 podríamos decir muchas cosas de Néstor, pero todo se resume en una pequeña cosa. Néstor es un huevo kinder. Y que no entienda de qué va esto, se coge el programa, busca a Néstor y ahí viene muy bien explicado. Además de un huevo kinder, es experto en seguridad informática y hoy nos va a contar qué coste tiene un hackeo. Un fuerte aplauso para Néstor. Muchas gracias, hola. Hola, hola, hola, hola, ahora. Hola, me he encantado de que estés aquí, no sé si hay más gente fuera que quiere entrar o algo, pero bueno, yo soy avalista de seguridad, pero yo me autodefino a mí mismo como un CSI, ¿vale? Soy como un investigador de la escena del crimen, ¿no? Crime Send Investigator. ¿Por qué? Porque normalmente mi trabajo otras ocurre normalmente cuando ya se han hackeado a las páginas, con lo cual puedo ver el efecto de lo que ocurre cuando ya las cosas han ido mal, ¿vale? Bien, normalmente suelo poner ejemplos y esas cosas de casos en las que se ven hackeos y demás. Ahora volveré para atrás, pero bueno, como éste, como éste, como éste, en fin, ahora paso un poco para atrás y ésta es mi trabajo y yo me dedico a esto. Entonces, una de las cosas que sí me gustaría decir es que esta charla, que es sobre el coste de un hackeo, no pretende sentar base como que soy un abogado ni nada por el estilo, no vengo a publicitar ninguna empresa tampoco y, sobre todo, tengo en cuenta que soy responsable de lo que digo, ¿vale? De lo que interprétenme. Es importante explicarles que ya tengo otras charlas en las que he participado, alguna de las slides que tengo aquí, ya las he rescatado otras de otras charlas, así que voy a pasar más o menos rápido por las zonas en las que ya más o menos están en otras charlas y las pueden ver si quieres en WordPress TV, ¿de acuerdo? Bien, cuando te hackean, perdón, cuando te hackean hay muchos escenarios los que te puedes encontrar, te puedes encontrar con que te han puesto un ransomware, te puedes encontrar con que te han sustituido tu página, puedes encontrarte con amistradores claramente maliciosos, te puedes encontrar con que te meten banners de que vende Piagra en una empresa de diseño, te puedes encontrar con que hay peleas de hackers, te sustituyen con pos y ves cuando tiras hacia atrás las revisiones de que hay otro tío que también ha hackeado anteriormente, te puedes encontrar que Google o cualquier otro navegador te ha bloqueado, te puedes encontrar que en Google apareces como que vendes cosas random como, por ejemplo, zapatos Nike o Viagra o lo que fuere, te puedes encontrar con que de repente tiras un montón de carpetas de spam dentro, en fin, todo este tipo de cosas que te puedes encontrar y que seguramente alguna vez habréis visto sí o han hackeado, las podéis ver en alguna otra de mis charlas o básicamente que tu página no funciona, al final es, te han hackeado. Voy a pasar rápido sobre los conceptos que ya más o menos todos debemos conocer, pero sí que me voy a centrar en un par de ellos que son un poco novedosos. Siempre hago una referencia a, bueno, tan hackeado y ahora que pasan, ¿no? Pues, ¿quieres han sido hackers? Bueno, muy bien, pero es que un hacker es una persona curiosa que va más allá de los límites, ¿vale? Yo, este es un buen ejemplo de hacker, no sé si soy muy viejo para la sala o algunos conocen ya este colega, pero este hombre era capaz de arreglar motores con un chicle, ¿vale? Bien, pues eso es un hacker, ¿vale? Un chicle no está pensado para eso, o estas personas que, bueno, que han usado una botella apartada, gente que se flipa y con una esto de Coca-Cola y un Sprite y tal, pues se genera un sistema de difusión de regadío brutal, pero es importante entender que la historia está llena de hackers que han utilizado cosas que principalmente no estaban pensadas para eso, para avanzar en la humanidad y esto para mí es importantísimo que no tenemos que dar. Hay que ser hackers, todo debemos ser hackers, ¿vale? Ser hackers no es malo. Por ejemplo, pues el colega Arquímedes que usó el agua, pues para pensar, dijo, bueno, pues mira, con el agua puedo pesar, ¿vale? O yo qué sé, no, Lelardo Da Vinci para volar, bueno, en fin. Muchos ejemplos en la historia, pero entonces a qué leyamos solemos llamar hacker, pues al ciberterrorista, al hacker informático que desea enriquecerse y ganar fama a lo que sea, también llamaba ciberterrorista. Todos tenemos en la mente aquellos que habían visto esta serie, Mr. Robot. Bien, hay tres tipos de hackers que se le llaman dependiendo del color del sombrerito que utilicen, pues está el malo, que es el Black Hat Hacker, está el bueno y si me seguís con la referencia filmográfica está el