¡Un Dement0r llama a tu puerta!

👻 La Newsletter de @weareDMNTRs 👻

Cada mañana me despierto con el mismo déjà vu.

Un nuevo leak. Otra base de datos publicada. Millones de registros filtrados: nombres, DNIs, números de cuenta, contraseñas, correos personales, profesionales, números de teléfono, direcciones, historiales médicos, nóminas. La vida entera de miles, a veces millones, de personas convertida en un archivo comprimido, en un JSON flotando por Telegram o publicado en un foro con fondo negro y letras verdes fosforito.

Y al final, casi siempre, lo mismo: silencio.

Silencio de los responsables, de las empresas, de las instituciones. Silencio de los medios, salvo contadas excepciones. Silencio de los usuarios, que se enteran meses más tarde, si es que se enteran, de que alguien anda por ahí usurpando su identidad o vendiendo sus datos por menos de lo que cuesta un café.

Y lo más jodido: indiferencia.

Porque ya no nos sorprende. Porque ya lo hemos normalizado. Porque hemos convertido el desastre en rutina y el escándalo en costumbre. Y eso, creo, es el principio del fin. O peor aún: puede que ya estemos en el final y no nos hayamos enterado.

Desde dentro, desde donde se pelea esta guerra, el panorama es desolador. Las brechas no son solo técnicas: son culturales, estructurales, humanas. Da igual si tienes el mejor firewall del mundo si lo configuró alguien que no sabe bien lo que hace. Da igual si tienes una suite de detección de amenazas de última generación si no hay nadie vigilando los logs. Da igual si compras el mejor SIEM si lo tienes apagado. Da igual todo si lo único que importa es pasar la ISO, cumplir la auditoría, que el jefe esté tranquilo o que el Excel salga en verde.

La ciberseguridad en muchas empresas no es un compromiso. Es una pose. Es postureo puro.

Una excusa para enseñar un logo. Una forma de presumir en LinkedIn de que tienes CISO en la organización. Una carpeta con políticas que nadie lee. Un contrato que nadie sabe bien para qué sirve. Un gasto que se recorta a la primera de cambio. Y claro, cuando llega el desastre, todo son prisas, excusas y “no sabíamos”.

Pero sabían. Lo sabían.

Y nosotros también lo sabíamos. Porque lo vemos todos los días. Porque entramos en sistemas donde las contraseñas aún son “admin123” o “empresa2023”. Donde los backups están en el mismo servidor que los datos. Donde los accesos son ilimitados. Donde el WiFi de invitados tiene acceso al ERP. Donde el correo no tiene ni SPF, ni DKIM, ni DMARC. Donde el antivirus está caducado. Donde el plan de recuperación ante desastres no existe y el BCP es un PDF que se pagó con un Kit Digital y nadie ha vuelto a mirar después.

Y mientras tanto, los datos siguen volando. Una y otra vez.

Lo más duro es darte cuenta de que esto no va a parar. Porque mientras proteger exige compromiso, dinero, trabajo, disciplina… vulnerar es rentable. Muy rentable.

Hay días en los que me siento ridículo.

Hablando con pasión de segmentación de red, de hardening, de modelos de mínimos privilegios, mientras alguien al otro lado asiente con una sonrisa falsa, pensando únicamente en cuándo va a poder cerrar el presupuesto o quitarse de encima este marrón. Y entonces me pregunto: ¿para qué?

¿Por qué seguir? ¿Por qué empeñarnos en poner parches a un sistema que parece diseñado para romperse? ¿Porque?

Y sin embargo, seguimos. Porque aún creemos. Porque en medio de esta distopía digital hay gente buena, honesta, comprometida. Técnicos que lo dan todo, que se forman sin descanso, que pelean por proteger a sus usuarios, que se preocupan de verdad. Gente que, a pesar del desánimo, sigue dando la cara. Sigue tirando del carro. Sigue picando piedra.

Pero estamos solos muchas veces. Y estamos perdiendo.

