Artwork for podcast La Red Privada
Episodio 0066 - WIFI vulnerable y la WIFI que te espia
Episode 666th June 2026 • La Red Privada • Hector Fuentes
00:00:00 00:58:19

Share Episode

Shownotes

Bienvenidos a LA RED PRIVADA, Soy Hector Fuentes

En este episodio de La Red Privada, desarmamos tres temas críticos que amenazan la privacidad y la seguridad de los usuarios en México y el mundo.

Primero, analizamos el alarmante reporte de vulnerabilidades en las sedes del Mundial 2026: el 17% de las redes públicas operan con protocolos obsoletos, abriendo la puerta a ataques Evil Twin y Man-in-the-Middle. Además, nos sumergimos en la física de la radiofrecuencia para explicar cómo el Wi-Fi Sensing (CSI) convierte los routers modernos en radares pasivos capaces de espiar micromovimientos, latidos y respiración a través de las paredes. Finalmente, desglosamos las implicaciones legales y técnicas de la reciente tipificación del phishing en la Ciudad de México: ¿un avance penal o un riesgo para los peritos informáticos?

En este episodio cubrimos:

  • Introducción
  • Radiografía de las redes Wi-Fi públicas rumbo al Mundial 2026.
  • Protocolos obsoletos, Evil Twin y robo de credenciales bancarias.
  • La física del Wi-Fi: RSSI vs. CSI (Channel State Information).
  • Cómo tu router puede convertirse en un sensor biométrico pasivo.
  • Análisis a la nueva ley contra el phishing en CDMX: Penas y agravantes.
  • Las zonas grises legales que ponen en riesgo el análisis forense digital.
  • Conclusiones y contramedidas.

Informacion de Contacto:

Whatsapp: chat.whatsapp.com/CyCMw8juKot7P07xfVfUaz

Telegram: t.me/laredprivada

Web: hectorfe.com

Para agendar una cita presencial o por videoconferencia, ingresa a la página y haz clic en el botón “Registra una cita” o simplemente hazlo desde aquí.







Transcripts

Speaker:

Bienvenidos a la red privada, yo soy Héctor Fuentes.

Speaker:

Hoy, 6 de junio de 2026, vamos a tener un programa muy interesante.

Speaker:

Va a salir de varios temas pequeños, porque son básicamente noticias de,

Speaker:

Algunas investigaciones acerca

Speaker:

del Wi-Fi, como ya se acerca del asunto de la FIFA y aquí en México.

Speaker:

Entonces, los riesgos de seguridad en el Wi-Fi es el tema central y de ahí algunas

Speaker:

derivadas del mismo tema,

Speaker:

del Wi-Fi vulnerable en las sedes como Guadalajara, Monterrey,

Speaker:

Ciudad de México, ¿verdad?

Speaker:

Entonces de eso vamos a hablar, también hay un nuevo servicio de VPN gratuito que vale la pena.

Speaker:

Mencionarlo porque es un VPN nuevo un nuevo proveedor de servicios de VPN pero,

Speaker:

en realidad a mí no me gustan las cosas gratuitas porque dicen que uno es el

Speaker:

producto pero en este caso vale la pena porque es un VPN que,

Speaker:

pues como va empezando pues aunque

Speaker:

tiene restricciones pero no tiene restricción de

Speaker:

velocidad ni de megabytes ni de megabytes o gigabytes de transferencia entonces

Speaker:

con eso es suficiente aunque es se puede seguir en la sede donde te vas a conectar

Speaker:

pues es random vas al azar porque es gratuito pero vale la pena entonces Entonces,

Speaker:

vamos a mencionar este proveedor y algún otro tema por ahí que salga en el transcurso del programa.

Speaker:

Entonces, sin más, bienvenidos de nuevo y empezamos.

Speaker:

Bueno, entonces empezamos con el tema del día de hoy, que es acerca del Wi-Fi.

Speaker:

Y eso es porque un estudio de un equipo de investigación que se llama GREAT,

Speaker:

o sea, se abrevia, que es Global Investigative Analysis, de Kaspersky,

Speaker:

evaluó una infraestructura pública, pues, por lo del fútbol,

Speaker:

o sea, para ver cómo estaban los Wi-Fi gratuitos que hay en las ciudades, que vas al hotel,

Speaker:

que vas al parque, que vas al café, en cualquier restaurante,

Speaker:

en todos los lugares públicos.

