 sino para hablar de hacking. O sea, han hackeado la web en alguna ocasión. Alguien, venga, que levante la mano o alguno de sus clientes les hayan hackeado la web. Sí, sí, para ahí. Sí, bueno, pasa, son cosas que pasan, ¿no? A veces te das cuenta porque llegas y hay anuncios de Viagra y dices, esto yo no lo vendía en mi commerce y a veces no te das cuenta, a veces ocurre porque depende de cómo te hackean, te hackean de forma que están usando otro servicio de envío de correos, mil historias y ni lo sabes, ¿no? Entonces alguien tiene o ha usado en alguna ocasión un plugin llamado Sucuri. Sí, yo lo recomiendo muchos, muy bueno, muy interesante, de la gente de Sucuri, que lleva su nombre. Te hace un scanner, te limpia la web, me encuentra cosas, dice, uy, hace una comparativa de los archivos que deberían estar en WordPress y los que hay y te dice, uy, esto alguien lo ha tocado, está distinto, falta o sobra, ¿no? Bueno, pues aquí nuestro invitado, Néstor Angulo, ¿verdad? Estuvo trabajando en Sucuri en 2015, estuvo ahí un par de años, luego entró en Goudadi y ahora estás en el equipo de seguridad de Goudadi. ¿A parte de MSSL? A gestión de SSL que recomendamos a todos, ya sabéis, que activéis al menos lechen creep en vuestras páginas. O sea que ahora vamos a hablar precisamente de qué tenemos que hacer, ese punto de emergencia de si sospechas o alguien te ha dicho o te llega un correo de Google antiguamente Webmaster Tools, ahora Search Console, diciéndote, hemos visto aquí algo raro, ¿vale? ¿Qué hacer? ¿No? Su dor frío y dices, bueno, su dor frío, pero sangrefería, porque todo se puede arreglar, ¿no? Evidentemente si tú eres activo y proactivo y lo detectas antes, que lo detecte Google, mucho mejor. Pero en todo caso, fuerte aplauso. Néstor Angulo. ¿Se ve? ¿Sí? ¿Se me ve? Bueno, un poco así por encima. Realmente lo que he intentado hacer aquí es un pequeño recopilatorio de mis años que he trabajado en Sukuri, hasta actualmente todavía he sido en Sukuri, lo que pasa es que ahora es Goudadi Security, ¿vale? Desde el año pasado ha sido adquirido, la compañía la adquirió Goudadi. Así que durante los primeros tres, cuatro años solamente lo que trabajábamos con los clientes de Sukuri, pero ahora estamos con toda la base de datos de Goudadi. Échale, échale, caña el tema, ¿no? Entonces, bueno, como en principio yo, hay mucho que contar sobre este tema, yo voy a hacer una pequeña selección de algunas cosas. Paso de esto, todo el mundo me conoce, todo el mundo conoce a Sukuri. Bueno, no, venga. Si queréis saber sobre mí, realmente lo que acabo de decir, soy quien se trabajó en Sukuri, o me considero tecnóomanista y soy un total novato en esto de la Workup, ¿vale? Esta es mi primera Workup, así que posiblemente me pase el tiempo. Pero bueno, en cualquier caso, ahora trabajo en el departamento de ICSSL de Goudadi, aunque sigo trabajando también con Remediation, que es la primera línea de batalla con páginas hackeadas. Así que si habéis usado Sukuri o les han limpiado la página en los últimos tres, cuatro años, es posible que haya sido yo. Bien, sobre Sukuri no tengo mucho que decir, más o menos algunos lo conocen, es una empresa de seguridad orientada exclusivamente a Seguridad Web, ¿de acuerdo? Es totalmente remota, tiene más de 15 países, o sea, dentro de la gente que trabaja ahí, somos más de 15 países los que estamos. Y bueno, hay dos herramientas que yo les recomiendo, pues si no las han probado ya, que es SideCheck, que es un scanner gratuito, y Performance, que es un scanner que le va a permitir ver cómo se carga su sitio web desde diferentes puntos de todo el planeta, con lo cual a la hora de probar si un CDN está funcionando, si no, y demás, es muy útil también. Bien, la charla la voy a estructurar de la siguiente manera. Ahora, como en principio era un poco orientado, sobre todo a Geiners, he intentado ser bastante lax o en la parte más técnica, pero como también hay bastante gente aquí que tiene algo de nivel, he suelto algunas píldoras un poco técnicas, ¿de acuerdo? Por ahora voy a mostrarles una pequeña recopilación, o lo que nosotros llamamos la galería de los horrores, y justo después daré la típica charla de civil seguridad que todos seguramente que hayan asistido a una habrán escuchado, medidas y contramedidas, ¿de acuerdo? Lo que pasa es que la voy a separar en dos partes. Una es reactiva, es decir, nos ha pasado ya ahora aquí, y la otra es proactiva. Esto es lo que debemos ir haciendo antes de que nos ocurra. ¿De acuerdo? Esta primera parte va a hablar sobre defacement and phishing. Esta es la parte más espectacular. Todo el mundo queda un sitio de una manera como esta. No sé si se ve desde aquí, pero es una página de fotografía, y lo que está mostrándose de fondo son las diferentes galerías. Una es de retratos, otra es de personas mayores, jóvenes y tal. Lo que ha hecho el hacker ha sido meterle una capa por encima, supermona, png, y un gif de un zombie que va caminando por la pantalla, y la música de fondo que suena ahora era thriller, ¿vale? Super thriller. En realidad, este ejemplo, cuando lo vimos, nos reímos muchísimo dentro de la empresa, evidentemente no a costa del cliente, pero a costa del hacker que ha hecho esto, y en realidad esto es un punto de inflexión en el mundo de los hackings, porque siempre hemos dicho que hay un negocio ahí en la escuela a los hackers sobre el diseño de cómo hacker, porque normalmente se parece más a esto, o a esto, ¿vale? O sea, son cosas como muy, ya que estamos, pues esto por lo menos te lo ocurra, y lo haces así, ¿vale? Pero bueno, nos hemos encontrado cosas muy divertidas. Esta también está más o menos currada. Si se fijan, no sé si les habrá dado tiempo a leer más o menos los mensajes, pero somos musulmanes y queremos reivindicar, porque el otro es un... Este, por ejemplo, ninguna seguridad es perfecta, ¿no? Nunca te despor vencido, intenta