<?xml version="1.0" encoding="UTF-8"?><rss xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:atom="http://www.w3.org/2005/Atom" version="2.0" xmlns:itunes="http://www.itunes.com/dtds/podcast-1.0.dtd" xmlns:googleplay="http://www.google.com/schemas/play-podcasts/1.0"><channel><title><![CDATA[Hurón del Hack]]></title><description><![CDATA[Porque quiero compartir mi experiencia y aprender. No soy maestro, soy un estudiante sin objetivo alguno.]]></description><link>https://huronhack.substack.com</link><image><url>https://substackcdn.com/image/fetch/$s_!mk2y!,w_256,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fhuronhack.substack.com%2Fimg%2Fsubstack.png</url><title>Hurón del Hack</title><link>https://huronhack.substack.com</link></image><generator>Substack</generator><lastBuildDate>Sun, 12 Jul 2026 06:35:27 GMT</lastBuildDate><atom:link href="https://huronhack.substack.com/feed" rel="self" type="application/rss+xml"/><copyright><![CDATA[El Hurón del Hack]]></copyright><language><![CDATA[es]]></language><webMaster><![CDATA[chabiangulo@gmail.com]]></webMaster><itunes:owner><itunes:email><![CDATA[chabiangulo@gmail.com]]></itunes:email><itunes:name><![CDATA[Hurón Hack]]></itunes:name></itunes:owner><itunes:author><![CDATA[Hurón Hack]]></itunes:author><googleplay:owner><![CDATA[chabiangulo@gmail.com]]></googleplay:owner><googleplay:email><![CDATA[chabiangulo@gmail.com]]></googleplay:email><googleplay:author><![CDATA[Hurón Hack]]></googleplay:author><itunes:block><![CDATA[Yes]]></itunes:block><item><title><![CDATA[#13 Hardening WordPress: 10 cambios que puedes hacer hoy sin tocar código]]></title><description><![CDATA[Despu&#233;s de cada auditor&#237;a encuentro las mismas configuraciones inseguras. Aqu&#237; est&#225;n.]]></description><link>https://huronhack.substack.com/p/13-hardening-wordpress-10-cambios</link><guid isPermaLink="false">https://huronhack.substack.com/p/13-hardening-wordpress-10-cambios</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 10 Jul 2026 07:00:49 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div><hr></div><p>Cuando hago una auditor&#237;a de seguridad en un WordPress, el 90% de las instalaciones tienen los mismos problemas. No porque los propietarios sean descuidados, sino porque nadie les explic&#243; qu&#233; configurar al instalar.</p><p>La buena noticia: la mayor&#237;a de estos cambios se hacen desde el panel de administraci&#243;n, sin tocar una sola l&#237;nea de c&#243;digo y sin necesidad de contratar a nadie.</p><div><hr></div><div><hr></div><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!MqA4!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!MqA4!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 424w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 848w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1272w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!MqA4!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png" width="500" height="500" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:500,&quot;width&quot;:500,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:173424,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!MqA4!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 424w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 848w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1272w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>&#191;Necesitas informaci&#243;n? osint[.]aragonosint.com</p><div><hr></div><h2>Tema de la semana</h2><h3>Hardening WordPress: 10 cambios que puedes hacer hoy</h3><p><strong>1. Limita los intentos de login</strong></p><p>Por defecto, WordPress permite intentar contrase&#241;as indefinidamente. Un atacante puede probar miles de combinaciones de forma automatizada sin que nadie lo detenga. Un plugin como Limit Login Attempts Reloaded bloquea una IP despu&#233;s de un n&#250;mero definido de intentos fallidos. Instalaci&#243;n y configuraci&#243;n: cinco minutos.</p><p><strong>2. Activa el doble factor en el login</strong></p><p>Con un plugin como WP 2FA, cada vez que alguien inicie sesi&#243;n en tu WordPress necesitar&#225; confirmar su identidad con una app de autenticaci&#243;n. Aunque alguien obtenga tu contrase&#241;a, no puede entrar sin el segundo factor.</p><p><strong>3. Desactiva XML-RPC<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> si no lo usas</strong></p><p>XML-RPC es una interfaz que permite comunicaci&#243;n remota con WordPress. Tiene usos leg&#237;timos (apps m&#243;viles, Jetpack) pero tambi&#233;n es un vector habitual de ataques de fuerza bruta<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> y DDoS. Si no la usas, desact&#237;vala. El plugin Disable XML-RPC lo hace en un clic.</p><p><strong>4. Cambia la URL de acceso al panel</strong></p><p>La URL por defecto <code>tudominio.com/wp-admin</code> es conocida por todos los atacantes. Cambiarla no es una protecci&#243;n completa &#8212; es security through obscurity<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a> &#8212; pero reduce el ruido de ataques automatizados. Plugin: WPS Hide Login.</p><p><strong>5. Desactiva la edici&#243;n de archivos desde el panel</strong></p><p>WordPress permite editar archivos de temas y plugins directamente desde el panel de administraci&#243;n. Si alguien compromete una cuenta de administrador, puede modificar archivos del servidor desde el navegador. A&#241;ade esta l&#237;nea al archivo <code>wp-config.php</code>: <code>define('DISALLOW_FILE_EDIT', true);</code>. Esta es la &#250;nica que requiere tocar un archivo.</p><p><strong>6. Oculta la versi&#243;n de WordPress</strong></p><p>WordPress incluye la versi&#243;n en el c&#243;digo fuente de la web por defecto. Si est&#225;s desactualizado, eso facilita identificar vulnerabilidades conocidas. Con un plugin de seguridad como Wordfence<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a> puedes eliminarlo en un clic.</p><p><strong>7. Revisa los roles y usuarios activos</strong></p><p>&#191;Hay usuarios con rol de Administrador que ya no trabajan en el proyecto? &#191;Cuentas de agencias externas que ya no gestionan la web? Usuarios &#8594; Todos los usuarios &#8594; revisa la lista y elimina o reduce el rol de quienes no deber&#237;an tener acceso completo.</p><p><strong>8. Fuerza HTTPS en toda la web</strong></p><p>Si tu web ya tiene certificado SSL<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> pero a&#250;n sirve p&#225;ginas en HTTP, cualquier comunicaci&#243;n no cifrada es interceptable. Aseg&#250;rate de que tienes una redirecci&#243;n 301 de HTTP a HTTPS activa y que el certificado SSL est&#225; configurado correctamente. Tu hosting probablemente tiene Let&#8217;s Encrypt disponible de forma gratuita.</p><p><strong>9. Mant&#233;n actualizados WordPress, temas y plugins</strong></p><p>El 90% de los compromisos en WordPress se deben a versiones desactualizadas con vulnerabilidades conocidas y publicadas. Las actualizaciones de seguridad deben aplicarse lo antes posible. Si no las vas a revisar manualmente cada semana, activa las actualizaciones autom&#225;ticas para las actualizaciones menores de WordPress.</p><p><strong>10. Instala un plugin de seguridad b&#225;sico</strong></p><p>Wordfence en su versi&#243;n gratuita incluye firewall, esc&#225;ner de malware, monitorizaci&#243;n de intentos de login y alertas por email. No es la soluci&#243;n definitiva, pero a&#241;ade una capa de detecci&#243;n que WordPress no tiene por defecto.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>&#191;No tienes un seguro de ciber riesgo? Aqu&#237; te ayudan&#8230;</strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cRw2!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" width="349" height="224" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:224,&quot;width&quot;:349,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:12423,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://palominoseguros.com/seguro-de-ciberriesgo/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://palominoseguros.com/seguro-de-ciberriesgo/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Para llevar</h2><p>Los tres cambios de mayor impacto si solo tienes tiempo para hacer tres:</p><p><strong>1. Limita los intentos de login (Limit Login Attempts Reloaded).</strong><br>Es el cambio m&#225;s inmediato contra ataques de fuerza bruta. Instalaci&#243;n y configuraci&#243;n en cinco minutos desde el repositorio de plugins de WordPress.</p><p><strong>2. Activa doble factor en todas las cuentas de administrador.</strong><br>Aunque alguien obtenga la contrase&#241;a de un administrador, no podr&#225; entrar sin el segundo factor. WP 2FA es gratuito y funciona con cualquier app de autenticaci&#243;n.</p><p><strong>3. Revisa y limpia los usuarios con acceso de administrador.</strong><br>Es frecuente encontrar cuentas de desarrolladores, agencias o colaboradores que ya no deber&#237;an tener acceso. Cinco minutos en Usuarios &#8594; Todos los usuarios pueden eliminar vectores de entrada innecesarios.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>Expertos en proteger su empresa y <mark data-color="rgba(255, 255, 255, 0)" style="background-color: rgba(255, 255, 255, 0); color: rgb(0, 0, 0);">datos digitales.</mark></strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cxle!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" width="300" height="100" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:100,&quot;width&quot;:300,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:13342,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><ul><li><p><strong>SOC 24/7 (Centro de Operaciones de Seguridad)</strong></p></li><li><p><strong>CISO as a Service</strong></p></li><li><p><strong>Formaci&#243;n bonificada en ciberseguridad (FUNDAE)</strong></p></li><li><p><strong>Backup profesional</strong></p></li></ul><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://datadefendsolutions.com/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://datadefendsolutions.com/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#14 &#183; Vishing: la llamada del banco que no es del banco</strong></p><p>Saben tu nombre. Conocen tu n&#250;mero de cuenta. Te dicen que hay una transacci&#243;n sospechosa y que necesitan verificar tu identidad. Todo parece leg&#237;timo. La semana que viene te explico c&#243;mo funciona el vishing, por qu&#233; es tan efectivo y qu&#233; tienes que hacer cuando recibes una llamada as&#237;.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si tienes un WordPress y llevas tiempo pensando que habr&#237;a que revisarlo, esta lista es un buen punto de partida. No hace falta hacerlo todo a la vez: elige los tres puntos de arriba y empieza por ah&#237;.</p><p>Si prefieres que lo revisemos juntos o quieres que haga yo la implementaci&#243;n, escr&#237;beme. Te digo qu&#233; tiene tu instalaci&#243;n y qu&#233; prioridad tiene cada cosa.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si conoces a alguien con una web WordPress que nunca la ha revisado por dentro, p&#225;sale este n&#250;mero.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>XML-RPC:</strong> Protocolo de comunicaci&#243;n remota que WordPress incluye por defecto. Permite ejecutar operaciones en WordPress desde aplicaciones externas, pero tambi&#233;n es usado en ataques de fuerza bruta y amplificaci&#243;n DDoS.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Fuerza bruta:</strong> Ataque que prueba sistem&#225;ticamente combinaciones de usuario y contrase&#241;a hasta encontrar una v&#225;lida. Herramientas automatizadas pueden probar miles de combinaciones por segundo.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>Security through obscurity:</strong> Estrategia de seguridad que oculta detalles del sistema (como la URL de login) para dificultar ataques. No es una protecci&#243;n s&#243;lida por s&#237; sola, pero reduce el ruido de ataques automatizados no dirigidos.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>Wordfence:</strong> Plugin de seguridad para WordPress con versi&#243;n gratuita que incluye firewall de aplicaciones web, esc&#225;ner de malware, protecci&#243;n contra fuerza bruta y alertas en tiempo real.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>SSL/TLS:</strong> Protocolos de cifrado que protegen la comunicaci&#243;n entre el navegador del usuario y el servidor web. Visualmente se identifica por el candado y el protocolo HTTPS en la URL.</p><p></p><p></p></div></div>]]></content:encoded></item><item><title><![CDATA[#12 Cómo investigar un dominio antes de confiar en él]]></title><description><![CDATA[Antes de hacer clic, dos minutos de investigaci&#243;n pueden ahorrarte muchos problemas.]]></description><link>https://huronhack.substack.com/p/12-como-investigar-un-dominio-antes</link><guid isPermaLink="false">https://huronhack.substack.com/p/12-como-investigar-un-dominio-antes</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 03 Jul 2026 07:01:39 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div><hr></div><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!MqA4!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!MqA4!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 424w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 848w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1272w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!MqA4!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png" width="500" height="500" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:500,&quot;width&quot;:500,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:173424,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!MqA4!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 424w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 848w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1272w, https://substackcdn.com/image/fetch/$s_!MqA4!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4968e2ca-348a-4146-b9d4-b7131b848180_500x500.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p style="text-align: center;"><em><strong>&#191;Necesitas informaci&#243;n? osint[.]aragonosint.com</strong></em></p><div><hr></div><p>Un cliente me reenvi&#243; un email la semana pasada. Le hab&#237;a llegado de un proveedor con el que trabaja habitualmente, pero algo no cuadraba: el dominio<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> del remitente era <code>empresa-facturacion.com</code> en lugar del habitual <code>empresa.com</code>.</p><p>Le pregunt&#233; cu&#225;ndo hab&#237;an registrado ese dominio. No lo sab&#237;a. Nadie se hab&#237;a fijado.</p><p>Hac&#237;a tres d&#237;as. El dominio ten&#237;a tres d&#237;as de antig&#252;edad. Era una suplantaci&#243;n.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>&#191;No tienes un seguro de ciber riesgo? Aqu&#237; te ayudan&#8230;</strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cRw2!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" width="349" height="224" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:224,&quot;width&quot;:349,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:12423,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://palominoseguros.com/seguro-de-ciberriesgo/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://palominoseguros.com/seguro-de-ciberriesgo/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Tema de la semana</h2><h3>C&#243;mo investigar un dominio antes de confiar en &#233;l</h3><p>No hace falta ser t&#233;cnico para obtener informaci&#243;n &#250;til sobre un dominio. Con herramientas gratuitas y accesibles puedes saber en pocos minutos qui&#233;n registr&#243; un dominio, cu&#225;ndo, desde d&#243;nde opera y si tiene historial de actividad maliciosa.</p><p><strong>Lo primero: la edad del dominio</strong></p><p>Un dominio reci&#233;n registrado que simula ser una empresa consolidada es una se&#241;al de alerta inmediata. Los dominios de phishing<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> se crean d&#237;as o semanas antes de lanzar la campa&#241;a, porque las empresas leg&#237;timas llevan a&#241;os o d&#233;cadas con el mismo dominio.</p><p>Puedes consultar la fecha de registro en cualquier servicio WHOIS<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a>: whois.domaintools.com, who.is o directamente buscando <code>whois nombredominio.com</code> en Google. La fecha de creaci&#243;n aparece en los primeros resultados.</p><p><strong>WHOIS: qui&#233;n hay detr&#225;s</strong></p><p>El registro WHOIS muestra qui&#233;n registr&#243; el dominio, en qu&#233; pa&#237;s, cu&#225;ndo y en qu&#233; registrador<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a>. En muchos casos los datos est&#225;n ocultos por servicios de privacidad, lo cual no es necesariamente sospechoso &#8212; muchos propietarios leg&#237;timos los ocultan. Pero si el dominio finge ser una empresa espa&#241;ola y el registrante aparece en un pa&#237;s sin relaci&#243;n, merece investigarlo m&#225;s.</p><p><strong>VirusTotal: historial de reputaci&#243;n</strong></p><p>VirusTotal.com<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> permite analizar un dominio contra decenas de motores de detecci&#243;n de malware y bases de datos de reputaci&#243;n. Si el dominio ha sido usado para phishing, distribuci&#243;n de malware o spam, aparecer&#225; marcado. Tambi&#233;n muestra el historial de IPs asociadas y si han tenido actividad maliciosa.</p><p>Un dominio limpio en VirusTotal no garantiza que sea leg&#237;timo &#8212; puede ser nuevo y todav&#237;a no estar catalogado &#8212; pero uno que aparece marcado es descarte inmediato.</p><p><strong>La b&#250;squeda en Google</strong></p><p>Algo tan simple como buscar el dominio entre comillas en Google (<code>"empresa-facturacion.com"</code>) puede revelar si hay menciones en foros de seguridad, reportes de scam o discusiones sobre actividad fraudulenta. Tambi&#233;n puedes buscar <code>site:nombredominio.com</code> para ver qu&#233; p&#225;ginas tiene indexadas.</p><p><strong>Verificar el dominio real de la empresa</strong></p><p>Si recibes comunicaci&#243;n supuestamente de una empresa conocida desde un dominio que no reconoces, la verificaci&#243;n m&#225;s directa es ir a la web oficial de esa empresa &#8212; busc&#225;ndola en Google, no haciendo clic en el enlace del correo &#8212; y comparar el dominio oficial con el del remitente.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>Expertos en proteger su empresa y <mark data-color="rgba(255, 255, 255, 0)" style="background-color: rgba(255, 255, 255, 0); color: rgb(0, 0, 0);">datos digitales.</mark></strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cxle!