 Hola, buenos días. ¿Qué tal? ¿Qué tal a charla anterior? Ya temos una buena política de precios. Bueno, lo que no tiene precios é a charla que viene ahora con Néstor Angulo, que, bueno, tenemos la suerte de que le encanta compartir conocimiento e, pues, lo tenemos aquí para compartir toda la experiencia, máres de 15 años de experiencia, trabajando con WordPress e, actualmente, trabajando en Web Daddy e en Web Security. Entonces, sin más preámbulo, os dejo con Néstor Angulo. Gracias. Hola. ¿Se me oye? Ahora, sí, ahora. Bueno, buenos días. Bé, a la prime. Bueno, estamos aquí para hablar un poco de ciberseguridad. Notarán que por mi acento no soy de aquí, aunque llevo ya aquí tres añitos en esta maravillosa cidad que me ha cogido con los brazos abiertos e, además, que estoy encantado de estar aquí e doer la gracias a la organización por darme esta oportunidad de presentar esta charla, que, además, es unha charla un poco freaky, es un poco de esto de, bueno, cuando llevo mucho tiempo trabajando en esto, pues cojo cosillas que me gustan e demás e, claro, transmitirla a gente que no tem mundillo es complicado. Transmitirla a gente que no tem mundillo e se dediquen más a la parte de diseño aún má complicada. Vale, porque cuántos diseñadores hay aquí o relacionados con el mundo del diseño? Devante la mano. Y cuántos estes les han haqueado alguna vez? Venga, anda que... A mí me han haqueado e ole levanto a la mano, xe, de primero. E eso que me dedico a este mundillo. Nono, nono, no quero ni contarles, no? Bueno, pues eso. Eu estudei en xenial informática e llevo bastantes años trabajando ya de analista de seguridad para GoDadi ante sukuri.net e depois ya lo compro GoDadi e, así que somos el mismo equipo e, bueno, este año me saque de seguridad que é bastante tocha, bastante complicada. Vale, vamos a hablar de ciber-seguría, no? De que me estás contando, no? Haque, vamos a empezar a dar á algunos conceptos primeros para que nos pongamos un pouco, digamos, al calor, no? Es decir, primero, nuestro Bayer persona, que me encanta esa frase, para los que te diga el marketing e demás, sempre que lá, o Bayer persona. Vale, que é un hacker? Pues é una persona curiosa que va más allá de los límites e los convencionalismos. Non é ese señor con el hoodie que habíamos visto antes. Vale, é esa persona curiosa que va más allá, no? Eu não sei se habéis visto los típicos vídeos de esto, te usa una botella para guardar las cosas e tal, o haqueo, cinco haqueos que te cambiarán na vida, hay cosas así, no? Hay gente después que se flipa un pouco, no? Pero en fin, que podes ir a lo sencillo o podes ir a lo complicado, no? Vale, por exemplo, é estos senhores que estén aquí, son hackers, son gente que foi más allá de los límites e sacaron cosas de las que no había, por exemplo, eu que sei, el amigo Arquímedes dijo, oye, pues, eu con, oi, no sei, sale, va un pouco regular. Ahora, el amigo Arquímedes, con agua, pues, conseguiu pesar, no? Digo, bueno, pues, se eu desplazo tanto agua, con esto, pudo pesar, no? Pues, sacó de aí los principios de Arquímedes, pues, son hackers tan bem, de acuerdo? Entonces, después hay outra persona que é la que nós entendemos por hackers, o que muchos de ustedes entienden por hackers, sobre todo los que nono dedican, los que nono dedican a este mundillo, que é o hacker informático malote, vale? Nosotros lehamos, é o ciberterrorista, é o cibercriminal, ciber delencuente, cracker, bom, tiene muchos nombres, vale? Pero o hacker, posiblemente, é ao menos apropiado. Casi todo mundo tendrá en la cabeza, los que hayan visto esto, hayan visto ao menos un capítulo e demás tendrá en esta serie, en la cabeza, vale? Entonces, é, bueno, é estos hackers, los hackers informáticos, en realidad, non son todos malos, de acuerdo? Podemos diferenciar-los en tres tipos, dependiendo del sombrero que llevan. Teremos el malo, lehamos Black Hat Hacker, o sombrero, este malo hacker del sombrero negro, vale? Después tenemos o bueno, que é o analista de ciberseguridad, o hacker ético, o que se dedica un pouco ao contra, do malo, e o de enmedio, quem é? É o Grey Hat. Nosotros lo definimos sempre como, en este caso, se seguimos a analogía da película, no? É o bueno e o feio e o malo, pues é este seria o feo, porque é o bueno que utiliza metodos malos, vale? É decir, non sei se conocéis é este famoso hacker, roa-a-los ricos, para dar-se-a dos pobres, ou estos senores d'aquí, que seguramente tamén los conocerán, tamén son considerados Grey Hat Hacker, este é o señor El Guares Snowden, e o de Wikileaks, pues dijeron, vamos hacer todo o malo que se pode hacer, sendo analista de ciberseguridad, para dar a conocer ao mundo unha serie de información, de acuerdo? Entonces, quén é son lo bueno? Pois é o bueno, os que hackean bonitos, somos os analistas de ciberseguridad, é estos somos os que hackeamos bonitos. Claro, viendo todo é estos, quén é son hackers? E diría que todos somos hackers, no? Vale? Porque