En un entorno empresarial donde la tecnología ha dejado de ser un soporte para convertirse en el núcleo del negocio, la capacitación de los equipos directivos es crítica. Recientemente, he tenido el privilegio de impartir el Módulo 3: Habilitando Tecnológicamente la Transformación dentro del programa oficial Generación Digital Pymes (ahí está el resumen del curso)

Esta iniciativa, impulsada por la Escuela de Organización Industrial (EOI), la Cámara de Comercio de Oviedo y agorAstur Formación, ha sido el escenario perfecto para aterrizar conceptos complejos a soluciones de negocio reales.

Mi intervención se ha alejado del contenido teórico genérico para trasladar mi experiencia real en las «trincheras» de la red. A continuación, comparto los pilares fundamentales que hemos trabajado.

1. Ciberseguridad: Mentalidad de Hacking Ético y Defensa Activa

Basándome en mi trayectoria como co-fundador y responsable de seguridad en APACHEctl, el mensaje ha sido claro: la seguridad no es un producto que se compra, es un proceso que se gestiona. Hemos profundizado en:

• Higiene de Seguridad Mínima: La implementación obligatoria de MFA (Autenticación Multifactor) y políticas de «menor privilegio» por defecto.
• Gestión de Activos: El uso de gestores de contraseñas profesionales como Bitwarden o KeePassXC y el cifrado de dispositivos (BitLocker/LUKS) para mitigar riesgos físicos.
• Respuesta a Incidentes: No basta con tener copias; hemos establecido la regla de backups 3-2-1 con restauraciones mensuales verificadas, porque «el backup solo existe si se restaura».

2. Infraestructura, WPO y SEO Técnico

Como administrador de servidores GNU/Linux, he puesto el foco en la arquitectura del servidor como motor de negocio. La optimización del rendimiento web (WPO) no es solo una cuestión de velocidad, es la base del SEO Técnico. Un servidor seguro y optimizado es indispensable para ganar autoridad ante Google y confianza ante el cliente.

3. Inteligencia Artificial, Automatización y Productividad

La productividad en 2025 pasa por delegar tareas repetitivas en sistemas inteligentes. Hemos explorado la convergencia entre IA y automatización:

• IA Generativa con Criterio: Analizamos técnicamente modelos como ChatGPT (versatilidad), Claude (análisis de documentos extensos) y Gemini (ecosistema Google), usando prompts avanzados para estrategia de contenidos.
• Automatización (No-Code/Low-Code): Introduje el potencial de herramientas como Zapier, Make y n8n para conectar CRM y ERP, permitiendo que los datos fluyan sin intervención manual.
• GTD + Notion: Configuramos un sistema operativo de equipo en Notion aplicando la metodología Getting Things Done de David Allen para transformar el caos en tareas ejecutables.

4. Tecnologías Emergentes: IoT y Blockchain

Bajamos a tierra tecnologías que a menudo parecen lejanas para la PYME:

• IoT orientado a KPIs: Uso de sensores para medir procesos industriales en tiempo real y reducir mermas.
• Blockchain: Aplicación de registros inmutables para garantizar la trazabilidad y la certificación documental.

5. Hoja de Ruta: El Plan 30-60-90

Para asegurar la ejecución, cada directivo trabaja en un plan de implementación inmediata:

• Días 0-30: Auditoría de seguridad, activación de 2FA y segmentación de redes Wi-Fi.
• Días 31-60: Despliegue de gestores de contraseñas y políticas de parches.
• Días 61-90: Integración de automatizaciones y revisión de métricas de rendimiento.

Un equipo docente de primer nivel

Es un honor compartir este programa con un claustro de expertos que cubren todas las aristas de la digitalización:

• Alfonso Ruiz de Eguino – Estrategia, Modelos de Negocio y Lean Startup.
• Ana Fernández Iglesias – Sostenibilidad, Economía Circular e Innovación Industrial.
• Anita Álvarez Cufari – Marketing Digital, Publicidad y Creatividad Estratégica.
• Damián Micenmacher – Transformación Cultural, Liderazgo Ágil y Coaching.
• David Hernández (Dabo) – Ciberseguridad, Cloud Computing e Inteligencia Artificial.
• Mónica Granda Velasco – Dirección Financiera, ERPs y Business Intelligence.
• Nerea Sánchez Sánchez – Soluciones Digitales y Aplicaciones Móviles.
• Roberto Pérez Marijuán – Neuromarketing, Comunicación y Ventas.
• Rubén Prida – Consultoría Tecnológica y CRM.
• Vanina Posada Casares – Transformación Digital e Innovación en Turismo.

