Ciberjueves con EducaMadrid: La unión hace la fuerza, versión hacker - Camilo Andrés Bruna

Bueno, vamos a empezar la ciberseguridad de hoy, tenemos invitados especiales por ahí del público, 00:00:05

un alumno que nos ha reportado alguna incidencia de ciberseguridad en EducaMadrid 00:00:11

y por ese motivo hemos invitado a él y a una de sus profesoras, 00:00:17

y bueno, como ponente de hoy tenemos a Camilo Andrés, es ingeniero en telecomunicaciones por la Universidad Politécnica de Madrid, certificado en BSCP, 00:00:22

trabaja como analista 00:00:31

senior de seguridad 00:00:33

ofensiva dentro del grupo 00:00:36

ZeroLinks 00:00:37

que es a lo que le gustaría 00:00:38

trabajar Félix 00:00:41

cuenta con dos 00:00:44

CVE publicados 00:00:45

recientemente ha sido ganador 00:00:47

con el equipo de España en el mundial de 00:00:49

Book Banty del 2023 00:00:51

y la ponencia va sobre 00:00:53

los diferentes CVE que ha descubierto 00:00:55

como los ha descubierto así como el flujo 00:00:57

de notificación y publicación de los mismos 00:00:59

a través del INCIBE. Además, contará de primera mano su experiencia en el Mundial 00:01:01

de Book Bounty como uno de los ganadores de la selección española. Así que os dejo 00:01:07

con él. 00:01:11

Genial. Bueno, bueno, bueno. Genial, pues arrancamos. Si no se me ha escuchado algo 00:01:16

y me vengo muy abajo, pues me hacéis algún gesto o si me pongo muy técnico y no se entiende 00:01:23

nada, pues también por favor que me hagáis algún gesto por detrás, que la cámara no 00:01:28

lo graba, así que nos entendemos 00:01:31

todos. Bueno, lo primero 00:01:33

pues daros un poco las gracias por invitarnos 00:01:34

y por darnos esta oportunidad de compartir 00:01:37

esta vivencia que hemos tenido 00:01:39

yo personalmente y parte del equipo de ZeroLinks 00:01:40

pues con todos vosotros. La unión 00:01:43

hace la fuerza versión hacker, es un poco 00:01:44

el título de la ponencia y un poco en torno a lo que 00:01:46

iremos volviendo todo el rato, lo importante 00:01:49

pues que es la unión dentro de un campo 00:01:50

de la ciberseguridad que a veces parece que estamos en una cueva 00:01:52

metidos, que estamos ahí con nuestro ordenador 00:01:54

y que es un poco pues tú vas a piñón fijo 00:01:56

con tu... ¡Bua! Funciona, genial. 00:01:58

con tu ordenador. Ya me han presentado, pero bueno, voy a presentarme otra vez ya que hemos 00:02:01

puesto una presentación con emoticonos bonitos, ingeniero de telecomunicaciones por la Universidad 00:02:04

Politécnica de Madrid. Soy medio triatleta porque no se me da muy bien, pero bueno, me 00:02:08

gusta mucho, así que os lo cuento. Me gusta también mucho el ajedrez, por si luego para 00:02:13

tener un tema de conversación con vosotros. Ahí están mis redes sociales y luego mi 00:02:16

pasatiempo es romper páginas web. Por eso me pagan más o menos en mi día a día y básicamente 00:02:20

pues nada, romper cosas, que es un poco de lo que os quiero contar. El índice de hoy 00:02:25

un poco para esquematizar un poquito 00:02:30

de qué vamos a hablar. Primero 00:02:32

hablaremos de Book Bounty, un tema que igual 00:02:34

suena un poco a chino, no sabemos muy bien qué es eso. 00:02:35

Entraremos en profundidad con el mundo del Book Bounty. 00:02:38

Después le dirás, contaros un poquito 00:02:40

el Mundial de Hacking de 2023, que 00:02:42

estamos muy al oro del Mundial de Fútbol, 00:02:43

pero quizás el de Hacking nos suena un poco a 00:02:46

¿qué es esto que han montado? ¿qué es esto de que 00:02:48

hay un Mundial de Hackers? ¿cómo es esto? 00:02:50

Os animo un poco a que mientras voy hablando ahora 00:02:52

os lo imaginéis como diciendo 00:02:53

voy a intentar imaginarme cómo es un Mundial de Hackers 00:02:55

No sé, yo me los imagino allí todos hackeando metidos en una habitación y de repente un juez que salta, saca una bandera. 00:02:58

No sé, bueno, cada uno con su imaginación, libremente, que lo penséis como queráis. 00:03:03

Encontrar vulnerabilidades, algo que, como comentaba Adolfo, ha venido un estudiante que nos reporta vulnerabilidades. 00:03:09

Vale, vamos a intentar profundizar un poquito en cómo llega la vulnerabilidad de su cabeza a vuestros equipos. 00:03:15

También un poco entender ese flujo que luego creo que va a permitir un poquito más abordar mejor esos problemas de seguridad. 00:03:21

Después trataremos un poquito con Incibe, que creo que, vamos, por lo que hemos comentado en el desayuno, sí que tenéis una relación cercana con ellos, pero bueno, hablaremos un poquito también desde el punto de vista de cómo es desde la empresa privada, pues el trato con Incibe, que es quizás un poquito más complejo, ¿no? 00:03:27

Que cuando tenéis la suerte de poder trabajar con ellos, pues de mano a mano, ¿no? Y luego, pues en último lugar, hablaremos un poquito de la comunidad de ciberseguridad. 00:03:41

Vamos allá. Book bounty, que si lo traducimos al castellano sería algo como hacker a sueldo, ¿vale? No nos liemos con bug, fallo, bounty, recompensa. Hacker a sueldo que queda mucho más bonito y vende mucho mejor. ¿Qué es esto del book bounty? Book bounty consiste en yo hackeo algo, ahí me pagan por ello. 00:03:49

Oye, Camilo, ¿y cuál es la diferencia con tu trabajo del día de hoy, 00:04:06

que tú hackeas cosas y te pagan por ello? 00:04:08

La diferencia es que yo hackeo en mi día a día, laboralmente, en Zerolinks, 00:04:10

las empresas que me asignan, un cliente llega, paga una cantidad de dinero, 00:04:15

pues un poco como un servicio. 00:04:18

A ti te contratan, haces un servicio, reportas unas vulnerabilidades 00:04:20

y a cambio tú cobras cada mes tu nómina y ya está. 00:04:24

Book Bounty, sin embargo, es un poco todo lo contrario, es la filosofía del autónomo. 00:04:27

Tú encuentras una vulnerabilidad sin que nadie te pague por ello 00:04:32

y cuando la encuentras te pagan por ello. 00:04:34

Es un poco un modelo quizás de que tú puedes elegir a quién quieras hackear 00:04:37

y solo cobras si hackeas algo, lo cual también tiene el doble filo. 00:04:42

Puedes pensar que bien que me están pagando por hackear cosas 00:04:46

o puedes pensar que mal que llevas ocho horas delante del ordenador, 00:04:48

no has encontrado nada y no te van a pagar absolutamente nada. 00:04:51

Y esta noche en la cena la vas a pagar tú y estás perdiendo dinero. 00:04:54

Sin embargo, cuando trabajas en la empresa privada o donde sea, 00:04:57

cada mes encuentres lo que encuentres, vas a tener tu sueldo y ya está. 00:05:00

las empresas ofrecen recompensas económicas 00:05:04

a cambio de reportes de vulnerabilidades 00:05:07

hay que, una pequeña diferencia, no tanto 00:05:09

voy a intentar no meterme mucho en el 00:05:11

aspecto técnico, pero muchas veces 00:05:13

reportamos vulnerabilidades de seguridad 00:05:15

que quizás son buenas prácticas 00:05:17

que vuestras contraseñas tengan más de 00:05:19

7 caracteres, que vuestras contraseñas 00:05:21

las cambiéis periódicamente 00:05:24

que no apuntéis en post-it la contraseña 00:05:25

de acceso al servidor, que estoy seguro que nadie lo hace aquí 00:05:27

por supuesto, nosotros tampoco lo hacemos 00:05:29

en ZeroLinks, no pasa nada 00:05:31

todo ese tipo de guías de buenas prácticas 00:05:32

son vulnerabilidades 00:05:36

pero no implican un riesgo directo 00:05:37

para los usuarios de las plataformas 00:05:39

en Book Bounty sin embargo 00:05:42

lo que se busca es demostrar un impacto totalmente directo 00:05:43

oye mira me he colado y aquí tienes 00:05:46

acceso a todos los correos de los usuarios 00:05:47

mira si haces clic aquí 00:05:49

puedo robarte datos de un usuario 00:05:51

de dos usuarios, de cien, puedo modificar datos 00:05:54

de alumnos, se busca un poquito 00:05:55

como ese impacto 00:05:57

y demostrar que realmente esto supone 00:05:59

un impacto económico para la empresa 00:06:01

y por tanto merecemos 00:06:03

sin que se suba mucho el ego 00:06:04

ser recompensado por ello. 00:06:07

Este es un poco el modelo que se está empezando a poner de moda 00:06:09

ahora en el campo de la ciberseguridad y cada vez 00:06:11

más empresas están empezando a comercializar 00:06:13

este servicio. En vez de 00:06:15

contratarme una auditoría, pues yo te contrato 00:06:17

50 euros, 100 euros, 200 euros 00:06:19

por cada vulnerabilidad. Y aquí un poco 00:06:21

os planteo también como reflexión 00:06:23

interna y para el equipo de 00:06:25

seguridad, pues ¿qué preferimos? 00:06:27

Un analista durante 100 días 00:06:29

o 100 analistas durante un día. 00:06:31

Al final, tener una persona dedicada, 00:06:33

como tenéis aquí un equipo dedicado a seguridad, 00:06:34

te permite que esa persona conozca muy bien 00:06:37

cómo funciona todo por dentro. 00:06:39

Trabaje mano a mano con el equipo de sistemas, 00:06:41

pueda entender cómo funciona algo. 00:06:43

Oye, esta base de datos, 00:06:44

¿cómo se conecta con lo otro 00:06:46

y por qué al alumno no le llegan los correos 00:06:47

o por qué se ancoran el sistema? 00:06:49

Y tienes tiempo para solucionar todo. 00:06:50

Sin embargo, nosotros, 00:06:52

nosotros, como yo desde el punto de vista 00:06:54

de persona que hace Book Bounty, 00:06:56

sin embargo, lo que tengo son 00:06:58

Es muchas personas atacando ese servicio y estadísticamente quiero pensar o se piensa que van a tener más probabilidades de éxito o no, según un poco la complejidad del sistema, de encontrar vulnerabilidades. 00:07:00

¿Qué quiere decir esto? ¿Hay un sistema que sea mejor que el otro? ¿Deberíamos despedir automáticamente al responsable de seguridad que me está mirando con cara asesina y abrir aquí? 00:07:12

No, es algo que es muy complementario y es bueno que se estandarice y que ahora hablaremos un poquito de quién está estandarizando este servicio de tal modo que sea una sinergia. 00:07:21

la persona de seguridad que conoce muy bien todo el servicio y cómo funciona todo, 00:07:29

pero que haya gente que libremente pueda colaborar reportando fallos de seguridad, 00:07:33

como tenemos aquí una persona que libremente reporta vulnerabilidades 00:07:37

y colabora de la mano de los profesionales que trabajan en la casa solventando este tipo de vulnerabilidades. 00:07:41

