1 00:00:05,430 --> 00:00:11,940 Bueno, vamos a empezar la ciberseguridad de hoy, tenemos invitados especiales por ahí del público, 2 00:00:11,940 --> 00:00:17,940 un alumno que nos ha reportado alguna incidencia de ciberseguridad en EducaMadrid 3 00:00:17,940 --> 00:00:22,940 y por ese motivo hemos invitado a él y a una de sus profesoras, 4 00:00:22,940 --> 00:00:31,940 y bueno, como ponente de hoy tenemos a Camilo Andrés, es ingeniero en telecomunicaciones por la Universidad Politécnica de Madrid, certificado en BSCP, 5 00:00:31,940 --> 00:00:33,780 trabaja como analista 6 00:00:33,780 --> 00:00:36,079 senior de seguridad 7 00:00:36,079 --> 00:00:37,579 ofensiva dentro del grupo 8 00:00:37,579 --> 00:00:38,520 ZeroLinks 9 00:00:38,520 --> 00:00:41,060 que es a lo que le gustaría 10 00:00:41,060 --> 00:00:44,140 trabajar Félix 11 00:00:44,140 --> 00:00:45,479 cuenta con dos 12 00:00:45,479 --> 00:00:47,520 CVE publicados 13 00:00:47,520 --> 00:00:49,700 recientemente ha sido ganador 14 00:00:49,700 --> 00:00:51,340 con el equipo de España en el mundial de 15 00:00:51,340 --> 00:00:53,039 Book Banty del 2023 16 00:00:53,039 --> 00:00:55,200 y la ponencia va sobre 17 00:00:55,200 --> 00:00:57,679 los diferentes CVE que ha descubierto 18 00:00:57,679 --> 00:00:59,700 como los ha descubierto así como el flujo 19 00:00:59,700 --> 00:01:01,520 de notificación y publicación de los mismos 20 00:01:01,520 --> 00:01:07,239 a través del INCIBE. Además, contará de primera mano su experiencia en el Mundial 21 00:01:07,239 --> 00:01:11,760 de Book Bounty como uno de los ganadores de la selección española. Así que os dejo 22 00:01:11,760 --> 00:01:12,159 con él. 23 00:01:16,260 --> 00:01:23,329 Genial. Bueno, bueno, bueno. Genial, pues arrancamos. Si no se me ha escuchado algo 24 00:01:23,329 --> 00:01:28,349 y me vengo muy abajo, pues me hacéis algún gesto o si me pongo muy técnico y no se entiende 25 00:01:28,349 --> 00:01:31,129 nada, pues también por favor que me hagáis algún gesto por detrás, que la cámara no 26 00:01:31,129 --> 00:01:33,030 lo graba, así que nos entendemos 27 00:01:33,030 --> 00:01:34,890 todos. Bueno, lo primero 28 00:01:34,890 --> 00:01:37,189 pues daros un poco las gracias por invitarnos 29 00:01:37,189 --> 00:01:39,090 y por darnos esta oportunidad de compartir 30 00:01:39,090 --> 00:01:40,170 esta vivencia que hemos tenido 31 00:01:40,170 --> 00:01:43,030 yo personalmente y parte del equipo de ZeroLinks 32 00:01:43,030 --> 00:01:44,870 pues con todos vosotros. La unión 33 00:01:44,870 --> 00:01:46,269 hace la fuerza versión hacker, es un poco 34 00:01:46,269 --> 00:01:49,329 el título de la ponencia y un poco en torno a lo que 35 00:01:49,329 --> 00:01:50,909 iremos volviendo todo el rato, lo importante 36 00:01:50,909 --> 00:01:52,909 pues que es la unión dentro de un campo 37 00:01:52,909 --> 00:01:54,969 de la ciberseguridad que a veces parece que estamos en una cueva 38 00:01:54,969 --> 00:01:56,870 metidos, que estamos ahí con nuestro ordenador 39 00:01:56,870 --> 00:01:58,989 y que es un poco pues tú vas a piñón fijo 40 00:01:58,989 --> 00:02:00,750 con tu... ¡Bua! Funciona, genial. 41 00:02:01,129 --> 00:02:04,450 con tu ordenador. Ya me han presentado, pero bueno, voy a presentarme otra vez ya que hemos 42 00:02:04,450 --> 00:02:08,569 puesto una presentación con emoticonos bonitos, ingeniero de telecomunicaciones por la Universidad 43 00:02:08,569 --> 00:02:13,189 Politécnica de Madrid. Soy medio triatleta porque no se me da muy bien, pero bueno, me 44 00:02:13,189 --> 00:02:16,430 gusta mucho, así que os lo cuento. Me gusta también mucho el ajedrez, por si luego para 45 00:02:16,430 --> 00:02:20,689 tener un tema de conversación con vosotros. Ahí están mis redes sociales y luego mi 46 00:02:20,689 --> 00:02:25,750 pasatiempo es romper páginas web. Por eso me pagan más o menos en mi día a día y básicamente 47 00:02:25,750 --> 00:02:30,210 pues nada, romper cosas, que es un poco de lo que os quiero contar. El índice de hoy 48 00:02:30,210 --> 00:02:32,050 un poco para esquematizar un poquito 49 00:02:32,050 --> 00:02:34,150 de qué vamos a hablar. Primero 50 00:02:34,150 --> 00:02:35,909 hablaremos de Book Bounty, un tema que igual 51 00:02:35,909 --> 00:02:37,870 suena un poco a chino, no sabemos muy bien qué es eso. 52 00:02:38,030 --> 00:02:40,169 Entraremos en profundidad con el mundo del Book Bounty. 53 00:02:40,930 --> 00:02:42,030 Después le dirás, contaros un poquito 54 00:02:42,030 --> 00:02:43,930 el Mundial de Hacking de 2023, que 55 00:02:43,930 --> 00:02:45,969 estamos muy al oro del Mundial de Fútbol, 56 00:02:46,050 --> 00:02:48,169 pero quizás el de Hacking nos suena un poco a 57 00:02:48,169 --> 00:02:50,069 ¿qué es esto que han montado? ¿qué es esto de que 58 00:02:50,069 --> 00:02:51,530 hay un Mundial de Hackers? ¿cómo es esto? 59 00:02:52,009 --> 00:02:53,810 Os animo un poco a que mientras voy hablando ahora 60 00:02:53,810 --> 00:02:55,830 os lo imaginéis como diciendo 61 00:02:55,830 --> 00:02:58,310 voy a intentar imaginarme cómo es un Mundial de Hackers 62 00:02:58,310 --> 00:03:03,610 No sé, yo me los imagino allí todos hackeando metidos en una habitación y de repente un juez que salta, saca una bandera. 63 00:03:03,729 --> 00:03:08,310 No sé, bueno, cada uno con su imaginación, libremente, que lo penséis como queráis. 64 00:03:09,129 --> 00:03:14,310 Encontrar vulnerabilidades, algo que, como comentaba Adolfo, ha venido un estudiante que nos reporta vulnerabilidades. 65 00:03:15,289 --> 00:03:21,009 Vale, vamos a intentar profundizar un poquito en cómo llega la vulnerabilidad de su cabeza a vuestros equipos. 66 00:03:21,110 --> 00:03:26,789 También un poco entender ese flujo que luego creo que va a permitir un poquito más abordar mejor esos problemas de seguridad. 67 00:03:27,789 --> 00:03:41,189 Después trataremos un poquito con Incibe, que creo que, vamos, por lo que hemos comentado en el desayuno, sí que tenéis una relación cercana con ellos, pero bueno, hablaremos un poquito también desde el punto de vista de cómo es desde la empresa privada, pues el trato con Incibe, que es quizás un poquito más complejo, ¿no? 68 00:03:41,189 --> 00:03:49,969 Que cuando tenéis la suerte de poder trabajar con ellos, pues de mano a mano, ¿no? Y luego, pues en último lugar, hablaremos un poquito de la comunidad de ciberseguridad. 69 00:03:49,969 --> 00:04:05,930 Vamos allá. Book bounty, que si lo traducimos al castellano sería algo como hacker a sueldo, ¿vale? No nos liemos con bug, fallo, bounty, recompensa. Hacker a sueldo que queda mucho más bonito y vende mucho mejor. ¿Qué es esto del book bounty? Book bounty consiste en yo hackeo algo, ahí me pagan por ello. 70 00:04:06,389 --> 00:04:08,550 Oye, Camilo, ¿y cuál es la diferencia con tu trabajo del día de hoy, 71 00:04:08,590 --> 00:04:10,050 que tú hackeas cosas y te pagan por ello? 72 00:04:10,370 --> 00:04:14,870 La diferencia es que yo hackeo en mi día a día, laboralmente, en Zerolinks, 73 00:04:15,270 --> 00:04:18,269 las empresas que me asignan, un cliente llega, paga una cantidad de dinero, 74 00:04:18,350 --> 00:04:20,810 pues un poco como un servicio. 75 00:04:20,810 --> 00:04:24,230 A ti te contratan, haces un servicio, reportas unas vulnerabilidades 76 00:04:24,230 --> 00:04:27,250 y a cambio tú cobras cada mes tu nómina y ya está. 77 00:04:27,829 --> 00:04:31,310 Book Bounty, sin embargo, es un poco todo lo contrario, es la filosofía del autónomo. 78 00:04:32,170 --> 00:04:34,829 Tú encuentras una vulnerabilidad sin que nadie te pague por ello 79 00:04:34,829 --> 00:04:36,769 y cuando la encuentras te pagan por ello. 80 00:04:37,269 --> 00:04:42,490 Es un poco un modelo quizás de que tú puedes elegir a quién quieras hackear 81 00:04:42,490 --> 00:04:46,110 y solo cobras si hackeas algo, lo cual también tiene el doble filo. 82 00:04:46,250 --> 00:04:48,310 Puedes pensar que bien que me están pagando por hackear cosas 83 00:04:48,310 --> 00:04:51,089 o puedes pensar que mal que llevas ocho horas delante del ordenador, 84 00:04:51,430 --> 00:04:53,850 no has encontrado nada y no te van a pagar absolutamente nada. 85 00:04:54,009 --> 00:04:56,410 Y esta noche en la cena la vas a pagar tú y estás perdiendo dinero. 86 00:04:57,129 --> 00:05:00,389 Sin embargo, cuando trabajas en la empresa privada o donde sea, 87 00:05:00,850 --> 00:05:04,709 cada mes encuentres lo que encuentres, vas a tener tu sueldo y ya está. 88 00:05:04,829 --> 00:05:07,970 las empresas ofrecen recompensas económicas 89 00:05:07,970 --> 00:05:09,730 a cambio de reportes de vulnerabilidades 90 00:05:09,730 --> 00:05:11,970 hay que, una pequeña diferencia, no tanto 91 00:05:11,970 --> 00:05:13,970 voy a intentar no meterme mucho en el 92 00:05:13,970 --> 00:05:15,850 aspecto técnico, pero muchas veces 93 00:05:15,850 --> 00:05:17,689 reportamos vulnerabilidades de seguridad 94 00:05:17,689 --> 00:05:19,529 que quizás son buenas prácticas 95 00:05:19,529 --> 00:05:21,610 que vuestras contraseñas tengan más de 96 00:05:21,610 --> 00:05:24,110 7 caracteres, que vuestras contraseñas 97 00:05:24,110 --> 00:05:25,250 las cambiéis periódicamente 98 00:05:25,250 --> 00:05:27,829 que no apuntéis en post-it la contraseña 99 00:05:27,829 --> 00:05:29,870 de acceso al servidor, que estoy seguro que nadie lo hace aquí 100 00:05:29,870 --> 00:05:31,810 por supuesto, nosotros tampoco lo hacemos 101 00:05:31,810 --> 00:05:32,930 en ZeroLinks, no pasa nada 102 00:05:32,930 --> 00:05:36,250 todo ese tipo de guías de buenas prácticas 103 00:05:36,250 --> 00:05:37,730 son vulnerabilidades 104 00:05:37,730 --> 00:05:39,889 pero no implican un riesgo directo 105 00:05:39,889 --> 00:05:42,310 para los usuarios de las plataformas 106 00:05:42,310 --> 00:05:43,709 en Book Bounty sin embargo 107 00:05:43,709 --> 00:05:46,189 lo que se busca es demostrar un impacto totalmente directo 108 00:05:46,189 --> 00:05:47,870 oye mira me he colado y aquí tienes 109 00:05:47,870 --> 00:05:49,709 acceso a todos los correos de los usuarios 110 00:05:49,709 --> 00:05:51,410 mira si haces clic aquí 111 00:05:51,410 --> 00:05:54,050 puedo robarte datos de un usuario 112 00:05:54,050 --> 00:05:55,829 de dos usuarios, de cien, puedo modificar datos 113 00:05:55,829 --> 00:05:57,670 de alumnos, se busca un poquito 114 00:05:57,670 --> 00:05:59,550 como ese impacto 115 00:05:59,550 --> 00:06:01,170 y demostrar que realmente esto supone 116 00:06:01,170 --> 00:06:03,069 un impacto económico para la empresa 117 00:06:03,069 --> 00:06:04,850 y por tanto merecemos 118 00:06:04,850 --> 00:06:07,129 sin que se suba mucho el ego 119 00:06:07,129 --> 00:06:08,670 ser recompensado por ello. 120 00:06:09,029 --> 00:06:11,050 Este es un poco el modelo que se está empezando a poner de moda 121 00:06:11,050 --> 00:06:13,189 ahora en el campo de la ciberseguridad y cada vez 122 00:06:13,189 --> 00:06:15,050 más empresas están empezando a comercializar 123 00:06:15,050 --> 00:06:17,230 este servicio. En vez de 124 00:06:17,230 --> 00:06:19,050 contratarme una auditoría, pues yo te contrato 125 00:06:19,050 --> 00:06:21,389 50 euros, 100 euros, 200 euros 126 00:06:21,389 --> 00:06:23,269 por cada vulnerabilidad. Y aquí un poco 127 00:06:23,269 --> 00:06:25,370 os planteo también como reflexión 128 00:06:25,370 --> 00:06:27,230 interna y para el equipo de 129 00:06:27,230 --> 00:06:29,110 seguridad, pues ¿qué preferimos? 130 00:06:29,470 --> 00:06:31,110 Un analista durante 100 días 131 00:06:31,110 --> 00:06:32,649 o 100 analistas durante un día. 132 00:06:33,170 --> 00:06:34,589 Al final, tener una persona dedicada, 133 00:06:34,750 --> 00:06:37,129 como tenéis aquí un equipo dedicado a seguridad, 134 00:06:37,550 --> 00:06:39,410 te permite que esa persona conozca muy bien 135 00:06:39,410 --> 00:06:40,810 cómo funciona todo por dentro. 136 00:06:41,310 --> 00:06:42,850 Trabaje mano a mano con el equipo de sistemas, 137 00:06:43,009 --> 00:06:44,290 pueda entender cómo funciona algo. 138 00:06:44,410 --> 00:06:45,149 Oye, esta base de datos, 139 00:06:46,110 --> 00:06:47,470 ¿cómo se conecta con lo otro 140 00:06:47,470 --> 00:06:49,129 y por qué al alumno no le llegan los correos 141 00:06:49,129 --> 00:06:50,310 o por qué se ancoran el sistema? 142 00:06:50,769 --> 00:06:52,329 Y tienes tiempo para solucionar todo. 143 00:06:52,850 --> 00:06:53,750 Sin embargo, nosotros, 144 00:06:54,069 --> 00:06:56,389 nosotros, como yo desde el punto de vista 145 00:06:56,389 --> 00:06:57,889 de persona que hace Book Bounty, 146 00:06:58,509 --> 00:07:00,250 sin embargo, lo que tengo son 147 00:07:00,250 --> 00:07:12,089 Es muchas personas atacando ese servicio y estadísticamente quiero pensar o se piensa que van a tener más probabilidades de éxito o no, según un poco la complejidad del sistema, de encontrar vulnerabilidades. 148 00:07:12,649 --> 00:07:21,110 ¿Qué quiere decir esto? ¿Hay un sistema que sea mejor que el otro? ¿Deberíamos despedir automáticamente al responsable de seguridad que me está mirando con cara asesina y abrir aquí? 149 00:07:21,110 --> 00:07:29,850 No, es algo que es muy complementario y es bueno que se estandarice y que ahora hablaremos un poquito de quién está estandarizando este servicio de tal modo que sea una sinergia. 150 00:07:29,850 --> 00:07:33,189 la persona de seguridad que conoce muy bien todo el servicio y cómo funciona todo, 151 00:07:33,629 --> 00:07:37,610 pero que haya gente que libremente pueda colaborar reportando fallos de seguridad, 152 00:07:37,790 --> 00:07:41,170 como tenemos aquí una persona que libremente reporta vulnerabilidades 153 00:07:41,170 --> 00:07:47,629 y colabora de la mano de los profesionales que trabajan en la casa solventando este tipo de vulnerabilidades. 