feo, ¿vale? Pero que no es que sea feo, es que es un bueno que usa métodos ilegales. Por ejemplo, yo qué sé, si me ocurre, bueno, este hombre robaba los ricos para darse a los pobres o, por ejemplo, por unos aún ejemplos mucho más actual, el fundador de WikiLeaks o John Snowden, que robó datos, bueno, no robó datos, hizo todo lo que se puede conseguir ilegal, perteneciendo al Pentágono para liberar una serie de documentos que él creía que era importante para la sociedad. Bien, y esto un poco haciendo un guiño de mi anterior charla en Valencia, pues al final, dentro de esos buenos, no necesitamos los analistas de seguridad, que somos los que hackeamos también, pero lo hacemos bonito. Y aquí, de donde me quiero parar un poquito, explicarles un par de conceptos que son muy importantes para entender por qué la ciberseguridad es importante tenerla en cuenta en Unicommerce, ¿vale? ¿Qué es la ciberseguridad? Todo el mundo, ah, bueno, la batalla, el tema de protección, la seguridad online y tal, bueno, pues la ciberseguridad es este gráfico, esto es el ABC de la ciberseguridad. ¿Qué significa? Nosotros tenemos que proteger la información, porque al final somos guardiánes de la información, es lo que nosotros tenemos, lo que debemos proteger. Ese triángulo que hay alrededor son, como digamos, las tres facetas que tiene la información, integridad, confidencialidad y disponibilidad, ¿significa? La información debe estar íntegra sin modificación, debe presentarse a las personas adecuadas, confidencialidad y debe estar disponible en los momentos adecuados, ¿vale? Disponibilidad. Esos son los tres factores importantísimos de la ciberseguridad. Para cumplir eso ilegalmente os lo van a requerir, ¿de acuerdo? Existen medidas de seguridad que abarcan hardware, software o comunicación. Y dentro después de la parte de eso está la seguridad física, la seguridad del personal, etcétera, etcétera. Importante, la información debe estar disponible a las personas adecuadas y sin alteraciones. ¿Bien? Otro concepto que está ligado a la ciberseguridad, pero sobre todo ligado a que si os hackean, esto va a ser que os salven de las multas y o va a hacer que vuestras multas suban tanto que sean totalmente inasumibles, ¿de acuerdo? No sé si lo sabéis, pero sale por ahí una estadística que dice que el 60% de las empresas que les han hackeado en los siguientes seis meses cierra y cierra por esto. Esto es tu concepto, llama due diligence, or due care, and due care, significa ser diligente y tomar acciones, ¿de acuerdo? ¿Qué significa esto? Tú tienes que ser lo que dicen en Estados Unidos, en las Cortes de Estados Unidos, que dicen utilizar el principio del hombre prudente. ¿Qué haría una persona prudente con esta información? Pues eso es lo que tú tienes que hacer. Si tú demuestras que has sido diligente, has planificado, has hecho, has chequeado y has actuado, ¿vale? Te libre de una parte de las multas. Si además se comprueba, que no solamente has hecho esta diligencia, sino que además actúas y compruebas, has tenido cuidado, has tomado acciones, se sigue reduciendo la multa, ¿de acuerdo? En el caso de un hackeo, ojo. Esto es vital. Cuando tenéis un e-commerce, esto es como un perro. Tú no puedes coger un perro, usarlo el fin de semana y devolverlo o abandonarlo. Tienes una responsabilidad cuando metes un e-commerce en online. Tú no lo haces porque dices, bueno, así ven los productos, ¿no? Lo haces porque quiere vender y como quiere vender, necesitas recabar información. Y esa información representa a personas. Y esas personas pueden ver sus derechos e integridad afectados si esa información llega a las manos que no deben llegar o fuera del contrato. Bien, pues nosotros, si ponemos un e-commerce online, debemos comprobar que la información que se muestra es real e inalterada a las personas adecuadas y disponible en el momento adecuado. Y además, demostrar que en nuestro e-commerce somos diligentes y tenemos cuidado, ¿ok? Haciendo eso, si os hackean, podéis liberados, no sé si de un 100% de la multa, pero casi todas. Para eso hay que documentarlo. Vale, como se hackea un hardware, un WordPress, esto lo pongo también para que la gente entienda que esto no va por el aire, no es como el COVID y estas cosas. Hay una vulnerabilidad. Esa vulnerabilidad puede ser porque la hemos creado nosotros, porque no hemos mantenido adecuadamente el sitio o porque la persona que ha generado este código no lo ha generado correctamente y, por tanto, tiene un acceso. La vulnerabilidad, digamos, es el hueco. El exploit es el programa que utiliza ese hueco para meterte lo que tú quieras y esa inyección puede