Este modelo de auditoría, un poco as a service, como me gusta llamarlo, 00:07:48

no es que esté yo hablando de la frutería debajo de mi casa, que no tiene programa de Book Bounty, 00:07:53

sino empresas pues muy grandes, Microsoft, Google, Facebook, Tesla y sin ir más lejos pues porque quizás esto solo está al alcance de las empresas del sector privado, de las grandes multinacionales, también tenemos empresas españolas, también tenemos consultorías telefónicas españolas que tienen su programa aunque sea privado de Book Bounty y que tampoco podemos comentarlo pero también hay empresas españolas que están entrando en este mundillo y sin ir más lejos hace medio año más o menos la Generalitat de Cataluña pues pone en marcha también un programa de Book Bounty privado 00:07:58

invitaron solo a un colectivo de 20-30 hackers españoles 00:08:28

para que participasen de propio en su programa privado 00:08:31

de este modo ellos mantenían como entidad pública 00:08:34

sus trabajadores solventando las vulnerabilidades 00:08:38

pero luego en paralelo había un grupo de personas 00:08:40

que libremente en su tiempo libre, que esto es lo más importante 00:08:43

cuando tú trabajas en una empresa tienes tu horario 00:08:46

y fuera de ahí en teoría no hacemos nada 00:08:48

pero cuando te dedicas a este mundillo tú eliges tu horario 00:08:50

tú eres tu propio jefe y tú puedes elegir cuándo hackear 00:08:53

cuándo no hackear, cuándo trabajar y cuándo no 00:08:56

oye, tengo un sábado que estoy en casa sin hacer nada 00:08:58

te puedes poner a hacer esto, hoy tengo el día libre 00:09:00

lo mismo, tú eliges el tiempo que le quieres 00:09:02

dedicar 00:09:04

un poco en base, me meto un poco 00:09:05

en camisas de once varas 00:09:08

cuando las empresas te recompensan 00:09:10

económicamente, a ti te sube la motivación 00:09:12

porque además de las condiciones laborales 00:09:14

lo que nos motiva, pues la verdad, que es el dinero 00:09:16

cuando tú encuentras una vulnerabilidad y te dicen 00:09:18

toma, aquí tienes, me lo voy a inventar, 5.000 euros 00:09:20

con esos 5.000 euros se te pone 00:09:22

una sonrisa de oreja a oreja que se te sale 00:09:24

que vas al dentista, pues un poco funciona parecido 00:09:26

cuando encuentras vulnerabilidades 00:09:28

la empresa 00:09:30

por así decirlo, está contenta contigo 00:09:32

que son 2000 euros para cualquier empresa 00:09:34

nada, para ti es una alegría tremenda 00:09:36

y por tanto pues se crea ahí una relación 00:09:38

un vínculo, una relación de confianza entre la empresa 00:09:40

y el hacker a sueldo 00:09:42

de tal modo que colaboran entre ellos para seguir 00:09:44

encontrando vulnerabilidades 00:09:46

también bueno comentar así como me parece curioso 00:09:48

que el departamento de defensa de Estados Unidos 00:09:50

pues también tiene un programa que es Reconversa de Vulnerabilidades 00:09:52

se exponen a ofrecer dinero 00:09:54

a cambio de que la gente les pueda evitar 00:09:56

esto quizás puede parecer, ¿no? 00:09:58

alguno esté pensando, diciendo, hombre, si yo ofrezco 00:10:00

dinero porque me hackeen estadísticamente 00:10:02

aparte de los malos, también va a haber gente que me esté 00:10:04

atacando, entonces quizás no encuentro 00:10:06

yo los fallos, o alguien me podría 00:10:08

decir, ¿no? ¿y qué pasa si lo vendes en el mercado negro? 00:10:10

hombre, tú encuentras un fallo de seguridad 00:10:13

en el Departamento de Defensa de Estados Unidos 00:10:14

hay mucha gente interesada 00:10:16

en este tipo de información 00:10:18

clasificada, podría sacar mucho dinero 00:10:20

también podría sacar en la cárcel, muy posiblemente 00:10:22

De tal modo que esa recompensa económica siempre va por encima del interés personal de cada uno por venderlo en el mercado negro, exponerse a problemas legales porque no te hace falta, te están pagando económicamente por ello y te estás llevando una alegría de oreja a oreja con ese dinero. 00:10:24

Las recompensas económicas son muy variadas 00:10:41

Desde 50 euros 00:10:44

A 200.000 euros 00:10:46

Que es lo que yo he podido ver 00:10:47

En mi bolsillo desgraciadamente 00:10:50

Pero sí que lo he visto 00:10:52

Que se ha llegado a pagar 00:10:52

Al final, pensad un poco 00:10:54

Este ejercicio de 00:10:56

He conseguido la contraseña de un usuario 00:10:58

He podido entrar en su correo 00:11:00

Le decimos al usuario que la cambie 00:11:02

A ti te pagamos 50 euros 00:11:04

A ti te pagamos 50 o 100 euros 00:11:06

Y ya está 00:11:09

Y con esto, pues oye, win-win, los dos salimos ganando. 00:11:09

Resulta que soy una empresa que se dedica a las criptomonedas, 00:11:13

que están en alza, el Bitcoin acaba de subir y se ha multiplicado por mil. 00:11:16

Si encuentras un fallo de vulnerabilidad ahí, 00:11:19

¿qué son 200.000 euros para una empresa que factura miles de miles de millones de euros? 00:11:21

Pues al final no es nada, y el impacto que tú podrías llegar a ocasionar 00:11:26

vendiéndolo en el mercado negro, pues obviamente pone en riesgo 00:11:29

la infraestructura de la propia empresa. 00:11:33

Algo muy característico del mundo del Book Bounty, 00:11:36

Es que se premia al primero. 00:11:39

En este caso, un poco como me comentaban antes en el desayuno, 00:11:41

que hay gente que participa y os reporta vulnerabilidades. 00:11:45

En este caso, yo creo que si dos personas llegan con el mismo fallo, 00:11:48

que menos que darle las gracias a las dos. 00:11:51

No le vas a decir al último que ha llegado, me da igual, 00:11:53

porque entonces se va a ir y ya no te va a reportar más cosas. 00:11:56

En este mundo sí que te dan las gracias, 00:11:59

pero solo se recompensa económicamente al primero. 00:12:01

Eso tiene una ventaja, tiene muchas ventajas. 00:12:03

La primera es que no pierdes dinero, porque si no yo encuentro algo, 00:12:05

se lo cuento a mis amigos, todo el mundo dice la misma vulnerabilidad y todos nos hacemos ricos. 00:12:08

Pues para evitar ese paraíso, por así decirlo, solo se premia la primera persona que encuentra y reporta una vulnerabilidad. 00:12:12

En este caso, eso como comprenderéis, fomenta esa competitividad sana en la comunidad, 00:12:19

porque también puedes colaborar con personas, a mí esto me ha permitido, luego entraremos un poco más en detalle en eso, 00:12:26

Pero trabajar en equipo, la unión hace la fuerza de versión hacker, aquí es un poco donde se empieza a plasmar el título de la ponencia, pero pues trabajar con gente. Sin embargo, cuando trabajas individualmente, solo el primero obtiene esa recompensa económica, el más rápido en encontrar una vulnerabilidad. 00:12:32

si en este caso, pues imaginaros 00:12:46

la Comunidad de Madrid o EducaMadrid 00:12:48

lanzando un programa de Book Bounty donde la gente 00:12:50

pueda reportar vulnerabilidades 00:12:53

o me doy prisa, o me quitan las vulnerabilidades 00:12:54

o me doy prisa en, hemos sacado 00:12:56

un nuevo programa de ayuda para docentes 00:12:59

o soy el primero en auditar eso 00:13:00

o me van a quitar las vulnerabilidades, porque hay gente muy buena 00:13:02

y un poco, volviendo al hilo 00:13:05

un analista 00:13:06

100 días o 100 analistas en un día 00:13:08

hay 100 personas, cada uno pues con sus 00:13:10

talentos, pero todos muy buenos 00:13:13

y seguramente muchos mejores que yo 00:13:15

todos buscando vulnerabilidades 00:13:16

entonces quizás no es tanto ser el mejor sino ser el más rápido 00:13:18

en poder colaborar 00:13:21

y al final pues volvemos a lo de antes 00:13:22

un win-win en el que la empresa pues gana porque tiene 00:13:24

más seguridad y luego también pues el analista 00:13:26

que obtiene esa recompensa económica 00:13:29

un poco una vez 00:13:31

introducido todo lo que es el Book Bounty 00:13:32

que diremos ya que viene toda esta 00:13:34

historieta del Book Bounty es un poco para introducir 00:13:36

el mundial de hacking de 2023 00:13:38

que lo organiza la empresa HackerOne 00:13:40

que es una empresa que lo que hace es reunir 00:13:42

empresas que quieren participar en estos programas de Book Bounty. Es decir, toda aquella empresa 00:13:44

que quiere pagar por vulnerabilidades que la gente le reporte, lo puede hacer a título 00:13:49

personal, como la Generalitat de Cataluña, Google, Facebook, empresas grandes o pequeñas 00:13:53

pero quieren hacerlo particularmente, o pueden ir un poco dentro de este marco de HackerOne 00:13:59

que les ofrece una serie de beneficios, les da consejos, les da ayuda, etc. Este año 00:14:04

se les ocurrió la brillante idea 00:14:09

de montar la Ambassador World Cup 00:14:11

que es el mundial de hacking 00:14:13

le pusieron un nombre en inglés, como son ingleses 00:14:15

pues así parece que todo vende más 00:14:17

como las siglas de los puestos C 00:14:18

o Chief, no sé qué 00:14:21

no me meto en esos términos 00:14:22

mundial de bug bounty 00:14:25

¿en qué consiste esto? rescato la pregunta 00:14:27

que os hacía antes de 00:14:29

¿cómo pensáis que es un mundial de bug bounty? 00:14:30

que os imagináis a hackers ahí en su habitación 00:14:32

metidos, quedando en un café, club 00:14:35

metiendo ahí 5 euros en una máquina para tener internet 00:14:36

más o menos, en este caso 00:14:39

participamos 29 países 00:14:41

con equipos de hasta 30 personas 00:14:43

como yo creo que es bastante 00:14:44

complicado que 30 personas se junten 00:14:47

cada uno en su país para hacer algo 00:14:49

la verdad que sincronizarlo y encima la gente de ciberseguridad 00:14:50

que unos trabajan de madrugada y otros 00:14:53

trabajan a mediodía es muy complicado 00:14:55

en este caso la idea 00:14:57

que se buscaba era gamificar la búsqueda 00:14:59

de vulnerabilidades, conseguir que la gente trabaje en equipo 00:15:00

y centrar los esfuerzos 00:15:03

en encontrar vulnerabilidades 00:15:05

en determinadas empresas 00:15:06

Los premios económicos, obviamente, siempre eran la bandera de este mundial. 00:15:08

Yo hacía el ejercicio, ¿por qué me voy a meter en un mundial de hackers 00:15:15

donde se va a poner el foco en hackear esta empresa 00:15:19

y ya no van a estar los 100 hackers que comentaba en la diapositiva de antes? 00:15:21

Van a estar los 100 de cada país, todos ellos, hackeando lo mismo. 00:15:25

Me voy a la empresa de al lado que no está participando en el mundial 00:15:29

que no va a haber nadie mirándola. 00:15:32

Era un posible pensamiento que mucha gente siguió. 00:15:34

Sin embargo, pues aquí, aparte de poder ser campeón del mundo, ibas a poder tener unos premios económicos mucho más superiores que en el resto de empresas que participaban. 00:15:38

Y lo más importante, aquí están los mejores. Al final, los mejores de cada país eran los 30 que participaban en este mundial. 00:15:48

Quizás en España, pues 30 personas no es un número muy grande, pero a nivel de Estados Unidos, a nivel de países con mucha más población que nosotros, 00:15:57

30 personas son los 30 mejores 00:16:04

realmente pues es la élite 00:16:06

sí que pues tuvimos la suerte de ver 00:16:07

como gente de otros países pues había tenido 00:16:10

relaciones con la inteligencia 00:16:11

del propio país, si no es más lejos 00:16:13

uno de los equipos de la final con cierto 00:16:15

equipo de inteligencia detrás 00:16:17

que ahí ya lo dejamos para que 00:16:20

cada uno piense como quiera 00:16:21

este es un poco el once ideal 00:16:23

de España, dentro 00:16:25

de esos 30 hackers 00:16:27

11 de ellos viajaron a la final 00:16:29

que hubo en Argentina, una final 00:16:31

ya presencial, ahora sí que sí, hackers con su ordenador 00:16:33

ahí en un café, todos ellos hackeando 00:16:35

nos subieron ahí a un rascacielos súper chulo 00:16:37

y bueno, nada, yo soy el señor ese que tiene ahí 00:16:39

la barba y las gafas y el resto pues 00:16:41

los otros once de España 00:16:43

que bueno, si queréis que 00:16:45

alguno más venga otro día que hablaros 00:16:47

ahí os dejamos el contacto por si 00:16:49

por si tal 00:16:50

la verdad que una experiencia increíble 00:16:52

el poder, ya no solo tú estás 00:16:55

en tu casa con tu ordenador haciendo 00:16:57

Book Bounty y puedes colaborar con gente 00:16:59

que conoces, puedes colaborar con 00:17:01

el nick de no sé qué chat, el usuario 00:17:02

de Twitter que te pone un tweet 00:17:05

y tienes cierta simpatía con él 00:17:06

pero ahora ya trabajas con personas que conoces 00:17:08

que trabajas con ellos codo con codo 00:17:11

ya no es la misma experiencia que abrir una llamada 00:17:12

por Discord, abrir una llamada por Teams 00:17:15

abrir una llamada por el canal que sea 00:17:16

sino juntarte y realmente poner las cartas sobre la mesa 00:17:18

y trabajar en conjunto 00:17:21

el formato de la competición 00:17:22

un poco por contaros un poco la historia 00:17:25

del mundial que creo que no se conoce tanto 00:17:27

como el mundial de fútbol 00:17:28

tiene una duración de 8 meses, no es un mundial 00:17:30

al uso, como podría ser un mundial de fútbol, que en un mes nos hemos ventilado y nos hemos quedado sin fútbol 00:17:32

hasta el año siguiente. El objetivo, encontrar vulnerabilidades de alto impacto en clientes internacionales. 00:17:37

