Episode 1: Black&Black Episodio 1 - "Diferencias entre los blackhats y whitehats" - expertos en ciberseguridad podrán contra la ciberdelincuencia?
00:00:00 - Bienvenidos a Black and Black. Conoce y aprende de dos hackers de sombrero negro.
00:00:14 - Hola, ¿qué tal? Bienvenidos a Black and Black. Esta vez estoy con mi amigo Rodolfo de Seña, lo cual me acompaña en este podcast. Y bien, pues ahora se estarán preguntando por qué ahora se llama Black and Black. Pues definitivamente me han pasado algunas situaciones en mi vida que tienen que ver precisamente con ciberataques, que tienen que ver con resistencia y haber estado pues del lado de White Hat por algún tiempo. Y por la respuesta, en verdad, pues llegó a ser muy mala.
00:00:45 - Quiero experimentar algunas otras cosas y pues conocer algún otro tipo de personalidades.
00:00:52 - Entonces, pues estoy tomando un cambio de postura. Eso no significa tampoco que ahora me voy a dedicar totalmente a estar con una pistola cibernética y asaltando a las personas. No ese es el objetivo, pero pues quizá voy a estar un poco más enfocado al lado ofensivo. Algunas personas lo saben, pues está lo que viene siendo Red Team para la parte ofensiva o Blue Team para la parte defensiva.
00:01:19 - Yo he estado muchísimo más en la parte defensiva o de Blue Team, pero pues realmente el atacante tiene más ventajas y eso es algo notable. Y pues bien, Rodolfo, ¿cómo ves? Un episodio más.
00:01:35 - Muy bien, contento de este comienzo. Bueno, no es un comienzo, ¿verdad? Ya tenemos algo, pero sorprendido con los cambios que han ocurrido. Te felicito por pasarte a este lado. Lo que pasa es que, por ejemplo, yo vengo de la comunidad y así le puse nombre a la mía, que es Black Hat Hacking, y no porque me dedique al cardín o algo parecido. Simplemente ese nombre que yo puse es porque varios de los White Hats, incluyéndote amigo, yo veía que hacían ataques para hacer demostraciones y a veces no tenían autorizaciones. Por ejemplo, Chema Alonso. Si hicimos una búsqueda en YouTube, yo veía que entraba a sistemas pues para probar que había fallos. Entonces, por eso yo también aprovecho esto que te pasó y el nombre que tenemos ahora de Black and Black para explicar que no es que yo me dedique a ciber delitos o a cardín, sino es un título que le doy como un tipo de rebeldía hacia mis colegas. Pero todo bien. No, y creo que es muy cierto eso que mencionas. O sea, realmente también el Black Hat no es necesariamente un cibercriminal. Bueno, al menos yo considero que un hacker puede llegar a tener varios sombreros, pero no es lo mismo que un ratero cibernético, que un escámer, que un cracker, que un freaker. O sea, como dicen, pues hasta en el mismo barrio hay diferentes clases. Pues es algo muy parecido, ¿no? Pero aquí en el ambiente de Internet y creo que eso es como rescatable. O sea, dentro de los hackers, pues puede ser un White Hat o un Black
00:03:21 - Hat, pero alguna si te riges un poquito más por el código hacker o por la forma de comportamiento de lo que vendría siendo un hacker y no necesariamente eres pues un terrorista, un cibercriminal, un carder. Creo que hay distintas habilidades técnicas o subtribus que pues están compartiendo el ecosistema. Sí, también es muy notable que el ambiente oscuro o el lado negro, o sea, el de hecho de que las personas de estar en el ambiente donde puedes llegar a tener un beneficio económico, pues sin duda llama más la atención. Eso sí lo hemos visto como tal en números y pues realmente no sé qué pensar de esto. Creo que ahora lo entiendo más, sobre todo por la frustración que se puede llegar a tener desde el punto de vista de la ciberseguridad. Y algo importante es el sentir, o sea, también tienes que entender o hablar con algunos Black Hats o ver su modo de pensar y dicen algo que puede llegar a ser un poco doloroso o puede llegar a generar mucha discordia o una sensación extraña en la comunidad, pero es el hecho de que cuando tú descubres o encuentras un error de seguridad y lo reportas, a veces pues los bug bounties no son adecuados o pues te quieren ver la cara de tonto. ¿A qué me refiero con esto de verte la cara de tonto? Así de puede ser un bug de seguridad de un banco o de algo importante que a lo mejor ellos puedan llegar a perder cientos de miles de pesos, ¿no? Si los hackean, que ya ha llegado a pasar en el ahora sí que anteriormente, en lo que viene siendo el SPE y en otro tipo de sistemas de pausa en línea, ahora imagínate que pues tú la quieras corregir y te dicen algo como, pues muchas gracias, Rodolfo, la verdad, qué bueno que nos avisaste. Te vamos a dar una licuadora, te vamos a dar un Tupperware, te vamos a dar aquí tu, una tarjeta de video para que te pongas a jugar ahí en
00:05:38 - Steam, como que a veces no, pues creo que nos quieren ver como aficionados o como si fuéramos una especie de gamers y puede llegar a ser muy sensible lo que haces como Black Hat, entonces creo que este contexto quizá de cambiarme de lado es un poco más icónico que en realidad el hecho de que yo me vaya a volver totalmente otro ser humano, pero sí he cambiado un poco mi mentalidad en decir, pues a veces estás soportando los golpes, cuántas veces, de hecho muy al inicio de iniciar yo mi organización me decían, pero es que todo está muy bien, no, pero por qué ético, no manches, o sea, por qué le pones ético o por qué tan ético y luego ya de empezar a hacer un cuestionamiento empezó a ser un poco más como un tag que se apegaba un poco más incluso al cyberbullying o algo así en donde pues cualquier cosa es como pues te dices santo, te dices madre Teresa de Calcuta, pues ahora sí que donde te tropieces o donde te agarran el pecado, pues ahí me lo estaban astillando y encajando la espinita y creo que pues ahora cambia un poco el enfoque, o sea, no es tampoco el hecho de voy a hacer actividades delictivas, pero quizá el hecho de ponerte un black hat puede cambiar un poco la perspectiva del respeto que pueden llegar a sentir las personas sobre ti y también que vean un poco que ha cambiado tu mentalidad en que la seguridad, la parte defensiva, quizá me ha decepcionado un poco, no digo que al 100% pero pues por algo estoy como que dejando descansar un poquito el sombrero después de 10 años en donde créemelo, o sea, ha sido difícil, a veces te lo pones blanco y acaba todo percudido y al final de la sesión ya está todo gris, ¿no? Fíjate Héctor, tu cambio ya de enfoque hace que estemos de acuerdo y ya no va a haber el debate porque como amigos, como colegas hemos estado en desacuerdo muchas cosas pero ahora ya vamos a estar más de acuerdo. Fíjate, dijiste algo súper importante para los que me estén escuchando. Uno, acostúmbrense a encontrar un fallo, reportarlo y que no se les dé ni un centavo, a pesar de que ese fallo sea importante y afecte a los clientes y afecte las operaciones de la empresa o la aplicación web donde lo encuentren, en serio acostúmbrense a que no les vayan a pagar. Dices, es una decepción, es una molestia, súper rescatable lo que acabas de decir. Nos pasa a nosotros que hemos estado muchos años en esto. Otra cosa, no lo digo por presunción, por presumir o hablar de más, pero los dos hemos viajado a varias partes de Latinoamérica, incluso coincidimos una vez en El Salvador. A lo que voy con esto es, es notorio, puedo hablar yo por varios países de Latinoamérica, en que el sentir de que el gobierno o las empresas no le meten realmente tanto presupuesto a la ciberseguridad. ¿A qué voy con esto? Que estamos hablando de hacking étnico, que estás tratando de adelantarte a los, ahora sí a los cibercriminales para evitarles problemas, pero no hay un compromiso. Yo por lo menos puedo hablar de mi país y no quiero hablar de otros porque pues no me corresponde, pero sí he estado ahí y es notorio, más aparte pues la gente con la que de repente platicamos, ya que nos bajamos de dar la conferencia, pues que comentan lo mismo, ¿sabes qué? Es que aquí estamos en pañales, es que no, no hay un compromiso por parte de las instituciones que deberían de hacerlo.
