¿Necesitas un técnico de IT y seguridad en tu empresa?

Oldzhay es un técnico de IT especializado en la implantación de redes y sistemas, aunque por su vagaje de más de veinte años en el mundo de la informática, ha hecho prácticamente de todo. Desde la programación de sistemas de alertas a medidas antihacking. Trabaja como técnico de IT freelance para todo tipo de empresas, asumiendo gran variedad de proyectos. No quiere casarse con ninguna empresa y trabajar por cuenta ajena, aunque propuestas nunca le faltan.

¿Es necesario contratar un técnico de IT? ¿Es tan importante la ciberseguridad como dicen últimamente? Hablamos con Oldzhay, que también ha trabajo en el mundo de los servidores. Nos avisa, yo hablo un idioma, «el informático», que no todo el mundo entiende.

¿Qué proyecto es el que más te ha gustado de todos en los que has trabajado? ¿Eres más de implantar redes o programar sistemas?

Para mí los sistemas y las redes siempre han ido de la mano. En sistemas llevo casi dos décadas. En redes empecé en el mismo tiempo más o menos, por el 2002. A lo largo de los años, por una razón u otra, le he ido dando más prioridad a los sistemas.

Mi primer contacto con la informática fue en una empresa en Bulgaria, que desplegaba fibra óptica. Ahí aprendí sobre redes LAN y MAN. Luego llegué a España y me encontré con el fenómeno “ADSL hasta 1 mega” cuando en mi casa tenía 100 “megas” simétricos hace 20 años.

Aquí, en Madrid, hice formaciones de CISCO y Juniper, y he trabajado con F5. Tengo formación y experiencia con Linux y VMWare. Pero, si tengo que elegir entre sistemas y redes, seguro que no hay un claro ganador, me gusta estar en los dos bandos, me siento más completo como profesional.

Y esto es lo que más valoro en un proyecto – que se pueda trabajar con diversas tecnologías y tener una visión global sobre la infraestructura IT. Así, cuando toca diseñar una infraestructura, mantener o localizar problemas en una infra ya existente, uno es mucho más eficiente.

¿Qué es lo que más echas en falta cuando entras a trabajar en algún proyecto concreto?

Lo que mas he echado en falta personalmente (y en varios proyectos) en mi experiencia profesional es la falta de una dirección técnica – como rumbo y como persona – CTO o Arquitecto IT cualificados (para eso no valen ni el director comercial, ni el programador de turno).

 

En el ámbito tecnológico las empresas muchas veces se dejan llevar por el ruido en el mercado – el último software, la última plataforma, los foros de Internet, etc.

 

Mi estrategia personal siempre ha sido hacer las cosas “a prueba de futuro” – si estamos empezando y necesitamos una plataforma tecnológica, buscamos una que nos permita crecer y que no suponga un freno cuando le pidamos más recursos. Lo mismo pasa con el software – si hoy optamos, por ponerte un ejemplo, por un CRM cualquiera y mañana se nos queda corto, migrar de un producto a otro y con todos los datos es un proceso complejo y costoso (no solo la parte técnica, también formar al usuario a usar el nuevo producto).

Cuando elegimos mal una tecnología, software o plataforma, migrar para seguir creciendo y adaptarnos a las necesidades actuales de la empresa es un proceso doloroso y caro si no se hace bien.

 

Otra consecuencia de la falta de una dirección técnica clara y bien definida, y esto lo veo mucho, es que, si nadie marca un rumbo, el trabajo de los empleados, departamentos o colaboradores externos se descontrola y esto genera problemas técnicos y a veces legales.

Otro gran problema que veo es que la empresa muchas veces no ve el mantenimiento de los sistemas y el software como algo tan importante como su elección y puesta en marcha inicial y por ello no invierte en el proceso. Los servidores se instalan y nunca más se actualizan. Lo mismo pasa con el software empresarial. Se instala y mientras no da problemas, se deja así. He visto casos de software sin actualizar durante años, hasta que la empresa decide migrar y no hay forma porque hay tanta diferencia entre las versiones, que las hace incompatibles entre sí.  Y deciden empezar de 0, muchas veces perdiendo datos, porque no se puede migrar lo que ya tienen. Y lo viejo se deja como legacy para tenerlo “a modo de consulta”.