Luego entraremos un poquito más en detalle en ver quiénes son estos clientes y cómo puedes llegar a ser 00:17:42

uno de esos clientes. Al final se promueve la colaboración entre los integrantes del país. 00:17:47

Si tú te pones solo a auditar cualquiera de estas empresas, seguramente vuelvas por donde has venido, 00:17:52

Con una sonrisa más para abajo que para arriba. Sin embargo, cuando te unes en conjunto con tus compañeros es donde empieza a haber magia, es donde empieza a haber un poquito de frutos de trabajar en equipo, que es lo que al final nos ha llevado más a darnos cuenta de lo importante que es colaborar, trabajar en equipo y un poco estar unidos. 00:17:57

Al final, si yo soy un especialista en este tipo de vulnerabilidad, yo soy especialista en... 00:18:14

Y resulta que hay uno que es especialista en sistemas que no tienen nada que ver con ciberseguridad, 00:18:20

pero te abre los ojos de una manera que tú quizás no tenías y te da una perspectiva totalmente nueva 00:18:23

y eso hace que al final entre todos vayáis uniendo fuerzas y sumando fuerzas. 00:18:28

Al principio, en esta modalidad de competición, aquí tenemos la fase de grupos 00:18:35

y ya os digo que esto, poco más y había un sorteo como a nivel de fútbol. 00:18:40

Españita lo tenemos aquí en el grupo H junto con Bangladesh, Estados Unidos y nuestro querido Israel 00:18:45

que luego nos acompañó hasta la final del mundial. 00:18:51

Y un poco el formato de la competición consistía en dos semanas para hackear determinadas empresas, 00:18:54

reportar vulnerabilidades, ahora entraremos un poquito más en detalle qué es esto de las vulnerabilidades. 00:19:00

pasadas esas dos semanas se corregían, se daban los puntos, se valoraban las vulnerabilidades 00:19:05

y el país que más vulnerabilidades hubiese encontrado dentro de su grupo era el que pasaba. 00:19:11

No sé si más o menos me explico, quiero que quede más o menos claro, 00:19:16

pues entre Bangladesh, España, Estados Unidos y Israel, los dos países con más puntos son los que pasan de fase 00:19:20

y es un poco lo que veremos luego en todos los cruces, pues un poco la misma dinámica. 00:19:26

En cuartos de final, España contra Egipto. En realidad no era España contra Egipto, era España contra Egipto, en paralelo Estados Unidos contra Nepal, París contra Ariana y Singapur contra Israel. 00:19:31

Eran un poco esos cruces en paralelo donde todo el mundo estaba hackeando las mismas empresas. 00:19:43

Sin embargo, los puntos de España a nosotros no servían para pelearnos contra Egipto, pero en esa misma fase, con los mismos objetivos, estaba Israel pegándose con Singapur. 00:19:48

entonces en este caso era muy llamativo 00:19:57

ver que he encontrado una vulnerabilidad 00:20:00

pero ya la he encontrado otro antes 00:20:02

yo no me voy a llevar nada, no me llevo dinero 00:20:04

mi preocupación ya no es que yo no gane 00:20:06

sino que no esté ganando Egipto 00:20:08

que no lo haya encontrado Egipto 00:20:11

y no lo haya encontrado España 00:20:12

ya no era a título personal sino que era una competición 00:20:13

por países, éramos un equipo unido 00:20:16

y ya no es yo Camilo he encontrado esto 00:20:18

sino yo España hemos encontrado esto 00:20:20

en este mundial 00:20:21

la fase presencial fue la última 00:20:23

mano a la final donde acudimos pues Israel 00:20:26

Nepal no puedo asistir por temas 00:20:28

divisados y luego pues 00:20:30

los franceses y al 00:20:31

final nosotros teníamos varias motivaciones 00:20:34

la primera era que no nos ganase Francia 00:20:37

es 00:20:38

indispensable y luego la 00:20:41

segunda pues ya era ganar a Israel 00:20:42

parece que no pero 00:20:43

Israel pues tiene mucha cultura de ciberseguridad 00:20:45

tiene mucha fama de ciberseguridad 00:20:48

Pegasus pues todo esto viene de Israel 00:20:50

pues era un rival que realmente duro 00:20:52

y ya cuando llegan las fases finales 00:20:54

es donde es más importante colaborar en equipos. 00:20:56

¿Qué empresas hackeábamos? 00:21:00

¿Cuál era el target de este mundial de ciberseguridad? 00:21:01

He puesto aquí un poco los logos de las empresas, 00:21:05

como no puedo decir los nombres, 00:21:08

pues pongo los logos de las que participaron y ya está, 00:21:09

pero quizás algunas sí que son más conocidas, 00:21:12

como puede ser Epic Games, TikTok, Tinder, Adobe, 00:21:15

Mercado Libre, que es un poco como el Amazon de Latinoamérica, 00:21:18

está Metamask, una empresa de criptomonedas, Yahoo, 00:21:21

O sea, al final son empresas muy grandes, muy bien bastionadas, con mucha seguridad. Y llega un momento en el que nos podemos pensar, ¿no? Y quizás cuando hablábamos en el café del programa de Book Bounty, ¿no? Que podéis llegar a lanzar aquí internamente, yo pensaba y decía, pero realmente aquí hay vulnerabilidades porque es algo que está muy bastionado, hay gente trabajando 24 horas al día en la seguridad de la casa, o sea, ¿realmente es posible que haya vulnerabilidades en todos estos servicios? 00:21:24

y la respuesta es que sí porque igual que la tecnología avanza 00:21:49

también vosotros avanzáis y publicáis nuevos servicios 00:21:53

y entonces de repente una semana lanzáis una campaña 00:21:56

para que los alumnos se registren en no sé dónde 00:21:59

un canal para que los alumnos hagan etcétera 00:22:01

para que los profesores 00:22:03

entonces realmente podemos pensar que Tinder tiene muchísima seguridad 00:22:04

porque es una aplicación súper trillada 00:22:08

mucha gente quiere hackear los números de teléfono 00:22:10

de la persona con la que está intentando ligar 00:22:12

y realmente no paran de sacar funcionalidades 00:22:14

que son susceptibles de que podamos 00:22:17

pues aguitarlas y atacarlas 00:22:19

en esta 00:22:20

competición los puntos pues al final 00:22:22

como había que cuantificar 00:22:25

las vulnerabilidades, claro 00:22:26

aquí un poco volvemos a abrir el debate 00:22:29

que es más importante que yo consiga 00:22:31

comprarme cosas gratis en 00:22:33

mercado libre, un poco como si yo llego a Amazon 00:22:35

me compro la Playstation y ya está 00:22:37

y no me cobran nada 00:22:39

eso es más crítico que por ejemplo 00:22:41

no lo sé, me lo voy a inventar 00:22:43

En Tinder poder acceder a la información personal de cualquier perfil sin que me haya aceptado ni me haya dicho nada. 00:22:45

Son baremos que quizás uno puede pensar que una cosa es más crítica según la información personal de cada uno, la ley de protección de datos, 00:22:51

pero al otro lado estoy desprendiendo dinero, estoy consiguiendo cosas gratis. 00:22:58

Entonces para eso hay un sistema de puntos que luego contaremos un poquito más en detalle cómo funciona, 00:23:01

pero básicamente vulnerabilidades bajas, medias, altas o críticas. 00:23:05

Y eso había un comité de expertos que lo validaba. 00:23:09

De tal modo que una vulnerabilidad crítica te daba 12 puntos, 8, 4 y 2, que luego se me olvida. Sumabas los puntos y el país que más puntos tuviera era el que pasaba de ronda. Esto muy sencillito. De tal modo que al final nosotros entre España llegamos a hacer un desglose de 400 puntos en la final contra Israel, teniendo más puntos que ellos. 00:23:11

aquí he puesto tres capturas de pantalla 00:23:32

de nuestro grupo de Telegram con nuestros 00:23:34

nicks y todo, donde un poco quería 00:23:37

reflejar esa colaboración 00:23:39

que hemos tenido nosotros como equipo 00:23:41

al final uno diciendo, oye, yo creo que esto 00:23:42

funciona, puedes borrar 00:23:45

y crear cosas, esto creo que puede tener 00:23:47

impacto, pero sin una certeza, muchas veces 00:23:48

lo que nos pasa también en el día a día nosotros 00:23:51

en el trabajo, yo estoy haciendo 00:23:53

un proyecto, creo que tengo 00:23:54

algo que es súper interesante, se lo comento 00:23:56

al Dalai y me dice, mira, esto que has encontrado no tiene 00:23:59

ningún tipo de sentido porque esto es público. Los empleados ya tienen su correo puesto en internet 00:24:01

y que tú lo hayas encontrado no vale para nada. O cosas que tú crees 00:24:05

que no sirven para mucho y realmente has encontrado ahí un poco 00:24:09

la mina de oro, por así decirlo. Y aquí abajo hay una gráfica que ahora que lo veo 00:24:12

no se ve absolutamente nada, pero básicamente son los nombres 00:24:17

de nosotros, nuestros usuarios, cuando 00:24:20

colaborábamos entre nosotros. Entonces voy a destacar 00:24:24

que vulnerabilidades individuales había muy poquitas, 3, 4, 5, 00:24:28

sin embargo, más de 80 vulnerabilidades entre personas en conjunto, 00:24:33

no todos con todos al final, porque si juntamos a 10 personas, 00:24:36

trabajan 2 y miran 8, pero en grupetes de 2-3 personas, 00:24:40

pues muchas veces sí que era muy fácil, 00:24:44

oye, ¿quién le apetece estar hoy de 7 a 8 de la tarde mirando cosas? 00:24:45

Te conectabas y juntos, pues era cuando unías fuerzas 00:24:49

y de verdad salían los resultados. 00:24:53

Al final he hecho 400, 450 puntos en la final contra nuestros queridos amigos de Israel, que los pobres se fueron muy tristes. 00:24:55

Beneficios para las empresas. Voy a volver un momento aquí a esta diapositiva. 00:25:05

También os quería comentar que estas empresas que están aquí no es que fuesen especiales, no tienen un trato preferente, 00:25:10

no es que sean más guays que el resto y por eso no hayan estado, sino que ellos pidieron estar. 00:25:17

Esto desde el punto de vista comercial, que no tengo ni idea porque no soy comercial, soy hacker, 00:25:20

Pero creo que beneficia mucho a las empresas 00:25:25

Les da una visibilidad muy grande 00:25:27

Porque se exponen 00:25:28

Es verdad que tú te expones 00:25:31

Al final a nadie quiere que le rasquen las cosquillas 00:25:32

A nadie nos gusta que nos critiquen 00:25:35

Que nos saquen los defectos 00:25:36

Pero te va a permitir mejorar mucho tu seguridad 00:25:37

Y dar una imagen mucho más madura 00:25:41

Que las empresas que no están aquí 00:25:42

Pero es que la aplicación que rival de Tinder 00:25:44

No sé cuál es 00:25:47

No ha salido en este tipo de tal 00:25:48

Y no tiene vulnerabilidades 00:25:51

¿Cuál es más segura? 00:25:52

la que no sabe si auditan o la que sabes 00:25:54

que han auditado, que han encontrado vulnerabilidades 00:25:56

pero ya están arregladas, ahí me transmitemos 00:25:58

confianza, una empresa que apuesta por 00:26:00

la seguridad, que apuesta por la ciberseguridad 00:26:02

y que realmente invierte dinero en eso 00:26:04

¿cuántas veces encontramos 00:26:06

empresas que, y el equipo de seguridad 00:26:08

no, es el mismo que el de sistemas, bueno 00:26:10

sistemas hace una labor que es 00:26:12

indispensable, pero también el equipo de seguridad 00:26:14

que se dedica a fastidiar el trabajo de sistemas 00:26:16

pues también es muy necesaria 00:26:18

bueno, más o menos 00:26:19

Al final, en toda la competición, entre todos los 29 países, la fase de grupos, octavos, cuartos, semifinal y final, 800 reportes de vulnerabilidades, un 25% de ellas vulnerabilidades críticas o altas. 00:26:23