00:09:42 - Es que el hecho de que exista la policía cibernética, pero no tenga un instrumento real, ¿a qué me refiero?
00:09:53 - Bueno, pues tú y yo bien hemos visto las detenciones que ha habido en México, que tienen que ver con crackers o actividades de banking, carding, y finalmente han llegado a darse cuenta que las cosas están mucho más conectadas de lo que se debe. Por ahí se supo que la mafia rumana que estaba en Playa del Carmen robando las tarjetas de crédito directamente, pues tú te ibas a un antro, un barecito y así de, me voy a echar una michelada aquí en Playa del Carmen y ya pues te ponías medio dos, tres copas, ya no sabías ni qué, pasabas la tarjeta, pero ahí mismo te la pasaban en el skimmer, te la clonan y pues tú pensarías que en Playa del Carmen o en México, pues tiene que haber mexicanos, pero a veces no, está, resulta que es la mafia rumana y que trabaja con otras personas que están en Guanajuato haciendo cosas, se ha vuelto un ecosistema pues muy complicado y las personas quieren monetizarlo, o sea, yo entiendo esta parte de, pues como lo hemos visto, o sea, el white hat paga poco, la policía cibernética arresta a pocas personas y yo bien creo que algunos que arrestan meramente es como pues coincidencia o muy mala suerte, también quizá encargo, por qué no decirlo, así como mira estos ya están muy vistosos, se compran muchos autos de lujo, por qué no les das una visitadita, es otro tipo de enfoque, a veces no es el hecho de que no se cometan los cibercrímenes, yo siempre he creído que la policía, bueno, no me sentía yo como tal una policía, porque hay que también extenderlo, un white hat, un hacker ético, trata de con cierto conocimiento, valor técnico, anticiparse un poco a las situaciones, la policía siempre llega después, o sea, tú le marcas de hay alguien lo balearon y pues ya llega 15 o 20 minutos después, toma las notas y ve todo esto, o sea, como que el white hat no necesariamente quiere verse como que superado, sabes, eso fue lo que a mí me atiborró mucho o me sobrepasó, el hecho de que no, pues es que ya le parchamos todo, hicimos todo desde el punto de vista de ciberseguridad, pusimos el firewall y demás, se gastaron aproximadamente 2 millones de pesos en infraestructura, pero alguien abrió este mail, le dio doble clic a la vídeo de TikTok que venía con un virus y ya cayó el ransomware, todos estamos en problemas, se borró la información, o sea, como que a veces puede llegar a ser muy inconsistente la defensa y tienes que justificarla bastante, dentro de mi trabajo de ciberseguridad se seguirán dando este tipo de situaciones, las personas me van a seguir hablando para, oye, que puedo proteger, es más bien un poco el enfoque de ahora que soy black hat, poderles decir a las personas, mira, el pentesting o las cosas que yo hago meramente son ofensivas, puedo detectar los errores antes que las personas, pero la parte de la protección o persecución depende mucho de las autoridades, o sea, deslindarte un poquito, porque a la OME realmente creo que yo te lo llegué a platicar muchas veces de forma personal, pero lo veían como si yo fuera la policía cibernética o como si yo fuera una entidad gubernamental, me decían, me robaron, me quitaron, me hicieron, cada vez empezamos más a recolectar como ese sentir social y atender a todo tipo de reportes y trabajos, pero empezamos a ver que nos envolvían, sabes, o sea, las situaciones personales de los clientes, nosotros como organización de white hats o defensiva, nos poníamos como si fuera un man in the middle, pero empezábamos a recibir todos los ataques luego ahora nosotros, porque ya era como la defensa o éramos los policías cibernéticos o los detectives de internet, entonces las personas contra las que empezábamos a intentar ir, pues ellos sí tenían un lugar en donde depositar como tal, pues ya no solamente su hate, porque pues el hate se me respala, ya los ciberataques, ya decir, vamos a atacar estos dominios, vamos a atacar estos servidores, son situaciones donde pues durante 10 años abundan los ataques y creo que con cierto enfoque en donde, pues creo que la ética es algo que pueden aprender en sus familias o en sus religiones, suena muy mala onda, vamos a llamarlo hasta brevemente, no suelo decir muchas malas palabras, pero un poco jete de mi parte, pero si es la verdad, a veces el hacking es un poco más una técnica, porque la gente nos quiere hacer ver y qué tipo de hacking es y es un hacking que me mete a la cárcel o no me mete a la cárcel y le digo, pues es que depende de tus acciones, yo te estoy enseñando la técnica y pues depende mucho de tus acciones, sin embargo, ahora mi mentalidad convive con los black hats porque siento que han estado muy lastimados, o sea, no es que los justifique y que ahora al 100% diga, sí, vamos a robar todos juntos o que sea un llamado a la ciberdelincuencia, para nada, pero sí creo que es importante hacer sentir el, oye, o sea, mira, todo esto está pasando porque la ciberseguridad nunca tomó relevancia, nunca se le invirtió y pues quizá con este pasito, pues les dé un poco de perspectiva de por qué me cambié, o sea, yo ya veo un poco irremediable el asunto de la ciberseguridad por muchos casos y muchos trabajos que lo he hecho, como siempre seguiré trabajando y esforzándome por lograr lo que me pidan, pero sí, el camino está un poco más empedrado para la ciberseguridad. Sí, mira, tiene que ver varios cambios, pero cambios radicales y muy muy grandes y cosas que se implementen a la de ya para, para cambiar este un poquito la, el rumbo de cómo va esto, simplemente miren, para todos los que nos están escuchando, respóndanse esta pregunta, a lo largo de los años, ¿quién ha ganado? ¿el lado bueno o el lado malo? yo lo puedo responder desde mi perspectiva, siempre ganan, pues si partes de la frase que se dice hace varios años que no se puede estar 100% seguro en internet, ya con eso tienes, o sea, no, no va, necesita haber un cambio muy muy grande, tienen que implementarse cosas muy grandes, se han intentado varias cosas, por ejemplo, en México están intentando hacer mandatorio, obligatorio, en que ya tu empresa cumpla con ciertas auditorías y ciertas medidas de seguridad, sin embargo, sin embargo, a pesar de la, de esto obligatorio, no hay quien revise que una empresa realmente esté teniendo sus análisis de vulnerabilidades constantes, que los equipos que configuran, por ejemplo, un firewall, eso es lo más común que te ponen como medida de seguridad, un firewall y a veces está desactivado, o sea, no, no hay alguien que esté revisando y que obligue a las empresas a meter todo esto. La seguridad informática es como, los problemas de seguridad informática son como, como una enfermedad, nosotros nos preocupamos hasta que ya tenemos un dolor enorme físicamente y ya vamos al doctor y pagamos todo eso, en la seguridad informática es igual, rara vez te quieren consumir soluciones de ciberseguridad, tú llegas a una empresa y les dices mira, yo te puedo ofrecer las soluciones para que no te caiga un ransomware, está ahorita muy fuerte en todo el mundo, en Latinoamérica ni se diga, en México también me toca atender como tres casos a la semana de ransomware, entonces si tú vas y dices mira, está pasando esto, rara vez quieren realmente implementar algo y dicen, no, no, quieres cobrar mucho o nada, es un gasto innecesario, pero el momento que les pasa tienen que pagar el rescate en bitcoins y aparte pagarte por hacer todo, todo, todo el movimiento tú y luego pagarte por estarles cuidando la empresa todo el año, así que ese es el asunto, porque va cada vez disminuyendo, tú eras todo un referente en hackingético y mira, ya se perdió, no sé si para siempre, no sé si es momentáneo, de hecho a lo mejor ni tú lo sabes, algo puede pasar en el futuro que te digan oye, este sí, reconocemos, vamos a trabajar, ayúdanos, porque fíjate hasta que los asesorarás para proteger más su red, ¿no?