Speaker:

Y hizo una investigación de más de, se analizaron más de 84 mil señales Wi-Fi

Speaker:

y casi 70 mil puntos de acceso público en las ciudades sede,

Speaker:

que son Guadalajara,

Speaker:

Monterrey y la Ciudad de México y que fue lo que se detectó.

Speaker:

Que casi el 17% o sea, uno de cada seis de esos puntos de acceso son inseguros,

Speaker:

o sea, debido a que cuentan con un cifrado débil o no existe el cifrado o sea,

Speaker:

esto Esto ya es conocido en el ámbito de la ciberseguridad, la informática forense y todo esto.

Speaker:

Y pues todo el mundo que está en el mundo de la computación sabe que el Wi-Fi, el WPS famoso...

Speaker:

No se debe de tener activo, o sea, muchos routers antiguos lo traían como predeterminado

Speaker:

activo, prendido, y pues eso es una.

Speaker:

Es una falla de seguridad muy, muy grave, o sea,

Speaker:

que claro, es mejor eso a que no tenga nada de ni contraseña que está abierto completamente,

Speaker:

pero no hay gran diferencia porque va a ser que el famoso WPS es un código numérico

Speaker:

como un pin de 4 o 6 dígitos máximo entonces con un brute force se puede fácil,

Speaker:

detectar entonces básicamente es como que no existe,

Speaker:

y todavía si hay unos que ya traen un pin predeterminado por la marca y por el año y por todo eso,

Speaker:

entonces pues se reduce todavía más a lo mejor el 1, 2, 3, 4 0,

Speaker:

0, 0, 1, 1 1, o sea etcétera, entonces,

Speaker:

todavía se reduce más el número de de.

Speaker:

Como se puede decir, de combinaciones numéricas que se pueden que se ocupan para entrar a esa señal.

Speaker:

Entonces, básicamente, se puede decir,

Speaker:

que no es nada, nada seguro, ¿no? Entonces, y también detectaron,

Speaker:

por ejemplo, que en un desglose.

Speaker:

Esta investigación dice que la tasa de riesgo varía ligeramente entre las ciudades

Speaker:

que albergan los partidos,

Speaker:

presentando dos problemas principales, la falta general de seguridad y la presencia

Speaker:

de configuraciones obsoletas, como el WPS, y las redes inseguras, o sea,

Speaker:

entonces, por ejemplo, en Guadalajara existen 18.5% de redes inseguras,

Speaker:

y ¿cuáles son las redes inseguras?

Speaker:

Vamos a decir que las redes inseguras son primero,

Speaker:

las redes abiertas porque la gente dice hay internet gratuito y sin clave super

Speaker:

bien y ahí va todo el mundo en este mundo de la ciberseguridad,

Speaker:

existen unos dispositivos que se llaman honeypots que se ponen dentro de las

Speaker:

redes y estos son es como al proceso de bajar y pues no es como.

Speaker:

Un vaso con miel y entonces llegan las abejas y luego,

Speaker:

huelen la miel y vámonos o sea igual entonces la gente dice oh un wifi abierto

Speaker:

y está rápido y le ponen un nombre atractivo o sea vamos a decir que,

Speaker:

si estás en un café pues que se camuflaje con el con el lugar,

Speaker:

¿no? Ah, estoy en un café.

Speaker:

Entonces, ah, el nombre de la red.

Speaker:

Café late, ¿no? Y la clave, uno, dos, tres, o sin clave, ¿no?

Speaker:

Este, y entonces la gente se conecta porque dice, oh, pues, está,

Speaker:

es del café, o sea, y a lo mejor no.

Speaker:

O sea, puede ser que si la red sea del café legítimamente, pero también puede

Speaker:

ser que alguien esté simulando un wifi como un man in the middle, se puede decir,

Speaker:

y no es nada difícil hacer eso.

Speaker:

Simplemente conectes una tarjeta inalámbrica como un, vamos a decir,

Speaker:

un dispositivo de marca Alpha que tú puedas.

Speaker:

A transferir, recibir y inspeccionar paquetes, ¿no?

Speaker:

Entonces, a través de, vamos a decir, WireShark. Entonces,

Speaker:

un dispositivo alfa con el WireShark

Speaker:

y simulas un Wi-Fi conectado al Wi-Fi genuino del móvil de un café.