154 00:07:48,170 --> 00:07:52,149 Este modelo de auditoría, un poco as a service, como me gusta llamarlo, 155 00:07:53,009 --> 00:07:58,370 no es que esté yo hablando de la frutería debajo de mi casa, que no tiene programa de Book Bounty, 156 00:07:58,370 --> 00:08:28,250 sino empresas pues muy grandes, Microsoft, Google, Facebook, Tesla y sin ir más lejos pues porque quizás esto solo está al alcance de las empresas del sector privado, de las grandes multinacionales, también tenemos empresas españolas, también tenemos consultorías telefónicas españolas que tienen su programa aunque sea privado de Book Bounty y que tampoco podemos comentarlo pero también hay empresas españolas que están entrando en este mundillo y sin ir más lejos hace medio año más o menos la Generalitat de Cataluña pues pone en marcha también un programa de Book Bounty privado 157 00:08:28,250 --> 00:08:31,889 invitaron solo a un colectivo de 20-30 hackers españoles 158 00:08:31,889 --> 00:08:34,429 para que participasen de propio en su programa privado 159 00:08:34,429 --> 00:08:38,029 de este modo ellos mantenían como entidad pública 160 00:08:38,029 --> 00:08:40,870 sus trabajadores solventando las vulnerabilidades 161 00:08:40,870 --> 00:08:43,529 pero luego en paralelo había un grupo de personas 162 00:08:43,529 --> 00:08:46,090 que libremente en su tiempo libre, que esto es lo más importante 163 00:08:46,090 --> 00:08:48,730 cuando tú trabajas en una empresa tienes tu horario 164 00:08:48,730 --> 00:08:50,549 y fuera de ahí en teoría no hacemos nada 165 00:08:50,549 --> 00:08:53,909 pero cuando te dedicas a este mundillo tú eliges tu horario 166 00:08:53,909 --> 00:08:56,570 tú eres tu propio jefe y tú puedes elegir cuándo hackear 167 00:08:56,570 --> 00:08:58,370 cuándo no hackear, cuándo trabajar y cuándo no 168 00:08:58,370 --> 00:09:00,429 oye, tengo un sábado que estoy en casa sin hacer nada 169 00:09:00,429 --> 00:09:02,610 te puedes poner a hacer esto, hoy tengo el día libre 170 00:09:02,610 --> 00:09:04,730 lo mismo, tú eliges el tiempo que le quieres 171 00:09:04,730 --> 00:09:05,149 dedicar 172 00:09:05,149 --> 00:09:08,470 un poco en base, me meto un poco 173 00:09:08,470 --> 00:09:10,490 en camisas de once varas 174 00:09:10,490 --> 00:09:12,409 cuando las empresas te recompensan 175 00:09:12,409 --> 00:09:14,590 económicamente, a ti te sube la motivación 176 00:09:14,590 --> 00:09:16,210 porque además de las condiciones laborales 177 00:09:16,210 --> 00:09:18,049 lo que nos motiva, pues la verdad, que es el dinero 178 00:09:18,049 --> 00:09:20,309 cuando tú encuentras una vulnerabilidad y te dicen 179 00:09:20,309 --> 00:09:22,669 toma, aquí tienes, me lo voy a inventar, 5.000 euros 180 00:09:22,669 --> 00:09:24,429 con esos 5.000 euros se te pone 181 00:09:24,429 --> 00:09:26,129 una sonrisa de oreja a oreja que se te sale 182 00:09:26,129 --> 00:09:28,690 que vas al dentista, pues un poco funciona parecido 183 00:09:28,690 --> 00:09:30,889 cuando encuentras vulnerabilidades 184 00:09:30,889 --> 00:09:32,789 la empresa 185 00:09:32,789 --> 00:09:34,409 por así decirlo, está contenta contigo 186 00:09:34,409 --> 00:09:36,190 que son 2000 euros para cualquier empresa 187 00:09:36,190 --> 00:09:38,190 nada, para ti es una alegría tremenda 188 00:09:38,190 --> 00:09:40,309 y por tanto pues se crea ahí una relación 189 00:09:40,309 --> 00:09:42,490 un vínculo, una relación de confianza entre la empresa 190 00:09:42,490 --> 00:09:44,230 y el hacker a sueldo 191 00:09:44,230 --> 00:09:46,549 de tal modo que colaboran entre ellos para seguir 192 00:09:46,549 --> 00:09:48,049 encontrando vulnerabilidades 193 00:09:48,049 --> 00:09:50,509 también bueno comentar así como me parece curioso 194 00:09:50,509 --> 00:09:52,090 que el departamento de defensa de Estados Unidos 195 00:09:52,090 --> 00:09:54,610 pues también tiene un programa que es Reconversa de Vulnerabilidades 196 00:09:54,610 --> 00:09:56,909 se exponen a ofrecer dinero 197 00:09:56,909 --> 00:09:58,750 a cambio de que la gente les pueda evitar 198 00:09:58,750 --> 00:10:00,370 esto quizás puede parecer, ¿no? 199 00:10:00,450 --> 00:10:02,830 alguno esté pensando, diciendo, hombre, si yo ofrezco 200 00:10:02,830 --> 00:10:04,549 dinero porque me hackeen estadísticamente 201 00:10:04,549 --> 00:10:06,649 aparte de los malos, también va a haber gente que me esté 202 00:10:06,649 --> 00:10:08,789 atacando, entonces quizás no encuentro 203 00:10:08,789 --> 00:10:10,809 yo los fallos, o alguien me podría 204 00:10:10,809 --> 00:10:12,870 decir, ¿no? ¿y qué pasa si lo vendes en el mercado negro? 205 00:10:13,309 --> 00:10:14,830 hombre, tú encuentras un fallo de seguridad 206 00:10:14,830 --> 00:10:16,690 en el Departamento de Defensa de Estados Unidos 207 00:10:16,690 --> 00:10:18,730 hay mucha gente interesada 208 00:10:18,730 --> 00:10:20,549 en este tipo de información 209 00:10:20,549 --> 00:10:22,610 clasificada, podría sacar mucho dinero 210 00:10:22,610 --> 00:10:24,470 también podría sacar en la cárcel, muy posiblemente 211 00:10:24,470 --> 00:10:41,049 De tal modo que esa recompensa económica siempre va por encima del interés personal de cada uno por venderlo en el mercado negro, exponerse a problemas legales porque no te hace falta, te están pagando económicamente por ello y te estás llevando una alegría de oreja a oreja con ese dinero. 212 00:10:41,049 --> 00:10:44,730 Las recompensas económicas son muy variadas 213 00:10:44,730 --> 00:10:46,669 Desde 50 euros 214 00:10:46,669 --> 00:10:47,870 A 200.000 euros 215 00:10:47,870 --> 00:10:50,470 Que es lo que yo he podido ver 216 00:10:50,470 --> 00:10:52,070 En mi bolsillo desgraciadamente 217 00:10:52,070 --> 00:10:52,870 Pero sí que lo he visto 218 00:10:52,870 --> 00:10:54,809 Que se ha llegado a pagar 219 00:10:54,809 --> 00:10:56,750 Al final, pensad un poco 220 00:10:56,750 --> 00:10:58,570 Este ejercicio de 221 00:10:58,570 --> 00:11:00,990 He conseguido la contraseña de un usuario 222 00:11:00,990 --> 00:11:02,370 He podido entrar en su correo 223 00:11:02,370 --> 00:11:04,389 Le decimos al usuario que la cambie 224 00:11:04,389 --> 00:11:06,029 A ti te pagamos 50 euros 225 00:11:06,029 --> 00:11:09,289 A ti te pagamos 50 o 100 euros 226 00:11:09,289 --> 00:11:09,769 Y ya está 227 00:11:09,769 --> 00:11:12,590 Y con esto, pues oye, win-win, los dos salimos ganando. 228 00:11:13,429 --> 00:11:16,009 Resulta que soy una empresa que se dedica a las criptomonedas, 229 00:11:16,049 --> 00:11:18,950 que están en alza, el Bitcoin acaba de subir y se ha multiplicado por mil. 230 00:11:19,750 --> 00:11:21,470 Si encuentras un fallo de vulnerabilidad ahí, 231 00:11:21,629 --> 00:11:25,730 ¿qué son 200.000 euros para una empresa que factura miles de miles de millones de euros? 232 00:11:26,070 --> 00:11:29,429 Pues al final no es nada, y el impacto que tú podrías llegar a ocasionar 233 00:11:29,429 --> 00:11:33,049 vendiéndolo en el mercado negro, pues obviamente pone en riesgo 234 00:11:33,049 --> 00:11:36,330 la infraestructura de la propia empresa. 235 00:11:36,649 --> 00:11:39,590 Algo muy característico del mundo del Book Bounty, 236 00:11:39,769 --> 00:11:41,210 Es que se premia al primero. 237 00:11:41,809 --> 00:11:45,149 En este caso, un poco como me comentaban antes en el desayuno, 238 00:11:45,350 --> 00:11:47,610 que hay gente que participa y os reporta vulnerabilidades. 239 00:11:48,029 --> 00:11:50,970 En este caso, yo creo que si dos personas llegan con el mismo fallo, 240 00:11:51,330 --> 00:11:52,669 que menos que darle las gracias a las dos. 241 00:11:53,169 --> 00:11:56,070 No le vas a decir al último que ha llegado, me da igual, 242 00:11:56,210 --> 00:11:58,769 porque entonces se va a ir y ya no te va a reportar más cosas. 243 00:11:59,669 --> 00:12:01,190 En este mundo sí que te dan las gracias, 244 00:12:01,690 --> 00:12:03,470 pero solo se recompensa económicamente al primero. 245 00:12:03,470 --> 00:12:05,549 Eso tiene una ventaja, tiene muchas ventajas. 246 00:12:05,629 --> 00:12:08,110 La primera es que no pierdes dinero, porque si no yo encuentro algo, 247 00:12:08,110 --> 00:12:12,409 se lo cuento a mis amigos, todo el mundo dice la misma vulnerabilidad y todos nos hacemos ricos. 248 00:12:12,850 --> 00:12:19,049 Pues para evitar ese paraíso, por así decirlo, solo se premia la primera persona que encuentra y reporta una vulnerabilidad. 249 00:12:19,669 --> 00:12:26,690 En este caso, eso como comprenderéis, fomenta esa competitividad sana en la comunidad, 250 00:12:26,929 --> 00:12:32,610 porque también puedes colaborar con personas, a mí esto me ha permitido, luego entraremos un poco más en detalle en eso, 251 00:12:32,610 --> 00:12:46,789 Pero trabajar en equipo, la unión hace la fuerza de versión hacker, aquí es un poco donde se empieza a plasmar el título de la ponencia, pero pues trabajar con gente. Sin embargo, cuando trabajas individualmente, solo el primero obtiene esa recompensa económica, el más rápido en encontrar una vulnerabilidad. 252 00:12:46,789 --> 00:12:48,990 si en este caso, pues imaginaros 253 00:12:48,990 --> 00:12:50,990 la Comunidad de Madrid o EducaMadrid 254 00:12:50,990 --> 00:12:53,029 lanzando un programa de Book Bounty donde la gente 255 00:12:53,029 --> 00:12:54,429 pueda reportar vulnerabilidades 256 00:12:54,429 --> 00:12:56,830 o me doy prisa, o me quitan las vulnerabilidades 257 00:12:56,830 --> 00:12:59,090 o me doy prisa en, hemos sacado 258 00:12:59,090 --> 00:13:00,870 un nuevo programa de ayuda para docentes 259 00:13:00,870 --> 00:13:02,730 o soy el primero en auditar eso 260 00:13:02,730 --> 00:13:05,269 o me van a quitar las vulnerabilidades, porque hay gente muy buena 261 00:13:05,269 --> 00:13:06,950 y un poco, volviendo al hilo 262 00:13:06,950 --> 00:13:08,970 un analista 263 00:13:08,970 --> 00:13:10,750 100 días o 100 analistas en un día 264 00:13:10,750 --> 00:13:13,070 hay 100 personas, cada uno pues con sus 265 00:13:13,070 --> 00:13:15,090 talentos, pero todos muy buenos 266 00:13:15,090 --> 00:13:16,549 y seguramente muchos mejores que yo 267 00:13:16,549 --> 00:13:18,669 todos buscando vulnerabilidades 268 00:13:18,669 --> 00:13:21,070 entonces quizás no es tanto ser el mejor sino ser el más rápido 269 00:13:21,070 --> 00:13:22,789 en poder colaborar 270 00:13:22,789 --> 00:13:24,250 y al final pues volvemos a lo de antes 271 00:13:24,250 --> 00:13:26,649 un win-win en el que la empresa pues gana porque tiene 272 00:13:26,649 --> 00:13:29,129 más seguridad y luego también pues el analista 273 00:13:29,129 --> 00:13:31,149 que obtiene esa recompensa económica 274 00:13:31,149 --> 00:13:32,809 un poco una vez 275 00:13:32,809 --> 00:13:34,289 introducido todo lo que es el Book Bounty 276 00:13:34,289 --> 00:13:36,450 que diremos ya que viene toda esta 277 00:13:36,450 --> 00:13:38,629 historieta del Book Bounty es un poco para introducir 278 00:13:38,629 --> 00:13:40,610 el mundial de hacking de 2023 279 00:13:40,610 --> 00:13:42,730 que lo organiza la empresa HackerOne 280 00:13:42,730 --> 00:13:44,529 que es una empresa que lo que hace es reunir 281 00:13:44,529 --> 00:13:49,129 empresas que quieren participar en estos programas de Book Bounty. Es decir, toda aquella empresa 282 00:13:49,129 --> 00:13:53,769 que quiere pagar por vulnerabilidades que la gente le reporte, lo puede hacer a título 283 00:13:53,769 --> 00:13:59,950 personal, como la Generalitat de Cataluña, Google, Facebook, empresas grandes o pequeñas 284 00:13:59,950 --> 00:14:04,509 pero quieren hacerlo particularmente, o pueden ir un poco dentro de este marco de HackerOne 285 00:14:04,509 --> 00:14:09,490 que les ofrece una serie de beneficios, les da consejos, les da ayuda, etc. Este año 286 00:14:09,490 --> 00:14:11,149 se les ocurrió la brillante idea 287 00:14:11,149 --> 00:14:13,409 de montar la Ambassador World Cup 288 00:14:13,409 --> 00:14:15,070 que es el mundial de hacking 289 00:14:15,070 --> 00:14:17,490 le pusieron un nombre en inglés, como son ingleses 290 00:14:17,490 --> 00:14:18,769 pues así parece que todo vende más 291 00:14:18,769 --> 00:14:21,309 como las siglas de los puestos C 292 00:14:21,309 --> 00:14:22,509 o Chief, no sé qué 293 00:14:22,509 --> 00:14:25,769 no me meto en esos términos 294 00:14:25,769 --> 00:14:27,169 mundial de bug bounty 295 00:14:27,169 --> 00:14:29,450 ¿en qué consiste esto? rescato la pregunta 296 00:14:29,450 --> 00:14:30,429 que os hacía antes de 297 00:14:30,429 --> 00:14:32,649 ¿cómo pensáis que es un mundial de bug bounty? 298 00:14:32,750 --> 00:14:35,029 que os imagináis a hackers ahí en su habitación 299 00:14:35,029 --> 00:14:36,990 metidos, quedando en un café, club 300 00:14:36,990 --> 00:14:39,210 metiendo ahí 5 euros en una máquina para tener internet 301 00:14:39,210 --> 00:14:41,149 más o menos, en este caso 302 00:14:41,149 --> 00:14:43,129 participamos 29 países 303 00:14:43,129 --> 00:14:44,889 con equipos de hasta 30 personas 304 00:14:44,889 --> 00:14:47,350 como yo creo que es bastante 305 00:14:47,350 --> 00:14:49,190 complicado que 30 personas se junten 306 00:14:49,190 --> 00:14:50,830 cada uno en su país para hacer algo 307 00:14:50,830 --> 00:14:53,350 la verdad que sincronizarlo y encima la gente de ciberseguridad 308 00:14:53,350 --> 00:14:55,029 que unos trabajan de madrugada y otros 309 00:14:55,029 --> 00:14:57,190 trabajan a mediodía es muy complicado 310 00:14:57,190 --> 00:14:59,129 en este caso la idea 311 00:14:59,129 --> 00:15:00,990 que se buscaba era gamificar la búsqueda 312 00:15:00,990 --> 00:15:03,070 de vulnerabilidades, conseguir que la gente trabaje en equipo 313 00:15:03,070 --> 00:15:05,549 y centrar los esfuerzos 314 00:15:05,549 --> 00:15:06,889 en encontrar vulnerabilidades 315 00:15:06,889 --> 00:15:08,029 en determinadas empresas 316 00:15:08,809 --> 00:15:13,870 Los premios económicos, obviamente, siempre eran la bandera de este mundial. 317 00:15:15,009 --> 00:15:19,049 Yo hacía el ejercicio, ¿por qué me voy a meter en un mundial de hackers 318 00:15:19,049 --> 00:15:21,929 donde se va a poner el foco en hackear esta empresa 319 00:15:21,929 --> 00:15:25,230 y ya no van a estar los 100 hackers que comentaba en la diapositiva de antes? 320 00:15:25,610 --> 00:15:29,629 Van a estar los 100 de cada país, todos ellos, hackeando lo mismo. 321 00:15:29,929 --> 00:15:32,470 Me voy a la empresa de al lado que no está participando en el mundial 322 00:15:32,470 --> 00:15:34,169 que no va a haber nadie mirándola. 323 00:15:34,169 --> 00:15:37,830 Era un posible pensamiento que mucha gente siguió. 324 00:15:38,029 --> 00:15:48,409 Sin embargo, pues aquí, aparte de poder ser campeón del mundo, ibas a poder tener unos premios económicos mucho más superiores que en el resto de empresas que participaban. 325 00:15:48,629 --> 00:15:56,409 Y lo más importante, aquí están los mejores. Al final, los mejores de cada país eran los 30 que participaban en este mundial. 326 00:15:57,230 --> 00:16:04,070 Quizás en España, pues 30 personas no es un número muy grande, pero a nivel de Estados Unidos, a nivel de países con mucha más población que nosotros, 327 00:16:04,070 --> 00:16:06,210 30 personas son los 30 mejores 328 00:16:06,210 --> 00:16:07,789 realmente pues es la élite 329 00:16:07,789 --> 00:16:10,129 sí que pues tuvimos la suerte de ver 330 00:16:10,129 --> 00:16:11,850 como gente de otros países pues había tenido 331 00:16:11,850 --> 00:16:13,870 relaciones con la inteligencia 332 00:16:13,870 --> 00:16:15,389 del propio país, si no es más lejos 333 00:16:15,389 --> 00:16:17,570 uno de los equipos de la final con cierto 334 00:16:17,570 --> 00:16:20,090 equipo de inteligencia detrás 335 00:16:20,090 --> 00:16:21,870 que ahí ya lo dejamos para que 336 00:16:21,870 --> 00:16:23,850 cada uno piense como quiera 337 00:16:23,850 --> 00:16:25,190 este es un poco el once ideal 338 00:16:25,190 --> 00:16:27,269 de España, dentro 339 00:16:27,269 --> 00:16:29,090 de esos 30 hackers 340 00:16:29,090 --> 00:16:31,750 11 de ellos viajaron a la final 341 00:16:31,750 --> 00:16:33,830 que hubo en Argentina, una final 342 00:16:33,830 --> 00:16:35,830 ya presencial, ahora sí que sí, hackers con su ordenador 343 00:16:35,830 --> 00:16:37,710 ahí en un café, todos ellos hackeando 344 00:16:37,710 --> 00:16:39,230 nos subieron ahí a un rascacielos súper chulo 345 00:16:39,230 --> 00:16:41,610 y bueno, nada, yo soy el señor ese que tiene ahí 346 00:16:41,610 --> 00:16:43,429 la barba y las gafas y el resto pues 347 00:16:43,429 --> 00:16:45,789 los otros once de España 348 00:16:45,789 --> 00:16:47,649 que bueno, si queréis que 349 00:16:47,649 --> 00:16:49,230 alguno más venga otro día que hablaros 350 00:16:49,230 --> 00:16:50,909 ahí os dejamos el contacto por si 351 00:16:50,909 --> 00:16:52,129 por si tal 352 00:16:52,129 --> 00:16:55,570 la verdad que una experiencia increíble 353 00:16:55,570 --> 00:16:57,529 el poder, ya no solo tú estás 354 00:16:57,529 --> 00:16:59,110 en tu casa con tu ordenador haciendo 355 00:16:59,110 --> 00:17:01,289 Book Bounty y puedes colaborar con gente 356 00:17:01,289 --> 00:17:02,970 que conoces, puedes colaborar con 357 00:17:02,970 --> 00:17:05,190 el nick de no sé qué chat, el usuario 358 00:17:05,190 --> 00:17:06,849 de Twitter que te pone un tweet 359 00:17:06,849 --> 00:17:08,910 y tienes cierta simpatía con él 360 00:17:08,910 --> 00:17:11,130 pero ahora ya trabajas con personas que conoces 361 00:17:11,130 --> 00:17:12,569 que trabajas con ellos codo con codo 362 00:17:12,569 --> 00:17:15,029 ya no es la misma experiencia que abrir una llamada 363 00:17:15,029 --> 00:17:16,789 por Discord, abrir una llamada por Teams 364 00:17:16,789 --> 00:17:18,589 abrir una llamada por el canal que sea 365 00:17:18,589 --> 00:17:21,009 sino juntarte y realmente poner las cartas sobre la mesa 366 00:17:21,009 --> 00:17:22,390 y trabajar en conjunto 367 00:17:22,390 --> 00:17:25,349 el formato de la competición 368 00:17:25,349 --> 00:17:27,069 un poco por contaros un poco la historia 369 00:17:27,069 --> 00:17:28,829 del mundial que creo que no se conoce tanto 370 00:17:28,829 --> 00:17:30,250 como el mundial de fútbol 371 00:17:30,250 --> 00:17:32,750 tiene una duración de 8 meses, no es un mundial 372 00:17:32,750 --> 00:17:37,750 al uso, como podría ser un mundial de fútbol, que en un mes nos hemos ventilado y nos hemos quedado sin fútbol 373 00:17:37,750 --> 00:17:42,650 hasta el año siguiente. El objetivo, encontrar vulnerabilidades de alto impacto en clientes internacionales. 