Category Archives: 3. HACKING

PYMES, Verano y CiberSeguridad de Toalla

2miradasordenador-playa-reducido - 2miradas

Dicen que no hay ciencia sin sesgos, y que todo conocimiento está inequívocamente impregnado de quien lo lleva a cabo por su condición humana. Y a menudo, hacemos cosas irracionales por simple costumbre y por el “siempre se ha hecho así” sin valorar si realmente nuestro esfuerzo servirá para algo, o si de alguna forma hay alguna oportunidad de lograr el objetivo deseado.

Es por eso, que me gustaría recapacitar en este artículo, de forma fresca y veraniega (que estamos a finales de Agosto) acerca de las medidas de ciberseguridad que no se adoptan en la mayoría de PYMES, a veces por pereza, a veces por desconocimiento del impacto real sobre nuestro negocio de un ciberataque exitoso, o simplemente por pura carga de trabajo que nos absorbe en otras tareas.

Pero volvamos a los sesgos y costumbres: ¿Recordáis cuando estamos a pie de playa y dejamos nuestras pertenencias en la arena? ¿Qué hacemos todos? Cogemos la “super-toalla protectora” y cubrimos esas pertenencias cuando vamos al agua. Pensando en frío ¿de verdad creemos que esto nos protege algo que no sea del sol? Sí, todos creemos que, al no estar a la vista, estarán más seguras. Y ¿de verdad es así? De hecho, después de haber pasado muchos años de mi carrera en seguridad física, ya os puedo adelantar que no, ya que alguien podría llevarse una bolsa con todo su contenido, sin que nadie vea precisamente, que esa bolsa estaba antes en el suelo. Esto de “tapar” las cosas y pensar que así están seguras es lo que en ciberseguridad llamamos “seguridad por oscuridad u ocultación”: Lo que no se ve, no está en peligro. FALSO.

De hecho, en internet hay multitud de recursos para encontrar recursos expuestos y vulnerables, desde los habituales “Google dorks” que tanto en Google como en otros buscadores nos permiten hacer búsquedas específicas, bien sea de webs no actualizadas y con problemas de seguridad conocidos, a impresoras conectadas en redes no segmentadas que nos dan acceso a toda la red local, pasando por un sinfín de cosas interesantes que puede uno encontrarse. Tambien está Shodan, el más conocido de todos los buscadores de dispositivos de Internet, u alternativas como FOFACensys , Oshadan u ZoomEyeque localizarán por nosotros tipos de dispositivos por sistema operativo (y versión), IP, puerto, y un largo etc… Y como no, a cada San Benito le llega su San Martín, y cada 0day le llega su exploit, que cada día hace más rápido y más barato lanzar servidores desde la nube, si queremos más rápido aún, para recorrer todo el rango de direcciones IPv4 en busca de una vulnerabilidad completa, con herramientas tipo “mass scanner”. Recomiendo leer este ejemplo de mi compañero @CésarFarro respecto a la vulnerabilidad bautizada como “BlueKeep” del RDP:enlace.

A menudo, como profesional de la ciberseguridad, responsables de PYMES me han preguntado “pero ¿quién me va a atacar a mí?”. Y la respuesta es “cualquier cibercriminal que descubra que se puede y es rentable”. De modo que, si en algún momento te has formulado esa pregunta, la estrategia de ciberseguridad en tu empresa ya sabemos que no es la correcta. Incluso como usuario, tampoco. Tus dispositivos, tus datos, tus credenciales, tus correos, tus fotos y un largo etc.., tienen valor para los cibercriminales. Análisis realizados por nuestros expertos en ElevenPaths sobre PYMES predicen que 1 de cada 3 PYMES podría cerrar en los próximos 2 años por un problema derivado de la ciberseguridad, cifra que con la actual situación bajo pandemia, puede ser dramática. De modo que toca plantearse si estamos en el lado de los que se preguntan a quienes interesamos o estamos en el de los que tenemos un plan para preveer un ciberataque, ya que a menudo decimos que sólo hay 2 tipos de empresas, las que son atacadas y las que no lo saben.

La única pregunta que debe hacerse es “¿Tengo un plan de ciberseguridad que asegure mi empresa ante un ataque?”. Si la respuesta es “NO” que sepa que no sólo está comprometida su continuidad de negocio sino también una posible sanción de la Agencia Española de Protección de Datos, por incumplir lo dispuesto en la LOPD-GDD y/o RGPD Europea. No es una cuestión banal.

Desde ElevenPaths tenemos productos y servicios específicos para proteger a las PYMES, para garantizar la transformación digital de las empresas y para concienciar sobre el uso responsable de la tecnología a sus empleados, además de otros muchos para garantizar la ciberseguridad de nuestros clientes. No dude en consultarnos.

