tv.um.es

Después pues pues buenos días a todos muchas gracias Raquel por la presentación efectivamente el secreto está en la masa no está en la pasta, era un todo por la pasta o el secreto hasta en la pasta, porque lo que voy a contar son aquellas amenazas que veo habitualmente que vemos habitualmente desde el punto de vista corporate, tanto corporativo, que afectan a empresas como a ciudadanos mal. Entonces voy a hablar de 3 tipos de casuística, que a lo mejor alguno de ellos nos suena, y a lo mejor alguno de ellos tenéis la suerte de que no suene pero vamos, que el objetivo es que aprendáis cómo hacer que si os suene antes de que os pase mal. Este es un poco la idea. Ya me han presentado Raquel, soy el director de securizadas, soy ingeniero en informática y colegiado por el Colegio Profesional ingenieros de La Rioja, y ahí tenéis mi correo de contacto para lo que necesitéis, mucha gente aquí ya mucha gente dentro de la gente mucha ya me conoce. Por lo tanto, saben cómo contactar el primer tipo de amenaza del que voy a hablar es lo que se conoce como bis, y me compro máis, que me consta, Gustavo justo estuvimos hablando hace unos días de esto por cosas que pasan, porque esto pasa en todas partes y es una amenaza que afecta a empresas; es una lacra que afecta a empresas. Hay alguien de aquí que no sepa lo que es el símil Compromís, que no les suene, poder levantar la mano tranquila; alegremente esto? No se graba, no hay ningún plan perfecto, entonces lo voy a contar igual, pero por lo menos para que por saber un poco cómo está el saque, que es lo que sabemos y lo que no sabemos, este tipo de ataque, este tipo de amenaza consiste y afecta a un servicio más viejo que el fuego en Internet, que es el correo electrónico. Todo el mundo tiene su correo electrónico y todo el mundo vive tranquilo porque es una cosa de la cual no podemos desprendernos y vivimos pegados a nuestro correo electrónico, y confiamos que nuestro correo electrónico es un servicio seguro, como es antiguo. Como no es nada novedoso, como esto de la idea es una cosa, que es que es de toda la santa vida, pues el correo es seguro. Bueno, pues el correo no es seguro. Por qué Porque lo único que hace falta para que alguien pueda tener acceso a nuestro correo electrónico por defecto es usuario y contraseña verdad. Toda la vida o Google, MEL o conexión por 3 conexión por I más D o ese no por 3. Ese IVA, pese al final, a lo que nos vamos a enfrentar es que un tercero ha podido tener acceso a un buzón de correo y ha podido enterarse de una comunicación comercial, de una relación comercial que hay entre proveedor y cliente en algún punto, aparte del secreto de las comunicaciones, pero 1 de los problemas está en que alguien pueda acceder a ver el contenido de esos correos y lo que es peor, en base a lo que vea, poder actuar y poder generar correos nuevos con una factura falsa, por ejemplo, con un pedido falso o modificar dentro del buzón de correo una factura que ya existe, poniendo un número de cuenta distinto al que tiene que tener, es decir, que al final va a hacer que alguien pague dinero a una cuenta bancaria que no es a la que se supone que tenía que hacerse un pago va a parar a una mula, y eso al final deriva en que haya alguien por ahí que se hace rico en base a que muchas empresas Palmas, pasta el todo por la pasta, en este caso, en el secreto, está en la pata. Es entender el que esto pasa porque el secreto está en la pasta en que haya alguien que se hace con la pasta de otros. Para esto hay que entender un poco cómo funciona el correo electrónico, cuando nosotros nos conectamos para leer o para enviar un correo. Utilizamos lo que se conoce como mail y use de un programa o un buen mail, que lo que nos permite es interactuar con nuestro buzón. Para leer o para enviar un correo. Cuando enviamos un correo a quien se encarga el cartero que se encarga de coger la carta y llevarla al buzón. Es un servidor, que se llama meter 1.000. Transfiere y en vale; es decir, donde lo que está configurado en nuestro servicio, en nuestro buzón de correo, en nuestro programa de correo para que tú me es mi correo, tú eres. Quién puede enviar correo como Lorenzo roba, se cure y se ame punto. Cómo y dónde lo vas a enviar? Por lo vas a enviar a PP a roba? Se cursan. Me punto comer. Decir que de aquí nos sale. El mismo emite a lo recibe, y lo envía a su buzón, que está en el mismo sitio. Por lo tanto, no hay problema; sin embargo cuando lo envió ha gustado a Roa gemelo; punto común como el dominio gemelo; punto con ese corríjame, mío mete a quien tiene que despachar; el correo busca quién es el servidor de Gmail. El servidor en Internet, que responde a Gmail punto, compra, recibir correo, se hacen una serie de comprobaciones, o eso espero y si todo es correcto el correo el mensaje pasa al buzón del destinatario y él, cuando quiera, cuando pueda, cuando se despierte abrirá el programita de correo y recibirá y sincronizar sincronizan a su buzón. Para ver qué correo le ha llegado todos estos elementos cuando nos toca identificar qué ha pasado en un caso como el documento de bienes, y me compro máis de vez en todos estos casos. Todos estos elementos guardan información que cuando queremos hacer un análisis forense para ver quién tiene la culpa, porque el secreto está en la pasta en la pasta, está el secreto en que habrá un seguro o habrá un alguien en el cual yo hago un pago de una factura y la parte contraria dice. No sé yo tendí el correo con la factura, con mis datos reales a los que tenía que llegar. Si tú has pagado otra cuenta mí