vamos a decirlo, todos somos hackers, venga, todos somos... Venga, muy bien, a la primera, perfecto. Somos é sa foto, por cierto, de o colega Benilo, de la ponteidera de hace, pues nada, unas semanitas. Vale, bien, hasta aquí, un pouco hablando sobre hackers, pero bueno, también un pouco yéndonos un pouco hacia atrás, que é la seguridad de la información, o la Infosex que le llamamos tamén nosotros, e é estos é importante porque como non se sabe mucho, me gusta compartirlo para que todos nos pongamos un pouco en la mente de los que trabajamos en seguridad, de acuerdo? Al final, qual é a nossa misión proteger o que está no centro? La información, a información é o que realmente nosotros protegemos, como a lista de seguridad, de seguridad. La cuestión é que o que necessitamos é que esa información esté disponible quando lo necessitan las personas adecuadas e sin modificación, por eso está a confidencialidade, a inteiridade e a disponibilidade como puntas de la información. É decir, nuestra tarea é no só es proteger esa información, sino además que esté disponible en tiempo e forma para las personas correctas sin modificación. Fuera de lo que é a información, a seguridad de la información, tamén nos afectan outros círculos como a parte de la información de seguridad física, seguridad personal, organizacional e demás, vale? Hasta quín, a parte espesa. Otros conceptos, malware, se usa mucho, na gente não é muito claro que é o malware. Malware, digamos, é a palavra como din para todo o que é un software malícioso. É decir, algo que intencionadamente quiere causar daño, vale? O está diseñado para causar daño, tanto a usuarios, como ordenadores ou redes de comunicaciones, pero estamos hablando de software, de acuerdo? Que tipos há é? Seguramente habrá escuchado muchos de estos tipos, no? Backdoor, zero day, phishing, trojanos, spyware, malware, enfim, hay mollones. Según o que hagan, pues, hay muchas nomes. Otros definiciones, vale? La vulnerabilidad que é realmente lo que nós, como analistas de seguridad, debemos evitar sempre, de acuerdo? É como ese error en el código, o ese, digamos, esa forma de aprovechar un recurso que puede permitir el hecho de ejecutar malware ou ejecutar acciones no autorizadas, vale? Bien, dentro de la vulnerabilidad, o vulnerabilidad, digamos, é o hueco del muro, está el exploit. El exploit é un programa utilizado para aprovechar esa vulnerabilidad, de acuerdo? Então, normalmente sempre decimos que se tuviéramos una muralla para proteger nuestra información, cada bugerito é una vulnerabilidad e cada hacker que pone aí un pouco de cemento para que se mantenga abierta e poder disponer de ella quando quiera, é un exploit, de acuerdo? Más allá de éso, pues, bueno, o Backdoor, que é o que hablábamos antes, é un nombre genérico de malware, também, para, unha vez que eu tengo abierto ese agujero, con el exploit e mantenedo abierto, inserto dentro un programita que me permite que, sincluso, eu cierro ese agujero, puedo volver, outra vez, a recuperar o acceso de ese sitio, de acuerdo? Vale, como se hakea un work preha? Con estilo, va? Como se hakea o work preha en general, no? Pois, já hemos hablado de la vulnerabilidad del exploit, pero, basicamente, é éso. Primero, tiene que existir una vulnerabilidad. Después, alguien se tiene que dar cuenta de esa vulnerabilidad, crear un programa para aprovecharlo, llamado exploit, inyectar algo que pode ser ya código final, spam, lo que sea, un zero day, ou lo que sea, e, ou, un Backdoor. De acuerdo? Hasta aquí, má homenó, estamos todo bien, no? Si? No nos hemos dormido, de má, que tamo ya de buen asmento. Bien, éto son las definiciones, um pouco, má homenó, para empezar a entrar un pouco en contexto. Tenha en cuenta que é esta parte, va a tener un pouco de código e demás e tal, así que igual non está preparada para todos os ojos, pero vou e intentar verlo bonito. De acuerdo? Vamos a dar un primer ejemplo. É este caso, esto é un hacke de una página que tenia vendia cosas e demás e un dia se le despertó e tenia esta página. Não sei se é capaz de te leer algo. Eu não e estoy má cerca que ustedes. E, encima, tengo el problema de que soy daltonico, así que aún peor, todo aí. Vale? Vale, pues, vamos analizar este caso, o este de aquí. Pase igual. A nivel de diseño, é todo horribles. Vale, é isto é o que nós, na nivel interno, le chamamos que son De-Facement hechos posiblemente por ScriptKiddy. ScriptKiddy son chavales, gente que está empezando, gente que não tem ideia de diseño, obviamente, en fin, que han cogido software de outras entidades para hackear o que sean, o aprovechado algo, porque de repente lo han visto en algún sítio e dicio, vamos a buscar a ver se podo hackear, por tomo, vean, e lo hago. Vale? Cuáles son as características de los ScriptKiddy? Bueno, vemos que normalmente suelen tener logos con su propio nick, se dan aires, utilizan imágenes manga, así de má da calidad, hacen un uso in total