Magia y efectos especiales

👻 La Newsletter de @weareDMNTRs 👻

Hola, me llamo Dement0r, llevo una gorra y me dedico a la ciberseguridad. ¡Ah! Y tengo la sensación de que vivo rodeado de mentiras. Mentiras y gordas.

Y, a pesar de que me prometí a mí mismo y a más gente no escribir esta newsletter, el cuerpo de viernes tarde que me ha sobrevenido, con fiebre y vómitos varios, me ha predispuesto a saltarme todos los consejos posibles y quemarme a lo bonzo "newsleteramente" hablando. Así que vamos allá...

Porque quizás tú ya lo vengas intuyendo, pero si empiezas a rascar un poquito entre toda esta fachada de innovación, nuevas tecnologías de protección, fabricantes endiosados y supermegaprofesionales megainfluyentes, entre los que quizás hasta me encuentre yo mismo, vas a encontrar que al final todo se resume en esto:

Sí, sé que es mucho menos glamuroso que usar mil quinientas siglas y doscientos mil millones de datos pintados en gráficos con Kibana, pero al final, casi el 95% se resume en esto. Tener tu red ordenadita e inventariada y una buena segmentación. Porque te lo digo desde ya: La magia no existe.

Y no existe porque si los cimientos de tu infraestructura son firmes, no vas a necesitar la gran mayoría de las cosas que te van a intentar vender cada puñetera semana. Pero claro, no seríamos un sector "innovador y en auge" si no lanzamos 300 nuevas tecnologías con su sopa de siglas cada mañana. Y si no enviamos al megacrack de turno a vendértelas a tu congreso preferido. La rueda no gira si no lo hacemos así.

🫢 - "¿No me digas que no usáis una herramienta de LPTAMIRDADFRT en vuestra red? ¿Cómo podéis estar sin eso? ¿Estáis locos?"

😞 - "Si es que aún no hemos acabado la implementación del QTDNVNTOFRSC0. En cuanto terminemos compraremos las licencias y nos ponemos con eso."

Y así cada día, mientras se usa un /20 sin segmentar por red y lo de hacer un "bastionado" les suena como mucho a juego de tronos...

Encima, al final, el efecto conseguido es justamente el contrario. Día sí y día también, visito empresas sin las medidas más simples, en las que el profesional de IT que tiene que lidiar con sus usuarios, su red y sus movidas diarias me confiesa que no le mete mano a lo de la ciberseguridad porque no sabe ni por dónde empezar. Cuando le comento "que empiece por lo básico" muchas veces me mira raro como diciendo: "¿Pero no vienes una varita mágica con siglas cool que solucione todo?".

Curioso el ser humano, hemos complicado tanto las cosas para lograr más seguridad en nuestros sistemas, que al final conseguimos lo contrario. Curioso.

Y es por ello que, al final de todo, a uno le queda la sensación de que, aunque su papel sea un poco de outsider (ya te digo que esto que te cuento he sido capaz de decirlo en un auditorio rodeado de fabricantes) y de pesado ("ya está el Dement0r con sus mierdas otra vez") es totalmente necesario. Alguien tiene que decir estas cosas. ¡Digo yo!

La ciberseguridad no puede ser algo totalmente disparatado y complicado. Es más, la ciberseguridad no puede ser algo totalmente alejado del resto del IT. Comencemos por las bases. Volvamos a los orígenes de todo esto. Pensemos en los modelos operativos básicos. Había algo por ahí llamado OSI. Había algo por ahí llamado "mínimos permisos necesarios". Había algo por ahí llamado "Zero Trust". KISS. KISS. KISS.

🫢 - "No te preocupes que esto lo arreglamos con IA..."

¡Que no! No necesitamos añadir miles de capas de IA, miles de capas de logging, cientos de procesos adicionales, cientos de personas revisando alarmas, cientos de euros dilapidados, para lograr lo que podríamos hacer con una buena planificación y algo de buenas prácticas.

Y ojo, que no digo que el resto de cosas no sean necesarias. ¡Pues claro que lo son! Bueno, algunas cosas no... Pero no van a solucionar nada en un entorno que funciona casi por inercia. Lo primero debe ser lo primero y lo segundo, lo segundo.

Y para terminar, un consejo de los que no me gusta dar: No te fíes del que te quiera vender sus cibercosas para arreglar tu sistema sin siquiera haberlo estudiado mínimamente. No te fíes del que quiere añadir capas y capas de complejidad a tu estructura. Y SOBRE TODO: ¡NO TE FÍES DE MÍ!

Pero abre los ojos. Esto de la ciberseguridad no va de siglas ni de complicaciones cada vez más exponenciales. Esto va de sentido común.

¡FELIZ DOMINGO!

🔗 Newsletter patrocinada por: 🔗

Protecting what matters most

🔊 Llámalo podcast... 🔊

Esta semana no he grabado ningún capítulo del podcast, pero los tenéis todos aquí: https://pod.link/1721508436

🔗 Cajón desastre... 🔗

Los enlaces que he ido recopilando:

El hackeo de Telefónica de esta semana explicado espectacularmente: https://www.infostealers.com/article/telefonica-breach-infostealer-malware-opens-door-for-social-engineering-tactics/

Sara: RouterOS Security Inspector. Interesante.

Russian ISP confirms Ukrainian hackers "destroyed" its network.

Proton worldwide outage caused by Kubernetes migration, software change. Los kubernetes no traen nada bueno...

España advierte a Elon Musk: no se puede permitir que "multimillonarios tecnológicos" controlen la opinión pública. WTF.

El CEO de NVIDIA dice que la computación cuántica no será viable hasta dentro de 20 años y provoca una caída de las acciones del 40%. La vida moderna...

Las tablets siguen causando estragos en el Dakar. ¿Era necesario? ¿De verdad?

Hoy vamos al CPD a montar servidores (y routers, y switches y cables). Unos montan Legos y otros montan servidores en datacenters... ¡Buenísimo!

Y fin...

Pues se acabó la "primera" semana de enero, profesionalmente hablando, y, por momentos, ha sido una locura.

Pero de todo se sale, así que esta próxima semana vamos a por más. ¡Que no se diga!

Seguimos hablando por los canales habituales: Twitter y Telegram.

Por cierto, si quieres puedes invitarme a un cafelito. ☕☕☕

Dement0r no llevas gorra porque sí: ¡No tienes pelo! ¡Confiesa!