Categoría: Generalidades

Se habla de temas generales relacionados con la informática y la ciberseguridad y opiniones personales acerca de estos.

Ya son dos años

Raúl Moncada 2 Comments

Es increíble que entre la entrada que escribí para celebrar un año y esta haya sólo dos publicaciones. Para algunos, un blog con tan pocas entradas en dos años podría ser un proyecto fallido y tal vez tenga razón, sin embargo, yo no lo veo así. Me aferro a la idea que este blog sirvió como un peldaño de otros cuántos que tuve que subir para obtener mi primer trabajo en ciberseguridad, cosa que no podría ponerme más feliz. Y no es sólo eso, tal como escribía acá, este es el lugar donde condenso muchas ideas, cada borrador que escribo y no termino es un recordatorio de las cosas que debo repasar o lo que debo aprender para, ahí sí poder publicar la entrada, teniendo en cuenta la cantidad de borradores que tengo y comparándolo con las entradas publicadas, la conclusión a la que llegamos todos, es que definitivamente, aún hay mucho material que revisar y aterrizar muchas ideas sueltas.

Con pocas o muchas entradas, para esta fecha siempre habrá una publicación para agradecerles a todos los que llegan acá, se toman el tiempo de leer, dejar algún comentario o una donación. Impactar de manera positiva a alguien intentando dejar un poco de lado tanto tecnicismo y palabras sofisticadas para explicar algo que nos concierne a todos, es algo que me llena de mucha alegría y siento que se alinea con ese objetivo utópico de intentar hacer un mundo digital más seguro.

Aun así con el gran aprecio que le tengo a este blog, siento que se está comenzando a quedar estancado en el tiempo, los blogs (junto con los foros) eran por allá en la década pasada el medio más rápido para encontrar noticias, soluciones de máquinas, aprender técnicas y un sin fin de cosas, pero estos medios fueron desplazados por otros que son mucho más llamativos, los video-tutoriales y las transmisiones en directo. Y tiene todo el sentido, estamos en una época en la que intentamos ser multitarea y si esta publicación no fuera un vídeo, en lugar de emplear 2 o 3 minutos frente a la pantalla leyendo, fácilmente mi voz estaría sonando en paralelo mientras van manejando, cocinando o cualquier otra cosa que no requiera tener los ojos fijos en un dispositivo. Así que yo también he decidido dar ese salto a las nuevas plataformas, no sólo por esta razón, sino porque ¿Qué clase de estereotipo nerd sería si no estoy actualizado con las últimas tendencias de tecnología? Además, iniciar este blog era para mí un reto, un reto tecnológico, ¿podría ser capaz de crear un blog desde 0? ¿Podría montarlo con Docker? Y ahora que lo logré, es el momento de plantearse otro reto y este me parece bastante desafiante, porque es sumergirme en un mundo nuevo, sin dejar de hablar de lo que más me gusta: ciberseguridad y tal vez podría llegar a más personas.

Esto no significa que voy a abandonar o cerrar este blog, en el colegio, un profesor me escribió una vez en un trabajo, que no abandonara la costumbre de escribir, porque lo hacía muy bien, aunque yo no creo que lo haga tan bien, acá estoy haciéndole caso hasta el final al profesor de filosofía: Alexander. Ahora bien, Youtube y sus políticas son un verdadero dolor de cabeza para quienes se dedican a compartir contenido de ciberseguridad en esa plataforma, los canales son borrados, los vídeos desmonetizados y con penalizaciones, así que, seguramente, (aunque esta idea no está del todo madura aún) este blog continuará funcionando para publicar ese tipo de cosas que no se la llevan bien con las políticas de Youtube.

Así que supongo que pasará un buen tiempo antes de que vuelvan a tener noticias mías, ya que esta idea del canal de Youtube me empezó a rondar con más fuerza mientras veía mi película favorita y apenas la estoy materializando conforme escribo esto, así que espero nos veamos pronto por Youtube y pueda seguir recibiendo el mismo apoyo como hasta ahora. Un abrazo.

Historias cortas de la vida real (V) – ¿Y si yo fuera de los malos?

