Vinga, va, endavant. Ciberseguretat nivell bàsic. A veure, ja hem parlat bastant de ciberseguretat, tampoc vindrem aquí a descobrir la sopa d'all, però aquesta setmana TV3 va emetre un bon reportatge, barra documental, de més que ciberseguretat molt enfocat al tema de la sextortion. Uf, no tinc el plaer. Coneixes el moviment de Porn Revenge? Déu meu, Àlex, m'estira coses que no sabia que anàvem a parlar avui. Val. Són per posar en context d'audiència.
Porn Revenge és quan una ex parella teva intenta publicar fotos i vídeos compromesos teus a través de xarxes socials i el que sigui per fer-te extorsió. I això va molt lligat amb el sextortion, que és extorsió sexual.
I el documental aquest estava basat en la història, suposo que real, no he investigat més, d'una directora de cine, un perfil creatiu català, que de cop i volta li robaven el portàtil, anava a fer una reunió a Madrid, quedava amb el seu ex, curiosament, la meva ment conspiranoica ja deia, ja sé com és el final, a l'ex li ha fet tot això, però sembla que al final no hi ha cap relació, però queda amb ell per prendre alguna cosa i en aquell moment li roben el portàtil.
Aleshores, fa les reunions amb el portàtil, fa la denúncia pertinent, i de cop i volta comença a rebre missatges. Missatges per correu, un d'ells amb unes fotos que la noia s'havia fet i devia tenir el portàtil dels seus genitals. I dient que si no em pagues, em sap que era amb 2.400 dòlars, en aquest wallet de bitcoin els hi passaré els teus contactes. I fet i fotut que els seus contactes, ja per avisar, li passa algun contacte seu, i com dient, ei, que vaig en sèrio.
Això és l'equivalent de quan amenaces de matar, canvies el dit petit, sí o no? Sí, exacte, és una petita mostra, un previu, un testet. I res, és clar, què passa? Evidentment, la noia comença a fer recerca, busca què s'ha de fer en aquests casos, fa la denúncia, la policia fa el que pot i em sembla que tampoc l'ajuden gaire. I lo típic, no contestar, no negociar, posar-ho tot en mans de policia, agafar tota l'evidència que tinguis, etc.
Però què passa? Van passant els dies i de cop i volta van arribar més missatges del pal ei, que no m'estàs fent cas, ho he enviat a unes quantes persones, si no em pagues ja, de on ho fins al dia, ho enviaré a tota la teva agenda de contactes. Com ho mostra un botó, més gent li comença a escriure del pal ei, que he rebut un missatge teu, amb unes fotos una miqueta complicades,
potser tan haquejades. Clar, evidentment, per la part de desconèixement de la víctima i per la part de la por, perquè hi ha una part que et bloqueja, que diu si no actuo, doncs aquí tothom em veurà amb aquestes fotos compromeses, però d'altra banda, tampoc pots actuar basat en la por i en calent, perquè clar, l'extorsió juga amb la teva por i juga amb el fet que t'està controlant i pot allargar-ho en el temps tant com vulgui, i tu no tens per cert que un cop
hagis fet allò que et diuen, no et vindran amb una exigència més alta.
En fi, tot el que el documental per qui no l'hagi vist val bastant la pena, està bastant ben fet, no explica tan coses tècniques, però sí que posa de manifest un cas que és molt freqüent, que és el de m'han robat el portàtil, m'han robat el mòbil i ara tenen accés a les meves dades, i no es va solucionar el tema, sí que identifiquen un dels lladres per la càmera del bar on estava i em sembla que el van detenir, però no queda clar que la persona que han detingut per robar el portàtil
sigui la mateixa que hagi fet l'extorsió, perquè entra en temes de VPNs, etc. i és molt més complicat, i la investigació d'un cas que va passar fa 4 anys, doncs el 5, encara està obert, sigui per faltar recursos, sigui perquè el hacker és una persona molt avasada, en temes de tecnologia ho ha fet força bé, hi ha molt de misteri aquí, però tinc algunes idees, et recomano que el vegis,
no sé si tu t'han robat mai el portàtil o el mòbil o res, o que t'hagi hagut una experiència d'algun familiar proper. És que no tinc... a nivell personal intento ser extremadament curós amb... no diré com ciberseguretat, perquè no me les vull donar que entenc ni el concepte, com et comentava abans, eh? Ah, bueno, et comentava abans, però no has escoltat, perquè era abans que comencés a gravar, però t'ho comentava abans.
És una àrea que a mi personalment em té molt fascinat pel poc coneixement que tinc, i quan parlo de ciberseguretat potser parlo de ciberseguretat a una escala més de sistemes, organitzacions i inclús estats, és a dir, no tant ciberseguretat personal. Penso que la ciberseguretat personal intento tenir-la una mica més cuidadeta.
Exemple, si tu tens multifactor d'autenticació dintre dels dispositius d'Apple, a mi hi havia una cosa que em feia molta por sempre, i és que si tu, per exemple, per autenticar un nou dispositiu d'Apple, és a dir, per obrir-lo bàsicament, has d'autenticar-lo amb un altre dispositiu, jo sempre tenia molta por a perdre el mòbil i l'ordinador a la vegada, perquè si perds el mòbil i l'ordinador a la vegada, estàs locked out de collons.
Literalment ho perds absolutament tot, perquè no hi ha manera d'accedir allà dins. I ara podem entrar en els esteriscos. Et pots personificar amb un Apple Store, ara hi ha aquest mecanisme de sortida des de fa un any amb iOS 17, amb iOS 17 es va posar un contacte de rescat on tu pots enviar un codi, però res és immediat, això et dona un impàs de productivitat d'una setmana tranquil·líssimament.
Durant una setmana estàs totalment fora del joc digital, perquè entres que vas a l'Apple Store, els expliques el cas, vas amb el mòbil de la persona que tu tens com a... no areu digital, que això és una cosa diferent, sinó com al teu velador de seguretat, i dius mira, vull resatejar el meu compte des d'aquest telèfon... És complex.