Vulnerabilidades críticas, acceder a un servidor, poder modificar datos masivos de clientes, acceder a información confidencial de muchos usuarios, por hacer un poco el símil, 00:26:38

¿qué pasaría si yo desde mi casa puedo acceder a las notas de los alumnos de los colegios? 00:26:48

¿Qué pasaría si puedo acceder al correo personal de, ya no solo de profesores, 00:26:52

sino también de empleados de aquí de la casa? 00:26:56

Pues este tipo de vulnerabilidades forman un poco el foco de este tipo de competiciones. 00:26:58

Al final, gracias a este sistema de puntos, dos puntos una vulnerabilidad baja, 00:27:03

doce puntos una vulnerabilidad crítica, ¿dónde invierto mis esfuerzos? 00:27:08

¿Invierto una hora en una baja o invierto seis horas en una vulnerabilidad crítica? 00:27:12

y esto viene un poco también de la mano de 00:27:16

la recompensa económica, 1.700.000 euros 00:27:18

pagados en vulnerabilidades 00:27:20

es mucho dinero 00:27:22

y eso al final está repartido 00:27:24

entre todos estos países 00:27:26

cuantas más rondas pasabas 00:27:28

más dinero ibas consiguiendo dentro de tu equipo 00:27:29

nosotros a nivel 00:27:32

que se me pasan solas 00:27:33

nosotros a nivel de 00:27:34

nosotros como España 00:27:36

tuvimos un momento muy bonito 00:27:39

en el que entre unos cuantos compañeros 00:27:41

encontramos una vulnerabilidad de 60.000 euros 00:27:43

que al final son vulnerabilidades muy gordas 00:27:45

que ponen en riesgo el core 00:27:48

de las empresas 00:27:49

y los recompensan pues como tal 00:27:51

con el dinero que se merece 00:27:54

ya que les has ayudado, les has solventado 00:27:55

mejor dicho, pues un problema que no les costaría 00:27:58

60.000 euros, sino seguramente pues cientos de miles 00:27:59

de euros 00:28:02

cerrando esta parte 00:28:03

del mundial de hacking 00:28:05

y pasamos a otro tercio 00:28:08

totalmente distinto, luego si 00:28:10

alguien quiere comentar con un café 00:28:12

o un ajedrez o un triángulo en cualquier cosa del mundial, pues genial, más que bienvenido. 00:28:13

Vamos a pasar a otro punto, que es cuando encuentras vulnerabilidades y vas un poco en busca de un CVE. 00:28:18

Entonces, ¿qué es esto de un CVE? Que puede sonar un poco a chino, estas tres siglas, 00:28:25

yo que antes criticaba las siglas de los CISOs y los CEOS y todo esto, pues esto es parecido. 00:28:29

Common Vulnerability Exposure es al final un sistema de catalogación de vulnerabilidades. 00:28:34

¿Qué quiere decir esto? Cuando una empresa tiene un producto que lo comercializa, tiene un servicio, por ejemplo, Microsoft, Word, el Office, si aquí sin ánimo de hacer publicidad a las cosas, pero bueno, al final venden servicios, ¿no? Adobe, por ejemplo, aplicaciones que son de software libre, que utilizamos todos en nuestro día a día, pues tienen vulnerabilidades, ¿no? 00:28:39

y quiera que pierdas cinco minutos de tu vida cómo funciona el ciclo de vida de las vulnerabilidades 00:29:09

como es esto de las vulnerabilidades y cómo funciona ese proceso de desde que surgen hasta 00:29:18

que se remedian al principio pues hay alguien que las encuentra cada dos días tenemos en las 00:29:24

noticias por lo menos yo en twitter han encontrado una nueva vulnerabilidad en tal servicio y le está 00:29:29

siendo la está explotando un grupo ruso que está atacando un montón de gente y hay que encerrarse 00:29:33

en casa, bajar las persianas y apagar 00:29:37

el ordenador, luego llega gente que 00:29:39

se siente y la analiza, vale, vamos a ver este grupo 00:29:41

ruso, que ha hecho 00:29:43

vamos a ver si de verdad hay que bajar las persianas 00:29:45

y vamos a ver si hay que apagar todo 00:29:47

coleccionan muestras, a ver 00:29:48

que si, vamos a coleccionar un poquito 00:29:51

a quien la han atacado, a esta persona 00:29:54

vale, pues trae su ordenador y vamos a ver 00:29:56

que ha pasado, no hace falta cerrar las persianas todavía 00:29:57

protección, ahora si, cierra las persianas 00:29:59

que no se te cuele nadie en casa 00:30:02

y si estás utilizando algo que está siendo atacado 00:30:03

¿no? cuantas veces, no sé si 00:30:05

aquí os habrá pasado internamente, pero nosotros en la empresa 00:30:07

pues oye, deja de utilizar este programa 00:30:10

ten cuidado con esta licencia 00:30:12

porque están publicando que se la están atacando 00:30:13

detectalo bien 00:30:16

implementa medidas, implementa 00:30:18

capas de seguridad que te permitan detectar 00:30:20

que alguien está yendo contra ti 00:30:22

porque al final no se trata 00:30:24

también un poco para tener conciencia 00:30:26

nadie quiere atacar a Camilo 00:30:28

bueno, espero que no 00:30:30

nadie quiere atacar a Zero Links como empresa 00:30:32

nadie quiere atacar a la Comunidad de Madrid porque tenga 00:30:34

un odio especial porque les subieron 00:30:36

la tarifa del colegio, no, realmente la gente 00:30:38

busca atacar en general, el mundo es muy grande 00:30:40

y somos muy chiquitines aquí, por suerte 00:30:42

entonces la gente busca atacar 00:30:44

en internet y cuando nos llega un mensaje 00:30:46

de phishing, mi madre me lo dice muchas veces 00:30:48

de, es que van a por mí, mira el phishing que me han mandado 00:30:50

del banco, no, mamá, no van a por ti 00:30:52

van a por todos los números que hay en España 00:30:54

y entonces muchas veces, pues tú picas 00:30:56

y oye, si picas y das 00:30:58

50 euros, pues oye, pesca de arrastre 00:31:00

yo tiro la pesca, la pesca al mar 00:31:02

la red y si pesco 3 personas 00:31:04

pues oye, se lo he tirado a 100.000 00:31:06

qué poco éxito has tenido ya, pero me he llevado 2.000 euros 00:31:07

¿realmente es éxito o no es éxito? 00:31:10

bueno, yo creo que sí, que es éxito 00:31:12

para ellos, ¿no? 00:31:14

después de detectar los incidentes toca pues 00:31:15

darles forma y decir, vale, hemos 00:31:18

encontrado una vulnerabilidad en Microsoft 00:31:20

Word, porque cuando un usuario escribe 00:31:22

determinadas palabras consigue acceder al ordenador 00:31:24

de otra persona, ya tenemos 00:31:26

aquí la muestra, ¿no? del bicho 00:31:28

de la persona que está infectada, el pobre 00:31:30

el pobre muchacho que está ahí con su ordenador 00:31:31

que se lo han quitado, y le ponemos 00:31:33

nombre, le ponemos un nombre, que es 00:31:35

volviéndolo, que me parecía que me iba por las ramas 00:31:37

pues esto del CVE, que es 00:31:39

una sigla, es un numerito, una etiqueta 00:31:41

como el código de barras del 00:31:43

del supermercado 00:31:45

para que sepan, vale, esta vulnerabilidad de 00:31:47

esta persona es un CVE 00:31:49

¿cómo funciona el flujo de 00:31:51

de seguridad en una auditoría? 00:31:54

¿cómo funciona ese... 00:31:56

vale, y ahora que bien, has encontrado un CVE y ¿qué pasa? 00:31:58

te ponemos una medallita de 00:32:01

explorador intrépido que descubre vulnerabilidades 00:32:02

o qué hacemos contigo, pues al final 00:32:05

se identifica a qué afecta eso 00:32:06

se estudia, se afecta a más versiones 00:32:08

ya es que yo he actualizado mi móvil a la versión 12 00:32:10

ya, pero es que esto afecta de la 14 00:32:13

para atrás, entonces si no actualizas a la 15 00:32:14

lo siento mucho, pero usted sigue infectado 00:32:17

se analiza a todo 00:32:18

lo que afecta y luego 00:32:21

a veces esto se descubre accidentalmente 00:32:23

no es que haya una persona 00:32:25

no es que tengamos un equipo 00:32:27

dedicado a descubrir CVs, es que quizás 00:32:29

en una auditoría de revisión interna aquí vuestra, vamos a evitar un poquito cómo tenemos la configuración del correo 00:32:31

y descubres una vulnerabilidad que no se había encontrado antes. 00:32:36

Quiero también un poco poner el foco en este tipo de vulnerabilidades que comúnmente se llaman zero days, 00:32:40

que no sé si os suena el término o ya es meterse un poco en terreno de informático, 00:32:45

pero realmente pensad, tenemos aquí un equipo de seguridad que corrige vulnerabilidades. 00:32:50

El equipo de seguridad corrige vulnerabilidades que el equipo de seguridad conoce. 00:32:55

por tanto, ¿cómo las conoce? las arregla 00:32:59

es un poco, quizás redundante, pero 00:33:01

esa filosofía de, como conozco los problemas 00:33:02

los arreglo, ¿vale? ¿qué pasa si no 00:33:05

conoces el problema? ¿qué pasa si no conoces 00:33:07

que existe esa vulnerabilidad? 00:33:09

¿qué pasa si no sabes? un poco con el 00:33:11

símil, ¿no? con un edificio, yo sé que me puedo 00:33:13

colar por la puerta y por las ventanas, no hay más 00:33:15

y de repente te dice alguien 00:33:17

oye, que si haces un agujerito en un muro 00:33:19

¿no? ahí se inventaron los butrones 00:33:21

pues puedes colarte también, hasta que 00:33:23

alguien no descubrió que podías 00:33:25

hacer eso en un muro, tú hacías un butrón, luego ponías los cementos, bueno, como si 00:33:27

yo aquí hubiese hecho algo de eso, pero bueno, y ya está, y te colabas en la vivienda. 00:33:30

Pues esto funciona un poco por el estilo, ¿no? Se encuentran vulnerabilidades que nadie 00:33:35

conoce y por tanto no pueden ser remediadas, por tanto esto implica un riesgo muy grande 00:33:39

para las organizaciones. Nosotros en el equipo de Zerolinks, aquí me he permitido la licencia 00:33:44

de poner una captura demasiado técnica, con mucho texto, con mucho tal, pero bueno, un 00:33:49

poco quería reflejar, en mitad de una auditoría con un cliente que nos había contratado, encontramos 00:33:54

que había unas cámaras, ¿no? Típica cámara, pues como, mira, justo aquí no tenemos cámara. La típica 00:33:59

cámara, ¿no? Pues que vigila la oficina por si hay un incendio, por si hay un robo, por si hay cualquier 00:34:05

tipo de incidencia, ¿no? Que casualmente, pues estaba tú cuando iniciabas la sesión, el servidor te 00:34:08

respondía con la contraseña de tu propio usuario. Entonces esto era maravilloso porque tú podías, si 00:34:15

le cogías el ordenador al de al lado, podías ver su contraseña. 00:34:21

Lo que pasa es que luego vimos 00:34:24

que también podías cambiar tu nombre de usuario 00:34:25

y decir, oye, yo en vez de ser Camilo, 00:34:27

soy Celia. Ah, mira, que me devuelvo la contraseña 00:34:28

de Celia. Esto es maravilloso. 00:34:31

Y luego ya descubrimos que no hacía ni siquiera falta 00:34:32

hasta registrar en la aplicación. Esto era algo 00:34:34

que era maravilloso. Yo entraba en la aplicación y me 00:34:36

daba la contraseña de los usuarios. 00:34:38

Esto era, vamos, para coger palomitas y disfrutar 00:34:40

viendo un poco 00:34:42

el panel de 00:34:45

administración que había dentro 00:34:45

del aplicativo, en este caso 00:34:48

Airspace y aquí 00:34:50

pues un poco pixelado, pero imaginaros 00:34:52

nosotros en la oficina de ZeroLinks 00:34:54

viendo cómo trabajaban desde una empresa 00:34:56

cómo estaban ahí los empleados trabajando 00:34:59

se levantaban, iban al baño, hacían sus 00:35:00

descansos para café. Al principio 00:35:02

nosotros pensábamos que era un fallo 00:35:05

de seguridad de configuración de la 00:35:07

aplicación y que era simplemente una 00:35:08

vulnerabilidad más, como otras tantas 00:35:10

hemos encontrado una vulnerabilidad, os la reportamos 00:35:12

para que la corrijáis. Sin embargo 00:35:15

empezamos a tirar un poquito del hilo y vimos que 00:35:16

todas las cámaras de Airspace estaban afectadas por esta vulnerabilidad. 00:35:18