e absolutamente indecente de los colores, como podeis haver comprobado e isso non nos respetan, é o que máis me duele. Después suelen tener mensajes lleno de errores ou, bueno, de alguna manera tentando tener unha especie de su prioridad moral, se tenéis dudas o que sea, quando, depois de la charla, quando termine el evento, seguramente pondrán las diapositivas a disposición vuestra e podes leer o que pone. Dejan normalmente su firma, además, en cualquier esquina, se poden en todos os ficheros e además enzima, pues nos queran notan accesa sus redes, no, Twitter, Facebook, lo que sea, no. E la idea es que esta gente normalmente sugre de buscar fama ou dineros fáciles. Uno de los casos concretos que eu me encontré una vez, non buscaba ni fama ni dineros, sino que era un poema de amor a una chica. Lo hai de todo, hai de todo. Vale? Vale, pues esto é ScriptKiddy, nós otro le llamamos lo Quanabí, o Quanabí de hacker malote, en plan de, oi, á que guai, lo hai hecho, no? E sobre todo, son gente que utiliza herramientas que ya están hechas, las modifican lo justo porque al final tienen conocimiento ajustísimos, de te lo diseño ninguno, para llegar hasta aí. Vale? É un ejemplo de código, he seleccionado lo que máis me parece interesante de comentar que me encontré en una de las páginas hackeas. Tengan en cuenta que eu, aunque es trabajón ciberseguridad, non trabajo en la parte de prevención de án esto, para que no elepace esto, bla, bla, bla, bla. Eu sou el que viene de estrada a limpiar quando algo malo ha pasado, con lo cual me encuentro con multa de estas cosas. Vemos arriba que é unha backdoor de un grupo, de hecho, de un grupo de hacking llamado Indo Exploit, con sus comentario de quén lo hizo e demás e tal. Tiene hasta comentarios para que podas rellenar dónde poner la URL, lo que no debes tocar. En fin, está como unha fácil, no? Pero é que además lo deja apuesto. Lo suyo é que, al menos, non lo pongo porque é que eu hago unha búsqueda por Indo Exploit, en cualquier página que está hackeada e encuentro todos os ficheros que están hackeados. Não tiene sentido que deje en los comentarios e, mucho menos, en los comentarios en los que te dicen, oiga, mírez, sustituye aquí la URL e demás, no? E, enxima, pones que, quando termine, redirecciona tu página, con un flag, con un parámetro chamada MrDragon, no? Eso é como ya, la firma, no? MrDragon. Está claro que é este que cogeo esto, que lo cogeo, cogeo unha backdoor de Indo Exploit, la modificó lo justo para que funcionara. Ésto é un poquito, moho menos, la idea de lo que eu les quiero transmitir en éstos ejemplos, vale? Claro, eu non soy psicólogo ni nada, pero, al final de tanto verlo, te máis haciendo unha ideia rápida, no? E creo que estes, moho menos, creo que lo van viendo. Vale, e agora vamos a subir un escalón, vamos a ser ao seguinte exemplo. Éste, ya cuida un poquito máis, vale? Poquillo máis, e por lo menos, aquí porque o contraste non é moha ia, pero também se ve que non piensa mucho en lo ataltónico, e, pero moho menos, já tiene un centrado tal, un texto, en fin, o que le di a cedra, un logo un poquito máis ia, ou éste, que sí que piensa un poco en lo ataltónico, éste ya é em blanco, e de má, bien guai, e, bueno, pues se pone un meme, moho menos, é un ransomware, e éste é como se já digamos que cogemos ao script kiddie e ha dil evolucionado, de acuerdo? Acogido, he dicho, ui, já me he hecho maior, agora ya vamos a hacer las cosas bien, profesional, de acuerdo? Normalmente suele ser éso, o activista o profesional é una persona que gana dinero, ou bien tiene unha segunda vida, vale? El típico que é analista de dia e hacker de noche, de acuerdo? Los hiking son drag queen pra noche, en fin, cada uno é respetable, vale? Firma con mastino, normalmente já tiene, la firmita está en un lado, un esquinita tal, no, é unha cuestión de, ou fama, etc., no? Lo que sí, no tiene mucho cuidado con el diseño, como son gente solitaria, po, no tienen, no, ese é o diseño, le está igual, da ya, lo guai é que ponga que está haqueado o punto, ya está, no, que cumplan lo que les manda e ya está. Ares o sí, el código está máz cuidado, tú lees el código e dices, tu, oi, é po, mira, este tío sabía algo má o menos de lo que estábamos haciendo, vale? E claro, evidentemente, po, siguen, siguen, siguen teniendo a necesidad de que les encuentre, en final, é su trabajo, no? De alguma manera, no? E esto, por exemplo, é una página para alquilar un hacker, donde te haces su descripción de que cosas sabe hacer, como las haces e demas e tal, sus precios, por si estáis interesados, má ou menos un pequeño trabajo dice aí para haquear e-mail, Facebook e tal, 250 pagos, en Bitcoin del momento, po, era éso, se quereis, é esto está disponible en la deep web. E no é difícil llegar aí, é? Vale, voy a hacer un pequeño análisis del código que tiene esta persona, no? Esta persona puso esa página, por exemplo, a del meme, en este caso, estoy analizándola