ser ya código final o un abagdor en el peor de los casos, ¿vale? Bien, aquí entramos en un terreno en la que ya se mezcla un poco con los abogados y demás y por eso por lo que quiero decir que no soy abogado y, por tanto, puedo decir alguna burrada, pero en la parte que me toca a mí como, digamos, experto en seguridad, pues quiero dejar bien claro qué es una brecha de datos, ¿vale? Una brecha de datos es según la GDPR, pues violaciones de seguridad, que ocasionan destrucción pérdida de alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma o la comunicación o acceso no autorizado de esos datos. Esto es lo que se considera una brecha digital, una brecha de datos. Y que no es una brecha de datos, aquellos incidentes de seguridad que no han afectado a datos personales o tratamientos de datos personales. Básicamente no dañan a nadie, ¿vale? Si os hackean la página y os ponen una página de publicidad o de lo que sea, eso no está afectando a los datos de nadie, pero si os roban los información que ustedes tenéis guardadas en vuestra página, sí afectan, ¿de acuerdo? Y es ahí donde suben las multas. Cuando te afecta a ti solo, pues tú mismo, pero cuando afecta a otras personas, ¡pam! ¿Qué significa daños o perjuicios en el caso de las personas? Fíjense algo tan tonto y lo voy a poner porque el resto da un poco igual, pero víctimas de campañas de phishing, spamming, si se filtran los correos de las personas y con esos correos, si esas personas sufren spam, tú ya eres responsable, ¿vale? No sé si sois conscientes de la importancia de esto, o sea, solo el correo que ustedes almacenáis en vuestras páginas para poderlogear a las personas, ¿vale? Sólo con eso ya estáis vulnerando para la GDPR o para los órganos regidores de las protección de datos europeas y ya estáis vulnerando la ley, ¿vale? Está sencillo como eso, pero bueno, hay otros daños de reputación, perdidas financieras, que eso ya son ya bastante más chungos y bastante más claros, pero ya solamente eso significa una multa. ¿Qué se considera persona física? Bueno, clientes, ciudadanos, estudiantes, usuarios, pacientes, en fin, hay varios perfiles, voy a pasar rápido porque vamos un poco mal. ¿Qué se consideran datos sensibles? No sé si más o menos estáis al tanto, pero así rapidito, no solo datos básicos como nombre, apellido, fecha de nacimiento, sino también datos de contacto, la dirección, el e-mail, bla, bla, bla, datos de perfiles, incluso sobre la vida sexual o lo que sea, ¿vale? Todos estos datos que estáis aquí en la presentación, cuando la presentación la compartan, la podéis ver, ¿vale? Hay más información. Todo esto es sensible, con o cual, cualquier cosa. Yo diría que casi cualquier cosa que ustedes recopileis en una página va a ser casi de un dato sensible, siempre y cuando ayude a identificar algo de una persona. Bien, ¿qué pasa si se demuestra o hay la idea de que pueda haber una brecha de datos? Tienes la obligación de comunicar en las siguientes 72 horas en las que te das cuenta de que pueda haber una brecha de datos a la agencia española de protección de datos, en el caso de que estamos en España, en tan otro, pues, la que sea, pero para toda Europa, ¿de acuerdo? Y sí podría afectar a clientes vuestros que no están en Europa, tenéis que notificar a las agencias de protección de datos adecuadas de los países en los que esas personas vivan si tenéis esa información, ¿de acuerdo? Pero más importante todavía, ustedes como personas de e-commerce ¿os veis capacitados para hacer una valoración de riesgo de las personas afectadas y el alcance de esa brecha? ¿Sí? No, ¿vale? Pues tenéis que hacerlo, porque dependiendo de eso, tenéis la obligación de notificar a vuestros clientes o no. ¿Vale? Entonces hay que contratar una empresa, que haga todo esto, etcétera. ¿Vale? Así que un poco con este marco jurídico en el que estamos, voy a dar un ejemplo, así, a grandes racos, como si fuera una especie de factura, de cuánto nos costaría hacer una página con un blog con un newsletter si nos hackean. Los datos que se suelen recopilar en este tipo de páginas, blog con newsletter, suele ser un lit de nombre y apellidos, correos y a los sumos, pues, lo mejor pides teléfono y, después, si te metes en plan a lo bestia, pues, ya pides cargo, empresa, edad, bueno, en fin. Toda esta información es de información sensible. Ya, como os he dicho antes, solo con guardar el correo y que eso se filtre, ya está expulgando la ley, como que es analítica a usuarios. Y contraseña, esto es importante también, porque filtrando los usuarios, la gente tiende a usar sus mismos usuarios en muchos sitios, con lo cual ya está