No confíe su empresa a la toalla.

Andrés Naranjo @TheXXLMAN

“TU CONTRASEÑA NO ES VÁLIDA”

Validación proactiva de contraseñas

Desde que el mundo es mundo y el hombre camina sobre dos pies, hay una serie de verdades universales que han acompañado a la especie humana durante todo su desarrollo. Una de ellas, muy usada por los que nos dedicamos a la seguridad de los datos, es esa de que “somos tan fuertes como el eslabón más débil”. Y de eso vamos a hablar en este post, de la debilidad, tanto de una contraseña en sí como del conocimiento del uso de tecnología de quien elige una contraseña débil.

Cierto es que la mejor manera de evitar esto es usar una tecnología de identidad que añada una capa de seguridad para que la identificación del usuario no resida solo en la dupla login/contraseña, pero hoy en día, multitud de empresas, organismos y servicios todavía se siguen basando en ese sistema sabidamente tan vulnerable.

He escrito bastante otras veces sobre el uso de contraseñas. Recomiendo especialmente ya que esta reflexión está basada mayormente en este otro artículo. Básicamente, una de las más arduas batallas de la seguridad es bastionar ese eslabón débil que es el usuario, de forma que sepa lo que significa que use una contraseña débil, o la reuse en varios servicios. En este menester juega un papel importantísimo la CONCIENCIACIÓN COMO SERVICIO (ver artículo de mi compañero @n4xh4ck5), en el que cada vez más estamos implicados las empresas de seguridad: Enseñar a nuestros usuarios a protegerse contra amenazas comunes haciendo un uso responsable de la tecnología que cada vez implica más aspectos de nuestras empresas e instituciones.

Pero ¿Por qué confiar en que no usará una contraseña muy frágil? ¿No sería mejor impedir que esto pueda tener lugar? De modo que, como buen “Doer-No-Powerpointer”, me puse a darle una vuelta de tuerca a ese PWANALIZER que ya publiqué en GITHUB, y desarrollé un PWCHECKER, para que de modo fácil e instantáneo se pueda validar con un “SI” O “NO” si vamos a aceptar una contraseña para un determinado usuario.

Resumido: El concepto (tan simple como útil) ahora consta de 2 scripts:

PWANALIZER: contrasta nuestra lista de passwords (o listas user:password) contra una serie de diccionarios comunes, que podemos añadir a nuestra lista bajo la carpeta “-dics-“ en formato txt. El más común y usado es el archiconocido RockYou.txt. Y nos dará un porcentaje de las contraseñas incluídas en esos ficheros, lo cual, depende del tamaño del fichero de diccionario, pues habrá que valorar. Tómese esto como una forma de VALORAR EL ESTADO DE CONCIENCIACIÓN DE CIBERSEGURIDAD, ya que un número muy alto de fechas, nombres propios o peor aún, de “123456” puede dejar bien claro que nuestra empresa necesita de un repaso a la ciberseguridad.

PWCHECKER: Es una validación True/False en base al código de salida de ejecución (“%ERRORLEVEL%  en sistemas Windows, $? En linux) partiendo de 2 validaciones separadas:

  • POLÍTICA DE CONTRASEÑAS: Si queremos que tenga una mayúscula, minúscula, números o simbolos. Estos parámetros se definen con un True/False.
  • EXCLUSIÓN DE DICCIONARIO: El diccionario usado, se pasa como argumento, pudiendo usar el mencionado RockYou, o bien otro. Incluyo en el GITHUB, el diccionario de 10.000 contraseñas más comunes, uno de los pilares y más recomendables al realizar pruebas de ataque de diccionario.

En fin, eso ha sido todo, de momento. Como puede verse, a veces implementar medidas de seguridad es más cuestión de proactividad que de horas/hombre, y pequeños gestos pueden significar la diferencia entre dormir tranquilos y una terrible debacle.

Seguiremos informando. Permanezcan en sintonía.

Andrés Naranjo @TheXXLMAN

Monitorizar procesos con Telegram

Hacks para una vida fácil: Monitorizar procesos con Telegram

A menudo tengo ideas de esas que piensas que con pequeño esfuerzo, pueden resultar en una vída más cómoda, y que mejor idea que refleje el pensamiento hacker que ideas sencillas proporcionen un gran resultado.

De esa manera se me ocurrió la idea de tener monitorizados procesos en una máquina, revisar su estado y relanzarlos si estaban caídos. Recibiendo un pequeño reporte de “buenos días” siempre acerca del “status”.