374 00:17:42,750 --> 00:17:47,750 Luego entraremos un poquito más en detalle en ver quiénes son estos clientes y cómo puedes llegar a ser 375 00:17:47,750 --> 00:17:52,450 uno de esos clientes. Al final se promueve la colaboración entre los integrantes del país. 376 00:17:52,690 --> 00:17:57,809 Si tú te pones solo a auditar cualquiera de estas empresas, seguramente vuelvas por donde has venido, 377 00:17:57,809 --> 00:18:14,069 Con una sonrisa más para abajo que para arriba. Sin embargo, cuando te unes en conjunto con tus compañeros es donde empieza a haber magia, es donde empieza a haber un poquito de frutos de trabajar en equipo, que es lo que al final nos ha llevado más a darnos cuenta de lo importante que es colaborar, trabajar en equipo y un poco estar unidos. 378 00:18:14,069 --> 00:18:20,089 Al final, si yo soy un especialista en este tipo de vulnerabilidad, yo soy especialista en... 379 00:18:20,089 --> 00:18:23,589 Y resulta que hay uno que es especialista en sistemas que no tienen nada que ver con ciberseguridad, 380 00:18:23,950 --> 00:18:28,269 pero te abre los ojos de una manera que tú quizás no tenías y te da una perspectiva totalmente nueva 381 00:18:28,269 --> 00:18:35,069 y eso hace que al final entre todos vayáis uniendo fuerzas y sumando fuerzas. 382 00:18:35,750 --> 00:18:40,690 Al principio, en esta modalidad de competición, aquí tenemos la fase de grupos 383 00:18:40,690 --> 00:18:44,789 y ya os digo que esto, poco más y había un sorteo como a nivel de fútbol. 384 00:18:45,130 --> 00:18:51,650 Españita lo tenemos aquí en el grupo H junto con Bangladesh, Estados Unidos y nuestro querido Israel 385 00:18:51,650 --> 00:18:53,450 que luego nos acompañó hasta la final del mundial. 386 00:18:54,750 --> 00:19:00,549 Y un poco el formato de la competición consistía en dos semanas para hackear determinadas empresas, 387 00:19:00,690 --> 00:19:05,569 reportar vulnerabilidades, ahora entraremos un poquito más en detalle qué es esto de las vulnerabilidades. 388 00:19:05,569 --> 00:19:11,549 pasadas esas dos semanas se corregían, se daban los puntos, se valoraban las vulnerabilidades 389 00:19:11,549 --> 00:19:16,750 y el país que más vulnerabilidades hubiese encontrado dentro de su grupo era el que pasaba. 390 00:19:16,750 --> 00:19:20,809 No sé si más o menos me explico, quiero que quede más o menos claro, 391 00:19:20,910 --> 00:19:26,829 pues entre Bangladesh, España, Estados Unidos y Israel, los dos países con más puntos son los que pasan de fase 392 00:19:26,829 --> 00:19:31,769 y es un poco lo que veremos luego en todos los cruces, pues un poco la misma dinámica. 393 00:19:31,769 --> 00:19:43,650 En cuartos de final, España contra Egipto. En realidad no era España contra Egipto, era España contra Egipto, en paralelo Estados Unidos contra Nepal, París contra Ariana y Singapur contra Israel. 394 00:19:43,789 --> 00:19:47,730 Eran un poco esos cruces en paralelo donde todo el mundo estaba hackeando las mismas empresas. 395 00:19:48,329 --> 00:19:57,710 Sin embargo, los puntos de España a nosotros no servían para pelearnos contra Egipto, pero en esa misma fase, con los mismos objetivos, estaba Israel pegándose con Singapur. 396 00:19:57,710 --> 00:20:00,210 entonces en este caso era muy llamativo 397 00:20:00,210 --> 00:20:02,650 ver que he encontrado una vulnerabilidad 398 00:20:02,650 --> 00:20:04,569 pero ya la he encontrado otro antes 399 00:20:04,569 --> 00:20:06,470 yo no me voy a llevar nada, no me llevo dinero 400 00:20:06,470 --> 00:20:08,930 mi preocupación ya no es que yo no gane 401 00:20:08,930 --> 00:20:11,190 sino que no esté ganando Egipto 402 00:20:11,190 --> 00:20:12,509 que no lo haya encontrado Egipto 403 00:20:12,509 --> 00:20:13,569 y no lo haya encontrado España 404 00:20:13,569 --> 00:20:16,269 ya no era a título personal sino que era una competición 405 00:20:16,269 --> 00:20:18,289 por países, éramos un equipo unido 406 00:20:18,289 --> 00:20:20,210 y ya no es yo Camilo he encontrado esto 407 00:20:20,210 --> 00:20:21,829 sino yo España hemos encontrado esto 408 00:20:21,829 --> 00:20:23,970 en este mundial 409 00:20:23,970 --> 00:20:26,750 la fase presencial fue la última 410 00:20:26,750 --> 00:20:28,710 mano a la final donde acudimos pues Israel 411 00:20:28,710 --> 00:20:30,650 Nepal no puedo asistir por temas 412 00:20:30,650 --> 00:20:31,869 divisados y luego pues 413 00:20:31,869 --> 00:20:34,710 los franceses y al 414 00:20:34,710 --> 00:20:37,029 final nosotros teníamos varias motivaciones 415 00:20:37,029 --> 00:20:38,829 la primera era que no nos ganase Francia 416 00:20:38,829 --> 00:20:41,069 es 417 00:20:41,069 --> 00:20:42,650 indispensable y luego la 418 00:20:42,650 --> 00:20:43,910 segunda pues ya era ganar a Israel 419 00:20:43,910 --> 00:20:45,710 parece que no pero 420 00:20:45,710 --> 00:20:48,569 Israel pues tiene mucha cultura de ciberseguridad 421 00:20:48,569 --> 00:20:50,029 tiene mucha fama de ciberseguridad 422 00:20:50,029 --> 00:20:52,569 Pegasus pues todo esto viene de Israel 423 00:20:52,569 --> 00:20:54,710 pues era un rival que realmente duro 424 00:20:54,710 --> 00:20:56,609 y ya cuando llegan las fases finales 425 00:20:56,609 --> 00:20:59,970 es donde es más importante colaborar en equipos. 426 00:21:00,329 --> 00:21:01,589 ¿Qué empresas hackeábamos? 427 00:21:01,730 --> 00:21:05,910 ¿Cuál era el target de este mundial de ciberseguridad? 428 00:21:05,970 --> 00:21:08,470 He puesto aquí un poco los logos de las empresas, 429 00:21:08,670 --> 00:21:09,670 como no puedo decir los nombres, 430 00:21:09,809 --> 00:21:12,470 pues pongo los logos de las que participaron y ya está, 431 00:21:12,589 --> 00:21:15,089 pero quizás algunas sí que son más conocidas, 432 00:21:15,089 --> 00:21:17,609 como puede ser Epic Games, TikTok, Tinder, Adobe, 433 00:21:18,150 --> 00:21:21,549 Mercado Libre, que es un poco como el Amazon de Latinoamérica, 434 00:21:21,869 --> 00:21:24,750 está Metamask, una empresa de criptomonedas, Yahoo, 435 00:21:24,750 --> 00:21:49,569 O sea, al final son empresas muy grandes, muy bien bastionadas, con mucha seguridad. Y llega un momento en el que nos podemos pensar, ¿no? Y quizás cuando hablábamos en el café del programa de Book Bounty, ¿no? Que podéis llegar a lanzar aquí internamente, yo pensaba y decía, pero realmente aquí hay vulnerabilidades porque es algo que está muy bastionado, hay gente trabajando 24 horas al día en la seguridad de la casa, o sea, ¿realmente es posible que haya vulnerabilidades en todos estos servicios? 436 00:21:49,569 --> 00:21:53,490 y la respuesta es que sí porque igual que la tecnología avanza 437 00:21:53,490 --> 00:21:56,430 también vosotros avanzáis y publicáis nuevos servicios 438 00:21:56,430 --> 00:21:59,329 y entonces de repente una semana lanzáis una campaña 439 00:21:59,329 --> 00:22:01,289 para que los alumnos se registren en no sé dónde 440 00:22:01,289 --> 00:22:03,789 un canal para que los alumnos hagan etcétera 441 00:22:03,789 --> 00:22:04,970 para que los profesores 442 00:22:04,970 --> 00:22:08,789 entonces realmente podemos pensar que Tinder tiene muchísima seguridad 443 00:22:08,789 --> 00:22:10,730 porque es una aplicación súper trillada 444 00:22:10,730 --> 00:22:12,650 mucha gente quiere hackear los números de teléfono 445 00:22:12,650 --> 00:22:14,910 de la persona con la que está intentando ligar 446 00:22:14,910 --> 00:22:17,710 y realmente no paran de sacar funcionalidades 447 00:22:17,710 --> 00:22:19,410 que son susceptibles de que podamos 448 00:22:19,410 --> 00:22:20,970 pues aguitarlas y atacarlas 449 00:22:20,970 --> 00:22:22,390 en esta 450 00:22:22,390 --> 00:22:25,509 competición los puntos pues al final 451 00:22:25,509 --> 00:22:26,630 como había que cuantificar 452 00:22:26,630 --> 00:22:29,269 las vulnerabilidades, claro 453 00:22:29,269 --> 00:22:31,390 aquí un poco volvemos a abrir el debate 454 00:22:31,390 --> 00:22:33,769 que es más importante que yo consiga 455 00:22:33,769 --> 00:22:35,529 comprarme cosas gratis en 456 00:22:35,529 --> 00:22:37,869 mercado libre, un poco como si yo llego a Amazon 457 00:22:37,869 --> 00:22:39,730 me compro la Playstation y ya está 458 00:22:39,730 --> 00:22:41,109 y no me cobran nada 459 00:22:41,109 --> 00:22:43,950 eso es más crítico que por ejemplo 460 00:22:43,950 --> 00:22:45,390 no lo sé, me lo voy a inventar 461 00:22:45,390 --> 00:22:50,589 En Tinder poder acceder a la información personal de cualquier perfil sin que me haya aceptado ni me haya dicho nada. 462 00:22:51,289 --> 00:22:57,730 Son baremos que quizás uno puede pensar que una cosa es más crítica según la información personal de cada uno, la ley de protección de datos, 463 00:22:58,089 --> 00:23:00,630 pero al otro lado estoy desprendiendo dinero, estoy consiguiendo cosas gratis. 464 00:23:01,069 --> 00:23:05,490 Entonces para eso hay un sistema de puntos que luego contaremos un poquito más en detalle cómo funciona, 465 00:23:05,609 --> 00:23:08,710 pero básicamente vulnerabilidades bajas, medias, altas o críticas. 466 00:23:09,269 --> 00:23:11,230 Y eso había un comité de expertos que lo validaba. 467 00:23:11,230 --> 00:23:32,369 De tal modo que una vulnerabilidad crítica te daba 12 puntos, 8, 4 y 2, que luego se me olvida. Sumabas los puntos y el país que más puntos tuviera era el que pasaba de ronda. Esto muy sencillito. De tal modo que al final nosotros entre España llegamos a hacer un desglose de 400 puntos en la final contra Israel, teniendo más puntos que ellos. 468 00:23:32,369 --> 00:23:34,970 aquí he puesto tres capturas de pantalla 469 00:23:34,970 --> 00:23:37,130 de nuestro grupo de Telegram con nuestros 470 00:23:37,130 --> 00:23:39,230 nicks y todo, donde un poco quería 471 00:23:39,230 --> 00:23:41,410 reflejar esa colaboración 472 00:23:41,410 --> 00:23:42,690 que hemos tenido nosotros como equipo 473 00:23:42,690 --> 00:23:45,069 al final uno diciendo, oye, yo creo que esto 474 00:23:45,069 --> 00:23:47,089 funciona, puedes borrar 475 00:23:47,089 --> 00:23:48,950 y crear cosas, esto creo que puede tener 476 00:23:48,950 --> 00:23:51,170 impacto, pero sin una certeza, muchas veces 477 00:23:51,170 --> 00:23:53,029 lo que nos pasa también en el día a día nosotros 478 00:23:53,029 --> 00:23:54,990 en el trabajo, yo estoy haciendo 479 00:23:54,990 --> 00:23:56,930 un proyecto, creo que tengo 480 00:23:56,930 --> 00:23:59,069 algo que es súper interesante, se lo comento 481 00:23:59,069 --> 00:24:01,009 al Dalai y me dice, mira, esto que has encontrado no tiene 482 00:24:01,009 --> 00:24:05,289 ningún tipo de sentido porque esto es público. Los empleados ya tienen su correo puesto en internet 483 00:24:05,289 --> 00:24:09,109 y que tú lo hayas encontrado no vale para nada. O cosas que tú crees 484 00:24:09,109 --> 00:24:12,009 que no sirven para mucho y realmente has encontrado ahí un poco 485 00:24:12,009 --> 00:24:17,289 la mina de oro, por así decirlo. Y aquí abajo hay una gráfica que ahora que lo veo 486 00:24:17,289 --> 00:24:20,470 no se ve absolutamente nada, pero básicamente son los nombres 487 00:24:20,470 --> 00:24:24,890 de nosotros, nuestros usuarios, cuando 488 00:24:24,890 --> 00:24:28,670 colaborábamos entre nosotros. Entonces voy a destacar 489 00:24:28,670 --> 00:24:32,650 que vulnerabilidades individuales había muy poquitas, 3, 4, 5, 490 00:24:33,109 --> 00:24:36,750 sin embargo, más de 80 vulnerabilidades entre personas en conjunto, 491 00:24:36,890 --> 00:24:40,609 no todos con todos al final, porque si juntamos a 10 personas, 492 00:24:40,710 --> 00:24:43,750 trabajan 2 y miran 8, pero en grupetes de 2-3 personas, 493 00:24:44,089 --> 00:24:45,410 pues muchas veces sí que era muy fácil, 494 00:24:45,930 --> 00:24:48,970 oye, ¿quién le apetece estar hoy de 7 a 8 de la tarde mirando cosas? 495 00:24:49,289 --> 00:24:53,809 Te conectabas y juntos, pues era cuando unías fuerzas 496 00:24:53,809 --> 00:24:55,730 y de verdad salían los resultados. 497 00:24:55,730 --> 00:25:03,869 Al final he hecho 400, 450 puntos en la final contra nuestros queridos amigos de Israel, que los pobres se fueron muy tristes. 498 00:25:05,009 --> 00:25:09,890 Beneficios para las empresas. Voy a volver un momento aquí a esta diapositiva. 499 00:25:10,130 --> 00:25:16,690 También os quería comentar que estas empresas que están aquí no es que fuesen especiales, no tienen un trato preferente, 500 00:25:17,190 --> 00:25:20,549 no es que sean más guays que el resto y por eso no hayan estado, sino que ellos pidieron estar. 501 00:25:20,829 --> 00:25:25,390 Esto desde el punto de vista comercial, que no tengo ni idea porque no soy comercial, soy hacker, 502 00:25:25,390 --> 00:25:27,309 Pero creo que beneficia mucho a las empresas 503 00:25:27,309 --> 00:25:28,690 Les da una visibilidad muy grande 504 00:25:28,690 --> 00:25:31,109 Porque se exponen 505 00:25:31,109 --> 00:25:32,170 Es verdad que tú te expones 506 00:25:32,170 --> 00:25:35,349 Al final a nadie quiere que le rasquen las cosquillas 507 00:25:35,349 --> 00:25:36,650 A nadie nos gusta que nos critiquen 508 00:25:36,650 --> 00:25:37,769 Que nos saquen los defectos 509 00:25:37,769 --> 00:25:41,269 Pero te va a permitir mejorar mucho tu seguridad 510 00:25:41,269 --> 00:25:42,750 Y dar una imagen mucho más madura 511 00:25:42,750 --> 00:25:44,329 Que las empresas que no están aquí 512 00:25:44,329 --> 00:25:47,630 Pero es que la aplicación que rival de Tinder 513 00:25:47,630 --> 00:25:48,410 No sé cuál es 514 00:25:48,410 --> 00:25:51,190 No ha salido en este tipo de tal 515 00:25:51,190 --> 00:25:52,230 Y no tiene vulnerabilidades 516 00:25:52,230 --> 00:25:54,769 ¿Cuál es más segura? 517 00:25:54,769 --> 00:25:56,829 la que no sabe si auditan o la que sabes 518 00:25:56,829 --> 00:25:58,730 que han auditado, que han encontrado vulnerabilidades 519 00:25:58,730 --> 00:26:00,829 pero ya están arregladas, ahí me transmitemos 520 00:26:00,829 --> 00:26:02,769 confianza, una empresa que apuesta por 521 00:26:02,769 --> 00:26:04,710 la seguridad, que apuesta por la ciberseguridad 522 00:26:04,710 --> 00:26:06,509 y que realmente invierte dinero en eso 523 00:26:06,509 --> 00:26:08,089 ¿cuántas veces encontramos 524 00:26:08,089 --> 00:26:10,589 empresas que, y el equipo de seguridad 525 00:26:10,589 --> 00:26:12,690 no, es el mismo que el de sistemas, bueno 526 00:26:12,690 --> 00:26:14,549 sistemas hace una labor que es 527 00:26:14,549 --> 00:26:16,789 indispensable, pero también el equipo de seguridad 528 00:26:16,789 --> 00:26:18,509 que se dedica a fastidiar el trabajo de sistemas 529 00:26:18,509 --> 00:26:19,930 pues también es muy necesaria 530 00:26:19,930 --> 00:26:23,650 bueno, más o menos 531 00:26:23,650 --> 00:26:38,349 Al final, en toda la competición, entre todos los 29 países, la fase de grupos, octavos, cuartos, semifinal y final, 800 reportes de vulnerabilidades, un 25% de ellas vulnerabilidades críticas o altas. 532 00:26:38,829 --> 00:26:48,289 Vulnerabilidades críticas, acceder a un servidor, poder modificar datos masivos de clientes, acceder a información confidencial de muchos usuarios, por hacer un poco el símil, 533 00:26:48,289 --> 00:26:52,410 ¿qué pasaría si yo desde mi casa puedo acceder a las notas de los alumnos de los colegios? 534 00:26:52,569 --> 00:26:56,289 ¿Qué pasaría si puedo acceder al correo personal de, ya no solo de profesores, 535 00:26:56,369 --> 00:26:58,569 sino también de empleados de aquí de la casa? 536 00:26:58,690 --> 00:27:03,230 Pues este tipo de vulnerabilidades forman un poco el foco de este tipo de competiciones. 537 00:27:03,369 --> 00:27:07,910 Al final, gracias a este sistema de puntos, dos puntos una vulnerabilidad baja, 538 00:27:08,309 --> 00:27:11,930 doce puntos una vulnerabilidad crítica, ¿dónde invierto mis esfuerzos? 