dando información que permite hackear otras cuentas en otros sitios. Y la contraseña todavía más, porque la gente suele tener también la costumbre de reutilizarlas. Y esto es uno de los ataques más típicos que yo veo en lo del tema de la gente. ¿Es cómo me han entrado si lo tengo todo actualizado? Bueno, pues, porque tu usuario y contraseña está filtrado. Podéis iros a un par de páginas en internet, que es I am Pwnet, una de ellas, donde podéis comprobar si vuestro correo o vuestro usuario ha sido filtrado. Así, rapidito, en plan, en un sitio web, pues, más o menos, entre hostil y dominio, tenés que pagar, pues, eso, 100, 200 euros al año. El diseño, pues, podéis ir a los agratuitos, podéis pagar 3.000 euros, plugins, servicios, SEO, newsletter, form, pues, podéis ir a los más gratuitos de los más gratuitos, podéis pagar alguna cosilla y demás de tal bien. El tiempo es una cosa que normalmente no se... no se cuantifica, pero yo sí lo cuantifico, porque es muy importante este gasto, ¿de acuerdo? Pues, pongamos que nuestra hora cuesta 20 euros, ¿vale? Pues, poniendo que haces un año de literación, en plan, bueno, pues, personal branding y demás y tal, pues, entre 6.000 y 9.000 euros al año, está gastando, por el tiempo, en hacer tu sitio web, ¿de acuerdo? Y poniendo que ese personal branding consigue unos ingresos indirectos, pues, por reputación, ahí es que me han contratado de consultor para esto. Oye, me dan charla en no sé dónde, charla en tal y me pagan tanto. Pon tuca al año, más o menos, ahí saca 10.000 pavos, ¿de acuerdo? Pues, haciendo la suma, ¿vale? Más o menos, lo que gastas con lo que ganas, pues, vas a ganar entre 1.000 y 4.000 pavos al año. Estamos hablando de que no vas a vivir de esto, evidentemente, porque no es la idea, la idea simplemente es generar marca personal, ¿no? Bien, ¿qué pasa si te hackean? Pues, vas a tener que entender primero qué es lo que ha pasado. Ese momento inicial parece una tontería, pero lleva tiempo. ¿Qué ha pasado? No sé por qué, qué es lo tal, tengo que moverme, ¿vale? Pues, implica tiempo. Implementar medidas de seguridad, porque ya te ha dado cuenta de lo que hay, tienes que aplicar medidas de contención y demás tiempo y dinero, porque no vas a saberlo hacerlo tú, vas a tener que contratar una empresa. Servicio para limpiar el sitio. Comunicación a la EPD, 72 horas, en menos de 72 horas, el tiempo. El estudio de riesgo-impacto para saber si ese hackeo realmente ha sido severo o no. En fin, todo esto es tiempo y directo, notificar a los clientes usuarios. Si se da el caso, lidiar con las quejas es posible demanda, en caso de que sí sea así el estrés, que también implica dinero, porque vas a tener que contratar posiblemente a un psicólogo o alguien que te ayude a lidiar con eso. En fin, y llegamos a una parte importante, la GDPR, desde cuánto se dan cuenta que hay un problema, y estamos hablando de una persona, no estamos hablando de un negocio, ¿de acuerdo? Las multas pueden subir hasta los 40.000 euros. 20.000 normalmente se quedan si sigue el protocolo, como notificas y colaboras y demás y tal, por debajo, normalmente, o 40.000. Sí, no has hecho nada y lo haces todo fatal, ¿de acuerdo? Bien, en el caso de que te hayan hackeado, ¿qué pasa con el tiempo que se multiplica? Ya no solamente el mismo tiempo que he dedicado yo a hacer mi web, sino y en hacer todo el tema del contenido, sello y demás y tal, sino que encima lidiar con todo lo que acabo de explicarles, con lo cual el tiempo se multiplica. Pero es que encima de más también tengo que pagar una multa, pongamos un caso de 8.000 pavos que tengo que pagar en este caso, caso imaginario, y mis ingresos por reputación, en el caso de que yo esté haciendo ingresos indirectos, se ven reducidos. Vamos a poner un 40%, con lo cual ya cobro menos, haciendo la diferencia, he pasado de ganar 1.000, 4.000 pavos por algo que es personal branding y demás y tal, a tener que pagar entre 14.000 y 22.000 pavos, por tener un newsletter que la gente se ha registrado y que me ha hackeado porque no he tenido cuidado. Conclusión, pues eso, de beneficio a hackeo de pérdidas, tenemos una diferencia brutal y al mojo un coste posible, en medida de seguridad, que te hubieran evitado esto, en un porcentaje altísimo, porque la seguridad no es segura, son 300, 300 pavos más o menos, una suscripción anual que te puedes dar a varios servicios, cualquiera, ya la engorfen, Sucuri, Cloudflare, la que sea, te cuesta entre 100 y 300 pavos al año. Réstalé eso a los beneficios y qué, bueno, vale, pues en vez de 1.000 son 900 o 700 me han perdido los casos, en vez de 4.000, pues 3.300. Sólo