del meme. É surrayado las cosas que me han parecido graciosas, por exemplo, ha puesto un título, bien. Ha puesto metas, bien. E, además, los metas lo ha hecho bien. Ha puesto una descripción para las redes sociales, keywords, descripción e hasta un copyright. Oye, el hombre se le ha currado, vale? De hecho, el análisis de este caso concreto, la hice en una charla que di en Irún este mismo año, también, por si la queréis ver, vale? Ésto é outro exemplo. En este caso concreto, o que estamos viendo é una fraxión del fichero vpconfig, que, para los que ha visto cada algo de código, sabréis que é o fichero de configuración de WordPress. Donde hay un cuadrado aí que lo he tapado porque tenía información que é sensible. Pero un poquito más abajo, vemos que tiene el famoso último incluide, que é o de vpsettings. Pero justo antes, tiene uno llamado vpcontent barra core. Aquí tú ves que é, lo pone en un sitio má o menos aí que pasa de má o menos desapercibido. Usa nombres que pasan desapercibidos. Core, oi, é estos cores, esto no lo pogo tocar, é agüita, no? Entonces, vemos que é esta persona, pues, má o menos ha intentado hacerlo con cierta calidad. No, aquí vemos ya unha digivolución, como é eu. Non sé cuánto de aquí han visto alguna vez é esas séries, pero igual yo sé unha viejo. Vale, aquí, aunque en la letra é muy pequeñita, no hace falta que nos rompamos la vista. La gracia de ésto é ver como de repente, en la estructura HTML, vemos un superscript que, si lo desencritáramos, pues seguramente é un ataque xxss. Vale, lo digo seguramente porque é o lo má habituales. La gracia de ésto que eles querem ensenhar é que salvo que tú mires el código renderizado, no te das cuenta que é esto está aquí. E tu sólamente veis que, quando entras en la página, te sale un mensajito de Alcánado, un iPhone, o lo que sea. Vale? É esto é muy, muy programitual, lo veo prácticamente todos os tías en mi trabajo. Vale, hasta aquí já hemos hablado, hemos visto un pouco a nuestro colega, el Escriquidi, hemos visto ao Pro, agora nos toca hablar de un poquito má, subir un poquito ao nivel, no? Agora vamos hablar de grupos terroristas, porque os hai e os hai muchos, de acuerdo? É este é o uno. De Bangladesh. É este é o outro, Memo Lovers. E como veis, já é o diseño como que está... Ya é corporativo, no? Ya tienen como un idea un pouco má corporativa. E, bueno, seguramente conocerán aquí a los colegas, vale, los anónimos que também se ocurran, un poquito menos, pero se ocurran, vale? Bien, éstos grupos, o grupos hacking groups, o grupos terroristas de hackeo, vale? E es cuando ya un par de prod dicei, vamos a juntarnos e a hacer cosas guais, e vamos a contratar a un departamento de diseño. Sán asociados, bien, han creado ya unha grupación. Normalmente éstos grupos, o bien, estampados por gobiernos, se dedican ao hacktivismo e demás, e tienen intereses noventa má elevadas. Su idea no es coger tu wordpress e reventarlo, salvo que lo quieran usar para una campaña concreta, que normalmente tiene que ver, pues já le digo, con hacktivismo, terrorismo guernamental, ou lo que seas, vale? Que pasa? Que ésta gente crea... crea as herramientas de hacking, vale? Estos son los que crean como Indoxploit, Anonymous Fox e demás e tal, crean herramientas. E, enzima, cuidan seu código e lo comentan, como hemos visto no primer ejemplo de todo, de acuerdo? Ya te lo ponen a disposición e dices, e dices, ei, quieres hackear, moi bien, cambia ésto, pon ésto, e de ésto non lo toques, ya está? Ea, viene con instrucciones, maravilloso. Por exemplo, ésto é un webshell, donde hai un pedazo de comentario inicial, te dices, ei, ésto é un webshell, a mi non me toque lan narices, me detectas guai, me detectas, non me detectas guai tan bien, que sepas que tienes que dar la gracia a ésta gente e que, se lo quieres usar, ésta é la power que debes usar. Maravilloso, con dos narices, por non decirlo, de outra manera. Ésto, por exemplo, non se ve muy bien, pero ves arriba que pone Foxauto, vale? Estos son unos ataques que han estado moi recientemente de un grupo llamado Anonymous Fox, de acuerdo? Son unas herramientas que se han puesto de disposición en la deep web, para que todo o mundo poda utilizarlas quando quiera para haquear e demás. O único problema é que se nota en seguida, cuando son scriptkiddy, porque éstas herramientas, por exemplo, a Anonymous Fox, que les he dicho, incorpora usuarios administradores que ponen Anonymous Fox e depois un numerito random. Ea, bueno, ya que te lo estás usando, al menos pon un usuario túyo propio, que se nota en seguida quando son herramientas, vale? Así que nada, eu concluyo que se quiera ser un hacker mollón, usa colores a mollón, hasta aí me dio para hacer o pareado e sin haberlo deseado, pero usa negro de base, de acuerdo? Firma unas ola vez e cuida tú código e ése é mi recomendación para todos vosotros que queráis ser haques, de acuerdo? Bien, hasta aquí os comento, estos son os