Comentar que vamos por la segunda edición y que hay una tercera confirmada, muchas gracias a los organizadores por confiar en mi experiencia para llevar adelante esta formación.

La entrada Formando a Directivos: IA, Cloud y Ciberseguridad para la Cámara de Comercio de Oviedo se publicó primero en DaboBlog.

Mi paso por «Ciberseguridad para Mortales»: Reflexiones tras la charla con BySepa

Hace poco tuve el placer de ser invitado por BySepa a su canal para charlar un rato sobre ciberseguridad, software libre y, en definitiva, sobre este camino que llevo recorriendo tantos años. A veces, estas entrevistas sirven para pararse a pensar en por qué hacemos lo que hacemos, y las preguntas que me lanzó el presentador me permitieron profundizar en temas que me tocan de cerca.

Aquí os comparto los puntos clave que tratamos y las reflexiones que quise transmitir:

1. Más allá de los bits: ¿Quién es Dabo y qué es ser hacker?

BySepa empezó fuerte, pidiéndome que me definiera más allá de lo profesional. Siempre es un reto separar la persona del teclado, pero hablamos de pasiones y de esa identidad que a veces se diluye entre servidores. También debatimos sobre el término «hacker»: ¿me considero uno? Para mí, más que un título, es una filosofía de vida y de aprendizaje continuo que intento mantener viva.

2. El origen de todo y el idilio con GNU/Linux

Recordamos mis inicios y ese «momento clic» (aquel incidente en MSN) que me hizo volcarme en la seguridad. Fue inevitable hablar de mi sistema de cabecera: ¿Por qué GNU/Linux? Expliqué mis razones para seguir apostando por el software libre y cómo veo el panorama actual; un futuro que, aunque complejo, sigue siendo la única alternativa real para quienes valoramos la soberanía tecnológica.

3. Privacidad y el estado de la seguridad en España

Una de las partes más interesantes fue cuando analizamos si vivimos en una «falsa sensación de seguridad». Reflexionamos sobre cómo la privacidad parece estar siempre bajo asedio y qué papel jugamos nosotros en ello. También compartí mi visión sobre la madurez de la ciberseguridad en nuestro país, especialmente en el sector de las pymes, que a menudo son las más vulnerables en esta «jungla» digital.

4. Las trincheras: Anécdotas y consejos

No faltaron las batallitas. Le conté a BySepa lo que se siente al gestionar crisis bajo alta carga o interactuar con atacantes en tiempo real; esos momentos de pura adrenalina que, a pesar del estrés, son los que más me apasionan de mi trabajo.

Finalmente, intenté aterrizar todo esto para los que vienen detrás. Me preguntó qué consejo le daría a un chaval de 18 o 19 años que quiera empezar hoy. Mi respuesta siempre va por el mismo camino: curiosidad, base técnica y, sobre todo, mucha ética.

Muchas gracias Sepa por tratarme tan bien y también a mi gran amigo «Jabalí» por hacer de enlace

La entrada Hablando de Ciberseguridad con «BySepa» [Vídeo] se publicó primero en DaboBlog.

Cuando él me planteó entrar en el equipazo de Hack By Security (tengo que buscar otra foto, lo sé ;D) a impartir formación y más en algo que tanto me gusta como GNU/Linux, no dudé en decir «sí», porque para mi, hablando de formación (algo que me tomo muy en serio) es importante saber que la gente que está detrás se lo toma en serio y no juega con las ilusiones y el dinero del alumnado, así de claro.