arreglar las cosas, o sea, al final hay hackers con cierto sentido del humor. Hay uno que no he podido traer, porque no la encontré, pero era muy gracioso porque era una carta de amor. O sea, había hacker una página para decirle a una chica que no conocía que la quería. O sea, nosotros estábamos entre... Le decimos al cliente que lo dejamos así, el poro un poco, yo qué sé, y llega el mensaje o algo. Pero bueno, al final, evidentemente lo limpiamos porque el hombre que estaba vendiendo no me acuerdo, pero era unos productos y tal, pues estaba un poco estresado. Bien, en cuestión de phishing, más o menos todos sabemos lo que es phishing, ¿no? Entiendo, sí, ¿no? O sea, cualquier técnica para intentar captar tu información secreta, credenciales, de agentes de crédito, o lo que sea, utilizando un servicio que todos conocemos, en este caso les he traído uno de Dropbox, pero la idea es emular otro servicio para que ustedes introduzcan datos que son realmente secretos. En este caso, aunque no sabe muy bien, porque no sabía muy bien el tamaño de la pantalla, sí tengo una ampliación. Aquí esto es un código HTML de una página que emula a Dropbox, y si se ven arriba a Dropbox y si leen bien pone buisnes, que son muy típicos entre los hackers, no sé si es que lo hacen apostas, o es que se dedicaron a aprender a hackear, en vez de otras cosas. Pero bueno, se puede ver claramente cómo intentan coger usuario la contraseña y de tu cuenta de Dropbox. Teníamos en cuenta que aunque les estimo mostrando el código HTML, esto se parece mucho a la página de Dropbox, ¿de acuerdo? Bueno, se parece no escalcada. Un poco así por encima, hacen un pequeño resumen en esta sección. Tenemos la parte de disfacement, o digamos hackeo vistoso, ¿de acuerdo? Todo se ve muy claro. Va normalmente con un mensaje político o reivindicativo. Y tiene dos versiones. La versión más simple te mete en un fichero index HTML y como Wordpress y todos los servidores de hosting normalmente leen primero los HTML y después el PHP, ¿vale? El fichero index PHP lo leen en segundo plano. El primero que leen es el HTML, que es el hackeado. Lo único que tenemos que hacer es eliminar el fichero HTML y todo funciona. También es posible que simplemente te sustituyan el fichero index PHP. Después hay versiones más complicadas que te meten un framework, un frame superpuesto, un fake, un plugin falso y demás. El phishing tiene como objetivo robardatos y más o menos así en versiones lo mismo. Más o menos se parecen si se fijan. El más típico que nos encontramos en phishing es la carpeta navegable. En el caso concreto del Dropbox, este que les acabo de enseñar, esta va, mi página.com, dominio cualquiera, barra Dropbox y dentro de eso estaba esta página, ¿de acuerdo? Aunque no está el código ahí, no lo vas a ver. En la parte de arriba hay un pequeño script en PHP que cuando le metes ahí el usuario y contraseña se lo envía a otra persona por correo. Black Hat, redirecciones y spammers. ¿Sabemos lo que es el Black Hat? See you. Bueno, cualquier técnica para de alguna manera influenciar en los buscadores a la hora de posicionamiento, ya sea de manera para mejorar tu posicionamiento o para empeorar el de otras personas. Tengan en cuenta que yo como analista de seguridad, la gente dice, no, es un experto en cybersecurity, no. Yo estoy encuadrado en la parte de seguridad web y si tuviera que igualarme a la vida real, yo sería como un policía. ¿De acuerdo? Entonces, claro, yo me encuentro las cosas. No la desarrollo. Entonces, en caso de Black Hat, de Black Hat SEO son las herramientas que utilizan normalmente para joder, perdón, la competencia. Normalmente es lo que más me encuentro. Dentro de las técnicas más típicas en Black Hat SEO, te puedes encontrar la de Tepeto, la página a spam y, por tanto, dentro de Google ya te aparece la típica etiqueta Maybe Hack o está, puede ser que estés hackeado o tenías un correo, como ha dicho el compañero y antes la compañera también, DTV Console Search o Search Console o bien alguien te dice, oye, es que he buscado tu página de internet y me sale que vendes Diaga o que vende Ejercé y Paratos o que vende, no sé, un montón de temas de medicina sobre todo. Este ejemplo que tenéis en pantalla, bueno, hay otra técnica muy típica que es Clocking. Clocking es, te modifico el primer fichero, el HTE Access, que es el portero cuando llegas a un hotel, el portero que le dice, vas a esta o a esta habitación, pues ahí te metes en un código y dices, oye, ¿eres Google? Sí, pues mira carca esta página, o mira, métete este código. Eso ya les enseñaré otro ejemplo. En este ejemplo que vemos en pantalla es un ejemplo de espameo claro de una página en la que tenemos la estructura normal de una página Wordpress, digo normal, porque hay algunas carpetas que no son normales, pero bueno, pero vemos algunas que son con números y nombres muy extrañas. Eso, las que tengo seleccionadas son las que al final resultaron ser spam. Si alguna vez les ha pasado esto y el analista de seguridad que les ha tratado a la página, les ha limpiado las carpetas, miren por favor que no existan ficheros cipeados con esos mismos nombres, porque es solo ocurrir que el analista de turno se olvida a borrar los ficheros cipeados. Entonces, es un consejo así en el aire. Pasándonos en lo que acabo de contar, encuentren el spam aquí. Como no se ve mucho, voy a pasar un poco rápido. Todas esas carpetas es spam. Es decir, tenemos una arriba que pone de cuarentena, uvp.content, uvp.handling y uvp.includes. Todo lo demás es spam. Y sus carpetas cipeadas, sus carpetas comprimidas. Esto es un ejemplo de Braxell ya ejecutado e indexado por Google. Como ven, es una página que pone... Bueno, le hemos quitado los URL, y hemos puesto another infected site, pero básicamente ven que está vendiendo zapatillas y Jordan. Estamos en los años 80 ahora, de nuevo. Esto es un ejemplo también de