539 00:27:12,289 --> 00:27:16,049 ¿Invierto una hora en una baja o invierto seis horas en una vulnerabilidad crítica? 540 00:27:16,049 --> 00:27:18,130 y esto viene un poco también de la mano de 541 00:27:18,130 --> 00:27:20,829 la recompensa económica, 1.700.000 euros 542 00:27:20,829 --> 00:27:22,789 pagados en vulnerabilidades 543 00:27:22,789 --> 00:27:24,049 es mucho dinero 544 00:27:24,049 --> 00:27:26,029 y eso al final está repartido 545 00:27:26,029 --> 00:27:28,029 entre todos estos países 546 00:27:28,029 --> 00:27:29,769 cuantas más rondas pasabas 547 00:27:29,769 --> 00:27:32,670 más dinero ibas consiguiendo dentro de tu equipo 548 00:27:32,670 --> 00:27:33,490 nosotros a nivel 549 00:27:33,490 --> 00:27:34,750 que se me pasan solas 550 00:27:34,750 --> 00:27:36,990 nosotros a nivel de 551 00:27:36,990 --> 00:27:39,410 nosotros como España 552 00:27:39,410 --> 00:27:41,849 tuvimos un momento muy bonito 553 00:27:41,849 --> 00:27:43,250 en el que entre unos cuantos compañeros 554 00:27:43,250 --> 00:27:45,589 encontramos una vulnerabilidad de 60.000 euros 555 00:27:45,589 --> 00:27:48,170 que al final son vulnerabilidades muy gordas 556 00:27:48,170 --> 00:27:49,750 que ponen en riesgo el core 557 00:27:49,750 --> 00:27:51,809 de las empresas 558 00:27:51,809 --> 00:27:54,009 y los recompensan pues como tal 559 00:27:54,009 --> 00:27:55,690 con el dinero que se merece 560 00:27:55,690 --> 00:27:58,109 ya que les has ayudado, les has solventado 561 00:27:58,109 --> 00:27:59,970 mejor dicho, pues un problema que no les costaría 562 00:27:59,970 --> 00:28:02,049 60.000 euros, sino seguramente pues cientos de miles 563 00:28:02,049 --> 00:28:03,509 de euros 564 00:28:03,509 --> 00:28:05,849 cerrando esta parte 565 00:28:05,849 --> 00:28:08,289 del mundial de hacking 566 00:28:08,289 --> 00:28:10,069 y pasamos a otro tercio 567 00:28:10,069 --> 00:28:12,009 totalmente distinto, luego si 568 00:28:12,009 --> 00:28:13,589 alguien quiere comentar con un café 569 00:28:13,589 --> 00:28:18,089 o un ajedrez o un triángulo en cualquier cosa del mundial, pues genial, más que bienvenido. 570 00:28:18,750 --> 00:28:24,910 Vamos a pasar a otro punto, que es cuando encuentras vulnerabilidades y vas un poco en busca de un CVE. 571 00:28:25,390 --> 00:28:29,210 Entonces, ¿qué es esto de un CVE? Que puede sonar un poco a chino, estas tres siglas, 572 00:28:29,410 --> 00:28:33,950 yo que antes criticaba las siglas de los CISOs y los CEOS y todo esto, pues esto es parecido. 573 00:28:34,390 --> 00:28:39,829 Common Vulnerability Exposure es al final un sistema de catalogación de vulnerabilidades. 574 00:28:39,829 --> 00:29:09,809 ¿Qué quiere decir esto? Cuando una empresa tiene un producto que lo comercializa, tiene un servicio, por ejemplo, Microsoft, Word, el Office, si aquí sin ánimo de hacer publicidad a las cosas, pero bueno, al final venden servicios, ¿no? Adobe, por ejemplo, aplicaciones que son de software libre, que utilizamos todos en nuestro día a día, pues tienen vulnerabilidades, ¿no? 575 00:29:09,829 --> 00:29:18,269 y quiera que pierdas cinco minutos de tu vida cómo funciona el ciclo de vida de las vulnerabilidades 576 00:29:18,269 --> 00:29:24,589 como es esto de las vulnerabilidades y cómo funciona ese proceso de desde que surgen hasta 577 00:29:24,589 --> 00:29:29,630 que se remedian al principio pues hay alguien que las encuentra cada dos días tenemos en las 578 00:29:29,630 --> 00:29:33,769 noticias por lo menos yo en twitter han encontrado una nueva vulnerabilidad en tal servicio y le está 579 00:29:33,769 --> 00:29:37,970 siendo la está explotando un grupo ruso que está atacando un montón de gente y hay que encerrarse 580 00:29:37,970 --> 00:29:39,970 en casa, bajar las persianas y apagar 581 00:29:39,970 --> 00:29:41,910 el ordenador, luego llega gente que 582 00:29:41,910 --> 00:29:43,990 se siente y la analiza, vale, vamos a ver este grupo 583 00:29:43,990 --> 00:29:45,529 ruso, que ha hecho 584 00:29:45,529 --> 00:29:47,529 vamos a ver si de verdad hay que bajar las persianas 585 00:29:47,529 --> 00:29:48,890 y vamos a ver si hay que apagar todo 586 00:29:48,890 --> 00:29:51,869 coleccionan muestras, a ver 587 00:29:51,869 --> 00:29:54,109 que si, vamos a coleccionar un poquito 588 00:29:54,109 --> 00:29:56,009 a quien la han atacado, a esta persona 589 00:29:56,009 --> 00:29:57,769 vale, pues trae su ordenador y vamos a ver 590 00:29:57,769 --> 00:29:59,769 que ha pasado, no hace falta cerrar las persianas todavía 591 00:29:59,769 --> 00:30:02,190 protección, ahora si, cierra las persianas 592 00:30:02,190 --> 00:30:03,509 que no se te cuele nadie en casa 593 00:30:03,509 --> 00:30:05,930 y si estás utilizando algo que está siendo atacado 594 00:30:05,930 --> 00:30:07,890 ¿no? cuantas veces, no sé si 595 00:30:07,890 --> 00:30:10,289 aquí os habrá pasado internamente, pero nosotros en la empresa 596 00:30:10,289 --> 00:30:12,309 pues oye, deja de utilizar este programa 597 00:30:12,309 --> 00:30:13,809 ten cuidado con esta licencia 598 00:30:13,809 --> 00:30:16,089 porque están publicando que se la están atacando 599 00:30:16,089 --> 00:30:18,549 detectalo bien 600 00:30:18,549 --> 00:30:20,470 implementa medidas, implementa 601 00:30:20,470 --> 00:30:22,589 capas de seguridad que te permitan detectar 602 00:30:22,589 --> 00:30:24,289 que alguien está yendo contra ti 603 00:30:24,289 --> 00:30:26,529 porque al final no se trata 604 00:30:26,529 --> 00:30:28,569 también un poco para tener conciencia 605 00:30:28,569 --> 00:30:30,390 nadie quiere atacar a Camilo 606 00:30:30,390 --> 00:30:32,069 bueno, espero que no 607 00:30:32,069 --> 00:30:34,509 nadie quiere atacar a Zero Links como empresa 608 00:30:34,509 --> 00:30:36,490 nadie quiere atacar a la Comunidad de Madrid porque tenga 609 00:30:36,490 --> 00:30:38,509 un odio especial porque les subieron 610 00:30:38,509 --> 00:30:40,589 la tarifa del colegio, no, realmente la gente 611 00:30:40,589 --> 00:30:42,690 busca atacar en general, el mundo es muy grande 612 00:30:42,690 --> 00:30:44,509 y somos muy chiquitines aquí, por suerte 613 00:30:44,509 --> 00:30:46,549 entonces la gente busca atacar 614 00:30:46,549 --> 00:30:48,529 en internet y cuando nos llega un mensaje 615 00:30:48,529 --> 00:30:50,210 de phishing, mi madre me lo dice muchas veces 616 00:30:50,210 --> 00:30:52,529 de, es que van a por mí, mira el phishing que me han mandado 617 00:30:52,529 --> 00:30:54,390 del banco, no, mamá, no van a por ti 618 00:30:54,390 --> 00:30:56,130 van a por todos los números que hay en España 619 00:30:56,130 --> 00:30:58,529 y entonces muchas veces, pues tú picas 620 00:30:58,529 --> 00:31:00,130 y oye, si picas y das 621 00:31:00,130 --> 00:31:02,130 50 euros, pues oye, pesca de arrastre 622 00:31:02,130 --> 00:31:04,369 yo tiro la pesca, la pesca al mar 623 00:31:04,369 --> 00:31:06,670 la red y si pesco 3 personas 624 00:31:06,670 --> 00:31:07,990 pues oye, se lo he tirado a 100.000 625 00:31:07,990 --> 00:31:10,410 qué poco éxito has tenido ya, pero me he llevado 2.000 euros 626 00:31:10,410 --> 00:31:12,630 ¿realmente es éxito o no es éxito? 627 00:31:12,829 --> 00:31:14,509 bueno, yo creo que sí, que es éxito 628 00:31:14,509 --> 00:31:15,089 para ellos, ¿no? 629 00:31:15,950 --> 00:31:18,049 después de detectar los incidentes toca pues 630 00:31:18,049 --> 00:31:20,329 darles forma y decir, vale, hemos 631 00:31:20,329 --> 00:31:22,390 encontrado una vulnerabilidad en Microsoft 632 00:31:22,390 --> 00:31:24,390 Word, porque cuando un usuario escribe 633 00:31:24,390 --> 00:31:26,470 determinadas palabras consigue acceder al ordenador 634 00:31:26,470 --> 00:31:28,369 de otra persona, ya tenemos 635 00:31:28,369 --> 00:31:30,269 aquí la muestra, ¿no? del bicho 636 00:31:30,269 --> 00:31:31,910 de la persona que está infectada, el pobre 637 00:31:31,910 --> 00:31:33,750 el pobre muchacho que está ahí con su ordenador 638 00:31:33,750 --> 00:31:35,849 que se lo han quitado, y le ponemos 639 00:31:35,849 --> 00:31:37,829 nombre, le ponemos un nombre, que es 640 00:31:37,829 --> 00:31:39,589 volviéndolo, que me parecía que me iba por las ramas 641 00:31:39,589 --> 00:31:41,589 pues esto del CVE, que es 642 00:31:41,589 --> 00:31:43,349 una sigla, es un numerito, una etiqueta 643 00:31:43,349 --> 00:31:45,609 como el código de barras del 644 00:31:45,609 --> 00:31:47,170 del supermercado 645 00:31:47,170 --> 00:31:49,509 para que sepan, vale, esta vulnerabilidad de 646 00:31:49,509 --> 00:31:51,049 esta persona es un CVE 647 00:31:51,049 --> 00:31:54,980 ¿cómo funciona el flujo de 648 00:31:54,980 --> 00:31:56,740 de seguridad en una auditoría? 649 00:31:56,859 --> 00:31:58,940 ¿cómo funciona ese... 650 00:31:58,940 --> 00:32:00,980 vale, y ahora que bien, has encontrado un CVE y ¿qué pasa? 651 00:32:01,039 --> 00:32:02,359 te ponemos una medallita de 652 00:32:02,359 --> 00:32:05,140 explorador intrépido que descubre vulnerabilidades 653 00:32:05,140 --> 00:32:06,779 o qué hacemos contigo, pues al final 654 00:32:06,779 --> 00:32:08,960 se identifica a qué afecta eso 655 00:32:08,960 --> 00:32:10,839 se estudia, se afecta a más versiones 656 00:32:10,839 --> 00:32:13,220 ya es que yo he actualizado mi móvil a la versión 12 657 00:32:13,220 --> 00:32:14,920 ya, pero es que esto afecta de la 14 658 00:32:14,920 --> 00:32:17,220 para atrás, entonces si no actualizas a la 15 659 00:32:17,220 --> 00:32:18,779 lo siento mucho, pero usted sigue infectado 660 00:32:18,779 --> 00:32:21,119 se analiza a todo 661 00:32:21,119 --> 00:32:23,019 lo que afecta y luego 662 00:32:23,019 --> 00:32:25,400 a veces esto se descubre accidentalmente 663 00:32:25,400 --> 00:32:27,359 no es que haya una persona 664 00:32:27,359 --> 00:32:29,000 no es que tengamos un equipo 665 00:32:29,000 --> 00:32:31,119 dedicado a descubrir CVs, es que quizás 666 00:32:31,119 --> 00:32:36,319 en una auditoría de revisión interna aquí vuestra, vamos a evitar un poquito cómo tenemos la configuración del correo 667 00:32:36,319 --> 00:32:39,359 y descubres una vulnerabilidad que no se había encontrado antes. 668 00:32:40,019 --> 00:32:45,279 Quiero también un poco poner el foco en este tipo de vulnerabilidades que comúnmente se llaman zero days, 669 00:32:45,720 --> 00:32:50,019 que no sé si os suena el término o ya es meterse un poco en terreno de informático, 670 00:32:50,680 --> 00:32:54,940 pero realmente pensad, tenemos aquí un equipo de seguridad que corrige vulnerabilidades. 671 00:32:55,700 --> 00:32:59,200 El equipo de seguridad corrige vulnerabilidades que el equipo de seguridad conoce. 672 00:32:59,200 --> 00:33:01,220 por tanto, ¿cómo las conoce? las arregla 673 00:33:01,220 --> 00:33:02,900 es un poco, quizás redundante, pero 674 00:33:02,900 --> 00:33:05,400 esa filosofía de, como conozco los problemas 675 00:33:05,400 --> 00:33:07,359 los arreglo, ¿vale? ¿qué pasa si no 676 00:33:07,359 --> 00:33:09,579 conoces el problema? ¿qué pasa si no conoces 677 00:33:09,579 --> 00:33:10,839 que existe esa vulnerabilidad? 678 00:33:11,279 --> 00:33:13,339 ¿qué pasa si no sabes? un poco con el 679 00:33:13,339 --> 00:33:15,359 símil, ¿no? con un edificio, yo sé que me puedo 680 00:33:15,359 --> 00:33:17,500 colar por la puerta y por las ventanas, no hay más 681 00:33:17,500 --> 00:33:19,079 y de repente te dice alguien 682 00:33:19,079 --> 00:33:21,539 oye, que si haces un agujerito en un muro 683 00:33:21,539 --> 00:33:23,180 ¿no? ahí se inventaron los butrones 684 00:33:23,180 --> 00:33:25,400 pues puedes colarte también, hasta que 685 00:33:25,400 --> 00:33:27,420 alguien no descubrió que podías 686 00:33:27,420 --> 00:33:30,960 hacer eso en un muro, tú hacías un butrón, luego ponías los cementos, bueno, como si 687 00:33:30,960 --> 00:33:35,200 yo aquí hubiese hecho algo de eso, pero bueno, y ya está, y te colabas en la vivienda. 688 00:33:35,299 --> 00:33:39,900 Pues esto funciona un poco por el estilo, ¿no? Se encuentran vulnerabilidades que nadie 689 00:33:39,900 --> 00:33:44,019 conoce y por tanto no pueden ser remediadas, por tanto esto implica un riesgo muy grande 690 00:33:44,019 --> 00:33:49,660 para las organizaciones. Nosotros en el equipo de Zerolinks, aquí me he permitido la licencia 691 00:33:49,660 --> 00:33:54,500 de poner una captura demasiado técnica, con mucho texto, con mucho tal, pero bueno, un 692 00:33:54,500 --> 00:33:59,400 poco quería reflejar, en mitad de una auditoría con un cliente que nos había contratado, encontramos 693 00:33:59,400 --> 00:34:05,019 que había unas cámaras, ¿no? Típica cámara, pues como, mira, justo aquí no tenemos cámara. La típica 694 00:34:05,019 --> 00:34:08,780 cámara, ¿no? Pues que vigila la oficina por si hay un incendio, por si hay un robo, por si hay cualquier 695 00:34:08,780 --> 00:34:15,019 tipo de incidencia, ¿no? Que casualmente, pues estaba tú cuando iniciabas la sesión, el servidor te 696 00:34:15,019 --> 00:34:21,000 respondía con la contraseña de tu propio usuario. Entonces esto era maravilloso porque tú podías, si 697 00:34:21,000 --> 00:34:23,340 le cogías el ordenador al de al lado, podías ver su contraseña. 698 00:34:24,119 --> 00:34:25,119 Lo que pasa es que luego vimos 699 00:34:25,119 --> 00:34:27,199 que también podías cambiar tu nombre de usuario 700 00:34:27,199 --> 00:34:28,539 y decir, oye, yo en vez de ser Camilo, 701 00:34:28,960 --> 00:34:31,099 soy Celia. Ah, mira, que me devuelvo la contraseña 702 00:34:31,099 --> 00:34:32,239 de Celia. Esto es maravilloso. 703 00:34:32,860 --> 00:34:34,719 Y luego ya descubrimos que no hacía ni siquiera falta 704 00:34:34,719 --> 00:34:36,500 hasta registrar en la aplicación. Esto era algo 705 00:34:36,500 --> 00:34:38,599 que era maravilloso. Yo entraba en la aplicación y me 706 00:34:38,599 --> 00:34:40,260 daba la contraseña de los usuarios. 707 00:34:40,780 --> 00:34:42,780 Esto era, vamos, para coger palomitas y disfrutar 708 00:34:42,780 --> 00:34:45,119 viendo un poco 709 00:34:45,119 --> 00:34:45,780 el panel de 710 00:34:45,780 --> 00:34:48,400 administración que había dentro 711 00:34:48,400 --> 00:34:50,679 del aplicativo, en este caso 712 00:34:50,679 --> 00:34:52,960 Airspace y aquí 713 00:34:52,960 --> 00:34:54,719 pues un poco pixelado, pero imaginaros 714 00:34:54,719 --> 00:34:56,539 nosotros en la oficina de ZeroLinks 715 00:34:56,539 --> 00:34:59,099 viendo cómo trabajaban desde una empresa 716 00:34:59,099 --> 00:35:00,840 cómo estaban ahí los empleados trabajando 717 00:35:00,840 --> 00:35:02,940 se levantaban, iban al baño, hacían sus 718 00:35:02,940 --> 00:35:05,159 descansos para café. Al principio 719 00:35:05,159 --> 00:35:07,159 nosotros pensábamos que era un fallo 720 00:35:07,159 --> 00:35:08,960 de seguridad de configuración de la 721 00:35:08,960 --> 00:35:10,800 aplicación y que era simplemente una 722 00:35:10,800 --> 00:35:12,539 vulnerabilidad más, como otras tantas 723 00:35:12,539 --> 00:35:15,000 hemos encontrado una vulnerabilidad, os la reportamos 724 00:35:15,000 --> 00:35:16,760 para que la corrijáis. Sin embargo 725 00:35:16,760 --> 00:35:18,760 empezamos a tirar un poquito del hilo y vimos que 726 00:35:18,760 --> 00:35:22,380 todas las cámaras de Airspace estaban afectadas por esta vulnerabilidad. 727 00:35:22,940 --> 00:35:26,679 Entonces en ese momento levantas el pie del acelerador y te das cuenta 728 00:35:26,679 --> 00:35:30,460 de que has encontrado una vulnerabilidad que nadie conoce, 729 00:35:30,539 --> 00:35:32,519 una vulnerabilidad que el equipo de Airspace no conoce 730 00:35:32,519 --> 00:35:35,139 y que se puede explotar de forma masiva. 