Speaker:

Entonces tú puedes

Speaker:

ver todo todo el contenido

Speaker:

este quien quien

Speaker:

no esté cifrado porque también hay que

Speaker:

tomar en cuenta que las páginas ya todas tienen htps es la mayoría

Speaker:

entonces tal vez no puede ver todo el tráfico claro o sea una vez que tú eres

Speaker:

man in the middle o sea tiene ese posible poder y le puedes bajar el grado de

Speaker:

seguridad a través de otro procedimiento,

Speaker:

pues no voy a explicar todo aquí.

Speaker:

Y pues le dices, oye, esta página no existe con HTTPS, pero está la página.

Speaker:

HTTP y le baja la seguridad y pues la persona cree que está en la página original

Speaker:

o no o aunque los navegadores ya te avisan, pero la gente ni caso les hace,

Speaker:

entonces se comunican a través del HTP.

Speaker:

Y ya que no va cifrado, pues ahí sí puede ver todo lo que está mandando y recibiendo,

Speaker:

y si quieres capturarlo, pues lo capturas, y si no, pues no lo capturas,

Speaker:

pero por lo menos lo puedes ver.

Speaker:

Y entonces, esto es así como, vamos a decir, algo muy,

Speaker:

estoy hablando muy general, muy así, porque no se trata de dar una clase de

Speaker:

hacking ético ni nada de eso, ¿no?

Speaker:

O sea, y aunque sería muy bueno, porque es para aprender a protegerse, ¿no?

Speaker:

O sea, entonces, así que ya saben que si su navegador les manda un mensaje que

Speaker:

dice Oye, te bajaron el cifrado de HTTPS a HTTPS, ah, un problema.

Speaker:

Mejor me cambio de red o cierro esta página y abro con el mismo otro navegador y a ver qué pasa, ¿no?

Speaker:

O sea, pero mejor me cambio de red y uso mi VPN, ¿no?

Speaker:

O sea, entonces más vale, ¿no?

Speaker:

O sea, y bueno, después decía que en Guadalajara pues las redes inseguras es el 18.5%,

Speaker:

El Monterrey es el 17.2% y en la Ciudad de México 16.5% de las redes son inseguras.

Speaker:

Y seguras pues por eso o porque tienen

Speaker:

son redes abiertas o porque

Speaker:

son redes falsas que simulan son una red pues una red genuina no pero lo que

Speaker:

tiene que lo que siempre tiene en común general o sea generalmente las redes es de que te ponen,

Speaker:

una red siempre abierta para que la gente piense, wow, está abierta.

Speaker:

No ocupo ni clave ni nada, y ahí va la gente.

Speaker:

Y otra es que le ponen la clave, pero muy sencilla,

Speaker:

así como, es más, casi te la ponen en el nombre, la red café clave late,

Speaker:

y así 1, 2, 3, 4, 5 es algo muy fácil entonces,

Speaker:

esas son como las cosas con que se puede uno fijar y se da cuenta cuando algo

Speaker:

así como que esto no encaja aquí,

Speaker:

también otra cosa es si hay varias redes en el mismo lugar o sea por ejemplo,

Speaker:

si es un café vamos a decir que Porque estamos hablando de la gente que viene

Speaker:

de afuera y que no es de aquí.

Speaker:

Entonces va a ir a un lugar y va a llegar a un restaurante, a un café, ¿no?

Speaker:

Entonces, si eres de café, vamos a decir.

Speaker:

Un café, no sé, el latte, este, el nombre del café, entonces, ah, ok.

Speaker:

Y, ¿cómo se llama?

Speaker:

La red no pues este un late

Speaker:

caramelo no se llama

Speaker:

la red del wifi no te cortas al late

Speaker:

caramelo no es que pero si si hay varias redes iguales si puede haber porque

Speaker:

hay varias frecuencias muchas veces si tienen prendidos así del wifi con 2.4

Speaker:

gigahertz pues este y el 5 gigahertz y también está el hermano que de 6,

Speaker:

o sea, puede haber esas 3 redes con el mismo nombre, o sea, pero ahí hay que

Speaker:

fijarse si son diferentes.

Speaker:

Frecuencias, si vamos a decir, si es la misma frecuencia entonces está raro

Speaker:

o sea, es decir que una de las redes está clonada, o sea, y aparte se puede

Speaker:

clonar con otro nombre, también por eso, si están igual de fuertes todas las

Speaker:

redes, vamos a decir, la misma,

Speaker:

que todas tienen 5 rayitas,

Speaker:

y aunque tengan diferentes nombres pero...