El temario que impartí en mi bloque de horas fue el siguiente:

Introducción
Amenazas y seguridad web
Servidores Debian GNU/Linux y seguridad
Monitorización de servidores y servicios
Comparativa de paneles de administración web
Servidores web: Apache vs Nginx
Optimización y seguridad en servidores web
Optimización y seguridad de bases de MariaDB
Seguridad y protección contra ataques DoS / DDoS
Firewall y protección de red / portscans
Uso de un IPS / IDS & búsqueda de malware
Conclusiones y buenas prácticas

Para ello, preparé a los alumnos una VM en VirtualBox con una Debian 12 y un entorno de escritorio mínimo a modo de laboratorio de pruebas y en mi caso, para darle un toque más real, contraté un servidor VPS e hice una instalación totalmente desde cero, explicando problemas comunes, otros más complejos (algunos «bastante complejos»;) y sobre todo, aportando soluciones en directo a esos problemas y configuraciones inseguras que íbamos detectando.

El VPS que usé, como se ve, estaba recién instalado con lo míimo (una «netinstall»)

Fue un rol doble por mi parte, ejerciendo de Red y Blue Team, con ataques desde fuera que eran analizados y bloqueados desde dentro del servidor. Partiendo de una mínima configuración, acabé instalando un entorno plenamente funcional y altamente optimizado basado en:

Apache 2.4x en mod-event

MariaDB 10x

PHP-FPM 8x

Memcached

Mostré a los alumnos cómo manejar picos de tráfico legítimo alto, también cómo actuar en caso de una Denegación de servicio, montar un firewall complejo desde cero con la premisa de que al acabar pudieran replicarlo (las clases quedan grabadas), bloqueando ataques de fuerza bruta, portscans, fingerprinting, DoS, etc.

Por mi parte, acabé la formación con la sensación de haberlo dado todo como siempre intento (a pesar de los riesgos del directo, pero eso creo que aporta valor porque así la gente puede ver cómo solucionas sobre la marcha problemas que pueden encontrarse ellos) y ya estoy esperando a la siguiente entrega. Muchas gracias a Ángel y al Staff de Hack By Security y también a los alumnos que asistieron a mi clase (para lo que necesitéis,sólo tenéis que contactar).

La entrada En el Bootcamp de Hack By Security impartiendo formación sobre Seguridad en Servers GNU/Linux se publicó primero en DaboBlog.

Se superó la barrera de los 30.000 € y la calidad de las charlas fue realmente espectacular. Cabe destacar la gran labor de la organización de danaconsolidario.com que en un tiempo record, hizo algo espectacular. Hubo mucha gente que colaboró, pero especialmente Yolanda Corral y Edu Satoe se salieron del mapa -;).

En mi caso, opté por algo muy descriptivo como ¿por qué se cae mi servidor? recordando los tiempos en los que en mis inicios, intentaba comprender algo que me resultaba realmente difícil debido a la complejidad de ese ecosistema que es el de los Servidores Web GNU/Linux.

Os dejo con el vídeo de mi intervención, aunque os recomiendo repasar todo el material subido (yo desde luego que lo haré para ponerme al día).

Realmente en esta diapositiva está la clave como veréis en el vídeo

Para solventar la cuestión de la Concurrencia

Tenemos que despejar esta incógnita…e identificar el problema

Desde aquí, quería dar las gracias tanto a los compañeros y compañeras que estuvieron dándolo todo en el evento, la gente que lo difundió / apoyó y por supuesto, a cada una de las aportaciones que se hicieron en pro de recaudar esos fondos para la DANA tan necesarios, en una situación lamentable a todos los niveles y que sin duda, estuvo gestionada fatal / peor imposible por quienes supuestamente tienen que velar por nuestras vidas (y no por su beneficio / status como suele pasar).

La entrada Recaudando fondos para la DANA en DanaConSolidario ¿Por qué se cae mi Servidor? se publicó primero en DaboBlog.

Pocas cosas me gustan más que ir a centros de formación (y si es formación profesional, más si cabe) e intentar aportar algo de luz o ayuda en temas de mi día a día con el Hacking y los servidores en APACHEctl y en mis temas como consultor.

En este caso tocaba hablar de Ciber(IN)seguridad en el IES1 de Gijón y cuando sus responsables me propusieron ir, no dudé en aceptar al momento.

(La foto es del amigo @eguino, gracias !!!)

Tengo que dar las gracias tanto a la organización como a los asistentes porque me trataron genial y me divertí mucho -:). Si hay que repetir, se repetirá (hubo gente que se quedó sin poder entrar me comentaron).