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" width="300" height="100" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:100,&quot;width&quot;:300,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:13342,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><ul><li><p><strong>SOC 24/7 (Centro de Operaciones de Seguridad)</strong></p></li><li><p><strong>CISO as a Service</strong></p></li><li><p><strong>Formaci&#243;n bonificada en ciberseguridad (FUNDAE)</strong></p></li><li><p><strong>Backup profesional</strong></p></li></ul><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://datadefendsolutions.com/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://datadefendsolutions.com/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Para llevar</h2><p>Tres comprobaciones r&#225;pidas ante cualquier dominio dudoso:</p><p><strong>1. Busca la fecha de registro en WHOIS.</strong><br>Entra en who.is y escribe el dominio. Si tiene menos de seis meses y simula ser una empresa establecida, desconf&#237;a.</p><p><strong>2. Anal&#237;zalo en VirusTotal.</strong><br>virustotal.com &#8594; pesta&#241;a Search &#8594; escribe el dominio. Mira especialmente la columna de vendors que lo marcan como malicioso y las IPs hist&#243;ricas asociadas.</p><p><strong>3. Busca el dominio en Google entre comillas.</strong><br><code>"dominiodudoso.com"</code> &#8212; si hay reportes de actividad maliciosa en foros o comunidades de seguridad, aparecer&#225;n en los primeros resultados.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#13 &#183; Hardening WordPress: 10 cambios que puedes hacer hoy sin tocar c&#243;digo</strong></p><p>Despu&#233;s de una auditor&#237;a siempre encuentro las mismas configuraciones inseguras. La semana que viene te doy la lista de los cambios m&#225;s efectivos que puedes hacer en tu WordPress en menos de una hora, sin necesidad de editar c&#243;digo ni contratar a nadie.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>La pr&#243;xima vez que recibas un email con un enlace o un dominio que no reconoces del todo, ded&#237;cale dos minutos antes de hacer clic. No es paranoia. Es el mismo sentido com&#250;n que aplicas cuando un desconocido te llama por tel&#233;fono.</p><p>Si tienes dudas sobre un dominio concreto y no sabes interpretar lo que encuentras, escr&#237;beme. Te digo en cinco minutos si hay algo de lo que preocuparse.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si trabajas con proveedores externos y recibes comunicaciones por email regularmente, esta edici&#243;n es especialmente relevante para ti.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Dominio typosquatting:</strong> Registro de dominios con peque&#241;as variaciones ortogr&#225;ficas de marcas o empresas conocidas (<code>empresa-facturacion.com</code>, <code>empres&#1072;.com</code> con caracteres similares de otros alfabetos) para enga&#241;ar a usuarios desprevenidos.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Phishing:</strong> T&#233;cnica de enga&#241;o que suplanta la identidad de una entidad de confianza (banco, proveedor, empresa) para obtener credenciales, datos personales o pagos. Normalmente usa dominios similares al original pero con peque&#241;as variaciones.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>WHOIS:</strong> Base de datos p&#250;blica que registra informaci&#243;n sobre los propietarios de dominios: nombre, organizaci&#243;n, pa&#237;s, fecha de registro y de expiraci&#243;n, registrador. En muchos casos los datos personales est&#225;n ocultos por servicios de privacidad, pero la fecha de registro siempre es visible.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>Registrador de dominios:</strong> Empresa autorizada para vender y gestionar el registro de nombres de dominio. El registrador aparece en la informaci&#243;n WHOIS y puede dar pistas sobre el origen del dominio.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>VirusTotal:</strong> Servicio gratuito de Google que analiza archivos, URLs y dominios contra m&#225;s de 70 motores antivirus y bases de datos de reputaci&#243;n. &#218;til para comprobar si un dominio ha sido usado en campa&#241;as maliciosas.</p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com">huronhack.substack.com</a></em></p><p></p></div></div>]]></content:encoded></item><item><title><![CDATA[#11 Contraseñas en 2026: lo que sigues haciendo mal]]></title><description><![CDATA[No es cuesti&#243;n de complejidad. Es cuesti&#243;n de h&#225;bitos.]]></description><link>https://huronhack.substack.com/p/11-contrasenas-en-2026-lo-que-sigues</link><guid isPermaLink="false">https://huronhack.substack.com/p/11-contrasenas-en-2026-lo-que-sigues</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 26 Jun 2026 07:01:52 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Hace unas semanas revis&#233; las credenciales de acceso de un cliente antes de empezar una auditor&#237;a. Ten&#237;a contrase&#241;as como <code>Empresa2023!</code> o <code>Madrid2024#</code>. Variaciones del mismo patr&#243;n para cada servicio. Lo t&#237;pico.</p><p>Cuando le pregunt&#233; si usaba un gestor de contrase&#241;as<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> me dijo que no lo necesitaba, que las suyas eran seguras porque ten&#237;an may&#250;sculas, n&#250;meros y s&#237;mbolos.</p><p>El problema no era la complejidad. Era que las reutilizaba.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>Expertos en proteger su empresa y <mark data-color="rgba(255, 255, 255, 0)" style="background-color: rgba(255, 255, 255, 0); color: rgb(0, 0, 0);">datos digitales.</mark></strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cxle!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" width="300" height="100" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:100,&quot;width&quot;:300,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:13342,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a></figure></div><ul><li><p><strong>SOC 24/7 (Centro de Operaciones de Seguridad)</strong></p></li><li><p><strong>CISO as a Service</strong></p></li><li><p><strong>Formaci&#243;n bonificada en ciberseguridad (FUNDAE)</strong></p></li><li><p><strong>Backup profesional</strong></p></li></ul><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://datadefendsolutions.com/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://datadefendsolutions.com/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Tema de la semana</h2><h3>Contrase&#241;as en 2026: lo que sigues haciendo mal</h3><p><strong>El error m&#225;s extendido: reutilizar contrase&#241;as</strong></p><p>Una contrase&#241;a puede ser perfectamente compleja y seguir siendo un problema si la usas en m&#225;s de un sitio. Cuando una plataforma sufre una filtraci&#243;n de datos &#8212; y ocurre constantemente &#8212; los atacantes prueban esas credenciales en todos los servicios conocidos. Correo, banca online, redes sociales. Es autom&#225;tico. Se llama credential stuffing<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> y no requiere ninguna sofisticaci&#243;n t&#233;cnica.</p><p>Si usas la misma contrase&#241;a en tu correo y en una tienda online donde compraste algo hace tres a&#241;os, ese correo est&#225; en riesgo aunque la tienda online no tenga nada que ver con tu empresa.</p><p><strong>Longitud por encima de complejidad</strong></p><p><code>Correcto-Caballo-Bater&#237;a-Grapas</code> es m&#225;s segura que <code>C0rr3ct0!</code>. Una frase de cuatro palabras aleatorias supera en entrop&#237;a<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a> a cualquier contrase&#241;a corta con caracteres especiales, y es incomparablemente m&#225;s f&#225;cil de recordar.</p><p>Las pol&#237;ticas de contrase&#241;as que exigen may&#250;sculas, n&#250;meros y s&#237;mbolos en 8 caracteres est&#225;n desfasadas. Son dif&#237;ciles de recordar, f&#225;ciles de predecir en sus patrones (<code>Empresa1!</code>) y no a&#241;aden tanta seguridad como simplemente aumentar la longitud.</p><p><strong>Los gestores de contrase&#241;as: por qu&#233; s&#237;</strong></p><p>La objeci&#243;n m&#225;s com&#250;n es &#8220;y si me hackean el gestor, pierdo todo&#8221;. Es una preocupaci&#243;n leg&#237;tima, pero el riesgo de usar contrase&#241;as d&#233;biles o reutilizadas es incomparablemente mayor. Los gestores modernos cifran localmente antes de sincronizar: ni el propio servicio puede leer tus contrase&#241;as.</p><p>Con un gestor de contrase&#241;as usas una contrase&#241;a maestra fuerte para todo lo dem&#225;s, y cada servicio tiene su propia contrase&#241;a &#250;nica generada aleatoriamente. No tienes que recordar nada m&#225;s que una.</p><p>Opciones s&#243;lidas: Bitwarden (gratuito y de c&#243;digo abierto), 1Password, KeePassXC (local, sin sincronizaci&#243;n en la nube si lo prefieres).</p><p><strong>El doble factor</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a><strong> que importa</strong></p><p>Activar la verificaci&#243;n en dos pasos con SMS es mejor que nada, pero tiene sus l&#237;mites. Los ataques de SIM swapping<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> pueden interceptar esos c&#243;digos. Si puedes elegir, usa una app de autenticaci&#243;n (Google Authenticator, Aegis, Authy) o mejor a&#250;n una clave de hardware f&#237;sica.</p><p>Lo m&#237;nimo recomendable: doble factor activado en tu correo principal y en todos los servicios financieros. Esas dos cosas protegen el 80% de lo que importa.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>&#191;No tienes un seguro de ciber riesgo? Aqu&#237; te ayudan&#8230;</strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cRw2!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" width="349" height="224" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:224,&quot;width&quot;:349,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:12423,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://palominoseguros.com/seguro-de-ciberriesgo/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://palominoseguros.com/seguro-de-ciberriesgo/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Para llevar</h2><p>Tres acciones para esta semana:</p><p><strong>1. Revisa si alguna de tus contrase&#241;as ha sido filtrada.</strong><br>Entra en haveibeenpwned.com<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a> y busca tu direcci&#243;n de correo. Si aparece en filtraciones, cambia esas contrase&#241;as ya &#8212; especialmente si las has reutilizado en otros sitios.</p><p><strong>2. Instala un gestor de contrase&#241;as y empieza por los servicios m&#225;s cr&#237;ticos.</strong><br>Correo, banca, acceso al trabajo. No hace falta migrar todo a la vez. Empieza por los tres m&#225;s importantes y ve a&#241;adiendo.</p><p><strong>3. Activa el doble factor en tu correo principal si no lo tienes.</strong><br>Preferiblemente con una app de autenticaci&#243;n, no con SMS. Tarda cinco minutos y es probablemente el cambio de mayor impacto que puedes hacer hoy en tu seguridad digital.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#12 &#183; C&#243;mo investigar un dominio antes de confiar en &#233;l</strong></p><p>Recibes un email con un enlace. O un proveedor te pasa su web. O alguien te propone una colaboraci&#243;n y quieres saber si es lo que dice ser. La semana que viene te ense&#241;o qu&#233; informaci&#243;n puedes obtener de un dominio en pocos minutos, sin herramientas de pago y sin conocimientos t&#233;cnicos.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si llevas a&#241;os con el mismo sistema de contrase&#241;as y sabes en el fondo que no es el &#243;ptimo, este es el momento de hacer el cambio. No hace falta hacerlo todo a la vez.</p><p>Si tienes dudas sobre qu&#233; gestor elegir o c&#243;mo configurar el doble factor en un servicio concreto, escr&#237;beme. Te oriento sin compromiso.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si conoces a alguien que todav&#237;a usa <code>123456</code> o variaciones del nombre de su empresa, p&#225;sale esta edici&#243;n.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Gestor de contrase&#241;as:</strong> Software que almacena y cifra todas tus contrase&#241;as, permiti&#233;ndote usar contrase&#241;as &#250;nicas y complejas para cada servicio sin necesidad de recordarlas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Credential stuffing:</strong> Ataque automatizado que prueba combinaciones de usuario y contrase&#241;a obtenidas de filtraciones anteriores en otros servicios. Funciona porque muchas personas reutilizan las mismas credenciales en varios sitios.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>Entrop&#237;a (contrase&#241;as):</strong> Medida de la imprevisibilidad de una contrase&#241;a. A mayor entrop&#237;a, m&#225;s dif&#237;cil de adivinar por fuerza bruta. Las contrase&#241;as largas tienen m&#225;s entrop&#237;a que las cortas aunque sean m&#225;s complejas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>Doble factor (2FA):</strong> M&#233;todo de autenticaci&#243;n que combina algo que sabes (contrase&#241;a) con algo que tienes (tu tel&#233;fono, una llave f&#237;sica). Aunque alguien conozca tu contrase&#241;a, no puede acceder sin el segundo factor.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>SIM swapping:</strong> Ataque en el que el atacante convence a la operadora de telefon&#237;a para transferir tu n&#250;mero de tel&#233;fono a una SIM bajo su control. Permite interceptar los SMS de verificaci&#243;n en dos pasos.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p><strong>Have I Been Pwned:</strong> Servicio gratuito de Troy Hunt que permite comprobar si una direcci&#243;n de correo o contrase&#241;a ha aparecido en filtraciones de datos conocidas.</p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com">huronhack.substack.com</a></em></p></div></div>]]></content:encoded></item><item><title><![CDATA[#10 Ingeniería social en LinkedIn: tu perfil como mapa para atacarte]]></title><description><![CDATA[No necesitan hackear tus sistemas. T&#250; ya les das la informaci&#243;n.]]></description><link>https://huronhack.substack.com/p/10-ingenieria-social-en-linkedin</link><guid isPermaLink="false">https://huronhack.substack.com/p/10-ingenieria-social-en-linkedin</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 19 Jun 2026 07:01:36 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Hace unos meses un directivo me cont&#243; que hab&#237;a recibido un correo muy bien hecho: le llamaban por su nombre, mencionaban el proyecto en el que estaba trabajando en ese momento, citaban a su responsable directo por su nombre y apellidos, y le ped&#237;an que verificara un acceso urgente a un sistema interno.</p><p>Todo era falso. Pero todo lo necesario para construir ese correo estaba en LinkedIn.</p><p>El proyecto, mencionado en una actualizaci&#243;n de estado que hab&#237;a publicado &#233;l mismo. El nombre del responsable, visible en su perfil. Las herramientas que usaba la empresa, en la secci&#243;n de habilidades de varios empleados. La estructura del equipo, reconstruida en diez minutos mirando el organigrama impl&#237;cito que forma una empresa en LinkedIn.</p><p>La ingenier&#237;a social<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> no necesita hackear nada. Necesita informaci&#243;n. Y LinkedIn es una fuente extraordinaria.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>&#191;No tienes un seguro de ciber riesgo? Aqu&#237; te ayudan&#8230;</strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cRw2!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" width="349" height="224" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:224,&quot;width&quot;:349,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:12423,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://palominoseguros.com/seguro-de-ciberriesgo/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://palominoseguros.com/seguro-de-ciberriesgo/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Tema de la semana</h2><h3>Ingenier&#237;a social en LinkedIn: tu perfil como mapa para atacarte</h3><p>LinkedIn est&#225; dise&#241;ado para que compartas informaci&#243;n profesional. Eso es exactamente lo que lo hace valioso para un reconocimiento<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> previo a un ataque.</p><p><strong>Qu&#233; encuentra un atacante en tu perfil</strong></p><p>Tu nombre completo y foto &#8212; necesario para personalizar el ataque y para hacer que parezca que te conocen. Tu empresa actual y tu cargo &#8212; define el objetivo y el nivel de acceso que probablemente tienes. Tu historial de empresas anteriores &#8212; &#250;til para ataques de suplantaci&#243;n de exempleados o proveedores conocidos. Las herramientas y tecnolog&#237;as que dominas &#8212; indica qu&#233; software usa tu empresa y por d&#243;nde podr&#237;a entrar un ataque. Tus proyectos y logros descritos en el perfil &#8212; material para construir mensajes cre&#237;bles y personalizados. Tus conexiones &#8212; el organigrama de tu empresa, con nombres reales y cargos.</p><p><strong>Lo que se puede hacer con esa informaci&#243;n</strong></p><p>Con el nombre del responsable de TI y el nombre de los sistemas que usa la empresa, se puede construir un correo suplantando al proveedor de ese software para pedir acceso o credenciales.</p><p>Con el nombre de un compa&#241;ero de trabajo y el contexto de un proyecto, se puede enviar un mensaje haci&#233;ndose pasar por &#233;l desde una cuenta que imita ligeramente su nombre o correo.</p><p>Con la foto de perfil de un directivo, en casos m&#225;s sofisticados, se puede crear un perfil falso que use su imagen para contactar a empleados con solicitudes aparentemente leg&#237;timas.</p><p>Con el historial de empresas anteriores, se puede intentar un ataque haci&#233;ndose pasar por un antiguo proveedor o colaborador al que nadie recuerda perfectamente.</p><p><strong>El perfil no es el &#250;nico problema</strong></p><p>Los empleados tambi&#233;n publican actualizaciones: &#8220;empezamos a usar la nueva plataforma de gesti&#243;n&#8221;, &#8220;esta semana reuni&#243;n de equipo para definir la estrategia del Q3&#8221;, &#8220;primer d&#237;a en el nuevo proyecto con [nombre del cliente]&#8221;. Cada publicaci&#243;n a&#241;ade contexto que un atacante puede usar.</p><p>Las ofertas de empleo tambi&#233;n revelan informaci&#243;n valiosa: qu&#233; tecnolog&#237;as usa la empresa, qu&#233; proyectos tiene en marcha, c&#243;mo est&#225; estructurado el equipo t&#233;cnico.</p><p><strong>&#191;Hay que dejar de usar LinkedIn?</strong></p><p>No. LinkedIn es una herramienta leg&#237;tima y &#250;til para el trabajo. El objetivo no es desaparecer, sino ser consciente de qu&#233; se comparte y ajustar lo que se puede ajustar.</p><p>La privacidad total en una red profesional es imposible. Pero hay una diferencia entre tener un perfil profesional visible y tener un mapa detallado de la infraestructura t&#233;cnica de tu empresa en la secci&#243;n de habilidades de veinte empleados.