una página que ha sufrido una redirección. No sé si les ha pasado a alguien, entran en la página, de repente se les abre otra página y les dice, ¿hagan dado un iPhone pincha aquí para cogerlo? ¿O algo? ¿O algún tipo de redirección? Evidentemente siempre se aplica la ley de no se regala duro a 4% y la pesadilla de mucha gente, sobre todo aquellos que están obsesionados con el SEO. Aquellas personas que dijeron, ¿eh, soy obseso del SEO? Esto es la pesadilla de ella. Significa que Google ya ha visto que tienes un problema y te está bloqueando. Bien, normalmente este tipo de hacks no son muy obvios. Estos últimos, los Blackseo, los spamming y las redirecciones, son más bien obvios para vuestros visitantes, o las personas que le buscan a los buscadores, o aquellos que van a añadir vuestro vínculo de vuestra web a una red social y de repente el resumen que le sale abajo pone que vende Piagra. No ocurre. Entonces hay una cosa que es importante aquí que los mejores aliados entre comillas aquí son tus usuarios, que tengas todos los canales abiertos posibles para que los propios usuarios te puedan de alguna manera ayudar a detectar estos rapiditos. También los pueden, estas cosas también son bastante fáciles de pillar desde un scanner gratuito como el que usamos en Sucuri, SideCheck. SideCheck.sucuri.net, ¿de acuerdo? Ahí pueden ustedes usar un scanner que rápidamente le escanea, le hace una foto de vuestra página y lo que devuelve lo analiza con sus algoritmos, ¿vale? Evidentemente también una de las cosas que pueden ver es que en su ranking, en SEO, está bajando y cuando baja de manera muy fuerte algo ha pasado, ¿vale? Este es el ejemplo de Colacking que les había comentado antes. Yo no sé si domináis más o menos cómo funciona el fichero HT Access, pero aquí básicamente les está diciendo, oye, si vienes de, no sé, Macintosh, WebMoney, Windows Media, si no vienes de ninguna de todas esas carga, una página.ru, o sea, de Rusia, ¿vale? Una página que normalmente los dominios RU se usan mucho para este tipo de cosas, no pretendo decir que los rusos se dediquen al spam, pero, oye, suele ser muy habitual, ¿vale? Bien, Botnets y Cryptominers. Pues los Cryptominers, supongo, que les serán más o menos familiares recientemente, ¿no? O sea, uno de los hackies más típicos en los últimos años, año y medio, ha sido que vuestra página se convierta en un minado de criptomonedas, ¿no sé? ¿Le ha pasado a alguien o me estoy columpiando? ¿A nadie? ¿Serio? ¿O no lo saben? ¿Han entrado en su página alguna vez o le han dicho a un usuario, oye, entra en mi página o un usuario les ha dicho, oye, estoy entrando en tu página y de repente lo renome va súper lento. Y se me pone como un avión, como un jet, pues, pues, posiblemente si pasa eso es porque tenéis un Cryptominer metido. De repente es un pequeño script, un javascript, que les se dedica a minar moneda. El concepto de Botnets, al final, es red de sitios o de espacios o de plataformas o de dispositivos, ¿vale, que están a tu disposición para un ataque o lo que sea, ¿vale? Entonces, un Cryptominer podría ser formar parte de una Botnet. En el fondo de lo que se trata simplemente, los llamábamos antes eran dispositivos zombis, ¿vale? Dando un ejemplo sobre Botnets hace un par de años, no se se acuerdan, petó Netflix, petó Twitter, petó varias empresas grandes durante unos días y resultó que era por un ataque 2, ¿vale? Los ataques 2 son ataques en los que cogen muchos dispositivos y atacan una sola web. Ya hemos visto algunos compañeros hablados sobre, ¿no? Si, claro, si tiene vídeos y si tiene muchos usuarios pues te pueden petar el sistema y venirte a la bajo, ¿vale? Pues los ataques 2 son para eso. Te cogemos muchos sistemas, vamos a pedirte durante un tiempo sostenido muchas peticiones por el segundo a una web y te la tumban, ¿de acuerdo? Si son 2 con doble D, es que es distribuido y si es sola D es que es desde un solo dispositivo. En el caso concreto de este ataque fueron cámaras de seguridad de todo el mundo atacando un servicio específico de URL dinámica. O sea, para servicios de IPX y URL dinámica estaban por debajo estos servicios que cayeron después. Lo gracioso de todo esto es que es uno de los primeros ataques documentados IoT de elementos de Internet de las Cosas. Es decir, no son ordenadores propiamente dichos, son cámaras de seguridad. Y la pregunta que le debería entrar en la cabeza es, coño, si han hackeado estas cámaras de seguridad de todo el mundo, más de 25.000, para atacar un punto, significa que habrá gente que podrá ver a través de esas cámaras con total impunidad. Si han sido hackeadas, pueden ser utilizadas. Bien, el caso concreto es que desde el punto de vista de la policía de ciberseguridad estamos encantados de que hayan hecho esto porque así hemos identificado el problema. Vale, en el caso concreto, esto fue unas cámaras que se fabricaban en Taiwán y de hecho, a raíz de esto, Estados Unidos las prohibió en todo Estados Unidos y tuvieron que devolver miles y miles a Taiwán que ellos dijeron, que han utilizado el firguan y tal, que ahora ya no sí, pero dijeron que no, hasta aquí. Evidentemente, todas las cámaras de seguridad son susceptibles de ser utilizadas por hacker y observadas por quien les dé la gana. La cuestión es que en este caso era un ataque 0-day, significa que te hackeado 25.000 cámaras y el día tal, a tal hora, todas van a cargar tal página. Eso es un 0-day. En este caso concreto llegaron un pico de 50.000 peticiones por segundo sostenido durante varios días. Los crypto miners, ya les dije que, la forma más fácil de detectarlos es cuando tu CPU empieza a estar hasta el máximo cuando cargas una página. Esto ocurre muchísimo con páginas ocurrió, sobre todo, con páginas del gobierno de Estados Unidos y de Sudamérica y en Sudamérica todavía quedan muchas páginas del gobierno con crypto miners. En el caso concreto, lo que están