exemplos que máx o menos eu he encontrado e máx o menos tengo muchos máx, vale? Pero bueno, para este congreso creo que con ésto máx o menos bien. Agora toca un pouco de decir, vale, e que tengo que hacer para evitar que esto me pase, vale? Estos son, digamos, las recomendaciones que sempre hago, que le hacemos prácticamente todos los que nos dedicamos a seguridad, a atualizar e le voy a decir por qué, pero non te decimos a atualizar e hasta, agora le voy a decir por qué. Tapa agujera de seguridad. Quasi sempre que actualizan están metiendo tema de seguridad. Los parches, tengamos en cuenta que sempre vienen después de descubrir los exploit. Normalmente no somos los buenos los que descubrimos la pulnavidad. Normalmente son los malos los que las descubren, las explotan e después nosotros decimos ah, qué listos! Agora vamos a hacer el parche de seguridad. Por eso, é importante que en cuanto aparezca lo instaláis. Outra cosa importante é que quando bajéis atualizaciones en WordPress sobreescribe o que tengas. Se estás actualizando un plugin, sobreescribe o plugin. É decir, se o plugin está infectado agora o pajai del repositorio oficial o novo plugin o nova versión del plugin e sobreescribe o plugin que tenías anterior. Con lo cual, o que está infectado deja de estar infectado. É isto, un side effect, un side effect de un efecto secundario. É muy, muy deseable sempre que mantengas tu sitio atualizado. E, pues éso. Más del 70% das atualizaciones, de las infecciones, normalmente, sempre están debidas a una pobre administración. Ojo, quadralito blanco en fondo negro. Típica, típica comentario quando digo o tema de atualizaciones. É que se me caga a web. Fórmula maravillosa para tener na cabeza. Qualquier costo, é ese símbolo de la A al revés significa en matemáticas cualquier costo de una web caída siempre será menor, non menor igual. Siempre será menor que el costo de una web hackeada. Incluso, muchas web caídas porque has actualizado 50 veces siempre será menor que una web hackeada. Vale? A meterse non na cabeza por mucho que o tican. É que te puede, non importa, haces una versión de prueba en un lado, actualiza, ver se non se cae e la pones, pero en cuanto sale na atualización, actualiza. Outra cosa que normalmente me suelen preguntar, os factores de auteticación, de que se gueta, esto lo comento también porque hace pouco me hicieron un ataque de subplantación de identidad e gracias al factor de auteticación sobreviví a menos. Vale? Factores de auteticación o de second factor autetication é importante que lo tengamos en cuenta, tengamos lo de algo que o usuario es, algo que tiene ou algo que sabe. Que me salvó a mí que había un pin entre medias para as operaciones más complicadas que no tenia apuntado ningún lado, porque por lo visto habían reventado mi sistema o mi programa de administración de contraseña. Así que, un programa de administración de contraseña por muy seguro que sea, tan poco tiene que ser tan seguro. Así que, ojito, en este caso concreto me salve por eso. Vale? Tengan en cuenta que a má factores de auteticación podemos poner los tres, tres efectos de auteticación. É má seguro, pero también é má complejo. E ya, por último, reducir... Estas son las medidas que sempre comento, no? Hay que reducir o número de amistradores plugins e plantillas, isto é una regla que... O sea, eu hago unos 20 a 25 casos diarios de hackeo, vale? Los resuelvo. Prácticamente en todos tengo que decirle, tienes no sé cuántos plugins deshabilitados, tienes no sé cuántos plugins adicionales que no son necesarios, por favor, elimínalos. Tienes, no sé cuántos temas adicionales en tu WordPress elimínalos, sólo deja el que estás usando e uno por defecto, porque WordPress tiene, desde a versión 5.2, algo así, tiene un failover, en decir, tiene un sistema interno de que se hay un fallo, cambia o tema por defecto, vale? El que le deixéis. Copia de seguridad, parece una tontería, pero es que, casi siempre, esa será nuestra última salida, si algo nos ocurre. Upa, actualizaciones, lo que acabamos de hablar. Invertir un buen hosting ahora hablaré de eso y el web application firewall o el WAF, que no vendan que tienen un firewall y ya está, vale? Hay firewalls e hay WAFs, están los firewalls de servidor e están los firewalls específicos para cá, tráfico, web. Son dos firewalls diferentes, cada uno tiene sus reglas específicas, de acuerdo? Mi recomendación es que si tienes un firewall, tienes, disminuye drásticamente la posibilidad de que te hackeen, no lo va a eliminar, pero disminuye, de acuerdo? Vale, lo que le decías antes, invertir en seguridad, que en lo que estamos hablando, ya sea un plugin o algo de seguridad, algo que me taes, un WAF, un WAF e un plugin, un WAF e un plugin e un fail to ban, bueno, algo de eso, pero también en el hosting, de acuerdo? Aunque parezca mentira, invertir en hosting baratos o va a llevar a muchas progredades hackeo, vale, porque al final el hosting es