Raúl Moncada 1 Comment

Tengo un montón de entradas pendientes por publicar, sin embargo, mientras pensaba cómo invertir el tiempo para poder liberar esa cola de borradores pendientes por terminar, recordé esta historia y decidí sentarme a escribirla y dejar el resto pendientes con la esperanza de encontrar pronto la inspiración y las palabras adecuadas para terminarlas.

Me gusta esta historia porque le permite a mi mente dispersa echar a volar la imaginación y fantasear con un montón de escenarios posibles que no van a suceder jamás, pero que me deja evadirme de las responsabilidades o de otras tareas, por ejemplo, terminar las entradas inconclusas.

Hasta hace ya varios meses mi trabajo era el de mesa de ayuda, reiniciar computadores cuando fallaban, solucionar problemas de hardware, software, etc. Labor que muchos conocen como “el de sistemas”

Puede ser una imagen de una o varias personas, personas de pie, gafas y texto que dice "Soy el pesado de sistemas, y todos me odian."
Mientras escribía “el de sistemas” recordé esta escena de “The Office” la única comedia que me ha gustado en la vida.

Siendo “el de sistemas” muchos amigos, conocidos, familiares, ex-compañeros de trabajo y personas en general, se ha acercado a mí para resolver alguna duda sobre sus computadores y aunque como tal ya no me dedique a esta labor, en la medida que me sea posible y que el tiempo me lo permita, estaré disponible para ayudar en lo que se les dificulte, porque de cierta forma me siento alagado cuando depositan su confianza en mí para solucionar algún problema informático. Justamente esta historia está basada en la confianza (tal vez en exceso) que alguien tuvo conmigo. Quisiera intentar narrar la historia de la manera más detallada posible, sin embargo, prefiero dar unas descripciones muy vagas para evitar que alguien hile lo bastante fino como para dar con la identidad de los implicados en este relato.

Una tarde, alguien acudió a mí para pedirme el favor de revisar el equipo de su cónyuge, ya que estaba tendiendo dificultades con algo que no logro recordar y después de solucionado este tema, me pidió el favor que le ayudara con otro asunto, esta vez, de su trabajo. Acto seguido, esta persona (que trabaja para una importante entidad gubernamental) abrió el software con el que se conecta a través de VPN a su lugar de trabajo, digitó la contraseña y abrió una sesión remota con su sitio de trabajo, todo esto ante mí, que estaba horrorizado y escandalizado en partes iguales por lo que estaba presenciando.

Hay cosas en las que yo definitivamente no puedo intervenir, una de esas es revisar un equipo de una red corporativa, no sólo porque cada área de IT es diferente, cada una con sus políticas, configuraciones y porque, viendo las cosas del lado de “los de sistemas”, esto puede comprometer la seguridad de la información de una compañía, además, puedo apostar el brazo derecho a que permitir que un tercero sin autorización utilice un computador de una compañía es considerado como una falta grave en el código del trabajador con alguna consecuencia al trabajador.

Así que, con base a esta situación, es que surge el título de esta entrada y la fantasía que ronda por mi cabeza ¿y si cuando esto sucedió yo hubiera sido de los malos? ¿Cómo habría podido aprovechar esta situación si en el día yo fuera, “el de sistemas” pero en la noche fuera un ciberdelincuente y estrella del rock?

Pues bueno, abusando de la confianza que esta persona me dio en ese momento, podría haberle dicho algo como “Oye, me voy a demorar un poco acá, si quieres, para que no estés ahí de pie, puedes ir a hacer otra cosa y te aviso cuando esté listo”, esta persona seguramente lo habría aceptado, porque nadie quiere estar de pie, viendo como alguien hace cosas que uno no entiende. Ya sin supervisión de un adulto responsable (irresponsable en este caso), pues los males que yo, como ciberdelincuente y estrella del rock podría causar son variados, por ejemplo, podría instalar un keylogger (software que captura todo lo que se escriba con el teclado), o tal vez instalar una puerta trasera que me permita acceder a este equipo (o el remoto) después, directamente sustraer información, podría intentar descubrir otros equipos dentro de la red corporativa o directamente instalar un ransomware u otro tipo de malware que dañe a esta compañía.