que me cuentas claro, él a mí que me cuentas está muy bien, pero yo he hecho el pago a la factura, a los datos bancarios que venían en la factura, que a mí me ha llegado o mejor dicho, que están en mi buzón. De entrada vale, y este es lo que tenemos que dirimir nosotros. Quién de los 2 lados tiene la culpa? La culpa la tiene Oiga, usted ha hecho un pago del número de cuenta que no tocaba? Vale, pero como se ha enterado un tercero de que tú y yo teníamos esa comunicación comercial porque han accedido a tu buzón o porque han accedido al mío y en base a eso luego hay juicios y hay cosas en las cuales es sumamente bueno, ningún juicio son agradables, lo aseguro, es decir que haya alguien que ha tenido acceso a algo de esto, pero no se sabe a que hasta que no te leías, al analizar todas las partes, todos los elementos tienen información forense. Desde los propios correos electrónicos que van guardando país estamos de lo que ha ido pasando, y eso está ahí; están los añaden los servidores MTO a por los que van pasando, y eso es algo o parte de lo que tenemos que mirar, pero si han accedido al buzón de una víctima y han modificado una factura dentro, el servidor de correo, que gestiona los buzones tiene que guardar registro, de qué usuarios y desde qué IPC se han conectado a qué buzones, y si veo que siempre es una IP de aquí de la Universidad de Murcia y de repente. Veo que la IP es de Nigeria. Pues hay algo que no cuadra; vale. Habrá que ver, es decir, por qué en este rango de fechas hubo otra persona que veía en modo comiendo palomitas los correos que a mí me entraban a los correos que yo enviaba. De eso va este curro ejemplos o casuísticas; no fijamos que aquí alguien que pueda tener acceso a mi cuenta real Lorenzo roba se cruzan el punto común; podría enviar correos desde Lorenzo a roba, securizado punto con al destinatario que sea pidiendo pues una factura o haciendo cualquier cosa ya que los pueden enviar desde aquí te garantizo que el correo va a llegar al destino sí o sí y perfectamente, porque lo enviado desde mi buzón de correo, que hace el atacante habitualmente en este caso juega con una cabecera, con una opción que se llama el Ripley, tu, que lo que hace es que tú desde el muga, desde el cliente de correo, le puedo decir cuando responda, cuando el cliente desde cualquier muga, desde su móvil, desde otro lugar, desde un deber, desde donde sea la idea responder, no se responde a la dirección de correo desde la que vino el correo, sino a la que viene como responderá. Esto se asume que como él el emisor del correo no tiene acceso habitualmente a su correo desde otros sitios de fuera y a esa otra segunda cuenta. Así pues tú has puesto que se envíe. Pero quien lo ha hecho ha sido el que ha suplantado, tu identidad, del que accedió a tu buzón de correo, y ha enviado el correo. Entonces. Toda la comunicación posterior ya la vas a hacer en la víctima, la va a hacer con el atacante, porque esa cuenta es un Lorenzo punto. Se cruza fe, carro, bájeme el punto o lo que sea, que controla el atacante. Otra casuística es jugar con el display, el display, nombre visible en el correo. Es que tú cuando das de alta en tu búho, en tu programita de correo, una cuenta la cuenta, no la puedes cambiar. Es Lorenzo roba, se cruza de punto, pero en el display, en el nombre divisible, yo puedo decir que soy Obama, da lo mismo, yo puedo ponerme el nombre que a mí me dé la gana en el origen, en el nombre, en lo que tu programa de correo va a haber, el destino. Entonces, yo puedo hacer 2 cosas. Una o directamente enviar un correo desde otro dominio que se parece mucho, pero no es una opción, pero soy Lorenzo Martínez, pues claro, puedo poner lo que quiera, y el Lorenzo Roa securizado. Me he inventado punto como a lo mejor en vez de ese curiosamente podría ser ese 3 jurista. Me punto con. O se cubre 1 famoso punto con o algo que se conoce como taifas, 4; es decir, alguien que se crea un dominio y que a partir de este dominio genera buzones de correo y envía Correos desde una cuenta que es igual, pero le falla una letra o algo vale. Como decía el display yo puedo enviar, o desde una cuenta la que sea Lorenzo robase corríjame, con punto es por ejemplo un dominio que comprado y que es falso, pero en el display, como puede poner Obama Lorenzo, punto Martínez, Lorenzo, espacio Martínez, o lo que yo quiera, tengo el campo, nombre y apellidos para poner lo que quiera. Lo que hace el atacante es poner el correo Lorenzo, robase cruzarme el punto con como mi nombre y luego, pero realmente el correo viene desde una cuenta que no es Lorenzo se cursan punto. Esto funciona y esto hace que la gente caiga al engaño y no, no, esto me ha llegado desde la cuenta Lorenzo roba, securización punto, pero no es verdad, y ya luego lo que es la caña es que en el campo nombre te ponen un nombre compuesto, Lorenzo Martínez apellido. Bueno, eso lo sé yo, pero el que genera el correo, el que configura la cuenta de correo en el mundo pone como Lorenzo Martínez en el nombre y menor Lorenzo robase, curiosamente punto con mayor en el apellido. Por lo tanto, desde donde te llega es un nombre visible, que realmente es todo nombre visible. El campo correo te lo están poniendo dentro del nombre y tú a lo mejor no ves que luego viene desde una cuenta distinta, porque de hecho determinados clientes de correos determinados, sobre todo en móviles, te esconden. Eso para mostrar pelo. Porque en una pantalla chiquita pues claro lo que cabe Por qué pasan estas cosas? Pues estas cosas pasan por varios motivos. Pasa habitualmente, porque el