por eso, os habéis ahorrado hasta un máximo de 22.000 pavos y por qué he dado el ejemplo de los 8.000. Vale, pues lo mismo vamos a, evidentemente, esto es la muerte de muchísima gente, ¿de acuerdo? Estamos hablando de que pagar de 22.000 euros en este ejemplo particularmente no está al acceso de todos de alguien que está haciendo personal branding. Vale, pero es que vamos a multiplicar esto ahora, porque ahora vamos a poner el ejemplo de Unicommerce. En Unicommerce ya no solamente se recupera esa información, se recupera la información mucho más compleja, mucho más determinante y más sensible, ¿vale?, donde la severidad del ataque aumenta o la severidad, digamos, de la filtración aumenta. Son más o menos las mismas, pero también tenemos Mediotepago, DNA y bla, bla, bla. Volviendo a lo mismo de antes, tenemos una, lo más o menos lo que nos cuesta en la página, evidentemente, pues tenemos más plugins, más servicios y tal, pon tú que ya no son cero, ya pagas 300 pavos al año, pero tenemos otros costes, ya tenemos manipulación, sueldos, impuestos y demás, pagamos entre 50 y 80.000 al año, 80.000 y 100.000, da igual. Las horas de dedicación son más, porque ya es mi negocio, ya no voy a hacer personal branding, ya es lo que me voy a dedicar o quiero tal, pues yo sube más la hora que o el tiempo cuantificado al año, y los ingresos por reputación suben también, porque ya pones más cuidado y además tus ventas, que es al final lo que tú quieres conseguir, también aumenta. Bien, en un marco como este de Unicommerce normalito, podés estar ganando entre 50, 100.000 al año, a lo mejor, si más o menos te lo ocurra, ¿de acuerdo? ¿Y qué pasa si te hackean? Pues lo mismo de antes, yo no voy a entrar en la misma lista que he estado haciendo antes, pero sí que la multa llega a unos límites muy interesantes. Si sigues el protocolo y publicitas en las de BR, en 72 horas lo que ha pasado, colaboras con ellos, colaboras este notificado a los clientes y demás y tal, puede llegar a un máximo de 10 millones de multa, sino 20, o un 2 o un 4% de tus ingresos, no los beneficios, ingresos, ¿de acuerdo? Lo que sea mayor, joder, macho, ¿no? Bien, aquí volvemos a lo mismo de siempre, tenemos la misma página con los mismos productos y demás, porque ahora tengo que dedicarle mucho más tiempo porque me he visto con todo este problema, tengo una multa, vamos a ver, 300.000 pavos porque así lo merece la filtración, las ventas y mi reputación también se reducen, ¿vale? Con lo cual mis ingresos ya no solamente es lo que me multan, sino además lo que dejo de percibir, con lo cual coste oportunidad. Conclusión, por lo que acabo de decir, hemos pasado de ganar 50.000 a 100.000 a tener que pagar entre 270.000 y 300.000, no sé si ven la diferencia, por no aplicar unos costes de medida de seguridad que pueden, para un e-commerce, pueden rondar entre los 500 a los 1.000 pavos. ¿Por qué? Porque ya metes un sistema de vacapse adecuado y un sistema de control de FAE igual y tal, mucho más complejo, ¿de acuerdo? Solo por eso. Aquí os doy un ejemplo de una página que se llama Enforcement Tracker, que te pone algunas de las multas más recientes, y quiero llamar la atención sobre algunas de las que están aquí, no sé si ven ahí Bankinter, le cayeron 80.000 pavos, solamente por no tener correctamente configuradas las partes de cómo se procesan los datos, ¿vale? Pero es que ahí mismo vais a ver una individual, una persona que no es una empresa, ¿vale? Le ha caído 300, no es mucho, pero solamente por el hecho de no seguir la normativa para explicar cómo se procesa esa información, solo por eso, ¿de acuerdo? Para que vean que esto no es una cosa que ocurre en las grandes empresas, no, no, es que también les puede pasar a cualquier persona que tiene un blog. Por eso, poner un blog, poner un e-commerce online es como un perro, es una responsabilidad para toda la vida, con tus datos, con los datos que tú recupilates de tus usuarios, con la cual es una responsabilidad con tus usuarios, ¿de acuerdo? Y es importantísimo entender esto. No es cinco minutos de Wordpress, venga, WooCommerce, chimpun, ya está, que guay, ya puedo vender, venga, gano dinero, no, ¿vale? Nosotros en Cyberseguridad siempre intentamos ahora meter en la cabeza a la gente que debemos aplicar security by design, o que al final lo que viene a hacer es meter la seguridad del principio, ¿de acuerdo? Vale, porque no me pasa a mí, pues yo siempre comento que cuál es una de las medidas más típicas que se puede hacer, actualizar, que al final las actualizaciones tapan este agujero de seguridad, sobreescribes con código limpio, esto es importante, que al final, cuando tú te bajas un plugin o te bajas un tema actualizado y demás y tal, sobreescribes lo que tienes en tu sitio, ¿de acuerdo? Con ese código, que ya viene de un repositorio, si ese código estaba infectado, pues de esa manera ya machacas la infección, con lo cual, pues me invitan mal, ¿vale? Y pues eso, la mayoría de las infecciones casi siempre entran a través de plugins o temas desactualizados. 