00:19:23 - Sí, pues, qué te puedo decir, o sea, realmente a veces no puedo saber cuándo un cambio va a ser definitivo, yo siempre ya creo que me voy a quedar con esta perspectiva de, pues realmente ser un poco realista, el hackingético a veces es un poco idealista y puede llegar a sonar incongruente, muchas personas me lo decían, pero como un hacker, si un hacker se mete y demás, yo tenía muchos fundamentos, muchas veces me explayé no solamente por 10, 15 minutos, sino me aventaba cátedras, me aventaba dos, tres horas, incluso hacía no solamente un webcast, sino me llegaba a aventar siete, ocho webcasts, que llegaba a tocar los contrastes de lo que, por qué era ético, por qué funcionaba así, pero lejos de recibir a veces como ese apoyo o ese abrazo de, oh sí, qué bueno que nos proteges y demás, me llegaba una sensación como de sentirme un poco tonto por la comunidad, a veces bloqueado, y no simplemente esto, el hecho de, yo aguanto mucho hate, o sea, que te odien los malos es parte de tu trabajo, era como yo lo veía, pero el hecho de que no te respalden los buenos o los otros white hats o tu equipo, eso sí fue un poco más contrastante, te platico un poco, no voy a mencionar exactamente los nombres para no quemarlos como tal, pero pues tú bien sabes que, no voy a llamar tengo ojos en todos lados, porque eso suena algo muy feo y realmente no se trata de eso, sí, porque así, quizá es de que yo estoy viendo en todos sus chats, tengo ojos en todos lados, suena como que quién es este wey, por qué nos está vigilando, no, no es así, pero la comunidad de hacking en Latinoamérica, y si hablas español y sabes algo de hacking, pues seguramente alguna vez has escuchado o visto algún tutorial mío, o no lo sé, quizá alguna revista, o conoces también a alguien de mi círculo social, como tú, como algunas otras comunidades de Latinoamérica, pero pues sí, hay cierto movimiento, entonces creo yo que el hecho de que tú a veces puedes llegar a confiar, o sea, yo veía decir, bueno, veo a los malos o veo a ciertos grupos de, no los veía malos, los veía un poco como más ofensivos, no voy a decir agresivos, aunque a veces puede llegar a tocar ciertos roces, o sea, el ser muy ofensivo puede presentarse a que, pues por ende es como si eres un perro de pelea, y te ponen con otro perrito, y te ladra poquito, o no te gustó algo, se quiere comer tu hueso, pues órale, te le dejas ir, o sea, creo que tiene que ver más con un poco también el ecosistema, de que el hacker como tal, no es una persona a veces muy pasiva, créemelo, o sea, yo muchas veces me regule bastante, simplemente por la carga moral que era traer eso dentro del mismo nombre de la organización, donde me decían, por es que no todas las personas que se juntan contigo, o no todas las personas que han entrado o puesto un piento en empresas son éticas, les digo, pues no, o sea, si tú abres un estadio de fútbol, no todos los futbolistas que entran a la cancha, a lo mejor tienen buenas intenciones, pero aún así tú no puedes saberlo, tienes que darle la oportunidad a cualquier jugador, y creo que con esto es un poco más abrirme, o tener un poco de apertura, porque generalmente he estado baneando muchas personas, sabes, eso tampoco me gusta hacerlo, el hecho de, yo considero que el hacking es un poco más una libertad de expresión que tú llevas mediante el teclado, algo como un poco artístico, tiene que ver como con un talento enato, a veces sí, lógico, matemático, que tiene que ver con programación, redes y demás, pero es un poco algo que ya traes, entonces sí, no eres libre de expresarse, de expresarte y decir, pues yo quiero intentar hacer ingeniería inversa, o yo quiero intentar hacer un virus y que te diga, no, es que un virus está mal, porque un virus no es ético, y mira, a ver, dame la mano, te voy a meter un reglazo, porque no haces la, o orejas de burro, porque no te portas bien, o sea, creo que no es un concepto el castigar, precisamente como lo mencionas, si a veces podemos tener la suerte de llegar a ser referentes dentro de alguna área, el hecho de estarles diciendo a las personas siempre como, pórtense bien, pórtense bien, ahí viene la policía, viene la policía, a veces puede algo no ser cierto, o sea, si yo realmente me hubiera sentido respaldado por las agencias policiales, me hablaran, tuvieran acercamientos, buscáramos personas de interés juntos, hubiera misiones en conjunto, hubiera un cierto interés realmente desde el punto de vista de ciberseguridad, o yo los viera como personas sofisticadas, pues posiblemente, ¿para qué me voy del lado de los perdedores, sabes? A nadie le gusta estar en el bando de los que pierden, o sea, no sé, me sentí en el cruz azul, amigo, o sea, realmente, si siempre juegas la final y siempre acabas con siete goles contra cero, o sea, yo quiero estar en un equipo que pueda aportarme, donde pueda tener crecimiento, no digo que triunfó el mal, pero a veces la iniciativa puede estar un poco más en el lado ofensivo, y los que solamente reciben golpes, a veces, pues, ¿qué te puedo decir? Parecen costal de box, ¿verdad? Pero nada más. Sí, lo que pasa es que, mira, pasan muchas cosas, por ejemplo, uno se queda pensando, ¿por qué la policía cibernética, los encargados de proteger a los ciudadanos en medios digitales, por qué no tienen la misma organización que los criminales, que los ciberdelincuentes? Un ejemplo muy específico. Hemos ido a conferencias tú y yo, y a veces bajándonos de platicar, de contestar las preguntas, ya te están ofreciendo dinero, nada más, nada más, porque te sientes a platicar con ellos, o ya te están ofreciendo una cantidad de dinero bastante buena, para que te unas a su equipo, como en la ciberpolicía, o el gobierno no hace eso, va y se apertura a los talentos. Ahora, está otro tema que yo creo que adolece a toda Latinoamérica, la burocracia. Un ejemplo también muy específico. Recuerdo hace tres años estar en una organización, una organización militar, así hasta ahí voy a decir, entonces me dijeron, oye, ¿qué nos puedes aquí ofrecer o qué puedes implementar? Y en el momento en el que yo empecé a dar algunas ideas, me dice, me dice el de más alto rango, no, no, no, no, le tengo que mover algo, o tengo que estudiar, o no, no, ya déjalo así, ya como está así, ya no queremos hacer más. Entonces, son todas esas cuestiones que sí, pues te van desmotivando. Son cosas que a mí me han pasado, y quiero repetir lo que dije hace rato, acostúmbrense, los que nos están escuchando, a muchas veces encontrar un fallo importante y ni las gracias te van a dar, y a veces ni te contestan el reporte que mandas o el correo, mucho menos pues que te paguen. Pero, ¿qué es lo que pasa ahí? Yo lo comprendí hasta que empecé a tener amigos que estaban en DevOps, los que desarrollaban o estaban encargados del sistema. Lo que pasa es que se pone en trabajo, en riesgo, perdón, se pone en peligro su trabajo al darse cuenta el jefe que hay un fallo, que es porque no lo implementó, por falta de conocimiento, por lo que tú quieras. Entonces, muchas veces no les llega a la persona indicada, a la que tiene el poder de decidir, no le llega ese reporte que tú haces. No estoy justificando, pero es parte de lo que pasa, para que de nuevo se vayan acostumbrando a eso.