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>Expertos en proteger su empresa y <mark data-color="rgba(255, 255, 255, 0)" style="background-color: rgba(255, 255, 255, 0); color: rgb(0, 0, 0);">datos digitales.</mark></strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cxle!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" width="300" height="100" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:100,&quot;width&quot;:300,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:13342,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><ul><li><p><strong>SOC 24/7 (Centro de Operaciones de Seguridad)</strong></p></li><li><p><strong>CISO as a Service</strong></p></li><li><p><strong>Formaci&#243;n bonificada en ciberseguridad (FUNDAE)</strong></p></li><li><p><strong>Backup profesional</strong></p></li></ul><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://datadefendsolutions.com/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://datadefendsolutions.com/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Para llevar</h2><p>Tres ajustes que reducen la exposici&#243;n sin afectar al uso profesional de la plataforma:</p><p><strong>1. Revisa qu&#233; informaci&#243;n t&#233;cnica tienes en la secci&#243;n de habilidades.</strong><br>Listar &#8220;Office&#8221; o &#8220;gesti&#243;n de equipos&#8221; no da informaci&#243;n sensible. Listar el nombre exacto del ERP<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a> que usa tu empresa, el sistema de control de accesos o las herramientas de seguridad interna s&#237; lo hace. Quita lo que describe la infraestructura y deja lo que describe tus capacidades profesionales.</p><p><strong>2. Configura la privacidad de tus conexiones para que no sean visibles p&#250;blicamente.</strong><br>Ajustes &#8594; Visibilidad &#8594; Visibilidad de tu lista de conexiones &#8594; Solo t&#250;. Con esto evitas que alguien reconstruya el organigrama de tu empresa mirando a qui&#233;n conoces. Sigue viendo tus conexiones &#8212; simplemente los dem&#225;s no.</p><p><strong>3. Antes de publicar una actualizaci&#243;n que mencione proyectos, clientes o tecnolog&#237;a interna, piensa si es informaci&#243;n que deber&#237;a ser p&#250;blica.</strong><br>El entusiasmo por compartir logros es comprensible. Pero &#8220;hemos implementado con &#233;xito el nuevo sistema de backup en la nube usando [herramienta concreta]&#8221; es tambi&#233;n un aviso a quien busca puntos de entrada.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#11 &#183; Contrase&#241;as en 2026: lo que sigues haciendo mal</strong></p><p>Los gestores de contrase&#241;as existen desde hace a&#241;os. Las recomendaciones son las mismas desde hace una d&#233;cada. Y aun as&#237; el 80% de las filtraciones de datos siguen empezando por una contrase&#241;a d&#233;bil o reutilizada. La semana que viene vemos por qu&#233; pasa eso, qu&#233; hace realmente un gestor de contrase&#241;as y por qu&#233; es el cambio con mejor ratio de esfuerzo respecto a protecci&#243;n que puedes hacer.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si despu&#233;s de leer esto te has ido a revisar tu perfil de LinkedIn, bien. Ese es exactamente el punto.</p><p>No se trata de entrar en p&#225;nico ni de borrar la cuenta. Se trata de hacer una revisi&#243;n consciente de qu&#233; est&#225;s compartiendo y ajustar lo que puedes ajustar sin que afecte a c&#243;mo usas la plataforma para lo que sirve.</p><p>Si quieres que revisemos la exposici&#243;n de tu empresa en redes sociales y fuentes abiertas &#8212; qu&#233; imagen tiene tu organizaci&#243;n desde fuera para alguien que busca activamente &#8212; escr&#237;beme. Es uno de los servicios m&#225;s &#250;tiles que puedo hacer antes de una auditor&#237;a.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Llevamos ya diez semanas &#8212; si has llegado hasta aqu&#237;, gracias por seguir al otro lado. Si hay un tema que quieras que trate o algo de lo que hemos visto que quieras profundizar, responde a este correo y me lo cuentas.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Ingenier&#237;a social:</strong> T&#233;cnica de manipulaci&#243;n psicol&#243;gica para obtener informaci&#243;n confidencial o acceso a sistemas. En lugar de atacar la tecnolog&#237;a, ataca a las personas aprovechando confianza, urgencia o contexto cre&#237;ble.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Reconocimiento:</strong> Primera fase de un ataque o auditor&#237;a de seguridad. Consiste en recopilar la mayor cantidad posible de informaci&#243;n sobre el objetivo antes de actuar. LinkedIn es una herramienta de reconocimiento involuntaria para muchas empresas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>ERP:</strong> Enterprise Resource Planning. Sistema de software integrado que gestiona los procesos de negocio de una empresa (contabilidad, RRHH, inventario, producci&#243;n). Nombrar el ERP concreto que usa tu empresa en tu perfil de LinkedIn indica a un atacante qu&#233; software tiene como objetivo.</p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com">huronhack.substack.com</a></em></p></div></div>]]></content:encoded></item><item><title><![CDATA[#9 Shodan: el buscador que encuentra dispositivos, no páginas web]]></title><description><![CDATA[Hay un buscador que ve tu infraestructura. Y no es Google.]]></description><link>https://huronhack.substack.com/p/9-shodan-el-buscador-que-encuentra</link><guid isPermaLink="false">https://huronhack.substack.com/p/9-shodan-el-buscador-que-encuentra</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 12 Jun 2026 07:01:31 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Cuando hago la fase de reconocimiento en un trabajo de auditor&#237;a, una de las primeras herramientas que abro es Shodan<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a>. No para buscar la web del cliente, sino para ver qu&#233; tiene conectado a internet sin que quiz&#225;s sepa que est&#225; visible.</p><p>En una ocasi&#243;n encontr&#233; una c&#225;mara de seguridad de las instalaciones de una empresa que respond&#237;a sin contrase&#241;a. En otra, un panel de administraci&#243;n de un sistema de climatizaci&#243;n de una oficina accesible directamente desde internet. En otro caso, una impresora con el firmware<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> de 2016 sin actualizar, expuesta con su IP p&#250;blica<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a>.</p><p>Todo eso sin haber entrado a ning&#250;n sistema. Solo mirando lo que Shodan ya ten&#237;a indexado.</p><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>Expertos en proteger su empresa y <mark data-color="rgba(255, 255, 255, 0)" style="background-color: rgba(255, 255, 255, 0); color: rgb(0, 0, 0);">datos digitales.</mark></strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cxle!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png" width="300" height="100" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:100,&quot;width&quot;:300,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:13342,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cxle!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 424w, https://substackcdn.com/image/fetch/$s_!cxle!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 848w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1272w, https://substackcdn.com/image/fetch/$s_!cxle!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6bbde203-a190-423b-827f-dbab7c7ca699_300x100.png 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a></figure></div><ul><li><p><strong>SOC 24/7 (Centro de Operaciones de Seguridad)</strong></p></li><li><p><strong>CISO as a Service</strong></p></li><li><p><strong>Formaci&#243;n bonificada en ciberseguridad (FUNDAE)</strong></p></li><li><p><strong>Backup profesional</strong></p></li></ul><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://datadefendsolutions.com/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://datadefendsolutions.com/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>Tema de la semana</h2><h3>Shodan: el buscador que encuentra dispositivos, no p&#225;ginas web</h3><p>Google rastrea p&#225;ginas web &#8212; el contenido que est&#225;n dise&#241;adas para mostrar. Shodan hace otra cosa: rastrea todo lo que est&#225; conectado a internet y responde a una solicitud de red. No le importa si tiene interfaz web o no. Si hay algo escuchando en un puerto<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a>, Shodan lo registra.</p><p><strong>Qu&#233; encuentra Shodan</strong></p><p>Cualquier dispositivo con IP p&#250;blica que responda: servidores web, c&#225;maras de seguridad IP, routers y switches con paneles de administraci&#243;n accesibles, sistemas industriales SCADA<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a>, impresoras en red, sistemas de dom&#243;tica y control de edificios, dispositivos m&#233;dicos conectados, y sistemas de almacenamiento NAS<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a> expuestos.</p><p>Para cada dispositivo indexado, Shodan muestra la IP, la localizaci&#243;n aproximada, el sistema operativo si se puede determinar, los puertos abiertos y los servicios que corren en ellos, y en muchos casos el banner<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-7" href="#footnote-7" target="_self">7</a> del servicio &#8212; la informaci&#243;n que el servicio muestra al conectarse, que puede incluir versi&#243;n del software y nombre del sistema.</p><p><strong>Por qu&#233; importa para una empresa normal</strong></p><p>La mayor&#237;a de empresas no tienen sistemas industriales ni infraestructura cr&#237;tica. Pero s&#237; tienen cosas que pueden acabar en Shodan sin que nadie lo haya decidido conscientemente.</p><p>Una c&#225;mara IP instalada por un t&#233;cnico externo que abri&#243; el puerto en el router para acceder en remoto y nunca lo cerr&#243;. Una NAS con los archivos de la empresa configurada para acceso remoto con la contrase&#241;a de f&#225;brica. Un panel de administraci&#243;n del router que el proveedor de internet dej&#243; accesible desde fuera. Un servidor de desarrollo que alguien levant&#243; hace dos a&#241;os y nadie recuerda que existe.</p><p>Todo eso es visible en Shodan para cualquiera que sepa buscar. No hace falta ser un atacante sofisticado &#8212; la b&#250;squeda b&#225;sica de Shodan es gratuita y no requiere conocimientos t&#233;cnicos especiales.</p><p><strong>La b&#250;squeda m&#225;s simple que puedes hacer</strong></p><p>Shodan permite buscar por nombre de organizaci&#243;n, por rango de IPs, o simplemente poniendo el nombre de tu empresa o dominio. Una b&#250;squeda b&#225;sica con la IP p&#250;blica de tu oficina muestra todo lo que Shodan ha indexado de esa direcci&#243;n.</p><p>Lo que encuentres puede ser perfectamente leg&#237;timo y bien configurado. O puede ser la primera vez que ves que tienes algo expuesto que no ten&#237;as intenci&#243;n de exponer.</p><p><strong>El problema de los dispositivos olvidados</strong></p><p>Los sistemas instalados hace a&#241;os y nunca actualizados son especialmente problem&#225;ticos porque acumulan vulnerabilidades conocidas. Una c&#225;mara de 2018 con el firmware original puede tener diez fallos de seguridad documentados p&#250;blicamente. Shodan tambi&#233;n indexa qu&#233; versi&#243;n de software corre cada dispositivo, lo que facilita enormemente el trabajo de quien busca objetivos vulnerables.</p><p></p><div><hr></div><h2>Para llevar</h2><p>Tres acciones concretas para este viernes:</p><p><strong>1. Busca tu empresa en Shodan.</strong><br>Ve a shodan.io y en el buscador escribe el nombre de tu empresa o tu dominio. Con cuenta gratuita puedes ver resultados b&#225;sicos. Si aparece algo que no esperabas, ap&#250;ntalo &#8212; es el punto de partida para investigar.</p><p><strong>2. Pregunta a quien gestiona vuestra red qu&#233; puertos est&#225;n abiertos hacia internet.</strong><br>Si nadie sabe la respuesta, eso ya es informaci&#243;n relevante. Una auditor&#237;a b&#225;sica de puertos expuestos es una de las primeras cosas que deber&#237;a conocerse sobre la infraestructura de una empresa.</p><p><strong>3. Revisa los dispositivos con acceso remoto que hay en la oficina.</strong><br>C&#225;maras, NAS, routers, impresoras. &#191;Alguno tiene el acceso remoto activado? &#191;Con qu&#233; credenciales? &#191;Desde cu&#225;ndo? &#191;Qui&#233;n lo configur&#243;? Si no tienes respuestas claras para todos, merece la pena investigarlo.</p><div><hr></div><div class="callout-block" data-callout="true"><p style="text-align: center;"><strong>&#191;No tienes un seguro de ciber riesgo? Aqu&#237; te ayudan&#8230;</strong></p></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cRw2!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg" width="349" height="224" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:224,&quot;width&quot;:349,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:12423,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!cRw2!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 424w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 848w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!cRw2!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F00b86c1c-5bc2-4299-8389-d4e062eec4a1_349x224.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://palominoseguros.com/seguro-de-ciberriesgo/&quot;,&quot;text&quot;:&quot;M&#225;s informaci&#243;n&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://palominoseguros.com/seguro-de-ciberriesgo/"><span>M&#225;s informaci&#243;n</span></a></p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#10 &#183; Ingenier&#237;a social en LinkedIn: tu perfil como mapa para atacarte</strong></p><p>Tu perfil de LinkedIn tiene nombre, cargo, empresa, proyectos, herramientas que usas y compa&#241;eros de trabajo. Todo eso es exactamente lo que necesita alguien que quiere construir un ataque dirigido contra ti o tu organizaci&#243;n. La semana que viene te explico qu&#233; informaci&#243;n expones sin darte cuenta y qu&#233; puedes hacer para reducirla sin dejar de usar la plataforma.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si esta semana haces la b&#250;squeda en Shodan y encuentras algo inesperado, no entres en p&#225;nico. La mayor&#237;a de las veces hay una explicaci&#243;n y una soluci&#243;n t&#233;cnica relativamente sencilla.</p><p>Si no sabes interpretar lo que ves o quieres que revisemos qu&#233; tiene tu infraestructura expuesto, escr&#237;beme. Miramos juntos lo que hay y te digo qu&#233; tiene prioridad real.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si alguien de tu entorno gestiona la infraestructura tecnol&#243;gica de una empresa, puede que esta edici&#243;n le resulte &#250;til &#8212; p&#225;sasela.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div><hr></div><p></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Shodan:</strong> Buscador especializado que indexa dispositivos conectados a internet (c&#225;maras, routers, servidores, impresoras, sistemas industriales) en lugar de p&#225;ginas web. Muestra puertos abiertos, versiones de software y otra informaci&#243;n t&#233;cnica de cada dispositivo.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Firmware:</strong> Software permanente instalado en un dispositivo hardware (c&#225;mara, router, impresora) que controla su funcionamiento b&#225;sico. Si no se actualiza, acumula vulnerabilidades conocidas que los atacantes pueden explotar.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>IP p&#250;blica:</strong> Direcci&#243;n num&#233;rica &#250;nica asignada a un dispositivo directamente accesible desde internet. Es la direcci&#243;n que Shodan indexa para identificar qu&#233; servicios tiene expuestos ese dispositivo.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>Puerto (red):</strong> Canal num&#233;rico de comunicaci&#243;n en un dispositivo de red. Cada servicio usa un puerto espec&#237;fico (80 para HTTP, 443 para HTTPS, 22 para SSH...). Los puertos abiertos visibles en Shodan indican qu&#233; servicios tiene expuestos un dispositivo.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>SCADA:</strong> Sistemas de Control y Adquisici&#243;n de Datos. Software y hardware usados para monitorizar y controlar infraestructuras industriales (plantas el&#233;ctricas, redes de agua, producci&#243;n). Cuando est&#225;n expuestos a internet sin protecci&#243;n, son objetivos cr&#237;ticos.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p><strong>NAS:</strong> Network-Attached Storage. Dispositivo de almacenamiento conectado a la red que permite a varios usuarios acceder a archivos centralizados. Si est&#225; mal configurado y expuesto a internet, puede contener copias de seguridad o documentos accesibles por cualquiera.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-7" href="#footnote-anchor-7" class="footnote-number" contenteditable="false" target="_self">7</a><div class="footnote-content"><p><strong>Banner:</strong> Informaci&#243;n que un servicio muestra autom&#225;ticamente al conectarse. Suele incluir el nombre del software y su versi&#243;n. Es una de las principales fuentes de informaci&#243;n en Shodan para identificar versiones vulnerables sin acceder al sistema.</p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com">huronhack.substack.com</a></em></p></div></div>]]></content:encoded></item><item><title><![CDATA[#8 Señales de que tu WordPress ha sido hackeado y no te has enterado]]></title><description><![CDATA[Tu web parece normal. Puede que no lo est&#233;.]]></description><link>https://huronhack.substack.com/p/8-senales-de-que-tu-wordpress-ha</link><guid isPermaLink="false">https://huronhack.substack.com/p/8-senales-de-que-tu-wordpress-ha</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 05 Jun 2026 07:01:14 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Una de las cosas que m&#225;s me repiten los clientes cuando les digo que tienen un problema en su web es: &#8220;pero si funciona con normalidad, yo la veo bien&#8221;.</p><p>Eso es exactamente lo que quiere el atacante.</p><p>Los compromisos silenciosos &#8212; los que no gritan, no desfiguran la portada y no muestran mensaje de hackeo &#8212; son los m&#225;s habituales y los m&#225;s rentables. Tu web funciona para ti. Pero mientras tanto est&#225; enviando miles de correos de spam, redirigiendo a tus visitantes m&#243;viles a p&#225;ginas de farmacia online o usando tu servidor para atacar a otros.</p><p>T&#250; no ves nada. Ellos llevan semanas trabajando.</p><div><hr></div><h2>Tema de la semana</h2><h3>Se&#241;ales de que tu WordPress ha sido hackeado y no te has enterado</h3><p>No todas las se&#241;ales son obvias. Algunas requieren fijarse en cosas que normalmente no revisamos. Aqu&#237; van las m&#225;s frecuentes.