atacante ha tenido acceso a 1 de los 2 buzones y me ha pasado que también a los 2. En algunos casos para poder. Yo ver el contenido de un correo, solo necesito usuario y contraseña. Desde hace un tiempo se lleva diciendo Oiga y habilite usted doble factor de autenticación para que por lo menos la primera vez que configura en un dispositivo una cuenta de correo te pida un doble factor, que puede ser el Google auténtica y 3 metros, auténtica aitor, un SMS, unas señales de humo, lo que sea, pero algo para asegurar que eres tú quien el titular que está dando de alta esa cuenta. Pero hay muchos proveedores de correo electrónico alguno aquí en España que es una vergüenza es una vergüenza que ahora apena que se ha ido bueno, desde Incibe verdad? Perfecto. Es una vergüenza que Incibe no obligue a algunos proveedores de cerca de mi tierra o de mi tierra, a decir obligatoriamente obligatoriamente el doble factor de autenticación, lo tienes que poner. Te doy 24 horas desde que es una cuenta de correo hasta que habilite ese doble factor de aplicación y si no te lo doy, de baja y a cáscara. Eso es una solución. Porque si no, simplemente con un buen mes como este que esta es de la pantalla de autenticación, de ese proveedor de correo en concreto. Bueno, que alguien decida aquí que me quede aquí que no se vaya, por favor cerrar la puerta, que no salga 6 ya ya. Bueno, ya ya recomendar yo si yo se que sí que sí lo sé lo sé, lo sé, pero tú me entiendes a lo que yo me refiero, que si que de alguna manera se presione porque esto está, o sea yo tengo peritajes, muchos en los cuales por culpa de este proveedor en concreto por culpa de este proveedor hay empresas que quieren poner una demanda conjunta a ese proveedor porque creen y entienden que es por culpa de no haber, obligado al doble factor de autenticación, que un tercero ha tenido sus contraseñas para poder acceder y dice estupor. Y cómo puede pasar eso, porque alguien le ha mandado un correo como este, que simula ser, pero no es de ese proveedor. En concreto, este no viene de ello, nos viene de guiones, vale, punto neta y arriba y en algún punto le pide haga clic aquí para entrar en el sorteo de un patinete o cualquier cosa, vale cualquier cosa y a partir de ahí le piden un usuario y contraseña y ese usuario y contraseña, va a parar a vete tú a saber dónde y ese saber dónde es que un tercero accede y hay campañas de este proveedor en concreto en los cuales porque es un proveedor que tiene muchos clientes y te da la opción de habilitar el doble factor de auténtica censura, dar trata nada. Pero qué es lo cómodo? Pues no ponerlo, vale. Lo que tiene que ser es obligatorio en Microsoft, en Google te lo obligan y a partir de ahí bueno no digo que sea infalible, porque hay gente que le engañan igualmente para darle el doble factor de autorización y la gente pica, y se lo da, pero por lo menos ya reducimos el escollo, no, o otras cosas sin las cuales aquí sí que no le echo la culpa al proveedor. Ningún caso de correo es un info style. Es decir, que la víctima sea bajado el crac no se quede el programa, no sé cuál del taurina, y es bueno ya no porque no existe, pero vamos en su día se bajaban alguna cosita en concreto, el famoso caer en ese pico, por ejemplo, que pasó en Orange a principios de este año, verdad que hace que capture de aquellos formularios en los cuales una un usuario mete usuario y contraseña, y esos datos van a parar. Algún lado van a alimentar paquetes de credenciales, que luego se compran en la web o directamente van a alguien que es el que recibe. Esto y simplemente va aprobando usuarios y contraseñas y dice. Con esto funciona para mí Cómo funciona esto y hay diferentes casuísticas. Aquí voy a contar alguna. En el caso de debe no de cómo está comprometido un lado o el otro lo que a mí me toca distinguir es cuál de los 2 lados es el que su acceso ilegítimo ha posibilitado que se cometa la estafa. Si está comprometido a la cuenta del proveedor un clásico, el cliente envía un pedido a un proveedor y eso va a parar a su buzón de correo. Pero qué pasa, Que el malo está ahí y está mirando lo mismo que ve llegar la víctima si yo, como malo, tengo acceso a un buzón vía y mal, por ejemplo, puedo crear una regla para que todo aquello que llegue ahí un box antes de llegar hay un box, vaya a parar lo mueva, lo marque como leído y lo malla lo marque, lo lo envíe, perdón, a una carpeta que el usuario no ve, vale. Qué es lo que hago yo? Como malo miro solamente esa carpeta, es más, puedo hacer que si solamente me viene de este origen, que ya he visto que tú y yo estamos hablando de que me vas a mandar un pedido que si esta sería lo que yo te ofertó, que si no sé qué solo quiero que los correos que vengan de aquí me vayan a parar a esa carpeta y yo, como atacantes solo estoy leyendo eso un tiempo Después y cuando tú a mí he visto que más enviado. He pedido ese pedido, nunca llega al in voce; es más lo veo y lo borro vale ese correo con el pedido, pero yo, como atacante, como tengo acceso al buzón de correo del proveedor, lo que puedo hacer es buscar una factura, formato habitual de otras facturas que haya enviado y poner los datos que vengan en el pedido y aquello que en la víctima me esté mirando y mandarlo desde el propio correo electrónico del proveedor, porque tengo acceso al mismo una factura con un IVA en falso de una víctima de una mula, bla, y a correr lo puedo mandar desde su propia cuenta de correo, que, total todo lo que me devuelvan va a ir a parar la carpeta 2004, que me la voy a leer yo, o haciendo un replay tú, como hemos