Una cosa que és una xorrada però que es pot fer i que no funciona malament és... si tu només tens dos dispositius, és a dir un mòbil i un ordinador, i et fa por perdre'ls a la vegada, una cosa molt bona és crear-te comptes d'usuaris a ordinadors de gent de confiança. Amb el teu ordinador Alex jo em creo un compte meu, Marc, on només tinc que recordar una contrasenya de quatre o sis o vuit dígits que és la que tu poses per accedir als dispositius,
i la deixes allà, la tende i dormint. I en cas que perdis tot, en cas de gran catàstrofe mundial, potser que en un aeroport et robin la motxilla i tinguis l'ordinador i el mòbil allà dins. En cas que ho perdis, sempre puc venir a casa teva i puc tenir una porta d'entrada a la meva conta.
I quan dic a la meva conta, clar, quin és el problema? Que ara moltes persones estan, entre les quals mincloc, deferint tota la seva memòria digital, forma de contrasenyes que no recorden, perquè és millor no recordar-les i que recordi un gestor de contrasenyes, el problema és que si no tens accés al gestor de contrasenyes,
no recordes absolutament res. Estàs locked out de tota la vida. I és un riset bèstia, perquè imagina't que et diguessin que ara has perdut l'accés al teu gestor de contrasenyes i no pots accedir enlloc. És que literalment ningú podria accedir al correu. No sé absolutament res de res. És que tornaria als pals i a les pedres. Havies de començar de zero. Tot, absolutament tot. Posar aquests mecanismes de seguretat cap a fora em semblen importants.
Llavors, sobre el tema de l'extorsió... No, la cosa més semblant que tinc és que a Ironhack parlàvem molta gent i arribàvem a fer enfadar alguna persona que no em va treure el que va voler del programa i no li tornàvem els diners i es va enfadar molt. Sempre hi ha casos molt extrems. I recordo el de una persona que la va agafar amb mi i em va començar a escriure moltes newsletters molt estranyes. Fins que va arribar un dia que vaig dir que em reunia amb ell i vaig dir que a veure què passava.
Ho vaig passar molt malament a l'ex aquell dia. I finalment ho vaig poder resoldre d'una manera més o menys amistosa. Però va ser violent. Què va passar? Què vas fer? Li vas tornar tu els diners? És que ets tan bona persona que segur que li vas pagar a tu a l'Ironhack.
No, bé, vam arribar ben entès. Ostres, Àlex, crec que avui, evidentment, atacs o acossos al món real, existeixen, però són més difícils de dur a terme per un tema que no pot haver impunitat per gent on físicament ataca altres persones. Sembla que això està bastant controlat, però sembla que l'anonimat del món digital a vegades et deixa molta màniga ampla i molta carta blanca per poder fer segons quines coses. I hi ha molts gent que s'amaga i s'escuiden d'això. Aquest tema és molt curiós.
Perquè a mi aquest tema em té fascinat. O sigui, si tu vas 20 anys enrere i camines pel carrer i ara de cop et mous 20 anys endavant i camines pel carrer... Sí, algunes coses han canviat. Igual els cotxes són una mica més rodonets, algun no fa soroll perquè és elèctric i no ho sé, i els semàforos semblen que són una mica més moderns. Però tampoc ha canviat tant la cosa.
I a més a sobre, amb aquesta merda que les modes tornen a anar a tot el port amb pantalons de campana, llavors se'm alça tant d'una altra vegada. Més o menys estem allà. Jo crec que això no ha canviat gaire. Però en canvi, el que ha canviat és l'espai digital. No té res a veure. Fa 20 anys, a l'espai digital, hi havia un o ningú. Estàvem molt buides la cosa.
I ara veus com que la majoria de la teva vida transcorre en una cosa que ens hem inventat i que literalment existeix perquè hi ha uns data centers gegants que ho fan possible i han creat aquest nou món on la majoria de la teva vida transcorre allà. Malgrat físicament, tu encara estàs enclat al terra, no has anat enlloc. I té sentit que sigui així, perquè al final és més difícil modificar àtoms que modificar hàbits.
I a més està molt més desregulat. És a dir, no necessites una llicència de carnicer per muntar una web. A l'haver crescut tant aquesta part digital, tu també has anat posant gran part del teu interès econòmic, gran part del teu interès social en aquesta part. I ha crescut de la mateixa manera desregulada, de la mateixa manera desprotegida.
I amb molt poca educació a la gent, que potser, no ho sé, a tu et van explicar certes coses bàsiques de seguretat viària o de seguretat social dintre d'una ciutat, on no t'ho han explicat possiblement dintre d'un espai digital. I quan reps un missatge de Coinbase que et diu que he anècdota i ho tu comptes i veus que hi ha un telèfon a Barcelona, truques. Això de Coinbase ho has dit a la babalà o tu també has rebut el missatge que algú ha entrat al teu compte aquesta setmana? Sí, jo l'he rebut.
No només l'he rebut, sinó que he rebut un mail de Coinbase dient-me que si he rebut un missatge de Coinbase que ells no envien missatges de text. Ah, jo ja m'ho vaig imaginar i vaig dir, passo olímpicament, no? El vaig veure i vaig dir, dic, hòstia, el primer que vaig pensar és algú s'ha intentat accedir al meu compte. Des d'algú em vaig dir, gairebé no hi tinc res, tampoc és que em pugui fotre molta pasta. Però després vaig dir, hi vaig contactar Coinbase i no em van respondre.
Jo no sé si he rebut aquest correu. Molt interessant el que dius perquè l'altre dia em van explicar una anècdota d'un tipus de frau en aquest vertical crypto que jo al principi el vaig descartar com pensant. A mi això no em passaria mai. Però quan em van explicar la naturalesa del frau vaig pensar, hòstia, està ben pensat això. I és que tu reps aquest missatge de Coinbase. El cas concret no és Coinbase, però funciona també amb Coinbase.
Imagina que reps aquest missatge de Coinbase i llavors hi ha un telèfon i tu truques i et diuen, sí, doncs deia, hola, servei al client de Coinbase, bon dia. Eh, bon dia, bon dia. Mira, sí, hem vist que hi ha hagut un atac al teu compte i res, per desbloquejar aquests casos necessitem netejar la teva conta d'alguna manera.
I aquí, per suposar certa desconeixença de la persona que té aquest tipus d'actius en aquest lloc, i et diu, mira, escolta, el que has de fer és baixar-te el Coinbase Wallet, que és un producte de Coinbase, però és un wallet de custòdia pròpia. I et diuen, sàbats la contrasenya, no? I jo, esclar, tu no tens ni puta llarga contrasenya, òbviament, i diuen, sí, sí, espera, espera, no, no, no, li diuen, tranquil, la tenim aquí davant teu.