Posiblemente esto último de keyloggers, ransmoware y malware para mis lectores “no técnicos” no esté del todo claro, pero para ponerlo en términos sencillos, en noticias en los últimos años hemos podido ver como han habido virus y otro tipo de ataques que han imposibilitado el acceso a páginas web, servicios o perjudicado de alguna forma empresas tanto públicas como privadas.

Para no darle más largas a esto, porque se supone que esto es una historia corta de la vida real, por favor sean cuidadosos con su información, aún más con la información y equipos corporativos, acaten las normas de seguridad de “los de sistemas”, desconfíen de la ayuda de terceros y recurden que pueden invitarme a un café en el enlace a continuación. Un abrazo.

Un año de mucho café… Gracias

Raúl Moncada Leave a comment

Bueno, acá estamos, un año después de comenzar con un este proyecto personal y aunque en materia de contenido no ha tenido el avance que me imaginé que tendría, el alcance y el cariño por parte de ustedes ha sobrepasado cualquier expectativa. Y como ya lo mencioné, aunque no he publicado contenido con la regularidad y calidad que quisiera, este pequeño proyecto me ha servido mucho a nivel personal, no sólo por poner a prueba y adquirir nuevas habilidades informáticas, también porque ha servido para, poco a poco, retomar la escritura, y aunque siento que no lo hago tan bien, muchos de ustedes me dicen lo contrario y eso me anima mucho.

Hace mucho vengo dándole vueltas a la idea de hacer de computadoresycafe.com una marca personal y que me permita abrirme espacio en otras áreas de mi carrera o que marque una diferencia en ella, aunque a veces el tiempo me juega malas pasadas, con lo que siempre espero contar, es con el apoyo que me han dado desde el comienzo, agradezco cada vez que en redes sociales le dan un “me gusta”, comparten o me preguntan por interno las cosas de las que hablo, algunos de ustedes ni siquiera están involucrados con la informática, pero me manifiestan que les entretiene como escribo, esas cosas quedan en mi corazón, nuevamente, y aunque parezca exagerado de mi parte, mil gracias por tanto.

Por último, aprovecho para recordar que hasta el momento, este sitio se ha mantenido libre de publicidad y sin ninguna intención de lucro, sin embargo -y aprovechando la temática del blog- si lo desean, a manera simbólica pueden invitarme a un cafecito en el enlace que aparecerá al finalizar este párrafo, no es una cantidad considerable de dinero y cualquier aporte lo agradeceré inmensamente. ¡Nos vemos en la próxima entrada!

Mi experiencia con Raspberry Pi

Raúl Moncada Leave a comment

En esta época de desarollo tecnológico, pareciera que 1.2 Ghz de procesador y 1 Gb de memoria RAM no es suficiente para nuestras tareas cotidianas, sin embargo, Raspberry Pi nos demuestra lo contrario.

En la red hay un montón de artículos que hablan de Raspberry, proyectos que van desde el mas sencillo hasta el mas alocado e impensable, sin embargo, este artículo está orientado a mi percepción sobre este aparato y la experiencia que he ganado al adquirir una hace un mes.

Un poco de historia

La primera placa de Raspberry fue oficialmente presentada por la fundación sin ánimo de lucro Raspberry Pi en 2012, con modestos 700 Mhz como procesador de un sólo núcleo y 256 Mb de RAM se convirtió en una de las herramientas predilectas para desarrolladores, makers y científicos locos para dar vida a proyectos que van desde consolas de videojuegos, robots, domótica, centros de entretenimiento y servidores de todo tipo.

Imagen del modelo 1 de Raspberry Pi

Tras su éxito y popularidad, la placa ha tenido un desarrollo continuo, hasta llegar al modelo actual, la Raspberry Pi 4, con unas características nada despreciables, tales como un procesador de 4 núcleos de 1.5 Ghz, de 2 a 8 Gb según se escoja, 2 puertos micro HDMI con soporte de 4K, 2 puertos USB 3.0 y conexión Gigabit Ethernet entre otras características que se pueden consultar acá.