El código resultante, para revisión de los procesos, lo he publicado en 5 pequeños scripts que seguro que a más de un sysadmin le hará la vida más fácil.

Podeis descargar los archivos en :
https://github.com/XXL-MAN/processmonitor

 

FUNCIÓN DE CADA SCRIPT:

aliases.txt          Archivo de “alias”

pmonitor.sh      Proceso principal, revisa el estado de un proceso y nos envia resultado via Telegram

prunbin.sh         Comprueba el estado de un proceso, devolviendo 0 ó 1 (también en exit code)

prunning.sh       idem, pero con cadena de texto en consola

status.sh             Devuelve una lista de procesos predefinida, sirva de ejemplo

telegrame.sh    Envía la cadena de texto introducida en $1 como argumento por Telegram

 

COMO CREAR UN BOT (Fuente: EL ANDROIDE LIBRE)

Ahora vamos a explicar paso por paso como se crea un Bot. Es muy fácil de hacer ya que Telegram se ha esforzado para que así sea. Mediante un BotFather tendremos que crear nuestro bot.

Lo que primero que tienes que hacer es dar constancia a Telegram de que quieres crear un nuevo Bot. Para ello tenemos que mandar un mensaje al BotFather (@BotFather), en concreto el de «/newbot».

Posteriormente el propio bot te preguntará por el nombre que quieres para tu bot. Importante, tiene que acabar en Bot. Ejemplo: EalBot o Eal_Bot.

Si todo está correcto, te verificará la creación de tu Bot.

Ahora es el turno de configurar la privacidad de tu bot. Escribimos «/setprivacy» y posteriormente, el nombre de tu bot mencionándolo por su nombre «@Bot». El BotFather te responderá con las opciones y puedes hacer que sólo atienda a mensajes que lo mencionen o que empiecen por un «/» con el modo ENABLED. O recibir cualquier mensaje del grupo si marcamos la opción DISABLED.

Bot creado y listo para personalizar.

Que lo disfrutéis. Nos vemos en los servers

Andrés Naranjo – Nov.19

ADVANCED COMMUNITY MANAGEMENT Y GROWTH HACKING

¡Buenos días a todos! Hace tiempo que quería escribir este artículo, sobre todo para animar a aquellos a quien interese el marketing online y las posibilidades que ofrece la difusión en las RRSS, ya que son profesiones al alza y con grandes cotas de reclutamiento. Así que voy a aclarar un poco ciertos conceptos y luego pasaremos a hablar de un caso práctico de cosecha propia en Twitter ¿me acompañas?

Vamos con el glosario en primer lugar: ¿A qué llamamos Community Manager? Un CM es según Wikipedia un “Responsable de comunidad de internet”, es decir, quien maneja las redes sociales y ejecuta el plan de marketing en ésta. También de facto, se convierte en una especie de servicio al cliente online resolviendo dudas o consultas y contacto de post-venta para muchas marcas. Otra especie de “canal online” que se ha demostrado mucho más efectivo que los chat-window de las propias website de cada empresa. ¿Algo va mal? Se lo digo a la empresa por Twitter. ¿Busco algún dato de la empresa? Pues se lo pregunto por Facebook.

Interesante Curso de Ciberseguridad Gratuíto

A través de la plataforma educativa Khan Academy, Nova Labs desarrolló un curso online gratuito dirigido a adolescentes, jóvenes o cualquier usuario interesado en querer aprender qué es la ciberseguridad y que no tenga conocimientos previos. El programa está dividido en cinco módulos teóricos, donde el material es presentado a través de videos animados, y seguido de cada uno de ellos una clase práctica con preguntas y respuestas.

En la primera de las clases de este curso introductorio a la temática, el participante aprenderá la importancia que tiene la seguridad en estos tiempos y conocerá datos que le ayudarán a poner en perspectiva la importancia de estar informados en esta materia tan vinculada a nuestro día a día.

La segunda clase pone el foco en el término en inglés “

A través de la plataforma educativa Khan Academy, Nova Labs desarrolló un curso online gratuito dirigido a adolescentes, jóvenes o cualquier usuario interesado en querer aprender qué es la ciberseguridad y que no tenga conocimientos previos. El programa está dividido en cinco módulos teóricos, donde el material es presentado a través de videos animados, y seguido de cada uno de ellos una clase práctica con preguntas y respuestas.

En la primera de las clases de este curso introductorio a la temática, el participante aprenderá la importancia que tiene la seguridad en estos tiempos y conocerá datos que le ayudarán a poner en perspectiva la importancia de estar informados en esta materia tan vinculada a nuestro día a día.

