Vamos a hablar de gorritos...

👻 La Newsletter de @weareDMNTRs 👻

Esta semana quiero que te pongas el gorrito de papel de aluminio. Sí, ese, el que usas en privado cuando piensas que el mundo se ha vuelto un poco loco y tú eres el único que lo está viendo venir. Pues hoy lo vas a necesitar...

Vamos a hablar de una conspiración. Una que no viene de Hollywood ni aparece en hilos de Reddit, pero que está más presente de lo que nos gustaría admitir. Una conspiración silenciosa que se cuela por los racks, los terminales y los firewalls de muchas empresas: la falsa sensación de seguridad.

Llevamos semanas trabajando en varios incidentes de seguridad. Algunos graves. Casi todos evitables. Empresas que, desde fuera, parecían tenerlo todo: buen firewall, Active Directory bien plantado, paneles bonitos y hasta informes de cumplimiento que lucían como diplomas de universidad. Pero cuando rascas un poco, te das cuenta de que esos sistemas estaban ahí, como quien se compra una cinta para correr y la deja en el salón para que adorne.

Lo peor era el convencimiento de que estaban protegidos. Habían comprado la solución. Y ya. Tenían una caja, una licencia y una promesa de que todo iría bien.

De hecho, al final, surgió la pregunta de siempre: “¿cómo ha podido pasar esto?”

Lo habéis dejado pasar. Lo hemos dejado pasar.

Pero espera, que no es aquí donde quiero llegar, déjame seguir hilando... ¿Tienes ya el gorrito puesto?

También esta semana, enseñando a los estudiantes de prácticas cómo usar escáneres de vulnerabilidades, les mostré cómo, con Nmap o Telnet por ejemplo, podíamos obtener los mismos resultados de forma manual. Les dije: “no existe la magia en esto. Las herramientas automatizan, pero tú tienes que saber qué están haciendo por debajo. Ya que entonces no sabes ni lo que estás viendo ni por qué deberías preocuparte.”

Y, ahora sí, aquí viene el gran problema: hemos delegado la seguridad (y casi todo, la verdad) a cajas negras. A fabricantes. A abstracciones. A promesas. A frases como “esto lo hace todo solo”. Nos hemos convertido en una generación de administradores que ya no administra, sino que suscribe. Que no entiende los sistemas, sino que los alquila. Y que, cuando algo falla, no sabe ni por dónde empezar a mirar.

De hecho, creo que el mayor riesgo de hoy no son los ciberdelincuentes, sino la ignorancia disfrazada de control.

Es por eso que, cuanto más tiempo llevo en esto, más ligera se me hace la maleta. Ya no cargo con la ilusión de que todo se arregla comprando cosas. Ahora sé que hay cosas que solo se arreglan con conocimiento, con manos dentro, con sudor en la frente y ganas de entender lo que tienes entre manos.

Cada vez desconfío más. Y no es que me haya vuelto paranoico… bueno, quizás sí. Pero dime tú:

• ¿Quiénes son esos que me “dan” la inteligencia de red? ¿Por qué tengo una sesión BGP abierta con esos tíos?
• ¿Por qué mis datos pasan por ese proxy intermedio de una empresa que no sé bien quién financia?
• ¿Por qué mi UTM envía todos esos datos a esos servidores cada poco?
• ¿Por qué estoy metiendo datos confidenciales en una IA que no tengo ni idea de dónde ni cómo ni por qué almacena la información?
• ¿Desde cuándo una webcam necesita que firme 80 páginas de política de privacidad para funcionar?
• ¿Por qué tengo más tráfico saliente un domingo a las 3 de la mañana que un lunes en hora punta?
• ¿Por qué mi lavadora recopila big data? ¿Me explica alguien esto?

Todo esto se nos ha ido de madre. Hemos perdido el control totalmente. Y, de hecho, no creo que podamos recuperarlo. O quizás es que empiezo a ver enemigos por todas partes.

Y lo peor es que muchos de ellos están donde juramos que nunca estarían: en nuestras propias herramientas, en nuestros propios sistemas, en nuestras propias decisiones.

Antes confiábamos en servidores que montábamos, configurábamos y entendíamos. Ahora confiamos en cosas que no vemos, no tocamos y no comprendemos. Y encima nos creemos más seguros. Ironías del siglo XXI.

Vivimos tiempos donde la apariencia importa más que la sustancia. Donde tener un panel con muchos colores vale más que una red bien segmentada. Donde nadie audita ya que “vino alguien el año pasado” y donde todo el mundo confía en que si nadie se queja, es que todo va bien.

Pues no, no va bien. Va mal. Va muy mal. La falsa seguridad es más peligrosa que la inseguridad reconocida. Al menos si sabes que tienes un problema, puedes empezar a actuar. Pero si te crees invulnerable, ya estás perdido.

Así que, antes de dar por segura tu infraestructura porque alguien dijo que sí, siéntate un rato. Abre un terminal. Escanea. Prueba. Entiende. Revisa quién mantiene qué. Habla con tu equipo. Revisa tus políticas. Y si no tienes, créalas.

Y si todo esto te suena exagerado, ponte el gorrito. Créeme, cada vez hace más falta. "He visto cosas que ustedes nunca hubieran podido imaginar...".

Feliz Domingo.

🔗 Newsletter patrocinada por: 🔗

   Protecting what matters most

🔊 Llámalo podcast... 🔊

Los capítulos de esta semana:

• TT3 Episodio 13: Hagas lo que hagas, hazlo bien.

Todos aquí: https://go.ivoox.com/sq/2343562

🔗 Cajón desastre... 🔗

Los enlaces que he ido recopilando:

• Trapping misbehaving bots in an AI Labyrinth. Acojonante...

• https://hayahora.futbol/estado/ ESPECTACULAR

• Court Orders Google to Poison Public DNS to Prevent IPTV Piracy. Que viene que viene...

• Lo que querría LaLiga ya pasa en Italia: VPNs y servicios como Cloudflare tienen que responder ante las autoridades.

• Statement on CVE-2024-22033 – Compromise of Open Build Service via source services.

• SoftBank buys server-grade Arm silicon designer Ampere Computing.

Y fin...

Los informáticos sois gente muy rara... ¡mucho!