</p><p><strong>Google avisa antes que t&#250;</strong></p><p>Google Search Console<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> puede enviarte alertas cuando detecta contenido malicioso en tu web. Muchos propietarios de webs no tienen Search Console configurado, o lo tienen pero no revisan las alertas. Si entras y ves avisos de &#8220;contenido enga&#241;oso&#8221; o &#8220;software no deseado&#8221;, tu web lleva tiempo comprometida.</p><p>Tambi&#233;n puedes hacer una b&#250;squeda r&#225;pida: escribe <code>site:tudominio.com</code> en Google y mira los resultados. Si aparecen p&#225;ginas en japon&#233;s, ruso, chino o con nombres de medicamentos que no reconoces, tienes un compromiso activo. Es uno de los ataques m&#225;s habituales: el atacante indexa miles de p&#225;ginas de spam SEO<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> dentro de tu dominio para posicionar su contenido usando tu autoridad.</p><p><strong>Tu web redirige a los usuarios m&#243;viles a otro sitio</strong></p><p>Si accedes desde el escritorio, ves tu web normal. Si accedes desde el m&#243;vil, te redirige a otra p&#225;gina. Este ataque est&#225; dise&#241;ado espec&#237;ficamente para que el propietario no lo detecte, porque t&#250; casi siempre revisas tu web desde el ordenador.</p><p>Pru&#233;balo: accede a tu web desde el navegador del m&#243;vil, o usa las herramientas de desarrollador del navegador para simular un dispositivo m&#243;vil (F12 &#8594; icono de m&#243;vil en Chrome).</p><p><strong>Tu hosting te avisa de uso an&#243;malo de recursos</strong></p><p>Si recibes notificaciones de que tu web est&#225; consumiendo m&#225;s CPU o ancho de banda de lo habitual sin que haya cambiado el tr&#225;fico real, puede ser que algo est&#233; corriendo en segundo plano. Los mineros de criptomonedas y los scripts de spam son grandes consumidores de recursos del servidor.</p><p><strong>Aparecen archivos o usuarios que no reconoces</strong></p><p>Revisa el gestor de archivos de tu hosting o accede por FTP<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a>. Si hay archivos PHP con nombres gen&#233;ricos en carpetas donde no deber&#237;a haber c&#243;digo &#8212; especialmente en uploads &#8212; es una se&#241;al de alerta. Tambi&#233;n revisa los usuarios administradores de WordPress: Usuarios &#8594; Todos los usuarios &#8594; Administrador.</p><p><strong>Tus correos llegan como spam o tu dominio est&#225; en listas negras</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a></p><p>Si de repente los correos que env&#237;as desde tu dominio caen en la carpeta de spam de tus destinatarios, puede que tu servidor est&#233; siendo usado para enviar spam y tu dominio haya acabado en listas negras. Puedes comprobarlo en herramientas gratuitas como MXToolbox<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> o Google Postmaster Tools.</p><p><strong>Tu web ha bajado de posiciones en Google de forma brusca</strong></p><p>Una ca&#237;da repentina en el posicionamiento puede tener varias causas, pero una de ellas es que Google haya detectado contenido malicioso o t&#233;cnicas de spam SEO y haya penalizado el dominio. Si llevas un tiempo sin cambiar nada y el tr&#225;fico org&#225;nico cae en picado, merece la pena investigar.</p><div><hr></div><h2>Para llevar</h2><p>Tres comprobaciones que puedes hacer hoy mismo en menos de diez minutos:</p><p><strong>1. Busca </strong><code>site:tudominio.com</code><strong> en Google y revisa los resultados.</strong> &#191;Aparecen p&#225;ginas que no reconoces? &#191;T&#237;tulos en otros idiomas? &#191;Contenido de spam o medicamentos? Si la respuesta es s&#237;, tienes trabajo urgente. Si todo parece normal, bien, pero repite la b&#250;squeda cada mes.</p><p><strong>2. Accede a tu web desde el m&#243;vil y comprueba que no hay redireccionamientos.</strong> Usa el navegador nativo del m&#243;vil, no aplicaciones de escritorio. Si te lleva a otro sitio o ves un comportamiento distinto al de escritorio, hay algo instalado que lo est&#225; haciendo.</p><p><strong>3. Revisa los usuarios administradores de WordPress.</strong> Usuarios &#8594; Todos los usuarios &#8594; filtra por Administrador. Si hay alguno que no reconoces &#8212; aunque tenga pinta de nombre gen&#233;rico normal &#8212; elim&#237;nalo y cambia la contrase&#241;a de todos los administradores reales.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#9 &#183; Shodan: el buscador que encuentra dispositivos, no p&#225;ginas web</strong></p><p>Google indexa contenido. Shodan indexa dispositivos: c&#225;maras, routers, impresoras, servidores industriales, sistemas de control de edificios. Todo lo que est&#225; conectado a internet y responde. La semana que viene te explico qu&#233; es, qu&#233; puede encontrar cualquiera sobre tus sistemas y qu&#233; significa para la seguridad de tu infraestructura.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si llevas tiempo sin revisar tu WordPress por dentro, esta semana es buen momento para hacer las tres comprobaciones de arriba.</p><p>No es un proceso t&#233;cnico. No hace falta tocar c&#243;digo. Son miradas r&#225;pidas que te dan una imagen real de c&#243;mo est&#225; tu web en este momento.</p><p>Si encuentras algo que no terminas de interpretar o quieres que lo revisemos juntos, escr&#237;beme. Te digo qu&#233; tiene importancia real y qu&#233; no.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si tienes una web WordPress y no la has revisado en meses, esta edici&#243;n est&#225; escrita para ti &#8212; y probablemente tambi&#233;n para alguien que conoces.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong> Consultor de Ciberseguridad <a href="https://chabiangulo.com/">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Google Search Console:</strong> Herramienta gratuita de Google para propietarios de webs. Permite ver c&#243;mo aparece el sitio en los resultados de b&#250;squeda y recibir alertas si Google detecta contenido malicioso o software no deseado.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Spam SEO:</strong> T&#233;cnica de ataque que inserta miles de p&#225;ginas falsas dentro de un sitio web leg&#237;timo para aprovechar su reputaci&#243;n en Google y posicionar contenido fraudulento. Puede aparecer en idiomas extra&#241;os (japon&#233;s, chino, ruso) o con nombres de medicamentos.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>FTP:</strong> File Transfer Protocol. Protocolo est&#225;ndar para transferir archivos entre un cliente y un servidor. Permite acceder al sistema de archivos del hosting para revisar si hay archivos maliciosos o no reconocidos.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>Lista negra (blacklist):</strong> Base de datos que registra dominios o direcciones IP conocidos por enviar spam o alojar contenido malicioso. Si tu dominio est&#225; en una lista negra, tus correos llegar&#225;n directamente a la carpeta de spam de tus destinatarios.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>MXToolbox:</strong> Herramienta online gratuita para comprobar si un dominio o IP est&#225; incluido en listas negras de spam y para analizar la configuraci&#243;n de correo de un dominio.</p><p></p></div></div>]]></content:encoded></item><item><title><![CDATA[#7 Por qué el SMS como segundo factor ya no vale]]></title><description><![CDATA[El segundo factor est&#225; bien. Que sea un SMS, no tanto.]]></description><link>https://huronhack.substack.com/p/7-por-que-el-sms-como-segundo-factor</link><guid isPermaLink="false">https://huronhack.substack.com/p/7-por-que-el-sms-como-segundo-factor</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 29 May 2026 07:02:57 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Cada vez que hablo con alguien sobre seguridad en sus cuentas, tarde o temprano sale la misma frase: &#8220;s&#237;, tengo el doble factor activado&#8221;. Y casi siempre, cuando pregunto c&#243;mo, la respuesta es &#8220;me manda un SMS&#8221;.</p><p>Me alegra que lo tengan activado. De verdad. El segundo factor<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> cambia completamente el perfil de riesgo de una cuenta. Pero el SMS es la opci&#243;n m&#225;s fr&#225;gil de todas las que existen, y hay alternativas igual de c&#243;modas que funcionan mucho mejor.</p><p>Hoy te explico por qu&#233;.</p><div><hr></div><h3>Por qu&#233; el SMS como segundo factor ya no vale</h3><p>El concepto de segundo factor es s&#243;lido: para entrar en una cuenta no basta con saber la contrase&#241;a, tambi&#233;n necesitas demostrar que tienes acceso a algo f&#237;sico. Una contrase&#241;a puede robarse a distancia; un dispositivo f&#237;sico, en teor&#237;a, no.</p><p>El problema del SMS es que no es tan f&#237;sico como parece.</p><p><strong>SIM Swapping</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a><strong> &#8212; cuando tu n&#250;mero deja de ser tuyo</strong></p><p>El SIM swapping es un ataque donde alguien convence a tu operadora de telefon&#237;a de que eres t&#250; y solicita que tu n&#250;mero de tel&#233;fono se transfiera a una SIM que controla el atacante. A partir de ese momento, todos los SMS que van a tu n&#250;mero los recibe &#233;l.</p><p>Para conseguirlo, el atacante necesita algunos datos personales b&#225;sicos &#8212; nombre, DNI, a veces la direcci&#243;n &#8212; informaci&#243;n que en muchos casos se puede obtener de filtraciones de datos, redes sociales o llamadas de ingenier&#237;a social directamente a la v&#237;ctima.</p><p>Una vez con el n&#250;mero, accede al correo, al banco, a los servicios que usan SMS como segundo factor. Y t&#250; no te enteras hasta que tu tel&#233;fono pierde la cobertura.</p><p><strong>SS7</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a><strong> &#8212; el protocolo roto que nadie ha arreglado</strong></p><p>SS7 es el protocolo que usan las operadoras de telefon&#237;a para enrutar llamadas y mensajes entre redes. Fue dise&#241;ado en los a&#241;os 80 con la premisa de que solo los operadores de telecomunicaciones tendr&#237;an acceso a &#233;l. Esa premisa lleva a&#241;os siendo incorrecta.</p><p>Con acceso a la red SS7 &#8212; algo que est&#225; al alcance de actores con recursos &#8212; se pueden interceptar SMS sin necesidad de tocar el tel&#233;fono de la v&#237;ctima ni contactar con la operadora. El mensaje simplemente se desv&#237;a antes de llegar.</p><p><strong>Lo que s&#237; funciona mejor</strong></p><p>Las aplicaciones de autenticaci&#243;n &#8212; Google Authenticator, Authy, Microsoft Authenticator &#8212; generan c&#243;digos de seis d&#237;gitos que cambian cada 30 segundos y se calculan en el propio dispositivo. No pasan por la red de telefon&#237;a. No se pueden interceptar por SS7. No dependen de la operadora.</p><p>Las llaves de seguridad f&#237;sica<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a> &#8212; dispositivos como YubiKey &#8212; son a&#250;n m&#225;s robustas. Se conectan al puerto USB o se acercan al tel&#233;fono por NFC<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> y confirman el acceso de forma f&#237;sica. Sin c&#243;digo, sin SMS, sin aplicaci&#243;n.</p><p>Para la mayor&#237;a de cuentas del d&#237;a a d&#237;a &#8212; correo, gestor de contrase&#241;as, banca, plataformas con informaci&#243;n sensible &#8212; una aplicaci&#243;n de autenticaci&#243;n es un salto de seguridad enorme respecto al SMS y requiere el mismo tiempo de configuraci&#243;n.</p><p><strong>&#191;Deber&#237;a entonces quitar el SMS si es lo &#250;nico que tengo?</strong></p><p>No. Un SMS es mejor que nada. Si actualmente tienes SMS y pasarte a una app te da pereza, esa cuenta sigue siendo m&#225;s segura que sin segundo factor. Pero si puedes elegir entre SMS y una app al configurar el segundo factor, elige siempre la app.</p><div><hr></div><h2>Para llevar</h2><p>Tres pasos concretos para mejorar la situaci&#243;n esta semana:</p><p><strong>1. Instala una aplicaci&#243;n de autenticaci&#243;n en tu m&#243;vil.</strong><br>Google Authenticator, Authy o Microsoft Authenticator son gratuitas, f&#225;ciles de usar y est&#225;n disponibles para iOS y Android. Con esto ya tienes la infraestructura lista.</p><p><strong>2. Empieza por las cuentas m&#225;s cr&#237;ticas: correo y gestor de contrase&#241;as.</strong><br>El correo electr&#243;nico es la llave maestra de casi todo lo dem&#225;s &#8212; con acceso a tu correo, un atacante puede resetear la contrase&#241;a de cualquier servicio. Protegerlo bien es la prioridad n&#250;mero uno.</p><p><strong>3. Al configurar el segundo factor, guarda los c&#243;digos de recuperaci&#243;n en un lugar seguro.</strong><br>Cuando activas una app de autenticaci&#243;n<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a>, el servicio te da c&#243;digos de emergencia para usarlos si pierdes el m&#243;vil. Impr&#237;melos y gu&#225;rdalos f&#237;sicamente, o m&#233;telos en un gestor de contrase&#241;as. Si los pierdes y pierdes el m&#243;vil, quedas bloqueado fuera de tu propia cuenta.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#8 &#183; Se&#241;ales de que tu WordPress ha sido hackeado y no te has enterado</strong></p><p>Los compromisos en WordPress no siempre se ven. A veces tu web funciona con normalidad mientras sirve spam, redirige visitantes a otras p&#225;ginas o mina criptomonedas en segundo plano. La semana que viene, las se&#241;ales que deber&#237;as conocer y c&#243;mo revisarlas sin necesidad de ser t&#233;cnico.</p><div><hr></div><p><strong>&#8212; En el blog esta semana &#8212;</strong></p><p>Esta semana he publicado algo que llevaba tiempo queriendo escribir.</p><p>La historia de Tron. Boris Floricic. Un hacker alem&#225;n del Chaos Computer Club que con 26 a&#241;os ya hab&#237;a clonado tarjetas SIM, roto la televisi&#243;n de pago y creado uno de los primeros tel&#233;fonos con cifrado de voz de la historia. Lo llam&#243; Cryptophon. Era 1998.</p><p>El 17 de octubre de ese mismo a&#241;o desapareci&#243; de casa de su madre en Berl&#237;n. Cinco d&#237;as despu&#233;s encontraron su cuerpo colgado en un parque. La polic&#237;a dictamin&#243; suicidio. Su familia y el CCC nunca se lo creyeron.</p><p>28 a&#241;os despu&#233;s, la duda sigue ah&#237;.</p><p>No es un art&#237;culo t&#233;cnico. Es sobre por qu&#233; importa recordar a gente como &#233;l. Porque la privacidad de las comunicaciones no es un debate nuevo. Alguien ya la estaba defendiendo con c&#243;digo hace casi tres d&#233;cadas.</p><p><a href="https://chabiangulo.com/tron-el-hacker-que-murio-con-26-anos-y-sigue-dando-que-hablar/">https://chabiangulo.com/tron-el-hacker-que-murio-con-26-anos-y-sigue-dando-que-hablar/</a></p><h2>Hasta la pr&#243;xima</h2><p>Si esta semana activas una app de autenticaci&#243;n en tu cuenta de correo, ya has hecho m&#225;s por la seguridad de tus cuentas que el 80% de la gente.</p><p>No exagero. Es uno de esos cambios peque&#241;os con impacto real.</p><p>Si tienes dudas sobre c&#243;mo configurarlo en un servicio concreto o quieres que revisemos la seguridad de las cuentas de tu empresa, escr&#237;beme. Te oriento sin rodeos.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si conoces a alguien que usa SMS como segundo factor en cuentas cr&#237;ticas, p&#225;sale esta edici&#243;n &#8212; igual esta semana da el paso.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Segundo factor de autenticaci&#243;n (2FA/MFA):</strong> Capa adicional de seguridad que exige verificar la identidad con algo m&#225;s que la contrase&#241;a. Puede ser un SMS, un c&#243;digo de una app, una llave f&#237;sica o una huella dactilar.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>SIM Swapping:</strong> Ataque en el que alguien convence a la operadora de telefon&#237;a de que es la v&#237;ctima y solicita que su n&#250;mero se transfiera a una SIM que controla el atacante. A partir de ese momento, todos los SMS &#8212; incluidos los c&#243;digos de verificaci&#243;n &#8212; van al atacante.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>SS7:</strong> Protocolo de telecomunicaciones dise&#241;ado en los a&#241;os 80 para enrutar llamadas y mensajes entre operadoras. Sus vulnerabilidades permiten interceptar SMS sin tocar el tel&#233;fono de la v&#237;ctima ni contactar con la operadora.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>Llave de seguridad f&#237;sica:</strong> Dispositivo f&#237;sico (como YubiKey) que confirma la identidad del usuario conect&#225;ndose por USB o NFC. No genera c&#243;digos &#8212; la autenticaci&#243;n es f&#237;sica y no interceptable a distancia.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>NFC:</strong> Near Field Communication. Tecnolog&#237;a de comunicaci&#243;n inal&#225;mbrica de muy corto alcance (pocos cent&#237;metros). Usada en pagos con m&#243;vil y en llaves de seguridad f&#237;sica para autenticaci&#243;n sin contacto.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p><strong>App de autenticaci&#243;n (TOTP):</strong> Aplicaci&#243;n m&#243;vil (Google Authenticator, Authy, Microsoft Authenticator) que genera c&#243;digos de verificaci&#243;n de seis d&#237;gitos que cambian cada 30 segundos. Los c&#243;digos se calculan en el propio dispositivo y no pasan por la red de telefon&#237;a.</p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com">huronhack.substack.com</a></em></p></div></div>]]></content:encoded></item><item><title><![CDATA[#6 El phishing que no parece phishing]]></title><description><![CDATA[Ya no llega con faltas de ortograf&#237;a. Ahora llega como un correo tuyo.]]></description><link>https://huronhack.substack.com/p/6-el-phishing-que-no-parece-phishing</link><guid isPermaLink="false">https://huronhack.substack.com/p/6-el-phishing-que-no-parece-phishing</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 22 May 2026 07:01:07 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Una clienta me llam&#243; hace unos meses bastante nerviosa. Alguien le hab&#237;a enviado un correo respondiendo a una conversaci&#243;n que ella hab&#237;a tenido con un proveedor. El correo ten&#237;a el mismo asunto, los mismos nombres, el mismo hilo de emails por debajo. Lo &#250;nico que hab&#237;a cambiado era el n&#250;mero de cuenta para el pago.</p><p>El correo del proveedor real hab&#237;a sido comprometido. Alguien lo hab&#237;a le&#237;do, esperado al momento oportuno y se hab&#237;a colado en la conversaci&#243;n haci&#233;ndose pasar por &#233;l.</p><p>Eso no es el phishing<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> de siempre. Eso es otra cosa.</p><div><hr></div><h3>El phishing que no parece phishing</h3><p>El phishing cl&#225;sico lo hemos aprendido a identificar: el correo del banco con el logo mal puesto, las faltas de ortograf&#237;a, el enlace que no lleva al dominio real. Ya no cuela tanto. Entonces los ataques evolucionaron.