Ahora sí, mi experiencia… Pero no sin antes, un poco más de historia

La primera vez que oí hablar de la placa, creo que fue un par de años o meses después de su lanzamiento, no recuerdo el modelo, pero quería una, ¿Para qué? no tengo la menor idea, pero el concepto de tener un computador tan pequeño, me traía loco, no lograba entender cómo funcionaba, cómo era posible y eso sin duda alguna captaba mi atención. Aunque las placas de Raspberry siempre se han caracterizado por un coste muy bajo, para ese entonces, con los gastos de envío y no sé qué otros trámites, el precio no era tan asequible, por lo menos para mí, así que pronto la idea de tener una Raspberry perdió fuerza, sin embargo, continuaba en mis planes tener una algún día y llevar a cabo los proyectos que veía en la red.

Finalmente, con todo el tiempo libre que nos dejó el 2020, comencé nuevamente a considerar adquirir una, decidí conseguir una Raspberry Pi 3 de segunda mano por sólo 53 dólares, me incliné por este modelo, ya que no quería invertir en un aparato que no cumpliera mis expectativas o que simplemente no fuera a utilizar.

Centralizando todo

Con la Raspberry Pi solucioné un problema con el que venía lidiando desde hace mucho tiempo: no tener información centralizada, o depender del computador donde tenía guardado un archivo para modificarlo desde otro computador. Si un día decidía trabajar desde el portátil y los archivos que necesitaba estaban en el computador de escritorio o viceversa, bien tenía que trabajar desde allí, o encenderlo, copiar la información en una USB, transferirla por SSH, enviarla por correo electrónico, etc. Y aunque ese inconveniente se soluciona trabajando en la nube, servicios de almacenamiento tales como Google drive, dropbox, entre otros, no son una opción para mí, no me siento cómodo con la idea de que en algún momento mi conexión a internet pueda fallar y tenga que hacer un montón de maromas para acceder a mis datos.

Así que dentro de la Raspberry tengo un disco duro externo conectado y 3 servicios:

  • Nextcloud: Donde almaceno mis archivos y contraseñas, ya que cuenta con un gestor de contraseñas bastante eficiente, accedo a ellos desde cualquier dispostivo, ya sea por webDAV, el navegador o la app del celular, una maravilla.
  • Servidor GIT: No se ve como la página web de github o gitlab, todo lo hago a través de consola de comandos, pero me gusta la idea de tener el código que desarrollo en un sistema de control de versiónes.
  • Docker: Ya he hablado de cómo docker me cambió la vida, y aunque no todos los contenedores funcionan con arquitectura ARM (lo cual me parece una deficiencia) y aunque que por ello no he podido migrar todas las imágenes y contenedores a la Raspberry, algunos como los de PHP y mariadb funcionan de maravilla y son los que más utilizo.

Otros usos

He convertido la Raspberry Pi en un asistente de voz con ayuda de mycroft, y aunque es más barato comprar un producto de Amazon o Google, mycroft es open source, lo que me hace amarlo automáticamente y no tener que preocuparme por problemas de privacidad.

Algunas anotaciones

Con todo esto que he escrito, parece que Raspberry estuviera sólo al alcance de gente con un altísimo conocimiento informático, cosa que está muy lejos de la realidad, el sistema operativo oficial de Raspberry, Raspberry Pi OS viene con todo listo para tener un ordenador de mesa funcional, en su página web se encuentran muchísimos recursos educativos, incluso la fundación Raspberry, cuyo objetivo es poner el poder de la computación en las manos de personas al rededor del mundo[1], ha desarrollado un modelo llamado Pi 400, una Raspberry Pi embebida en un teclado.

Raspberry Pi 400

Estoy más que convencido que esta es una solución de muy bajo costo que permite afrontar la virtualidad, en especial en el sector de la educación, una vez rota la barrera y el pavor que genera que Raspberry Pi OS esté basado en GNU/Linux.

Conclusiones

Mi experiencia con la Raspberry Pi no puede ser otra que de satisfacción, no sólo por solucionar mis problemas con un muy bajo costo, lo mejor que me ha dejado es el aprendizaje, poder tener un panorama diferente y un espectro más amplio en lo que respecta a soluciones de software libre para el entorno.