731 00:35:35,139 --> 00:35:37,519 Tú puedes buscar en Google cámaras de seguridad, 732 00:35:38,199 --> 00:35:40,039 encontrar este servicio expuesto en Internet 733 00:35:40,039 --> 00:35:42,239 y conseguir la contraseña del administrador, 734 00:35:42,760 --> 00:35:44,860 entrar como el administrador y aquí empieza la fiesta 735 00:35:44,860 --> 00:35:47,400 de poder ver a la gente en su oficina trabajando desde tu casa. 736 00:35:47,400 --> 00:35:49,699 algo pues completamente ilegal por cierto 737 00:35:49,699 --> 00:35:52,159 cuando encuentras 738 00:35:52,159 --> 00:35:53,639 algo que es completamente ilegal 739 00:35:53,639 --> 00:35:55,639 sale en tu cabeza, se ilumina 740 00:35:55,639 --> 00:35:57,260 voy a colaborar con INCIBE 741 00:35:57,260 --> 00:36:00,199 bajo el subtítulo de cómo no terminar en la cárcel por hacer estas cosas 742 00:36:00,199 --> 00:36:01,699 al final INCIBE 743 00:36:01,699 --> 00:36:03,900 es el organismo que hace 744 00:36:03,900 --> 00:36:05,619 un montón de cosas que ahora entraremos en detalle 745 00:36:05,619 --> 00:36:07,719 pero principalmente a nosotros 746 00:36:07,719 --> 00:36:09,239 desde la parte técnica 747 00:36:09,239 --> 00:36:11,679 nos da esa cobertura de hablar con las empresas 748 00:36:11,679 --> 00:36:13,400 para decir, oye, he encontrado 749 00:36:13,400 --> 00:36:15,280 vamos a entrecomillarlo sin querer 750 00:36:15,280 --> 00:36:18,420 o queriendo un poco un fallo de seguridad en tu infraestructura 751 00:36:18,420 --> 00:36:22,159 y me gustaría que lo arreglasen, me gustaría poder colaborar 752 00:36:22,159 --> 00:36:25,579 a la seguridad, a que el mundo siga siendo un pelín más seguro 753 00:36:25,579 --> 00:36:27,820 y que podáis arreglarlo. 754 00:36:27,940 --> 00:36:30,119 Si yo como Camilo escribo a la empresa diciéndole 755 00:36:30,119 --> 00:36:32,980 hola, soy un chico que trabaja en una empresa 756 00:36:32,980 --> 00:36:35,260 y he encontrado una vulnerabilidad, mira qué guay soy 757 00:36:35,260 --> 00:36:38,260 y todo lo que he podido hacer, seguramente aparte de reírse de mí 758 00:36:38,260 --> 00:36:39,900 me denuncian y tengamos problemas. 759 00:36:40,519 --> 00:36:43,940 Por eso acudimos a INCIBE, el Instituto Nacional de Ciberseguridad 760 00:36:43,940 --> 00:36:50,679 que es una entidad con nombre, prestigio y más abogados que yo, para poder hablar con la empresa y que remedien esa vulnerabilidad. 761 00:36:50,840 --> 00:36:55,719 Es el intermediario para ese flujo de vulnerabilidad. 762 00:36:55,920 --> 00:37:04,019 Incidia, además de eso, además de contribuir con el marco digital, tienen muchas campañas, impulsan el ciberespacio en España, 763 00:37:04,199 --> 00:37:08,940 creo que un poco por lo que hemos comentado antes, pues sí que tenéis buena relación con ellos, una relación cercana. 764 00:37:08,940 --> 00:37:10,940 hacen mucho trabajo con la ciudadanía 765 00:37:10,940 --> 00:37:13,039 a través del foro de 766 00:37:13,039 --> 00:37:14,099 cibercooperantes, que también 767 00:37:14,099 --> 00:37:17,159 si tenéis oportunidad de conocerlo 768 00:37:17,159 --> 00:37:18,960 seguro que os mandan 769 00:37:18,960 --> 00:37:20,699 aquí spam y viene gente a contaros, pero 770 00:37:20,699 --> 00:37:23,019 hacen charlas muy interesantes en los 771 00:37:23,019 --> 00:37:24,619 colegios, yo personalmente 772 00:37:24,619 --> 00:37:26,139 colaboro con ellos 773 00:37:26,139 --> 00:37:28,760 en charlas por los colegios 774 00:37:28,760 --> 00:37:31,239 con las empresas también tienen una parte muy interesante 775 00:37:31,239 --> 00:37:32,980 de gestión de incidentes, cuando una empresa 776 00:37:32,980 --> 00:37:35,019 tiene una brecha de seguridad, incides el que 777 00:37:35,019 --> 00:37:36,920 está ahí y te ayuda un poco con ese 778 00:37:36,920 --> 00:37:39,199 marco regulativo de, vale, me han atacado 779 00:37:39,199 --> 00:37:41,019 y ahora ¿qué tengo que hacer? Pues un poco 780 00:37:41,019 --> 00:37:43,079 incíbers el que está ahí te dice, vale, no pasa 781 00:37:43,079 --> 00:37:44,900 nada, no bajes las persianas, no apagues 782 00:37:44,900 --> 00:37:47,000 todo. Este es el protocolo que tienes que seguir 783 00:37:47,000 --> 00:37:48,260 cuando tienes una incidencia de seguridad. 784 00:37:49,019 --> 00:37:50,840 Con los menores, este año también pusieron 785 00:37:50,840 --> 00:37:52,820 este año y el año anterior pusieron a disposición 786 00:37:52,820 --> 00:37:55,039 un teléfono, ¿no? Para, pues todo el tema de abusos 787 00:37:55,039 --> 00:37:56,480 de menores a través de 788 00:37:56,480 --> 00:37:58,940 a través del marco de la ciberseguridad que antes 789 00:37:58,940 --> 00:38:00,840 genial, me están acosando en clase, 790 00:38:00,980 --> 00:38:02,760 levanto la mano, llega el profesor 791 00:38:02,760 --> 00:38:05,000 y ya pone orden. Pero cuando se trata 792 00:38:05,000 --> 00:38:06,980 de abusos por internet que es tan fácil 793 00:38:06,980 --> 00:38:08,820 anonimizarse, pues claro, aquí 794 00:38:08,820 --> 00:38:10,760 los profesores ya escapan un poco 795 00:38:10,760 --> 00:38:12,860 del marco de control, por eso llega INCIBE 796 00:38:12,860 --> 00:38:14,840 para aplicar unas medidas de control 797 00:38:14,840 --> 00:38:16,780 unas medidas de contención y sobre todo 798 00:38:16,780 --> 00:38:18,480 de mitigación ante estos problemas que 799 00:38:18,480 --> 00:38:20,619 por desgracia ocurren en la sociedad 800 00:38:20,619 --> 00:38:22,739 y por último está INCIBE CERT 801 00:38:22,739 --> 00:38:23,739 que es el organismo 802 00:38:23,739 --> 00:38:26,820 de los abogados que nos ayuda 803 00:38:26,820 --> 00:38:28,780 a nosotros, principalmente ellos 804 00:38:28,780 --> 00:38:30,440 se dedican a respuesta 805 00:38:30,440 --> 00:38:32,119 ante incidentes 806 00:38:32,119 --> 00:38:34,280 gestionan las crisis cibernéticas 807 00:38:34,280 --> 00:38:42,539 Cuando una empresa sufre un ataque de forma masiva, nos han atacado todos los ordenadores, nos están robando datos, nos están... 808 00:38:42,539 --> 00:38:49,460 Pues Incibe es el que entra de por medio, lleva a su equipo y pone un poco de orden y te ayuda a solventar esa crisis que tienes. 809 00:38:50,320 --> 00:38:56,480 Tienen un servicio de detección proactiva que es muy interesante porque tú crees que estás seguro, tú crees que todo funciona de maravilla, 810 00:38:56,599 --> 00:38:58,420 pero en realidad se te están colando por la puerta de atrás. 811 00:38:58,420 --> 00:39:03,719 pues Incibe tiene unos cacharritos que colocan en la parte de arriba de las empresas, 812 00:39:03,860 --> 00:39:08,340 imaginaos un poco para la gente que sois menos técnicos, pues un poco el edificio, 813 00:39:08,460 --> 00:39:11,039 la antenita que hay arriba del todo que se conecta con la tele, 814 00:39:11,460 --> 00:39:15,820 pues ahí está Incibe con un cacharrito escuchando y si ve que entra algún malo, 815 00:39:15,920 --> 00:39:22,159 pues levanta la mano, lo coge y ahí un poco se evitan ese tipo de vulnerabilidades. 816 00:39:22,679 --> 00:39:25,420 Y luego por último, el último punto que he querido dejar para el final, 817 00:39:25,420 --> 00:39:31,599 pero es un poco al hilo de que venía Incibe, Incibe valida las nuevas vulnerabilidades y notifica a la empresa responsable. 818 00:39:32,099 --> 00:39:37,380 Es decir, cuando tú encuentras una vulnerabilidad que nadie conoce, como era el caso de las cámaras 819 00:39:37,380 --> 00:39:43,820 o como tuvimos otro caso en Celerings con un servicio de GLPI, que es un servicio de gestión de activos, 820 00:39:44,219 --> 00:39:50,019 cuando tú quieres reservar una sala, reservar un ordenador, reservar algo, pues el chico de sistemas te dice 821 00:39:50,019 --> 00:39:52,780 abre un ticket aquí, pues en esa plataforma 822 00:39:52,780 --> 00:39:54,940 pues también encontramos una vulnerabilidad 823 00:39:54,940 --> 00:39:56,619 y no sabes a quién reportársela 824 00:39:56,619 --> 00:39:58,579 porque no sabes de quién es esto, yo no conozco al dueño 825 00:39:58,579 --> 00:40:00,420 de las cámaras, que era chino 826 00:40:00,420 --> 00:40:02,579 o sea que como para conocerle, ni conozco 827 00:40:02,579 --> 00:40:04,480 al dueño de, pues gracias a Incibe 828 00:40:04,480 --> 00:40:06,619 ellos son los que se ponen en contacto con la 829 00:40:06,619 --> 00:40:08,619 empresa, ellos tienen los medios, ellos 830 00:40:08,619 --> 00:40:10,679 tienen toda esa capacidad que tú como a título 831 00:40:10,679 --> 00:40:12,820 personal no tienes, en este caso nosotros 832 00:40:12,820 --> 00:40:14,199 éramos grupo Zero Links 833 00:40:14,199 --> 00:40:16,300 contactando con Incibe, no es lo mismo que Camilo 834 00:40:16,300 --> 00:40:18,239 que es nadie contactando con 835 00:40:18,239 --> 00:40:24,320 con Incibe, pero mucho más valor tiene cuando es una entidad representante de la ciberseguridad 836 00:40:24,320 --> 00:40:28,900 en España la que contacta contigo como empresa. Ya te tomas un poquito más en serio las cosas 837 00:40:28,900 --> 00:40:34,039 y respondes con un poquito más de velocidad a los correos. Gracias a este sistema, la 838 00:40:34,039 --> 00:40:41,079 empresa contactada solo sabe que le está escribiendo Incibe. Airspace, hasta que no 839 00:40:41,079 --> 00:40:46,179 vean esta ponencia, no van a saber que éramos nosotros los que estábamos detrás de esta 840 00:40:46,179 --> 00:40:48,519 vulnerabilidad, que luego, pues sí que se publicó 841 00:40:48,519 --> 00:40:50,099 los detalles están publicados en internet 842 00:40:50,099 --> 00:40:52,239 o sea que sí que, ya ellos ya lo han 843 00:40:52,239 --> 00:40:53,780 solucionado, ya han ofrecido parches 844 00:40:53,780 --> 00:40:55,900 pero ellos no sabían quién estaba detrás de esto 845 00:40:55,900 --> 00:40:58,000 ellos solo reciben un mensaje de INCIBE 846 00:40:58,000 --> 00:41:00,340 diciendo, oye, tenéis una vulnerabilidad en este producto 847 00:41:00,340 --> 00:41:02,039 es así, así y así 848 00:41:02,039 --> 00:41:04,599 cuando reportas una vulnerabilidad 849 00:41:04,599 --> 00:41:05,980 INCIBE la valida 850 00:41:05,980 --> 00:41:08,420 porque es muy fácil, oye, hay una vulnerabilidad 851 00:41:08,420 --> 00:41:09,760 aquí que afecta a todo 852 00:41:09,760 --> 00:41:12,199 bueno, vamos a sentarnos a ver si es verdad esto que dices 853 00:41:12,199 --> 00:41:14,059 o no, también ellos te sientan 854 00:41:14,059 --> 00:41:17,940 un poco en la silla y te dicen, vale, vamos a analizar este incidente de seguridad para ver 855 00:41:17,940 --> 00:41:21,659 hasta dónde llega. Y claro, ¿y qué hacemos cuando 856 00:41:21,659 --> 00:41:25,659 encontramos una vulnerabilidad? ¿Cómo te comunicas con INCIBE? Porque 857 00:41:25,659 --> 00:41:29,599 hablar con Camilo es fácil, le pones un tuit y te responde, pero hablar con INCIBE 858 00:41:29,599 --> 00:41:33,519 es un poco más complicado. Tienen una página, dentro de la página de 859 00:41:33,519 --> 00:41:36,519 INCIBE.es, donde te explican detalladamente qué tienes que hacer. 860 00:41:37,639 --> 00:41:41,679 Así como primer paso, tienes que hacer un intercambio de claves con ellos, clave pública y privada, 861 00:41:41,679 --> 00:41:44,539 que esto hasta para los que somos más técnicos 862 00:41:44,539 --> 00:41:46,480 al principio es un dolor de cabeza increíble 863 00:41:46,480 --> 00:41:48,840 porque no estás acostumbrado 864 00:41:48,840 --> 00:41:50,579 pero es como cifrar la conversación 865 00:41:50,579 --> 00:41:52,559 es como poner una bolsa encima 866 00:41:52,559 --> 00:41:53,579 de lo que tú hables con Incibe 867 00:41:53,579 --> 00:41:54,780 de tal modo que solo Incibe 868 00:41:54,780 --> 00:41:56,619 sea capaz de entender lo que tú dices 869 00:41:56,619 --> 00:41:57,760 ¿por qué hacemos esto? 870 00:41:58,039 --> 00:41:58,619 en este caso 871 00:41:58,619 --> 00:42:00,059 podríamos pensar que 872 00:42:00,059 --> 00:42:02,019 bueno, es que estás colado en las cámaras de 873 00:42:02,019 --> 00:42:03,860 en las cámaras de 874 00:42:03,860 --> 00:42:04,760 yo que sé, de una empresa 875 00:42:04,760 --> 00:42:06,000 no es tan grave 876 00:42:06,000 --> 00:42:07,179 vamos a entrecomillar un poco 877 00:42:07,179 --> 00:42:07,780 el no es tan grave 878 00:42:07,780 --> 00:42:09,300 porque sí que es algo grave 879 00:42:09,300 --> 00:42:11,019 pero en caso de que esto fuese 880 00:42:11,019 --> 00:42:13,039 algo muy crítico 881 00:42:13,039 --> 00:42:14,739 algo que afectase de una manera 882 00:42:14,739 --> 00:42:16,599 a organizaciones, a empresas 883 00:42:16,599 --> 00:42:18,980 a gobiernos, pues sí que requiere un marco 884 00:42:18,980 --> 00:42:20,960 de confidencialidad muy alto, al final todo esto 885 00:42:20,960 --> 00:42:23,079 está bajo el marco de información 886 00:42:23,079 --> 00:42:24,900 confidencial con el grado de secreto 887 00:42:24,900 --> 00:42:27,360 por tanto necesita ir cifrado con los protocolos 888 00:42:27,360 --> 00:42:28,159 que tenemos en España 889 00:42:28,159 --> 00:42:31,199 para este tipo de intercambio de información 890 00:42:31,199 --> 00:42:32,940 en este caso pues todo va 891 00:42:32,940 --> 00:42:34,460 cifrado, tú escribes a INCIBE 892 00:42:34,460 --> 00:42:36,840 Hola, soy Camilo, soy Zerolink, quiero 893 00:42:36,840 --> 00:42:38,599 reportar una vulnerabilidad 894 00:42:38,599 --> 00:42:40,719 ¿me podéis dar vuestra clave? Aquí tenéis la mía 895 00:42:40,719 --> 00:42:45,500 Es un poco el, toma, aquí tienes mi código, ellos te dan el suyo y eso solo es para vosotros. 896 00:42:45,679 --> 00:42:53,039 Ellos te asignan luego un identificador que eso es para ti y con eso ya vas a poder hablar con ellos de forma segura. 897 00:42:53,900 --> 00:42:59,039 Una vez que ya estamos hablando el mismo lenguaje, estamos hablando un lenguaje confidencial entre nosotros, 898 00:42:59,440 --> 00:43:04,699 da igual que llegue una entidad externa, se cuele en mi correo, intente visualizarlo porque no va a poder. 899 00:43:04,699 --> 00:43:15,599 Está preparado para que solo tú como persona física con el certificado clave, por ejemplo, puedas acceder a esa información y luego INCIBE ya gestionará en ellos su seguridad como lo tengan gestionado. 900 00:43:15,900 --> 00:43:20,820 Pero por lo menos por parte del usuario que reporta la incidencia hay un marco de seguridad. 901 00:43:21,539 --> 00:43:29,679 Se asigna un identificador, INC, en este caso incidencia, el año y el número, en este caso 1, 2, 3, 4, por poner un ejemplo, 902 00:43:29,679 --> 00:43:34,539 que se incluye en todos los correos de tal modo que ellos internamente tengan un seguimiento, una trazabilidad. 903 00:43:35,019 --> 00:43:40,559 Si en algún momento reportes una vulnerabilidad con ellos, no les cambies el concepto porque se vuelven locos y tardan más en responder. 904 00:43:41,800 --> 00:43:47,159 Vuelven con un formulario que tienes que rellenar donde ya documentas la vulnerabilidad en su formato. 905 00:43:47,420 --> 00:43:53,079 En este caso muchas veces nosotros en ZeroLinks hacemos un informe de seguridad distinto del que haréis aquí internamente 906 00:43:53,079 --> 00:43:59,119 con la gestión de vulnerabilidades, que será totalmente distinto de la gestión de vulnerabilidades que realizará Google, por ejemplo. 907 00:43:59,119 --> 00:44:22,619 Unos están en inglés, otros en español. En este caso, INCIBE tiene su propio formato, que es a través de un documento TXT, donde se rellena con el correo de la persona que está reportando la vulnerabilidad, qué tipo de vulnerabilidad es, si afecta al acceso de documentos, si afecta a la ejecución de código, si afecta a robar credenciales, si puedes modificar datos, si no puedes modificarlos, 908 00:44:22,619 --> 00:44:25,280 dejan de estar disponibles, no dejan de estar disponibles, 909 00:44:25,380 --> 00:44:28,960 en qué marco afecta esta vulnerabilidad a la información, 910 00:44:29,280 --> 00:44:32,239 que es al final lo más importante que tenemos en los sistemas. 911 00:44:32,920 --> 00:44:36,940 Una vez que ya tienes reportada la vulnerabilidad, 912 00:44:37,139 --> 00:44:41,039 ya todo está relleno, se lo mandas, etc., 913 00:44:41,039 --> 00:44:42,940 ¿cómo te comunicas con ellos? 914 00:44:43,119 --> 00:44:45,480 ¿Cómo es ese trato de Camilo con Incibe? 