Entonces en ese momento levantas el pie del acelerador y te das cuenta 00:35:22

de que has encontrado una vulnerabilidad que nadie conoce, 00:35:26

una vulnerabilidad que el equipo de Airspace no conoce 00:35:30

y que se puede explotar de forma masiva. 00:35:32

Tú puedes buscar en Google cámaras de seguridad, 00:35:35

encontrar este servicio expuesto en Internet 00:35:38

y conseguir la contraseña del administrador, 00:35:40

entrar como el administrador y aquí empieza la fiesta 00:35:42

de poder ver a la gente en su oficina trabajando desde tu casa. 00:35:44

algo pues completamente ilegal por cierto 00:35:47

cuando encuentras 00:35:49

algo que es completamente ilegal 00:35:52

sale en tu cabeza, se ilumina 00:35:53

voy a colaborar con INCIBE 00:35:55

bajo el subtítulo de cómo no terminar en la cárcel por hacer estas cosas 00:35:57

al final INCIBE 00:36:00

es el organismo que hace 00:36:01

un montón de cosas que ahora entraremos en detalle 00:36:03

pero principalmente a nosotros 00:36:05

desde la parte técnica 00:36:07

nos da esa cobertura de hablar con las empresas 00:36:09

para decir, oye, he encontrado 00:36:11

vamos a entrecomillarlo sin querer 00:36:13

o queriendo un poco un fallo de seguridad en tu infraestructura 00:36:15

y me gustaría que lo arreglasen, me gustaría poder colaborar 00:36:18

a la seguridad, a que el mundo siga siendo un pelín más seguro 00:36:22

y que podáis arreglarlo. 00:36:25

Si yo como Camilo escribo a la empresa diciéndole 00:36:27

hola, soy un chico que trabaja en una empresa 00:36:30

y he encontrado una vulnerabilidad, mira qué guay soy 00:36:32

y todo lo que he podido hacer, seguramente aparte de reírse de mí 00:36:35

me denuncian y tengamos problemas. 00:36:38

Por eso acudimos a INCIBE, el Instituto Nacional de Ciberseguridad 00:36:40

que es una entidad con nombre, prestigio y más abogados que yo, para poder hablar con la empresa y que remedien esa vulnerabilidad. 00:36:43

Es el intermediario para ese flujo de vulnerabilidad. 00:36:50

Incidia, además de eso, además de contribuir con el marco digital, tienen muchas campañas, impulsan el ciberespacio en España, 00:36:55

creo que un poco por lo que hemos comentado antes, pues sí que tenéis buena relación con ellos, una relación cercana. 00:37:04

hacen mucho trabajo con la ciudadanía 00:37:08

a través del foro de 00:37:10

cibercooperantes, que también 00:37:13

si tenéis oportunidad de conocerlo 00:37:14

seguro que os mandan 00:37:17

aquí spam y viene gente a contaros, pero 00:37:18

hacen charlas muy interesantes en los 00:37:20

colegios, yo personalmente 00:37:23

colaboro con ellos 00:37:24

en charlas por los colegios 00:37:26

con las empresas también tienen una parte muy interesante 00:37:28

de gestión de incidentes, cuando una empresa 00:37:31

tiene una brecha de seguridad, incides el que 00:37:32

está ahí y te ayuda un poco con ese 00:37:35

marco regulativo de, vale, me han atacado 00:37:36

y ahora ¿qué tengo que hacer? Pues un poco 00:37:39

incíbers el que está ahí te dice, vale, no pasa 00:37:41

nada, no bajes las persianas, no apagues 00:37:43

todo. Este es el protocolo que tienes que seguir 00:37:44

cuando tienes una incidencia de seguridad. 00:37:47

Con los menores, este año también pusieron 00:37:49

este año y el año anterior pusieron a disposición 00:37:50

un teléfono, ¿no? Para, pues todo el tema de abusos 00:37:52

de menores a través de 00:37:55

a través del marco de la ciberseguridad que antes 00:37:56

genial, me están acosando en clase, 00:37:58

levanto la mano, llega el profesor 00:38:00

y ya pone orden. Pero cuando se trata 00:38:02

de abusos por internet que es tan fácil 00:38:05

anonimizarse, pues claro, aquí 00:38:06

los profesores ya escapan un poco 00:38:08

del marco de control, por eso llega INCIBE 00:38:10

para aplicar unas medidas de control 00:38:12

unas medidas de contención y sobre todo 00:38:14

de mitigación ante estos problemas que 00:38:16

por desgracia ocurren en la sociedad 00:38:18

y por último está INCIBE CERT 00:38:20

que es el organismo 00:38:22

de los abogados que nos ayuda 00:38:23

a nosotros, principalmente ellos 00:38:26

se dedican a respuesta 00:38:28

ante incidentes 00:38:30

gestionan las crisis cibernéticas 00:38:32

Cuando una empresa sufre un ataque de forma masiva, nos han atacado todos los ordenadores, nos están robando datos, nos están... 00:38:34

Pues Incibe es el que entra de por medio, lleva a su equipo y pone un poco de orden y te ayuda a solventar esa crisis que tienes. 00:38:42

Tienen un servicio de detección proactiva que es muy interesante porque tú crees que estás seguro, tú crees que todo funciona de maravilla, 00:38:50

pero en realidad se te están colando por la puerta de atrás. 00:38:56

pues Incibe tiene unos cacharritos que colocan en la parte de arriba de las empresas, 00:38:58

imaginaos un poco para la gente que sois menos técnicos, pues un poco el edificio, 00:39:03

la antenita que hay arriba del todo que se conecta con la tele, 00:39:08

pues ahí está Incibe con un cacharrito escuchando y si ve que entra algún malo, 00:39:11

pues levanta la mano, lo coge y ahí un poco se evitan ese tipo de vulnerabilidades. 00:39:15

Y luego por último, el último punto que he querido dejar para el final, 00:39:22

pero es un poco al hilo de que venía Incibe, Incibe valida las nuevas vulnerabilidades y notifica a la empresa responsable. 00:39:25

Es decir, cuando tú encuentras una vulnerabilidad que nadie conoce, como era el caso de las cámaras 00:39:32

o como tuvimos otro caso en Celerings con un servicio de GLPI, que es un servicio de gestión de activos, 00:39:37

cuando tú quieres reservar una sala, reservar un ordenador, reservar algo, pues el chico de sistemas te dice 00:39:44

abre un ticket aquí, pues en esa plataforma 00:39:50

pues también encontramos una vulnerabilidad 00:39:52

y no sabes a quién reportársela 00:39:54

porque no sabes de quién es esto, yo no conozco al dueño 00:39:56

de las cámaras, que era chino 00:39:58

o sea que como para conocerle, ni conozco 00:40:00

al dueño de, pues gracias a Incibe 00:40:02

ellos son los que se ponen en contacto con la 00:40:04

empresa, ellos tienen los medios, ellos 00:40:06

tienen toda esa capacidad que tú como a título 00:40:08

personal no tienes, en este caso nosotros 00:40:10

éramos grupo Zero Links 00:40:12

contactando con Incibe, no es lo mismo que Camilo 00:40:14

que es nadie contactando con 00:40:16

con Incibe, pero mucho más valor tiene cuando es una entidad representante de la ciberseguridad 00:40:18

en España la que contacta contigo como empresa. Ya te tomas un poquito más en serio las cosas 00:40:24

y respondes con un poquito más de velocidad a los correos. Gracias a este sistema, la 00:40:28

empresa contactada solo sabe que le está escribiendo Incibe. Airspace, hasta que no 00:40:34

vean esta ponencia, no van a saber que éramos nosotros los que estábamos detrás de esta 00:40:41

vulnerabilidad, que luego, pues sí que se publicó 00:40:46

los detalles están publicados en internet 00:40:48

o sea que sí que, ya ellos ya lo han 00:40:50

solucionado, ya han ofrecido parches 00:40:52

pero ellos no sabían quién estaba detrás de esto 00:40:53

ellos solo reciben un mensaje de INCIBE 00:40:55

diciendo, oye, tenéis una vulnerabilidad en este producto 00:40:58

es así, así y así 00:41:00

cuando reportas una vulnerabilidad 00:41:02

INCIBE la valida 00:41:04

porque es muy fácil, oye, hay una vulnerabilidad 00:41:05

aquí que afecta a todo 00:41:08

bueno, vamos a sentarnos a ver si es verdad esto que dices 00:41:09

o no, también ellos te sientan 00:41:12

un poco en la silla y te dicen, vale, vamos a analizar este incidente de seguridad para ver 00:41:14

hasta dónde llega. Y claro, ¿y qué hacemos cuando 00:41:17

encontramos una vulnerabilidad? ¿Cómo te comunicas con INCIBE? Porque 00:41:21

hablar con Camilo es fácil, le pones un tuit y te responde, pero hablar con INCIBE 00:41:25

es un poco más complicado. Tienen una página, dentro de la página de 00:41:29

INCIBE.es, donde te explican detalladamente qué tienes que hacer. 00:41:33

Así como primer paso, tienes que hacer un intercambio de claves con ellos, clave pública y privada, 00:41:37

que esto hasta para los que somos más técnicos 00:41:41

al principio es un dolor de cabeza increíble 00:41:44

porque no estás acostumbrado 00:41:46

pero es como cifrar la conversación 00:41:48

es como poner una bolsa encima 00:41:50

de lo que tú hables con Incibe 00:41:52

de tal modo que solo Incibe 00:41:53

sea capaz de entender lo que tú dices 00:41:54

¿por qué hacemos esto? 00:41:56

en este caso 00:41:58

podríamos pensar que 00:41:58

bueno, es que estás colado en las cámaras de 00:42:00

en las cámaras de 00:42:02

yo que sé, de una empresa 00:42:03

no es tan grave 00:42:04

vamos a entrecomillar un poco 00:42:06

el no es tan grave 00:42:07

porque sí que es algo grave 00:42:07

pero en caso de que esto fuese 00:42:09

algo muy crítico 00:42:11

algo que afectase de una manera 00:42:13

a organizaciones, a empresas 00:42:14

a gobiernos, pues sí que requiere un marco 00:42:16

de confidencialidad muy alto, al final todo esto 00:42:18

está bajo el marco de información 00:42:20

confidencial con el grado de secreto 00:42:23

por tanto necesita ir cifrado con los protocolos 00:42:24

que tenemos en España 00:42:27

para este tipo de intercambio de información 00:42:28

en este caso pues todo va 00:42:31

cifrado, tú escribes a INCIBE 00:42:32

Hola, soy Camilo, soy Zerolink, quiero 00:42:34

reportar una vulnerabilidad 00:42:36

¿me podéis dar vuestra clave? Aquí tenéis la mía 00:42:38

Es un poco el, toma, aquí tienes mi código, ellos te dan el suyo y eso solo es para vosotros. 00:42:40

Ellos te asignan luego un identificador que eso es para ti y con eso ya vas a poder hablar con ellos de forma segura. 00:42:45

Una vez que ya estamos hablando el mismo lenguaje, estamos hablando un lenguaje confidencial entre nosotros, 00:42:53

da igual que llegue una entidad externa, se cuele en mi correo, intente visualizarlo porque no va a poder. 00:42:59

Está preparado para que solo tú como persona física con el certificado clave, por ejemplo, puedas acceder a esa información y luego INCIBE ya gestionará en ellos su seguridad como lo tengan gestionado. 00:43:04

Pero por lo menos por parte del usuario que reporta la incidencia hay un marco de seguridad. 00:43:15

Se asigna un identificador, INC, en este caso incidencia, el año y el número, en este caso 1, 2, 3, 4, por poner un ejemplo, 00:43:21

que se incluye en todos los correos de tal modo que ellos internamente tengan un seguimiento, una trazabilidad. 00:43:29

Si en algún momento reportes una vulnerabilidad con ellos, no les cambies el concepto porque se vuelven locos y tardan más en responder. 00:43:35

Vuelven con un formulario que tienes que rellenar donde ya documentas la vulnerabilidad en su formato. 00:43:41

En este caso muchas veces nosotros en ZeroLinks hacemos un informe de seguridad distinto del que haréis aquí internamente 00:43:47

con la gestión de vulnerabilidades, que será totalmente distinto de la gestión de vulnerabilidades que realizará Google, por ejemplo. 00:43:53