visto antes a una cuenta que control, atacante y toda la comunicación a partir de ahí se lleva entre víctima y atacante. Otra opción es que el proveedor haya enviado una factura original al buzón de correo del cliente. Como el atacante tiene acceso al lado del proveedor, lo que está mirando es salientes, correos salientes únicamente y eso da lugar a que no puede parar la factura que ya se ha enviado, pero sí puede generar otra diciendo Uy perdón perdón perdón perdón que el IVAM al que iba a que te puesto el número de cuenta de una que vamos a cerrar San! No te preocupes, es esta otra. Es más, toma un certificado bancario que además prueba que esta cuenta es mía, del certificado bancario es igual de falso que la factura. Es decir, está hecho a unos datos que obviamente no son y hay en algunos casos canta un montón, pero en otros no, en otros está hasta con la misma tipografía está estupendo otro caso distinto cuando lo que está comprometido es el lado del cliente, vale, el proveedor envía una factura y le dice al cliente paga esto. Esta factura que pasa, Que como está comprometido el lado del cliente, las mismas reglas que son capaces de generarse en el lado del emisor las puede generar, en el lado del destinatario lo manda la carpeta 2004, se lee? Que tú le has enviado una factura original, esa factura no llega a pasar por el limbo, pasa, pero pasa a toda pastilla; o sea, es decir que no se da cuenta. Lo normal es que no se dé cuenta el usuario, que eso ha llegado, y un ratito Después, como el atacante tiene acceso a esta carpeta y al correo, pese a todo lo que nos han dicho, un correo electrónico es modificable en su contenido y lo que hace es modificar el correo insertando la misma factura, pero con los datos bancarios de la mula a la que va a recibirse la pasta, y esto se mueve al limbo de la víctima y a todos los efectos, es más, incluso el atacante cambia la fecha. El campo de vale que lleva la fecha y la hora de llegada, si en esto tarda el atacante, 20 minutos en hacerlo, en modificar el contenido entre que lo ve y lo cambia a ver una mula en España, vale de este banco. Bien, muy bien que tengo, pues tengo este. Lo pongo en ese cachito de tiempo. Pasa un rato. Si el cliente, imagino que son las 10 de la mañana y la víctima, recibe un montón de correo, si simplemente modifica el contenido y lo pone en el limbo, si solamente hace eso a lo que vamos a llegar es que vería el receptor del correo, que ese correo llegó hace 10 minutos, hace 15 minutos. Eso es raro y canta tiene la hora. Mal, hay algo extraño, no te preocupes. Si puedo modificar también la cabecera del delito y te lo pongo atacante como que acaba de llegar, y entonces a todos los efectos, el cliente lo único que ve es que le acaba de llegar un correo con una factura, a no ser que tenga sala, a quien te lo envía al teléfono, diciendo. Te oye, que te le ha enviado. Cuántas veces les ha pasado lo de bueno esperado, un poco que es que esto tarda un poquito porque pasa por un montón de sistemas de seguridad. Si pasa por un tío que tenga que cambiar la factura y su contenido, no. Pero bueno, ese es otro tema. Y qué es lo que nos cambian, los datos bancarios que están aquí dentro? Y cómo analizamos esto nosotros? Pues entre otras cosas, jugamos con lo que se llama un pain, gestionamos y analizamos las líneas de tiempo de los diferentes correos, tanto el que está en el buzón del receptor de la víctima como el que está en el buzón enviados de quien lo es, quien se supone que envió 1 correcto. Obviamente, las facturas difieren, los números de cuenta difieren y hay que identificar dónde está el problema. Pues yo lo envíe bien, vale. Cuántos correos recibió la víctima 1 o 2, recibir un segundo diciendo hoy perdón, perdón, que no es este número de cuenta, no solo recibió 1, vale, nos vamos al destino, miramos los campos de los países, Estados por los que se han ido añadiendo las fechas y horas y la fecha de IT, y adicionalmente podemos mirar los metadatos del PDF con la factura, y ahí posiblemente nos van a cantar 2 cosas. Una, bueno, aquí canta todo, no el creador que se ha hecho con un converso de J, PGA PDF en el cual han metido por medio el número de factura. Parte que si vemos un creador que es hay los PDF punto con ese no guarda ni los siquiera vale, cambia el tamiz, son de cuando se ha guardado. Obviamente, cuando tú creas una factura la crea la fecha de creación y última modificación, pues es la misma, pero cuando ha habido una modificación pues cambia la fecha y la modificación. Si la modificación es posterior a cuando está las fechas de envío de pasar por las cementeras, sabes que el desfalco se ha producido en el destino. Entonces ahí y con estas herramientas es con lo que vamos a juicio. Va a decir. Oiga, mire usted, esto ha sido en destino por esto, por esto y por esto pida por favor usted los los de acceso a este buzón de correo en tal rango de fechas, y cuando vas a ese proveedor le dice Oiga, que quiero que me dais las direcciones IP y las fechas y horas en las cuales alguien accedido a mi buzón no te lo puedo dar por la antes LOPD. Ahora me lo tiene que pedir la Guardia Civil a la Policía, pero por qué si son mis datos, son a mi cuenta. No quiero saber quién accede a la cuenta. Este señor quiero saber quién accede a la mía y quiero, si soy yo, qué más da de. Sí es desde un baldón al suelo desde aquí ahora, desde mi móvil. Yo lo que quiero es saber desde desde donde se accedió. Pues no se puede ni siquiera el titular, no te lo dan, lo tiene que pedir Policía, Guardia Civil y tarda un tiempo. La