70, 80, depende de qué le pregunta este bar responder eso. ¿Cuál es la cuestión que siempre me plantean? Bueno, pero es que yo no puedo estar actualizando según viene porque tengo que probarlo, porque se me puede caer la web y tal, vale, muy bien. Como hemos visto cuánto cuesta en una web hackeada, ¿vale? Me da igual el escenario que me podéis pintar. Recuerda siempre que el costo de una web caída es siempre inferior al coste de una web hackeada, siempre, ¿vale? De hecho, es cualquier costo que tú me puedas explicar de una web caída va a ser siempre menor que cualquier costo de una web hackeada, ¿de acuerdo? Esto es importante. Ahora, si tú después dices, bueno, pero es que esto no lo quiero evitar muy bien, pues te haces un staging, que hay muchos hosting que te lo permiten, ahí lo pruebas, actualizas, haces todo lo que tú quieras y si ves que furiula, lo pones en producción. Que esa sería la metodología adecuada. Aquí que estamos gente que no son diseñadores, no son desarrolladores, ¿entienden esto? Bueno, pues no es tan fácil. Pero esto es como crear una copia, ver que todo funciona, lo puedes actualizar y no hay ningún problema y después restaurarla. Hay algunos hosting que lo permiten, con lo cual invertir en unos hosting siempre es importante. El tema de las contraseñas, lo comento desde hace un tiempo que me pasó que me hicieron una sublantación de identidad, ¿vale? Entonces, sí que es importante el tema de aplicar el second factor authentication. En mi caso, concreto, me salvé de que me robaron dinero porque tenía un second factor authentication, aunque estaba basado en SMS, que fue por lo que a mí me hackearon, porque me duplicaron la tarjeta y usaron la tarjeta nueva duplicada para saltarse algunas de estas second factor authentication. Pero es que habían algunas de las contraseñas que no estaban guardadas en ningún sitio, las tenía yo aquí y esas no las sabían. Y gracias a eso, me salvé, ¿vale? No lo digo como algo de que colgarse una medalla, sino como un... ¿vale? Y me dedico un poco al sector. Importante que el second factor authentication, lo que viene a hacer es, ¿vale? Muy bien, ya no solamente es algo que tú sabes, sino también que puedes ser o que tienes, ¿vale? Ya puede ser el teléfono celular o el SMS o lo que tú quieras. Esto lo dejo un poco también para que tengas en cuenta que a más factores, más seguro, pero también es más complejo, ¿vale? De más pejiguera para los clientes. Hay muchas empresas de e-commerce que me dicen, es que no quiero aplicarle esto, porque para mis usuarios es un coñazo, ¿vale? Tengan en cuenta que para GDPR, sija, quedan vuestra web, porque un usuario, le han entrado y dete ahí, te han metido una vector y han filtrado datos y demás y tal. Responsable eres tú, no es el usuario. Así que tú puedes directamente decirles, muy bien, pues comprar una otra tienda. Pero en la mía vas a tener que tener medias de seguridad adecuadas. Medias proyectivas que siempre recomiendo, reducir, esto parece una tontería, pero muchísima gente tiene, no sé, me he encontrado gente con 70 plugins. Muchos otros colores activados que ni se acuerdan que estaban activados, ¿no? Reduzcan, que solamente los es estrictamente necesarios para el funcionamiento, igual que los administradores y los permisos y demás. Copia de seguridad es una tontería, pero es la típica cosa que te acuerdas cuando lo sufres. Un buen sistema de copia de seguridad, y normalmente si no quieres ocuparte el tema y te quieres instalar un plugin, lo puedes utilizar en un hosting, si es un buen hosting, tiene sistema de copia de seguridad adecuada. La actualización es de las que ya hemos hablado. Ahora voy a hablar de la inversión en hosting y seguridad rapidito, y sobre todo un WAF. El WAF es el firewall de aplicaciones web, que no os engañen, no es el firewall que está en el servidor, ese es otro firewall, otro cortafuego, que le llaman en castellano. Hay un cortafuego que se puede instalar delante de vuestro sitio web y solo filtra el tráfico web, ¿de acuerdo? Podéis combinarlo dos perfectamente. Mi recomendación, normalmente, para que un sitio más o menos se consigue medianamente seguro, obviamente, de un SSL, que ya ha oído los hosting, te lo ofrecen