haciendo es, oye, cada visita de cada usuario para minar monedas. Yo no sé si ustedes están familiarizados con cómo funcionan las criptomonedas, pero las criptomonedas, tú puedes ganar bitcoins, eserio y demás, y lo que haces es poner a disposición de los algoritmos de minado tu CPU durante un tiempo. Ganas un porcentaje durante ese tiempo. Claro, si tú tienes, no sé, mil visitas al mes y las mil visitas se pegan cinco minutos en tu página y están minando monedas, lo que estás haciendo es convertir el mundo entero o los posibles visitantes en una especie de granja de minado, en potenciales minadores. Era bastante sencillo porque además es un script llamado CoinHive, de una página llamada CoinHive y había otra también de monero. Incluso limpiamos una que no era a nivel de la web. No estaba inyectada en la base de datos específico o en el tema o en el HTX, sino estaba inyectado en el propio server. Es decir, el momento que tú hacias la petición y entrabajas en el server, te inyectaba ese código también. Bien, Rang Steelers o CC Steelers o todos los Steelers, es decir, ladrones. Este es un ejemplo que parece muy simplón, pero les invito a que separen a mirarlo y les explico. Esto fue un experimento que hicimos un experimentatorio en la que cogíamos una página que estaba ranqueada en Google y la copiamos, literalmente. No sé si ven que a la izquierda pone HackMe y a la derecha pone AttackerMe. Sin embargo, copiaron todo lo que era la infraestructura SEO y se pusieron a hacer SEO de esa página. Sin embargo, el nombre y todo era igualito a la otra. ¿Qué es lo que estás haciendo cuando tienes dos páginas exactamente iguales, a la otra página? Es un ataque dirigido muy típico cuando quieres de alguna manera se estabilizar alguna marca que te está molestando, entonces creas una página clon, le haces SEO usando todo lo que usa de SEO en la otra página porque es público, las palabras claves, las técnicas de estrategia, la puedes subir al search console, Google no te dice nada, etcétera. Y puede llegar a posicionarse mejor que la tuya. No les muestro el ejemplo real porque tuvimos un tema con una marca bastante famosa en el que estaban empeñadísimos que les habían hackeado y cuando nos explicaron por qué, dimos no, esto no es un hackeo, esto es lo que han hecho es copiarles a ustedes y hacer el trabajo que deberían estar haciendo ustedes. ¿Qué es hacer mejor SEO? Lo primero que piensas es que te han hackeado. ¿De acuerdo? Esto que tenemos en pantalla y me van a perdonar porque este es un módulo de magento, tenemos Wordpress también pero hoy me ha dado por poner este, si se fijan esta toda la información de compra de una tarjeta de crédito y si se fijan un poquito abajo donde está seleccionada pone mail demand behind arroba gmail toda la información de pago. Vale, o sea, esta compra todas las personas que compraban a través de esta página web a esa dirección le mandaban toda la información de las tarjetas de crédito inclusive ccvv de magia. Esto es un ejemplo muy claro. Bien, los rank and stealer y los cclogging and stealer son difíciles de detectar, son temas que te vas a dar cuenta cuando algo raro ocurre. En el caso de los rank and stealer de ambos realmente son muy dirigidos no son ataques realmente que sean genéricos que utilicen alguna vulnerabilidad que realmente están orientadas a tu con negocio en particular. ¿De acuerdo? La mejor forma siempre es a través de los usuarios la forma de detectarlo. Tengan en cuenta que en un caso estás hackeado en el caso de los cc stealer y en el caso del rank and stealer no. Si les copian, les clonan y le hacen mejor que ustedes no es un hackeo. No han entrado en vuestro servidor para hacer nada. Sin embargo en otro caso sí que están filtrando información que es sensible ¿Vale? Estas han sido pequeños ejemplos lo que llamamos la galería de los horrores han sido una selección tengo mil malas pero es que no me da para enseñarlas todo. De todas maneras podrán verlas con detenimiento si quieren en casa. ¿Qué pasa? ¿Ahora me han hackeado? ¿Y ahora qué hago? Estas son las medidas reactivas es decir estoy reaccionando al problema. Oye, creo que me han hackeado voy a comprobarlo utilizando herramientas externas o yo les recomiendo también uno que es bastante bueno el virustotal.com ese también lo usamos nosotros también. Lo siguiente es actualizar lo habrán escuchado 50.000 millones de veces seguro que casi todos de ustedes me dirán no, pero es que no siempre se puede actualizar y tal si, si se puede y a veces vale la pena que lo hagan a veces vale la pena el dolor de cabeza de reventar la página volver a levantar, actualizarla y solucionar los problemas porque le va a ahorrar en el futuro muchos problemas así que sí, sí puede. Otras medidas que podemos hacer en este caso concreto yo pongo no sé si lo habrán comentado por acá pero pueden bajarse la versión completa de WordPress de la página, los ficheros core y mientras no sobrescriban la carpeta uvp content y su página siga las, digamos, buenas prácticas de desarrollo, es decir no se metan a modificar ficheros core si meten todos los ficheros que están, que no sea uvp content en vuestra página, sobrescribiendo lo que hay se cargan muchas de las cosas que ya, muchos de los ficheros que pueden estar infectados porque ya tienes, digamos, una estructura core absolutamente limpia que pasara de la página, ¿de acuerdo? Recuerdo, ni el vpconfig.php ni el vpcontent esas dos ficheros el fichero vpconfig y la carpeta vpcontent, esas no las toquen siguientes medidas y esta también es lógica revisa tus admins revisa cuáles son los ficheros los usuarios administradores de tu página a veces ocurre y nos ha pasado que me viene, no, pero es que tengo nos han hackeado y nos están hackeando continuamente y revisas la lista de administradores y te encuentras con cosas como estas no se ve muy bien pero los que tengo seleccionados son