915 00:44:45,559 --> 00:44:48,079 Porque Incibe no es Luis, Marcos o Pedro, 916 00:44:48,179 --> 00:44:49,820 sino al final es un correo que te responde 917 00:44:49,820 --> 00:44:52,099 y que no tienes una cercanía como puedes tener 918 00:44:52,099 --> 00:44:59,320 pues yendo a una oficina, hola, quiero hablar con el responsable, es un organismo que funciona y tiene mucho volumen de trabajo 919 00:44:59,320 --> 00:45:03,639 y este volumen de trabajo hace que también a veces todos estos procesos se dilaten con el tiempo. 920 00:45:04,360 --> 00:45:10,000 Inclusive tiene que validar la vulnerabilidad. Oye, he reportado un acceso a unas cámaras, me he colado, estoy viendo. 921 00:45:10,420 --> 00:45:15,079 Vale, inclusive se toma su tiempo en ver si eso es verdad. Tienen que ver a qué afecta esta vulnerabilidad, ¿no? 922 00:45:15,079 --> 00:45:19,900 Todos los servicios que se han visto afectados, no es lo mismo una cámara, que igual esto está en 50 cámaras 923 00:45:19,900 --> 00:45:24,340 o resulta que está en todas las cámaras del mundo, bueno, eso ya sería mucho presuponer, ¿no? 924 00:45:24,340 --> 00:45:28,460 Pero ver un poco hasta dónde llega el alcance de la vulnerabilidad. 925 00:45:29,079 --> 00:45:32,380 Y luego, bueno, a ver, también un poco vamos a entender al pobre fabricante 926 00:45:32,380 --> 00:45:36,719 que tiene a su equipo de muchachos haciendo cámaras, ha vendido el software, está ganando dinero 927 00:45:36,719 --> 00:45:41,280 y de repente llega el gobierno de España, en este caso INCIBE, a decirle que tiene vulnerabilidades. 928 00:45:41,659 --> 00:45:46,380 Vamos a darle un poquito de respiro al fabricante para que corrija la vulnerabilidad. 929 00:45:46,380 --> 00:45:49,460 En este caso el fabricante dispone de una ventana de tiempo 930 00:45:49,460 --> 00:45:50,760 De tres meses aproximadamente 931 00:45:50,760 --> 00:45:52,679 Para corregir la vulnerabilidad 932 00:45:52,679 --> 00:46:01,150 Depende de cómo tengan repartidas 933 00:46:01,150 --> 00:46:02,289 Las empresas 934 00:46:02,289 --> 00:46:04,889 NIST valida como su parte más 935 00:46:04,889 --> 00:46:06,230 A nivel Estados Unidos 936 00:46:06,230 --> 00:46:08,570 Pero el marco de Europa sobre todo suele ser 937 00:46:08,570 --> 00:46:10,150 Incibel que se comunique con ellos 938 00:46:10,150 --> 00:46:13,070 Luego NIST realmente luego es el que 939 00:46:13,070 --> 00:46:14,510 Como, claro 940 00:46:14,510 --> 00:46:16,050 Incibel en este caso 941 00:46:16,050 --> 00:46:17,789 que eso es muy bueno, muy buen apunte 942 00:46:17,789 --> 00:46:19,730 INCIBE es una entidad certificadora 943 00:46:19,730 --> 00:46:21,929 esto un poco por bajar el símil 944 00:46:21,929 --> 00:46:23,769 cuando tenemos que sacarnos 945 00:46:23,769 --> 00:46:25,690 el certificado digital, hay varias opciones 946 00:46:25,690 --> 00:46:26,570 una es pedir cita 947 00:46:26,570 --> 00:46:28,989 en la bolsa 948 00:46:28,989 --> 00:46:31,730 para que te den cita para sacarte el certificado 949 00:46:31,730 --> 00:46:33,690 o puedes ir a sitios que están autorizados 950 00:46:33,690 --> 00:46:36,050 para certificarte como persona física 951 00:46:36,050 --> 00:46:37,590 en este caso, por ejemplo 952 00:46:37,590 --> 00:46:39,449 el rectorado de la Universidad Politécnica de Madrid 953 00:46:39,449 --> 00:46:41,250 te puede acreditar como persona física 954 00:46:41,250 --> 00:46:43,789 no se conoce mucho, la gente va sin hacer cita previa 955 00:46:43,789 --> 00:46:45,389 ahora igual se conoce más 956 00:46:45,389 --> 00:46:47,690 pero también son certificadores 957 00:46:47,690 --> 00:46:50,090 pues INCIBE es un poco parecido, INCIBE tiene potestad 958 00:46:50,090 --> 00:46:52,070 para certificar y otorgar CVs 959 00:46:52,070 --> 00:46:53,690 aunque sean IST, los que 960 00:46:53,690 --> 00:46:55,650 como bien comentas, aunque sean ellos 961 00:46:55,650 --> 00:46:57,789 los que tengan como el control absoluto 962 00:46:57,789 --> 00:46:59,750 de lo que son los CVs y otorgar 963 00:46:59,750 --> 00:47:01,969 estas etiquetas, estos códigos de barras 964 00:47:01,969 --> 00:47:03,829 a vulnerabilidades, que más allá 965 00:47:03,829 --> 00:47:05,610 de un código de barras, lo que supone 966 00:47:05,610 --> 00:47:07,489 es el código de barras, el CV 967 00:47:07,489 --> 00:47:09,869 refleja el principio de una vulnerabilidad 968 00:47:09,869 --> 00:47:12,030 que no se conocía, ahora se conoce 969 00:47:12,030 --> 00:47:13,170 y va a ser remediada 970 00:47:13,170 --> 00:47:17,070 una vez que pasan los meses correspondientes 971 00:47:17,070 --> 00:47:20,070 y el fabricante tiene esa ventana de tres meses 972 00:47:20,070 --> 00:47:22,849 para corregir la vulnerabilidad, corregir y notificar 973 00:47:22,849 --> 00:47:26,429 si hubiese sido necesario a la gente 974 00:47:26,429 --> 00:47:28,550 que hubiese obtenido su software 975 00:47:28,550 --> 00:47:31,409 por un correo, un disclaimer en su página web, etc. 976 00:47:32,130 --> 00:47:33,909 pueden llegar a tener la obligación por ley 977 00:47:33,909 --> 00:47:35,929 por la ley de protección de datos, al menos aquí en España 978 00:47:35,929 --> 00:47:38,429 de notificar que has tenido una brecha de seguridad 979 00:47:38,429 --> 00:47:42,329 como pasó recientemente con Orange, con todo el sistema de RIPE 980 00:47:42,329 --> 00:47:45,170 que todo causó mucho revuelo. 981 00:47:45,769 --> 00:47:47,909 Una vez que pasa esta ventana de tiempo 982 00:47:47,909 --> 00:47:51,030 y ser un poco pesado escribiendo correos a Incibe 983 00:47:51,030 --> 00:47:54,170 que muchas veces es pues, oye, pero se ha publicado ya, 984 00:47:54,269 --> 00:47:55,429 se ha publicado ya, se ha publicado ya, 985 00:47:55,489 --> 00:47:57,849 tienen un volumen tan grande de mensajería, 986 00:47:58,030 --> 00:48:00,469 ahora últimamente han acelerado muchísimo los trámites 987 00:48:00,469 --> 00:48:02,389 y la verdad que es un gusto trabajar con ellos, 988 00:48:03,630 --> 00:48:06,489 pero antiguamente, el año pasado, hace dos años, 989 00:48:06,929 --> 00:48:08,250 sí que era algo un poco más lento 990 00:48:08,250 --> 00:48:10,829 y sí que tenías que andar detrás de Incibe 991 00:48:10,829 --> 00:48:13,349 presionando para que se asignase ese CVE. 992 00:48:13,530 --> 00:48:15,389 Al final, que se publique un CVE 993 00:48:15,389 --> 00:48:18,150 ya implica que la vulnerabilidad está remediada, 994 00:48:18,630 --> 00:48:20,590 implica que la vulnerabilidad ya está en un proceso, 995 00:48:20,750 --> 00:48:22,889 en un flujo de ser corregida 996 00:48:22,889 --> 00:48:25,610 y luego finalmente, pues sí, ya se publica aquí 997 00:48:25,610 --> 00:48:27,650 como podemos ver en NIST, 998 00:48:27,750 --> 00:48:30,610 que es como el marco de referencia de los CVEs. 999 00:48:32,369 --> 00:48:36,250 Muchas veces, cuando estamos en un proceso de una auditoría, 1000 00:48:36,530 --> 00:48:37,630 instalamos un programa nuevo, 1001 00:48:37,789 --> 00:48:40,670 también esto, un ejercicio que no hace falta ser técnico 1002 00:48:40,670 --> 00:48:42,909 ni informático, ni nada 1003 00:48:42,909 --> 00:48:44,869 para verlo, ¿no? Oye, me voy a bajar 1004 00:48:44,869 --> 00:48:46,329 esta versión de 1005 00:48:46,329 --> 00:48:48,489 Spotify. Genial, te has bajado la versión 1006 00:48:48,489 --> 00:48:50,769 4.2. Voy a buscar en Google 1007 00:48:50,769 --> 00:48:52,409 Spotify 4.2 1008 00:48:52,409 --> 00:48:54,650 CVS. Y ahí voy a poder ver en 1009 00:48:54,650 --> 00:48:56,630 NIST, sin ser, no hace falta 1010 00:48:56,630 --> 00:48:58,429 ser técnico, simplemente hay que ver los colorines, 1011 00:48:58,829 --> 00:49:00,449 si tiene un color rojo es porque es crítico 1012 00:49:00,449 --> 00:49:02,250 y no hay que descargársela, hay que actualizarlo 1013 00:49:02,250 --> 00:49:04,449 y ver un poquito si lo que tenemos instalado 1014 00:49:04,449 --> 00:49:06,449 está actualizado o no está actualizado. 1015 00:49:07,590 --> 00:49:08,429 Y ya por ir 1016 00:49:08,429 --> 00:49:09,630 concluyendo, ¿no? 1017 00:49:10,670 --> 00:49:19,909 Una comunidad unida, la unión al final hace la fuerza, estas vulnerabilidades no son a título personal de Camilo que viene a encontrar un CV o campeón del mundo, 1018 00:49:20,409 --> 00:49:24,269 al final es un conjunto de gente trabajando juntas, uno encuentra una vulnerabilidad, 1019 00:49:24,269 --> 00:49:30,510 creo que estoy, la contraseña del usuario, ¿por qué no la utilizas aquí? Busca si hay un CV, no hay nada. 1020 00:49:30,690 --> 00:49:36,969 Y realmente esa unión es lo que hace que luego como equipo vayas como un tren, que vaya avanzando, avanzando, avanzando. 1021 00:49:36,969 --> 00:49:47,440 Pero esto es un poco cuando refleja, cuando en el colegio tienes un trabajo y tú haces la introducción, yo hago la portada, tú haces el contenido y luego lo juntamos. 1022 00:49:47,820 --> 00:49:49,400 Pues un poco lo que queda es la casa de la derecha. 1023 00:49:49,980 --> 00:49:52,480 Y a veces en los proyectos, por desgracia, nos pasa lo mismo. 1024 00:49:53,579 --> 00:49:59,079 Cuántas auditorías o cuántos desarrollos, tú haces esta parte, yo hago esta otra y lo juntamos el día antes de la reunión. 1025 00:49:59,079 --> 00:50:02,239 Y lo que te queda es una casa que está cacho o que se te cae. 1026 00:50:02,239 --> 00:50:04,639 Qué importante también esa sinergia 1027 00:50:04,639 --> 00:50:07,280 Ya no solo en el ámbito de ciberseguridad 1028 00:50:07,280 --> 00:50:09,079 Como es la parte que nos toca a nosotros 1029 00:50:09,079 --> 00:50:11,619 Sino en todas las partes relacionadas 1030 00:50:11,619 --> 00:50:13,960 Incluso ya ni siquiera con la informática 1031 00:50:13,960 --> 00:50:14,679 En el día a día 1032 00:50:14,679 --> 00:50:16,179 Pues esa sinergia del equipo 1033 00:50:16,179 --> 00:50:19,119 De estar un poco alineados todos a una 1034 00:50:19,119 --> 00:50:20,519 El refrán famoso de 1035 00:50:20,519 --> 00:50:22,840 Si quieres llegar lejos, ve solo 1036 00:50:22,840 --> 00:50:25,260 Si quieres llegar lejos, ve acompañado 1037 00:50:25,260 --> 00:50:26,820 Y si quieres llegar rápido, ve solo 1038 00:50:26,820 --> 00:50:28,599 Que solo se avanza mucho más rápido 1039 00:50:28,599 --> 00:50:31,280 Pero si de verdad quieres profundizar 1040 00:50:31,280 --> 00:50:33,960 llegar a avanzar, llegar lejos 1041 00:50:33,960 --> 00:50:35,840 pues que mejor que ir acompañado 1042 00:50:35,840 --> 00:50:37,559 un equipo que trabaja unido 1043 00:50:37,559 --> 00:50:39,219 y no unas partes que se unen al final 1044 00:50:39,219 --> 00:50:41,559 comentábamos el equipo de España 1045 00:50:41,559 --> 00:50:43,739 que a título personal, luego se repartieron 1046 00:50:43,739 --> 00:50:44,940 una serie de premios de 1047 00:50:44,940 --> 00:50:47,920 premio a la mejor vulnerabilidad, premio al mejor hacker 1048 00:50:47,920 --> 00:50:49,840 premio al mejor, y la verdad que en España 1049 00:50:49,840 --> 00:50:51,659 no nos llevamos ninguna de ellas, por desgracia 1050 00:50:51,659 --> 00:50:53,719 alguna de vulnerabilidad, pero lo que es 1051 00:50:53,719 --> 00:50:56,380 este es el mejor hacker del mundo 1052 00:50:56,380 --> 00:50:58,199 fue un chico de Francia 1053 00:50:58,199 --> 00:50:59,820 que realmente es el mejor hacker del mundo 1054 00:50:59,820 --> 00:51:02,420 lo que nosotros éramos era el equipo más unido del mundo 1055 00:51:02,420 --> 00:51:03,679 éramos el equipo que había trabajado 1056 00:51:03,679 --> 00:51:05,960 de una forma más unida, éramos el equipo que 1057 00:51:05,960 --> 00:51:08,139 estaba más compenetrado 1058 00:51:08,139 --> 00:51:10,199 y eso al final, también un poco en el día a día 1059 00:51:10,199 --> 00:51:12,599 en el trabajo del día a día, cuando trabajas 1060 00:51:12,599 --> 00:51:14,300 en conjunto, cuando trabajas unido 1061 00:51:14,300 --> 00:51:16,519 pues es un poco lo que te lleva al éxito 1062 00:51:16,519 --> 00:51:17,500 que no se trata de 1063 00:51:17,500 --> 00:51:20,400 soy Camilo con 7 cursos y 4 1064 00:51:20,400 --> 00:51:22,340 masters y tal y mira que bueno soy con mi trabajo 1065 00:51:22,340 --> 00:51:24,340 contrátame, sino realmente pues mira 1066 00:51:24,340 --> 00:51:26,300 este es mi equipo, estas son mis personas 1067 00:51:26,300 --> 00:51:28,260 y con esto es con lo que de verdad hacemos magia 1068 00:51:28,260 --> 00:51:30,699 que nadie por sí solo es capaz de hacer 1069 00:51:30,699 --> 00:51:32,320 lo que hace un equipo unido 1070 00:51:32,320 --> 00:51:34,679 así que bueno, no os quedéis 1071 00:51:34,679 --> 00:51:36,500 con la imagen de la casa destruida 1072 00:51:36,500 --> 00:51:38,659 que refleja un poco a donde no tendríamos 1073 00:51:38,659 --> 00:51:39,039 que llegar 1074 00:51:39,039 --> 00:51:42,539 y poquito más, daros las gracias por 1075 00:51:42,539 --> 00:51:44,539 vuestro tiempo, por habernos acogido también 1076 00:51:44,539 --> 00:51:46,420 aquí en la casa 1077 00:51:46,420 --> 00:51:48,840 y un poco abierto a cualquier comentario 1078 00:51:48,840 --> 00:51:50,420 pregunta, ruego, sugerencias 1079 00:51:50,420 --> 00:51:51,780 que queráis hacer 1080 00:51:51,780 --> 00:52:02,389 bueno, muchas gracias 1081 00:52:02,389 --> 00:52:04,329 yo tengo una pregunta 1082 00:52:04,329 --> 00:52:06,869 para los analizados 1083 00:52:06,969 --> 00:52:08,829 ¿vale? Por ejemplo, decir, bueno, vosotros tres 1084 00:52:08,829 --> 00:52:10,829 os dedicáis a un fin. Vosotros tres 1085 00:52:10,829 --> 00:52:13,130 a escanear el puerto. Vosotros tres 1086 00:52:13,130 --> 00:52:14,929 a buscar el exploit. ¿De algún modo 1087 00:52:14,929 --> 00:52:17,030 tenéis como segmentado para...? 1088 00:52:17,590 --> 00:52:18,469 Realmente, 1089 00:52:18,929 --> 00:52:20,989 aunque tengamos muy englobado, ¿no? 1090 00:52:21,550 --> 00:52:22,989 Tú eres de sistemas y haces 1091 00:52:22,989 --> 00:52:24,710 sistemas. Tú eres de seguridad y haces seguridad. 1092 00:52:25,170 --> 00:52:26,929 Dentro del campo de seguridad, una vez que ya 1093 00:52:26,929 --> 00:52:28,690 te metes de lleno en lo que es ciber, 1094 00:52:29,250 --> 00:52:30,309 hay un abanico de 1095 00:52:30,309 --> 00:52:32,929 posibilidades inmensas. Y ya no es 1096 00:52:32,929 --> 00:52:34,730 ni siquiera o Synth o 1097 00:52:34,730 --> 00:52:36,889 Exploits o algo así un poco más concreto, 1098 00:52:36,969 --> 00:52:41,909 sino ya dentro de la ciberseguridad, oye, yo soy muy bueno saltándome paneles de inicio de sesión. 1099 00:52:42,309 --> 00:52:47,489 Yo soy muy bueno tocando el lado del cliente, buscando ejecuciones de JavaScript. 1100 00:52:48,070 --> 00:52:52,070 Yo es que, fíjate, yo soy mucho mejor en lo que es interacción con el servidor, 1101 00:52:52,070 --> 00:52:55,349 porque vengo del mundo de los sistemas, de las redes, y se me da súper bien. 1102 00:52:55,710 --> 00:53:00,969 Pues al final es un poco como nos dividíamos, cada uno con su especialidad, 1103 00:53:01,269 --> 00:53:06,369 y yo pues estoy investigando y digo, ay, aquí creo que hay algo de paneles de inicio de sesión 1104 00:53:06,369 --> 00:53:13,909 que yo no termino de, oye, este es el experto en inicios de sesión, ven aquí, colaboramos juntos y ahí es donde empieza la magia, ¿no? 1105 00:53:13,909 --> 00:53:17,550 Un poco cada uno con su especialidad porque luego te acabas especializando, ¿no? 1106 00:53:17,550 --> 00:53:22,949 Incluso nosotros, pues en el equipo de Zerolinks, cada uno es como experto en un área y cuando auditas, tú ya te conoces, 1107 00:53:23,369 --> 00:53:29,829 estás auditando y te encuentras algo que, ah, al que se le da bien es a este, vente para acá, siéntate aquí al lado un ratito y vamos a verlo. 1108 00:53:29,829 --> 00:53:36,289 Entonces sí que estábamos muy segmentados, muy organizados, aunque luego todo el mundo sea un poco polivalente porque te lo pide el sector, 1109 00:53:36,369 --> 00:53:41,329 te lo pide la vida, vaya, pero luego cada uno pues tiene su pequeño nicho donde realmente destaca. 1110 00:53:42,329 --> 00:53:45,510 ¿Tenéis algún tipo de asesoramiento o os organizáis entre vosotros? 