Llavors ells bàsicament ja han creat un wallet amb Coinbase Wallet en el qual ells et diuen la contrasenya, llavors tu entres en aquest wallet, te'l baixes, veus que és de Coinbase, poses la contrasenya a la que tu presuposes que és la teva però que no és, llavors, clar, tu què fas? Transfereixes els fons en allà mentre ells et desbloquegen i et netegen el compte de Coinbase.
Clar, què passa? Que tu, en el moment que fas el transfer dels fons, veus que els fons estan al teu wallet, de coinbase wallet, i us deuen estar aquí. El que passa és que ells, en el moment que veuen que els fons estan allà, el primer que fan és treure'ls i ficar-los en un mixer. Llavors, el frau en si mateix és molt sofisticat i està molt ben pensat. És a dir, és molt intel·ligent.
I tu penses que això ho envien a un missatge d'aquests massius a milions de persones, és que només que comenci a trucar i t'en truquin quatre, i quatre tinguin quatre calerons, és que és un frau molt rentable. Però no només és rentable, sinó que a sobre és molt difícil després de traçar això, perquè aquests fons, és a dir, aquest wallet, després d'això tot això ho fots en un mixer, amb 50.000 transaccions d'altra gent, i el que surt a l'altra banda, que ho busquin a les Isles Caiman.
Adéu, ja ho has perdut. És fotut. I el problema és que, mira, si t'estafen bancàriament, almenys, per molt que odiem el sistema bancari i tot el molt que l'hem criticat, almenys truques al teu senyor de la caixa i li dius que m'has estafat.
I segurament hi ha un fons de garantia en algun lloc que et diuen que segurament et tornarem els diners, o ja ho veurem, veurem què ha passat, o has de donar denúncia, però aquí tu tens l'agència absoluta d'haver posat aquests diners en aquell wallet i allà no hi ha Déu que això ho tiri enrere. Per tant, és una cosa que no pots ni denunciar. Entenc que és un frau, però no sé fins a quin punt ho denuncies i et diuen que has agafat els diners i els has posat en un wallet.
És la teva responsabilitat. I en part, és cert, ningú t'està apuntant amb una pistola dient que tu enviessis els diners en aquell fons. És semblant allò que diuen que... és aquesta diferència entre el robo i el furt que sembla com que si posen la mà a dins i no hi ha violència i et posen la mà a dins del bolso i ho enduen, no. Llavors és urto, el segure no ho cobra. A mi això em sembla fascinant, però en fi...
En aquest cas, crec que no catalogo ni d'urto, perquè ets com tu que li has donat el mòbil al lladre perquè se l'endugués. Bueno, mira, està bé saber per on anava aquesta... Jo m'imaginava que seria que tu truques, aleshores t'agafen la veu, fan el típic de... T'has d'identificar, sí, digue'm... Confirma'm la teva adreça, el teu email, el teu DNI, es agafen les teves dades i poden registrar-te per després ells... identificar-se a coinmetz o on faci falta per fer-se passar per tu.
M'imaginava que anava per aquí els trets. Però no cal fer estafes tan sofisticades. De fet, la del... documental aquest, de molt més senzilles, simplement t'han robat el portàtil, segurament el teu password, si tens password amb sort és 12345, i llavors poden accedir totes les teves coses. El fet de fer estafes tan sofisticades, vull dir, evidentment, és molt més... Com t'ho diria, és una inversió molt més alta, però tens molt més a guanyar.
És més fàcil que agafis un criptobrow per dir alguna cosa, et costarà molt més trobar algú que tingui uns actius molt importants a Coinbase, però si trobes algú, hòstia, molt bé, saps? Vull dir, jo què sé, per dir alguna cosa, a mi m'interessant, a Coinbase, amb sort, he de tenir mil euros en coses. Per dir alguna cosa, no és la meva plataforma de gestió, em fotria molt més si m'interessaven revoluts per dir alguna cosa.
Però, generalment, els problemes de ciberseguretat a nivell personal són molt més senzills que aquests. Són els de phishing per SMS, són els d'emails que van passar pel Banco Santander, són els de missatges de WhatsApp que es reenvien a gent gran i dient que hi ha alguna cosa de la seguretat social, i llavors pica o trucades telefòniques, o una que veig que estava exposant l'altre dia al Tamaio per internet, que és reserves de pisos.
Si vols, t'interessa molt aquest pis, doncs mira, paga aquí 500 euros i després el podràs venir a visitar. Després et diuen que no pots venir a visitar perquè hi ha tanta gent que no em surt a compte, i després desapareix el pis i has fet una reserva, perquè estaves desesperat per un pis que et feia molt el pes, i a prendre per sac, i aquí no hi ha... Pots entrar a reclamar però aquella persona era desapareguda. Són estafes molt més senzilles.
Per això volia parlar una mica d'aquest tema de dir... És que no estem fent el nivell 1, el nivell més bàsic, la majoria de gent no està arribant aquí. És a dir, tu i a mi segurament ens preocupa que un dia et robin el portàtil, el mòbil, i que puguin d'alguna manera accedir als teus comptes. Seria molt complicat. Per començar, tu i jo fem servir Mac. Només per tenir Mac ja tens els discos encriptats. Hauries d'arribar els encriptats.
Però una de les coses bones que té Apple per la qual jo em sento a gust pagant el premium que pagues per Apple és perquè és, com dius tu, virtualment impossible hackejar-te. És a dir, a mi el 2016 em van robar la motxilla. Vaig anar a un bar a prendre alguna amiga i li vaig dir, escolti, em vaig dir que vaig a la bava un segon. Quan vaig tornar a la bava no m'hi vaig fixar perquè hi havia una motxilla, però no era la meva.
M'hi han fet un canvi. M'havien deixat la motxilla negra i jo dins hi portava el portàtil, l'iPad. Un llibre autografiat per una persona coneguda. La primera samarreta que havíem fet de Marsevais, que no tenia ni una setmana. Em van fotre molt. No sé quines altres coses, la meva agenda. Em van fotre la vida. Però d'alguna manera estic tranquil sabent que les meves dades no han pogut accedir a elles.