administradores falsos hombre, el que tiene la foto de la cara blanca con la capucha negra pues, no o sea, está claro pero también fíjense en los correos una de las cosas que es importante es que Wordpress no permite que registra al usuario que no tiene un correo entonces si pone un correo, no arroba e-mail o te pone no reply arroba secure server o no te pone pues algo ha habido raro ahí ¿vale? aparte de los administradores también les recomiendo y esto es repetición pero no nos vamos a cansar ni casares que estará por ahí, ni nadie los que nos dedicamos a seguridad por favor si instalan 60 y pico, 80 y pico plugins en vuestro sitio hagan el esfuerzo de seleccionar exclusivamente aquellos que son indispensables para que funcione y eliminar el resto no deshabilitarlo, eliminarlo porque si lo deshabilitan, los ficheros siguen en el sistema y se pueden usar y si uno de ellos es un fake plugin o sea, típico que nos lo bajamos diciendo, ah, miras que me lo he bajado de tal página es un premium, pero me salto la protección porque viene con una tal pero viene también con regalo ¿vale? siguen siendo deshabilizables y están así otra cosa importante, cambiarlas power evidentemente no voy a reincidir les empongan power pesadas o power complejas bueno, qué coño, si les voy a incidir power, largas si utilizan un sector de power tipo laspas o tipo no sé, hay paramagas, montones y demás pues escóchale, si van a usar algo como eso pongan una power de 32 caracteres no pongan una de 5 porque total no, las van a recordar igualmente ¿vale? y es el sistema que las recuerda pues ya que estamos usando una buena ¿vale? pero también es importante que cambien los power de todas esas cosas no solamente del administrador sino también si tienen cuentas FTP solamente especifican las que van a usar y cambien las power de eso y también si han hackeado si les han hackeado, tengan en cuenta que el archivo uvp confi contiene la power de vuestra base de datos con lo cual si han entrado en el sistema un hacker que tenga dos deditos de frente lo primero que habrá hecho ha sido coger también las credenciales pero base de datos, con lo cual si les han hackeado lo primero que tienen que hacer es cambiar la power de la administrador sino también la de la base de datos y si no están familiarizados con el proceso porque cambia la power de la base de datos y de repente la página no funciona y nos acuerdan de que tienen que modificar también el vp confi pónganse en contacto con el hosting que seguro que lo hará por ustedes como última medida cuando quieren hacer las cosas a vuestra manera y no queréis contratar un departamento de seguridad o un analista de seguridad restaurar backups ¿vale? ¿cuál es el problema? ¿de cuándo está activo esta infección en nuestro sistema? claro, pregunta importante no solamente ¿tienes para acá? ¿crees que tienes para acá? ¿crees que funcionen? esto es importante porque en empresas grandes lo que hacen muchas veces es hay una figura de una persona que se dedica a destrozar las cosas dentro de la propia empresa que es como un chaos day y entonces la propia empresa tiene que recuperarse las diferentes problemas que les pone este especie de grinch ¿vale? y eso es para comprobar perfectamente que cuando vaya a ocurrir este problema pueden hacerlo frente y esto es lo mismo, decir un día cojan y restauren las copias de suria para comprobar que al menos están funcionando ¿vale? porque pasa que si tengo copias de suria, espera y está corrupta o no tiene todas las cosas que tenéis que tener otra cosa importante, cuando les han hackeado ¿vale? es decir, lo primero me han hackeado, lo primero es intentar poner en conocimiento a los amistradores, el dueño, a los usuarios y demás ¿vale? los siguientes contactar con el hosting provider les recomiendo que vayan directamente a su curio o cualquier otra empresa de seguridad lo primero contacten con el hosting muchas veces los hosting tienen ya partnerships con de temas de seguridad o tienen gente de analista de seguridad que ya de perses saben solucionar el problema que tienes que a veces hay problemas que son fáciles y no sepan hacerlo ¿vale? y lo siguiente pues evidentemente será contactar a un especialista claro, acabo de ver la charla de la compañera anteriormente y bueno, creo que esta parte de la isla es importante me la iba a saltar por cuestiones de tiempo pero lo hago rapidito por tutitis, miseo ponen el dios que quieran en medio o sea, a mucha gente le interesa mucho el trabajo que ha hecho durante tiempo meses y años, el tema del seo ¿vale? y ustedes tengan en cuenta que esto genera mucho esterismo que siempre que hay un hackeo voy a poner entre comigues no siempre, pero ya que estamos así con su conciencia siempre el seo se ve afectado y que normalmente viene siendo un problema de mantenimiento o sea, oye, no has tenido cuidado con tu sitio sí, has hecho un buen seo, pero no has hecho actuaciones regulares, no tienes un plan de seguridad etcétera de reacción porque si te han hackeado la página si después tú lo que haces es pasar por Google te indexa lo que te han hackeado y entonces tu rank va, vale prevención esta es la página de las pesadillas del seo ¿Por qué a mí o sobre análisis forense? esta frase es importante que la tengamos todos en la cabeza y antes lo comentó el compañero cuando me estaba presentando es bastante es bastante gráfica dice, solo hay dos tipos de empresas las que le han hackeado y las que aún no saben que le han hackeado vale, y este es el seo de Cisco ¿Qué pasa? que aquí hay hay que entender estas cosas, lo primero es porque a mí no, mira el 98% de los ataques o de los hackeos ni siquiera tiene que ver contigo les da igual que te dediques a vender gatitos o que ayudes a los no sé, a los niños de no sé dónde o lo que sea no, no va por eso, va por que tu mantenimiento de tu página o tu sitio tiene una vulnerabilidad que no has tapado