00:28:15 - Sí, como que pues es como el teléfono descompuesto. Aparte nadie quiere admitir que tienen las cosas mal hechas, eso sí es como muy obvio, pero también pasa que vas como que, como dices tú, le vas tapando, le vas tapando, le vas tapando, hasta que ya se vuelve, no quiero decir la palabra, pero es un total desorganización, algo totalmente feo, mal hecho. O sea, imagínate llegar a un site de gobierno, me llegó y te lo digo de viva fuente y pues lo confieso porque no me da pena porque es una realidad, pero hasta goteras, ¿no? Así de no, pues pon una cubetita ahí al lado del site y tú así ahí hasta con una veladora y eso y así de imagínate y luego dices estoy en una agencia policial, o sea, ahí realmente nunca llegué a sentir tan cerca la posibilidad de un atentado como lo era trabajar en un departamento que sabes que es de la policía. Entonces, pues no sé, o sea, me dio mucha mala sensación el hecho de ¿y qué seguridad tengo aquí? No, amigo, es que es el cristal que no se ve por fuera, o sea, tú no los puedes, tú los puedes ver, pero ellos no te pueden ver a ti. Y yo así dije, no, pues, qué sofisticado, ¿verdad? Y con una granada yo creo que pues vuelan estos cristales y ahora sí todos nos podemos ver con todos. O sea, no sé, Rodolfo, a veces sí sentía como que ¿quién es el que cuida la pluma de la puerta? Y así de no, pues, don señor ahí que está viendo Capulina y comiendo su torta. Y pues la verdad está bien duro cuando yo he visto algunos otros videos que sí tienen que ver con sicarios, por ejemplo, y llegan, apuntan, disparan, pegan de una, ni siquiera ocupan dos balas y corren, o sea, y entonces ya esos ni los agarran, ni reporte, y luego resulta que hay 500 cámaras conectadas a los famosos C4 o los C5 que sirven para monitorear cada una de las calles, porque
00:30:24 - ¿cómo se gasta dinero en infraestructura pública y demás? O sea, todo lo de obra pública, monitoreo, hay hasta fideicomisos, tú lo sabes, para las cuestiones de seguridad. Entonces, pues que quiero 2, 3 milloncitos para unas camaritas, ¿no? En Culiacán. Ah, pues órale, a ver, vamos a comprar 7, 8 millones de camaritas y las instalan. Resulta que como les gusta mucho el balazo ahí en
00:30:52 - Culiacán, pues llega la Navidad o el Año Nuevo, te balacean todas tus cámaras y pues ¿qué pasó? Pues nada, ¿no? O sea, dos meses después pides otros 8, 9 milloncitos, ahora ya no compras otro modelo de las cámaras, o sea, se me hace inconsistente. Creo que esa es una de las palabras que es dolorosa y es grave. En cambio, tú observa el cibercrimen y son muy, muy consistentes, o sea, los grupos de ransomware empezó a ser como uno, ¿no? Digamos que alguien dijo, a ver, vamos a hacer ransomware y encriptar las computadoras. Ah, mira, ya me funcionó, encripté 100. Ay, a mí también, yo encripté otras 200. Ah, pues ya juntos encriptamos mil computadoras. A ver, pide recompensa. No, nadie me da. Pues a ver, vamos a subir el rango, la categoría. Ahora vamos por universidades, que tenga bases de datos más grandes. Y pues bien, resulta que uno ya pagó el Bitcoin, entonces empieza a ser un negociazo y empiezan a pasar la receta, a organizarse, a utilizar la criptografía a su favor. Pues los veo más vivos, entonces quizá eso es también el enfoque. Creo que en el área de protección se pueden aprender muchas cosas, o como White Hat tienes la fortuna también de recibir los ataques, o sea, algunas personas me podrían llegar a decir, bueno, pero es que te atacan mucho. Sí, pero precisamente eso también me ha servido como a jugar tenis. Digamos que cuando viene la pelota les sé pegar de regreso y luego me vuelven a atacar y vuelvo a raquetear de regreso. Es un poco como jugar ping pong o jugar tenis. Y eso me ha servido un poco en la parte defensiva. Pero sin duda, algo que sí creo ahora ya con fervor, es que paga un poco mejor el hecho de tener amigos más fieles. ¿A qué voy con esto?
00:32:55 - Porque ni siquiera es el hecho de delinquir. Muchas comunidades de White Hat, cuando nosotros estábamos peleando contra Crackers o Black Hats, tú esperarías que fuera como de, pues los ayudamos o mira Héctor, es de los buenos y le están, le están pegando los malos. Es como los rudos contra los técnicos. Esperarías que las personas como que tomen algo de precisamente esa ética o sensatez, pero no, nada que ver. Tú vas a ver que la gente grita así como que, sí, pégale, dale duro, sí, gancho al hígado, a ver, túmbalo. O sea, ya en un momento en el que estás peleando, el fervor de la gente quiere que te sigas agarrando como gallo de pelea o que te sigas agarrando como si fueras un pitbull y que no sueltes y que no sueltes y que ataques. O sea, esa es la parte que quizá no me agradó. Y cuando alguien cae, porque obviamente cuando es una guerra, pues hay varias batallas,
00:33:57 - ¿no? Entonces el primer round, segundo round, tercer round y la gente simplemente aplaude. O sea, a veces ya ni siquiera se acuerdan de a quién le van. No sé si me explico. O sea, así de pues se supone que tú le ibas al otro. Sí, pero es que qué bien pega, mira qué bien pega el otro. Ya mejor voy a cambiar mis apuestas. O sea, es un poco lo que sucede en la vida real y esto puede llegar a ser lamentable para las personas. O sea, a veces te das cuenta que la misma comunidad ética o los otros White Hats se están mofando de lo que te está pasando. Yo simplemente les diría ojalá ya no les pase, porque ya no va a haber ni hombre ni nadie que les vaya a echar la mano y pues va a tener que haber mucha fortaleza entre los grupos de White Hats para realmente poder llegar a contener lo que se puede hacer. Porque algo que a mí me tocó percibir es cuando hay dinero en el cibercrimen. O sea, si yo tengo lana para atacarte, si tú a mí, tú, Rodolfo, me haces algo y yo digo pues no sé, me quedaste a deber 20 mil pesos, Rodolfo. Entonces, pues es bastante lana. A lo mejor tengo un 20 o 30 por ciento de ese monto total que tú me debes para poderme cobrar, sabes? O sea, funciona un poco hasta como si fueras Coppel o fueras cualquier departamento de cobranza. Sí. ¿Cuánto debe la persona? Pues que debe 100 mil. Ah, no, pues ya merita darle una calentarita, no? Está muy feo cómo funciona México, pero es una gran realidad.
00:35:29 - Entonces, pues mucha sensibilidad. Eso es lo que yo quiero desear para todo esto que va a suceder.
00:35:37 - Y el hecho de que no sigan contaminando a personas. O sea, si a los pocos buenos que se queden y los guayas que quieran recibir los golpes por todos, pues traten de apoyarlos, porque si no, en algún momento muchas personas van a ir tirando la toalla en el camino, ¿no?