El portàtil el van desmentalar tal qual, perquè és que com fa servir els mètodes de recuperació que no es va arribar a connectar a internet ni es va encendre el portàtil. Això pot saber-ho amb l'aplicació de FindMy. I res, no es va fer. Tens la funcionalitat aquesta de fer-li un esborrat de disc en remot. M'han robat el portàtil. Ara que s'ensenyi el portàtil, esborrou tot.
No es va arribar a completar perquè igual van desmentallar el portàtil, van treure per peces i ja està, i van vendre les peces. No han pogut accedir a ells. Per tant, jo amb aquesta... Ja només amb això ja et quedes una mica més tranquil. Què passa? De fet, dins del món de ciberseguretat, i també és una cosa que jo no sé la definició de ciberseguretat, però entenc que ja, perquè ens fem un símil, és què pots fer tu per protegir els teus vents, materials i immaterials.
Com si en una casa pots fer que inverteixes posar una porta amb doble o... Porta més blindada, menys blindada, que tingui no sé quants... Com es diu això? Cerrojos, tio. Pots posar també les finestres, però si poses persiana és més difícil que tenir, etcètera. Pots posar una alarma, si tu vols. Pots invertir tot el que vulguis. El mateix amb el teu sistema electrònic. Què passa? La majoria de... Bretxes? Escletxes?
La majoria de problemes d'intrusion a ciberseguretat, en gent inclús que està molt preparada, solen arribar de la mà d'algun familiar normalment de la seva parella.
Per què? Perquè per bé que jo tingui tot... A l'ecosistema d'Apple, si la teva parella, per exemple, té un Android amb un password o no té ni tan sols password, li acceden al mòbil, ja li poden accedir al WhatsApp, també li poden accedir al correu, perquè probablement el seu correu, la segona reina, és o 234 o el nom del seu fill o filla i l'any de naixement, coses aquestes que per força bruta poden entrar.
A menys que els dos estigueu superpreparats, sempre hi ha algun punt d'entrada, algun punt dèbil en la comunicació, i si no és la teva parella, poden ser els teus pares, si no són els teus pares, són els teus fills, i si no són els teus fills, són els teus tiais o avis. Algú li entraran que poden arribar a trobar un punt d'entrada a tot el teu. Si és aïllar, mai estaràs protegit, com a molt el que pots fer és invertir en que la gent que et sorrondeja doncs també tinguin tots aquests mecanismes.
La mesura possible, per això invertirien que tenir que almenys els que conviviuen a la mateixa casa, tenir tothom dispositiu d'Apple i tenir un password més o menys sofisticat. Tu has parlat de gestors de passwords, però la majoria de gent no sap ni el que és un gestor de passwords. La majoria de gent encara s'ha de posar el password 1234 o admin a les aplicacions i aquest tipus de coses.
Per què? Perquè els fa mandra. Aleshores, i això ho saben, això la gent que entra, els hackers saben que la gent, per conveniència, mandra i vagància, generalment no actues o no prevens aquest tipus de coses perquè a mi això no m'ho faran. Què passa? Com que saben que la majoria de gent està desprevinguda, doncs hi atacen per aquí. A la que veuen que hi ha una miqueta de complexitat, ho deixen estar, generalment, la majoria de hackers, el que van és a la presa fàcil.
El que has de fer és intentar reduir, o sigui, intentar minimitzar el risc que tu siguis a la presa fàcil, que hi hagi sempre gent més fàcil que tu. I és relativament senzill. Una és comprar-te iPhone per començar. Saps la 3? Això, posar passwords. Una miqueta complicat. Factor de doble autenticació. Fer servir Google en password, etcètera. Puc demanar a tots els nivells, perquè després estàs a nivell d'empresa.
El típic que la gent fa servir les comptes d'empresa, però fa el login amb el seu password, amb el seu e-mail personal. Si fas això i et comprometen l'e-mail personal, poden entrar totes les teves comptes d'empresa. Podríem estar sis hores parlant, entrant a tots aquests forats de conill, i no acabaríem mai. Però la majoria de cops pots desactivar tots els nivells de hacking, diguem, o de... o de vulnerabilitats, amb coses relativament senzilles.
De fet, si no t'han identificat com a persona d'al valor, el que és més probable és que només intentin les coses molt més senzilles de fer, que és l'estafa per SMS, l'estafa per WhatsApp i tot això, i ja està. Però, clar, per això em va agradar molt el documental aquest de TV3, perquè et dic, eh, ja només que x centenars o milers de persones posin una miqueta més d'alerta aquest tema, estaria bé. Problema? No donaven cap tipus de solució. O sigui, no deien res.
Hauria estat molt bé que aquell documental hagués anat acompanyat d'un. I doncs ara farem un especial de uns mínims de ciberseguretat. I dir, escolta, pensa en posar que el password sigui diferent a tots els teus dispositius, que no tinguis el mateix password que als teus fills, que no sé què, que no sé quantos, les contrasenyes, no te les apuntis en post-it, ni a les notes d'Apple, no sé què. Hauria estat tan senzill fer això i no es va fer.
Aleshores, bueno, una és que la gent estigui al tanto de saber que hi ha aquest tipus de situacions, però per prevenir fa falta educar molt. O sigui, està bé que exposis el... Ei, aquesta persona li va... No ho sé, saps? No sé si... No sé fins a quin punt encara estem completament vers amb el tema i per diàleg és com si a principis dels 90 et diguessin que aquesta persona ha de fer de mercurie, agafa-te el cida, perquè va fer totes aquestes coses. I ja està. Però no et diuen res de prevenció.
Saps? No et parlen de prevenció, de com el pots agafar, de com el pots mitigar, què pots fer per evitar-ho, on et pots informar, etcètera, etcètera. Hòstia, no ho sé. Vull dir, la por... Si no ve acompanyada... Una campanya de prevenció sense educació és bastant inefectiva en aquest sentit.
S'oblida ràpid. Si no hi ha algun tipus d'acció immediata, com poder dir, doncs escolta, anem a fer una sèrie de programes dedicats a això, o posem un telèfon d'atenció a la ciutadania per poder-se informar, o posem una sèrie de... Una pàgina web, un portal en què tu puguis entrar, descarregar-te programari, descarregar-te guies, etcètera, etcètera. Que és probable que la Generalitat ho tingui, això.