¿De qué temas hablé? Obviamente de IA y sus sesgos, de cómo hackear a ChatGPT para saltarte ciertos filtros y restricciones en cuanto al contenido (sí, al final nos creó un arma biológica y…poca broma:), de estereotipos, Hackers y Hacktivistas, de brechas de seguridad, desarrollo seguros de Software, OWASP, criptografía, OPSEC, gestión del riesgo, etc.

Seguramente lo que más impacto causó en la audiencia fue una demo de suplantación de identidad vía una llamada de móvil entre dos asistentes (llamando yo con el número de ellos previo permiso explícito).

Voy a compartir alguna de las diapositivas de mi presentación. Aclarar que aunque mi presentación se impartió con Software Libre y mis Debian, los consejos de Ciberseguridad fueron en este caso destinados a Windows.

Para acabar, si estás leyendo esto y quieres que colabore con tu centro público de educación en algún tema de divulgación tipo este, lo haré de forma desinteresada porque al final, la seguridad, es una cuestión que nos afecta a todos.

Galería con parte de la presentación (hay como el doble de diapos pero falta contexto).

La entrada Hablando de Ciber(IN)Seguridad en el IES1 de Gijón se publicó primero en DaboBlog.

En este séptimo capítulo hablaremos con David Hernández (Dabo), de hacking y anécdotas del pasado, redes sociales, Twitter, psicología, sociología, ciencia y filosofía, vieja escuela, ajedrez, libros interesantes, 15M, protestas electrónicas (netstrike), historia de Internet, ataques DDoS, LOIC, UFONet, legislación, hacktivismo, periodismo, filtraciones, etc…

Pero también sobre mercado laboral, teletrabajo, empresa, ser autónomo, ciberseguridad, economía doméstica, trabajo, emergencia climática, montañismo, activismo, XR, pseudociencias, dogmatismo, sistema educativo, nativos digitales… y muchos temas más.

Os recomiendo visitar el perfil en YouTube para ver el listado de entrevistas. Ya veréis el nivel y conociendo a epsylon, seguro que llegan nuevas y potentes sorpresas (sí, tengo cierto «hype» por «algo que me ha contado un pajarito» ;D).

Como siempre (y van 3) cada vez que colaboro o hago algo con epslylon a nivel público (en privado colaboramos con otros temas) la comodidad es total y hay una gran sintonía entre ambos, creo que eso es algo que se puede apreciar en el vídeo.

Si me llaman para algo así y acepto, es para dar mi opinión sin tapujos ni equidistancias por aquello del «¿qué pensarán?». Corren tiempos de alzar la voz y seguir defendiendo con firmeza lo que consideras fundamental hablando de Privacidad, Seguridad, Derechos Civiles y ¿humanidad?.

Muchas gracias epsylon por hacer posible un proyecto divulgativo tan bonito y necesario como este, con temáticas tan interesantes como variadas, pero que siempre confluyen -;).

La entrada En el podcast «The Hacker Style» con epsylon se publicó primero en DaboBlog.

Compartí evento con un buen amigo (Nacho) y Daniel, a quien no conocía y he decir que fue una grata sorpresa. Estas fueron sus charlas:

–Daniel López(@Bimo99B9): «Web scraping: recuperación de datos»

-Ignacio Alba Obaya (@NachoalbaO): «¿Seguridad domótica?»

Como dije al principio de mi charla y haciendo un guiño: «si no metes alguna mierda de IA o Blockchain, no eres nadie«, de ahí ese ¿título? de la diapo ;D

Atacando (y defendiendo) entornos GLAMP

Tuvimos algún incidente con el proyector y monitores que a Cota, el organizador (enorme abrazo desde aquí;) no le quitó ni la sonrisa ni las ganas de remontar la situación.

Gracias Sheila ♡por la foto y todo tu apoyo constante. También fue de gran ayuda tener a mi fiel compañero 0Dest por allí, llevé dos portátiles por si las moscas y las salidas de vídeo y… no nos equivocamos ;).

Luego tuvimos otro incidente (conexión de Red) que no me dejó terminar la demo que estaba haciendo contra un servidor en producción que había preparado para el evento (cosas del directo).

He aprendido la lección, quienes me seguís desde hace años ya sabéis que con las demos siempre me mojo, pero pensando en la audiencia (no iba ni la Red del local ni la conexión 5G de mi móvil), para la próxima grabo una sesión de mi pantalla y lo voy explicando (contra un entorno de producción, realmente es lo mismo).