00:35:59 - Ahora que mencionas esto, casi ya se hizo una entrevista hacia ti, ¿no? ¿Cómo te has sentido ahorita? ¿Liberado o sientes que todavía pudiste haber hecho algo más? ¿Te quedó algo pendiente por hacer? ¿O estás así ya como más tranquilo tú, con este nuevo enfoque que has dado, que has cambiado? Pues realmente no es que me sienta más tranquilo. Esto sí lo hice como por una estrategia. Sí, tampoco lo quería convertir simplemente en algo dirigido a mí. Tú tienes mucho que ver también en mi vida y en todo lo que tiene que ver con el hacking. O sea, creo que muchas personas que tienen que ver en mi ecosistema no se puede tener a veces ya amigos tan cercanos y demás. Creo que el hacking se presta a tener cierta como amistad, pero al mismo tiempo puede sonar un poco la palabra, pero estamos juntos, pero no revueltos, ¿no? A mí siempre me ha gustado mucho conservar esa sensatez con las personas que yo convivo en el hacking, en donde no es lo mismo que yo te diga, bien, vamos a hacer un podcast, que yo sé que es algo que no te va a meter en un problema. Ambos sabemos hackear y lo sabemos. Incluso si nuestras comunidades se pelearan, pues imagínate. O sea, es como soltar a dos Doberman a que se agarren. O sea, los resultados podrían ser catastróficos. O sea, ni imaginárselo. Uno no quiere eso, pero a veces es necesario. ¿Qué me siento? Que cuando empezó esto, todas las personas me decían cuando empezamos a pelear los
00:37:39 - White Hats contra los Black Hats, como de ya no hagas bronca. Ellos no quieren pelear. Ellos quieren la tregua. Ellos quieren la paz. Ellos quieren así amor y paz y que seamos felices y que hagamos el amor y no la guerra. O sea, ese fue un enfoque muy real y te lo comento y no bloqueo. O sea, no querían ir a la guerra conmigo como Héctor López, como la OME, como lo que represento, porque finalmente saben que pues tengo dientes. O sea que me iba a aventar y ni yo quería.
00:38:11 - Esa era la única también realidad del otro lado. A nadie le gusta pelear, pero por lo que represento yo no podía hacer una tregua. Eso fue básicamente lo que pasó. Entonces me tuve que ir a la guerra hasta el final. Ya habíamos, según yo, ganado la guerra, pero resulta que ellos también pueden contratar botnes y cuando tienes dinero o Bitcoin ilimitado, porque vamos a llamarlo así, es lo que es. O sea, te lo estás robando. Entonces el Bitcoin, pues no es lo que puedas ganar. O yo que a veces vendo dos, tres cursos, eso me lo pagan en Bitcoin. No, pues si yo me metiera carteras digitales de otras personas y ese Bitcoin yo lo utilizara para hacer las botnes, posiblemente ganaría. Entonces creo que me sacó mucho de onda el hecho de que esto iba a ser una guerra, que si yo ganaba esta guerra contra este team, finalmente como White Hat siempre iba a tener que estar enfrentando a los malos y algún grupo me iba a dar una aterrizada, pero ya no de una manera tranquila, sabes? O sea, si llegué a sentir el peligro, quizá por eso hice este cambio estratégico, porque dije bueno, o sea, si no tengo policía cibernética, si las otras personas que están en el lado malicioso en algún momento pueden llegar a tener, no digo que contacto directo, pero sí porque no drogas o armas, entonces yo estaría en un problema o desventaja. O sea, yo estoy en el lado ético y estoy con policías cibernéticos, pero o eso o Guardia Nacional o la Interpol o el FBI o la CIA, pero realmente no veo a nadie a mi alrededor, sabes? Entonces si hubo un punto en el que dije y ellos, ellos si pueden realmente contratar a alguien para que pues me dé un levantón o me dé una calentadita, como decimos en México, o pues se les pase la mano, que es también a veces lo que ya pasa en México, que resulta que mandaron a hacer una chambita y pues como ya estás muy golpeado o ya no te van a entregar a completito, pues mejor por ahí te desaparecen para ya no entregar cuentas mochas. O sea, siento que México no era un ambiente y bueno, no solamente hablo con México, porque como lo mencionaste, conocemos Latinoamérica, su sentir. Tengo alumnos de varias partes, Chile,
00:40:31 - Colombia, Argentina, de Ecuador, de Bolivia y ellos también dicen es que aquí la policía está muy mal y pues ya no te haré el cuento tampoco tan largo, pero me tocó en este poco tiempo hablar con policías cibernéticas de lugares donde hemos andado o simplemente con la policía y es imposible que te canalicen. O sea, la policía cibernética les dices que es una IP, que es un ataque de negación de servicio. Yo creo que se imaginan. En verdad ni me lo veo ni lo entiendo. Así como pues si no jala su página web, joven, no esté chingando, vaya a pedir su nota. O sea, como que es es es irreal el hecho de poder escalar y eso es lo que sí siento ya. Digo, con este cambio tienen que sentirse. Para mí, a mí me libera de tener que soportar reportes, quejas y hacer el trabajo de la policía cibernética, pero también quiero que se haga un sentimiento y pues invito a quien se quiera poner la camiseta como lo hizo la OME en su tiempo, pero es pesado, ¿no? Es pesado ser la empresa que realmente es ética. Muchos te dirán, no, pues que está la OMSI y el Instituto de la
00:41:51 - Ciberseguridad Nacional y a veces se inventan unas cosas, pero luego dices a ver y qué proyectos ha hecho. Realmente cuando teclea lo hace con un objetivo o en el caso tuyo y mío que somos pues creadores de contenido, también es de pues a ver, ¿has hecho algún último video? No, mi último video lo hice en el 2020, ¿no? Entonces como que pues ya estás bien bien atrasado, chavo. O sea, como que si ocupas estar actualizado, seguir generando o seguir creando, te atrasas y yo ya como white creo que subí mucho y se espuma, pero ya no pude. O sea, ya la situación personal de topar con pared me rebasa y el hecho de que ahora me puedan llegar a sentir como que pues mira, mejor si aquí atacas igual también te regresan la patada. Es un poco una perspectiva más ofensiva y defensiva que tengo que tomar con el cambio de sombrero. Oye y entonces este OME está deshecha, los que eran parte del equipo están o se quedaron contigo, qué show. Sí, la gente sigue porque pues tenemos proyectos. Los proyectos, sobre todo este último que teníamos que se llama Scam Blue, en donde íbamos por los Scammers y los desactivábamos, les tirábamos las páginas y demás. Este proyecto si lo pusimos en pausa, lo vamos a reestructurar por aproximadamente dos meses. Ahora nos llamamos OYEC, que es Organización Internacional de Hackers y Expertos en
00:43:34 - Ciberseguridad. Le hemos quitado la palabra éticos en donde pues entrenamos básicamente a la gente para que tenga la técnica. Vamos a dar cursos que están orientados a la ciberseguridad. Por eso queremos también diferenciar las dos categorías. Creemos que no es lo mismo un hacker que un experto en ciberseguridad. Pueden tener distintos enfoques y a los hackers no queremos ya encajuelarlos en les damos esto, pero pórtense bien. Yo siempre seguiré dando mis disclaimers como de esto lo hago con fines de investigación, de aprendizaje, fines científicos, pero pues oiga y es bueno, es malo. ¿Me van a meter a la cárcel o no? Creo que todo ese tipo de contextos a veces desvían a gente como tú y yo a que cambiemos a veces ese enfoque y lo hagamos un poco más tedioso o aburrido. O sea, creo que hay abogados que se dedican al derecho informático. A mí ciertamente lo abarco porque doy materias de computoforense, pero me resulta un poquito aburrido o tedioso. Entonces pueden ir con esas personas a que les pregunten Oye, esto es delito, no es delito o agarrarse y ver el Código Penal Federal de realmente qué pueden hacer o no. Yo por adelantado les puedo decir que como ya se están saliendo las cosas de control, pues están por aplicar la ley de ciberseguridad ya pronto. Yo me opuse a esta misma. Al principio me había hablado Mancera para que colaboráramos en este proyecto. Estuve colaborando con el equipo de
00:45:11 - Mancera. Vi que se lo tomaban como un chiste. Finalmente lo pasaron a otra diputada para que escalara el proyecto y ya viene la ley. O sea, el problema es que cuando no sepamos hacer las cosas bien, luego viene la persecución. Creo yo que no tienen el músculo. Eso es lo más importante para estarnos latillando y persiguiendo a todos. Pero sí puede llegarse a desatar en una cacería de brujas. O sea, eso es lo que me temo. Y definitivamente ya cuando se antepone esto, a mí no me interesa ser blanco o negro. Antes que la OME y ahora que la renombré OIEC y todo esto que estoy haciendo, pues yo era hacker. Desde los 14, 15 años, yo ya me sentí un hacker y eso engloba el ser de cualquier tipo de sombrero. O sea, eso para mí es el sombrero negro, el sombrero blanco, el sombrero azul, el sombrero rojo. Ahora tantos sombreros que hay que si eres gris también.