Però si no ho fiques allà, està completament desconnectat i l'efecte haurà quedat molt difuminat. És bon punt que la seguretat no és un concepte absolut, sinó relatiu. I si et fixes, imagina't, saps allò que es posen als volants dels cotxes? O antigament es posaven, ara no en recordo, que és com una espècie de cepo al volant. Sí, i tant, i tant. Que immobilitza el volant, bàsicament. Exacte.
Aquest artefacte és un cas d'estudi social molt interessant, perquè la gràcia no és que bloquegi el volant, que també està bé, és gràcia, és que es veu i és visible. És a dir, si tu poguessis tenir exactament el mateix artefacte, que fes exactament la mateixa funció, però que en lloc d'estar aquí, estigués dintre el malatero, ningú s'ho posaria.
Perquè al final, el que cepo del volant, el que està fent, no és que està fent el teu cotxe més segur, és que li està dient al lladre que robi't del costat perquè és més fàcil d'accedir. És igual que aquesta gent que... Fenòmen molt interessant que va far succeir a la meva escala, i és que a la meva escala, històricament, tothom ha tingut un pany, tothom. Tothom. Ningú ha tingut dos. Hasta que un veí va decidir, per algun motiu, que em posaria un segon.
Es va posar un segon pany, que és una merda, la pany, però a dalt, va posar un segon a la part de dalt, gent que ho fa, que funciona com amb una rosca i el gires. Inmediatament, al cap d'un mes, tots els veïns tenien aquell pany. Aquell pany no estava fent més segur el teu pis. Una vegada, jo me'n recordo, em vaig deixar les claus per darrere posades, un serraller, que literalment semblava...
En tots els respectes, semblava que feia 20 minuts que havia sortit de Gambrians i va venir a obrir-me la casa. O sigui, no, no, increïble. De les millors experiències que he tingut de sorpresa. Perquè tenia el d'en Alraplà, tothom esperant que vingués per veure com collons obriria la porta. Que llavors la gent s'esperava que trauria com una espècie d'artefacte super sofisticat amb un mecanisme magnètic que m'obria la porta i que tothom quedaria flipant.
Va agafar una fotocòpia, una radiografia, perdona, la va doblegar i va estar literalment mig segon per obrir la porta. Va obrir la porta en mig segon. I em va dir que són 200 euros pel servei d'urgència. Valor, eh? No esforç. Exacte. I jo era com, vale, et pagaré el que vulguis perquè tens una capacitat d'entrar on vulguis, que em fas molta foca. És el mític exemple aquell del Picasso passejant-se per un mercat i una dona li demana un retrat. Això és exactament el mateix.
Aquest senyor em va obrir la porta amb 500 milers de segons i em va cobrar el preu per hora més car que jo he pagat mai. T'explico això, perquè al final aquell pany que es va posar al meu veí no feia que fos més segur. Amb gent com el serraller aquest, movent-se pel món, aquell pany no era un impediment per ell per poder entrar a casa teva. Però el que feia és que possiblement estava donant aquesta senyal de dir que aquesta casa és menys atractiva per entrar que una altra.
Perquè, a fi de compte, un crim sempre s'avalua per tres coses. Quina és l'upside que tu pots treure d'aquest crim, quin és el downside que té, què pot passar si et pillen, si les conseqüències o les repercussions legals que té que et pillin, i la tercera, i més important, és la probabilitat que t'atrapin.
Sempre poses aquest estrès a la batidora i veus si un crim és rentable o no. Per exemple, tornant als crims de Coinbase, segurament té un upside potencialment molt alt, perquè molta gent pot picar i pots quedar-te molts diners de molts gualets. Té un downside alt, si et pillen et poden... emparar bé, però crec que el ràtid que et pillin és baix, és difícil, és fàcilment amagable i és complicat que pillin un estafa d'aquest tipus.
Poses a la batidora i segurament si es fa és perquè en aquest anal·lisi de benefici i cost o oportunitat deu sortir positiu si ets un lladre i entens aquestes coses.
Tot això t'ho explicava perquè, sí, la seguretat, malgrat que la perceps en termes absoluts, és una mètrica que funciona sempre en termes relatius, perquè una persona, abans d'invertir diners entrant al teu compte, donada la mateixa dificultat per hackejar el teu compte o el meu, si tens més diners que jo al banc, ets un tàrquet més atractiu perquè en aquesta qüestió l'app site és més alt i per tant tu ets una persona més atractiva.
Per això mateix, que el simple fet de posar aquestes més barreres no és que t'estiguis fent més segur en termes nominals, és l'exemple del serraller que em va entrar a casa, si vol entrar entrar-hi igual. El que passa és que ets menys atractiu perquè ets més difícil en comparació a una altra persona que potser té el mateix jackpot. S'entén la idea, no? S'entén, és com el moment en què apareix la comunitat de veïns una persona que es posa al Securitats Direct de torn, i dius, a mi ja no m'entris.
El mateix exemple, igual. Què passa? El problema és que si se'l posen tots, de cop i volta es torna a nivellar el terreny. De cop i volta dius, ens tornem a estar tots a la casella de partida perquè ara a tots ens és més difícil entrar a les cases de tots perquè tots tenim la protecció. Aleshores, ja s'ha d'invertir en alguna cosa més. Al final, també és un reistiu de bottom. El fet que dius, què poso? Poso una porta blindada.
Com que ens hem de blindar tots, al final tots estem exactament en la mateixa condició. Diguem. No ho sé, aquí hi ha diferències substancials. Una és sabent que quan et poses els sistemes més coneguts de protecció i més habituals, d'alguna manera també són els més vulnerables perquè les empreses que es dediquen a vulnerar aquest tipus de proteccions van a les que són més comuns, perquè al final són més conegudes, poden estudiar millor, poden intentar-ho més cops i està.
Per tant, en aquest sentit, crec que val la pena invertir en una empresa tipus tier 2, tier 3 de seguretat i no posar-te els habituals perquè ja saben el que hi ha. És fer un simil, fer un simil una miqueta agafat amb pinces, però si tu et muntes la teva web en WordPress és de les coses més fàcils de vulnerar que hi ha, perquè com que un terç de internet corre sobre WordPress, hi ha tantes empreses hackejant-lo que és molt fàcil que te'l haquegin i que hi hagi estafes sobre això.