La segunda clase pone el foco en el término en inglés «hacking» y explica qué es, por qué hay gente que practica el hacking en la informática. Es interesante recordar que el término hacker no está relacionado a una actitud maliciosa, sino que se utiliza para referirse a un experto en informática. Depende de cómo utilice sus conocimientos para saber si hace un uso ético o no de esa información. En esta clase el usuario aprenderá sobre las distintas motivaciones y perfiles que puede tener un hacker.

La tercera clase está centrada en la privacidad de la información y se utiliza un ejemplo para ilustrar la importancia de asegurar nuestra información personal y las posibles consecuencias que podría llegar a tener no hacerlo.

La cuarta clase es sobre códigos. Aquí los participantes entenderán la importancia del uso de comunicaciones cifradas en las comunicaciones online y cómo esto ayuda a proteger la privacidad.

Finalmente, la quinta y última clase está compuesta por un glosario que incluye términos comunes que se utilizan para describir temas recurrentes en el mundo de la ciberseguridad.

Si quieres más información, accede al curso completo de introducción a la ciberseguridad.

Recuerda que en la plataforma de Academia ESET también puedes encontrar una amplia lista de cursos online (gratuitos y de pago) sobre diferentes temas; y en nuestra categoría cursos online gratuitos encontrarás más opciones disponibles para aprender de manera gratuita.hacking” y explica qué es, por qué hay gente que practica el hacking en la informática. Es interesante recordar que el término hacker no está relacionado a una actitud maliciosa, sino que se utiliza para referirse a un experto en informática. Depende de cómo utilice sus conocimientos para saber si hace un uso ético o no de esa información. En esta clase el usuario aprenderá sobre las distintas motivaciones y perfiles que puede tener un hacker.

La tercera clase está centrada en la privacidad de la información y se utiliza un ejemplo para ilustrar la importancia de asegurar nuestra información personal y las posibles consecuencias que podría llegar a tener no hacerlo.

La cuarta clase es sobre códigos. Aquí los participantes entenderán la importancia del uso de comunicaciones cifradas en las comunicaciones online y cómo esto ayuda a proteger la privacidad.

Finalmente, la quinta y última clase está compuesta por un glosario que incluye términos comunes que se utilizan para describir temas recurrentes en el mundo de la ciberseguridad.

Si quieres más información, accede al curso completo de introducción a la ciberseguridad.

Recuerda que en la plataforma de Academia ESET también puedes encontrar una amplia lista de cursos online (gratuitos y de pago) sobre diferentes temas; y en nuestra categoría cursos online gratuitos encontrarás más opciones disponibles para aprender de manera gratuita.

Fuente: WeLiveSecurity

Jugando con Apps de Ligoteo (I): AMOR BRUTO

Ya que estamos bien entrados en 2017 parece que todo el mundo tiene plena conciencia de lo importante que es garantizar unas mínimas medidas de seguridad en todos los servicios web. Lo que aún no queda tan claro, es que todos los recursos asociados a un servicio además deben seguir las mismas directrices y el mismo rigor de securización para no ser el eslabón frágil de la cadena: Una cadena es tan fuerte como el eslabón más débil.

Por hacer una analogía que me encanta, y que tomo prestada de mi compañero Félix Gómez y muy rollo gamer a lo AGE OF EMPIRES: Si nuestro sistema lo consideramos la típica fortaleza medieval y levantamos las medidas de defensa más feroces en nuestras murallas y el puente levadizo principal, de nada servirá si por la parte trasera hay una puerta débil y nada vigilada. Los malos entrarán por la parte más fácil haciendo inútiles cuantos esfuerzos y recursos hayamos empleado en otras partes. Algo que bien nos explicaba Chema Alonso en su artículo “DO THE BASICS: LOW HANGING FRUIT” http://www.elladodelmal.com/2015/11/do-basics-elimina-el-low-hanging-fruit.html

DOTHEBASICS
Parte de la conferencia DO THE BASICS con nombres de usuario de army.mil a tiro de Google (Ejército USA)

Puede que parezca baladí, pero este fallo de no proteger todos los recursos asociados lo presentó la mismísima APPLE en su servicio Find-My-Phone, el cual permitía fuerza bruta y que parece que fue vulnerado por un script llamado iBrute al que se le atribuye el famoso celeb-hack, que accedió a un montón de fotos comprometidas de famosas de Hollywood mostrando sus encantos (https://github.com/hackappcom/ibrute/blob/master/id_brute.py)

ibrute hack
Captura de iBrute probando contraseñas APPLE

Definamos para los menos expertos que significa un ataque de fuerza bruta: Significa probar todas las contraseñas posibles hasta dar con la válida. Es decir, por ejemplo, si tuviéramos que probar el pin de una tarjeta bancaria, que sabemos que consta normalmente de 4 dígitos, sería probar desde el 0000 al 9999, por tanto, 10.000 combinaciones posibles.