00:46:21 - Creo yo que primero fue el hacker que las organizaciones que ahora dirijo. Entonces, pues primero me voy a ir con ustedes. O sea, eso es también algo que lo veo. Entonces, pues ellos se han ganado que yo me rebele o que yo no esté de acuerdo. No sé cómo explicarlo porque a veces no me gusta sentirme un rebelde, pero el hecho de que yo les dé un poco la espalda, pues es lo que ahora siento que se han ganado un poco. No digo que ya no vaya a ser nada bueno, pero definitivamente no voy a atender muchos de los reportes. La OME atendía cualquier reporte de ciberacoso, extorsión.
00:47:03 - O sea, ya hacíamos mucho del trabajo de la policía cibernética y cuando estas agencias nos atacaban a nosotros, pues a mí sí me dejaban ahí contra las cuerdas. Entonces, pues es un poquito lo que lo que sentí. Fíjate, déjame rescatar estos últimos anunciados que pusiste en el sentido de especificarles a los que nos están escuchando. No todo es crítica en nosotros. Si estamos haciendo algo en pro de la ciberseguridad, cuando sé que puedo hablar también por ti, cuando damos nosotros un curso o una capacitación, transmitimos lo que ocurre en el mundo real, en lo que hemos visto cuando estamos haciendo algún trabajo. Entonces, que por favor, los que nos están escuchando, no sientan que es pura crítica, crítica, crítica. Si estamos aportando algo, a pesar del enfoque de Héctor de todos los que estamos, él mismo lo está diciendo, al dar sus cursos, tú respondes muchas dudas de los que vienen empezando a trabajar o los que ya quieren, para su futuro, dedicarse a esto. Hay mucha transmisión de conocimiento, muchos tips para que no lleguen tan en cero y seguimos promoviendo el que haya seguridad informática.
00:48:30 - Sí, definitivamente no creo que el enfoque sea avanzar a lo que viene siendo el ciberterrorismo. Es definitivamente lo que a mí me preocupa. También como Black Hat, finalmente tengo la perspectiva de intentar más los ataques. Si logro detectar cosas muy sensibles, que sí creo que sea la posibilidad, pues no voy a decir que voy a correr a reportarlo, gritarlo. Yo en verdad, de hecho te lo platico. O sea, mucho de por qué se perdió la OME tuvo que ver porque yo levanté la mano y me puse en contacto con el proveedor, explicándole la situación.
00:49:15 - La posibilidad número dos era con Webley, donde teníamos todo. Ahí teníamos la pasarela transaccional con Stripe. Y lo que sucedió fue que el ataque de negación de servicio lo pegaron directamente a Webley. O sea, el servidor no respondía y eso que Webley tiene una CDN. Yo lo primero que hice fue hablar con el equipo técnico así por Twitter y por Facebook. Primero me mandaban al carajo, luego ya me respondieron y me dijeron así como ya estamos al pendiente. Dije ok, perfecto. O sea, un cliente necesita sentirse atendido. Cámbiate de servidor porque te lo están atacando o algo así. Ok, agarro, redirecciono los DNS, cambio a otro servidor y pues compraron más poder de cómputo porque tú sabes que pues así es como que le va subiendo las rayitas o le va subiendo los niveles ahí del Free Fire. Entonces así agarras y no, pues nivel uno, nivel dos, nivel tres, como que con el nivel dos no podía. Entonces pidieron y fueron a contratar otra botnet más potente para poder atacar y el segundo servidor lo volvieron a tumbar. Entonces yo me vuelvo a contactar con Webley y les digo oye, otra vez están atacando con DDoS y ahora sí, ya no responde la página, ya está dando. Ni siquiera da 404 not found. O sea, simplemente no responde las peticiones jamás. O sea, se queda el DNS infinitamente cargando y pues no da.
00:50:40 - Ok, espérame, ya tenemos un equipo de ingenieros trabajando y demás. Me vuelven a responder amablemente y todo esto. Entonces, pues muy sorprendente lo que pasa al final, porque sí es como que parte de lo que cambió en mí mucho. Llega un punto en el que agarro y digo, bueno, qué va a pasar? Yo tenía ya muchos tickets en contra de Klover, porque yo he estado peleando contra Klover bastante desde el punto de vista de White Hat para decirle que los sitios de scams o de hackear WhatsApp y de todo ese tipo de cosas maliciosas los quita de
00:51:19 - Klover porque es una jalada. Oye, cómo? Cómo es que permite que tanta ciberdelincuencia esté detrás de ellos? Es increíble cómo permiten tantas estafas. Está muy grave. Entonces yo el problema es que como si soy bien hocico y he estado hablando o me quejo, pues ya cuando revisé resulta que tengo como cuarenta y siete correos con a su porta roba Klover. Luego tienen otro que se llama abus a guión lo arroba Klover punto com y otro de abus. Y bueno, tienen un montón de correos de abus. Casi a todos les he mandado e-mails con diferentes IPs footprinting. O sea, la traigo durísima contra Klover y ya les he demostrado que están tontos. O sea, todavía de repente que Klover me dice no, es que yo solamente soy una empresa de hosting. Yo no digo de perdón, yo soy una empresa que hace una CDN, pero yo no soy el hosting. O sea, investiga quién es el hosting y le digo ah, pero pues si tú no lo puedo ver porque tú lo estás encubriendo. Bueno, total, me los paso por el arco del triunfo. Hago la técnica de Klover Bypass para poder estar haciendo Brute Forcing de los DNS y finalmente poder tener un IP de los hostings y les canceló el hosting y les demuestro y luego les mando una copia Klover y les digo culeros. O sea, así literal, así les digo fuck you, así de ni me hicieron caso, pero ya tiré el dominio y aquí está la prueba de que lo pude tirar y que entonces ya nomás entran y se ve error de Klover, no puede conectar al host o algo así. O sea, les estoy hasta demostrando técnicamente, pues les vale. O sea, es quizá algo también triste cuando te monopolizas tanto. Es como cuando ya Microsoft le reportaban un error de es que tu Windows 11 otra vez es vulnerable en el net bios. O sea, es como que hay ya, por favor, no así de ya, güey, por favor, para con esto. Sí, así me los imagino. Así de otra vez el Internet Explorer, ahora Microsoft Edge, otra vez salió con vulnerabilidades. O sea, ya ni hacen noticia al respecto. O sea, ya ni agachan la cabeza, sabes? O sea, eso es también algo que creo que pasó con la ciberseguridad. Eso es creo que lo que quiero llegar a abarcar. O sea, pasó el punto donde. Pues me llevaron al borde del precipicio, o sea, siempre me fueron empujando con una espada. Ya llegó un punto en el que dije ay, o sea, me caigo o me encajo la espada y fue literal, no dije a ver, es la primera amenaza de fuerte real y que se puede llegar a cumplir, que yo había recibido. Tenía dos opciones. Agarrar y decir me vale cacahuate y yo me lo chingo la o me puede más actuar con ego y soberbia que me sobra, pero era un poco inteligente. O sea, agarraba y dije ese camino me va a llevar a plomo. Y la otra opción es reestructuro. Me salgo un poquito de ser el defensor de los derechos humanos, de la cibernética en México y demás cosas.