la primera capa remota de seguridad, es la primera que va a mirar por todo o que tú tienes en tú sistema, de tú web para abajo. Tiene un sistema de soporte que os pode ayudar, normalmente te hacen copiar de seguridad, con lo cual no tenes que hacer mucho máis aí e se encargan de todas as atualizaciones de la base data, do IPTPP, bla, bla, bla, bla. E este me gusta ponerlo, cuando contratáis un servidor, hostin barato, non sé si conocáis ese comic para los máis mayores de la sala, este es el 13 Rúes del Percebe, era un comic muy divertido sobre las incidencias de un vecindario, de una casa e demás e tal e como entre ellos todos os chorradas que tenían, como o molestaban ao resto, pasas igual en un servidor compartido. Si metéis una web en un servidor compartido e uno de los que están ahí son vecinos ruidosos os van a molestar, vale? Entonces, por contra, podéis iros a un chalet ou a un dedicado e demás, evidentemente no significa sempre iros a un dedicado, vale? Depende del caso concreto de lo que tengáis entre manos, se es un blog personal e nos importa mucho, no tenéis información crítica e tal, pues bueno, no hace falta que gastéis la pasta, que podéis, guai que no, pues no. Así que valorá sempre esto, el hosting es muy importante. Ahora e se o dá por hackear, hacelo bonito sempre, vale? Porque al final somos analistas, todos somos hackers e o mundo necessita hackers. E eso é todo, señores. Vais levantando la mano. Aprovecharme que estés aquí. Se tenéis algun caso o algo, senón es aquí e depois fuera o que queráis. Ah, muito graças. De la tema de renovación, estas updates de plugins sempre recomiendas que ponemos a última versión, porque há una opinión que entre versión 6.9 e .9 e 7.00, o melhor é 6.9 e 9. Que pienses de éste? O que dije antes, cualquier costo de web hackeada va a ser sempre maior que el de unha web caída. Particularmente entiendo que todos os casos serán evaluar por separado, porque al mojo tienes unha web de alto impacto, unha web que es súper crítica, que no pode estar un servicio offline ni un minuto, ni un segundo, ni nada. Lo pón tender, pero para éso tienes las estrategias de é... de como se llaman en... cuándo haces un servidor secundario para hacer probas? Staging. Las estrategias de staging, vale? Que muchos hosting te lo ofrecen para que tú hagas unha copia, pruebas, actualiza, ves que todo funciona y vuelves a subir. Se me estás preguntando la diferencia entre pasar de una versión de un cambio mínimo o un cambio pequeño a un cambio grande, vale? Aí éso va a ser depender del caso concreto. Depende del plugin, vale? Normalmente ese tipo de cambios non son tanto de seguridad sino son más de característica. De acuerdo? Normalmente, se hai actualizaciones de seguridad con respecto a la 699 como ha dado tú al ejemplo a pasar a la 7, normalmente suelen sacar unha 6910 a la vez que sacan el 7 y lo que hacen es aplicar los parches de seguridad a la versión 699 a la misma vez que sacan el 7. Vale? Entonces, en ese caso concreto e dependiendo del plugin podría ser que no te interese pasar a esa versión superior pero siempre te va a salir normalmente, se lo hacen bien las empresas, suele salir tú una versión para una minor update, vale? Para los parches de seguridad. Hola, buenas. Una preguntita. A da hora de hackeos o mismo plugin activo no? Sim. Incluso teniendo desabilitado o plugin se pode utilizar. De hecho, es, no lo tengo aquí pero bueno, en alguna de las charlas he enseñado plugins que tú lopes en modo tú lopes en modo usando un gestor de fichero y tienen nombres rarísimos como BP controller un montón de numeritos o lazy load que ahora está por todos lados e demás. Y sin embargo, después tú te vas al dashboard de WordPress y te sale a Kismet e cosas así, vale? Sí, eso lo he visto en muchos casos que desabilitado pero te sale a Kismet. Está desactivado, no, pero no. Sí, activado. Eliminado. Eliminado. O sea, el modo desabilitado en plugin es llamar al desastre, llamar al caos, vale? Deté mi punto de vista como experto o analista de ciberseguridad. Vale, muchas gracias. Antes habíais hablado dos exploits, no? No te voy a decir. Que el tanto por ciento de ataques que se produce máis por problemas de PHP, JavaScript o más en WordPress, por ejemplo, más en los plugins. La estadística que nosotros manejamos casi siempre es iménsamente mayoría files en programación en plugins o appliance e en temas. Vale? La imensa mayoría. Según que versión de WordPress ha habido alguno que ha tenido algún fallo importante e de repente ha habido un mollo de ataques a través del core de WordPress o a través de outras cosas. Pero normalmente la imensa mayoría siempre son fallos de programación porque no controlan una entrada porque no hacen un control adecuado de los origenes de introducción de los parámetros de un formulario. En fin, pero la imensa mayoría son plugins o tema mal diseñado, mal desarrollado, no diseñado. Y yo no suele ser javascript, no? Se