Las medidas básicas ante este tipo de ataques son por ejemplo, hacer saltar un mecanismo ante intentos fallidos (bloqueo de cuenta o retraso entre peticiones) o incluir un captcha para evitar que el acceso se pueda hacer mediante un sistema automatizado (comúnmente llamado bot) Por tanto, y siguiendo con el ejemplo bancario, lo que hace nuestro banco es normalmente si fallamos 3 veces el PIN, capturar la tarjeta y pedirnos que pasemos por la oficina, para evitar que un supuesto delincuente que se haga con la tarjeta pueda hacer intentos hasta dar con el pin y por tanto obtener acceso a todo nuestro saldo (Bloqueo de cuenta). Un retraso entre peticiones es lo que cualquier teléfono Android hace si introducimos varias veces mal el patrón de desbloqueo: Nos hace esperar 30 segundos hasta el 4º intento, y ese retraso va aumentando a medida que fallemos de nuevo.

El sistema de bloqueo puede parecer una buena idea, pero para un atacante malicioso podría significa una denegación de servicio (DOS, no confundir con DDOS) ya que tras varios intentos no válidos, la cuenta queda bloqueada. Si sabemos el nombre de la cuenta y el tiempo de bloqueo, podemos hacer ese número de intentos de forma automatizada cada intervalo de tiempo bloqueando por siempre la cuenta del legítimo dueño.

Para mi demostración elegí probar con las apps de ligoteo, y entre ellas, SHAKN, que tiene aparte de su app móvil, también un acceso web completo a través de https://app.shakn.com/#/login

Donde llegué a probar más de 10000 intentos fallidos de login sin que mi acceso ni mi cuenta de prueba fueran restringidos. Y eso sin introducir ningún cambio de navegador (falseando el user-agent) ni retraso entre peticiones. Se pueden hacer hasta 4 intentos por segundo.

Después de comprobar que no hay restricciones, el resto es cuestión de tiempo, y recordemos que en ElevenPaths siempre decimos que los malos tienen mucho. Para minimizar este tiempo, podemos acudir a elegir cuentas víctima y ya sólo tener que probar contraseñas bien por fuerza bruta o por ataques de diccionario.


Probando contraseñas contra una cuenta de prueba en SKAKN

Continuando con las definiciones “a nivel de todos”, definiré ataque de diccionario como aquel en el que se usan las combinaciones más comunes, en vez de TODAS las combinaciones. Por si no sabéis hasta qué punto esto influye en el número de pruebas y por tanto en el tiempo de acceso a una cuenta víctima, podéis buscar por internet listas de contraseñas más comunes. Y funciona, vaya que si funciona, incluso hay pruebas que aseguran que usando una lista de 1.000 contraseñas accedemos al 98% de cuentas, o lo que es lo mismo, que 98 de cada 100 personas está usando una contraseña de esa lista. (http://omicrono.elespanol.com/2013/07/las-1000-contrasenas-mas-usadas-sirven-para-iniciar-sesion-en-el-98-1-de-las-cuentas-abiertas/)

Pero incluso podemos encontrar por internet diccionarios desde 10.000 (https://pastebin.com/E76ndEmV ) a  10 millones de passwords: https://xato.net/today-i-am-releasing-ten-million-passwords-b6278bbe7495 . Si tu contraseña “habitual” está en esa lista, ya sabes lo que tienes que hacer! Es más: NO DEBERIAS TENER UNA CONTRASEÑA HABITUAL!!

Pero, ¿y las cuentas víctima? ¿De dónde las sacamos? Bueno eso depende de si nos interesa una cuenta o simplemente queremos acceder a cuentas, sean las que fuere. O probar a cuantas cuentas podemos acceder de todo el sistema: dependerá mucho de cual sea nuestro objetivo. Suplantar una sola cuenta puede significar que usurpando esa identidad podamos atacar a otros usuarios haciéndonos pasar por esa persona, por poner un solo ejemplo.

En el caso de Instagram, que también sufrió esta vulnerabilidad explotada en Diciembre de 2015 por el script https://github.com/chinoogawa/instaBrute/blob/master/instaBrute.py Instabrute, los nombres de cuenta los podemos sacar de la propia URL, por ejemplo, en mi caso sé que alguien registró por ejemplo la cuenta XXLMAN : https://www.instagram.com/xxlman/. Este tipo de “descubrimiento” de cuentas se hace en todas las redes públicas, por ejemplo, TWITTER. Por tanto, es fácil descubrir si una cuenta existe o no, y por tanto, probar contraseñas en aquellas que existen solamente, reduciendo considerablemente el tiempo de captura de credenciales.