gratuito. Yo recomiendo Sukuri, porque es la herramienta que más uso, pero podéis utilizar Cloudflare sin ningún tipo de problema, pero Sukuri te ofrece monitor y firewall por 200 euros al año. Worfens, yo lo instalo también y a mí me gusta, pero en la parte free, porque en la parte premium te pone un firewall que a mí no me gusta, que es dentro del sitio, mientras que los firewall externos, como el de Cloudflare o el de Sukuri, están por delante del sitio, están fuera, ¿vale? No consumen recursos de vuestro propio sitio, y además, antes de llegar a vuestro sitio, ya lo está filtrando. No es como el de Worfens o cualquiera, el de All In One, también creo que lo tiene, que está dentro de tu servidor, con lo cual ya lo toca, ¿vale? AppDraft, que es, por ejemplo, un plugin de copia de seguridad, 70 euros al año, que también podéis usar el de Jetpack, también, que funciona muy bien. Fill to Bank, para bloquear el acceso, los ataques de, digamos, de fuerza bruta, un plugin de tu factor authentication, el que sea, uno que se llama así, incluso ese también vale, y un captcha, ¿vale? Esta, para mí, es la combinación, digamos, necesaria, para que más o menos tengas todos los campos cubiertos. ¿Hay algunos plugins que te cubren algunos de esas partes? Sí, de igual. Este es el checklist. Ya por último, y termino aquí, ¿por qué es importante invertir en un buen hosting? Porque es la primera capa de seguridad, ¿vale? Tiene un sistema de soporte que os puede ayudar cuando tenéis este problema, y además te da LOX para poder intentar, de alguna manera, demostrar a la hora de que os han hackeado y os metéis en un juicio, todo el proceso de seguridad o seguridadización, para intentar defender que no es vuestra culpa, sino es culpa de, de una vida del software o lo que sea, ¿no? Copiate de seguridad y también mantiene, de para abajo, de todo el servidor, mantiene toda la seguridad. El tema del alojamiento compartido dedicado, y ya está, y para cuando ya la tengáis, aquí tenéis referencias de todo lo que he hablado, tenéis referencias con sus páginas web. Simplemente, cuando tengáis las transparencias, clicate en los links y ya está. Y bueno, me despido de ustedes, siempre diciendo lo mismo, todos necesitamos hackers, ¿vale? ¿De acuerdo? Esto, gracias a los hackers, la humanidad avanza, así que no demonicemos la palabra, ¿vale? Demonicemos a los que utilizan esta palabra o utilizan estas técnicas para beneficiarse de ellos. Muchas gracias. Muchas gracias, Jesto. Nada. Hay tiempo para preguntas, a pesar de... Ah, pues si hay tiempo, es genial. Ah, vale, vale, vale. A pesar de los retrasos, vamos menos retrasados que los demás, así que... Pues venga, aprovechadme que estoy aquí. ¿Tenéis algún caso que os ha pasado? ¿Queréis saber cómo se solucionan? Hola, hola. Gracias, Néstor. Interesante, como siempre, se le quita uno las ganas de hacer paginas, ¿vale? No pretendo hacerlo, pero es que... es lo mismo que coger un perro, por favor. Se quita la gana de coger un perro cuando se te da cuenta que tiene que pegarse toda la vida con él. Sí, bueno, estaría muchas preguntas, pero un caso reciente que ha sido el de... no sé, que la Administración pública ha sido hackeada. Cuando son las Administraciones públicas, alguien se hace responsable, se pagan multas, se notifican a los funcionarios. En este caso, cuyos datos han sido extraídos, ¿conocías algún caso? Funcionan igual, funcionan igual. Han habido multas que se han pagado a países y a gobiernos, precisamente por lo mismo, ¿vale? El sepe famoso que hizo en su momento, incluso la que acaba de pasar hace poco en la hacienda, que han robado también una serie de registros y demás y tal, pasarán también por su proceso dentro de la Corte Europea, porque en este caso no va a ser de la agencia que depende del propio Gobierno, pasarán a través de la Corte Europea con su demanda particular y también se valorará quiénes son los responsables, ¿vale? Yo no lo he hablado en esta charla, pero sí que es importante entender que dentro de la estructura de jurisprudencia, de estas leyes que se aplican, ¿vale? Se intenta dejar bien claro quiénes son los responsables de la información. Está el dueño de la información, el que procesa la información, el delegado, no sé cuánto. Entonces, cada uno de esos experimentos tiene su parte de responsabilidad, eso es lo que tendrán que depurar pasará tiempo. Hola, ¿qué tal? Muchas gracias por todo, porque está interesante, pero como ha dicho el compañero, me da miedo ya. Y una pregunta que he visto, porque cuando has mostrado las distintas empresas que habían tenido problemas, ¿no? Me ha parecido ver que en