Por si os sirve de ayuda, os dejo los enlaces que fui mostrando en mis diapositivas:

Ojo con la carga del servidor de la imagen inferior….

Entendiendo el load Average: https://aplicacionesysistemas.com/load-average-carga-de-cpu-en-linux/

Servicios DDoS bajo demanda: https://www.dailymotion.com/video/x2558pm

UFONet y DDoS en capa 7: https://github.com/epsylon/ufonet

Comparativa planes Cloudflare: https://www.cloudflare.com/es-es/plans/#compare-features

«Hacking DNS» con DNS Dumpster: https://dnsdumpster.com/

OWASP Top 10: https://owasp.org/Top10/es/

Apache 2 y PHP-FPM, seguridad y rendimiento

Apache 2.4 MPM «Event»: https://httpd.apache.org/docs/2.4/mod/event.html#page-header

PHP Mod-PHP – Fast-CGI vs FPM: https://blog.ahierro.es/php-mod_php-vs-cgi-vs-fastcgi-vs-fpm/

Calculadora de procesos FPM: https://spot13.com/pmcalculator/

Apache 2 y alto rendimiento en FPM: https://medium.com/@sbuckpesch/apache2-and-php-fpm-performance-optimization-step-by-step-guide-1bfecf161534

Varias de las Diapos que presenté:

Como siempre, agradecer a la organización y público el apoyo y compromiso. Para la próxima y como decía, prometo lleva la demo grabada (aunque sólo me dejé como un 30 % pte).

La entrada En Hack & Beers Gijón hablando de ataques DoS y optimización de Apache, NGINX y FPM se publicó primero en DaboBlog.

Conocí en persona a epsylon en 2013

Antes de esa fecha, ambos habíamos coincidido en otros temas como por ejemplo el 15 M (del que hablamos en el audio) y vaya buenos recuerdos por cierto cuando me veo ahí esas fotos de hace 10 años de AcampadaXixón (creo que fue la primera «tienda» que se montó en la plaza).

Tras ese 7 ENISE, surgió una amistad que perdurado estos años y se puede decir eso de: «hemos estado al día» en cuanto a nuestros proyectos y otros temas personales / vitales. Hago este apunte por contextualizar ya que el día de la grabación «se nos fue» un poco la duración y doy las gracias también públicamente a quien ha editado el audio ya que sé bien por mi experiencia con los podcasts, que no es fácil (y yo cometí algún error de novato;).

Podéis ver aquí en qué proyectos está trabajando epsylon actualmente (antes llevaba un «lord» delante-;). Los más conocidos son: «UFONet – Denial of Service Toolkit» y «XSSer«, un framework automático para para detectar, explotar y reportar vulnerabilidades XSS o ECOin (sí, la Mr Robot-;).

Código fuente: Podcast de hackers y para hackers»

El 17 de mayo me llegó un email suyo invitándome a participar en el proyecto que comparte con otra gente que está colaborando. Se trataba del podcast «Código Fuente: Podcast de hackers y para hackers»,con unas preguntas comunes para quienes vamos a participar, varios formatos (a la hora de grabar, en algún caso serán de «texto a voz»)  y con un sentido y objetivo común que  se cumplirá cuando estén completadas todas las entrevistas.

Por aquello de no soltar mucho spoiler ;D, no enumeraré las preguntas y respuestas, pero es interesante escuchar diferentes puntos de vista y respuestas a esos temas comunes. Ahí escucharás cuestiones de la vieja y nueva escuela, hacking, cracking, viring, phreaking, hacktivismo, Software Libre, etc.

También otras más transcendentales o filosóficas, todo ello con licencia con licencia, «Creative Commons Compartir-Igual 2.1» en Ivoox (también se escuchará en plataformas de radio analógicas) y «Dominio Público» en los audios que se están subiendo a archive.org.

En el audio mencioné la charla que di a alumnos de Periodismo en MorterueloCON 2016, hablando de Assange, Wikileaks, privacidad, etc.También de Snowden y Chelsea Manning. Hay una pregunta que no está respondida y que, por lo que comenté al principio y por temas de edición, no está en el audio y es la que «recomienda un libro», respondí «El enemigo conoce el Sistema» de Marta Peirano.