¿Es el hacking un verdadero peligro para las empresas a día de hoy? ¿Qué medidas recomendarías a las empresas para asegurar sus sistemas informáticos?

– De recomendaciones se puede hablar mucho, pero me centraría en dos:

• La primera medida es que los directivos de la empresa sean conscientes que esto de la seguridad no es de una película de Hollywood, sino que es real y peligroso. A menudo las empresas no invierten en seguridad, porque creen que no les afecta. O empiezan a hacerlo cuando sus sistemas ya han sido hackeados. O sea, tarde.
• La segunda medida es tener personal cualificado y un mínimo plan de actualizaciones para los componentes de nuestra infraestructura – sean de software o de hardware. Aunque todos manejemos datos en nuestras empresas, no os voy a mandar a implementar un SGCI. Con tener gente cualificada, que se encargue, aunque sea de lo básico – cambiar contraseñas periódicamente y actualizar los sistemas es mejor que no tener nada. Obviamente, lo ideal sería hacerlo bien desde un principio.
• (recomendación bonus): Formar a los empleados en las buenas practicas de uso de los sistemas y recursos de la empresa (instalar juegos en tu portátil de trabajo para que tu hijo se entretenga no es buena práctica. El software pirata con origen desconocido tampoco).

¿Cómo podemos asegurar una web o tienda online de los peligros de hacking, phising…?

Lo básico es lo primero y más importante:

• Usar servidores con sistemas operativos actualizados y con soporte. Mantener actualizado tanto el software de SO como las versiones de PHP y Apache/NginX, Plesk, etc. Me han llegado casos de servidores hackeados por tener un panel de administración desactualizado.
• Tener en la empresa un plan de actualizaciones periódicas para todo y lo más importante, cumplirlo.
• Usar cortafuegos.
• Limitar a los usuarios, permitiéndoles llegar solo hasta donde deben y por el periodo de tiempo necesario (en caso de desarrolladoras externos).
• Usar certificados SSL, son baratos, hasta gratuitos y merecen mucho la pena.
• También hay que mantener actualizado el software que usamos (WP, PrestaShop, etc). El equipo que hay detrás de WordPress es bastante amplio, unas 50 personas según ellos mismos, así que gran parte del trabajo lo hacen ellos. A nosotros solo nos queda mantener nuestro sitio actualizado. No confiar en plugins sospechosos, sin actualizar, con comentarios negativos, etc.

En cuanto al phishing, es trabajo de cada usuario. Hay que saber reconocer una web fraudulenta, un dominio que parece el original, pero no lo es. Correos que nos piden seguir enlaces para cambiar nuestra contraseña o introducir nuestros datos. Hay que saber reconocer un correo fraudulento, os voy a dar un ejemplo de un correo que me ha llagado hoy mismo:

A primera vista, aquí hay dos cosas que llaman la atención: Una es que piden que pongamos la misma contraseña, porque la actual ha expirado. Está claro, no? Ha expirado tu contraseña, pero te piden que uses la misma. ¡Que lógica más rara!

Y por otro, lado, hay un enlace que te lleva a un sitio externo, que no es el “Email Account Settings”

Como consejo principal, no hacer click en enlaces en correos en los que no estamos seguros de su procedencia. Lo mismo es para los adjuntos. Sobre todo, si son ficheros ejecutables.

Yo en mi caso – pero esto ya es deformación profesional – reviso las cabeceras de algunos correos que me llegan y me parecen sospechosos. Lo recomiendo siempre, pero aquí no voy a entrar en muchos detalles, porque es bastante amplio y puede resultar complejo para un usuario no técnico. Igual lo cuento en otro artículo, dedicado a estos temas.