Unos están en inglés, otros en español. En este caso, INCIBE tiene su propio formato, que es a través de un documento TXT, donde se rellena con el correo de la persona que está reportando la vulnerabilidad, qué tipo de vulnerabilidad es, si afecta al acceso de documentos, si afecta a la ejecución de código, si afecta a robar credenciales, si puedes modificar datos, si no puedes modificarlos, 00:43:59

dejan de estar disponibles, no dejan de estar disponibles, 00:44:22

en qué marco afecta esta vulnerabilidad a la información, 00:44:25

que es al final lo más importante que tenemos en los sistemas. 00:44:29

Una vez que ya tienes reportada la vulnerabilidad, 00:44:32

ya todo está relleno, se lo mandas, etc., 00:44:37

¿cómo te comunicas con ellos? 00:44:41

¿Cómo es ese trato de Camilo con Incibe? 00:44:43

Porque Incibe no es Luis, Marcos o Pedro, 00:44:45

sino al final es un correo que te responde 00:44:48

y que no tienes una cercanía como puedes tener 00:44:49

pues yendo a una oficina, hola, quiero hablar con el responsable, es un organismo que funciona y tiene mucho volumen de trabajo 00:44:52

y este volumen de trabajo hace que también a veces todos estos procesos se dilaten con el tiempo. 00:44:59

Inclusive tiene que validar la vulnerabilidad. Oye, he reportado un acceso a unas cámaras, me he colado, estoy viendo. 00:45:04

Vale, inclusive se toma su tiempo en ver si eso es verdad. Tienen que ver a qué afecta esta vulnerabilidad, ¿no? 00:45:10

Todos los servicios que se han visto afectados, no es lo mismo una cámara, que igual esto está en 50 cámaras 00:45:15

o resulta que está en todas las cámaras del mundo, bueno, eso ya sería mucho presuponer, ¿no? 00:45:19

Pero ver un poco hasta dónde llega el alcance de la vulnerabilidad. 00:45:24

Y luego, bueno, a ver, también un poco vamos a entender al pobre fabricante 00:45:29

que tiene a su equipo de muchachos haciendo cámaras, ha vendido el software, está ganando dinero 00:45:32

y de repente llega el gobierno de España, en este caso INCIBE, a decirle que tiene vulnerabilidades. 00:45:36

Vamos a darle un poquito de respiro al fabricante para que corrija la vulnerabilidad. 00:45:41

En este caso el fabricante dispone de una ventana de tiempo 00:45:46

De tres meses aproximadamente 00:45:49

Para corregir la vulnerabilidad 00:45:50

Depende de cómo tengan repartidas 00:45:52

Las empresas 00:46:01

NIST valida como su parte más 00:46:02

A nivel Estados Unidos 00:46:04

Pero el marco de Europa sobre todo suele ser 00:46:06

Incibel que se comunique con ellos 00:46:08

Luego NIST realmente luego es el que 00:46:10

Como, claro 00:46:13

Incibel en este caso 00:46:14

que eso es muy bueno, muy buen apunte 00:46:16

INCIBE es una entidad certificadora 00:46:17

esto un poco por bajar el símil 00:46:19

cuando tenemos que sacarnos 00:46:21

el certificado digital, hay varias opciones 00:46:23

una es pedir cita 00:46:25

en la bolsa 00:46:26

para que te den cita para sacarte el certificado 00:46:28

o puedes ir a sitios que están autorizados 00:46:31

para certificarte como persona física 00:46:33

en este caso, por ejemplo 00:46:36

el rectorado de la Universidad Politécnica de Madrid 00:46:37

te puede acreditar como persona física 00:46:39

no se conoce mucho, la gente va sin hacer cita previa 00:46:41

ahora igual se conoce más 00:46:43

pero también son certificadores 00:46:45

pues INCIBE es un poco parecido, INCIBE tiene potestad 00:46:47

para certificar y otorgar CVs 00:46:50

aunque sean IST, los que 00:46:52

como bien comentas, aunque sean ellos 00:46:53

los que tengan como el control absoluto 00:46:55

de lo que son los CVs y otorgar 00:46:57

estas etiquetas, estos códigos de barras 00:46:59

a vulnerabilidades, que más allá 00:47:01

de un código de barras, lo que supone 00:47:03

es el código de barras, el CV 00:47:05

refleja el principio de una vulnerabilidad 00:47:07

que no se conocía, ahora se conoce 00:47:09

y va a ser remediada 00:47:12

una vez que pasan los meses correspondientes 00:47:13

y el fabricante tiene esa ventana de tres meses 00:47:17

para corregir la vulnerabilidad, corregir y notificar 00:47:20

si hubiese sido necesario a la gente 00:47:22

que hubiese obtenido su software 00:47:26

por un correo, un disclaimer en su página web, etc. 00:47:28

pueden llegar a tener la obligación por ley 00:47:32

por la ley de protección de datos, al menos aquí en España 00:47:33

de notificar que has tenido una brecha de seguridad 00:47:35

como pasó recientemente con Orange, con todo el sistema de RIPE 00:47:38

que todo causó mucho revuelo. 00:47:42

Una vez que pasa esta ventana de tiempo 00:47:45

y ser un poco pesado escribiendo correos a Incibe 00:47:47

que muchas veces es pues, oye, pero se ha publicado ya, 00:47:51

se ha publicado ya, se ha publicado ya, 00:47:54

tienen un volumen tan grande de mensajería, 00:47:55

ahora últimamente han acelerado muchísimo los trámites 00:47:58

y la verdad que es un gusto trabajar con ellos, 00:48:00

pero antiguamente, el año pasado, hace dos años, 00:48:03

sí que era algo un poco más lento 00:48:06

y sí que tenías que andar detrás de Incibe 00:48:08

presionando para que se asignase ese CVE. 00:48:10

Al final, que se publique un CVE 00:48:13

ya implica que la vulnerabilidad está remediada, 00:48:15

implica que la vulnerabilidad ya está en un proceso, 00:48:18

en un flujo de ser corregida 00:48:20

y luego finalmente, pues sí, ya se publica aquí 00:48:22

como podemos ver en NIST, 00:48:25

que es como el marco de referencia de los CVEs. 00:48:27

Muchas veces, cuando estamos en un proceso de una auditoría, 00:48:32

instalamos un programa nuevo, 00:48:36

también esto, un ejercicio que no hace falta ser técnico 00:48:37

ni informático, ni nada 00:48:40

para verlo, ¿no? Oye, me voy a bajar 00:48:42

esta versión de 00:48:44

Spotify. Genial, te has bajado la versión 00:48:46

4.2. Voy a buscar en Google 00:48:48

Spotify 4.2 00:48:50

CVS. Y ahí voy a poder ver en 00:48:52

NIST, sin ser, no hace falta 00:48:54

ser técnico, simplemente hay que ver los colorines, 00:48:56

si tiene un color rojo es porque es crítico 00:48:58

y no hay que descargársela, hay que actualizarlo 00:49:00

y ver un poquito si lo que tenemos instalado 00:49:02

está actualizado o no está actualizado. 00:49:04

Y ya por ir 00:49:07

concluyendo, ¿no? 00:49:08

Una comunidad unida, la unión al final hace la fuerza, estas vulnerabilidades no son a título personal de Camilo que viene a encontrar un CV o campeón del mundo, 00:49:10

al final es un conjunto de gente trabajando juntas, uno encuentra una vulnerabilidad, 00:49:20

creo que estoy, la contraseña del usuario, ¿por qué no la utilizas aquí? Busca si hay un CV, no hay nada. 00:49:24

Y realmente esa unión es lo que hace que luego como equipo vayas como un tren, que vaya avanzando, avanzando, avanzando. 00:49:30

Pero esto es un poco cuando refleja, cuando en el colegio tienes un trabajo y tú haces la introducción, yo hago la portada, tú haces el contenido y luego lo juntamos. 00:49:36

Pues un poco lo que queda es la casa de la derecha. 00:49:47

Y a veces en los proyectos, por desgracia, nos pasa lo mismo. 00:49:49

Cuántas auditorías o cuántos desarrollos, tú haces esta parte, yo hago esta otra y lo juntamos el día antes de la reunión. 00:49:53

Y lo que te queda es una casa que está cacho o que se te cae. 00:49:59

Qué importante también esa sinergia 00:50:02

Ya no solo en el ámbito de ciberseguridad 00:50:04

Como es la parte que nos toca a nosotros 00:50:07

Sino en todas las partes relacionadas 00:50:09

Incluso ya ni siquiera con la informática 00:50:11

En el día a día 00:50:13

Pues esa sinergia del equipo 00:50:14

De estar un poco alineados todos a una 00:50:16

El refrán famoso de 00:50:19

Si quieres llegar lejos, ve solo 00:50:20

Si quieres llegar lejos, ve acompañado 00:50:22

Y si quieres llegar rápido, ve solo 00:50:25

Que solo se avanza mucho más rápido 00:50:26

Pero si de verdad quieres profundizar 00:50:28

llegar a avanzar, llegar lejos 00:50:31

pues que mejor que ir acompañado 00:50:33

un equipo que trabaja unido 00:50:35

y no unas partes que se unen al final 00:50:37

comentábamos el equipo de España 00:50:39

que a título personal, luego se repartieron 00:50:41

una serie de premios de 00:50:43

premio a la mejor vulnerabilidad, premio al mejor hacker 00:50:44

premio al mejor, y la verdad que en España 00:50:47

no nos llevamos ninguna de ellas, por desgracia 00:50:49

alguna de vulnerabilidad, pero lo que es 00:50:51

este es el mejor hacker del mundo 00:50:53

fue un chico de Francia 00:50:56

que realmente es el mejor hacker del mundo 00:50:58

lo que nosotros éramos era el equipo más unido del mundo 00:50:59

éramos el equipo que había trabajado 00:51:02

de una forma más unida, éramos el equipo que 00:51:03

estaba más compenetrado 00:51:05

y eso al final, también un poco en el día a día 00:51:08

en el trabajo del día a día, cuando trabajas 00:51:10

en conjunto, cuando trabajas unido 00:51:12

pues es un poco lo que te lleva al éxito 00:51:14

que no se trata de 00:51:16

soy Camilo con 7 cursos y 4 00:51:17

masters y tal y mira que bueno soy con mi trabajo 00:51:20

contrátame, sino realmente pues mira 00:51:22

este es mi equipo, estas son mis personas 00:51:24

y con esto es con lo que de verdad hacemos magia 00:51:26

que nadie por sí solo es capaz de hacer 00:51:28

lo que hace un equipo unido 00:51:30

así que bueno, no os quedéis 00:51:32

con la imagen de la casa destruida 00:51:34

que refleja un poco a donde no tendríamos 00:51:36

que llegar 00:51:38

y poquito más, daros las gracias por 00:51:39

vuestro tiempo, por habernos acogido también 00:51:42

aquí en la casa 00:51:44

y un poco abierto a cualquier comentario 00:51:46

pregunta, ruego, sugerencias 00:51:48

que queráis hacer 00:51:50

bueno, muchas gracias 00:51:51

yo tengo una pregunta 00:52:02

para los analizados 00:52:04

¿vale? Por ejemplo, decir, bueno, vosotros tres 00:52:06

os dedicáis a un fin. Vosotros tres 00:52:08

a escanear el puerto. Vosotros tres 00:52:10

a buscar el exploit. ¿De algún modo 00:52:13

tenéis como segmentado para...? 00:52:14

Realmente, 00:52:17

aunque tengamos muy englobado, ¿no? 00:52:18

Tú eres de sistemas y haces 00:52:21

sistemas. Tú eres de seguridad y haces seguridad. 00:52:22

Dentro del campo de seguridad, una vez que ya 00:52:25

te metes de lleno en lo que es ciber, 00:52:26

hay un abanico de 00:52:29

posibilidades inmensas. Y ya no es 00:52:30

ni siquiera o Synth o 00:52:32

Exploits o algo así un poco más concreto, 00:52:34

sino ya dentro de la ciberseguridad, oye, yo soy muy bueno saltándome paneles de inicio de sesión. 00:52:36

Yo soy muy bueno tocando el lado del cliente, buscando ejecuciones de JavaScript. 00:52:42

Yo es que, fíjate, yo soy mucho mejor en lo que es interacción con el servidor, 00:52:48

porque vengo del mundo de los sistemas, de las redes, y se me da súper bien. 00:52:52

Pues al final es un poco como nos dividíamos, cada uno con su especialidad, 00:52:55

y yo pues estoy investigando y digo, ay, aquí creo que hay algo de paneles de inicio de sesión 00:53:01

que yo no termino de, oye, este es el experto en inicios de sesión, ven aquí, colaboramos juntos y ahí es donde empieza la magia, ¿no? 00:53:06

Un poco cada uno con su especialidad porque luego te acabas especializando, ¿no? 00:53:13