‘El enemigo conoce el sistema’, el sueño roto de una Internet libre

• «Cada época tiene su propio fascismo, y el nuestro difiere en muchos aspectos del que describe Orwell en los cuarenta (…). A nosotros nadie nos obliga a tener la telepantalla encendida. Nosotros mismos nos esmeramos en llevarla a todas partes, cargarla a todas horas, renovarla cada dos años y tenerla encendida todo el tiempo y programada para no perdernos un segundo de propaganda»

Sinceramente os lo recomiendo y más en estos tiempos que corren de polarización, manipulación, fascismo, populismos y fake news o Periodismo de WC.

Ahí va mi entrevista, os recomiendo prestar atención al feed porque vienen sorpresas ;).

Muchas gracias a epsylon y resto de gente del proyecto por contar conmigo.

Hablando de sorpresas y podcasts, quiero volver a grabar y lo haré cuando despeje algunas dudas y ponga en orden unas cuantas ideas. Lo que me sucede con «Kernel Panic» es que al final me he dado cuenta tras tantos años y 52 episodios que también para mucha gente es el suyo.

Y sí, volveré(mos) con Kernel Panic -;)

Ya tengo desde hace como un mes un grupo en Signal con Diego aka n1mh y forat denominado: «Kernel Panic» y con su ayuda y la colaboración de mucha gente (epsylon por cierto estará ahí;) con la que charlaré sobre diversos temas. El último audio es de 2014, han cambiado unas cuantas cosas en mi vida y daré un nuevo aire al podcast pero con la esencia de siempre.

No es cuestión de Hype, tengo mucho respeto a toda la gente que está esperando que vuelva el podcast y solo quiero aprovechar la ocasión para daros también las gracias por vuestra paciencia y apoyo.

Actualización 11/08/2021, gracias a las chicas de La 9 de Anonymous por aceptar mi invitación para participar en el proyecto  ♡♡♡   Podéis escucharlas como ellas mismo dicen «enlatadas» ;D y…de todo menos muertas !

La entrada En el Podcast «Código fuente: Podcast de hackers y para hackers» junto a epsylon se publicó primero en DaboBlog.

Con casi 100 ponentes y a través de Twitch con 4 salas simultáneas, se consiguió una importante cifra

A 24/05/2020:

Intervine en el evento en representación de APACHEctl y el objetivo era abordar la problemática y dar soluciones  a los que se enfrenta una PYME o autónomo a la hora de montar un e-Commerce. Bien si está pensando en llevar su negocio a Internet o si ya lo tiene y está teniendo un crecimiento en su tráfico.

Todo ello, intentando a aprovechar al máximo las posibilidades de configuración que tenemos a nuestro alcance y pensando como digo en el vídeo, en el mejor compromiso prestaciones / coste para el cliente, con la premisa de contener el precio mensual de hosting y no sobre-dimensionar  la infraestructura web innecesariamente (como muchas veces sucede).

Desde la organización, han subido a su canal de YouTube todos los vídeos y os recomiendo repasar la lista (que por cierto, yo tengo que ver unos cuantos). Os dejo con mi vídeo:

Seguridad y Optimización en Servidores VPS

Enlaces y recursos mencionados en las diapositivas

6 – Protonmail para empresas | iRedMail | MXToolbox

7 – Cloudflare (planes y precios) | CloudFail | DNSdumpster

9 – Monit | Pandora | Grafana | Munin | Nagios | Icinga

10 – Comparativa de Paneles de Adminstración

12 – Debian GNU/Linux, mi charla sobre «Seguridad y Software Libre»

14 – Apache vs NGINX

15 – MPM Prefork | MPM Worker | MPM Event | Directiva «ListenBacklog»

18 – Cabeceras y Seguridad en Apache: Security Headers

20 – Optimizando con Apache2Buddy | Rel: curl -sL apachebuddy.pl | perl

21 – Optimización de Apache2 y PHP-FPM

22 – Calculando procesos hijo en PHP-FPM

23 – Activando y optimizando OPCache | Funciones en PHP a deshabilitar

disable_functions =
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopp
ed,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_si
gnal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocma
sk,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setp
riority,system, exec, passthru, shell, shell_exec, popen, pclose, proc_nice,
proc_terminate, proc_get_status, proc_close, putenv, pfsockopen, leak,
apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid,
posix_setuid, escapeshellcmd, escapeshellarg, phpinfo, proc_open,
show_source, passthru