</p><p><strong>Business Email Compromise (BEC)</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a><strong> &#8212; el fraude del correo leg&#237;timo</strong></p><p>Es lo que le pas&#243; a mi clienta. El atacante no crea un correo falso desde cero &#8212; accede a un correo real, lo lee durante d&#237;as o semanas, identifica conversaciones en marcha y se inserta en ellas en el momento preciso. Para el receptor, todo parece normal: el asunto es el mismo, el hist&#243;rico del hilo est&#225; ah&#237;, el nombre y el correo son correctos.</p><p>La se&#241;al de alerta suele ser una sola: algo ha cambiado en los datos de pago o en las instrucciones habituales. Ese cambio es el ataque.</p><p><strong>Spear phishing</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a><strong>  &#8212; personalizado con tu informaci&#243;n</strong></p><p>En lugar de enviar el mismo correo a miles de personas, el atacante hace los deberes antes. Busca tu nombre, tu cargo, el nombre de tu empresa, los proyectos en los que est&#225;s trabajando, qui&#233;n es tu responsable directo. Con eso construye un correo que parece venir de alguien que te conoce.</p><p>&#8220;Hola Chabi, te paso el informe que me pediste para la reuni&#243;n del martes&#8221; &#8212; escrito con tu nombre real, mencionando una reuni&#243;n que s&#237; tienes, con un archivo adjunto que al abrirlo instala algo en el equipo.</p><p><strong>QRishing</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a><strong>  &#8212; el phishing a trav&#233;s de c&#243;digos QR</strong></p><p>Los c&#243;digos QR se han normalizado en los &#250;ltimos a&#241;os y eso los hace &#250;tiles como vector de ataque. Recibes un correo o un documento f&#237;sico con un QR que te pide que escanees para &#8220;verificar tu cuenta&#8221; o &#8220;acceder al documento&#8221;. El QR lleva a una p&#225;gina de login que parece leg&#237;tima pero que captura tus credenciales.</p><p>La ventaja para el atacante: la URL no aparece hasta que escaneas, y muchos gestores de correo no analizan el contenido de las im&#225;genes en busca de enlaces maliciosos.</p><p><strong>Vishing</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a><strong> y smishing</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a><strong> &#8212; voz y SMS</strong></p><p>El phishing no llega solo por correo. Las llamadas de voz donde alguien se hace pasar por el banco, por soporte t&#233;cnico de Microsoft o por un proveedor de servicios son habituales. Lo mismo con los SMS: &#8220;tu paquete est&#225; retenido, haz clic aqu&#237; para pagar los gastos de aduanas&#8221;.</p><p><strong>El denominador com&#250;n de todos estos ataques</strong></p><p>Crean urgencia o normalidad. O te presionan para que act&#250;es r&#225;pido (&#8221;si no verificas en 24 horas, se cancela tu cuenta&#8221;) o hacen que todo parezca tan normal que no hay motivo para sospechar. En ninguno de los dos casos hay tiempo para pensar con calma.</p><div><hr></div><h2>Para llevar</h2><p>Tres h&#225;bitos que reducen el riesgo sin necesitar conocimientos t&#233;cnicos:</p><p><strong>1. Si algo cambia en los datos bancarios de un proveedor, verifica por otro canal antes de ejecutar el pago.</strong><br>No respondas al mismo correo preguntando si el cambio es real. Llama al tel&#233;fono que ya ten&#237;as de antes, no al que aparece en ese mensaje. Este paso ha evitado muchas transferencias fraudulentas.</p><p><strong>2. Antes de escanear un QR que llega por correo, mira bien de d&#243;nde viene el mensaje.</strong><br>Los QR leg&#237;timos de servicios que usas habitualmente no suelen aparecer de repente en un correo que no esperabas. Si no reconoces el contexto, no lo escanees.</p><p><strong>3. Ante cualquier solicitud urgente que llegue por correo o mensaje, para un momento.</strong><br>La urgencia es la herramienta principal de estos ataques. Un atacante que dice &#8220;tienes que hacer esto ahora o pasa algo malo&#8221; est&#225; apostando a que no tengas tiempo de pensar. T&#243;mate treinta segundos. Habla con quien supuestamente lo ha enviado por otra v&#237;a. Esos treinta segundos pueden ahorrarte un problema serio.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#7 &#183; Por qu&#233; el SMS como segundo factor ya no vale</strong></p><p>Activar el segundo factor de autenticaci&#243;n es una buena pr&#225;ctica. Pero el m&#233;todo importa. Los SMS pueden interceptarse, clonarse y redirigirse con t&#233;cnicas que existen desde hace a&#241;os. La semana que viene te explico por qu&#233; el SMS es el segundo factor m&#225;s fr&#225;gil y qu&#233; alternativas hay que son igual de c&#243;modas pero mucho m&#225;s seguras.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si en tu empresa a&#250;n no hab&#233;is hablado de c&#243;mo verificar los cambios en datos bancarios de proveedores, esta semana es buen momento para hacerlo.</p><p>No hace falta un protocolo largo. Basta con acordar: &#8220;cualquier cambio en datos de pago se confirma por tel&#233;fono antes de ejecutarlo&#8221;. Una frase que puede evitar un fraude de miles de euros.</p><p>Si quieres que os ayude a definir ese tipo de protocolos b&#225;sicos o a hacer una sesi&#243;n de concienciaci&#243;n con el equipo, escr&#237;beme. Hay mucho que se puede hacer sin presupuesto grande.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si conoces a alguien que gestione pagos o tenga contacto frecuente con proveedores, p&#225;sale esta edici&#243;n &#8212; es de las que m&#225;s aplican al d&#237;a a d&#237;a real.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><p></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Phishing:</strong> Enga&#241;o por correo o web que suplanta identidades para robar credenciales, datos personales o conseguir que la v&#237;ctima realice una acci&#243;n (pago, descarga de archivo) en beneficio del atacante.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>Business Email Compromise (BEC):</strong> Ataque en el que el atacante accede a un correo electr&#243;nico real, lo monitoriza durante d&#237;as o semanas, identifica conversaciones activas y se inserta en ellas suplantando al remitente leg&#237;timo. Muy dif&#237;cil de detectar porque el correo, el asunto y el historial son reales.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>Spear phishing:</strong> Variante del phishing dirigida y personalizada. El atacante investiga a la v&#237;ctima antes &#8212; nombre, cargo, proyectos, compa&#241;eros &#8212; y construye un mensaje cre&#237;ble y espec&#237;fico en lugar de enviar el mismo correo a miles de personas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>QRishing:</strong> Phishing que usa c&#243;digos QR en lugar de enlaces de texto. El QR lleva a una p&#225;gina de login falsa. La ventaja para el atacante es que la URL maliciosa no es visible hasta que se escanea, y muchos filtros de correo no analizan el contenido de las im&#225;genes.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>Vishing:</strong> Phishing por llamada de voz. El atacante llama por tel&#233;fono haci&#233;ndose pasar por el banco, soporte t&#233;cnico u otro servicio para obtener credenciales o datos personales.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p><strong>Smishing:</strong> Phishing por SMS. Mensajes que suplantan servicios de paqueter&#237;a, bancos o administraciones p&#250;blicas para llevar al usuario a una p&#225;gina falsa o conseguir que llame a un n&#250;mero fraudulento.</p></div></div>]]></content:encoded></item><item><title><![CDATA[#5 Lo que tu empresa publica sin querer: metadatos en documentos]]></title><description><![CDATA[El documento parece limpio. La informaci&#243;n que lleva dentro, no tanto.]]></description><link>https://huronhack.substack.com/p/el-huron-del-hack-5-lo-que-tu-empresa</link><guid isPermaLink="false">https://huronhack.substack.com/p/el-huron-del-hack-5-lo-que-tu-empresa</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 15 May 2026 07:01:45 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!8218!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!8218!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 424w, https://substackcdn.com/image/fetch/$s_!8218!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 848w, https://substackcdn.com/image/fetch/$s_!8218!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 1272w, https://substackcdn.com/image/fetch/$s_!8218!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!8218!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png" width="1100" height="200" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:200,&quot;width&quot;:1100,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:276975,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://huronhack.substack.com/i/197341229?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!8218!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 424w, https://substackcdn.com/image/fetch/$s_!8218!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 848w, https://substackcdn.com/image/fetch/$s_!8218!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 1272w, https://substackcdn.com/image/fetch/$s_!8218!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3f4bd45d-5ab2-40af-ae48-5b1c8298739a_1100x200.png 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a></figure></div><p>Hace unos meses estaba haciendo reconocimiento para un cliente. Descargu&#233; un informe PDF que hab&#237;an publicado en su web corporativa &#8212; algo sin importancia aparente, una memoria de actividades.</p><p>En dos minutos ten&#237;a el nombre completo del empleado que lo hab&#237;a creado, el nombre del equipo desde el que se gener&#243;, la versi&#243;n del software y la ruta de carpetas interna del servidor donde estaba guardado originalmente: <em><strong>\servidor-interno\RRHH\documentos\2025\informe_definitivo_v3.pdf.</strong></em></p><p>Nada de eso estaba escrito en el documento. Pero estaba ah&#237;.</p><h2>Lo que tu empresa publica sin querer: metadatos en documentos</h2><p>Cada archivo digital lleva capas de informaci&#243;n que no ves cuando lo abres. Esa informaci&#243;n se llama metadatos<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a>, y est&#225; pensada para que los sistemas puedan organizar y gestionar archivos. El problema es que cuando compartes el archivo, compartes tambi&#233;n esa capa invisible.</p><p><strong>Qu&#233; contienen los metadatos de un documento t&#237;pico</strong></p><p>En un Word o PDF est&#225;ndar puedes encontrar: el nombre del autor (el nombre real de usuario del sistema operativo), el nombre de la empresa registrado en el software, las fechas de creaci&#243;n y de &#250;ltima modificaci&#243;n, el software y versi&#243;n usados para crearlo, las revisiones del documento y en algunos casos los comentarios eliminados, y la ruta de la carpeta donde se guard&#243;.</p><p>En una fotograf&#237;a los metadatos EXIF<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> pueden incluir: modelo y marca de la c&#225;mara o del m&#243;vil, fecha y hora exactas de la foto, y si el GPS estaba activado, las coordenadas geogr&#225;ficas donde se hizo.</p><p><strong>Por qu&#233; importa</strong></p><p>Por s&#237; solos, esos datos no parecen peligrosos. Pero combinados con otra informaci&#243;n &#8212;algo que alguien con tiempo y acceso a internet puede hacer sin dificultad&#8212; cuentan una historia.</p><p>El nombre del empleado permite buscarlo en LinkedIn y ver su rol exacto. La ruta del servidor interno dice c&#243;mo est&#225; organizada la infraestructura. La versi&#243;n del software puede tener vulnerabilidades conocidas. Las coordenadas GPS de una foto publicada en la web de la empresa revelan la ubicaci&#243;n f&#237;sica de la oficina o del domicilio del directivo que la sac&#243;.</p><p>Todo esto es OSINT<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a> b&#225;sico. No requiere habilidades t&#233;cnicas avanzadas. Solo saber d&#243;nde mirar.</p><p><strong>D&#243;nde suelen estar los documentos con metadatos expuestos</strong></p><p>Informes y memorias publicados en webs corporativas, propuestas y presupuestos enviados por correo a clientes, im&#225;genes subidas a la web o a redes sociales, y presentaciones compartidas en SlideShare o plataformas similares.</p><p><strong>C&#243;mo revisarlo y limpiarlo</strong></p><p>En Windows: clic derecho sobre el archivo &#8594; Propiedades &#8594; pesta&#241;a Detalles &#8594; al final hay un enlace &#8220;Quitar propiedades e informaci&#243;n personal&#8221;. Se puede hacer antes de enviar cualquier documento.</p><p>En Word o Excel: Archivo &#8594; Informaci&#243;n &#8594; Buscar problemas &#8594; Inspeccionar documento. Esto muestra qu&#233; informaci&#243;n personal contiene y te permite eliminarla.</p><p>Para PDFs, herramientas como Adobe Acrobat o alternativas gratuitas como PDF24<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a> permiten limpiar metadatos antes de publicar.</p><p>Para fotograf&#237;as, antes de publicarlas en la web lo m&#225;s sencillo es hacer una captura de pantalla recortada o usar una herramienta que elimine los datos EXIF.</p><div><hr></div><h2>Para llevar</h2><p>Tres h&#225;bitos que evitan filtraciones de metadatos sin complicar el flujo de trabajo:</p><p><strong>1. Antes de publicar cualquier PDF en tu web, p&#225;salo por el inspector de documentos</strong><a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a><strong>.</strong><br>Tarda dos minutos. Word, LibreOffice y Adobe Acrobat lo tienen integrado. Hazlo parte del proceso antes de subir cualquier documento p&#250;blico.</p><p><strong>2. Desactiva el GPS en la c&#225;mara del m&#243;vil para fotograf&#237;as de trabajo.</strong><br>En iOS: Ajustes &#8594; Privacidad &#8594; Localizaci&#243;n &#8594; C&#225;mara &#8594; &#8220;Nunca&#8221;. En Android: C&#225;mara &#8594; Ajustes &#8594; desactiva &#8220;Etiquetas de ubicaci&#243;n&#8221;. Para fotos que ya est&#225;n hechas, herramientas como ExifTool<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a> o aplicaciones m&#243;viles de limpieza de metadatos las limpian en lote.</p><p><strong>3. Cuando env&#237;es presupuestos o propuestas a clientes, limpia los metadatos del archivo.</strong><br>Los documentos de trabajo acumulan revisiones, comentarios y nombres de usuarios. Antes de enviarlo fuera de la empresa, p&#225;salo por el inspector. No es paranoia &#8212; es higiene b&#225;sica de informaci&#243;n.</p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#6 &#183; El phishing que no parece phishing</strong></p><p>El phishing cl&#225;sico ya lo conocemos todos: el correo del banco con faltas de ortograf&#237;a y un enlace sospechoso. El problema es que ese ya casi no cuela. Lo que funciona ahora es m&#225;s sofisticado: correos que imitan conversaciones reales, c&#243;digos QR que llevan a p&#225;ginas de login falsas y mensajes que llegan por canales donde no estamos acostumbrados a sospechar.</p><p>La semana que viene, los m&#233;todos actuales y c&#243;mo reconocerlos antes de que sea tarde.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si esta semana env&#237;as alg&#250;n documento a un cliente o subes algo a tu web, t&#243;mate dos minutos para revisarle los metadatos antes.</p><p>No es un proceso complejo. Es una comprobaci&#243;n r&#225;pida que evita que informaci&#243;n interna llegue a manos equivocadas sin que te des cuenta.</p><p>Si quieres que revisemos qu&#233; informaci&#243;n est&#225;n publicando los documentos de tu empresa, escr&#237;beme. En muchos casos el diagn&#243;stico es r&#225;pido y los ajustes son sencillos.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack esper&#225;ndote. Si alguien de tu entorno trabaja con documentaci&#243;n sensible o gestiona la comunicaci&#243;n de una empresa, puede que esta edici&#243;n le resulte &#250;til &#8212; p&#225;sasela.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>Metadatos:</strong> Informaci&#243;n oculta que llevan los archivos digitales (documentos, fotos, PDFs) y que no se ve al abrirlos, pero que revela datos como el autor, la fecha de creaci&#243;n, el software usado o la ruta de carpetas interna del servidor.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>EXIF:</strong> Tipo de metadatos espec&#237;fico de las fotograf&#237;as. Puede incluir el modelo del m&#243;vil o c&#225;mara, la fecha exacta en que se hizo la foto y, si el GPS estaba activado, las coordenadas geogr&#225;ficas del lugar donde se tom&#243;.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>OSINT:</strong> Siglas de <em>Open Source Intelligence</em>. T&#233;cnica de investigaci&#243;n que consiste en recopilar informaci&#243;n usando &#250;nicamente fuentes p&#250;blicas y accesibles: webs, redes sociales, documentos p&#250;blicos, bases de datos abiertas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p><strong>PDF24:</strong> Herramienta gratuita online que ofrece varias funciones para trabajar con PDFs, entre ellas limpiar los metadatos de un archivo antes de publicarlo o enviarlo.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p><strong>Inspector de documentos:</strong> Herramienta integrada en Word, Excel y LibreOffice que analiza el archivo y muestra qu&#233; informaci&#243;n personal contiene antes de compartirlo, permitiendo eliminarla con un clic.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p><strong>ExifTool:</strong> Programa gratuito que permite ver y eliminar los metadatos de fotograf&#237;as y otros archivos de forma individual o masiva, desde l&#237;nea de comandos o con interfaz gr&#225;fica.</p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com">huronhack.substack.com</a></em></p></div></div>]]></content:encoded></item><item><title><![CDATA[#4 Los primeros 10 minutos de un ataque de ransomware]]></title><description><![CDATA[Cuando aparece el mensaje, ya es tarde. Lo importante pasa antes.]]></description><link>https://huronhack.substack.com/p/4-los-primeros-10-minutos-de-un-ataque</link><guid isPermaLink="false">https://huronhack.substack.com/p/4-los-primeros-10-minutos-de-un-ataque</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 08 May 2026 07:01:26 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>El a&#241;o pasado estuve trabajando con una empresa que recibi&#243; el mensaje. Ya sabes cu&#225;l: fondo negro, letras blancas, cuenta atr&#225;s y una direcci&#243;n bitcoin.</p><p>Lo primero que hicieron fue llamarme. Lo segundo fue intentar encender otro equipo para buscar la copia de seguridad. Tambi&#233;n estaba cifrada.</p><p>El ransomware no empieza cuando aparece ese mensaje. Ese momento es el final, no el inicio. El ataque lleva horas o d&#237;as dentro antes de que veas una sola letra.</p><p>Hoy te cuento qu&#233; pasa realmente desde el minuto uno. Sin dramatismo, pero sin quitarle importancia.</p><p>Por cierto, tuve la gran oportunidad de investigar que ransomware era y era LockBit. Muchos de los ataques a hospitales que salieron en las noticias fueron nombrando a LockBit entre 2019 al 2021.</p><h3><strong>Los primeros 10 minutos de un ataque de ransomware</strong></h3><p>Lo que la mayor&#237;a llama &#8220;el ataque&#8221; es solo la detonaci&#243;n. El verdadero ataque ocurri&#243; antes, en silencio, mientras todo parec&#237;a normal.