causa por la que no te lo dan ahora que estamos en petit comité que somos pocos es porque dicen que tienen todos los en un mismo fichero y tu edad. Conocen, vale Bueno, pues es una cosa del cual me filtra solo la línea que ponga en mi buzón de correo y el resto no las quiero, me genera solo las mías y me las mandan, que es lo que hacen a Policía. Entiendo que le darán, o a Guardia Civil le dan el paquete entero de esas fechas de todo y ellos que se busquen la vida o o, o no No lo sé, pero para darles una cosa filtrada a mí me la pueden dar igual; es más, en Microsoft o en Google, sitios a los que os recomiendo que tengáis vuestro correo y no en proveedores, que no os dan los los de acceso a vuestro correo, cuando hace falta para nuestras empresas pues directamente lo pueden ver. Tú vale. Bien, casi todo real. Una empresa, esto ya les había pasado a una empresa española que comercia con China, exporta o sea, importa productos y luego lo vende. En España ya les pasó y, bueno, dijeron en un momento determinado, oye todo estupendo, pero a partir de ahora, si volvemos a tuyo a tener una comunicación comercial, tenemos que contactar para confirmar por otro canal distinto que el número de cuenta que me está exponiendo es el que, de verdad, no te preocupes, lo vamos a hacer por teléfono, pero como lo hacen como contestación a ese correo hacen un responder, y le dicen, vale, pues llamarle por teléfono, que yo vea que y me dice me dictan los números de número de cuenta el sustituto, dosis y no te preocupes, muy bien, pues reciben una llamada a recibir una llamada desde un número extranjero, así de largo, dicen Ah, claro, el chino que me está llamando aquí y les habla un tipo en un inglés bastante malo bueno, lo que se espera, que hable un chino, no nos peras que te llame, no se Tony Blair vale o 700 ya mutuo con acento raro que habla inglés bien sí sí pues estos son los números perfecto, que es lo que pasó Que luego miraron el prefijo y no era China, era Rusia. Así que, al final no es lo mismo un osito; que el otro vale o se padece lo mismo, pero no solo veo a qué me refiero? A que el canal por el que tú contestas no puede ser el mismo, porque si está comprometido ese canal, pues, pues, te van a seguir haciendo; Cómo se puede evitar esto de los ve? Bueno, por una parte, que esté todo bien hecho; todo bien hecho Bueno, se puede hacer que esté a nivel del dominio, esté bien configurado el speed, el de quienes de mar; todo; estupendo; esto se puede hacer, pero esto no garantiza más que hay que cuando te llega un correo desde un origen en concreto, no se puede suplantar desde otra IP que llegue con el mismo origen. Eso está bien? Vale; o sea, con el mismo olor en Ferrol. La secuencia punto desde una IP de aquí os garantizo que no va a llegar porque el speed está bien. Configurado. El de quien está bien configurado, el de mar, está bien para que, en caso de que no coincida, lo manda cuarentena. Entonces, hasta ahí todo correcto, pero ya el buzón, el buzón, que no esté expuesto a Internet, cómo hacemos esto? Los casos de los buzones de ese? Curiosamente no están expuestos a Internet? Por qué Porque tengo que acceder por UPN y en tu móvil, como lo hacen porque tengo permanentemente un nuevo empeño levantada con mi empresa punto, y siempre funcionado desde dentro. Eso hace que no haya fuerza bruta contra mi buzón, ni contra el mío ni contra ninguno de mi empresa. Eso hace y obviamente es viable en algunos sitios para un correo público. Pues obviamente no puedes hacerlo, pero si tú gestionas tu propio correo, cosa que si no tienes un Microsoft, Google te recomiendo que gestione este propio correo. Esto sí es implementable, y el buzón de esta manera al menos ya no es brote force, hable desde Internet, vale o no te puedo, te pueden robar hasta el usuario, la contraseña, pero como no está expuesto el servicio no van a poder acceder que haya un acceso autenticado con un doble factor, y que sea obligatorio. De verdad que esto sea obligatorio vale? Esto es imprescindible autenticación del dispositivo modelo 0 atrás y hay otra cosa que podemos hacer sin tecnología, que es usando la cabeza y no la haría. Es decir, Protocolo de pagos, señora que tiene que hacer el pago, señor que tiene que hacer el pago muy bien. Cuando usted vaya a hacer un pago a otra empresa pasan 2 cosas o aprovechar una transferencia hecha anteriormente. Esto es una cosa muy curiosa. Vale, porque sabes que el número de cuentas va a ser eso es muy curioso. El otro día había un caso que le habían accedido a alguien al banco y le habían empezado intentado modificar que el número de cuenta de envío de a una empresa en concreto fuese otro distinto. Sinceramente, no sé cómo se hace eso, ahí no lo puedo saber, pero básicamente pensemos oye, a que el número de cuenta y pagado siempre que lo tengo apuntado y registrado cuando le he pagado a esta empresa, pues a este número de cuenta es el mismo que siempre, que le he pagado y que no se ha quejado y que me ha hecho el servicio y que todo va bien. Si pues siempre le pagara ese número de cuentas, si viene 1 distinto, llamo yo por otro canal, pero no al número que viene en el correo, sino al que yo sé que es de la empresa, porque el que viene del correo también me lo pueden haber adulterado para que vaya. Estoy hablando con un tercero que no es el que es, es vale, y si es la primera vez, pues evidentemente, igual vale, o sea contactar asegurar que ese es el número de cuentas y adelante. Lo del certificado bancario es una tontería, es que con eso yo ya me aseguro que tomen vía de ese ya, pero