00:54:29 - Y pues que cada quien se proteja con los medios que tenga, que ahora sí le marquen al 089 a ver si les entendían como nosotros en la OME los detalles técnicos para expresar los reportes y que pues ahora sí no. O sea, a quién le voy a hablar de hoy en día cuando pidan un reporte?
00:54:47 - Pues vayan a la policía cibernética. Ah, es que mi estado no funciona o es que la policía cibernética está media bruta. Pues ni modo. O sea, ahora es mi nuevo enfoque. Yo me dedico un poco más a mis trabajos, mis proyectos personales y proyectos que puedan contraponerse con la ciberdelincuencia. Creo que no estoy preparado, o sea, no me siento con la capacidad de enfrentar el cibercrimen con mi organización. Prefiero dedicarme a hacer trabajos que puedo cumplir y desempeñar. Oye Héctor, y fíjate, no puedes ni siquiera, no sé, recomendar a alguien. Porque imagínate que ahora te mandaran un mensaje y te contactarán y te dijeran ok, entendemos que ya no estás como para estarnos ayudando a resolver problemas de ciberseguridad. Pero bueno, entonces recomiéndanos a alguien. Ni siquiera podrías. O si hay alguien que pudiera medio suplir a la
00:55:48 - OME. Pues ahora no, no realmente no. Moralmente no, porque muchas veces yo hice la adaptación. O sea, cuando yo empecé, y eso creo que te lo llegué a comentar alguna vez, fue como que primero conocimiento. O sea, no me interesaba nada de lo social. O sea, pues no era hacker. Yo quería convertirme en uno. Entonces fue más como obtener el Certify Ethical Hacker, obtener las certificaciones del EPI para volverme un Linuxero poderoso. Y luego meterme a la ACFE, la ISACA.
00:56:22 - También en algún punto llegué a interesarme en la LAPSI, pero me di cuenta que solamente estaban en Latinoamérica. O sea, como buscar todas las organizaciones de ciberseguridad y empalarme, y digamos que apalancarme para conocer personas y crecer mi círculo social, que era lo más importante. Pero realmente ninguna hacía nada. Y esto está bien mala onda de mi parte decirlo, pero lo puedo decir porque soy parte de, o sea, pertenezco a las organizaciones y sé que no hacen nada en el punto de combate a la ciberdelincuencia, combate a los scams, atender el sentir de una persona que realmente está teniendo el como. Oye, me están clonando mi
00:57:05 - WhatsApp y ahorita me están extorsionando. Ahorita yo les decía a ver, casi casi. Esperen la línea.
00:57:12 - Hacíamos reportes, reportábamos muchas veces. Nos metíamos en problemas directos con estas personas por salvar un poco al civil que estaba teniendo este tipo de ciberdelitos. Éramos como un grupo de choque, como cuando tú hablabas a que la SWAT llegara porque estaban asaltando un banco. Suena un poco extraño, pero no había otro grupo. Entonces eso yo fundé la OME por eso mismo, porque no existía esta situación. ¿Qué es lo que van a tener que hacer ahora? Pues contas. O sea, es claro que voy a recomendar personas, pero ahora simplemente, pues incluso te puedo recomendar a ti o otro tipo de comunidades y decirles, pues que te hagan un pentesting. O sea, ahora simplemente pedo que te duele. O sea, ya no te preocupes por el
00:57:59 - Farwell además y tener los antivirus, detectores de intrusos, preventores de intrusos, ponerle el doble factor de autenticación que ahorita como está de moda que la gente. Ah, ya le puse doble factor y así de. Pues sí, güey, pero eso es para el celular, no? O sea, para la computadora, para tus routers y para tus servidores. Creo que eso ni aplica. Eh? Las personas están confundiendo el piso. Eso es lo que yo trato de explicar. Entonces yo no recomendaría a nadie que pueda ya realmente ayudarte a combatir un ciber delito. Eh? Pues ahora voy a echarle la pelota a la policía cibernética, pero siempre voy a anteponer que no hacen su trabajo porque yo mismo les reportaba chamba y nunca me la cumplían cuando yo estaba en la OME. Entonces que las personas también entiendan esa perspectiva, no? O sea, no es una agencia que que quizás se tenía en lo oscuro. Muchas veces se le marcó por teléfono. Llegaron a contestar como tal policía científica de investigación o policía cibernética y demás. Pero pues ya les hablabas del tema y no sabía nada. Entonces, bien lamentable. O sea, y promesas.
00:59:18 - Creo que a la gente nosotros les decíamos mire, eso no está a nuestro alcance y y pues no hay que ándale, te empeño, te doy mi coche y te doy, te invito a cenar, te presento a mi prima. O sea, claro que no. O sea, estábamos como una situación donde o sea, no aplica y creo que lo triste a veces de la policía es el hecho de haber, espérenme, si me puede decir cómo era, cómo tenía las cejas, cómo era la pantalla. O sea, te piden descripción, hora, fecha, pero para que se vaya un blog de notas, incluso te dicen algo como lo voy a escalar o lo voy a platicar con mi superior o le voy a decir a mi comandante o algo así que puede llegar a sonar muy floreado y llamativo y hacer caso omiso de esa persona que necesita auxilio. Sabes? O sea, yo lo veía más como una situación de es que las personas que sufren un ciberataque es como alguien que se está ahogando en el mar. O sea, necesitas aventarle un chaleco a salvavidas y sacarlo del agua antes que decirle nada de ladito. A ver, no se ahogue, saque la cabecita. Pues no. O sea, es como que a ver, avienta el salvavidas, jálalo ya cuando lo saques del agua. Ya le dices que la próxima vez no se meta, que tenga cuidado con las olas porque lo pueden revolcar. O sea, ya no le des consejos mientras tiene el problema. Simplemente sácalo y las policías cibernéticas tú mismo constátalo.
01:00:57 - Y creo que las personas que nos escuchas lo harán. Pero tú vas a sus páginas de
01:01:02 - Facebook y te dicen si usted está recibiendo amenazas, marque el 089. Si usted, si usted lo están amenazando, cuelgue. O sea, como que ok, gracias, pero pues ya me clonaron mi WhatsApp. Ya están en el celular de mi hija, ya tienen mis fotos. O sea, cuando la persona ya se sintió transgredida es porque precisamente ya traspasaron su límite de confianza, seguridad perimetral o privacidad. O sea, ya de nada le sirve que le digas. Pues es que no se hubiera metido ahí a estar viendo las películas ahí en el canal XX. Pues no. O sea, ya los consejos omítelos. Trata de resolver. Yo no podría recomendar a nadie Rodolfo más que a nosotros como hackers para que nos compren servicios para las pruebas de su seguridad. Definitivamente ellos no tienen la expertise. Ellos como policías, si no hacen pentesting o creen que por tener algo que no se asimila ni siquiera a lo que es un blue team, tener un equipo de monitoreo ahí en sitio van a poder detener un ataque de negación de servicio. Pues se van a quedar viendo la alerta del clóver y se van a quedar viendo el error de 404 y que la página no carga mientras las personas necesitan del servicio. Es decir, yo conocí por lo menos a tres, tres personas que estaban en la policía cibernética, eran buen talento y la verdad se salieron. También les dio como que decepción.
01:02:37 - Pasa mucho que supongo que pasa en toda Latinoamérica o en todo el mundo. Entra el tema de la burocracia, una palabra muy usada, que pues es, es que tienes que hacerlo de esta manera. Y cuando llevas un procedimiento por alguien que no ha estado en el mundo real, en los ataques del mundo real, sino alguien que está detrás de un escritorio, que es el que decide, pues ahí es donde ya hay problemas. Tienen que poner a alguien que haya estado en los fierros.