</p><p><strong>C&#243;mo entra</strong></p><p>Las tres v&#237;as m&#225;s habituales: un correo con un archivo adjunto que parece una factura o un presupuesto, credenciales de acceso remoto robadas o compradas en foros, y una vulnerabilidad sin parchear en el sistema. En muchos casos, el punto de entrada fue algo tan simple como un empleado que hizo clic en un enlace que parec&#237;a leg&#237;timo.</p><p><strong>Minutos 1 a 3 &#8212; Reconocimiento silencioso</strong></p><p>Una vez dentro, el malware no hace ruido. Lo primero es mapear la red: cu&#225;ntos equipos hay, d&#243;nde est&#225;n los servidores, qu&#233; carpetas se comparten entre los usuarios y d&#243;nde est&#225;n las copias de seguridad. Este paso es autom&#225;tico y tarda menos de lo que imaginas.</p><p><strong>Minutos 3 a 6 &#8212; Desactivar las defensas</strong></p><p>Aqu&#237; es donde ocurre algo que mucha gente no sabe: el ransomware intenta desactivar el antivirus, los servicios de backup autom&#225;tico y los logs del sistema antes de cifrar nada. Si lo consigue, trabajar&#225; sin que ninguna alerta salte. Si hay un backup conectado a la red, tambi&#233;n entra en el mapa.</p><p><strong>Minutos 6 a 8 &#8212; Exfiltraci&#243;n (en ataques avanzados)</strong></p><p>Los grupos de ransomware m&#225;s sofisticados no solo cifran, tambi&#233;n roban. Documentos, bases de datos, correos. Antes de activar el cifrado, copian lo que considera valioso. As&#237; tienen dos palancas: el cifrado y la amenaza de publicar los datos.</p><p><strong>Minutos 8 a 10 &#8212; La detonaci&#243;n</strong></p><p>El cifrado empieza por las carpetas m&#225;s cr&#237;ticas primero: bases de datos, documentos compartidos, backups locales. Despu&#233;s sigue con el resto. En diez minutos puede tener cifrados los archivos m&#225;s importantes de toda la organizaci&#243;n. En media hora, el sistema est&#225; completamente bloqueado.</p><p>El mensaje aparece cuando ya no hay nada que hacer.</p><p><strong>&#191;Qu&#233; marca la diferencia?</strong></p><p>No es el antivirus. Es la segmentaci&#243;n de red (que el da&#241;o no se propague de un equipo a todos), los backups offline o en la nube no conectada directamente a la red, y la formaci&#243;n de los empleados para reconocer el phishing antes de hacer clic.</p><p>El ransomware es prevenible. Pero la prevenci&#243;n tiene que estar antes del ataque, no despu&#233;s.</p><div><hr></div><h2><strong>Para llevar</strong></h2><p>Tres preguntas que deber&#237;as poder responder ahora mismo:</p><p><strong>1. &#191;Tus backups est&#225;n aislados de la red principal?</strong> Si la copia de seguridad est&#225; en una carpeta de red accesible desde los equipos de trabajo, el ransomware tambi&#233;n la cifra. Un backup &#250;til est&#225; en un sitio que no puede alcanzar desde los equipos comprometidos &#8212; disco externo desconectado, nube separada o cinta.</p><p><strong>2. &#191;Cu&#225;ndo fue la &#250;ltima vez que restauraste un backup de verdad?</strong> Tener el backup configurado no es lo mismo que tener un backup funcional. Si nunca has probado a restaurar, no sabes si funciona. Programa una prueba de restauraci&#243;n cada tres meses.</p><p><strong>3. &#191;Sabes qu&#233; hacer en los primeros 30 minutos si pasa?</strong> &#191;Qui&#233;n llamas? &#191;Qu&#233; equipos desconectas primero? &#191;Tienes el tel&#233;fono del soporte t&#233;cnico sin necesidad de buscarlo en el ordenador infectado? Un plan de respuesta b&#225;sico escrito en papel vale m&#225;s de lo que parece cuando el p&#225;nico entra por la puerta.</p><div><hr></div><h2><strong>En el radar &#8212; pr&#243;xima edici&#243;n</strong></h2><p><strong>#5 &#183; Lo que tu empresa publica sin querer: metadatos en documentos</strong></p><p>Cada PDF, cada Word, cada foto que subes a tu web lleva informaci&#243;n oculta: qui&#233;n lo cre&#243;, con qu&#233; software, desde qu&#233; equipo, cu&#225;ndo y a veces desde d&#243;nde. No lo ves, pero quien sabe buscar lo encuentra en segundos.</p><p>La semana que viene te ense&#241;o qu&#233; son los metadatos, d&#243;nde se esconden y c&#243;mo revisarlos antes de enviar un documento o publicarlo online.</p><div><hr></div><h2><strong>Hasta la pr&#243;xima</strong></h2><p>Si has le&#237;do esto y te has preguntado si vuestros backups funcionan de verdad &#8212; esa pregunta ya vale la pena responderla antes de que la situaci&#243;n te obligue.</p><p>No hace falta contratar nada ni montar una infraestructura compleja. Muchas veces el problema est&#225; en detalles peque&#241;os que se resuelven en una tarde.</p><p>Si quieres revisar c&#243;mo est&#225; vuestra situaci&#243;n, escr&#237;beme. Te digo d&#243;nde est&#225;n los puntos d&#233;biles reales y qu&#233; tiene prioridad.</p><p>Cada viernes a las 9 de la ma&#241;ana tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si esta te ha parecido &#250;til, p&#225;sala a alguien que tome decisiones sobre infraestructura o tenga equipos con informaci&#243;n cr&#237;tica &#8212; puede que le evite un problema serio.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong> Consultor de Ciberseguridad <a href="https://chabiangulo.com/">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com/">huronhack.substack.com</a></em></p>]]></content:encoded></item><item><title><![CDATA[#3 Google Dorks: las búsquedas que encuentran lo que no debería estar online]]></title><description><![CDATA[Hace unos d&#237;as estaba haciendo el reconocimiento inicial de una web para un cliente.]]></description><link>https://huronhack.substack.com/p/3-google-dorks-las-busquedas-que</link><guid isPermaLink="false">https://huronhack.substack.com/p/3-google-dorks-las-busquedas-que</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 01 May 2026 07:02:50 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Hace unos d&#237;as estaba haciendo el reconocimiento inicial de una web para un cliente. Sin instalar nada. Sin herramientas especiales. Solo con el buscador de Google y tres minutos.</p><p>Encontr&#233; un documento interno indexado con nombres de empleados y sus extensiones telef&#243;nicas. Un panel de administraci&#243;n accesible desde fuera. Y una versi&#243;n de WordPress visible en el c&#243;digo fuente.</p><p>Todo p&#250;blico. Todo encontrable por cualquiera.</p><p>Hoy te explico c&#243;mo funciona eso. No para que lo uses con malas intenciones, sino para que entiendas qu&#233; est&#225; viendo quien busca activamente informaci&#243;n sobre tu empresa o tu web.</p><div><hr></div><h3>Google Dorks: las b&#250;squedas que encuentran lo que no deber&#237;a estar online</h3><p>Un Google Dork es una b&#250;squeda avanzada que usa operadores espec&#237;ficos para filtrar resultados con mucha precisi&#243;n. Google indexa todo lo que encuentra en internet &#8212; incluido lo que t&#250; no ten&#237;as intenci&#243;n de exponer.</p><p>Los operadores m&#225;s usados son simples:</p><p><strong>site:</strong> &#8212; restringe la b&#250;squeda a un dominio concreto.<br><em><strong>site:tuempresa.com</strong> muestra todo lo que Google tiene indexado de tu web.</em></p><p><strong>filetype: </strong>&#8212; busca archivos de un tipo espec&#237;fico.<br><em><strong>site:tuempresa.com filetype:pdf</strong></em> <em>devuelve todos los PDFs de tu dominio que Google ha indexado. Contratos, presupuestos, documentos internos &#8212; si est&#225;n en el servidor y son accesibles, aparecen.</em></p><p><strong>inurl:</strong> &#8212; busca texto dentro de la URL.<br><em><strong>site:tuempresa.com inurl:admin</strong></em> <em>localiza URLs que contengan la palabra &#8220;admin&#8221;. Paneles de administraci&#243;n, &#225;reas de gesti&#243;n, accesos internos.</em></p><p><strong>intext:</strong> &#8212; busca texto dentro del contenido de la p&#225;gina.<br><em><strong>intext:"Index of /"</strong></em> <em>encuentra directorios abiertos donde se pueden ver y descargar todos los archivos de una carpeta.</em></p><p><strong>intitle: </strong>&#8212; busca en el t&#237;tulo de la p&#225;gina.<br><em><strong>intitle:"Dashboard" inurl:wp-admin</strong></em> <em>encuentra paneles de WordPress expuestos.</em></p><p>Combinando varios operadores se afina much&#237;simo. <br>Por ejemplo:<br><code>site:tuempresa.com filetype:xls OR filetype:xlsx</code> &#8212; <em>hojas de c&#225;lculo p&#250;blicas en tu dominio.</em></p><p>Esto no es hacking. No requiere acceso no autorizado a nada. Google ya lo ha indexado. Solo hay que saber c&#243;mo preguntarlo.</p><h2><strong>&#191;Qu&#233; busca un atacante con esto?</strong></h2><p>Versiones de software expuestas en el c&#243;digo fuente, archivos de configuraci&#243;n accidentalmente p&#250;blicos, formularios de login sin protecci&#243;n, documentos con informaci&#243;n sensible indexada y subdominios olvidados con software desactualizado.</p><h2><strong>&#191;Qu&#233; puedes hacer t&#250;?</strong></h2><p>Busca tu propio dominio. Usa los operadores de arriba con tu web real y mira qu&#233; devuelve Google. Es gratis, tarda cinco minutos y puede darte una imagen muy clara de qu&#233; est&#225; expuesto.</p><p>Si encuentras algo que no deber&#237;a estar ah&#237;, el siguiente paso es revisar los permisos de esos archivos o a&#241;adir tu sitio a Google Search Console para solicitar la eliminaci&#243;n del &#237;ndice.</p><div><hr></div><h2>Para llevar</h2><p>Tres b&#250;squedas que puedes hacer ahora mismo con tu dominio:</p><p><em><strong>1. site:tudominio.com filetype:pdf OR filetype:doc OR filetype:xls</strong></em><br><em>&#191;Aparece alg&#250;n documento que no deber&#237;a ser p&#250;blico? Facturas, presupuestos, documentos internos. Si aparece, revisa los permisos del archivo en el servidor.</em></p><p><em><strong>2. site:tudominio.com inurl:admin OR inurl:login OR inurl:wp-admin</strong></em><br><em>&#191;Hay alg&#250;n panel de acceso indexado y visible? No pasa nada por que exista, pero s&#237; conviene tener limitaci&#243;n de intentos activa y usuario administrador con nombre no obvio.</em></p><p><em><strong>3. </strong></em><code>site:tudominio.com intext:"Index of /"</code><br><em>&#191;Alguna carpeta de tu servidor tiene el listado de directorios abierto? Eso significa que cualquiera puede ver y descargar los archivos de esa carpeta. Si aparece algo, desactiva el directory listing en tu hosting.</em></p><div><hr></div><h2>En el radar &#8212; pr&#243;xima edici&#243;n</h2><p><strong>#4 &#183; Los primeros 10 minutos de un ataque de ransomware</strong></p><p>No te voy a explicar qu&#233; es el ransomware. Eso ya lo sabes. Lo que quiero que veas es el proceso paso a paso: c&#243;mo entra, qu&#233; hace antes de cifrar nada, por qu&#233; espera, y por qu&#233; cuando aparece el mensaje ya es demasiado tarde para reaccionar.</p><p>La semana que viene, con el proceso real y sin dramatismo.</p><div><hr></div><h2>Hasta la pr&#243;xima</h2><p>Si has hecho las b&#250;squedas de arriba y has encontrado algo que no esperabas ver, no entres en p&#225;nico. La mayor&#237;a de cosas tienen soluci&#243;n f&#225;cil una vez que sabes que existen.</p><p>Si no sabes por d&#243;nde empezar o lo que ves no terminas de entenderlo, escr&#237;beme. Me lo cuentas y te digo qu&#233; tiene importancia real y qu&#233; no.</p><p>Cada viernes a las 9 de la ma&#241;ana, s&#237; he cambiado la hora, tienes una nueva edici&#243;n de Hur&#243;n del Hack esper&#225;ndote. Si esta edici&#243;n te ha parecido &#250;til, deja un comentario o p&#225;sala a alguien que gestione una web o trabaje con informaci&#243;n sensible &#8212; le puede ahorrar un disgusto.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong><br>Consultor de Ciberseguridad<br><a href="https://chabiangulo.com/">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div><hr></div><p><em>Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com/">huronhack.substack.com</a></em></p>]]></content:encoded></item><item><title><![CDATA[#2 Lo que hace un atacante en los primeros 5 minutos dentro de tu WordPress]]></title><description><![CDATA[No hace falta ser experto para entrar. Lo dif&#237;cil es que no te enteres.]]></description><link>https://huronhack.substack.com/p/2-lo-que-hace-un-atacante-en-los</link><guid isPermaLink="false">https://huronhack.substack.com/p/2-lo-que-hace-un-atacante-en-los</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Fri, 24 Apr 2026 17:02:27 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>La semana pasada alguien me pregunt&#243; cu&#225;nto tiempo tarda en pasar algo malo cuando una web WordPress queda expuesta.</p><p>Le dije: menos de lo que imaginas.</p><p>No hablo de ataques dirigidos donde alguien te tiene en el punto de mira. Hablo de los bots automatizados que escanean miles de webs cada hora buscando vulnerabilidades o contrase&#241;as d&#233;biles. Si tu web aparece en ese radar, el proceso es r&#225;pido y silencioso.</p><p>En e te cuento exactamente qu&#233; ocurre una vez que alguien consigue entrar. No para que te asustes, sino para que entiendas por qu&#233; esperar a que pase algo es la peor estrategia.</p><h2>Lo que hace un atacante en los primeros 5 minutos dentro de tu WordPress</h2><p>Primero, el acceso. Casi siempre llega por una de estas tres v&#237;as: un plugin desactualizado con vulnerabilidad conocida, credenciales d&#233;biles o reutilizadas, o un formulario de login expuesto sin limitaci&#243;n de intentos.</p><p>Una vez dentro, el atacante no suele hacer nada visible de inmediato. Eso ser&#237;a un error. Lo primero es entender d&#243;nde est&#225;.</p><h4><strong>Minuto 1 | Reconocimiento interno</strong></h4><p>Revisa qu&#233; versi&#243;n de WordPress corre, qu&#233; plugins est&#225;n activos, cu&#225;ntos usuarios administradores hay y qu&#233; permisos tiene la cuenta con la que entr&#243;. Si tiene acceso al servidor de archivos, tambi&#233;n ve si hay m&#225;s webs alojadas en el mismo hosting. Una web comprometida puede ser la puerta a otras cinco del mismo cliente.</p><h4><strong>Minuto 2 | Crear persistencia</strong></h4><p>Aqu&#237; es donde la mayor&#237;a de los ataques silenciosos dejan su huella sin que el propietario lo note. Se crea un usuario administrador nuevo con nombre gen&#233;rico - <em>admin2</em>, <em>editor1</em>, <em>wordpress_user</em> - o se modifica uno existente. Objetivo: tener acceso aunque la contrase&#241;a original cambie.</p><h4><strong>Minuto 3 | Instalar la puerta trasera</strong></h4><p>Una webshell. Un archivo PHP peque&#241;o, con nombre inocente, escondido en la carpeta de uploads o dentro de un plugin activo. Desde ah&#237; puede ejecutar comandos, subir archivos, modificar contenido o lanzar ataques desde tu servidor hacia otros. Tu web pasa a ser infraestructura de un atacante.</p><h4><strong>Minuto 4 | Revisar el valor del objetivo</strong></h4><p>&#191;Tiene WooCommerce? Hay datos de clientes. &#191;Tiene formularios de contacto? Hay emails. &#191;Tiene tr&#225;fico? Se puede usar para redirecciones o spam SEO. El atacante eval&#250;a qu&#233; puede sacar y decide si explotar directamente o vender el acceso.</p><h4><strong>Minuto 5 | Limpiar rastros o no</strong></h4><p>Depende del objetivo. Si busca persistencia discreta, borrar&#225; los logs de acceso y esperar&#225;. Si el objetivo es inmediato, actuar&#225; r&#225;pido y no le importar&#225; ser detectado.</p><p>El problema real es que la mayor&#237;a de estos compromisos no se detectan en horas sino en semanas. Para entonces el da&#241;o, spam SEO, reputaci&#243;n da&#241;ada, datos expuestos, ya est&#225; hecho.</p><h2>No sabes que hacer&#8230; tranqui, ha llegado el Hur&#243;n</h2><p><br>Tres cosas que puedes hacer hoy, sin necesitar conocimientos t&#233;cnicos:</p><p><strong>1. Revisa los usuarios administradores de tu WordPress ahora mismo.</strong> Usuarios &#8594; Todos los usuarios &#8594; filtra por Administrador. &#191;Reconoces todos? &#191;Hay alguno que no creaste t&#250;? Si hay uno sospechoso, elim&#237;nalo y cambia todas las contrase&#241;as.</p><p><strong>2. Comprueba que tienes un backup verificado de esta semana.</strong> No vale con tener el plugin instalado. Vale con saber que el backup existe, que est&#225; fuera del servidor y que se puede restaurar. Si no lo sabes con certeza, no tienes backup real.</p><p><strong>3. Activa la limitaci&#243;n de intentos de login.</strong> El plugin Limit Login Attempts Reloaded es gratuito y bloquea IPs despu&#233;s de X intentos fallidos. Es el primer filtro contra ataques de fuerza bruta y tarda 3 minutos en configurar.</p><h2><strong>En el radar - pr&#243;xima edici&#243;n</strong></h2><p><strong>#3 &#183; Google Dorks: las b&#250;squedas que encuentran lo que no deber&#237;a estar online</strong></p><p>La semana que viene te muestro c&#243;mo cualquiera puede usar el buscador de Google para encontrar paneles de administraci&#243;n expuestos, documentos internos indexados y webs vulnerables - sin instalar nada, sin conocimientos t&#233;cnicos.</p><p>Tambi&#233;n te ense&#241;o c&#243;mo buscar tu propio dominio para saber qu&#233; est&#225; viendo quien busca activamente informaci&#243;n sobre tu empresa o web.</p><div><hr></div><h2><strong>Hasta la pr&#243;xima</strong></h2><p>Si tu web lleva meses sin que nadie la revise por dentro, hoy es un buen momento para echarle un vistazo.</p><p>No hace falta contratar nada ni entrar en p&#225;nico. Basta con hacer las tres comprobaciones de arriba y tener la tranquilidad de saber c&#243;mo est&#225; tu web en este momento.</p><p>Si quieres que lo revisemos juntos o tienes dudas sobre lo que encuentras, escr&#237;beme directamente. Sin compromiso, sin formulario largo, sin esperar d&#237;as para que alguien te responda.</p><p>Cada viernes a las 19h de la tarde tienes una nueva edici&#243;n de El Hur&#243;n del Hack en tu bandeja de entrada. Si alguien de tu entorno se dedica a esto o gestiona una web, p&#225;sale el enlace de suscripci&#243;n - le puede venir bien.</p><p>Nos vemos el viernes que viene.</p><p><strong>Chabi Angulo</strong> Consultor de Ciberseguridad <a href="https://chabiangulo.com/">chabiangulo.com</a> &#183; <a href="https://www.linkedin.com/in/chabiangulo">LinkedIn</a></p><div><hr></div><p><em>El Hur&#243;n del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en <a href="https://huronhack.substack.com/">huronhack.substack.com</a></em></p>]]></content:encoded></item><item><title><![CDATA[#1 Sistema de archivos de Kali Linux]]></title><description><![CDATA[Todo el esqueleto de directorios de un Linux]]></description><link>https://huronhack.substack.com/p/1-sistema-de-archivos-de-kali-linux</link><guid isPermaLink="false">https://huronhack.substack.com/p/1-sistema-de-archivos-de-kali-linux</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Wed, 22 Apr 2026 07:34:07 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p><span class="mention-wrap" data-attrs="{&quot;name&quot;:&quot;Kali Linux&quot;,&quot;id&quot;:164069644,&quot;type&quot;:&quot;user&quot;,&quot;url&quot;:null,&quot;photo_url&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/9e435941-f251-4b66-9711-d49221aa9a50_512x512.png&quot;,&quot;uuid&quot;:&quot;29c091e2-f671-4b04-af48-cfe36a656566&quot;}" data-component-name="MentionToDOM"></span> es una de las distribuciones m&#225;s conocidas dentro de la escena de la ciberseguridad.