Speaker:

Vamos a decir, hay dos que son 2.4, dos redes con nombres diferentes, pero de 2.4 y 5 rayitas.

Speaker:

Y dices, oh, está muy raro esto, porque, vamos a decir, si tiene la misma potencia,

Speaker:

es decir, que está más o menos en el mismo lugar.

Speaker:

Y para que un café, por ejemplo, un restaurante va a tener dos redes con la

Speaker:

misma frecuencia, con la misma potencia,

Speaker:

es como vas a poner dos aparatos, vas a poner, generalmente los negocios no

Speaker:

quieren gastar tanto en esas cosas, lo menos que se puedan,

Speaker:

entonces eso es lo que hay que fijarse, llegas a un lugar y dices,

Speaker:

a ver, ¿cuántas redes hay aquí que tengan la misma potencia?

Speaker:

1, 2, 3 ok, ahora vamos a ver si de esas que tienen la misma potencia están en la misma,

Speaker:

frecuencia 2.4, 5, 6 GHz o,

Speaker:

están en diferente si están en diferente podría ser genuino o sea pero si,

Speaker:

están en la misma frecuencia es más extraño o sea, no necesariamente pero son

Speaker:

como indicios que uno se tiene que ir fijando para ir como teniendo una idea que sí que no,

Speaker:

y claro pues si ya dices, bueno, no quiero andar batallando con wifi,

Speaker:

mejor agarro mi teléfono, comparto mi internet y me conecto al internet desde mi teléfono,

Speaker:

la computadora la conecto desde mi teléfono y de ahí me parece súper súper recomendable entonces.

Speaker:

Esa es la la la parte interesante no y también aquí,

Speaker:

La sede, por ejemplo, de Guadalajara, que decía que tiene, esa es otra estadística,

Speaker:

que tiene 50.9% de redes Wi-Fi con el WPS activo.

Speaker:

Y como dijimos al principio, el WPS activo es una falta de seguridad muy grave

Speaker:

que ya ni se debería hablar porque es algo estándar.

Speaker:

O sea, que cualquier persona que sepa un poquito de computación sabe que cuando

Speaker:

compra un router, si aún trae WPS, lo debe apagar.

Speaker:

Lo primero que debe hacer es entrar y desactivar esa función.

Speaker:

Igual. Entonces, también, por ejemplo, Monterrey dice que el 47.5% de las redes tiene el WPS activo.

Speaker:

Y en la Ciudad de México el 53.7%. O sea, fíjense, más de la mitad de las redes

Speaker:

tienen WPS activo. Entonces, ¿eso qué debe decir?

Speaker:

Que si ustedes se conectan a una de las redes que tienen WPS activo y supongamos

Speaker:

que sea un router de los más comerciales que hay o hasta los que te da,

Speaker:

vamos a decir Telmex, Telnor,

Speaker:

Easy, todas esas empresas.

Speaker:

Que vamos a suponer que tienes disponibles 250 IPs, ¿no?

Speaker:

Y que para que no esté lento, que el administrador lo limitó a 100 IPs.

Speaker:

Entonces 100 personas se pueden conectar a ese aparato. Y si hay 100 personas

Speaker:

conectadas, ¿cómo sabes que uno de esos no está.

Speaker:

Pues capturando tráfico

Speaker:

de esa red o sea

Speaker:

o sea que porque con

Speaker:

WPS pues es fácil entrar en la red wifi por eso debe estar desactivado todo

Speaker:

el tiempo pero de aquí en la ciudad de México en Guadalajara y en Monterrey

Speaker:

pues básicamente todos tienen se puede decir si Si lo hacemos así como redondeo,

Speaker:

pues el 50%, o sea,

Speaker:

de todas las redes están vulnerables, o sea, la mitad,

Speaker:

o sea, en cualquiera de las tres ciudades que llegues, o si vives en una de esas,

Speaker:

pues vas a, te conectas en una red pública, tienes el 50% de la probabilidad

Speaker:

de que, pues, puede ser hackeada, porque tiene WPS activo.

Speaker:

Así que, como se fijan,

Speaker:

no es nada bueno conectarse a las redes públicas, entonces ¿cuál es la recomendación?

Speaker:

Pues que no usen las Wi-Fi públicas, que tengan WPS.