tú preguntas se los ataques casi sempre son más en javascript o en PHP eu non sabría decirte. Eu veo muchos en PHP, muchos en javascript e muchos en SQL. Depende o tipo. Vale? Sí, estamos hablando de spam casi siempre estamos hablando de ataques en base de datos injectado directamente en base de datos. Estamos hablando de XSS que son redirecciones todas en javascript. Sí, estamos hablando de cosas un pouco de javascript, tipo backdoor e demás e tal en PHP. Eu lo veo de todos os tipos. Se estamos hablando de 25 casos al dia te diga que casi un tercio de cada uno. Buenas. Muchas veces nós damos o Google client e ele já tiene o backend e pode hacer lo que quiera. Existe algo un plugin que tú recomiendes que analice de manera automática as vulnerabilities que has mencionado como administradores eu não pude estar metiéndome a ver se o senhor ha creado 18 perfiles para a sua família para que entren administrar o web. Então igual é intersante desde a sua experiência se hay alguma maneira de automatizar esas alertas de por exemplo igual tienes demasiados usuarios igual te quedan no sé Queres salir? O algo así. Acá aqui Jesus te pode responder ao seu biojave. Ao abrir te pode responder mucho melhor que eu. Ao abrir casares tiene um plugin para eso. Sim que lo hai hai varios plugins e hai varios incluso varios sistemas que te permiten mantener o control de muchas webs en un dashboard e que te dicen ya directamente se tenéis se tenéis vulnerabilidades ou se hai cosas que tenéis que tener en cuenta. Por exemplo Managed Workpress era uno e los hai mongollones pero el estamos metido en eso que eu. En eso a ver básicamente Workpress ya de serie en el salud tienes información para eso que preguntas e en paralelo se lo que buscas es información de vulnerabilidades e aqui hago un pouco de autobombo tienes uwp totalmente gratis ni nada. uwp vulnerability que hai tienes es un plugin pero tira de un api que es donde estan ahora mismo todas las vulnerabilidades de Workpress de plugins de temas e es un pouco unha susta viejas se quando entras te da un pouco de susto e ya está normalmente eu en todos os clientes que me llegan tal e como me llegan o primero que instalas e eso para asustar te digo mira, mira, mira o que tienes e ya está e se cagan e a partir de aí te hacen caso es un pouco a solución Muitas gracias de hecho tenha en cuenta que o plugin que tiene ele es un plugin específico para el sitio se tú mantienes muchos sitios no vas a estar entrando en uno en outro e demás e tal pues eso como o Manager Workpress alguno de éstos que já te da información ou outros plugins Buenas venimos de Alicante mira, es que eu não sei se as gente suele tener este problema que é eu de network e na verdade é que vou injusto e por tema de presupuesto e tal sempre não tenho mucho tempo e me encuentro problema que eu eu trabalho con Workfence en todos os Workpress que instalo e saca un montón de vulnerabilidades que eu não tenho ni idea entonces o que termino é como no haciéndole o caso ao plugin e se haquear ao sitio pues já contratarei a un programador que o arregle claro entãoces hasta que punto estes plugins son para alguien que não separe na networking porque claro se não sei ni o que aparece aí de não sabe se te entiendo perfectamente porque é un tema muy habitual depois se queres hablar também con ele que seguro que te queres decir mas minha visión particular a ese aspecto deverias tener alguém que se encargue de mantenimiento es decir, con o networking que te referías a mantenimiento eu te recomendo que tengas alguém que se encargue de estar viciando que atualize e demás e tal já só o actualizando casi sempre te vas a arreglar todos os problemas porque se não hai na atualización é o bien porque tienes um plugin premium e tienes que irte ao distribuidor desse plugin ou o tema ou o que sea ou o bien porque não hai saído todavía o parche de seguridad se hai detectado a vulnerabilidade pero não hai saído todo o parche de seguridad com o qual apaga ese plugin pasou hace pouco con uno muy famoso que era de diseño que tenia um nombre como japonés que no sacaron uma atualización se hizo a publicación da vulnerabilidade não sacaron a publicación então se recomendo a todo mundo que eliminara e claro isso significava reacer a página e até que nós sacamos a qualquer empresa de seguridad saque publicamente a vulnerabilidade hai un processo entremédias que é o que se llama responsible disclosure que é un tiempo que se da en lo que se habla de manera privada o que ha pasado com o distribuidor para que eles le dê o tempo a sacar um parche e a o hosting a forzar esa atualización sempre passa despues que não hai que o alto a dice en qualquer caso para casos como o tú que é normal eu entendo de esto e al final como o solucione me dice muchas cosas mas não sei como solucionar aí o que mais te recomiendo é que tenha alguien que este bicheando que sepa del tema e que lo pueda atualizar al final a información