Espero les haya gustado el artículo y se animen a usar una Raspberry Pi.

Referencias

[1] Raspberry Pi Foudation. (s. f.). Raspberry Pi. Recuperado 14 de febrero de 2021, de https://www.raspberrypi.org/about/

Vulnhub: cómo usar tus habilidades de hacker sin dañar nada (ni a nadie)

Raúl Moncada Leave a comment

En muchos aspectos de la vida, adquirir una nueva habilidad requiere de poner en práctica la teoría aprendida, y esto también se aplica al entorno de la ciberseguridad,

Por ello existen sitios como vulnhub, una web con una gran cantidad de recursos en forma de máquinas virtuales, que funcionan con los hipervisores más comunes, en las cuales se pueden practicar habilidades en ciberseguridad, criptografía, explotación de vulnerabilidades, entre otros.

Es una comunidad bastante activa, los mismos usuarios publican las máquinas virtuales que han creado, se encuentran con diferentes niveles de dificultad y métodos para desarrollarlas, sólo basta con descargar la imagen desde el enlace proporcionado, configurarla en el hipervisor y ya está, todo listo para empezar a hackear dentro de un entorno controlado, sin meterse en problemas y sin dañar a nada ni a nadie.

En próximas entradas estaré explicando el paso a paso para el desarrollo de algunas de las máquinas publicadas allí.

Hasta la próxima.

Historias cortas de la vida real (III) – Lección para administradores.

Raúl Moncada Leave a comment

Me escribió el amigo de un amigo para que le ayudara con un problema relacionado con las cámaras de seguridad, su disco duro se estaba llenando fácilmente y no entendía el porqué. Esto realmente no tiene nada que ver con el objetivo del blog, pero lo que viene a continuación sí tiene que ver y por eso me animo a contar la historia.

Comencé a revisar y muy rápido noté que había más cámaras configuradas de las que deberían estar, dos más, para ser exactos, le pregunté al amigo de mi amigo y me dijo que no tenía ni idea de la procedencia de esas cámaras. Revisé la configuración y las IP que tenían configuradas no correspondían al segmento de IP del NVR, parecían direcciones IP públicas. Borré las cámaras que no deberían estar y todo pudo terminar ahí, pero no, decidí investigar un poco, tomé nota las direcciones IP y las llamaremos camara1 y camara2.

A día de hoy no entiendo cómo aún la gestión web de las cámaras de seguridad funcionan únicamente con Internet Explorer ¿Alguien ya le dijo a los fabricantes de cámaras -y a algunos desarrolladores- que Microsoft se deshizo de su navegador insignia? Entonces comencé abriendo Internet Explorer.

Comencé por poner la IP direcamente en el navegador, pensando que podría tener acceso a la gestión web de las cámaras, pero no.

Entonces decidí echar mano de nmap para ver si tenía algún puerto abierto y acá tenemos el resultado del análisis para camara1 y camara2

Ingresé por el puerto 8080 de la camara1, en camara2 pareciera que no hubiera puerto alguno abierto, pero siguiendo la lógica del acceso de camara1, también probé con el puerto 8080 y vemos que funciona.

Decidí probar el usuario y contraseña por defecto para muchas cámaras admin/admin, debo admitir que no me sorprendió para nada.

¿Cómo llegaron esas cámaras a un NVR en otra parte del mundo? ¿Puede ser un problema de fábrica? (El NVR del amigo de mi mi amigo y las cámaras en cuestión son del mismo fabricante) esto, como dice un youtuber que sigo, son preguntas que probablemente jamás tendrán respuesta.

Así que el consejo (esto debería ser una norma, en realidad) para todos los administradores, no sólo informáticos sino de cualquier sistema, es que al realizar implementaciones de este o cualquier otro dispositivo tengan en cuenta que no se pueden dejar contraseñas por defecto en los aparatos que están instalando, así fue como en pocos minutos pude hacerme con dos cámaras de seguridad en dos partes diferentes del mundo, donde podría haber imágenes sensibles, datos privados o lo cualquier otra cosa.