1111 00:53:45,690 --> 00:53:50,849 De Israel, de Edif, de no sé si es verdad, que la unidad de los 1.200 de señales como que les daba, 1112 00:53:51,590 --> 00:53:53,710 no sé si apoyo logístico o que les había enseñado alguna cosa. 1113 00:53:55,190 --> 00:54:01,730 ¿Vosotros tenéis algún tipo de ayuda o de recomendación en el CTE, en el servicio de alguien o os organizáis? 1114 00:54:01,809 --> 00:54:06,190 No, por parte de España no recibimos ningún tipo de ayuda ni de soporte. 1115 00:54:06,369 --> 00:54:08,989 participamos con ellos en las jornadas del CCN 1116 00:54:08,989 --> 00:54:10,789 pero lo que es durante la competición no tuvimos 1117 00:54:10,789 --> 00:54:12,710 ningún tipo de apoyo, sí que se escuchó 1118 00:54:12,710 --> 00:54:14,789 de Israel cierto CV 1119 00:54:14,789 --> 00:54:16,190 que nadie tenía publicado 1120 00:54:16,190 --> 00:54:18,409 y ellos encontraron la vulnerabilidad muy rápido 1121 00:54:18,409 --> 00:54:20,349 quizás la encontraron en Twitter o recibieron 1122 00:54:20,349 --> 00:54:21,849 algún tipo de apoyo 1123 00:54:21,849 --> 00:54:24,670 teníamos dos capitanes en el equipo internamente 1124 00:54:24,670 --> 00:54:26,909 que eran un poco los que lideraban y comandaban 1125 00:54:26,909 --> 00:54:28,969 pero toda una organización interna nuestra 1126 00:54:28,969 --> 00:54:32,409 Luego una pequeña matización 1127 00:54:32,409 --> 00:54:34,030 comentabas antes que 1128 00:54:34,030 --> 00:54:41,050 no se ataca porque si no como que digamos no es la persona sino que se ataca y hay realmente sí 1129 00:54:41,050 --> 00:54:46,630 que hay una parte un poco por ejemplo hay un manual de aceite de chino que además está en 1130 00:54:46,630 --> 00:54:52,789 chino que viene como atacar instituciones españolas para desestabilizar bueno a nivel 1131 00:54:52,789 --> 00:55:00,070 europeo hay otro también supuestamente el tema por ejemplo otras cosas que tiene es que cuando 1132 00:55:00,070 --> 00:55:07,230 cuando ya no trabajamos 1133 00:55:07,230 --> 00:55:08,610 y además da como una serie 1134 00:55:08,610 --> 00:55:10,469 de recomendaciones 1135 00:55:10,469 --> 00:55:12,489 que a grosso modo, pues por ejemplo 1136 00:55:12,489 --> 00:55:14,730 seguramente tirando de 1137 00:55:14,730 --> 00:55:16,650 este tuve con estos exploits 1138 00:55:16,650 --> 00:55:18,849 puede valer porque muchas instituciones 1139 00:55:18,849 --> 00:55:20,670 españolas tienen esta versión de Apache 1140 00:55:20,670 --> 00:55:22,769 o cosas así, quiero decir que 1141 00:55:22,769 --> 00:55:24,909 es cierto que en muchos casos son 1142 00:55:24,909 --> 00:55:26,110 ataques no 1143 00:55:26,110 --> 00:55:28,909 deliberados, o sea que se hacen y se puede tocar a ti 1144 00:55:28,909 --> 00:55:50,969 Y hay otros que simplemente por desestabilizar, sobre todo contra Europa o Estados Unidos, por parte quizá de países no alineados, por llamarlo así, sí que lo tienen como, bueno, mientras si creamos un problema interno en un país de la Unión Europea, pues el lugar mejor de estar pensando en quejarse de China o de Rusia, como tienen que resolverlo, ya está ligado al ciudadano de Noruega. 1145 00:55:50,969 --> 00:55:54,469 Sí, sí, no, totalmente 1146 00:55:54,469 --> 00:55:56,469 Claro, un poco lo que no es 1147 00:55:56,469 --> 00:55:58,210 A título personal es cuando nos atacan 1148 00:55:58,210 --> 00:56:00,349 A mí como usuario particular 1149 00:56:00,349 --> 00:56:02,010 Quizás cuando se atacan a la empresa 1150 00:56:02,010 --> 00:56:04,070 O atacan al ayuntamiento 1151 00:56:04,070 --> 00:56:06,289 O atacan al ayuntamiento de X ciudades 1152 00:56:06,289 --> 00:56:07,329 Y que es un ataque dirigido, ¿no? 1153 00:56:07,329 --> 00:56:09,650 Contra la organización, vaya, contra el Estado 1154 00:56:09,650 --> 00:56:11,989 Pero cuando es a título personal, pues cuesta mucho 1155 00:56:11,989 --> 00:56:14,090 Creer que sea alguien que está yendo por ti 1156 00:56:14,090 --> 00:56:16,230 Enfilado, pero bueno 1157 00:56:16,230 --> 00:56:37,780 ¿Qué papel jugó la inteligencia artificial en el Mundial de Hackers y si había alguna prohibición con respecto a utilizarla o no? 1158 00:56:37,780 --> 00:56:39,840 si nos puedes comentar tu vídeo al respecto 1159 00:56:39,840 --> 00:56:41,280 Pues realmente 1160 00:56:41,280 --> 00:56:43,719 no había ninguna prohibición al respecto 1161 00:56:43,719 --> 00:56:46,199 pero sí que es verdad que hay ataques muy chulos con inteligencia artificial 1162 00:56:46,199 --> 00:56:47,800 el típico CAPTCHA 1163 00:56:47,800 --> 00:56:49,340 de cuando tienes que validar un login 1164 00:56:49,340 --> 00:56:51,179 que te dice haz clic aquí y ahora pincha 1165 00:56:51,179 --> 00:56:53,420 en las cuatro imágenes que tengan un pájaro 1166 00:56:53,420 --> 00:56:55,539 pues tú te lo puedes intentar saltar 1167 00:56:55,539 --> 00:56:57,280 de manera modo hacker 1168 00:56:57,280 --> 00:56:58,820 de toco aquí, toco aquí, toco aquí 1169 00:56:58,820 --> 00:57:01,400 pero luego también había ataques muy chulos con inteligencia artificial 1170 00:57:01,400 --> 00:57:02,960 cuando entrenas una IA 1171 00:57:02,960 --> 00:57:05,159 en concreto para este CAPTCHA 1172 00:57:05,159 --> 00:57:07,460 no cuando es el CAPTCHA de Google, por ejemplo del Gmail 1173 00:57:07,460 --> 00:57:12,300 sino un captcha que ha hecho la empresa propia para ellos, pues también aceptaban vulnerabilidades de este tipo. 1174 00:57:12,659 --> 00:57:20,539 Y luego concretamente con uno de los clientes, con Adobe, que al final toda la parte de Photoshop, de Adobe Design, 1175 00:57:20,920 --> 00:57:25,260 tienen mucha parte de IA también que meten ahí, que usan mucho la inteligencia artificial, 1176 00:57:25,619 --> 00:57:30,199 pues cómo conseguir que la IA te genere imágenes que no debería generar, que ellos tienen un documento de política, 1177 00:57:30,320 --> 00:57:36,719 de oye, no generamos imágenes ofensivas, no generamos imágenes que puedan resultar contenido para menores de X años. 1178 00:57:36,719 --> 00:57:38,500 cuando consigues generar ese contenido 1179 00:57:38,500 --> 00:57:40,059 con su propia IAS 1180 00:57:40,059 --> 00:57:42,559 no es que te esté haciendo datos de personas 1181 00:57:42,559 --> 00:57:44,400 pero engañado a tu IAS para que haga 1182 00:57:44,400 --> 00:57:46,659 lo que se supone que tú dices que no hace 1183 00:57:46,659 --> 00:57:48,500 entonces ahí, luego realmente 1184 00:57:48,500 --> 00:57:50,219 a la hora de atacar no era tan 1185 00:57:50,219 --> 00:57:52,719 no se usa tanto por ahora, está empezando a entrar en auge 1186 00:57:52,719 --> 00:57:54,579 y sí que se nota mucha especialización 1187 00:57:54,579 --> 00:57:56,320 en el sector de gente que cada vez 1188 00:57:56,320 --> 00:57:58,440 entrenando IAS para que hagan 1189 00:57:58,440 --> 00:58:00,360 la labor que hacemos ahora los consultores 1190 00:58:00,360 --> 00:58:02,519 pero por ahora en el mundial no llegó tan 1191 00:58:02,519 --> 00:58:03,639 por lo menos en el equipo de España 1192 00:58:03,639 --> 00:58:13,340 Antiguamente INCIBE 1193 00:58:13,340 --> 00:58:14,519 seguía esperando hasta 1194 00:58:14,519 --> 00:58:16,300 por los siglos de los siglos 1195 00:58:16,300 --> 00:58:18,619 hasta que el fabricante decidiese solucionarlo 1196 00:58:18,619 --> 00:58:20,900 muchas veces al final son empresas que pueden 1197 00:58:20,900 --> 00:58:22,719 quebrar, puede que la empresa ya no exista 1198 00:58:22,719 --> 00:58:25,099 que ya no fabriquen ese producto, que ya no le quieran 1199 00:58:25,099 --> 00:58:27,239 dar soporte porque Windows XP 1200 00:58:27,239 --> 00:58:28,900 a día de hoy ya no se da soporte 1201 00:58:28,900 --> 00:58:30,780 entonces que más me da que me saques una vulnerabilidad 1202 00:58:30,780 --> 00:58:32,860 que nadie conocía, que no la voy a arreglar aunque pasen 1203 00:58:32,860 --> 00:58:35,119 tres meses, pero es un poco como el tiempo de gracia 1204 00:58:35,119 --> 00:58:36,980 que te dan, oye, en caso de que lo quieras 1205 00:58:36,980 --> 00:58:38,820 arreglar, tienes este tiempo 1206 00:58:38,820 --> 00:58:40,260 y en caso de que lo quieras notificar 1207 00:58:40,260 --> 00:58:43,000 y no lo notificas, se hace pública la vulnerabilidad 1208 00:58:43,000 --> 00:58:44,980 se hace pública en cierto 1209 00:58:44,980 --> 00:58:46,639 modo, es decir, NIST cuando 1210 00:58:46,639 --> 00:58:48,719 NIST o INCIBE, ellos dicen 1211 00:58:48,719 --> 00:58:50,980 se ha encontrado una vulnerabilidad pública en este 1212 00:58:50,980 --> 00:58:53,000 servicio que afecta a esta versión 1213 00:58:53,000 --> 00:58:55,139 y que permite robar 1214 00:58:55,139 --> 00:58:56,820 datos de usuarios, pero no te dicen 1215 00:58:56,820 --> 00:58:58,940 cómo ni cómo se hace, entonces muchas veces 1216 00:58:58,940 --> 00:59:01,179 sale antes el nombre de la vulnerabilidad 1217 00:59:01,179 --> 00:59:02,780 que la prueba de concepto de cómo se hace 1218 00:59:02,780 --> 00:59:19,659 Y entonces luego hay muchos investigadores diciendo, ah, si ya me has dicho que me puedo colar por la ventana, voy a intentar colarme por la ventana. Pero la prueba de concepto no se suele hacer pública, un poco por respecto a los investigadores. En este caso, lo de las cámaras que comentábamos, sí que lo hicieron público ellos y está la prueba publicada en internet. 1219 00:59:19,659 --> 00:59:37,019 Sin embargo, el otro CV que tenemos publicado que afecta al software, este nuevo GLPI que comentaba, lo remediaron, pero todo quedó en, hay una vulnerabilidad que permite hacer esto, pero no te voy a decir cómo, por la seguridad de la gente que utiliza este software, por no dar pista a los malos. 1220 00:59:37,159 --> 00:59:41,539 Tampoco se trata aquí de, como investigador, ponerle más fácil el camino al que quiera hacer daño. 1221 00:59:41,539 --> 01:00:08,280 Claro, aquí me estás preguntando 1222 01:00:08,280 --> 01:00:09,360 si es mejor Apple o Android 1223 01:00:09,360 --> 01:00:18,170 Al final, o apelo a Microsoft, depende mucho del sistema. 1224 01:00:18,369 --> 01:00:23,130 A mí, por ejemplo, me gusta pensar que los cifrados, los cifrados son de open source, 1225 01:00:23,289 --> 01:00:27,650 el SHA-512, cuando tú cifras un documento, todos los bloques que se hacen, todo tal, 1226 01:00:27,929 --> 01:00:33,030 eso es código abierto. Realmente, volvemos a la filosofía del book bounty, 1227 01:00:33,170 --> 01:00:38,289 que es mejor 100 personas auditando algo o la persona de la empresa privada auditándose a sí mismo. 1228 01:00:38,289 --> 01:00:41,150 hombre, es más fácil encontrar una vulnerabilidad 1229 01:00:41,150 --> 01:00:42,829 cuando lees el código, a mí me gusta mucho 1230 01:00:42,829 --> 01:00:44,809 también me lo están poniendo fácil 1231 01:00:44,809 --> 01:00:46,829 entre comillas, pero gracias a que me lo ponen 1232 01:00:46,829 --> 01:00:48,809 fácil a mí y a otros 800 más 1233 01:00:48,809 --> 01:00:50,449 es mucho más fácil encontrar 1234 01:00:50,449 --> 01:00:52,730 vulnerabilidades y se siguen encontrando 1235 01:00:52,730 --> 01:00:55,070 realmente hay mucho código abierto 1236 01:00:55,070 --> 01:00:56,389 código abierto de Adobe 1237 01:00:56,389 --> 01:00:58,789 código abierto de Tinder, que aunque es una empresa 1238 01:00:58,789 --> 01:01:00,889 privada pues tiene mucha parte de su código open source 1239 01:01:00,889 --> 01:01:02,730 código abierto de Tesla 1240 01:01:02,730 --> 01:01:04,750 o sea, mucha gente tiene su código 1241 01:01:04,750 --> 01:01:06,389 abierto pero precisamente por eso, porque 1242 01:01:06,389 --> 01:01:08,610 no esconden, aparte que hay mucha 1243 01:01:08,610 --> 01:01:10,710 transparencia de que yo no sé lo que hace Apple con mis datos 1244 01:01:10,710 --> 01:01:12,650 por detrás, a pesar de ser usuario 1245 01:01:12,650 --> 01:01:14,750 de Apple y que me dé igual, ¿no? Pero no sabes 1246 01:01:14,750 --> 01:01:16,650 lo que hacen con la información. Microsoft sí, sí que 1247 01:01:16,650 --> 01:01:18,530 tienes una garantía de, sé lo que está pasando 1248 01:01:18,530 --> 01:01:20,829 por aquí. Entonces a mí personalmente, a título personal 1249 01:01:20,829 --> 01:01:22,409 me parece mucho mejor el open source 1250 01:01:22,409 --> 01:01:24,809 en el sentido de que puedes entender qué está pasando 1251 01:01:24,809 --> 01:01:26,849 ahí y te aseguras de que no hay vulnerabilidades 1252 01:01:26,849 --> 01:01:28,210 y cuando se encuentra una vulnerabilidad 1253 01:01:28,210 --> 01:01:30,590 sabes que hay una comunidad, un equipo de desarrollo 1254 01:01:30,590 --> 01:01:32,690 que lo está remediando. En el código 1255 01:01:32,690 --> 01:01:34,650 privado no sabes qué pasa ahí 1256 01:01:34,650 --> 01:01:36,250 no sabes si alguien ha encontrado algo, lo estás 1257 01:01:36,250 --> 01:01:38,469 explotando activamente y nadie está enterando 1258 01:01:38,469 --> 01:01:40,510 entonces es un poco ambigo 1259 01:01:40,510 --> 01:01:48,219 si enfrentáis en un campeonato 1260 01:01:48,219 --> 01:01:49,400 de estos a una empresa que 1261 01:01:49,400 --> 01:01:51,000 esta es la empresa 1262 01:01:51,000 --> 01:01:56,059 ¿cómo planteáis 1263 01:01:56,059 --> 01:01:56,579 los ataques? 1264 01:01:56,840 --> 01:01:59,940 ¿por hacer por fuerza bruta 1265 01:01:59,940 --> 01:02:01,159 hasta que encontráis algo? 1266 01:02:01,400 --> 01:02:03,599 ¿utilizáis herramientas que van descargando 1267 01:02:03,599 --> 01:02:04,619 ciertas cosas? 1268 01:02:05,619 --> 01:02:08,019 ¿vais al servicio y analizáis 1269 01:02:08,019 --> 01:02:09,960 esos servicios si son de código abierto 1270 01:02:09,960 --> 01:02:11,920 para analizar el código, o sea, cómo enfoca 1271 01:02:11,920 --> 01:02:13,780 en nosotros el ataque 1272 01:02:13,780 --> 01:02:15,659 para luego ir 1273 01:02:15,659 --> 01:02:17,539 cerrando el foco 1274 01:02:17,539 --> 01:02:20,139 cada empresa 1275 01:02:20,139 --> 01:02:22,179 esto me encanta porque son las cosas 1276 01:02:22,179 --> 01:02:24,039 que no he comentado, que se me iban olvidando mientras hablo 1277 01:02:24,039 --> 01:02:25,980 porque me voy por los lares, las empresas 1278 01:02:25,980 --> 01:02:28,260 también tienen sus reglas del juego, no se trata 1279 01:02:28,260 --> 01:02:29,880 de, aquí tienes Adobe 1280 01:02:29,880 --> 01:02:32,159 atácalo, no, no, Adobe ya con sus reglas 1281 01:02:32,159 --> 01:02:34,079 del juego, que son distintas de las de 1282 01:02:34,079 --> 01:02:36,159 Tinder, de las de Metamask, de las de tal 1283 01:02:36,159 --> 01:02:38,320 y en base a esas reglas del juego tú eliges 1284 01:02:38,320 --> 01:02:39,639 si jugar o no jugar 1285 01:02:39,639 --> 01:02:41,199 Me explico, ¿no? 1286 01:02:41,199 --> 01:02:43,300 La primera cosa que se llama un scope 1287 01:02:43,300 --> 01:02:44,380 Es decir, si tienes un scope 1288 01:02:44,380 --> 01:02:45,719 Es toda la huella, ¿no? 1289 01:02:45,840 --> 01:02:48,480 Es tabla de concreta o un subdominio 1290 01:02:48,480 --> 01:02:49,960 Y también matizado, ¿no? 1291 01:02:49,960 --> 01:02:51,300 Puede llegar una empresa y decirte 1292 01:02:51,300 --> 01:02:52,619 Hola, soy Facebook 1293 01:02:52,619 --> 01:02:54,800 Todo, lo que encuentres, cualquier cosa 1294 01:02:54,800 --> 01:02:57,619 Pero más allá de facebook.com 1295 01:02:57,619 --> 01:02:58,960 Mira, es que hemos adquirido hace poco 1296 01:02:58,960 --> 01:03:01,059 Una empresa de marketing 1297 01:03:01,059 --> 01:03:02,539 Que nos hace las publicaciones 1298 01:03:02,539 --> 01:03:05,199 Está en scope, bueno, publican el nombre de Facebook 1299 01:03:05,199 --> 01:03:06,739 También entra dentro del alcance, ¿no? 1300 01:03:06,739 --> 01:03:08,460 Un poco cada uno con sus reglas del juego 1301 01:03:08,460 --> 01:03:10,619 igual llega luego, por ejemplo, Tinder y te dice 1302 01:03:10,619 --> 01:03:12,599 mira, mi scope solo es mi aplicación móvil 1303 01:03:12,599 --> 01:03:14,559 ya, pero es que tienes una web y tienes un blog 1304 01:03:14,559 --> 01:03:16,559 ya, pero es que el blog, me da igual 1305 01:03:16,559 --> 01:03:18,739 yo quiero que me saques vulnerabilidades en la web 1306 01:03:18,739 --> 01:03:20,440 entonces ellos te dan sus reglas del juego 1307 01:03:20,440 --> 01:03:22,440 y te dicen también que es lo que no puedes hacer 1308 01:03:22,440 --> 01:03:24,300 entonces fuerza bruta y denegaciones de servicio 1309 01:03:24,300 --> 01:03:26,460 súper prohibidas, ¿no? y todo aquello que pueda 1310 01:03:26,460 --> 01:03:27,880 afectar a datos de usuarios, prohibido 1311 01:03:27,880 --> 01:03:30,559 no, pero mira, es que le cambia el correo electrónico 1312 01:03:30,559 --> 01:03:32,460 a todos los usuarios de tu plataforma, ya, pues 1313 01:03:32,460 --> 01:03:34,579 te voy a denunciar, eso te he dicho que no se puede 1314 01:03:34,579 --> 01:03:36,619 hacer, ¿no? o sea, todo aquello que afecte 1315 01:03:36,619 --> 01:03:38,300 a usuarios, que quieres 1316 01:03:38,300 --> 01:03:40,659 claro, que quieres jugar a cambiar correos 1317 01:03:40,659 --> 01:03:42,179 créate dos cuentas 1318 01:03:42,179 --> 01:03:43,460 y juegas con esas dos 1319 01:03:43,460 --> 01:03:45,739 ellos te dicen como las reglas del juego 1320 01:03:45,739 --> 01:03:48,300 y como afianzas luego que quieres hacer y que no 1321 01:03:48,300 --> 01:03:50,320 para atacar 1322 01:03:50,320 --> 01:03:52,760 algo como hacker, el primer paso es entenderlo 1323 01:03:52,760 --> 01:03:54,300 o sea, nosotros muchas veces 1324 01:03:54,300 --> 01:03:56,340 me gusta decir, cuando alguien me pregunta 1325 01:03:56,340 --> 01:03:57,559 oye, ¿cómo empiezo en ciberseguridad? 