a nivel con eso va muy bien más preguntas ¿cómo estamos de tiempo? y el guap que trae por ejemplo apache o ese que hay modelos de apache que permiten hacer monsecuritito estas cosas básicamente eso runean el servidor donde tú estás haciendo el hosting un hosting estilo que tengo las palabras en inglés que tienes el propio web server y la propia página en el propio web server si no lo tienes virtualizado como puede ocurrir en vpngine y este tipo de servicios sino que lo tienes en el propio server el monsecuritito te puede ayudar un poquito al limitar hasta donde se puede mover una infección hasta donde se puede un proceso alcanzar si se infecta pero es una pieza más yo no diría que es determinante para eso diría que es mejor que tengas una buena estrategia de contraseñas y ya está antes de la siguiente pregunta voy a comentar una cosilla más más que nada antes de que me quede sin tiempo claro esto lo quería poner al principio si no había preguntas pensaba que no era la pregunta pero bueno básicamente esto es un poco para que entendamos que es la seguridad la seguridad al final la información y dentro de la protección de la información es que sea confidencial es decir sólo las personas que deben leer eso que sea íntegra no se pueda modificar si tú no eres la persona que debas tener permiso para modificarlo y que esté disponible cuando la persona que lo necesita esté disponible y en contra están la eficiencia de la filtración de la integridad de la alteración y la destrucción con respecto a la disponibilidad esta que es la información de nuestra página web nuestro WordPress está aquí debe estar protegida por la triada de confidentiality, integrity and availability y básicamente de aquí está lo que son comunicación, hardware y software y dentro de eso ya después entramos en la física en los servidores en la parte física de conexiones pero la idea siempre que tenéis que tener en cuenta cuando tenéis un WordPress o cuando tenéis una página web debe estar aquí protegida siempre por estos 3 conceptos de acuerdo debe estar disponible confidencial y además íntegro y yo siempre pongo este gráfico porque a lo mejor mucho de la sala no son conscientes realmente también de de qué ocurre cuando cargamos una página web aquí no le suena esto unos cuantos que se atreven a decir que no le suena bien persona que maneja o quiere cargar una página web posiblemente la cadena más débil como hemos visto en el caso de Uber por ejemplo en otros tipos de casos que hay 700.000 millones nuestro dispositivo, antivirus que tengamos cuidado con lo que tecleamos la gente se lo toma a coña pero es muy típico tener K-Logers K-Logers son programas instalados que lo único que hacen es captar todo lo que estás poniendo en las teclas entonces da igual que tengas una pago muy buena o lo que tú quieras y tal pues si lo pondras a tecleas se carga ahí eso se transmite después y demás esto también es interesante que lo tengamos a proteger va al DNS el SNS me da una IP de la IP yo me conecto al servidor final el servidor final dice lo que quieres es la página tal la página tal está en PHP y ese PHP se interpreta y esa interpretación muchas veces coge datos de la base de datos lo devuelve a la interpretación de la interpretación lo vuelvo a meter en el código y el código te lo devuelvo esto es lo que ocurre cada vez que cargamos una página web siempre entonces claro yo se pedico de aquí cuál es el punto más débil el usuario que ya lo hemos hablado cuál de estas zonas se pueden atacar el dispositivo el DNS spoofing tal ping-pang en la conexión el PHP, el servidor, la base de datos todo es susceptible de ser atacado así que como resumen prácticamente de esta parte lo único que le digo es si tienes un WAF si tienes un plugin de seguridad que plugin de seguridad no es porque sea Dios hay varias cosas que deberíamos tener todos en cuenta y está compendiada en un plugin con lo cual dentro que cabe nos ahorra muchas cosas tienes una buena estrategia de copia de seguridad y tienes además una buena estrategia de passwords o un plugin como el fail2ban el fail2ban no sé si lo conocen voy a entrar en la página ui, cinco errores, te baneo durante X tiempo o definitivamente eso ayuda mucho con los ataques de fuerza bruta y eso vamos bastante bien entonces antes de terminar porque creo que ya me he quedado sin tiempo antes de terminar y no les he podido hablar de mi caso de Sinswapping sí que siempre le digo lo mismo parece mentira pero hay un concepto de seguridad que se habla mucho que se llama secretive by design eso significa que en el momento que nosotros ponemos una página en internet tenemos una responsabilidad y en el momento que tenemos la página en internet antes no es cuando ya me hackea me acuerdo de que tengo que invertir en seguridad o al revés secretive by design ya sé que voy a poner una página web, ya tengo que invertir en seguridad hay hosting que te ayuda mucho con eso hay personas que prefieren hacerlo a su bola o a su manera pero es importante que a partir de ahora no piensen que solamente tienen que invertir en hosting en página en desarrollado sino que además algo tienen que invertir en seguridad pues muchas gracias Néstor