Si la solución de fuerza bruta para las cuentas de usuario no nos complace, podemos elegir una víctima. Sería cuestión de obtener su email bien por ingeniería social, bien haciéndonos pasar por la propia APP con un mensaje directo…. O bien podemos hacer algo de hacking con buscadores para ver cuanta gente nos da directamente su email registrado en SHAKN, como en cualquier otro servicio web. Por si os interesa ver todo lo que está a la vista de todo el mundo (y no debería) e iniciaros en el Open-Source Intelligence os recomiendo encarecidamente el libro “Hacking con buscadores” de 0xWord. (http://0xword.com/es/libros/20-libro-hacking-buscadores-google-bing-sodan-robtex.html)


Usuarios publicando su email registrado en SHAKN

Quede como conclusión de este artículo que todo servicio web, app o empresa con servicios online debe mantener una política uniforme de seguridad para todas sus servidores, servicios y facetas accesibles en internet, ya que cada recurso secundario es una potencial vulnerabilidad y debe tratarse de forma separada con los mismos patrones y el mismo rigor que los principales. Y como no, recordar la importancia de usar segundos factores de autenticación (2FA) para que no todo dependa de que nuestra contraseña caiga en malas manos. Para este cometido ElevenPaths ofrece a todas las empresas su servicio LATCH o el más novedoso y cómodo MOBILE CONNECT donde ya puedes olvidarte de las contraseñas para siempre.

NOTA IMPORTANTE: Esta grave vulnerabilidad fue notificada hace a SHAKN antes de la publicación de este artículo  como caso de uso de éxito de la temática. Gracias a dicha notificación la web ya no es vulnerable a este tipo de ataques. Durante la realización de esta prueba no se accedió de forma ilegal a ningún dato ya que la cuenta era de prueba y propia. Antes de realizar este tipo de test siempre hay que tener la implicación legal y la responsabilidad ética de no hacer nada perjudicial al entorno donde se ejecuta. Este artículo solo tiene intención de formar y educar en seguridad digital y responsabilidad en el uso de las tecnologías y es publicado en nombre propio.

Andres Naranjo @TheXXLMAN Nov’2017
#LaChampionsDeHackers

De Crimen Organizado, ISIS y Videojuegos

Hace unos meses que con algunos de mis compañeros de #LaChampionsDeHackers (You know :D), hablando acerca de monedas virtuales, en un ambiente de esos informales (de los de cubata en mano) se me ocurrió soltar algo que hace mucho que tenía en mente: EL CRIMEN ORGANIZADO podría estar usando ítems de videojuegos como moneda. Debo confesar que a pesar del ambiente desenfadado del momento, se produjo un silencio incómodo. Sé que más de uno de no ser por el cariño que me tienen, que les profeso mutuamente, hubiera soltado alguna barbaridad, y apenas esbocé alguno de mis argumentos, dejando pasar de largo el trago.

Pero unos meses más tarde, y bajo el estímulo de la gran herramienta de otros compañeros, Yaiza y Félix, llamada OSRFramework que correlaciona perfiles encontrados en internet entre más de 200 plataformas para identificar personas, cuando retomé el tema. Estos compañeros usaron como caso de uso un rapero dado por desaparecido, al que se suponía integrado en el ISIS, con perfil y fotos reales, conectado a STEAM. No fue hasta ese momento que  no me tomé en serio mis propias ideas extravagantes acerca de la financiación mediante objetos virtuales.

Antes de nada, me gustaría situar un poco qué es cada cosa, para irnos entendiendo. Moneda es todo aquello que aceptemos como tal. Cuesta abstraerse un poco del concepto, pero ¿Qué valor tiene un billete? Pues el que lleve escrito. Quien acepte el billete, acepta que tiene un valor, pero no es el valor del objeto en sí mismo que no es más que papel y tinta, sino el valor por el cual lo aceptará un tercero, o el banco. Es decir, un billete vale lo que vale, porque TODOS SABEMOS LO QUE VALE. Queda así de estúpida la frase, pero ha lugar y no sobra. En otra época no sólo se admitieron metales valiosos como moneda, sino por poner algunos ejemplos, los granos de café o la sal, que es de donde procede la palabra salario. En alguna época más reciente, con un tulipán se podría comprar una casa, lo que se conoció como la “Tulipomanía” del siglo XVII (wiki – enlace). Esto lo sabemos todos los que se lo oímos a Gordon Gecko (Michael Douglas) en WALL STREET.