Al final, els estafadors massius creen d'aquest tipus de campanyes d'estafes massives precisament perquè hi ha tal massa crítica d'usuaris, de potencials víctimes que els surt a compte invertir en fer campanyes d'estafa massiva. No sé per què hem anat al tema portes. Ah, pel tema de visibilitat, correcte. Si tinguéssim el cepo aquest de volant per portàtils o per mòbils, seria un tema molt interessant. Però, clar, com ho poses quan realment...
Hauria de ser alguna cosa que donés a veure el potencial... El potencial lladre, no? Que des de fora, que allò no és aquejable. Però, clar, què passa? Que l'iPhone té un valor... té un valor no només per les dades, les dades són un. Però, generalment, el lladre i el hacker no són la mateixa persona. És a dir, la persona que et roba el portàtil el vol vendre per les peces. És bon punt aquest, la diferència és important. A mi no em preocupen les dades de dins del meu ordinador, zero.
O sigui, menys deu. Perquè jo sé que si perdo l'ordinador tancat o el mòbil bloquejat, no hi ha deu que accedeixi allà. A mi el que em preocupa, i al final és això que dic, cony, jo no soc un... Com es diu allò del high net worth individual? Correcte. Té un nom, una sigla, sí. Jo no soc un d'aquests, a mi. Però segurament si em robes el mòbil, te'n donaràs un mòbil, molt bé, i no gaire bo, per cert.
No, al teu cas no. He sabut que en el meu cas no. Però és més enfranquejable, el teu iPhone 3, que no sé quin Samsung, que és de mil euros, que telegenera butxaca. Sí, això vaig, que vull dir que a mi no em preocupen les dades, perquè en realitat no em preocupen molt, em preocupa bastant més, en realitat, el fet de perdre l'operativa productiva que jo tinc muntada.
Perquè la meva vida és molt espai digital, em deixen al banquillo durant uns moments, i això per mi és un problema, per tant, per cony. És com si el taxista li punxen les rodes del cotxe. Hòstia, és una putada per ell. Per això, molt important el que has mencionat, com la diferència entre el lladre, que es vol quedar el valor del dispositiu, i el criminal, d'alguna manera, el que vol és obtenir aquestes dades per aconseguir un altre fi. Perdona, i què té a tallar davant amb això del lladre?
No, no, no, és bon punt. Acompanya molt el que deia, dir que la persona que et robarà el mòbil no serà la mateixa que t'entrarà les dades. Generalment, requereixen dos tipus d'habilitats diferents i són dos tipus de persones diferents. Ho fa perquè pot vendre aquest mòbil al mercat negre, on sigui, i apa, saps? I han atret un benefici, ha aconseguit un mòbil, i potser pot ser 200 euros per ell, per dir alguna cosa, doncs au, això l'arreglen al mes, saps?
Clar, aquí és on es perd la traçabilitat, i per això passava en el documental aquest. És a dir, pots identificar el lladre, el que t'ha substrat del mòbil, però això no et porta al hacker, generalment. A menys que tu vulguis fer un seguiment físic del dispositiu, identificar el hacker ho faràs per altres cantons. Per exemple, allà s'intentava fer perquè, clar, miraven on havia pujat les fotos compromeses, era un servidor d'aquestes imatges, ja una miqueta complicadeta, llavors li demanaven...
La noia contactava a l'empresa que hi havia de hosting d'imatges i deia, escolta, qui ha pujat aquestes imatges? Dóna'm la seva IP, la IP estava amagada darrere una UBPN, això ho feia bastant complicat. Però segurament, per aquí, com que has tira el fil, i en algun moment hi ha un... hi ha un moment de descuit. Me'n recordo que això va passar, per exemple, en el cas del McAfee, suposo que és el documental del McAfee, que algú postejava en un moment...
Ah, sortia un article de Wired, no li feien una història del de tal, i s'havien deixat de treure les metadata de les fotos que havien publicat, va sense les fotos, trobaven on s'havia fet aquella fotografia, les seves coordenades, i veien que estava a Panamà, no sé quin país, d'allà del... Collons, ja t'ho diré, d'allà del Carrib, ara.
Aleshores, en algun moment, per molt que posis tota la ciberseguretat del món, en algun moment t'oblides d'alguna cosa, en algun moment se't connecta el mòbil a wifi, que no hauries, en algun moment se t'ha oblidat posar la UBPN, o se t'ha desconnectat per un segon, o s'ha enviat algun missatge que poden traçar. En algun moment sempre hi ha alguna falla. Però aquí estem parlant de casos molt més complicats.
Jo per això deia que, hòstia, què podem fer com a... O sigui, ja no dic tu i jo, la nostra comunitat també, o a nivell de societat, per ajudar a prevenir, o més això, igual que a nivell de societat hem anat evolucionant, i fa cent anys la gent deixava les portes de casa obertes, i els crios anaven als alcools, i totes aquestes coses que al final hem vist que com a societat no era gaire sostenible, i se'ns ha ficat més la por al cos perquè hi ha molt més...
moltes més amenaçades a nivell del que passa al carrer, doncs el mateix hauria de passar a nivell de dispositius. És a dir, en el moment en què tota la nostra vida depèn d'això, és que m'atreviria a dir que hi ha gent que té més valor dintre de l'ordinador que el que puguin tenir a casa. I penso en digitalnòmats, penso més en gent que... que la seva casa li importi relativament de merda, que sigui així com jo, però ho té tot.
Té totes les imatges de la seva vida, té tots els seus documents, té inversions que li van molt bé, etcètera, ho té tot al portàtil, val? Li foten al portàtil, i si no ho tens ben muntat tot això, se te'n va tot a la merda. Com a mi m'ha passat, per exemple, ja m'ho he mencionat més d'un cop, a veure, al final, quan vaig perdre tots els MP3s que havia acumulat durant segons anys, t'ha quejat a MusicBrain i totes aquestes històries, em va fer molt mal, però penso i dic...
No vaig perdre res més que... moltes hores de feina, però al final, ei, eren uns actius que tampoc... que podria recuperar en qualsevol moment. Però sí que vaig perdre anys de fotos, per exemple, digitals, que no recuperaré mai més, perquè vaig ficar amb un disc dur encriptat i vaig fer... per voler-ho tenir de manera més segura, aquell disc dur, i com que estava tan... va trencar, i com que estava encriptat, no hi havia manera de treure'l, i ja està, i les vaig perdre allà.