o que no has tenido cuidado en en proteger o que tiene una password muy pequeña o lo que sea, entonces hay que tener en cuenta estos facts lo primero, casi nunca tiene que ver contigo lo siguiente es que tiene que ver normalmente siempre con problemas de monitoreo y mantenimiento lo tercero que es importante es que la seguridad nunca es el 100% siempre vamos detrás de los hackers los hackers encuentran los abujeros y nosotros los arreglamos y otra cosa importante tener un SSL, un certificado SSL en vuestra página no les protege de nada vale, de nada, es decir el tío o el usuario se comunica con el server de forma segura vale, pero si ese usuario es un hackers lo único que vas a conseguir es que se comunique de forma segura con el servidor o sea, vale, es un hacker seguro o cada vale, no protege, lo único que hace es que lo que comunican de un punto a otro no lo puede escuchar nadie, ya está vale, pero lo que haya por los extremos no tal y otra cosa que es importante tener en cuenta es una frase latina, yo soy mucho de de frases latinas, viene a decir algo así como los humanos fallamos vale, entonces cuando aquí hay gente que son como se llama codificadores de temas como codificadores de plugins y demás y tal pues coño, es probable y posible vamos a quitar probable, es posible que porque somos humanos introducimos fallos o problemas o bugs, o no tengamos en cuenta ciertas cosas y nuestro código no es perfecto, vale, entonces la seguridad tiene mucho que ver con esto vale el análisis forense no voy a entrar muchos detalles, básicamente es tener en cuenta que es hacer el backtracking es entrar en un servidor y ver lo que ha pasado, desde que el momento que se ha detectado el problema hacia atrás, hasta el momento en el que entró el problema, vale este servicio no lo hacemos en Sucuri, pero tengan en cuenta que es otro servicio adicional que tendrían que contratar, si les interesa realmente saber qué es lo que pasó suele ser lento, no siempre dar resultados y es caro ¿por qué? porque requiere una especialista muy cualificada para estas cosas y no siempre el hacker ha sido suficientemente bueno, hacker, voy a quitar la palabra hacker antes de que me mate, ciber delincuente no siempre se sabe o no siempre ha dejado pistas por ahí, ¿de acuerdo? a veces hay que sacarlos por patrón y a por último, típicas checklist de cosas que hay que hacer y ahora de manera proactiva, es decir, antes de que les pase seguridad por capas, vale, tengamos en cuenta esto siempre, la seguridad no existe en un plugin, ni existe en cambiar una password ni existe, no, es un montón de cosas desde que sale de ti como usuario, hasta que llegas a la página y recibes la información tenemos, tú, la persona, que eres susceptible de ser hackeada a nivel social, social hacking que le llaman tu dispositivo, que requeriría tener un antivirus para comprobar que no hay virus activo es la conexión que debería ser segura para que lo que conecte de un lado a otro deba ser seguro, que el sitio web además tiene todas las conexiones y las analiza adecuadamente con un firewall que las creencias le sean pago este fuerte, que tu sitio esté bien monitorizado y que esté actualizado, que la seguridad del server tu sitio está en un server también debe estar monitorizado y actualizado que la base de datos también esté monitorizado, no te voy a decir actualizado, puede ser optimizada pero bueno, al menos monitorizada y sobre todo que exista un mantenimiento principio mínimo privilegio, tener cuidado a quien le dais permisos si le dais a vuestro primo, porque vuestro primo va a escribir un post en vuestra página y le dais permisos handling, pues que tengan en cuenta que a lo mejor no es necesario darle handling y con editor le vale, y que después se olvidan a veces de que han creado esa cuenta y a la mujer esa cuenta la ha creado para ese post en particular y la has puesto handling123, porque se la tienes que decir por teléfono y la has cagado he comentado, y seguro que muchos de los que están aquí de tema de seguridad, me pueden pegar un buen coscorrón el escano de integridad de ficheros, evidentemente existe un escane interno en server que nos dice, oye este fichero ha cambiado en estos bytes, y no debería vale, eso es lo que hace por ejemplo el escane del plugin de Sukuri también otros plugins por no decir todos creo que lo pongo ahí, creo que toda la suite de seguridad lo incorporan, es determinante porque nos va a contar si algo que no debía haber cambiado, ha cambiado y el problema es que puede ser ruidoso, si a mi me preguntan qué plugins son los que les debo recomendar aunque les parezca muy raro yo no recomiendo el plugin de Sukuri vale, el plugin de Sukuri se los recomiendo si tienen Sukuri y solamente o especialmente para todo lo que es lo que ven en el dashboard de Sukuri que es información sobre vuestra propia página sobre el escane de ficheros y demás lo puedan ver desde el propio dashboard pero a nivel de digamos herramientas o una baja suiza de tema de seguridad WarpFence es algo que yo suelo recomendar el resto de las opciones esa de voy a cambiar el url de lightning voy a poner no sé, voy a quitar la versión de WarpFence que no sea visible de todo este tipo de cosas en realidad tienen una incidencia bastante baja en lo que es la seguridad de su site si tenemos que ir a la mayor son las que les he comentado la backup una comida seguridad limpia y funcional que puede salvar un mal día y el WAF famoso WAF que parece que somos perros WAF el website application firewall es un firewall solo para web es decir, solo analiza el tráfico que entra en el porto 4.4.3 si estás en modo seguro en el caso concreto puede servir como una herramienta de análisis forense es súper recomendable tener un WAF cómo funciona yo siempre le digo a todos los que no entienden cómo funciona un firewall de este estilo es un túnel de limpieza como cuando