Y no estamos perdiendo contra ciberdelincuentes ultrasofisticados. No. Estamos perdiendo contra la apatía, contra la desinformación, contra la falta de cultura técnica, contra los que toman decisiones sin entender los riesgos, contra los que prefieren pagar una multa antes que invertir en prevención. Contra los que creen que “esto no va con ellos”.

Y mientras tanto, los datos siguen volando.

Si mañana se filtrara toda la base de datos de tu empresa… ¿Cuánto tiempo tardarías en darte cuenta? ¿Horas? ¿Días? ¿Semanas? ¿Cuántas personas se verían afectadas? ¿Qué consecuencias tendría para tus clientes, para tu reputación, para tu equipo?

En los últimos incidentes en los que he estado presente "los malos" llevaban meses dentro. Meses. Sin que nadie se hubiera dado cuenta antes.

Pero la pregunta importante es: ¿Y qué estarías dispuesto a hacer hoy para evitarlo?

Lo pregunto en serio.

Porque tal vez mañana ya sea tarde. Y entonces vendrán los comunicados, los parches de emergencia, las lágrimas de cocodrilo, el “estamos trabajando para que no vuelva a ocurrir”. Pero ya habrá ocurrido. Ya estarás en los hilos de Breach Forums. Ya serás parte del historial. Ya habrás perdido una batalla más.

Y sí, quizás estamos perdiendo la guerra.

Pero al menos que se note que luchamos.

Cuenta con mi hacha. Estamos perdiendo, pero seguiremos luchando.

Feliz Domingo.

🔗 Newsletter patrocinada por: 🔗

Protecting what matters most

🔊 Llámalo podcast... 🔊

Los capítulos de esta semana:

Todos aquí: https://go.ivoox.com/sq/2343562

👀 Las paranoias de la semana 👀

He pensado en recopilar las cosas que me van viniendo a la cabeza mientras paso los días haciendo cosas...

¿Te has parado a pensar que muchas veces instalas parches de seguridad… sin saber si realmente solucionan algo?

Quizás solo estamos haciendo “Update placebo” y seguimos igual de rotos.

---

Esta semana he tenido otra de esas charlas incómodas: ¿Por qué Instagram me ofrece zapatillas justo después de hablar de zapatillas?

¿Coincidencia? ¿Magia? ¿O paranoia razonable?

Estoy mayor ya para esto... Pero las zapatillas me venian bien...

---

Piénsalo: en tu casa tienes un router que no configuras, que actualizan ellos cuando quieren, que abre túneles que no ves, que bloquea las IPs que elige Tebas…

¿De verdad crees que es TU conexión?

---

Algunas startups de ciberseguridad no venden productos. Venden datos de los que confían en ellas.

Y tú preocupándote porque aún no habías cambiado la contraseña del router.

---

Cuando le das tu contraseña WiFi a un invitado, también le das acceso potencial a toda tu red interna.

Y a sus 123 apps instaladas que no sabes lo que hacen…

Todo bien.

---

Muchos dispositivos “inteligentes” para el hogar llevan cámaras y micrófonos. Incluso si tú no los has activado.

¿Qué podría salir mal?

🔗 Cajón desastre... 🔗

Los enlaces que he ido recopilando:

Mosh (mobile shell)

Gatus is a developer-oriented health dashboard.

CISA extends MITRE-backed CVE contract hours before its lapse.

En el que ahora está de moda escribir así…

Fortinet dice adiós a SSL VPN...

Hackers abuse OAuth 2.0 workflows to hijack Microsoft 365 accounts.

Y fin...

Y hasta aquí por hoy.

Puede que estemos perdiendo batallas, puede que incluso tengamos la guerra cuesta arriba, pero mientras queden personas dispuestas a seguir peleando, todavía no todo está perdido.

Así que esta semana respira hondo y sigue adelante.

Gracias por estar ahí cada domingo, seguimos hablando por los canales habituales: X y Telegram.

Por cierto, si quieres puedes invitarme a un cafelito. ☕☕☕

Nos vemos la semana que viene.

Y decía que quería escribir algo corto esta semana...