Aleshores, clar, concepte... Què vaig fer malament aquí, per exemple, que és una de les coses que la gent es pensa. Amb una copia de seguretat ja ho tens. No, la copia de seguretat ha d'estar redondada en algun lloc. Això també és un concepte que la gent no coneix. Només per tenir-ho a Dropbox... Si jo tinc el mòbil, jo ho tinc a Dropbox. Vale. Què passa si et roben el mòbil i ja no pots accedir a Dropbox? No, ho has de tenir en dos llocs redondats. I ja potser no estiguin al mateix concepte.
És a dir, és com... Me'n recordo que això és una cosa que es feia bé a Deloitte, per exemple, tenia uns backups que es feien físicament cada divendres, tota la feina de setmana, i aleshores es guardaven a una altra oficina. O sigui, feies unes copies amb uns discos o amb uns... No me'n recordo quins dispositius ho guardàvem aleshores, però se'n va a una altra oficina. Per què? Perquè no serveix de res.
O serveix de relativament poc que ho tinguis en un disc dur a la mateixa oficina, que si comprometen l'accés, és més fàcil robar un disc dur que entrar en un portàtil. O si es crema l'oficina, es crema el portàtil, si es crema el disc dur. Aleshores, millor tenir-ho en un altre lloc. Per això que... Bueno, hòstia, jo hi ha moltes coses que ja faig, però sempre pots mirar-ho més, la seguretat. No és binària, és un gradient, com heu parlat abans, i jo sento que estem molt desinformats.
Saps? I jo tot això... Ho sé, perquè sempre he estat molt interessat en aquest tema des de l'adolescència, i tot i així no estic tan protegit com agradaria, perquè al final requereix una feina, un manteniment, que costa molt de fer i tal, i que després, hòstia, per alguna cosa, aquell servei que feies, però hòstia, no et convé tant, perquè jo què sé, me'n recordo que fa molts anys feia servir un equivalent... No era BlackBase, és el que fa servir el nostre amic Gruber, no?, de Talkshow.
Sí, pels backups, sí. Em feia servir un altre, em feia servir BlackEyes, que era un firewall i a sobre també tenia còpies de seguretat. Em sembla recordar, val? Què passa? Que era lentíssim. I ara que ets que sí, et fien una còpia de seguretat molt bona i el que tu vulguis, però després és impossible accedir a allò, perquè no tenia una interfície de fitxets. Tu havies de baixar tota la còpia per desplegar-la al teu ordinador per poder accedir al que vulguessis.
Per tant, no et servia com a un Dropbox que ho tinc allà, és segur, ho tinc redondat, però si vull accedir només a una foto o a un arxiu, doncs entro, m'ho baixo i tal. No, no, aquell era, oblida't, t'havies de baixar tot sencer i, clar, com tinguessis allà 100 gigs de coses,
era una matada. Aleshores, ho vaig canviar, m'ho vaig posar a Dropbox, durant un temps vaig tenir Dropbox i Google Drive replicats, però la sincronització era una basura, aleshores, clar, és que a nivell de conveniència tot és complicat. És a dir, fins a on estàs disposat a invertir en diners i en temps per estar tranquil a nivell de ciberseguretat.
I la majoria de gent, pagar per a alguna cosa, li fa mandra i, a part d'això, dones per descomptat que saps fer-ho, però la majoria de gent no és tecnològicament molt avasada, com ho seríem nosaltres, com per saber això, per muntar o poder comparar aquests serveis, saber la diferència entre un gigabyte i un terabyte, vull dir que per nosaltres és completament trivial, però per la majoria de gent saber que, hòstia, no, tens tantes còpies de seguretat, es fa amb aquesta cadència,
tal, tal, tal, els sona xino, per dir alguna cosa. Aleshores, és molt complicat, hi ha tanta desinformació, en aquest sentit, que jo tampoc veig esforços per educar la ciutadania en aquesta matèria. I l'estàs posant, l'estàs deixant en risc, l'estàs deixant a l'estacada. Sí, i sé que no tens temps, però hi ha un altre angle que també és interessant.
Tinc deu minuts. Ah, deu minuts. Bé, ens ho havíem comentat també, que hi ha moltes companyies privades que s'estan posicionant en aquesta falla, diguem, i ho estan veient com una oportunitat de mercat, que és molt interessant. Jo he estat moltes vegades tentat de provar-les i estic parlant de coses com, potser et sona el concepte, com Incogni o Delete Me, que són serveis que bàsicament externalitzen aquest problema i s'ocupen ells per tu. Llavors, de què es dediquen?
Doncs es dediquen a treure't de data brokers, et busquen a leaks online i tuen el teu interès i intenten minimitzar-te i apatxar digital sempre que puguin dintre de tot aquest tipus de grans brokers de dades online. I el que prometen, bàsicament, és això, és que allò que havíem comentat alguna vegada a l'Ista Robinson, però ben fet, no? És a dir, que ja no robes tants mails de spam, tants escams...
Perquè al final tot això viu de bases de dades gegants que, d'alguna manera, han arribat a les seves mans. La pregunta és com arriba això a les seves mans i si pots prevenir aquest pas previ, sembla com més intel·ligent que no pas intentar... És allò de, no ho sé, si tens un tio que t'està tirant ous des d'un taulat i els estàs intentant agafant el terra, potser la solució no és tenir més mans per agafar els ous, és dir-li al tio que pari de tirar ous. Això vindria a ser una mica el mateix.
Sempre he estat molt tentat de provar-ho, però mai m'he tirat a la piscina, no sé per què. I mira, el Half-Beam Pound aquest que em menciones, perdó, és que l'Àlex m'ho ha comentat en un petit xat com posant-ho a les notes, és molt interessant, al final és el mateix. És com que tira de la mateixa... No sé si tira de la mateixa app o no, però el que et fan és que ells et diuen que has estat exposat aquí. Aquests serveis que et dic, ells van un pas més enllà.
Et diuen que no tot el que farem serà monitoritzar la teva presència online i, en el cas que veiem una cosa que no ens agrada, actuarem per tu i t'esborrarem d'aquests llocs o intentarem batllar per la teva privacitat. És un concepte que a mi sembla interessant, mai he tirat tant de la corda, potser podria fer un experiment i fer-ho pel podcast i ho provem, però sí, és...