Los ítems en los videojuegos cuestan dinero real. Y por tanto también pueden ser revendidos como dinero real. Algunos ejemplos de ellos son ropas y armas que nos hacen diferenciarnos de los que no pagan. Estos items están sometidos a modas y gustos, por lo que su precio fluctúa bastante, algo que como moneda, no es muy propio. Sin embargo el concepto diferenciador son las llaves o “keys”. Las llaves,  usadas en juegos muy populares como Counter-Strike Global-Offensive, Team Fortress 2 (enlace) o H1Z1, son directamente compradas a la empresa desarrolladora, y éstan permiten abrir unas cajas que nos son regaladas por jugar, y sin las cuales no puede verse el contenido, que no es otro que una suerte de lotería. Es decir, pagamos unos 2€ por saber que tiene aquello,  que puede valer 2 céntimos o 500€.(video ejemplo en youtube).

La cifra de 500 euros puede parecer muy alta para tener un traje o una espada chula que normalmente no nos concederá ninguna ventaja (lo que se conoce como Pay-To-Win) sino simple postureo, le parecerá una locura a más de uno, pero las cifras pueden ser de auténtico vértigo (enlace, ojo sensibles). Un par de ejemplos: Un ítem de DOTA2 por el que se llegó a pagar 38.000$ (sí, dólares americanos) o algunos de CSGO han llegado a los 24.000$ dato que llegó a reflejar prensa como MARCA o AS (enlace).

Volvamos a las llaves: He de recalcar esto, porque será más adelante donde será de especial interés. Las llaves, tienen un precio fijo que marca la empresa, en los ejemplos mencionados antes, en la plataforma Steam de VALVE. Se compran con dinero real y se usan a placer. Este precio puede oscilar un poco si lo compramos a usuarios pero siempre irá ligado a su precio oficial. Cualquiera que haya llegado hasta aquí con algo de atención, habrá llegado a la conclusión de que es fácil convertir dinero en llaves, que tienen un valor fijo. Este valor a dinero también se puede revertir fácilmente en cualquier foro gamer especializado, en cualquier idioma, en cualquier país…. La mayoría de estas operaciones usará Paypal, desde donde podremos disponer del dinero en nuestra cuenta bancaria común.

Bien, pues ya hemos dispuesto de una manera fácil, instantánea de convertir dinero en algo con valor y que además :

  • Tiene un valor muy estable y no depende de las bolsas, ni de las circunstancias económicas locales.
  • Es totalmente anónimo, sólo se requiere una cuenta de email para Steam, por ejemplo.
  • Está exento de toda fiscalización o impuesto.
  • Se convierte fácil y rápidamente en dinero de uso común.
  • Puede viajar fronteras rápidamente, de hecho más que una trasferencia bancaria común.
  • Nos permite la fragmentación, es decir, tener muchas cuentas en vez de una sola, lo que no sería tan fácil con cuentas bancarias, depende de dónde.

Queda claro, por todo lo anterior, que estas llaves pueden usarse como moneda, para cualquier actividad, lícita o no ….¿verdad?

ALTO AHÍ, ¿NO SABES QUE EXISTE EL BITCOIN?

Si alguno ha mantenido la atención hasta este punto, ya habrá pensado que en un artículo donde la palabra “moneda” y “virtual” se han mencionado varias veces, porque no pensar en las monedas virtuales, y la reina de ellas: EL BITCOIN.

El BITCOIN o BTC nos permite almacenar dinero de manera similar, anónima y exenta de fiscalización de todo tipo, y también tiene un valor. Pero presenta los siguientes inconvenientes:

  • Es mucho más inestable (enlace). Nada que ver con la estabilidad que garantizan las llaves, al margen de toda cotización. De hecho las llaves se pueden considerar inversión, ya que a determinado volumen el precio “oficioso” de venta entre usuarios, alcanza casi al oficial, a lo que la desarrolladora suele reaccionar subiendo el precio oficial: Es decir, LAS LLAVES SÓLO SUBEN. Por poner un ejemplo, las de Team Fortress 2 han evolucionado en 3 años desde 1.49 a 2.29€. Puede no parecer mucho pero sería un incremento de valor de más del 15% anual. Temblad, brokers, temblad…..
  • Es obviamente más fiable. Una empresa como VALVE, con más de 100 millones de usuarios en el mundo, como la plataforma de videojuegos líder, es mucho más robusta y garante de nuestro dinero que las carteras BitCoin, de mucha menor envergadura empresarial.
  • Es mucho más seguro. Mientras que los BTC y las empresas que hacen de cartera virtual de estas monedas han sufrido sonados ataques que dejan las cuentas vacías, las llaves pueden ser susceptibles de hackeo, pero proporcionan en primer lugar métodos para contrarrestar estas prácticas, como un sistema de soporte de las propias plataformas donde podremos acudir en caso de problemas. Además, ¿Qué le costaría a VALVE hacer un click e ingresarnos llaves cuando las fabrica de la nada?. Quiero dejar claro en este punto que la banca común también sufre a menudo estos ataques, que comúnmente son silenciados y con los que corren los seguros correspondientes. El dinero es dinero, y como tal, difícilmente está a salvo.