metes el coche sale entre asucio y sale limpio pues igual las conexiones entran por un lado se identifican y solamente llegan a vuestros sitios si cumplen que no activan ninguna norma de algo raro por ejemplo, cuando has identificado hackers que venden de una IP específicas etc entonces tener un WAF es importante limpia las conexiones que entran pero no afecta ni a correos ni nada solo es web y eso es todo charla súper completa vaya a dos charlas para finalizar la jornada ahí tenemos una protección activa pasiva de todo tipo se me oye? yo tengo una pregunta tengo un cliente que lo único que hacían era entrar en la web y cambiarle el número de teléfono y el correo ¿qué tipo de ataque sería? eso es como cuando le dices a un médico oye mira tengo estos síntomas qué enfermedad tengo tengo que ver el caso concreto que yo no les he comentado aquí pero que es muy importante a veces ni siquiera es tu propio sitio web sino si tu sitio web está dentro de un vecindario pasa lo mismo que en un hosting compartido pasa lo mismo con los vecindarios puedes tener vecinos ruidosos sucios etc o sea, a lo mejor ni siquiera está en tu sitio web puede ser que a lo mejor este en un sitio web que esté anexo ahora, yo lo primero que te recomiendo es pásale un escano a ver qué pasa yo te digo yo que lo más probable es que no entre por ahí si será una vector, yo no he hablado de vectors en esta charla, la vectors es da para 3 charlas o 10 puede ser una vector tienes algo en el sistema que no es detectable haciéndole una foto pero es un fichero que está ahí guardado y que lo están usando para entrar y cambiar cosas si es un WordPress la forma más bruta de cargarte eso o por lo menos tener una posibilidad de cargártelo o bien sobrescribiendo el tema de WordPress o incluso migrando a otro server directamente para ver si no es una cuestión de que ya han entrado por otro lado te digo, la gracia es que no cambiaban nada más solo cambiaban el número de teléfono y el contacto tengan en cuenta que hay saber delincuentes que son inteligentes y prefieren no ser demasiado cantosos y tener ahí la posibilidad de ir haciendo charladitas de vez en cuando si haces un defacement como los que hemos visto sabes que está estropeado y lo primero que va a hacer es venirte la policía detrás es limpiar un poco lo que es entonces no te podría decir desde aquí lo he visto en muchas ocasiones en el caso concreto es teléfono y correo pero las que he visto son tiendas digitales que el correo de PayPal lo cambia entonces todos los pagos no van a la tu cuenta bueno, otra va tu vez y al fondo tenemos una si te rastrean la web osea si tienes un crawler como lo puedes detectar con un servicio de estos de WAF puedes es suficiente y hasta que punto es se considera legal o legal que te rastreen la web es una pregunta de la que yo no estoy demasiado cualificado para contestarla pero te puedo contar un par de cosas un crawler te refieres a un script revisar lo que tienes dentro de tu página y alimentar una base de datos con información de tu página si un WAF puede ayudarte siempre y cuando esa araña vale este declarada como algo que ya se conoce que esta que de hackers o de ciber delincuentes o de empresas con dudosa reputación de hecho muchas veces miramos si eso pertenece a un dominio y si el dominio esta blaclisteado o si esta en una lista negra de acuerdo entonces ya eso nos da información sobre esa araña a través de un WAF se puede bloquear en gran parte particularmente te diría que la mejor medida para eso es mantener una buena higiene a nivel de acceso usando el robot.txt o usando el mismo fichero htaccess donde ahí pones normas y decir oye todo lo que no se parezca una combinación de esas medidas debería ser suficiente gracias hola entre las cosas que podemos hacer nosotros mismos has comentado que podemos mirar los ficheros buscar la integridad etc sobre escribir con una copia limpia de warpers los plugins etc pero en la base de datos te termos manera de mirarse en la base de datos hay alguna infección hay código malicioso ahí o bueno es una buena pregunta la base de datos es el elemento más sensible de un sitio web ¿por qué? porque las imágenes también pueden ser sensibles el texto bueno tal pero todo eso al final está en la base de datos lo que hace que tu sitio sea tu sitio es uvp content y la base de datos todo lo demás es corre normalmente decirle a una persona que no sabe nada de más ese cuele o que no se va ni acceder a través del pecho de la memoria o no se va a que buscar es complejo si tu has sido hackeado o ha sido infectado mediante un ataque de blaja alceo y ya los he identificado sabes que están vendiendo supuestamente tu página vende Air Jordan para atas pues puedes intentar entrar en PHP Miami buscar a ver si hay algún sitio donde está eso el problema es que los hackers no te ponen oye mira corta este trozo que es el que yo te he hackeado normalmente todos hacen así ¿vale? te lo meten en tu propio código legítimo limpiarlo no es fácil requiere requiere gente especializada entonces yo normalmente en la base de datos si está infectada ya te digo que lo mejor es que directamente trates con el hosting si el hosting entiende que con una sustitución de la backup va bien o con sus propios operadores va bien y si no pues contratar o pidiar un servicio especializado como nosotros por ejemplo en lo que hacemos ya es limpiarla con cuidad hola qué tal felicidades por cierto gracias más plugins o mejor hosting y hablo de mod security en fin todo eso que tú ya sabes ¿a qué te refieres con más plugins de seguridad? te has centrado en hablar de plugins que ya sabemos y yo he visto pues muchos elefantes llevando ahí el circuntero y al final no que digo en un webs y tal y al final no se habla de que la solución se debe de aplicar de arriba hacia abajo en este caso a nivel servidor en reglas y petables y todas estas cosas y entonces te pregunto