é importante mas se não sabe como actuar con essa información tienes el problema en qualquer caso depois habla con o meu colega Javi que seguro que te pode indicar melhor para eso má dúvida hola como ves tú, bueno e tú, compañero o tema de a inteligencia artificial como metes ese componente ao hora de aprovechar o para haquear ou aprovechar o para defender ou para proteger o código hoje em dia con o autopilot que sí que evitas a mojo muitos errores de de humanos como ves tú que vai ir la cosa por aí sabes que pasa que isso o le llamamos en inglés o laia con andrum que significa a paradoja del uso de a inteligencia artificial porque se tú usas a inteligencia artificial para defenderte também os hackers utilizan a inteligencia artificial para atacarte con o qual es como ao final llevas a batalla ao mesmo má grande pero la llevas ao mesmo sítio o que va a ver o que la hai e ao final também depende eu he hecho una charla na work can 2020 de Europa e na que hablaba del uso de inteligencia artificial para los ataques e hablaba também de esta paradoja en concreto e é obvio final una vez que já captas patrones e demais e tal as inteligencia artificial poden aprender fácilmente patrones para ataques e demais e tal pero vamos que luego hablamos se quere e charla mo de eso porque está agora está on fire Buenas uma consulta eu tenho um caso de um cliente que tiene bastantes usuarios que se registran e compran cursos a traves de uma plataforma de Warp Press e tenemos uma batalla con o cliente por o tema de as contraseñas é decir, ele quiere ponerlas e é muito fácil para o usuario para que não tenha problemas então é um pouco o equilíbrio de eso onde podria estar ou o balance passa en general ou não sei onde está o equilíbrio entre o tema de seguridade e complejidade é complicado ou seja, a Bracken te dice a unenforce de manera que todo o mundo con un second factor on dedication e o facilidade e todo já tiene que mirarlo no móvil ou o que seja e tal e se suele ser a solución que agora mesmo está má impuesta ao correo e demás e tal ao final a ideia ou digamos a teoria que subyace é o princípio do mínimo privilegio a ideia é que esas personas que tenen esse tipo de problema de seguridade tenen mínimo acceso ao que tenen que fazer e se algo entra por aí não afecte ao resto da infraestrutura mas às vezes isso não é tan fácil então dependerá do administrador da página também tomar a ideia de te decir os fastidiais e isto va a venir con o second factor on dedication e un sistema de control de contrasenha duro de maneira que não vá a poder poner una contrasenha pequena sino que vas a ter que poner una que cumpla unos patróns normalmente se me preguntas que le pode te decir a esos clientes para que mejorar digamos su experiencia con o uso de tema de contrasenha e demás eu recomiendo utilizar um gestor de contrasenha as pessoas que vai a entrar na página não tema ni que pensar o que tenga que guardar sino simplemente poner a contrasenha de su gestor de contrasenha e entrar aí pero volvemos a lo mismo se su gestor de contrasenha está mal protegido tendrá acceso a non se cuantas contrasenhas en todo lado sé con factor authentication é o que má se recomenda eso sí por a parte que me toca a mim por o que me hicieron en su momento con el ataque de sublandación de identidade que el sé con factor non sea a través de SMS vale porque é vulnerable ao ataque de sim swapping ou de duplicidade de sim e durante o tempo que não te das cuenta que eles tenen a sim já te están haciendo todo este tipo de câmbalache vale então que sea un sé con factor utilizando una aplicación utilizando un correo algo vale tenemos tiempo para una pregunta más venga se anima alguien hola unha vez haqueado e quando recomendabla e digamos avisar a los usuarios de que ou se hace non he visto nada non aqui no pasa nada hai leyes para eso a cuestión é que como non no gustan las leyes leerlas é complicado técnicamente tú tienes que tú tienes que aqui en europa e creo que en estados unidos é igual também tiene 72 horas para para hacer el discloser vale e os implicados d'acuerdo então é uma vez que tú descubres o haqueo tiene 72 horas para anunciar solo os propios afectados hoje ha habido um haqueo por agora não sabemos muito pero que por favor cambia tu contraseña o que sea hasta que já tengas máis información pero al menos a comunicación tiene que ser nos siguientes 72 horas se não o haces multita multita que además te pode venir de europa vale vale é muito importante e isso además tamelo digo tememos en cuenta que poner um europa una página web con o que sea en internet e almacenar información é una responsabilidad vale para con a información que temos aí guardada isto não é venha monta un blog e ya está é igual senão há información en internet se é só o haqueo se é tú e é tú e tu é o responsable e tu é o responsable e tu é o responsable e tu é o responsable e tu é o responsable e tu é o responsable e tu é o responsable