es que el que te lo envía a lo mejor te manda un certificado falso, porque es que esto se ve. Entonces lo de esa medida que alguien se inventó en algún momento de que con un certificado bancario valía yo muy bien todo, pero mientras no puedas confirmar con el banco que no lo puedes hacer por propiedad, por protección de datos una vez más. Si ese número de cuenta pertenece a esa empresa o a ese titular Pues jodidos estamos, vale, y otra cosa que quien lo podría hacer serían los bancos es el asegurarse que el titular de la cuenta que recibe la pasta, porque el secreto está en la pasta, es el mismo que el ordenante de la transferencia puso como beneficiario, es decir, si yo le voy a pagar a la empresa comunicaciones y seguridad de la información es que es la mía, y el titular de la cuenta destino lo tiene que comprobar. El banco destino es una señora que está en una residencia de ancianos, por ejemplo. Vale? Es que el titular porque se roban esto no lo digo por por nada es que esto pasa en ese titular. No coincide con el beneficiario en ninguna letra ni en ningún orden, porque no se acepte esa transferencia o se bloquee la pasta, porque está claro que ahí hay un Cristo y evitaríamos esa estafa y dices. Tú es que un banco no puede hacer eso como que no puede en las transferencias internacionales. No solo puede hacerlo, es que es obligatorio hacerlo en una transferencia suite. La echan hacia atrás. Si no coincide todo cómo tiene que coincidir, pues en una nacional que lo hagan igual. Los mecanismos técnicos existen, porque si no no existirían para hacer esto Pues que por lo menos lo bloqueen, que avisen que llamen algo vale? Bueno, pues hasta aquí lo de los siguiente amenaza. Siguiente cosa con la que nos tenemos que enfrentar. El rancho Wert yo creo que esto sí lo conocemos todos vale y consiste en el secuestro de una serie de datos. Todos los datos de una empresa a cambio de que pague es dinero para recuperarlo. Como el secreto está en la pasta en este caso está en bitcoins, el atacante nos esconde, te dice. A mí me pagas no sé cuánto en bitcoins o no te devuelvo y aquí se abre un abanico de posibilidades un programa de gritos que deja las cosas como estaban, pero puede que hayan dejado otros regalos en la empresa. Esto lo hemos visto en muchos casos o directamente. No es que te borrado los datos, me los he llevado, y te pondré un enlace de descarga los 2 casos que he tenido de estos. El cliente ha hecho pago y a Palma palmada. Los datos nunca le han dado el acceso de descarga posterior ni se los han restituido, etcétera. Entonces lo digo por si os pasa. Bueno, si les pasa a llamáis, pero si no, que no pase, vale? Porque mi trabajo y suele ser asesorarán a la víctima, es decir, pues ojo, cuidado? Porque encima vamos a Palmar los datos y la pasta en bitcoins, lo normal, y además se le llama RAN software, pero como metonimia no se le suele llamar, me entra un cripto lo que digo, media que viene. Esto tiene por fíjate, 3 de mayo de 2015. O sea, tiene muchos años. Este fue de los primeros. Antes, como decía Félix, el famoso WannaCry, verdad, en mayo de 2017 que fue que tenía esta esta pinta, luego hay otros en los cuales este es el grupo al black, un grupo ruso, que son bastante cabrones y piden mucha pasta. En este caso pedían 303.000.000 de dólares dólares no está en pesos colombianos, esto sea esto, es decir, que esto es un pastizal mala, y si lo pagaba rápido 3.000.000 lo pagabas tarde! 3.000.000 medio está profesionalizado, tienen hasta un servicio de chats. Esto funciona mejor que en 1.004 Vale, o sea, tú escribes aquí y dependiendo del grupo. Van como un tiro. Sea te contestan enseguida. Los tíos te dan un soporte maravilloso, te dejan descifrar un par de fichero. Hitos está muy bien mal, o sea, quiero decir, cuando tienen esto tan profesional sabes y al menos tienes la tranquilidad entre comillas de que si es un grupo conocido la probabilidad de devolución es mayor, pero tampoco os fiáis tampoco os fiáis. He tenido un caso hace 2 semanas de una empresa en la cual se pagó entregaron el escritor hasta aquí todo bien, y el decreto funciona parcialmente, porque el proceso de cifrado cifró algunos ficheros y otros no les añadió la extensión ni una cabecera, que es la del grupo en concreto. Por lo tanto, el decreto cuando va a solucionarlo dice. No puedo hacerlo. Has cortado. Mientras estaba cifrando, me dice el cliente. No, no. Aquí esto llegamos un lunes y aquí se cifró. Estaba todo Claro Bueno. Pues resulta que algo no funcionó y tenemos pues algunos ficheros cifrados y otros no, y cuando son todos parte de un todo o están todos cifrados o no funciona. En este caso lo cifraron los Balcanes con Bimbo, vale y no funciona. Hicieron todo también los Balcanes y hay otro problema, y es que algunos de estos grupos como por ejemplo lo vi, te hacen salir en lo que se llama el juego, FEMP vale el museo de la fama, pero traducido, es el Wall o 6, es decir, el muro de la vergüenza. Por qué? Porque bueno, a que no me pagas yo de momento te pongo ahí para presionar a decir los datos. Se van a publicar algunos datos. Se van a publicar. Voy a contactar, aquí vienen las extorsiones, voy a contactar con tus proveedores con tus clientes, con la prensa y ya la última es con la Agencia Española de Protección de Datos. En el caso de España, por si acaso tú no denuncias, no, no, notificas que te han petado. No te preocupes, ya lo notifico yo por ti, y encima te van a sancionar por no haberlo hecho Qué es lo que me encuentro en estas situaciones, y esto me pasa mucho, que yo llego ahí y es