Por todo lo expuesto anteriormente, parece claro que si obtenemos algún beneficio de dudosa procedencia no sería descabellado almacenarlo en forma de llaves digitales, máxime claro está, en caso de que quiera disponer de ese dinero en cualquier parte del mundo rápidamente y escapando de todo control ¿verdad? Si por algo se ha caracterizado el crimen a lo largo de la historia es de experimentar con aquellos caminos poco usuales, que sin embargo, a posteriori nos parecen lógicos.

Id atando cabos….

Conferencia «HACKING&GAMING» 24-Mayo-2017 @ Madrid

Buenos días a todos! Mañana es un gran día. Tengo el placer de comunicaros que estaré en el FLAGSHIP STORE de Telefónica (Gran Vía 28, Madrid) hablando de la relevancia que debe adquirir la ciberseguridad en la industria del videojuego. Tambien de responsabilidad entre los implicados, algunos tipos de timo comunes, y mucho más.

Tendremos camisetas, juegos gratis, y mucho más. Y además, ¡es gratis!

No esperes más! Se ruega acudir registrandose previamente en este ENLACE

Mis reflexiones sobre el ZEROUNO de ayer

Como más de uno ya sabrá, ayer participé como invitado en el evento ZEROUNO para desarrolladores de videojuegos. Quiero agradecer desde aquí, no la invitación en sí misma, sino la excelsa acogida que me dieron, y el gran ambiente de la iniciativa. Desde ya y de primeras: GRACIAS.

Hablando del evento en sí mismo, creo que lo definiría con una sola palabra: GANAS. Ganas de hacer, de emprender, de desarrollar…. En España derrochamos talento, es un hecho contrastado. Ví desarrolladores veteranos como la gente de ARTAX GAMES, parte del equipo de SKARA: THE BLADE REMAINS, presentando un nuevo juego para Steam llamado IRO HERO, que me alegro que sigan en la escena tras años de trabajo. Lamentablemente vivimos en un país en el que la mayoría de las ganas son flor de un día. Muchas grandes iniciativas pero poco apoyo, que terminan con las ilusiones de increíbles equipos de trabajo.

También se presentó A HOLE NEW WORLD, un videojuego muy a la antigua (retro, se dice retro…), inspirado en juegos clásicos de la resucitada Nintendo NES, como Castlevania o Simon Quest. Es de MAD GEAR GAMES y presentó una calidad muy aceptable tras 3 años de desarrollo, siendo una especie de mix de los elementos de la «edad dorada».

Tras estas presentaciones se abrió un turno de mesa redonda para hablar de la situación de la mujer en el mundo del desarrollo de videojuegos. Sólo un 13% aproximadamente de féminas ocupan puestos en desarrollo y la mayoría se dedican a la comunicación y el diseño, y no a la programación. Basta ya: Somos gente de tecnología, de progreso. Rompamos de una vez con los clichés, y facilitemos a las mujeres su aportación a este mundo, está claro que tienen mucho que decir. Debo decir que tuve el placer de hablar tras el evento con una de las ponentes Rocío Tome (@Beleitax) y me sorprendió aún más su claridad de ideas y su empuje. Mi más firme apoyo y mi colaboración a su iniciativa @FemDevs para dar visibilidad y apoyo a las mujeres desarrolladoras. Que la fuerza os acompañe….

Después, la ponencia internacional, y ya sabeis lo que opino del «coaching»…. Y también vimos micro-presentaciones de un par de juegos incipientes que creo que dieron pinceladas interesantes. Mi favorito fue una especie de thriller que presentaba G6Studio, del que no pudimos ver nada, pero oye, que intriga!!!….Si todo lo hacen igual de intrigante, harán un gran videojuego.

Pues poco más que contar, aparte de dejaros el vídeo, donde se perdió el audio al principio por streaming, lamentablemente. Sólo decir que es un evento más que meto en agenda, siempre que cuenten conmigo, claro está. Recordaros que el próximo miércoles 24 daré la conferencia HACKING&GAMING donde podré explicar mucho de lo que no tuve tiempo ayer, y espero que asistáis ya que es totalmente gratuíta, y con regalos!: camisetas, juegos gratis y más!!!

Os dejo el vídeo íntegro en TWITCH. Salu2 y buen finde!