más plugins o mejor hosting yo diría que una combinación de ambas vale te diría que de hecho yo no soy partidario de llenar de plugins de seguridad nada en webs ni nada intento siempre recomendado a la gente que se basen en hosting de calidad o sea hay un problema que a lo mejor no se ha hablado mucho que es la confianza en el hosting en el que está nuestro sitio web no es una cuestión solo económica es una cuestión también de reputación y la reputación no siempre viene solamente porque oye tengo la mejor publicidad también porque tiene el sistema de soporte detrás y el sistema de monitorización mejor y te da más seguridad entonces en ese caso yo diría que es más bien fiste fiste una cosa depende de ti que es tu sitio también depende de ti elegir ese hosting pero muchas veces no sabes muy bien lo que te juegas es lo que hay y la parte del server no está en nuestra mano normalmente es una cosa que está de mano del hosting o de la persona que tengáis contratada que se dedica a eso si eres esa persona que además domina el server pues evidentemente yo te diría que te centrarás más en la seguridad server siempre o sea como ha dicho desde arriba abajo no entren y que entre lo que entre lo que entre lo justo y después ya si es legítimo por parte del usuario o por parte del propio sitio o es ligeramente legítimo que está en la graylist ya es responsabilidad del propio sitio hola Néstor gracias por la ponencia de felicidades hoy creo que es una pregunta un poco difícil esta porque te voy a pedir que profetices un poco pero tú con el background que tienes ya y con la experiencia que tienes que es lo que crees que vamos a ver en los próximos años que haces tanto de seguridad como de hacking en el mundo de WordPress hacia dónde crees que estamos viendo que es lo que nos vamos a encontrar en los ataques dentro de dos años hombre si a mí me preguntara basándome en la experiencia que tengo en los últimos cuatro años lo que se va viendo es que aparte de que existe una concienciación mayor visto desde el punto de vista de un analista de sistemas como yo esto tiende a ser un poco misterismo y llega a ser demasiado intrusivo en la vida de los propios sitios al final lo que se está viendo mucho es que los sitios WordPress especialmente pero casi todos los CMS dejan de ser WordPress tal cual y lo que hacen es cada vez dejarte menos espacio como usuario del sitio por ejemplo está todos los planes de Google adipro, Managed WordPress y demás que al final lo que hacen es quitarte responsabilidades pero también quitarte control para que no hagas burradas y de alguna manera darle más responsabilidad cada vez más al administrador del sistema es muy probable que vayamos un poco hacia allá al final a separar lo que hoy conocemos como WordPress y esa es mi opinión personal lo que conocemos como WordPress como el software completo y dedicarte solamente a darte una serie de funcionalidades dentro de un sistema que puede ser el que sea y esas funcionalidades son las que tú tienes control para manejar, siempre habrá románticos que prefieren, oye no, yo quiero todo el control quiero mi server, quiero mi seguridad quiero mi WPS, quiero mi centro de datos y quiero mi conexión a DSL, vale pues genial al final para el usuario medio para aquellas personas que no son informáticos que no tienen tal lo más probable es que se le vaya quitando la responsabilidad en todo ese tipo de cosas, vaya siendo asumida por empresas que se dedican a eso y solo exclusivamente te dejan que tú quieres un blog para poner POS, pues postea ya está, te dejo el acceso aquí al POS a esto y a lo otro, que quieres cambiar algo del tal pues cambia esto y esto y se acabó mientras menos opciones como una de las cosas que no he dicho aquí también pero siempre digo mucho el arte de la guerra, mientras más puertas tiene tu casa o mientras a una fortaleza más puertas tienes más vulnerables, al final mientras más las reduzcas menos vulnerables y ese creo que va a ser el camino, al final será un poco el estilo lo que estamos viendo en Medium en Medium que es la plataforma de blog CEO que está un poco más de moda cuando no quieres preocuparte de una plataforma propia pues creo que va a ser un poco eso el camino pero eso es mi opinión es la última ahora juntaremos ambas hablas y haremos aquí la sesión con Fernando, o sea que veréis que va entrando gente y la otra sala no va a quedar nada, o sea que estamos bien, estamos aquí ubicados, ¿de acuerdo? Venga, última pregunta por aquí mientras acabas de entrar todo el mundo Néstor, si en mi propio correo recibo correo mío que yo no me enviado esto es de hacker que hay que hacer con eso, evidentemente lo tiro pero... te diría que hay dos posibilidades también puede ser que tengas algún formulario de contacto que este que esté vulnerable en tu propia página web es decir, puede ser un hacker desde dentro desde el server, pueden estar utilizando tu plato... en concreto es un correo que no aparece en la web para nada el mío no aparece pues si es además de ti mismo pero sabes que es de ti mismo o simplemente lo pone arriba es que si lo pone arriba, si miras en los detalles pero a veces te ponen el nombre tu si, claro, si voy dentro ya no pero a mis clientes les puede aparecer un correo mío igual, y ellos igual no lo ven entonces abren pero ahí tendríamos que diferenciar si realmente está siendo mandada desde tu servicio de correo o simplemente está emulando que eres tú si lo está emulando, ahí no hay más tu tía que decirle a tus clientes marquen como spam este correo porque siempre hay discriminantes que los propios filtros de spam ya lo detectan y en el caso se mantengan al tanto yo te digo, si la plataforma tú y es la que estás hackeada es otro rollo pero simplemente lo está mandando en otra plataforma e emulando que eres tú y ahí pasa lo mismo que con los otros no estás hackeada, siempre te están intentando emularte gracias