</p><p>Aunque admito que hace unos a&#241;os no me gustaba, ahora mismo es m&#225;s c&#243;modo para m&#237; el utilizarlo en mis equipos.</p><p>Siendo un Debian vitaminado con herramientas y utilidades para la ciberseguridad, es id&#243;neo para aprender, tenerlo como laboratorio y adem&#225;s conocer lo que podr&#237;a ser tu futuro arsenal de trabajo.</p><h2><strong>Haz lo que quieras t&#250;</strong></h2><p>Tal cual, haz lo que quieras. No por utilizar un Debian vas a ser el mejor ni mucho menos utilizar un Kali vas a ser un l33t<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a>.</p><p>Debian lo vas a tener sin herramientas y si necesitas algo, deber&#225;s de instalarlo.</p><p>No suelo hacer mucho caso a estos debates, me siento c&#243;modo utilizando Kali porque tengo las herramientas a mano y soy m&#225;s productivo. Aunque si fuese a utilizar un Linux para mi d&#237;a a d&#237;a, seguro que ser&#237;a Debian.</p><p>Tampoco usar&#237;a Kali u otra distribuci&#243;n en WSL<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> para hacer pentesting o resolver CTFs. &#191;Puedes?, s&#237;, pero en alg&#250;n momento puede darte falsos positivos, por ejemplo. A mi ya me ha pasado y siempre que es un CTF, me atasco por ese motivo.</p><h2><strong>Estructuras &#191;son iguales o no?</strong></h2><p>No todas las estructuras de directorios son iguales, &#191;se parecen?, s&#237;, pero algunas var&#237;an en muchas ocasiones. Aunque la base com&#250;n, llamada Filesystem Hierarchy Standard (FHS)<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a>, usan rutas t&#237;picas como:</p><p>/etc para configuraci&#243;n</p><p>/home para usuarios</p><p>/var para datos variables y logs</p><p>/usr para programas y recursos</p><p>/bin, /sbin, /lib para binarios y librer&#237;as del sistema</p><p>Que al final, si te pasas de Ubuntu a Debian, por ejemplo, identificar&#225;s estos directorios y no pensar que te han soltado en otra dimensi&#243;n.</p><p>En el caso de Kali Linux, la base es exactamente la misma. Sigue el FHS como cualquier Debian. Pero hay algo que te vas a encontrar mucho y que conviene conocer: <code>/usr/share/</code>.</p><p>Aqu&#237; es donde Kali guarda la mayor&#237;a de sus herramientas y sus recursos. Por ejemplo:</p><p>/usr/share/wordlists &#8212; diccionarios de contrase&#241;as como rockyou.txt, que usar&#225;s m&#225;s de lo que crees</p><p>/usr/share/metasploit-framework &#8212; todo el framework de Metasploit</p><p>/usr/share/nmap &#8212; scripts y bases de datos de Nmap</p><p>/usr/share/exploitdb &#8212; la base de datos de exploits de Exploit-DB</p><p>Y si instalas herramientas de terceros o que no est&#225;n en los repositorios oficiales, lo m&#225;s habitual es que acaben en <code>/opt/</code>. No es una norma escrita en piedra, pero es la convenci&#243;n m&#225;s extendida.</p><p>El resto lo reconocer&#225;s sin problema si ya has tocado cualquier Linux antes.</p><h2><strong>Una cosa que cambi&#243; y no todo el mundo sabe</strong></h2><p>Durante a&#241;os, Kali arrancaba directamente como root. Era c&#243;modo para trabajar en auditor&#237;as, pero tambi&#233;n era un riesgo si lo usabas de forma descuidada.</p><p>Desde la versi&#243;n 2020.1 eso cambi&#243;. Ahora Kali crea un usuario sin privilegios por defecto, como har&#237;a cualquier otra distribuci&#243;n. Cuando necesitas permisos de administrador, usas <code>sudo</code> igual que en Ubuntu o Debian.</p><p>Si llevas tiempo sin tocar Kali o lo instalaste en su d&#237;a y lo tienes aparcado, es algo a tener en cuenta.</p><h2><strong>Para cerrar</strong></h2><p>No hay una distribuci&#243;n perfecta para todo. Hay la que mejor encaja con lo que necesitas en cada momento.</p><p>Para aprender ciberseguridad, Kali es una buena puerta de entrada porque no tienes que ir buscando herramientas una a una. Para el d&#237;a a d&#237;a como sistema operativo principal, probablemente preferir&#225;s algo m&#225;s ligero y estable.</p><p>Aunque para aprender Linux, ir&#237;a directamente a Debian y si no quieres complicarte la vida, Ubuntu. Te recuerdo, a&#250;n as&#237;, que Kali Linux y Ubuntu son hijos de Debian y despu&#233;s de todos estos a&#241;os utilizando muchas distribuciones, opino que Debian es m&#225;s robusto, pero repito, es mi opini&#243;n.</p><p>Y si en alg&#250;n momento tienes dudas sobre qu&#233; montar o c&#243;mo organizarte, ya sabes d&#243;nde encontrarme.</p><div><hr></div><p>El Hur&#243;n del Hack</p><p>chabiangulo@chabiangulo.com</p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p><strong>l33t</strong>, o 3lit3, viene de elite y es simplemente el sustituir las letras por n&#250;meros o s&#237;mbolos. Parte de la jerga de los 90.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p><strong>WSL, Windows Subsystem for Linux</strong>, que es como tener una distribuci&#243;n Linux en una m&#225;quina virtual en Windows. Como una aplicaci&#243;n en Windows.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p><strong>FHS, Filesystem Hierarchy Standard</strong>, es el est&#225;ndar que define c&#243;mo se organiza la estructura de directorios en los sistemas Linux. Una especie de acuerdo com&#250;n para que todas las distribuciones se parezcan en lo b&#225;sico.</p></div></div>]]></content:encoded></item><item><title><![CDATA[Historia Real 1]]></title><description><![CDATA[Mi WiFi es Numancia]]></description><link>https://huronhack.substack.com/p/historia-real-1</link><guid isPermaLink="false">https://huronhack.substack.com/p/historia-real-1</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Mon, 22 Sep 2025 16:38:01 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>De vez en cuando te pondr&#233; historias reales y que aprend&#237;. &#191;Motivo?, pues porque aprendo mucho de las experiencias y no de las certificaciones, cursos, etc. etc.</p><p>Para m&#237; es importante la experiencia y valoro esas personas que son ratones de biblioteca y tienen respuestas a muchas soluciones.</p><p>Hablar&#233; primero sobre la historia, donde fui yo mismo la victima. Todo por fiarme, pensar que nadie puede &#8220;robarme&#8221; y sentirme due&#241;o y se&#241;or de mi WiFi.</p><h2>La historia</h2><p>Antes de conocer mi mujer viv&#237;a en un apartamento donde compart&#237;a piso con un amigo. Estuve una larga temporada que s&#243;lo iba a trabajar y dormir a casa. El motivo es que trabajaba fijo de tardes ya que mi compa&#241;era de trabajo fue madre.</p><p>Regresaba a casa sobre las 11 la noche, me daba lo justo para cenar, darme una ducha y mientras ve&#237;a alguna peli aburrida, me dorm&#237;a.</p><p>Por la ma&#241;ana caf&#233; con mi cu&#241;ada, d&#237;a si, d&#237;a tambi&#233;n y as&#237; conoc&#237; a mi mujer. Pero por las ma&#241;anas, salvo que mi cu&#241;ada no pudiese quedar, me dedicaba hacer &#8220;cosas&#8221; en internet.</p><p>El problema es que nuestra WiFi iba m&#225;s lento que el caballo del malo y era horrible realizar algo. Ten&#237;a la idea de montar un IRC incluso, pero con esa conexi&#243;n era horrible. Si ya me costaba a mi, imagina el sacar una idea como la que ten&#237;a.</p><p>Una ma&#241;ana haciendo unas gestiones, me encontr&#233; con un viejo amigo y me coment&#243; que trabajaba como t&#233;cnico de una compa&#241;&#237;a de telefon&#237;a. Hac&#237;a instalaciones de esa compa&#241;ia, pero hablando con &#233;l me dijo que pod&#237;a echar un ojo al d&#237;a siguiente.</p><p>Al d&#237;a siguiente, tras un almuerzo de campeones, revis&#243; mi casa y sabiendo que mi compa&#241;ero de piso no estaba me pregunt&#243; si hab&#237;a alguien m&#225;s viviendo en la casa.</p><p>Est&#225;bamos los dos solos, pero incluso llevaba un tiempo solo porque mi compa&#241;ero estaba de viaje viendo a su familia en Alemania.</p><p>No lo pens&#233;, me confi&#233; mucho en que era complejo entrar a mi WiFi. Prob&#233; en bloquear la MAC y funcion&#243;. En cuanto mi compa&#241;ero de piso volviera, le asignar&#237;a la MAC y as&#237; proteg&#237;amos nuestra WiFi.</p><p>&#191;Sabes porque supe quien fue el ladr&#243;n de mi WiFi?</p><p>La se&#241;ora, Mami del ladr&#243;n, dej&#243; un mensaje en la parte de los buzones. Algo as&#237; como, &#8220;Por favor, arreglen la internet que mi hijo no puede ver pel&#237;culas&#8221;</p><p>Al final averig&#252;e quien era el colega. No voy a entrar en tecnicismos, pero con la tonter&#237;a, hackeo mi WiFi con Wifislax. Hablamos, quedamos mucho en el parque que hab&#237;a al lado de nuestras respectivas casas.</p><p>Nunca utilic&#233; Wifislax, ni distribuciones similares. Aprend&#237; dos cosas.</p><ol><li><p>Que todo puede ser hackeable. Que no podemos esperar ser invencibles, que estamos blindados o que nadie tiene un inter&#233;s hac&#237;a mi persona.</p></li><li><p>La persona que menos te esperas, por un objetivo, puede hacer da&#241;o y sin querer.</p></li><li><p>Las madres, siempre defienden a sus reto&#241;os, tengan la edad que tengan.</p></li></ol><p>Esta historia es real y lo explico porque nos puede pasar.</p><p>Primero por EGO, s&#237;, tenemos un EGO que si no estamos atentos, nos caza. Parece una frase sacada de un libro de autoayuda, pero no es mi intenci&#243;n.</p><p>Pensamos muchas veces que tener un firewall, un antivirus de pago o un amigo que esta en la ciberseguridad, pues nos salva de todo y no es as&#237;.</p><p>Siempre se ha dicho, el eslab&#243;n m&#225;s d&#233;bil de la ciberseguridad es el humano.</p><p>Otra es no utilizar contrase&#241;as robustas, no s&#243;lo en el WiFi, sino en todas las diferentes aplicaciones y dispositivos que necesitan el acreditarse.</p><p>Hoy en d&#237;a es f&#225;cil poner capas de seguridad a nuestras conexiones, router y adem&#225;s sistemas operativos.</p><p>Simplemente es una experiencia propia y que al principio sufr&#237;, pero admito que me sorprendi&#243; las conversaciones con el chico y que no volv&#237; a verle.</p><p></p><p></p><p></p>]]></content:encoded></item><item><title><![CDATA[La Comunidad]]></title><description><![CDATA[La Comunidad de El Hur&#243;n del Hack]]></description><link>https://huronhack.substack.com/p/la-comunidad</link><guid isPermaLink="false">https://huronhack.substack.com/p/la-comunidad</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Wed, 16 Jul 2025 07:45:37 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!-583!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Hoy es una newsletter diferente a las anteriores. Toca un poco hablar de El Hur&#243;n del Hack.</p><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!-583!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!-583!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 424w, https://substackcdn.com/image/fetch/$s_!-583!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 848w, https://substackcdn.com/image/fetch/$s_!-583!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 1272w, https://substackcdn.com/image/fetch/$s_!-583!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!-583!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png" width="206" height="206" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:500,&quot;width&quot;:500,&quot;resizeWidth&quot;:206,&quot;bytes&quot;:175780,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://hurnhack.substack.com/i/165942033?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!-583!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 424w, https://substackcdn.com/image/fetch/$s_!-583!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 848w, https://substackcdn.com/image/fetch/$s_!-583!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 1272w, https://substackcdn.com/image/fetch/$s_!-583!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F3b042edf-eda4-48e1-9e5f-ad293b45ed5b_500x500.png 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a></figure></div><p>El Hur&#243;n del Hack es una idea que me rondaba desde hace mucho tiempo. Hice varios intentos de comunidad, pero siempre terminaba por abandonarlo.</p><p>No es una frase esperanzadora la verdad, pero la intenci&#243;n es otra. El Hur&#243;n, de aqu&#237; en adelante HdH, es porque me cr&#237;e con este bichito curioso.</p><p>As&#237; que, si te apetece estar en la comunidad, siempre pod&#233;is acceder a trav&#233;s del siguiente link de Telegram.<br>S&#237; he decidido crear la comunidad en Telegram sin animo de buscar otros sitios y pensando en la privacidad, porque s&#237; Telegram no te dar&#225; esa privacidad.</p><p>Ya hace un tiempo que lo hice, pero no mand&#233; esta newsletter por el lio tremendo que tengo entre la delegaci&#243;n del club de networking que llevo y mis clientes.</p><p>Estoy muy feliz viendo que progreso y que sigo aprendiendo d&#237;a a d&#237;a. Pero tambi&#233;n debo decir que me lo estoy pasando bien.</p><p>Nada m&#225;s de que hablar, te dejo el link a Telegram. A la comunidad &#8220;El Hur&#243;n del Hack&#8221;</p><p><a href="https://t.me/elhurondelhack">https://t.me/elhurondelhack</a></p>]]></content:encoded></item><item><title><![CDATA[WSL, 2a Parte]]></title><description><![CDATA[2&#170; Parte...]]></description><link>https://huronhack.substack.com/p/wsl-2a-parte</link><guid isPermaLink="false">https://huronhack.substack.com/p/wsl-2a-parte</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Wed, 11 Jun 2025 08:36:46 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F0d75d403-8bb8-426d-b5b2-4486bcee88ac_971x971.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>En la anterior habl&#233; de que era el WSL, un poco lo que necesitamos para utilizarlo y tambi&#233;n me extend&#237; un poco con PowerShell e instalamos WSL.</p><p>Ahora, vamos a instalar una distribuci&#243;n sencilla, que puedas experimentar o, que es mi intenci&#243;n, tengas ya un Linux para aprender.</p><p>Como no s&#233; si has llegado aqu&#237; sin leer la otra parte, te dejo este enlace para que no te saltes la instalaci&#243;n de WSL.</p><div class="digest-post-embed" data-attrs="{&quot;nodeId&quot;:&quot;23e1146a-2cdd-40c8-bb26-283805b34b94&quot;,&quot;caption&quot;:&quot;Quiero que tengas claro que esto no es una soluci&#243;n 100% efectiva ya que hay muchos factores de tener un Linux instalado con WSL no es recomendable.&quot;,&quot;cta&quot;:&quot;Read full story&quot;,&quot;showBylines&quot;:true,&quot;showDescription&quot;:true,&quot;showImage&quot;:true,&quot;size&quot;:&quot;sm&quot;,&quot;isEditorNode&quot;:true,&quot;title&quot;:&quot;WSL, Windows Subsystem for Linux &quot;,&quot;publishedBylines&quot;:[{&quot;id&quot;:10385193,&quot;name&quot;:&quot;Hur&#243;n Hack&quot;,&quot;bio&quot;:null,&quot;photo_url&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/0d75d403-8bb8-426d-b5b2-4486bcee88ac_971x971.png&quot;,&quot;is_guest&quot;:false,&quot;bestseller_tier&quot;:null}],&quot;post_date&quot;:&quot;2025-06-02T07:02:14.332Z&quot;,&quot;cover_image&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F0d75d403-8bb8-426d-b5b2-4486bcee88ac_971x971.png&quot;,&quot;cover_image_alt&quot;:null,&quot;canonical_url&quot;:&quot;https://substack.com/home/post/p-164463372&quot;,&quot;section_name&quot;:null,&quot;video_upload_id&quot;:null,&quot;id&quot;:164463372,&quot;type&quot;:&quot;newsletter&quot;,&quot;reaction_count&quot;:0,&quot;comment_count&quot;:0,&quot;publication_id&quot;:null,&quot;publication_name&quot;:&quot;Hur&#243;n del Hack&quot;,&quot;publication_logo_url&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F0d75d403-8bb8-426d-b5b2-4486bcee88ac_971x971.png&quot;,&quot;belowTheFold&quot;:false,&quot;youtube_url&quot;:null,&quot;show_links&quot;:null,&quot;feed_url&quot;:null}"></div><h2>2 m&#233;todos, te aconsejo 1</h2><p>S&#237;, esto es como las ofertas de un supermercado, un 2x1</p><p>Te aconsejo el segundo paso, pero no porque lo vaya hacer siempre por una terminal, en este caso PowerShell, sino porque podr&#225;s controlar mejor la l&#237;nea de comandos si la utilizas. Soy de los que la practica hace al maestro&#8230;</p><p>Podemos ir a la Microsoft Store y buscar por Ubuntu. Te saldr&#225;n:</p><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!sAjy!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!sAjy!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 424w, https://substackcdn.com/image/fetch/$s_!sAjy!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 848w, https://substackcdn.com/image/fetch/$s_!sAjy!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 1272w, https://substackcdn.com/image/fetch/$s_!sAjy!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!sAjy!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png" width="1456" height="281" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/d9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:281,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:305479,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://hurnhack.substack.com/i/165522028?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!sAjy!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 424w, https://substackcdn.com/image/fetch/$s_!sAjy!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 848w, https://substackcdn.com/image/fetch/$s_!sAjy!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 1272w, https://substackcdn.com/image/fetch/$s_!sAjy!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd9b00e7b-d8fb-4a23-a946-46c5b3edd60f_1782x344.png 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a></figure></div><p>Genial, &#191;no?. Pues me parece bien, pero instalar a golpe de clicks es una opci&#243;n, que no la critico, pero personalmente siento que no controlo la situaci&#243;n .</p><p>La que aconsejo es tan simple como abrir PowerShell y tras haber instalado WSL, newsletter anterior, es mucho m&#225;s sencillo.</p><p>Vamos al l&#237;o&#8230;</p><h2>Antes de nada&#8230;</h2><p>Necesitamos saber que distribuciones de Linux tenemos a mano para instalar.</p><p>Enserio, esto es tan sencillo como poner el siguiente comando desde la PowerShell.</p><pre><code>wsl --list --online  </code></pre><p>No dar&#225; una lista de las distribuciones que podemos instalar en el WSL.</p><p>Si no tienes experiencia con Linux, te recomendar&#237;a utilizar Ubuntu. Podr&#225;s conocerlo con la tranquilidad de poder utilizarlo para aprender, pero si ya tienes experiencia y quieres seguir aprendiendo hacking, podr&#237;as utilizar Kali Linux.<br></p><p>Aunque siempre recomendar&#233; Debian, pero no quiero asustaros.</p><h2>Instalando Ubuntu</h2><p>Primero, al hacer la lista de distribuciones que hay para WSL, es tener claro un dato.