Solo os dejo un ejemplo de algunas cabeceras sueltas, para que os hagáis una idea:

Return-Path: <apache@blog.doubleslash.de>
To: “mi correo, esto iba a mi correo personal” 
Subject: 3 pdf Files Sent Via WeTransfer_On 03/18/2022 04:40:22 am
From: =?UTF-8?B?ICBTYXJvb2x1LldlX1RyYW5zZmVy?= <WE_TRANSFER999.WE_TRANSFER@blog.doubleslash.de>
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 8BIT
Message-Id: <20220318114022.457E8F71E@blog.doubleslash.de>
Date: Fri, 18 Mar 2022 12:40:22 +0100 (CET)

 

Vamos a analizar un poco:

En el asunto, que suele ser lo primero que leemos como usuarios de correo electrónico, nos indica que nos han mandado 3 PDFs via WeTransfer

Ahora, el origen del mensaje es de otra URL, es de una web, que no tiene nada que ver con WeTransfer, es de un blog con dominio .de. Pobre gente, alguien les ha colado algún código malicioso en el blog y seguramente ni lo sepan.

“apache@blog” nos indica que el usuario que envía este mensaje es el apache – el usuario con el que arranca el proceso web que corre nuestra página. Sabemos que es un apache y también sabemos que es un WordPress y sabemos su versión, la 5.9.3 (no se ve en las cabeceras, esto lo he investigado aparte). La idea es que WeTransfer no usa dominios externos, ni páginas basadas en WP para mandarnos PDFs.

Luego nos dan un botón para descargar esos supuestos ficheros y este botón nos lleva a saber dónde:

Insisto, ¡no hay que clickar en los enlaces! en la mayoría de casos son enlaces únicos, que el atacante genera de forma dinámica y envía al correo de cada destinario, potencial víctima. De esa manera, si hacemos click, aunque no pase nada más, le decimos al remitente (el malo) quienes somos y le confirmamos que nuestra cuenta existe y esto le da vía libre para seguir intentándolo, porque sabe que nuestra cuenta existe y tiene actividad. Y creedme, los malos son cada vez mejores y sus ataques, más sofisticados.

¿Usas wordpress? ¿Qué medidas o plugins recomendarías a nuestros lectores?

Sí, uso Wordppress, actualmente con WooCommerce. En cuanto a plugins, dado que el plugin por su naturaleza es una pieza de código, que añade funcionalidades a nuestro wordpress, es difícil recomendar algún plugin especifico, sin conocer cada caso. Por otro lado, aveces es cuestión de costumbre o preferencia personal – ¿es mejor Elementor, WP Bakery o WP Page Builder? ¿O ninguno?

Lo que sí recomendaría es tener en cuenta lo siguiente a la hora de decantarse por uno o por otro:

En primer lugar, menos es más. Si no usamos un plugin o lo instalamos para probarlo y no nos ha convencido, es mejor desinstalarlo (ya no vamos a entrar en que para probar es mejor tener un blog para pruebas para evitar romper el oficial). Cuanto más pesado el código, mas lenta es nuestra web y encima, más superficie de ataque tiene.

Mirar bien si el plugin tiene buena puntuación y comentarios por los usuarios. Y si está actualizado. Si no lo está o no está probado para nuestra versión de WP, yo personalmente iría con cuidado.

¿Que planeas de aquí a un futuro próximo? ¿Hay algún proyecto personal en tu mente que nos puedas contar?

– Hay un proyecto de e-commerce, que estoy lanzando ahora. Está en etapas iniciales, pero podéis ver aquí.

 

También te puede interesar:

• Curso de podcasting: ¡Aprende a crear tu propio podcast! Parte 1
• ¿Puedo tener un dominio con la letra ñ?
• Hosting lleno ¿Cómo puedo liberar espacio en mi hosting o VPS?
• ¿Cómo saber qué plugins utiliza una web?
• Top 10 plugins para WordPress ¡Nuestros favoritos!