1326 01:03:58,039 --> 01:04:00,460 pasa antes por sistemas, pasa por ser programador 1327 01:04:00,460 --> 01:04:02,360 pasa antes por tal, porque si tú no entiendes 1328 01:04:02,360 --> 01:04:03,659 lo que hay detrás, no lo vas a poder romper 1329 01:04:03,659 --> 01:04:06,659 mi ejemplo de la casa de ¿cómo rompo una ventana? 1330 01:04:06,900 --> 01:04:07,320 vale, pues 1331 01:04:07,320 --> 01:04:09,420 monta una ventana 1332 01:04:09,420 --> 01:04:11,360 cómo se aseguran los marcos, cómo son 1333 01:04:11,360 --> 01:04:13,420 las bisagras, los cierres, entonces aquí en 1334 01:04:13,420 --> 01:04:15,599 ciberseguridad pasa un poquito lo mismo, cómo me cuelo 1335 01:04:15,599 --> 01:04:17,780 en tal, programa un poquito 1336 01:04:17,780 --> 01:04:19,639 y en base a eso, cada uno 1337 01:04:19,639 --> 01:04:21,800 elige en base a con lo que se siente más cómodo 1338 01:04:21,800 --> 01:04:23,780 por ejemplo, una aplicación como Tinder 1339 01:04:23,780 --> 01:04:25,559 no deja de ser un portal de inicio 1340 01:04:25,559 --> 01:04:27,559 de sesión, lo pongo mucho como ejemplo porque al final 1341 01:04:27,559 --> 01:04:28,340 salió en el mundial 1342 01:04:28,340 --> 01:04:31,739 es un portal de inicio de sesión con un funcionamiento 1343 01:04:31,739 --> 01:04:33,760 muy sencillo, like o no like 1344 01:04:33,760 --> 01:04:35,579 match o no match, personas 1345 01:04:35,579 --> 01:04:37,780 que interaccionan mensajes, chats de conversaciones 1346 01:04:37,780 --> 01:04:39,340 las vulnerabilidades 1347 01:04:39,340 --> 01:04:41,599 son muy sencillas, acceder a datos 1348 01:04:41,599 --> 01:04:43,340 de usuarios, conseguir modificar 1349 01:04:43,340 --> 01:04:45,320 conversaciones, borrar conversaciones 1350 01:04:45,320 --> 01:04:47,599 de otros, muy sencillo, sin embargo 1351 01:04:47,599 --> 01:04:49,519 quizás si te hablo de Metamask 1352 01:04:49,519 --> 01:04:51,059 como plataforma de criptomonedas 1353 01:04:51,059 --> 01:04:52,900 ¿qué vulnerabilidades hay ahí? no lo sé 1354 01:04:52,900 --> 01:04:55,699 quizás el core del negocio es más difícil 1355 01:04:55,699 --> 01:04:57,320 de entender, si por ejemplo 1356 01:04:57,320 --> 01:04:59,599 cogemos una empresa española, bueno no es española 1357 01:04:59,599 --> 01:05:01,360 pero con mucha presencia en España 1358 01:05:01,360 --> 01:05:03,059 como Ikea, que vende muebles 1359 01:05:03,059 --> 01:05:05,219 es un core de negocio muy sencillo 1360 01:05:05,219 --> 01:05:07,460 muebles que se venden, gente que compra muebles 1361 01:05:07,460 --> 01:05:09,400 atacarlo es sencillo en el sentido 1362 01:05:09,400 --> 01:05:10,719 de entender muy bien que están haciendo 1363 01:05:10,719 --> 01:05:12,719 ya tienes un poco el 50% ganado 1364 01:05:12,719 --> 01:05:14,719 que sabes como tal 1365 01:05:14,719 --> 01:05:17,340 nos pasaba un poco lo mismo, oye de aquí del equipo 1366 01:05:17,340 --> 01:05:19,179 de España, ¿quién se ha pegado con criptomonedas? 1367 01:05:19,480 --> 01:05:21,300 uno, vale, pues tú eres el que si quieres 1368 01:05:21,300 --> 01:05:23,239 puedes atacar la página de criptos, yo no sé 1369 01:05:23,239 --> 01:05:24,380 ni cómo se compra un bitcoin 1370 01:05:24,380 --> 01:05:27,360 ¿quién soy yo para intentar atacar esto? 1371 01:05:27,639 --> 01:05:29,659 si me hablan de wallet, si me hablan de 1372 01:05:29,659 --> 01:05:31,619 tal y que es esto 1373 01:05:31,619 --> 01:05:32,699 no sé si un poco si 1374 01:05:32,699 --> 01:05:36,500 más cosillas por aquí 1375 01:05:36,500 --> 01:05:55,699 Yo sé que cuando contratas una auditoría, te pueden dar nada de información, algo de información o prácticamente todo y ya tú en base a ahí descubres o no descubres. 1376 01:05:56,340 --> 01:05:59,659 ¿Vosotros qué tipo de información han dado? 1377 01:05:59,659 --> 01:06:01,920 caja gris. Claro, en este caso 1378 01:06:01,920 --> 01:06:03,900 lo que comentas, caja negra cuando 1379 01:06:03,900 --> 01:06:05,960 vas sin nada, caja gris 1380 01:06:05,960 --> 01:06:08,119 cuando aquí tienes un usuario para acceder y caja blanca 1381 01:06:08,119 --> 01:06:10,059 cuando aquí tienes todo el código fuente y tal 1382 01:06:10,059 --> 01:06:11,400 caja blanca nunca, en ningún caso 1383 01:06:11,400 --> 01:06:13,280 porque lo que se busca, o sea 1384 01:06:13,280 --> 01:06:16,019 ¿de qué sirve engañarte si yo te doy acceso 1385 01:06:16,019 --> 01:06:18,139 a todo y tal? No, no, tú estás buscando 1386 01:06:18,139 --> 01:06:19,980 ser un atacante externo, no, nadie nos 1387 01:06:19,980 --> 01:06:21,659 daba un correo 1388 01:06:21,659 --> 01:06:23,280 o un tal, no, lo que buscas es 1389 01:06:23,280 --> 01:06:25,360 el máximo impacto que podría simular 1390 01:06:25,360 --> 01:06:27,400 o sea nosotros, un poco lo que digo yo 1391 01:06:27,400 --> 01:06:29,460 jugar a ser ese chino que está atacando 1392 01:06:29,460 --> 01:06:32,360 jugar a ser ese ruso que quiere ir contra tu sistema 1393 01:06:32,360 --> 01:06:34,519 jugar a ser ese actor malicioso que quiere ir a por ti 1394 01:06:34,519 --> 01:06:36,000 entonces no te daban nada 1395 01:06:36,000 --> 01:06:38,880 sí que es verdad que había algunas funcionalidades que te dan facilidades 1396 01:06:38,880 --> 01:06:43,400 por ejemplo, suscripción de la versión premium de Adobe 1397 01:06:43,400 --> 01:06:46,420 nos la daban gratis para poder probarla y poder auditarla 1398 01:06:46,420 --> 01:06:47,900 como simulando que la habías comprado 1399 01:06:47,900 --> 01:06:51,059 pero te daban un usuario que pudiese tener eso 1400 01:06:51,059 --> 01:06:54,059 otra vez, vuelvo al burro de Tinder 1401 01:06:54,059 --> 01:06:56,519 usuarios premium que pueden hacer un montón de cosas 1402 01:06:56,519 --> 01:06:58,920 también nos los daban para poder buscar vulnerabilidades 1403 01:06:58,920 --> 01:07:01,679 pero nunca nada que una persona no pueda adquirir 1404 01:07:01,679 --> 01:07:03,659 si nos daban algo, era algo que costaba dinero 1405 01:07:03,659 --> 01:07:05,659 pues para que encima, ya que nos hackean 1406 01:07:05,659 --> 01:07:08,079 pues que no tengan que perder dinero 1407 01:07:08,079 --> 01:07:09,679 un poco lo que pasa también en las auditorías 1408 01:07:09,679 --> 01:07:12,079 pues que te dan usuarios con más privilegios o con menos 1409 01:07:12,079 --> 01:07:13,980 pero lo mismo, las reglas del juego 1410 01:07:13,980 --> 01:07:15,760 que comentábamos, cada empresa con sus reglas 1411 01:07:15,760 --> 01:07:17,400 había alguno que quería, no, oye 1412 01:07:17,400 --> 01:07:19,280 yo lo que el usuario quiera hacer 1413 01:07:19,280 --> 01:07:20,800 no te voy a dar ninguna facilidad 1414 01:07:20,800 --> 01:07:22,920 y otros sin embargo, pues que sí que te daban 1415 01:07:22,920 --> 01:07:25,780 y cada uno juega como quiera 1416 01:07:25,780 --> 01:07:28,340 comprar a los hackers para que tengan más facilidades 1417 01:07:28,340 --> 01:07:42,510 Realmente todo es web y móvil al final 1418 01:07:42,510 --> 01:07:44,650 porque puede móvil, servidor, pero nunca tienes 1419 01:07:44,650 --> 01:07:46,650 un acceso a una red interna, porque todo es 1420 01:07:46,650 --> 01:07:48,510 desde fuera, cuando te cuelas en red interna 1421 01:07:48,510 --> 01:07:50,510 reportas y cobras mucho dinero, pero 1422 01:07:50,510 --> 01:07:52,429 todo es desde la parte web 1423 01:07:52,429 --> 01:07:54,829 al final son sitios que están tan trillados 1424 01:07:54,829 --> 01:07:56,590 que es muy difícil que encuentres un 1425 01:07:56,590 --> 01:07:58,610 cross-site, siempre tienen un WAF delante 1426 01:07:58,610 --> 01:08:02,030 siempre hay un montón de protecciones 1427 01:08:02,030 --> 01:08:05,389 por tanto lo que más se encuentra son fallos de lógica de negocio 1428 01:08:05,389 --> 01:08:08,949 es decir, este botón que no debería hacer esto y me permite hacer esto otro 1429 01:08:08,949 --> 01:08:11,789 esta vulnerabilidad que la junto con esta otra 1430 01:08:11,789 --> 01:08:14,250 y me permite robar datos de clientes 1431 01:08:14,250 --> 01:08:17,029 mucho tema de IDOR, de acceso a datos de otras personas 1432 01:08:17,029 --> 01:08:19,409 pero todo muy pensando en la lógica del negocio 1433 01:08:19,409 --> 01:08:21,970 entender muy bien el core y conseguir darle una vuelta 1434 01:08:21,970 --> 01:08:25,909 de si esto me devuelve este documento a ver si lo cambio y accedo a otro 1435 01:08:25,909 --> 01:08:28,649 que tienen nombre las vulnerabilidades pero sobre todo 1436 01:08:28,649 --> 01:08:30,229 lógica de negocio 1437 01:08:30,229 --> 01:08:31,930 de las con wasp 1438 01:08:31,930 --> 01:08:33,810 digamos saldrían de las primeras 1439 01:08:33,810 --> 01:08:36,590 porque está tan trillado que ni siquiera serían de las primeras 1440 01:08:36,590 --> 01:08:38,750 y serían un poco de las últimas 1441 01:08:38,750 --> 01:08:40,750 es que wasp incluye tantas cosas 1442 01:08:40,750 --> 01:08:42,329 al final lo coges y 1443 01:08:42,329 --> 01:08:43,250 te refiero a eso 1444 01:08:43,250 --> 01:08:46,289 de las comunes 1445 01:08:46,289 --> 01:08:48,210 no, está tan enrevesado 1446 01:08:48,210 --> 01:08:50,989 no, te entras siempre en las comunes 1447 01:08:50,989 --> 01:08:52,970 business logic, idors 1448 01:08:52,970 --> 01:08:54,789 access control, o sea es todo muy 1449 01:08:54,789 --> 01:08:55,890 dentro del marco de wasp 1450 01:08:55,909 --> 01:09:04,109 Realmente no 1451 01:09:04,109 --> 01:09:06,329 porque las empresas te piden que no lo hagas 1452 01:09:06,329 --> 01:09:07,789 oye, me he colado aquí ya 1453 01:09:07,789 --> 01:09:10,550 no sigas, si es que ya has demostrado que te has colado 1454 01:09:10,550 --> 01:09:12,149 otra cosa distinta es que te cueles 1455 01:09:12,149 --> 01:09:14,310 y puedas demostrar un poquito más de impacto 1456 01:09:14,310 --> 01:09:15,989 de decir, vale, pues me he colado como usuario 1457 01:09:15,989 --> 01:09:17,449 y además me he colado como administrador 1458 01:09:17,449 --> 01:09:20,229 vale, se permite, pero siempre te piden 1459 01:09:20,229 --> 01:09:22,529 que pares las pruebas, notifiques y pidas permiso para seguir 1460 01:09:22,529 --> 01:09:24,029 o sea, ellos ya valoran 1461 01:09:24,029 --> 01:09:26,149 internamente se analiza todo lo que se 1462 01:09:26,149 --> 01:09:27,989 podría haber llegado a hacer, oye es que 1463 01:09:27,989 --> 01:09:30,289 me he colado aquí y ya está, y ellos lo cogen 1464 01:09:30,289 --> 01:09:32,289 y dicen esto es medio, pero internamente 1465 01:09:32,289 --> 01:09:34,090 lo conseguimos que sea crítico 1466 01:09:34,090 --> 01:09:36,069 te lo vamos a pagar como crítico y te vamos a dar 1467 01:09:36,069 --> 01:09:38,010 los puntos de crítico, pero no es tu misión 1468 01:09:38,010 --> 01:09:38,710 hacerlo como tal 1469 01:09:38,710 --> 01:09:43,810 claro, pero ahí 1470 01:09:43,810 --> 01:09:46,170 ahí se corta esa fantasía 1471 01:09:46,170 --> 01:09:48,069 no se escapa 1472 01:09:48,069 --> 01:09:48,869 al este 1473 01:09:48,869 --> 01:09:51,329 pero al no entrar del todo 1474 01:09:51,329 --> 01:09:52,890 la seguridad no va a ser más débil 1475 01:09:52,890 --> 01:09:54,170 o contratan a otras empresas 1476 01:09:54,170 --> 01:09:57,409 en paralelo, o sea 1477 01:09:57,409 --> 01:09:57,930 claro 1478 01:09:57,930 --> 01:10:00,529 si consigues 1479 01:10:00,529 --> 01:10:02,989 el método ya te quedas ahí y no te dejas más 1480 01:10:02,989 --> 01:10:03,390 claro 1481 01:10:03,390 --> 01:10:06,170 contratarán a otras empresas 1482 01:10:06,170 --> 01:10:08,550 para internamente hacer auditorías 1483 01:10:08,550 --> 01:10:10,550 ese es el gran debate 1484 01:10:10,550 --> 01:10:12,710 que muchas veces nosotros también lo tenemos internamente 1485 01:10:12,710 --> 01:10:14,909 de que es mejor, ¿no? contratar a una consultora especializada 1486 01:10:14,909 --> 01:10:17,149 en ciberseguridad o tener un programa de HackerOne 1487 01:10:17,149 --> 01:10:19,149 porque en HackerOne podemos estar nosotros 1488 01:10:19,149 --> 01:10:21,630 pero también alguien que no tiene ni idea de ciberseguridad 1489 01:10:21,630 --> 01:10:23,390 y te da... 1490 01:10:23,390 --> 01:10:25,529 Claro, realmente es un complemento muy bueno y muy sano 1491 01:10:25,529 --> 01:10:27,630 en el cual profesionales de todo el mundo 1492 01:10:27,630 --> 01:10:29,869 te pueden habitar, pero luego gente especializada 1493 01:10:29,869 --> 01:10:32,069 que ha estudiado para esto y trabaja profesionalmente 1494 01:10:32,069 --> 01:10:33,609 en su día a día de esto, pues también 1495 01:10:33,609 --> 01:10:34,729 está trabajando contigo, ¿no? 1496 01:10:35,449 --> 01:10:37,390 Realmente eso en HackerOne, una vez que tú entras 1497 01:10:37,390 --> 01:10:39,710 demuestras una brecha de entrada, te quedas ahí 1498 01:10:39,710 --> 01:10:41,930 quizás un equipo, una consultoría de seguridad 1499 01:10:41,930 --> 01:10:43,909 con sus acuerdos de confidencialidad 1500 01:10:43,909 --> 01:10:45,529 y todo, pues ya sigan 1501 01:10:45,529 --> 01:10:46,869 un poco ahí explotando eso 1502 01:10:46,869 --> 01:10:48,050 pero tú te quedas ahí 1503 01:10:48,050 --> 01:10:50,149 si no te tiran de las orejas 1504 01:10:50,149 --> 01:10:53,470 ¿Vas a participar o alguien de la selección 1505 01:10:53,470 --> 01:10:54,949 va a participar en la Hatter Night 1506 01:10:54,949 --> 01:10:57,229 de Yogosa, de la Ruth, de la semana que viene? 1507 01:10:57,930 --> 01:10:59,010 Si no estamos todos 1508 01:10:59,010 --> 01:11:00,289 faltará uno o dos 1509 01:11:00,289 --> 01:11:02,029 por ahí estaremos 1510 01:11:02,029 --> 01:11:08,090 ¿Una pregunta más? 1511 01:11:08,829 --> 01:11:09,609 Bueno, solo una 1512 01:11:09,609 --> 01:11:10,890 de eso que has dicho tú 1513 01:11:10,890 --> 01:11:14,090 de que puedes llegar hasta aquí y ya no puedes entrar más 1514 01:11:14,090 --> 01:11:15,729 y aunque tú cuentas 1515 01:11:15,729 --> 01:11:17,109 que eres una empresa para eso 1516 01:11:17,109 --> 01:11:19,449 esto es un reptil, una cosa parecida 1517 01:11:19,449 --> 01:11:22,210 Claro, es un poco también cuando te contratan 1518 01:11:22,210 --> 01:11:23,350 las normas que tú pongas 1519 01:11:23,350 --> 01:11:25,850 si ya me has demostrado una vulnerabilidad crítica 1520 01:11:25,850 --> 01:11:27,310 no necesito que sigas haciendo sangre 1521 01:11:27,310 --> 01:11:30,130 eso ya sería un rectime y por qué 1522 01:11:30,130 --> 01:11:32,170 si no, si yo te contrato para que me ayudes a arreglar 1523 01:11:32,170 --> 01:11:34,270 los fallos, no necesito que me saquen 1524 01:11:34,270 --> 01:11:34,770 los colores 1525 01:11:34,770 --> 01:11:36,170 Pues un poco pues eso 1526 01:11:36,170 --> 01:11:42,619 Gracias a vosotros