ese caso todas eran por temas de no gestionar bien los datos. Las que estaban ahí, sí. Como similar, ¿no? Entonces, claro, y tú has dicho, bueno, lo que se puede evitar, ¿no? Ahí parece que hay suficiente tema legal, no complayas, no sé qué, ¿no? Los artículos están referenciados ahí mismo, los tienes en la propia tal, los puedes buscar en la propia JDPR y ver qué es el artículo que están violando. Claro, me refiero al caso de que si hagamos ese esfuerzo, si no te he entendido mal, aunque yo tenga instalado todo lo que tú has dicho, yo pongo todo el esfuerzo, si me hackean y soy una víctima, que he hecho todo lo posible, aún así, pringo. Depende. Depende, va a depender de la diligencia y las acciones que hayas tomado. Pero es que tú antes, por eso digo, que te he entendido que aunque tú seas diligente, la multa será menor. Se reduce porque al final siempre... Eres una víctima, en este caso. Si se demuestra que ha habido caso, las que se han demostrado que la totalidad de la responsabilidad, habiéndolo cumplido todo perfectamente, cosa que es bastante compleja, de acuerdo, que curra, pero puede ocurrir, y tú lo has hecho todo perfecto, realmente la responsabilidad es porque el software que has instalado tenía una falla, pues en la empresa eso se llama responsabilidad derivada, lo que hacen es muy bien, te multan a ti y te dicen, oye, tú como responsable de este sitio, no aguanto, ha fallado en esto, no ha fallado en esto, te dice, ha pasado esto y esto es lo que ha sufrió la gente, y esta es la multa que tú tienes, pero como no es responsabilidad tuya, porque tú has demostrado que tú has sido diligente y has tomado acciones, las acciones adecuadas que un hombre prudente haría, ¿vale? A partir de ahí, tú te querías con la empresa de software de la que ha venido ese fallo. ¿Cuál es el problema ello? ¿Cuál es, digamos, la trampa? Que tú tienes que poder demostrar que eso viene a través de ese software. ¿Y de qué software? Y a través de que hubo una vida. Es muy complejo porque ¿cuál es el primer problema que nos encontramos en el momento que nos ha ha quedado? Uy, ¿qué ha pasado tal? Vamos a limpiar la página, restauro una copia de seguridad, ya te cargás todo tu escena del crimen. Con lo cual, hacer un análisis forense que demuestre que el software ha sido el culpable, es muy complejo. ¿Qué pasa? ¿Qué es lo que tenéis que hacer cuando os ha pasa esto? Lo que dije, la devaluación de riesgos y de impacto, eso implica que debéis hacer como una especie de foto congelación de vuestro sitio web, no tocarlo, ¿vale? Y eso, pasarlo a través de una empresa de forense para que analizan qué es lo que ha pasado. Y cuando digo hacer una foto no es del sitio, sino es del servidor y todo. Y ahí es donde el hosting os puedan ayudar, ¿vale? Claro, las copias que así se hacen, normalmente tienen una validez dependiendo de la forma en la que se hace, cuándo se hace y los pasos que ha habido hasta que tú, imagínate que tú no te das cuenta de la brecha hasta una semana más tarde. El tema que dices eso de bloquear es, vale, pero yo quiero quitarlo para que no siga dañando tanto datos como cualquier cosa, ¿no? O ese usuario que ha entrado, que es el administrador que me he dado cuenta que está dentro, ¿cómo lo quito más rápido? Un bloquear el acceso. Una copia de seguridad, bueno, puedes bloquear, pero claro, si está dentro no sabes si... O sea, no existe el términología, está dentro, salvo que tengas tú un servidor VPS que tú has administrado mal, ¿vale? Si es un hosting en la que tú no eres en VPS, sino que tú estás sobre una plataforma hosting, son lo del hosting los que tienen que demostrar que no hay nadie dentro. Ser culpable es el hosting, ¿qué me iba a pasar? Es como... ¿Cuál es el problema con los hosting baratos, los hosting que no tienen cuidado, qué tal, no se cuenta? Pues que suelen tener, o incluso, empresa grande de hosting, que conocemos algunas también, y que hay en esta sala seguro también, que por mantener estructura legacy, o estructuras antiguas, les han entrado por ahí, y al entrarles por ahí, después ya, enchúfalo de más. ¿Vale? O sea, podemos hablar de esto, un mogollón, pero ¿cuál es la clave? Intentar demostrar que tú lo has hecho todo bien. ¿Vale? Esa es la clave. Y el momento que encuentras un evento de seguridad de esto, es intentar que no se toque lo mínimo posible, sacar una imagen lo más bloqueada posible de cualquier del servidor, o del servicio, hasta donde tú puedes, ¿vale? Para poder eso. Es que la copia de seguridad tiene sus kits, pero bueno, podemos hablar más tarde si quieres sobre eso. Muchas gracias, Néstor. Un aplauso para Néstor.