Hasta la próxima.

Historias cortas de la vida real (II)

Raúl Moncada Leave a comment

Los delitos informáticos como estafas y suplantaciones de identidad han aumentado por efectos de la pandemia, también se han sofisticado los métodos con los que los delincuentes intentan captar incautos y de esto tratará esta historia corta de la vida real, que sucedió hoy mismo. Aunque no tiene nada de sofisticado, tiene uno de esos “trucos de hacker” que pueden llegar a impresionar a más de uno y me parece importante compartir con todos ustedes.

Como ven en la imagen, la historia comienza con alguien (que me da a entender que no tiene mucho conocimiento en esos temas) pero decidió preguntar por una oferta de un computador que se ve bastante atractiva.

A primera vista la página no se ve mal, tiene un certificado SSL, es responsive, ponen un NIT, aunque no tiene el mejor diseño es agradable, aseguran usar la pasarela de pagos MercadoPago y demuestra cierto esfuerzo por hacer creer que es una empresa real.

Este tipo de páginas se caracterizan por no tener mucho tiempo de creadas en la red, así que precisamente ese fue el lugar donde quise investigar, rápidamente hice una revisión de los registros de WhoIs a través de esta herramienta en la red, a poner el dominio allí, esto fue lo que encontré:

El dominio en cuestión tiene a duras penas 4 días de creación, cosa que no encaja con ciertos mensajes en la dichosa página web donde supuestamente llevan consolidado un buen tiempo en la red, además muchas otras inconsistencias.

Aunque hay muchos otros factores que no estamos teniendo en cuenta, este pequeño “truco” es un buen comienzo para investigar a fondo este tipo de estafas en la red y evitarle a amigos y familiares pasar por este tipo de cosas.
Hasta la próxima.

Historias cortas de la vida real (I)

Raúl Moncada Leave a comment

Hace un tiempo una amiga mía me contactó ya que a su vez un amigo suyo le escribió por un correo que le había llegado donde le pedían cierta cantidad de dinero en bitcoin, el motivo: tenían su contraseña y si no pagaba, iban a usar su cuenta para enviarle a todos sus contactos un video en la que hacía cosas poco decorosas y que escandalizarían al familiar más liberal mientras visitaba un sitio con contenido pornográfico. El temor de esta persona radicaba en que en efecto esa era la contraseña de uno de los dispositivos y aunque no tenía planeado pagar, no sabía qué hacer, ni como sabían su contraseña.

Esta es un tipo de estafa (entendiéndola también como una extorsión) muy común en la red y se aprovecha de tres situaciones: la primera, la fea costumbre que tienen la gran mayoria de personas de reciclar contraseñas, es decir, usar la misma contraseña para todas sus cuentas; la segunda, obtuvieron su contraseña no porque en realidad lo hayan hackeado, sino porque en algún lugar del basto mundo de internet, su correo electrónico y contraseña estaba expuesta y por último, estaban tratando de aplicar ingeniería social con un comportamiento bastante común en la red.

¿Cómo procedí?

Cuando vi el mensaje por primera vez, supe de inmediato que era una estafa y sospeché que en algún lado podría estar publicada esa contraseña, así que hice uso del servicio de Have I Been Pwned, sitio que permite verificar si un correo aparece en alguna de las filtraciones de datos de la web (de esto hablaré más adelante).

Efectivamente, alguno de los sitios en los que esta persona estaba registrado había sido hackeada y los registros de la base de datos expuestos en internet, sitios que nisiquiera recordaba que se había inscrito. Tomándome un poco de libertad, intenté ingresar a estos sitios y en uno, aún funcionaba la contraseña filtrada.

Con el misterio ya resuelto, le transmití un par de recomendaciones, debía cambiar todas las contraseñas de sus cuentas, no sobra revisar el estado del antivirus de los dispositivos, poner una contraseña que sea fácil de recordar pero no fácil de adivinar, de complejidad alta y lo más importante no reciclar contraseñas.

Espero esta experiencia sirva de reflexión para todos y nos ayude a prevenir estafas en la red.
Saludos.