Incluso nosotros, pues en el equipo de Zerolinks, cada uno es como experto en un área y cuando auditas, tú ya te conoces, 00:53:17

estás auditando y te encuentras algo que, ah, al que se le da bien es a este, vente para acá, siéntate aquí al lado un ratito y vamos a verlo. 00:53:23

Entonces sí que estábamos muy segmentados, muy organizados, aunque luego todo el mundo sea un poco polivalente porque te lo pide el sector, 00:53:29

te lo pide la vida, vaya, pero luego cada uno pues tiene su pequeño nicho donde realmente destaca. 00:53:36

¿Tenéis algún tipo de asesoramiento o os organizáis entre vosotros? 00:53:42

De Israel, de Edif, de no sé si es verdad, que la unidad de los 1.200 de señales como que les daba, 00:53:45

no sé si apoyo logístico o que les había enseñado alguna cosa. 00:53:51

¿Vosotros tenéis algún tipo de ayuda o de recomendación en el CTE, en el servicio de alguien o os organizáis? 00:53:55

No, por parte de España no recibimos ningún tipo de ayuda ni de soporte. 00:54:01

participamos con ellos en las jornadas del CCN 00:54:06

pero lo que es durante la competición no tuvimos 00:54:08

ningún tipo de apoyo, sí que se escuchó 00:54:10

de Israel cierto CV 00:54:12

que nadie tenía publicado 00:54:14

y ellos encontraron la vulnerabilidad muy rápido 00:54:16

quizás la encontraron en Twitter o recibieron 00:54:18

algún tipo de apoyo 00:54:20

teníamos dos capitanes en el equipo internamente 00:54:21

que eran un poco los que lideraban y comandaban 00:54:24

pero toda una organización interna nuestra 00:54:26

Luego una pequeña matización 00:54:28

comentabas antes que 00:54:32

no se ataca porque si no como que digamos no es la persona sino que se ataca y hay realmente sí 00:54:34

que hay una parte un poco por ejemplo hay un manual de aceite de chino que además está en 00:54:41

chino que viene como atacar instituciones españolas para desestabilizar bueno a nivel 00:54:46

europeo hay otro también supuestamente el tema por ejemplo otras cosas que tiene es que cuando 00:54:52

cuando ya no trabajamos 00:55:00

y además da como una serie 00:55:07

de recomendaciones 00:55:08

que a grosso modo, pues por ejemplo 00:55:10

seguramente tirando de 00:55:12

este tuve con estos exploits 00:55:14

puede valer porque muchas instituciones 00:55:16

españolas tienen esta versión de Apache 00:55:18

o cosas así, quiero decir que 00:55:20

es cierto que en muchos casos son 00:55:22

ataques no 00:55:24

deliberados, o sea que se hacen y se puede tocar a ti 00:55:26

Y hay otros que simplemente por desestabilizar, sobre todo contra Europa o Estados Unidos, por parte quizá de países no alineados, por llamarlo así, sí que lo tienen como, bueno, mientras si creamos un problema interno en un país de la Unión Europea, pues el lugar mejor de estar pensando en quejarse de China o de Rusia, como tienen que resolverlo, ya está ligado al ciudadano de Noruega. 00:55:28

Sí, sí, no, totalmente 00:55:50

Claro, un poco lo que no es 00:55:54

A título personal es cuando nos atacan 00:55:56

A mí como usuario particular 00:55:58

Quizás cuando se atacan a la empresa 00:56:00

O atacan al ayuntamiento 00:56:02

O atacan al ayuntamiento de X ciudades 00:56:04

Y que es un ataque dirigido, ¿no? 00:56:06

Contra la organización, vaya, contra el Estado 00:56:07

Pero cuando es a título personal, pues cuesta mucho 00:56:09

Creer que sea alguien que está yendo por ti 00:56:11

Enfilado, pero bueno 00:56:14

¿Qué papel jugó la inteligencia artificial en el Mundial de Hackers y si había alguna prohibición con respecto a utilizarla o no? 00:56:16

si nos puedes comentar tu vídeo al respecto 00:56:37

Pues realmente 00:56:39

no había ninguna prohibición al respecto 00:56:41

pero sí que es verdad que hay ataques muy chulos con inteligencia artificial 00:56:43

el típico CAPTCHA 00:56:46

de cuando tienes que validar un login 00:56:47

que te dice haz clic aquí y ahora pincha 00:56:49

en las cuatro imágenes que tengan un pájaro 00:56:51

pues tú te lo puedes intentar saltar 00:56:53

de manera modo hacker 00:56:55

de toco aquí, toco aquí, toco aquí 00:56:57

pero luego también había ataques muy chulos con inteligencia artificial 00:56:58

cuando entrenas una IA 00:57:01

en concreto para este CAPTCHA 00:57:02

no cuando es el CAPTCHA de Google, por ejemplo del Gmail 00:57:05

sino un captcha que ha hecho la empresa propia para ellos, pues también aceptaban vulnerabilidades de este tipo. 00:57:07

Y luego concretamente con uno de los clientes, con Adobe, que al final toda la parte de Photoshop, de Adobe Design, 00:57:12

tienen mucha parte de IA también que meten ahí, que usan mucho la inteligencia artificial, 00:57:20

pues cómo conseguir que la IA te genere imágenes que no debería generar, que ellos tienen un documento de política, 00:57:25

de oye, no generamos imágenes ofensivas, no generamos imágenes que puedan resultar contenido para menores de X años. 00:57:30

cuando consigues generar ese contenido 00:57:36

con su propia IAS 00:57:38

no es que te esté haciendo datos de personas 00:57:40

pero engañado a tu IAS para que haga 00:57:42

lo que se supone que tú dices que no hace 00:57:44

entonces ahí, luego realmente 00:57:46

a la hora de atacar no era tan 00:57:48

no se usa tanto por ahora, está empezando a entrar en auge 00:57:50

y sí que se nota mucha especialización 00:57:52

en el sector de gente que cada vez 00:57:54

entrenando IAS para que hagan 00:57:56

la labor que hacemos ahora los consultores 00:57:58

pero por ahora en el mundial no llegó tan 00:58:00

por lo menos en el equipo de España 00:58:02

Antiguamente INCIBE 00:58:03

seguía esperando hasta 00:58:13

por los siglos de los siglos 00:58:14

hasta que el fabricante decidiese solucionarlo 00:58:16

muchas veces al final son empresas que pueden 00:58:18

quebrar, puede que la empresa ya no exista 00:58:20

que ya no fabriquen ese producto, que ya no le quieran 00:58:22

dar soporte porque Windows XP 00:58:25

a día de hoy ya no se da soporte 00:58:27

entonces que más me da que me saques una vulnerabilidad 00:58:28

que nadie conocía, que no la voy a arreglar aunque pasen 00:58:30

tres meses, pero es un poco como el tiempo de gracia 00:58:32

que te dan, oye, en caso de que lo quieras 00:58:35

arreglar, tienes este tiempo 00:58:36

y en caso de que lo quieras notificar 00:58:38

y no lo notificas, se hace pública la vulnerabilidad 00:58:40

se hace pública en cierto 00:58:43

modo, es decir, NIST cuando 00:58:44

NIST o INCIBE, ellos dicen 00:58:46

se ha encontrado una vulnerabilidad pública en este 00:58:48

servicio que afecta a esta versión 00:58:50

y que permite robar 00:58:53

datos de usuarios, pero no te dicen 00:58:55

cómo ni cómo se hace, entonces muchas veces 00:58:56

sale antes el nombre de la vulnerabilidad 00:58:58

que la prueba de concepto de cómo se hace 00:59:01

Y entonces luego hay muchos investigadores diciendo, ah, si ya me has dicho que me puedo colar por la ventana, voy a intentar colarme por la ventana. Pero la prueba de concepto no se suele hacer pública, un poco por respecto a los investigadores. En este caso, lo de las cámaras que comentábamos, sí que lo hicieron público ellos y está la prueba publicada en internet. 00:59:02

Sin embargo, el otro CV que tenemos publicado que afecta al software, este nuevo GLPI que comentaba, lo remediaron, pero todo quedó en, hay una vulnerabilidad que permite hacer esto, pero no te voy a decir cómo, por la seguridad de la gente que utiliza este software, por no dar pista a los malos. 00:59:19

Tampoco se trata aquí de, como investigador, ponerle más fácil el camino al que quiera hacer daño. 00:59:37

Claro, aquí me estás preguntando 00:59:41

si es mejor Apple o Android 01:00:08

Al final, o apelo a Microsoft, depende mucho del sistema. 01:00:09

A mí, por ejemplo, me gusta pensar que los cifrados, los cifrados son de open source, 01:00:18

el SHA-512, cuando tú cifras un documento, todos los bloques que se hacen, todo tal, 01:00:23

eso es código abierto. Realmente, volvemos a la filosofía del book bounty, 01:00:27

que es mejor 100 personas auditando algo o la persona de la empresa privada auditándose a sí mismo. 01:00:33