Speaker:

O sea, cuando se conectan en su celular, por ejemplo, la computadora,

Speaker:

pueden seleccionar a qué tipo de redes se pueden conectar.

Speaker:

Entonces, ahí debería ser WPA2, por lo menos.

Speaker:

O sea, WPA, claro que es mejor que WPS.

Speaker:

Pero es vulnerable también aunque un poquito más seguro que WPS vamos a decir

Speaker:

pero para estar bien seguros WPA2 o WPA3,

Speaker:

o sea si en su teléfono en su computadora en la conexión de wifi ahí dice ¿a

Speaker:

qué redes me puedo conectar?

Speaker:

Y si le pones automático pues se conecta a todas pero tú le puedes seleccionar

Speaker:

ahí en cualquiera en Windows, en Mac que en Android, en iOS,

Speaker:

a qué tipo de conexión o protocolo te puedes conectar.

Speaker:

Entonces, si le seleccionas, por ejemplo, el cifrado más moderno como WPA2 o

Speaker:

WPA3, pues estás más seguro.

Speaker:

No quiero decir que estés 100% seguro, pero mucho, mucho más seguro que WPS.

Speaker:

Ok, entonces Ese es el El asunto del.

Speaker:

Del wifi Y Tengo una sorpresa en este mismo tema Pero vamos a hacer Una pausa

Speaker:

de unos segundos Y continuamos.

Speaker:

Ok, este tema Está súper Súper interesante, bueno a mi me encanta No sé, no sé La verdad Este...

Speaker:

Pero voy a tratar de hacer una versión así como muy, muy reducida,

Speaker:

muy compacta, así para que no,

Speaker:

con términos un poco lo más claro que se pueda, porque es algo que tiene que

Speaker:

ver con, pues básicamente,

Speaker:

¿cómo se puede decir?

Speaker:

Pues la física detrás del wifi.

Speaker:

Es algo medio complejo, pero vamos a tratar de hacerlo,

Speaker:

así como resumirlo unos 5 o 10 minutos máximo y que quede así como la idea clara.

Speaker:

Entonces.

Speaker:

Bueno, ¿de qué se trata? Primero Este,

Speaker:

Pues pueden buscarlo también Por internet En youtube donde quieran Y hay un

Speaker:

montón No es algo nuevo Pero no se porque no se difunde tanto No se porque no

Speaker:

No se hace como ese tipo de conciencia De la gente,

Speaker:

De cuando se está al wifi Yo por ejemplo En la oficina no tengo wifi para nada todo está cableado,

Speaker:

claro que eso no salva o no me salva mucho porque tendría que estar aislada

Speaker:

en la oficina para que no entre en redes wifi de otros lugares y tengan el mismo

Speaker:

efecto pero ¿de qué estamos hablando?

Speaker:

Ya se lo imaginan ¿verdad? ok entonces y.

Speaker:

Vamos a decir que básicamente los routers pueden pueden comportarse como radares

Speaker:

no así hace como radares pasivos para mapear el espacio físico y detectar movimiento

Speaker:

sin necesidad de cámaras,

Speaker:

y así es como funciona a nivel técnico no sé si lo así lo vamos a manejar no

Speaker:

ser imagínense que Cada aparato wifi que tengan en su casa, su oficina,

Speaker:

donde sea En el café,

Speaker:

en el restaurante Está transmitiendo una señal ¿No?

Speaker:

Entonces, la señal wifi no viaja en la línea recta Perfecta,

Speaker:

o sea, no Entre el router y tu teléfono.

Speaker:

Rebota la señal en las paredes En los muebles y pues en los cuerpos humanos,

Speaker:

en las mascotas, en todos lados, ¿no?

Speaker:

Y eso se conoce como propagación multitrayecto.

Speaker:

En inglés se llama multipath propagation, ¿no?

Speaker:

Entonces, cuando una persona se mueve en una habitación, altera la geometría

Speaker:

de cómo rebotan las ondas.

Speaker:

Porque si saben, pues son ondas electromagnéticas, ¿no?

Speaker:

O sea, eso es esencial, ¿no?

Speaker:

O sea, entonces todo eso no debería ni de explicarlo, ¿no?

Speaker:

Porque es algo básico, ¿no? Se puede decir.

Speaker:

Ok, bueno, entonces, y, ok, dice, ¿y qué tiene que reboten, no?