01:03:11 - Ese también es el problema de todo esto. Desde ahí se deriva todo esto porque ponen, pues a veces estos puestos son políticos. Es decir, cuando llega un cambio de gobierno, pues le tienen que dar puesto a alguien que apoyó en la campaña. Y es todo todo un tema que casi no nos gusta hablar, pero es una realidad. Pues sí, eso de la burocracia, el hecho de que todo eso en palancazos, yo realmente ya fuera de criticar al gobierno, porque quizá como me o lo que representaba, pues estaba más en esa posición de quejarme de ellos, porque yo trabajaba como de su lado, sabes? Así era como de pues les estoy reportando y no hacen nada. Miren, aquí hay un agujero. No, no pasa nada. Y después de un mes ya nos robaron. Lo hubiéramos hecho caso al agüero. O sea, no, en verdad es como que siento feo. O sea, sí, creo que es eso que mencionas, lo que le pasó a tus otros dos amiguitos. O sea, te decepcionas, o sea, llega un punto en el que dices mejor no hago nada o para qué les digo que ahí está la botera si la van a seguir dejando hasta que se inunde el cuarto. No es que los quiera ver perecer, pero tampoco me voy a hundir en ese barco, sabes? O sea, creo que como lo mencioné, yo me considero hacker. Entonces ellos son aprendices de la seguridad informática. Así es como yo los veo. No somos lo mismo ya ahora. Una de las cosas que mencionaban de por qué eso salían es porque llega un momento en que ya no había nada nuevo que aprender. Nada más estaban revisando los todos el pinche día y decían no, pues es que ya no voy a aprender más. También eso era era decepcionante. Muchos habían entrado para tratar de agarrar experiencia, pero no, no pasaba gran cosa, no hacían gran cosa. Y luego la inversión es muy limitada. Cuando yo quería comprar drones o cuando realmente les quieres dar como armas, hay una restricción de ahí no les puedes comprar más baratito. O sea, ya sabes, como que muy mexicano eso. Entonces hay un punto en el que dije no, la verdad es que no se puede. Tú y yo también sabemos que en México está la contraparte, o sea, están los policías y no voy a mencionar ni qué, pero pues hay bandos contrarios y estos ya traen drones, bazookas, tanques de guerra, metralletas de las que si sirven tienen mejor tino, acá se comen carne. O sea, realmente, pues el problema es la desventaja.
01:05:59 - O sea, yo siempre veo como los rivales, porque eso es lo que el contexto real. O sea, a veces tú estás defendiendo un ideal, Rodolfo, pero los enemigos son mucho más tangibles que tus ideales.
01:06:11 - O sea, tú puedes defender a lo mejor la ética y decir yo voy a atacar a los políticos corruptos y en cuanto tú digas políticos corruptos a 7, 8 personas les van a chillar los oídos y les van a picar. Es un poco parecido el decir yo voy contra los escámeres o yo voy contra los ciberdelincuentes. Pues todos los que tienen pandillas dicen miren, este cuate nos está tirando, vamos a hacerle montón. Yo sé que a lo mejor algunos podrán llegar a decirlo como que quizá no está exagerando Héctor con lo que está diciendo, o sea, que le echan montón. En realidad se sentía. Yo sé que tú que ves del ejército las redes puedes constatar que sí, pero las personas están esperando un poco eso. O sea, si eran muchas las personas. De hecho, ahora ya grupos, por eso siempre he sido muy cauteloso con mis aliados. En el momento que teníamos la guerra estaban hablando pestes de nosotros. Se acabó la guerra y ahora ya están en nuestro grupo comentando y platicando y hay como está Héctor chócalas. O sea, a veces es como que yo ya agarro, volteo a ver al cielo y digo ay, pues ni modo. O sea, yo tengo algunos amigos ya de más tiempo y eso es también algo que me fortalece mucho. O sea, algunas amistades van a ser muy muy muy fingidas, pero pues alguna que otra no. O sea, puedes llegar a tener ese contraste. Entonces, pues creo que se va a poner complicado. O sea, para el mundo de la ciberseguridad, por lo menos en México y en Latinoamérica, yo lo veo muy desenfrenado y es como cuando se va a reventar la presa. Quizá eso es lo que yo ya estaba sintiendo. Se va a reventar la presa y se va a venir sobre mí. Me voy a ahogar. Y pues tampoco quiero ser un héroe y pasar ahí como muchos de nuestros caudillos mexicanos que pues solamente después de fusilamientos o de exhibiciones públicas o cosas muy feas, sabes? O sea, realmente sí valoro la parte científica de esto. O sea, yo me considero más al día a día. Como te lo mencioné, quizá no científico, más un artista primero, porque depende mucho del estado anímico para poder programar o para poder agarrar la computadora. Si no andas bien de la cabeza y de los sentimientos, a veces no fluyes bien en el teclado, pero no necesariamente los sentimientos tienen que ser de bondad o amor. O sea, un artista también si se siente frustrado o enojado. Vamos a poner un ejemplo de cómo quizá a lo mejor pintaba Da Vinci y que de repente veías uno que otro manchón o una que otra muestra de mismo odio o intensidad en sus pinturas, pues es parte de la misma obra o parte del mismo sentimiento artístico de lo que es el hacker, que si tiene que ser matemático y científico, pero esa es la parte que a mí me gusta. El hecho de. De quizá lo que hacen los políticos, que es precisamente eso de yo soy el político, les voy a dar otra presa, les voy a dar otro estadio. O sea, tampoco es realmente mi sentimiento, sabes? Entonces quizá por eso puedo llegar a abandonar esta parte de acción social de lo que hacíamos con ScamGlue de que porque realmente lo hacíamos para demostrar que se podía. Creo que di muy buenos ejemplos tácticos de que si se combates tú al cibercrimen y eres un buen hacker, ya vamos a decir ya olvidemos White o Black Hat, pero si eres un buen hacker mejor que los otros, pues les destruyen los sitios o les pegas. Pero no hay que omitir esa pequeña parte del hackback en donde si ellos se enojan, te van a pegar de regreso. Entonces el que hay hierro mata o a fierro mata o a plomo mata a plomo muere. Esto es algo como muy karmático. Entonces desde el punto de vista yo de hacking ético estaba utilizando el Active Defense para yo atacar a los cibercriminales y por qué no pensar que ellos también me iban a atacar, que fue lo que sucedió.
01:10:26 - O sea, creo que hay que ser muy pues relajados y a veces tranquilos en eso de que pues yo es que yo le estaba gritando a cierta persona y luego me gritaron a mí. O sea, pues causa y efecto. A veces no se puede pedir otra cosa. Sí, y todos los que nos escuchan de repente que ven que estamos hablando de esto para que vean que también somos humanos, también nos pasan cosas de la vida cotidiana y sentir. Oye, ya tenemos más de una hora y creo que no hablamos ni de noticias. De hecho, yo creo que ya le vamos a cortar, pero pues no sé qué más quieras agregar,
01:11:05 - Rodolfo. Sí, porque luego se nos acaba el cassette y para que nuestros escuchas estén bien atentos y sincronizando en otra ocasión. Ahora somos Black and Black comunidad para que nos escuchen. Estaremos dando más consejos de hacking, intrusión a sistemas, creación de malware, noticias que tengan que ver con ciberseguridad, con hacking, también con cibercrimen o ciberataques, todo lo que esté relacionado. Sí, nos vemos en el próximo podcast que va a ser el 2.
01:11:42 - Es correcto. Muy bien, nos vemos en el próximo podcast a todos. Coméntenos. El de hoy fue mucha plática de más de amigos, de saber qué estaba pasando, que entendieran el contexto. Por ahí se fueron algunos consejos para los que están comenzando o ya tienen un poco de camino.
01:12:02 - Pues muchas gracias. Esto fue Black and Black.