todo un caos. Es decir, todo está ardiendo. Todo. Bueno, pues 1 llega a lo que puede, y en algunos casos lo que me dicen es ame. Te buscar la vida, pero me recuperas todo vale. Yo soy el genio de la lámpara, por lo visto, o eso es lo que cree. La gente me tienen mucha fe, y no siempre es así. Yo lo intento. Voy a intentar que gestionar el ransomware todo. Muy bien, pero hasta ahí. Bueno. Pues dime cómo ha sucedido esto para que no me vuelva a pasar. Es decir, analiza cuál ha sido el vector de entrada y la puerta de explotación para ver de qué me puedo fiar, y que no. Pero me interesa. Como me han entrado en muchos casos. Una vez más. Como el secreto está en la pasta por el seguro, porque dependiendo de cómo hayan entrado, y yo lo tenía todo razonablemente bien. Seguir según las cláusulas del seguro. Pero te preocupes, que los del seguro se van a buscar la vida para encontrar alguna cosita por la cual no te van a cubrir o no te van a pagar algo en concreto. Esto pasa lo mejor es tenerlo bien y, de hecho esto del seguro muchos esto fue en 2020 si no me equivoco este anuncio decía en la exposición a ciberataques hace crecer la demanda seguros de ciberriesgo empresas e instituciones 2020, pandemia, cuando todo se expuso a Internet porque había que currar todo el mundo desde casa, sin embargo ACSA curioso e fijados. Esto aquí no lo veáis, pero lo digo yo aquí pone 7 de mayo de 2021 no dice dejará de cubrir los pagos por extracción ransomware en Francia esa te cubra todo, pero el rancho en Wert no, porque es tanto lo que me real que no puedo cubrirlo, pues cosas de la vida, el karma, el 18 de mayo, sufren un ataque de ransomware en Asia vale ACS sobre otra empresa de seguros. Dice augura el fin de los seguros contra ciberataques. Dice. Los ataques han crecido tanto que han dejado de ser negocio. Bueno, negocio para el seguro para los malos es una negociación o se lo aseguro, así que en muchos casos solo queda cuando esto pasa y no has tenido unas medidas implementadas fiable, si de verdad, porque es que yo me fío de mi informático, que lleva 20 años aquí es el que me cambia los cartuchos de tinta y los tonos de la impresora y el agua de la guerra, y no sé qué y me dice que me lleva a las vacas bueno, pues eso es cómo se hacen las cosas. He visto cosas que no o se imaginaría y lo que he llegado a ver entonces solo queda encomendarse ahí al cajero de los bitcóins, vale para para poder conseguir dinero de alguna manera, y esto no es fácil ni es rápido. Os digo que yo he tenido empresas que su paso del antes y el Después de un gran software es brutal. El cambio, como afectado, incluso psicológicamente, en gente he tenido gente que no ha dormido en una semana por ser víctimas de un ransomware y que digan. Es que, no sé si tengo que cerrar, es que tengo que cerrar gestorías, que manejan información de un montón de gente. Imagínate la demanda colectiva de que no se puedan presentar todos los impuestos a la vez o nóminas, etcétera, esto es una movida. Hay gente que luego dice que como ya me ha tocado, pues ya que le toca otro, esto es la hostia, se te dicen. Oye, es que a mí ya me tocó entonces como me tocó. No me va a tocar 2 grandes ejes como la lotería normal, o será no Bueno, pues como mucho, tendremos 1 o 2 casos de ransomware. Sabéis un poco el tono no y por eso hay que advertir a la gente, a las empresas, que esto es verdad. Atención, Después de un tren puede venir otro. Esto es en un paso a nivel sin barreras que aunque ya haya pasado 1 que no te fíes, que el siguiente pasa en 20 minutos, que a lo mejor viene otro que pasa por aquí que mires a los lados, pues es que la prueba de que eres vulnerable es que ya te han vulnerado. No, es que, como ya me tocó, se puede apretar otro tranquila y alegremente aquí la forma de solucionar esto. Yo lo que probo propongo siempre a los clientes es que tu última medida de protección son las copias de seguridad. Es que quiero que me auditen la empresa y me la blinda. Yo no puedo hacer eso, es decir, te puedo auditar la empresa te puedo proponer medidas de protección y prevención. Por supuesto puedo concienciar a tu gente, por supuesto, pero eso es una foto, hoy vale esta sala, verduras un mes y te vas a sacar sangre para que el análisis salga cuadrado y ese mismo día chuletón y hamburguesas. Bueno, pues entonces a partir de ahí yo no puedo saber qué vas a hacer o cómo va a estar tu empresa, y si vas a seguir manteniendo todo lo único que yo propongo aquí como una solución que se ha comportado como algo fiable es una solución de copias de seguridad que se aprobaran software nosotros momento España tenemos 1 que hemos hecho en se cure y SAME que lo promovemos nosotros, o la incide y que es un producto español. Vale, que es una solución española y que es una solución que de verdad ayuda como Vaca, híbrido local y remoto, inmutable de verdad a asegurar que tus datos están. Yo no puedo garantizar que no te van a petar, pero que si te en tus datos van a estar, eso sí lo puedo hacer y ya como la última amenaza vamos a hablar de algo que afectó directamente a personas, vale que las empresas son personas, nos olvidéis, pero en este caso a un particular a lo mejor vista, y se en Navidades. Esto fue el 30 de diciembre de 2023, un tweet único de tuits que salió en un montón de medios que decía. Estas Navidades están siendo duras, nos han estafado y nos hemos quedado sin ahorros. Lo cuento por si alguien ha pasado por lo mismo, por si sirve para que viene eje. Asuma su gran parte de culpa, ojo, que no sé yo y veremos Después de esto. Si NG tiene culpa