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!OuJj!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!OuJj!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 424w, https://substackcdn.com/image/fetch/$s_!OuJj!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 848w, https://substackcdn.com/image/fetch/$s_!OuJj!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 1272w, https://substackcdn.com/image/fetch/$s_!OuJj!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!OuJj!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png" width="430" height="298" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/f2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:298,&quot;width&quot;:430,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:11702,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:&quot;https://hurnhack.substack.com/i/165522028?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!OuJj!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 424w, https://substackcdn.com/image/fetch/$s_!OuJj!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 848w, https://substackcdn.com/image/fetch/$s_!OuJj!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 1272w, https://substackcdn.com/image/fetch/$s_!OuJj!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff2ac6eb8-b9ae-4fd5-89e5-1a8760c9e9e1_430x298.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p> Tenemos que fijarnos primero en la columna de NAME. &#191;Queremos instalar Ubuntu? pues tan f&#225;cil como:</p><pre><code>wsl --install -d Ubuntu-22.4</code></pre><p>wsl, ser&#237;a el comando WSL&#8230; obvio, &#191;no? jajaja</p><p>install, es el par&#225;metro de instalaci&#243;n.</p><p>-d, el -d es para indicar que es una distribuci&#243;n y ya luego va el NAME como indica la primera columna del pantallazo que te puse.</p><p>Piensa ahora que puedes instalar cualquier otra distribuci&#243;n, pero no me arriesgar&#237;a utilizar otro que no est&#233; enfocado en nuestro d&#237;a a d&#237;a.</p><p>Si te parece bien, hablaremos en otro momento de Linux y las distintas distribuciones que podemos conseguir. Antes, tenemos que aprender tambi&#233;n el controlar sobre m&#225;quinas virtuales y as&#237; no tendremos interrupciones en cuanto nuestra productividad o no quer&#233;is hacer una instalaci&#243;n en un equipo quitando vuestro sistema operativo.</p><p>Una vez instalado Ubuntu&#8230; ya podremos empezar a utilizarlo, pero antes sigue los pasos que te indica desde PowerShell.</p><p>Si tienes dudas, siempre puedes contactar conmigo.</p><p>En la siguiente newsletter ya empezaremos a tener m&#225;s &#8220;chicha&#8221; y adem&#225;s, GRATIS, acceder a la comunidad de El Hur&#243;n del Hack.</p><p>Pero tendr&#225;s que registrar tu email a la newsletter o mandarme un mensaje a: chabiangulo@gmail.com que est&#225;s interesado/a.</p><p>Hasta la pr&#243;xima&#8230;</p>]]></content:encoded></item><item><title><![CDATA[WSL, Windows Subsystem for Linux ]]></title><description><![CDATA[1&#170; Parte...]]></description><link>https://huronhack.substack.com/p/wsl-windows-subsystem-for-linux</link><guid isPermaLink="false">https://huronhack.substack.com/p/wsl-windows-subsystem-for-linux</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Mon, 02 Jun 2025 07:02:14 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F0d75d403-8bb8-426d-b5b2-4486bcee88ac_971x971.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Quiero que tengas claro que esto no es una soluci&#243;n 100% efectiva ya que hay muchos factores de tener un Linux<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> instalado con WSL<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> no es recomendable.</p><p>A mi personalmente no me gusta utilizar tampoco WSL en un equipo porque ya no es por consumo de recursos sino porque deja muchas huellas y en las investigaciones es necesario controlar ese aspecto.</p><p>Pero, tenemos que saber que es el WSL, saber que queremos hacer en realidad y valorar su utilizaci&#243;n dependiendo la escena donde vamos a trabajar.</p><h2>&#191;Qu&#233; es el WSL?</h2><p>El WSL, Windows Subsystem for Linux, es una funcionalidad de Windows<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a> que permite correr un entorno Linux directamente en tu sistema operativo, sin necesidad de salir de Windows ni instalar software complejo como m&#225;quinas virtuales o dual boot.</p><p>Resumiendo: <strong>puedes tener Linux dentro de Windows como si fuera una aplicaci&#243;n m&#225;s.</strong></p><p>&#191;Por qu&#233; esto es tan revolucionario? Porque muchas herramientas de desarrollo web y ciberseguridad est&#225;n dise&#241;adas para funcionar en Linux, no en Windows. Tener WSL te abre una frontera de posibilidades sin necesidad de cambiar tu sistema operativo.</p><p>No s&#243;lo eso, es que insisto que puedes aprender como funciona Linux, probar aplicaciones, usar la terminal y trastear con comandos. Para m&#237; me viene genial por si quiero realizar un v&#237;deo o sacar una imagen sin salir de Windows.</p><p>As&#237; que por esto es una de las tantas alternativas que podemos utilizar para familiarizarnos con distribuciones de Linux.</p><h2>&#191;Qu&#233; necesitamos?</h2><p>Toda configuraci&#243;n debe apreciarse como una receta de cocina, hay que tener condimentos preparados.</p><p>Primero necesitamos tener un Windows instalado, obvio, &#191;verdad?</p><p>Personalmente estoy utilizando Windows 10 para esto, pero se puede utilizar Windows 11 tambi&#233;n.</p><p>Por un lado, PowerShell<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a>. Que es como la l&#237;nea de comandos de una shell de Linux, pero en Linux.</p><p>No te equivoques, cmd<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> o lo que era el antiguo MS-DOS<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a> no es lo mismo. CMD tiene la sintaxis m&#225;s limitada con comandos b&#225;sicos del tipo <em>cd, dir, copy, ipconfig&#8230;</em></p><p>PowerShell es m&#225;s potente y moderno.</p><p>Para abrir PowerShell es tan f&#225;cil como ponerte encima del icono Inicio y con el bot&#243;n derecho de nuestro rat&#243;n y ver&#225;s varias opciones.</p><p>Selecciona Windows PowerShell (Administrador). Otra opci&#243;n es pulsando la tecla Windows + X.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!m4c8!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!m4c8!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 424w, https://substackcdn.com/image/fetch/$s_!m4c8!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 848w, https://substackcdn.com/image/fetch/$s_!m4c8!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 1272w, https://substackcdn.com/image/fetch/$s_!m4c8!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!m4c8!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png" width="858" height="625" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:625,&quot;width&quot;:858,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:20228,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:&quot;https://hurnhack.substack.com/i/164463372?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!m4c8!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 424w, https://substackcdn.com/image/fetch/$s_!m4c8!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 848w, https://substackcdn.com/image/fetch/$s_!m4c8!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 1272w, https://substackcdn.com/image/fetch/$s_!m4c8!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F5602fc9e-e065-4765-a509-343e52eb3a22_858x625.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><h2>Instalando WSL</h2><p>De principio vamos a instalar WSL en Windows y en la siguiente newsletter instalamos en este sistema un Linux. Hay varias distribuciones de Linux y te recomendar&#233; una para empezar a utilizar Linux.</p><p>Ahora desde PowerShell vamos a ejecutar el siguiente comando:</p><p>wsl &#8212;install</p><p>Deber&#237;a de instalarse el WSL e incluso WSL 2 como predeterminado y normalmente se instala la distribuci&#243;n Ubuntu. OJO, si te pide reiniciar Windows, adelante, no tengas miedo y hazlo.</p><p>Como se esta extendiendo mucho esta newsletter, en la siguiente lo completaremos.</p><p></p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p>Linux, <strong>Linux</strong> es un sistema operativo libre y de c&#243;digo abierto que te da el control total sobre tu m&#225;quina, si sabes lo que haces&#8230; y a veces aunque no lo sepas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p>WSL, <strong>WSL</strong> es una capa m&#225;gica en Windows que te permite correr Linux como si fuera una app, sin m&#225;quinas virtuales, pero con todo el poder del ping&#252;ino.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p>Windows, <strong>Windows</strong> es un sistema operativo popular y amigable que lo hace casi todo por ti&#8230; hasta que decide actualizarse cuando menos te conviene.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p>PowerShell, <strong>PowerShell</strong> es el superpoder oculto de Windows: una consola avanzada que combina comandos, programaci&#243;n y control total del sistema... si sabes hablarle en su idioma.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p>CMD, <strong>CMD</strong> es la consola cl&#225;sica de Windows, una ventana negra donde puedes ejecutar comandos b&#225;sicos... como si hablaras con el sistema en modo retro.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p>MS-DOS, <strong>MS-DOS</strong> es el abuelo de los sistemas operativos de Microsoft: una interfaz de l&#237;nea de comandos que gobernaba los PCs antes de que existieran ventanas, ratones y el caos del multitarea.</p></div></div>]]></content:encoded></item><item><title><![CDATA[Todo comienza...]]></title><description><![CDATA[La primera entrega y mi declaraci&#243;n de intenciones...]]></description><link>https://huronhack.substack.com/p/0-todo-comienza</link><guid isPermaLink="false">https://huronhack.substack.com/p/0-todo-comienza</guid><dc:creator><![CDATA[Hurón Hack]]></dc:creator><pubDate>Mon, 26 May 2025 07:28:24 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!ur-u!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F51297668-f5d3-42e9-9674-8ac1f8367a92_361x361.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Ohhhh, &#191;qu&#233; pas&#243;?</p><p>S&#237;, mi saludo inicial y que caracteriza a muchos canarios cuando nos encontramos con un amigo o conocido.</p><div class="subscription-widget-wrap-editor" data-attrs="{&quot;url&quot;:&quot;https://huronhack.substack.com/subscribe?&quot;,&quot;text&quot;:&quot;Subscribe&quot;,&quot;language&quot;:&quot;en&quot;}" data-component-name="SubscribeWidgetToDOM"><div class="subscription-widget show-subscribe"><div class="preamble"><p class="cta-caption">Gracias por leerme. Suscr&#237;bete gratis para recibir nuevos posts.</p></div><form class="subscription-widget-subscribe"><input type="email" class="email-input" name="email" placeholder="Type your email&#8230;" tabindex="-1"><input type="submit" class="button primary" value="Subscribe"><div class="fake-input-wrapper"><div class="fake-input"></div><div class="fake-button"></div></div></form></div></div><p>Siempre lo he utilizado, con respeto y orgulloso de hacerlo siempre. Es m&#225;s cercano, m&#225;s como soy yo.</p><p>No s&#233; ya ni cuantas newsletters<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-1" href="#footnote-1" target="_self">1</a> he intentado arrancar y se ha quedado en agua de borrajas. Mis inquietudes dentro de WordPress<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-2" href="#footnote-2" target="_self">2</a> o la ciberseguridad<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-3" href="#footnote-3" target="_self">3</a> siempre han estado presentes, pero adem&#225;s las soluciones nunca las he dado p&#250;blicamente en ning&#250;n medio.</p><p>A&#250;n debo darle un poco de forma, pero es que siempre me ocurre lo mismo, nunca consigo arrancar porque me voy en el momento de comenzar.</p><p>As&#237; que nada, seguramente est&#225;s aqu&#237;, lees esto, porque te gustan 3 cosas:</p><ul><li><p>La ciberseguridad sin duda alguna, porque para eso es El Hur&#243;n del Hack.</p></li><li><p>Porque adem&#225;s te gusta o usas WordPress.</p></li><li><p>Aprender, de ciberseguridad y WordPress. Que s&#237;, soy un especialista, no un experto, pero 4 ojos ven m&#225;s que 2</p></li></ul><p>De cualquier manera, o inter&#233;s, te quiero dar las gracias por leerme y que me tienes para dudas o simplemente, tomar un caf&#233;.</p><h2>WordPress</h2><p>Uso WordPress desde el a&#241;o 2011 y empec&#233; a emprender en el 2019. Para m&#237; es un CMS incre&#237;ble, con una comunidad enorme y que gracias a su ecosistema se puede dar soluci&#243;n a todo lo que necesitas.</p><p>Siempre se ha se&#241;alado a WordPress como que no es seguro y en parte estas personas tienen raz&#243;n. Pero a&#250;n as&#237;, discrepo.</p><p>Sea cual sea la v&#237;a de instalaci&#243;n de WordPress siempre lo hacemos mal. Por eso me aficion&#233; tanto a mis checklist<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-4" href="#footnote-4" target="_self">4</a>. Empec&#233; a crear webs sin br&#250;jula y eso me llev&#243; a diversos errores por mi parte.</p><p>Los checklist son algo &#237;ntimos para m&#237;, o mejor dicho, son procesos que vienen de la experiencia de cada uno y el m&#237;o, en Notion, lo tengo muy definido.</p><p>Tengo un checklist de WordPress que va desde la creaci&#243;n del proyecto hasta la entrega al cliente. Piensa que todo proyecto requiere de funcionalidades o personalizaciones y eso requiere adaptar en muchas ocasiones este checklist.</p><p>Te ayudar&#233; a crear el tuyo propio, si hace falta, pero si te dedicas a utilizar o crear webs con WordPress, lo suyo ser&#237;a crear tantos checklist como servicios ofrezcas.</p><h2>Ciberseguridad</h2><p>En ciberseguridad toco dos temas:</p><ul><li><p>Pentesting<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-5" href="#footnote-5" target="_self">5</a> web, sobre todo WordPress</p></li><li><p>OSINT<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-6" href="#footnote-6" target="_self">6</a>, que es algo que me apasiona y es uno de mis hobbys incluso.</p></li></ul><p>Para no extenderme mucho m&#225;s all&#225;, prefiero explicarlo m&#225;s adelante y que no se alargue mucho m&#225;s esta declaraci&#243;n de intenciones.</p><p>Mi intenci&#243;n no es otra que ense&#241;ar mi experiencia, ponernos todos al d&#237;a sobre Ciberseguridad y compartir nuestras inquietudes.</p><p>Comprende que la ciberseguridad en si es un terreno inexplorado siempre. Va creciendo y evolucionando cada d&#237;a y tenemos siempre que aprender, avanzar y saber encajar los golpes.</p><p>Esto &#250;ltimo, encajar los golpes, es para que comprendas que hasta yo mismo voy a bloquearme en un momento dado, tener errores y tener que consultar a otras personas de algo que no s&#233; resolver. Hay que ser honestos y es complicado saber de todo y adem&#225;s estar al d&#237;a.</p><p>Esto es algo que me ha inquietado mucho ya que siempre me han depositado la confianza en cuanto me han o&#237;do hablar sobre la ciberseguridad. Tenemos que pensar un poco en las otras personas y no conseguir likes ni suscripciones a nuestras redes sociales. Esto &#250;ltimo es muy importante porque la experiencia se consigue errando, investigando y consultando, no s&#243;lo haciendo CTF<a class="footnote-anchor" data-component-name="FootnoteAnchorToDOM" id="footnote-anchor-7" href="#footnote-7" target="_self">7</a>.</p><h2>Contacto</h2><p>Si quieres contactar conmigo:</p><p><a href="mailto:chabiangulo@chabiangulo.com">chabiangulo@chabiangulo.com</a></p><p>Para el Telegram de la comunidad, pronto&#8230; lo estoy estructurando.</p><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-1" href="#footnote-anchor-1" class="footnote-number" contenteditable="false" target="_self">1</a><div class="footnote-content"><p>Newsletter, una <strong>newsletter</strong> es como un <strong>bolet&#237;n informativo digital</strong> que se env&#237;a por correo electr&#243;nico a una lista de personas que se han suscrito voluntariamente. Es una forma de mantener el contacto, compartir novedades, dar valor o vender... sin parecer un vendedor de crece pelo</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-2" href="#footnote-anchor-2" class="footnote-number" contenteditable="false" target="_self">2</a><div class="footnote-content"><p>WordPress, <strong>WordPress</strong> es un sistema gratuito para crear y gestionar sitios web f&#225;cilmente, sin necesidad de programar. Es flexible, personalizable y usado por millones para blogs, tiendas y p&#225;ginas corporativas.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-3" href="#footnote-anchor-3" class="footnote-number" contenteditable="false" target="_self">3</a><div class="footnote-content"><p>Ciberseguridad, la <strong>ciberseguridad</strong> es el conjunto de pr&#225;cticas y tecnolog&#237;as que protegen sistemas, redes y datos frente a ataques, accesos no autorizados, fraudes y amenazas digitales. Es esencial en el mundo conectado.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-4" href="#footnote-anchor-4" class="footnote-number" contenteditable="false" target="_self">4</a><div class="footnote-content"><p>Checklist, un <strong>checklist</strong> es una lista de tareas o pasos que debes seguir para no olvidar nada importante. Ayuda a organizar, verificar y completar procesos de forma m&#225;s eficiente y segura.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-5" href="#footnote-anchor-5" class="footnote-number" contenteditable="false" target="_self">5</a><div class="footnote-content"><p>Pentesting, el <strong>pentesting</strong>, o test de penetraci&#243;n, es una t&#233;cnica para simular ataques a sistemas inform&#225;ticos con el fin de encontrar vulnerabilidades antes de que lo hagan los hackers reales.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-6" href="#footnote-anchor-6" class="footnote-number" contenteditable="false" target="_self">6</a><div class="footnote-content"><p><strong>OSINT</strong> (Open Source Intelligence) es la recopilaci&#243;n y an&#225;lisis de informaci&#243;n p&#250;blica disponible en internet, como redes sociales, webs o bases de datos, para obtener inteligencia &#250;til y estrat&#233;gica.</p></div></div><div class="footnote" data-component-name="FootnoteToDOM"><a id="footnote-7" href="#footnote-anchor-7" class="footnote-number" contenteditable="false" target="_self">7</a><div class="footnote-content"><p><strong>CTF</strong> (Capture The Flag) es un tipo de competencia de ciberseguridad donde los participantes resuelven retos t&#233;cnicos, como hackear, descifrar o investigar, para encontrar "banderas" ocultas y ganar puntos.</p></div></div>]]></content:encoded></item></channel></rss>