Speaker:

O sea, las ondas, ¿no?

Speaker:

O sea, ¿qué importa que reboten? Pues para estos rebotes se interpretan.

Speaker:

Y para eso existen dos tipos de mediciones de los rebotes de las ondas.

Speaker:

Espero que si me esté explicando vamos a decir como metros, centímetros o sea,

Speaker:

ese es otro tipo de medición que mide

Speaker:

como en qué está

Speaker:

rebotando y cómo rebota si se

Speaker:

imagina como una habitación que fuera vamos a decir que esté llena de vamos

Speaker:

a decir como de humo blanco y que cuando se van moviendo van dejando la estela

Speaker:

y van viendo cómo se mueve el humo blanco ese.

Speaker:

Pero pues esto es invisible. Entonces.

Speaker:

El primer método se llama RSSI. ¿Qué quiere decir?

Speaker:

En inglés es Recibe Signal Strength de Fuerza Indicator.

Speaker:

Entonces es que esto es el método, se puede decir,

Speaker:

más básico, y el RSSI mide la potencia o la fuerza de la señal que llega al

Speaker:

receptor, vamos a decir,

Speaker:

Entonces, cómo detectan los movimientos, ¿no?

Speaker:

Entonces, si caminas entre el router y la computadora,

Speaker:

tu cuerpo absorbe y bloquea parte del agua y la señal de radiofrecuencia, ¿no?

Speaker:

Porque el cuerpo tiene agua, entonces bloquea parte de la señal en la radiofrecuencia,

Speaker:

provocando, vamos a decir, una caída temporal.

Speaker:

Te pones en el... creas como una distorsión, te pones entre medio la señal,

Speaker:

¿no? Porque te estás moviendo.

Speaker:

Entonces, detecta esas distorsiones, ¿no?

Speaker:

Y este protocolo, o sea, esta medición, pues es muy ruidoso o inestable, o sea,

Speaker:

no tiene algo muy,

Speaker:

o sea, nomás sirve para decir algo grande cruzó por aquí, una mascota,

Speaker:

una persona o algo pero este sistema de medición no te puede dar,

Speaker:

detalles muy precisos

Speaker:

o detalles finos pero es así como empezó todo luego está el otro La otra forma de medición es el CSI,

Speaker:

que se llama Channel State Information.

Speaker:

Que es el verdadero, vamos a decir, entre comillas, sensor, ¿no?

Speaker:

Entonces, aquí es donde la terapia se vuelve así como mucho más precisa,

Speaker:

se puede decir, quirúrgica, así como, ¿no?

Speaker:

Súper, ¿no? Entonces, y aquí, en este, en el CSI, es el, vamos a decir,

Speaker:

el verdadero riesgo de la privacidad.

Speaker:

A diferencia del RSSI, el CSI desglosa la señal en múltiples subportadoras gracias

Speaker:

a la modulación OFDM que usan las redes modernas.

Speaker:

Ahorita vamos a explicarlo, ¿no?

Speaker:

Pero, básicamente, la extracción de metadatos.

Speaker:

El CSI no solo mide la fuerza de la señal como la anterior, sino también la

Speaker:

amplitud, la fase de cada una de las ondas individuales. ¿Ok?

Speaker:

Entonces, tiene una precisión micrométrica.

Speaker:

Al registrar las alteraciones en las fases de las ondas, el CSI captura patrones

Speaker:

de interferencia increíblemente detallados.

Speaker:

Con ayuda de algoritmos de inteligencia artificial y machine learning,

Speaker:

se puede limpiar el ruido de estos datos para identificar firmas únicas aquí está el problema,

Speaker:

y que es lo que puede revelar el CSI, es tan preciso que puede distinguir si

Speaker:

una persona está caminando,

Speaker:

cayéndose, tecleando si está sentada incluso si estás simulando que estás tecleando

Speaker:

en el aire ya ves que a veces como que mueve los dedos así, como que estás tecleando.

Speaker:

Hasta eso lo puede.

Speaker:

Detectar. También el movimiento de tu respiración.

Speaker:

El latido del corazón. Todo eso lo puede detectar. Y ni cuenta te das.

Speaker:

Nomás por tener el wifi prendido.

Speaker:

Luego...

Speaker:

Pues, ¿qué implica, no? ¿Qué implica esto?

Speaker:

O lo podemos detallar más, pero creo que es suficiente, ¿no?