o no. Básicamente dice el tío que le llaman os lo resumo, le llama a alguien desde un número fijo de Madrid que dice que es del departamento de seguridad y NG que él está alertando que sus cuentas pues están siendo accesibles desde una hija un 7 que oiga, pues es que esto hay que tener cuidado porque puede que alguien le vaya usted a mover el dinero a otro sitio y le vaya a robar con ello usted BNG sí bueno pues entonces y lo primero es este señor estaba concienciado y como yo saber que tú eres el BNG siempre está estimando, me dice. Pues coge el número de teléfono buscarlo en Google y verás que soy de la oficina de la calle Odón, el de Villena. Bien, pues a partir de ahí ingeniería social ya le han dado a la víctima pruebas de que realmente desde allí NG vale ya, a partir de ahí la víctima lo que hace es transferencias a las cuales no hay que robarle, ni siquiera las credenciales, ni dame el doble factor de autenticación. Nada, simplemente hay que decirle. Mueve tu vasca, porque el secreto está en la pasta a esta otra cuenta y ya vale a una cuenta segura de y NG, vale. El en 20 minutos hizo montones de transferencias contra esa cuenta en concreto o equis cuentas. En concreto, el número de la forma del doble factor de autenticación y lo que sea, le llegaban a él, hizo las transferencias y pasó en 25 minutos a 0 euros, y ahí quedó Qué ha pasado aquí? Y cómo ha pasado esto? Por un lado, le han suplantado las llamadas, vale lean suplantado el número de teléfono, de un número de y NG de una oficina de NG de Madrid. De verdad. Adicionalmente, decía el hombre en todos sus retuits, que también le había enviado un SMS desde un número que era de elegido, que ponía y NG diciendo. Este es el número de cuenta el cual tienes que hacer el envío de la pasta, o si pone y NG pues será que es así! No. Bueno, pues se puede suplantar tanto el origen. El cólera Idi en la llamada con algunos proveedores y también quien tomando un SMS te lo manda el bebé V. Hay ponerme de humedad y se estudie, y como puede ser esto ya, a quien responda, no es para que nos responda, vale, pero yo puedo ponerle cualquier cosa. Yo tengo un amigo que el 28 de diciembre me suele mandar ese meses diciendo que es la Casa Real, o sea, imágenes no, pero bueno, es decir, pues se puede hacer. En este caso hubo ingeniería social. Por una parte, conocía los datos de la víctima, donde tiene la culpa el banco Pues, hombre, los datos de la víctima, el saber que tú te llamas Lorenzo Martínez, que tienes una cuenta en y NG y que es este número de cuenta en concreto si son esos son los datos que te dan, puede haber habido un lío, un robo de información de una eléctrica, por ejemplo, que ha habido de algún sitio donde tengas domiciliado. Esos datos de domiciliación estén puestos en otra base de datos distinta, y a partir de ahí pues han utilizado esos datos para hacer ingeniería social, y este es tu nombre. Este es tu número de cuenta, y bueno que más quiere es si le han dado que no lo sé. El saldo, por ejemplo ahí sí que el acceso ha sido ahí NG, ahí sí había culpa del banco, pero si no, qué culpa tiene el banco en este caso en mi opinión, ninguna. Es decir, los datos han venido del robo a un tercero que tiene tus datos bancarios, y yo puedo decir que Gustavo tiene este número de cuenta y te llamo. Pues si te llamo suplantando un origen, que el banco no puede evitar eso. Entonces, en este caso, ingeniería social, generas; confianza en la víctima en base a darle datos que solo ella conoce y la entidad conoce, y además una urgencia en la acción y por supuesto es por tu. Bien vale. Entonces, esto se puede evitar si se puede evitar, como hacemos en este tipo de situaciones no. Concienciación, sobre que el missing y el cine existen ya voy a pedir una identificación y llamar de vuelta, es decir, a qué me dice. Es que desde allí en eje y me llaman desde este 9 1, que es la oficina a don, es muy bien cómo te llamas me llamo PP Pérez estupendo un segundo cuelgas o la que tal 9 1 no sé qué ves que el número BSS vas a la huelga comprobarlo y cómo es ese tema, no contestar de la oficina donde ola está prevé Pérez que me ha llamado diciendo que me van a levantar la pasta de la cuenta corriente. Aquí no trabaja PP Pérez Bueno opción o no; o si trabaja, pero te lo pasó y es otra persona distinta. Bueno, entonces ya ves que hay algo que no cuadra y te acabas de evitar que tú mismo muevas tu pasta a otros sitios o directamente ya más al servicio de atención telefónica del banco, que ellos sí tienen que saber; te pueden derivar a la seguridad, al departamento de seguridad que corresponda, o de estafas, para poder ver qué hacer, si cerrar cuentas cerradas, bloquear tarjetas o lo que haya caso; y otra cosa que se puede hacer, y esto a nivel ya de empresas y de particulares. Son formaciones Incibe tiene a disposición de la ciudadanía formaciones esta en concreto, que la vi en la en la web. Lo que pasa es que tiene una fecha de inicio. Eran 30 horas. Si no me equivoco, era solo para empresas. La verdad es que vi el material, te lo pueden descargar, está bien, o sea, no lo he visto entero, pero tiene un poco por encima, está bastante bien, y si lo que quieres es hacerlo ya tiene su no mío, que lo doy yo por 10 horas y 50 euros y que te lo descargas directamente cuando quieras. Desde desde cursos se cruzan el punto y son 10 horas mías hablando de estas cosas y enseñando casos reales sacados de mi bandeja, España puramente directamente con eso voy mostrando. Esto ha entrado aquí y por qué lo ha mandado mi sistema antiespaña y bueno, pues esto sería.