Vull dir que hi ha companyies que, evidentment, és el que tu dius, no estem parlant d'una campanya d'activisme o una cosa que s'estigui fent a nivell social o que s'estigui ensenyant a les escoles, són empreses privades que han optat per això i les has de conèixer. Pasa-me'ls, perquè jo no ens conec i voldria fotre una vista.
Et passava a Half-Eight-Bit-Pound perquè és una cosa que jo tinc allò, com cada mes tinc la tasca, el meu to-do-is, que és mirar si hi ha alguna cosa nova, perquè fins a dia d'avui el meu correu personal ha estat en 18 data leaks, coses tan disparts com Dropbox, LinkedIn, Tap, Portugal, la aerolínia, Canva, Eventbrite, Bitly i no sé quina altra. I diverses coses que ja no conec. Ajuvant Talent, també. Gravatart. Vull dir que Déu-n'hi-do. Uf, Déu-n'hi-do, no? Tu estàs bastant cascat.
L'STFM, l'STFM i Android Forums. Ho heu posat al meu només a un, només estic cascat en un. El meu està bastant cascat, però a veure, aquest correu me'l vaig crear quan encara era adolescent. Em va sortir un gmail, aquest correu té 20 escatxanys. Per tant, és bastant normal. Cada mes vaig mirant, ara fa molt temps que no n'hi ha cap de nova, però ho has d'anar fent, la majoria de gent ho fa igual que la majoria de gent, té un mòbil, i hi ha aquests que es desbloquegen amb un patró a la pantalla.
I ja tenen la pantalla desgastada, sempre a fer, i que t'ho l'hagin de fer i pots saber el seu patró, perquè tu tenen la patjada dactilar, la tenen allà, i pots desbloquejar-ho. Què passa? Com que no vas canviant cada x temps, o fan... O sigui, pensa que, per molt, per tontos que estiguin fet els sistemes de seguretat, és a dir, a la feina molta gent té un password que li obliguen que tingui...
Ja s'ha fet, que els passwords ara t'obliguen a tenir un caràcter especial, números i lletres en majúscula. Per què? Perquè la gent, si no, posava 123456789, zero. En el moment que poses això, poses una mica de complicat, la gent posa passwords que siguin fàcils de recordar, perquè si me'n recorden, que tinguin tot això, posaré el meu nom, amb què la primera lletra sigui majúscula, i allà on tinc una O, sigui un zero.
I un símbol d'exclamació, símbol de dólar, que són els més comuns quan es fan servir aquestes coses. Aleshores diuen, ok, anem a fer que la gent se'l canviï més sovint perquè no pugui fer això. Aleshores, el que poses... Me'n recordo que quan tenia Adeluite t'obligava cada sis mesos a canviar-te el password. El que feies era posar-te el password anterior. Quan van detectar que això ho feia, ja et feien el d'allò de dir que no pots posar-te el password anterior.
Doncs anaves rotant entre aquests tres. Després van començar a desar els passwords d'alguna manera, perquè si no, ja això ja no és Adeluite, està tant de temps, però a nivell general què fas? No, comença a desar els passwords que té la gent d'alguna manera, encriptats el que tu vulguis, per veure que no hagi fet servir aquest password anteriorment. Hòstia. És que sempre sembla que hagis d'anar fent com més mesures de protecció, perquè és que la gent fa absolutament...
Els hackers, els primers hackers de tot, és que la gent, les víctimes són els seus propis hackers, perquè estan intentant desmentallar els sistemes de seguretat que hi ha posats, fent el mínim possible perquè no els disrompi la seva activitat. Però el que estàs fent és fer-ho més fàcil als hackers i haver de posar més feina a la safata de la gent que treballa en la seguretat dels teus sistemes, perquè tu ets un vagó de merda.
I aleshores estàs posant en perill no només tu, sinó tota la teva empresa o la gent que t'envolta a nivell de ciberseguretat, perquè no vols invertir en un password que sigui mínimament segur. I quan dic això penso en tantes altres coses, però realment aquest també és un concepte que moltes vegades no s'inverteix... El tema de la ciberseguretat, com deia, és un tema que la gent l'agafa, o si acosta d'una manera 100% reactiva i fins que no els hi ha passat un desastre, no invertiran en això.
Moltes vegades, inclús, que els hi hagi passat alguna persona del seu entorn, no foten absolutament res perquè diuen que tampoc. Però tota la culpa no seva. És a dir, no hi ha suficient literatura o no hi ha material accessible per a aquesta gent, no hi ha... Pots trobar segurament un centre social del barri que faci una jornada de ciberseguretat, però és tan inaccessible, és tan fred, tan estrany d'explicar que la gent no s'hi apunta. Perquè no connecten amb això.
És que el problema ha estat tan abstret de la realitat que molta gent entén que passa per una capa que, possiblement, és que... Si se t'escapa. És curiós com traslladar aquest coneixement a una gran massa. És molt complex, sí, estic totalment amb tu. Així que aquest workshop de seguretat digital, com l'has vist? Estàs bé o no? És que no ho sé, no... Hem parlat molt de conceptes, no hem aterrat... tantíssimes coses, no?
Però... no he fet gran cosa, però sí que m'agradaria fer certs recordatoris de tant en quant, d'això, no? I jo sé que... És que no ho sé, trobo com que... falta un punt central d'informació al qual tothom pogués anar i que tingués allà. Hòstia, un xeclist, no? Tots senzills, com una pàgina web, que tingués un xeclist de dir... Tens això? Sí, sí, sí. Estàs protegit en un... T'estalviaràs tots aquests tipus d'atacs. T'acabaran tots aquests altres.
I que poguessis dir que vols estar protegit d'aquests altres. Doncs, home, igual que has de tenir, ja és... no sé, un gestor de... un gestor de passwords. O no pots estar protegit si tens un Android, per dir-ho. O si tens un ordinador que fa servir, que no sigui només teu, sinó que el fa servir altra gent. Que, aleshores, clar, el nivell de vulnerabilitat augmenta, no? Perquè el fa servir una gent i, per tant, d'alguna manera, sempre hi haurà un usuari que no et passi més de bé. No ho sé, tio.
Jo és una batalla que dono per perduda per la majoria de gent, però m'agradaria contribuir a que tots estiguessin més segurs i segures.