24 – Cómo optimizar MySQL con MySQLTunner

26 – Instalar y configurar Mod Evasive | Rel: más info en «The HackerWay»

27 – OWASP Top 10 (PDF) | «Top 10 Web Application Security Risks»

28 – Cómo asegurar SSH (en Kernelwikia) | Seguridad por Oscuridad (ForatDotInfo)

30 –Instalar APF Firewall desde el código fuente  (En Debian o Ubuntu, está vía apt o aptitude install apf-firewall) recomendable leer el «readme» de R -fx Networks, sus creadores.

31 – «Detectando y deteniendo escaneos de Red con Portsentry»

33 – Asegurando VPS con JackTheStripper | Libro Onna Bugeisha

34 –Rkhunter | Unhide | Logwatch | Logcheck | LMDE | Snort | ModSecurity

35 – Automysqlbackup (hay opción de cifrado) | Rsync | Kernel «GRsecurity»

36 – «Seguridad y Optimización de Servidores GLAMP» (pág 40) | Podcast «Especial SysAdmin» | Autobombo !?

También os recomiendo «sí o sí» instalar Fail2ban para parar ataques de fuerza bruta, además de usar los certificados SSL deLet’s Encrypt (junto a Certbot)

Y os recomiendo repasar este post sobre mi intervención en QurtubaCON 2017 en Córdoba.

Espero que toda esta información os resulte de utilidad junto al vídeo. Por mi parte, comentar para acabar que fue un placer participar en este evento y que la mejor noticia sería que no volviese a repetirse nunca (al menos por este motivo -;).

La entrada Seguridad y Optimización en Servers VPS en CoronaCON (vídeo y enlaces) se publicó primero en DaboBlog.

Tal y como se podía leer en la información original del CIFP:

El objetivo es sensibilizar sobre las amenazas a la ciberseguridad, promover la ciberseguridad entre los ciudadanos y las organizaciones y proporcionar recursos para protegerse a sí mismos en línea, a través de la educación y el intercambio de buenas prácticas.

Además de compartir espacio con Maria Goitia, Directora del Centro y Juan Carlos García, Presidente de la Fundación TAC (que hizo una presentación inicial hablando también de cuestiones de Seguridad) e Inés Menendez, profesora del Departamento de Informática del centro que clausuró el evento, tuve el placer de ver en acción al otro ponente invitado, César Granda (@CacharroHacks).

Clic para ampliar

La verdad es que me encantó su ponencia e hizo honor a su nick «Cacharro Hacks» ;) con un maletín lleno de material para Hackear (Piña Wifi, Bad USB, RFID, NFC, etc).

Después fue mi turno para hablar de problemas de seguridad comunes en Servidores y Aplicaciones web. Tras una exposición inicial, luego realice una demo con varios ataques usando tanto la Debian que corre en mi portátil, como otras dos en máquinas virtuales (sí, esta vez no opté por usar algún servidor en producción, sé que le da un toque más «real», pero ciertamente todo se pudo ver perfectamente y en un entorno más controlado).

Clic para ampliar

Creo que lo mejor para que podáis ver el planteamiento y demo que hice, es que os paséis por esta entrada sobre mi participación en Qurtuba Security Congres de hace dos años, donde tenéis la información necesaria para seguir el hilo y poder ver varias de las herramientas y técnicas que expuse (válida hoy en día).

También hice alusión al Software Libre y su seguridad. En este post de mi participación en las pasadas jornadas de Software Libre y Seguridad organizadas por HackLab Pica Pica, podéis ver la presentación en PDF (que contiene varios enlaces dentro) que mostré en mi introducción.

Para acabar, dar las gracias a la organización y asistentes por contar conmigo para estas jornadas de Ciberseguridad, en especial a José Antonio Sánchez que fue quien contactó inicialmente conmigo y con quien tuve el placer de coincidir impartiendo unas horas de formación en el Curso de Experto de Seguridad Perimetral de la Universidad de Oviedo.

La entrada Hablando de (in)Seguridad en Servidores y Aplicaciones Web en La Laboral se publicó primero en DaboBlog.