hombre, es más fácil encontrar una vulnerabilidad 01:00:38

cuando lees el código, a mí me gusta mucho 01:00:41

también me lo están poniendo fácil 01:00:42

entre comillas, pero gracias a que me lo ponen 01:00:44

fácil a mí y a otros 800 más 01:00:46

es mucho más fácil encontrar 01:00:48

vulnerabilidades y se siguen encontrando 01:00:50

realmente hay mucho código abierto 01:00:52

código abierto de Adobe 01:00:55

código abierto de Tinder, que aunque es una empresa 01:00:56

privada pues tiene mucha parte de su código open source 01:00:58

código abierto de Tesla 01:01:00

o sea, mucha gente tiene su código 01:01:02

abierto pero precisamente por eso, porque 01:01:04

no esconden, aparte que hay mucha 01:01:06

transparencia de que yo no sé lo que hace Apple con mis datos 01:01:08

por detrás, a pesar de ser usuario 01:01:10

de Apple y que me dé igual, ¿no? Pero no sabes 01:01:12

lo que hacen con la información. Microsoft sí, sí que 01:01:14

tienes una garantía de, sé lo que está pasando 01:01:16

por aquí. Entonces a mí personalmente, a título personal 01:01:18

me parece mucho mejor el open source 01:01:20

en el sentido de que puedes entender qué está pasando 01:01:22

ahí y te aseguras de que no hay vulnerabilidades 01:01:24

y cuando se encuentra una vulnerabilidad 01:01:26

sabes que hay una comunidad, un equipo de desarrollo 01:01:28

que lo está remediando. En el código 01:01:30

privado no sabes qué pasa ahí 01:01:32

no sabes si alguien ha encontrado algo, lo estás 01:01:34

explotando activamente y nadie está enterando 01:01:36

entonces es un poco ambigo 01:01:38

si enfrentáis en un campeonato 01:01:40

de estos a una empresa que 01:01:48

esta es la empresa 01:01:49

¿cómo planteáis 01:01:51

los ataques? 01:01:56

¿por hacer por fuerza bruta 01:01:56

hasta que encontráis algo? 01:01:59

¿utilizáis herramientas que van descargando 01:02:01

ciertas cosas? 01:02:03

¿vais al servicio y analizáis 01:02:05

esos servicios si son de código abierto 01:02:08

para analizar el código, o sea, cómo enfoca 01:02:09

en nosotros el ataque 01:02:11

para luego ir 01:02:13

cerrando el foco 01:02:15

cada empresa 01:02:17

esto me encanta porque son las cosas 01:02:20

que no he comentado, que se me iban olvidando mientras hablo 01:02:22

porque me voy por los lares, las empresas 01:02:24

también tienen sus reglas del juego, no se trata 01:02:25

de, aquí tienes Adobe 01:02:28

atácalo, no, no, Adobe ya con sus reglas 01:02:29

del juego, que son distintas de las de 01:02:32

Tinder, de las de Metamask, de las de tal 01:02:34

y en base a esas reglas del juego tú eliges 01:02:36

si jugar o no jugar 01:02:38

Me explico, ¿no? 01:02:39

La primera cosa que se llama un scope 01:02:41

Es decir, si tienes un scope 01:02:43

Es toda la huella, ¿no? 01:02:44

Es tabla de concreta o un subdominio 01:02:45

Y también matizado, ¿no? 01:02:48

Puede llegar una empresa y decirte 01:02:49

Hola, soy Facebook 01:02:51

Todo, lo que encuentres, cualquier cosa 01:02:52

Pero más allá de facebook.com 01:02:54

Mira, es que hemos adquirido hace poco 01:02:57

Una empresa de marketing 01:02:58

Que nos hace las publicaciones 01:03:01

Está en scope, bueno, publican el nombre de Facebook 01:03:02

También entra dentro del alcance, ¿no? 01:03:05

Un poco cada uno con sus reglas del juego 01:03:06

igual llega luego, por ejemplo, Tinder y te dice 01:03:08

mira, mi scope solo es mi aplicación móvil 01:03:10

ya, pero es que tienes una web y tienes un blog 01:03:12

ya, pero es que el blog, me da igual 01:03:14

yo quiero que me saques vulnerabilidades en la web 01:03:16

entonces ellos te dan sus reglas del juego 01:03:18

y te dicen también que es lo que no puedes hacer 01:03:20

entonces fuerza bruta y denegaciones de servicio 01:03:22

súper prohibidas, ¿no? y todo aquello que pueda 01:03:24

afectar a datos de usuarios, prohibido 01:03:26

no, pero mira, es que le cambia el correo electrónico 01:03:27

a todos los usuarios de tu plataforma, ya, pues 01:03:30

te voy a denunciar, eso te he dicho que no se puede 01:03:32

hacer, ¿no? o sea, todo aquello que afecte 01:03:34

a usuarios, que quieres 01:03:36

claro, que quieres jugar a cambiar correos 01:03:38

créate dos cuentas 01:03:40

y juegas con esas dos 01:03:42

ellos te dicen como las reglas del juego 01:03:43

y como afianzas luego que quieres hacer y que no 01:03:45

para atacar 01:03:48

algo como hacker, el primer paso es entenderlo 01:03:50

o sea, nosotros muchas veces 01:03:52

me gusta decir, cuando alguien me pregunta 01:03:54

oye, ¿cómo empiezo en ciberseguridad? 01:03:56

pasa antes por sistemas, pasa por ser programador 01:03:58

pasa antes por tal, porque si tú no entiendes 01:04:00

lo que hay detrás, no lo vas a poder romper 01:04:02

mi ejemplo de la casa de ¿cómo rompo una ventana? 01:04:03

vale, pues 01:04:06

monta una ventana 01:04:07

cómo se aseguran los marcos, cómo son 01:04:09

las bisagras, los cierres, entonces aquí en 01:04:11

ciberseguridad pasa un poquito lo mismo, cómo me cuelo 01:04:13

en tal, programa un poquito 01:04:15

y en base a eso, cada uno 01:04:17

elige en base a con lo que se siente más cómodo 01:04:19

por ejemplo, una aplicación como Tinder 01:04:21

no deja de ser un portal de inicio 01:04:23

de sesión, lo pongo mucho como ejemplo porque al final 01:04:25

salió en el mundial 01:04:27

es un portal de inicio de sesión con un funcionamiento 01:04:28

muy sencillo, like o no like 01:04:31

match o no match, personas 01:04:33

que interaccionan mensajes, chats de conversaciones 01:04:35

las vulnerabilidades 01:04:37

son muy sencillas, acceder a datos 01:04:39

de usuarios, conseguir modificar 01:04:41

conversaciones, borrar conversaciones 01:04:43

de otros, muy sencillo, sin embargo 01:04:45

quizás si te hablo de Metamask 01:04:47

como plataforma de criptomonedas 01:04:49

¿qué vulnerabilidades hay ahí? no lo sé 01:04:51

quizás el core del negocio es más difícil 01:04:52

de entender, si por ejemplo 01:04:55

cogemos una empresa española, bueno no es española 01:04:57

pero con mucha presencia en España 01:04:59

como Ikea, que vende muebles 01:05:01

es un core de negocio muy sencillo 01:05:03

muebles que se venden, gente que compra muebles 01:05:05

atacarlo es sencillo en el sentido 01:05:07

de entender muy bien que están haciendo 01:05:09

ya tienes un poco el 50% ganado 01:05:10

que sabes como tal 01:05:12

nos pasaba un poco lo mismo, oye de aquí del equipo 01:05:14

de España, ¿quién se ha pegado con criptomonedas? 01:05:17

uno, vale, pues tú eres el que si quieres 01:05:19

puedes atacar la página de criptos, yo no sé 01:05:21

ni cómo se compra un bitcoin 01:05:23

¿quién soy yo para intentar atacar esto? 01:05:24

si me hablan de wallet, si me hablan de 01:05:27

tal y que es esto 01:05:29

no sé si un poco si 01:05:31

más cosillas por aquí 01:05:32

Yo sé que cuando contratas una auditoría, te pueden dar nada de información, algo de información o prácticamente todo y ya tú en base a ahí descubres o no descubres. 01:05:36

¿Vosotros qué tipo de información han dado? 01:05:56

caja gris. Claro, en este caso 01:05:59

lo que comentas, caja negra cuando 01:06:01

vas sin nada, caja gris 01:06:03

cuando aquí tienes un usuario para acceder y caja blanca 01:06:05

cuando aquí tienes todo el código fuente y tal 01:06:08

caja blanca nunca, en ningún caso 01:06:10

porque lo que se busca, o sea 01:06:11

¿de qué sirve engañarte si yo te doy acceso 01:06:13

a todo y tal? No, no, tú estás buscando 01:06:16

ser un atacante externo, no, nadie nos 01:06:18

daba un correo 01:06:19

o un tal, no, lo que buscas es 01:06:21

el máximo impacto que podría simular 01:06:23

o sea nosotros, un poco lo que digo yo 01:06:25

jugar a ser ese chino que está atacando 01:06:27

jugar a ser ese ruso que quiere ir contra tu sistema 01:06:29

jugar a ser ese actor malicioso que quiere ir a por ti 01:06:32

entonces no te daban nada 01:06:34

sí que es verdad que había algunas funcionalidades que te dan facilidades 01:06:36

por ejemplo, suscripción de la versión premium de Adobe 01:06:38

nos la daban gratis para poder probarla y poder auditarla 01:06:43

como simulando que la habías comprado 01:06:46

pero te daban un usuario que pudiese tener eso 01:06:47

otra vez, vuelvo al burro de Tinder 01:06:51

usuarios premium que pueden hacer un montón de cosas 01:06:54

también nos los daban para poder buscar vulnerabilidades 01:06:56

pero nunca nada que una persona no pueda adquirir 01:06:58

si nos daban algo, era algo que costaba dinero 01:07:01

pues para que encima, ya que nos hackean 01:07:03

pues que no tengan que perder dinero 01:07:05

un poco lo que pasa también en las auditorías 01:07:08

pues que te dan usuarios con más privilegios o con menos 01:07:09

pero lo mismo, las reglas del juego 01:07:12

que comentábamos, cada empresa con sus reglas 01:07:13

había alguno que quería, no, oye 01:07:15

yo lo que el usuario quiera hacer 01:07:17

no te voy a dar ninguna facilidad 01:07:19

y otros sin embargo, pues que sí que te daban 01:07:20

y cada uno juega como quiera 01:07:22

comprar a los hackers para que tengan más facilidades 01:07:25

Realmente todo es web y móvil al final 01:07:28

porque puede móvil, servidor, pero nunca tienes 01:07:42

un acceso a una red interna, porque todo es 01:07:44

desde fuera, cuando te cuelas en red interna 01:07:46

reportas y cobras mucho dinero, pero 01:07:48

todo es desde la parte web 01:07:50

al final son sitios que están tan trillados 01:07:52

que es muy difícil que encuentres un 01:07:54

cross-site, siempre tienen un WAF delante 01:07:56

siempre hay un montón de protecciones 01:07:58

por tanto lo que más se encuentra son fallos de lógica de negocio 01:08:02

es decir, este botón que no debería hacer esto y me permite hacer esto otro 01:08:05

esta vulnerabilidad que la junto con esta otra 01:08:08

y me permite robar datos de clientes 01:08:11

mucho tema de IDOR, de acceso a datos de otras personas 01:08:14

pero todo muy pensando en la lógica del negocio 01:08:17

entender muy bien el core y conseguir darle una vuelta 01:08:19

de si esto me devuelve este documento a ver si lo cambio y accedo a otro 01:08:21

que tienen nombre las vulnerabilidades pero sobre todo 01:08:25

lógica de negocio 01:08:28

de las con wasp 01:08:30

digamos saldrían de las primeras 01:08:31

porque está tan trillado que ni siquiera serían de las primeras 01:08:33

y serían un poco de las últimas 01:08:36

es que wasp incluye tantas cosas 01:08:38

al final lo coges y 01:08:40

te refiero a eso 01:08:42

de las comunes 01:08:43

no, está tan enrevesado 01:08:46

no, te entras siempre en las comunes 01:08:48

business logic, idors 01:08:50

access control, o sea es todo muy 01:08:52

dentro del marco de wasp 01:08:54

Realmente no 01:08:55

porque las empresas te piden que no lo hagas 01:09:04

oye, me he colado aquí ya 01:09:06

no sigas, si es que ya has demostrado que te has colado 01:09:07

otra cosa distinta es que te cueles 01:09:10

y puedas demostrar un poquito más de impacto 01:09:12

de decir, vale, pues me he colado como usuario 01:09:14

y además me he colado como administrador 01:09:15

vale, se permite, pero siempre te piden 01:09:17

que pares las pruebas, notifiques y pidas permiso para seguir 01:09:20

o sea, ellos ya valoran 01:09:22

internamente se analiza todo lo que se 01:09:24

podría haber llegado a hacer, oye es que 01:09:26

me he colado aquí y ya está, y ellos lo cogen 01:09:27

y dicen esto es medio, pero internamente 01:09:30

lo conseguimos que sea crítico 01:09:32

te lo vamos a pagar como crítico y te vamos a dar 01:09:34

los puntos de crítico, pero no es tu misión 01:09:36

hacerlo como tal 01:09:38

claro, pero ahí 01:09:38

ahí se corta esa fantasía 01:09:43

no se escapa 01:09:46

al este 01:09:48

pero al no entrar del todo 01:09:48

la seguridad no va a ser más débil 01:09:51

o contratan a otras empresas 01:09:52

en paralelo, o sea 01:09:54

claro 01:09:57

si consigues 01:09:57

el método ya te quedas ahí y no te dejas más 01:10:00

claro 01:10:02

contratarán a otras empresas 01:10:03

para internamente hacer auditorías 01:10:06

ese es el gran debate 01:10:08

que muchas veces nosotros también lo tenemos internamente 01:10:10

de que es mejor, ¿no? contratar a una consultora especializada 01:10:12

en ciberseguridad o tener un programa de HackerOne 01:10:14

porque en HackerOne podemos estar nosotros 01:10:17

pero también alguien que no tiene ni idea de ciberseguridad 01:10:19

y te da... 01:10:21

Claro, realmente es un complemento muy bueno y muy sano 01:10:23

en el cual profesionales de todo el mundo 01:10:25

te pueden habitar, pero luego gente especializada 01:10:27

que ha estudiado para esto y trabaja profesionalmente 01:10:29

en su día a día de esto, pues también 01:10:32

está trabajando contigo, ¿no? 01:10:33

Realmente eso en HackerOne, una vez que tú entras 01:10:35

demuestras una brecha de entrada, te quedas ahí 01:10:37

quizás un equipo, una consultoría de seguridad 01:10:39

con sus acuerdos de confidencialidad 01:10:41

y todo, pues ya sigan 01:10:43

un poco ahí explotando eso 01:10:45

pero tú te quedas ahí 01:10:46

si no te tiran de las orejas 01:10:48

¿Vas a participar o alguien de la selección 01:10:50

va a participar en la Hatter Night 01:10:53

de Yogosa, de la Ruth, de la semana que viene? 01:10:54

Si no estamos todos 01:10:57

faltará uno o dos 01:10:59

por ahí estaremos 01:11:00

¿Una pregunta más? 01:11:02

Bueno, solo una 01:11:08

de eso que has dicho tú 01:11:09

de que puedes llegar hasta aquí y ya no puedes entrar más 01:11:10

y aunque tú cuentas 01:11:14

que eres una empresa para eso 01:11:15

esto es un reptil, una cosa parecida 01:11:17

Claro, es un poco también cuando te contratan 01:11:19

las normas que tú pongas 01:11:22

si ya me has demostrado una vulnerabilidad crítica 01:11:23

no necesito que sigas haciendo sangre 01:11:25

eso ya sería un rectime y por qué 01:11:27

si no, si yo te contrato para que me ayudes a arreglar 01:11:30

los fallos, no necesito que me saquen 01:11:32

los colores 01:11:34

Pues un poco pues eso 01:11:34

Gracias a vosotros 01:11:36

Ciberjueves con EducaMadrid: La unión hace la fuerza, versión hacker - Camilo Andrés Bruna

Del mismo autor…

AGUACATES NAVIDAD 2025

Cambia fondos con Scratch al llegar a una posición en X y simula la teletransportación

VIDEO CAMPANADAS

Feliz Navidad

Creep Palas

Código Cultivo IoT. Vídeo 1

Código Cultivo IoT. Vídeo 2