Speaker:

Ahí díganme en los comentarios si quieren que hagamos una versión bien detallada de esto.

Speaker:

Desde la perspectiva del análisis forense, por ejemplo,

Speaker:

y la ciberseguridad, Eso transforma cualquier router moderno en un radar que te espía, ¿no?

Speaker:

Y existe un estándar que se llama Wi-Fi Sensing, que así como,

Speaker:

vamos a decir, de pura casualidad.

Speaker:

Los ejércitos de algunos países bélicos, ya tienen años usándolo, el Wi-Fi Sensing,

Speaker:

es un sensor biométrico pasivo,

Speaker:

Y si un atacante logra comprometer el router y extraer la telemetría del CSI,

Speaker:

puede saber exactamente cuántas personas hay en una habitación.

Speaker:

Puede monitorear sus patrones de actividad a través de las paredes.

Speaker:

O sea, puede salir de ti todo sin una cámara, o sea, a través de las paredes,

Speaker:

todo utilizando simples paquetes de red, o sea, porque ya saben,

Speaker:

los paquetes de red son cómo funciona el TCP y IP, cómo funciona el internet,

Speaker:

pues a través de paquetes, o sea, no sé.

Speaker:

Y vamos a decir todavía más específicos, ¿no?

Speaker:

O sea, paquetes secuenciados, ¿no? O sea, porque así funciona el TCP y IP, ¿no?

Speaker:

O sea, agarra el paquete, lo manda, o sea, y pues ya saben el...

Speaker:

Bueno, como si me pongo a explicar cuáles son los siete pasos del TCP y IP,

Speaker:

de principio a fin como del hardware hasta el software o al revés,

Speaker:

el software hasta el hardware los siete pasos es muy técnico los siete layers del TCP y P,

Speaker:

o los básicos, los siete layers básicos porque

Speaker:

después cada uno se subdivide y un montón

Speaker:

de cosas pero al final de

Speaker:

todo son paquetes son paquetes de datos que se envían de un punto a otro de

Speaker:

una dirección IP que sale a través de una tarjeta una NIC.

Speaker:

Y esa puede ser a través de Ethernet o puede ser a través de Wi-Fi entonces,

Speaker:

ya son otros detalles que ya salen del tema principal que es este de la seguridad.

Speaker:

Pues el problema aquí está en el Wi-Fi ahora.

Speaker:

¿Tienes Wi-Fi en tu casa? ¿Tienes Wi-Fi en la oficina?

Speaker:

Yo siempre he recomendado cableado. No me hacen caso porque es más fácil el Wi-Fi, ¿no?

Speaker:

Y sí, pues es el mismo que el teléfono lo conectes, vamos a decir,

Speaker:

y con cable, pues sí se puede, ¿eh?

Speaker:

Sí se puede, pero pues no es nada práctico.

Speaker:

O sea, sí entiendo esa parte,

Speaker:

pero la verdad deberían de eliminar o minimizar el uso del Wi-Fi y...

Speaker:

Si es por ejemplo la oficina, no tiene necesidad para nada de Wi-Fi.

Speaker:

Y el cableado ya en esas épocas, a esas alturas, ya el cableado ya ni es tan caro.

Speaker:

O sea, la verdad, ya un cableado estructurado, o sea,

Speaker:

categoría 5E, 6, 6 a menos que sea para exterior, porque para el interior no se ocupa categoría 6.

Speaker:

O sea, la verdad, para lo normal de todos los días, pues no.

Speaker:

A menos que me da un cable por el exterior, pues sí categoría 6 para que esté

Speaker:

protegido contra el sol, radiación y todo lo demás, ¿no?

Speaker:

Entonces, pero pues ni es tan caro.

Speaker:

O sea, la verdad, vale la pena hacer el esfuerzo y por ejemplo si en la casa

Speaker:

tiene una televisión conectada al internet con wifi, pues mejor conecten un

Speaker:

cable al router y deshabilitan el wifi de la televisión.

Speaker:

La televisión, tu cuerpo y la seguridad te lo van a agradecer.

Speaker:

Así que ese tema que acabo de tratar así de forma rapidita, porque no quiero,

Speaker:

me trae muy técnico o sea muy así,

Speaker:

pues nomas imagínense que el wifi es un radar que está diciendo que están haciendo

Speaker:

en su casa en su oficina en todo y,

Speaker:

imagínense que está teclando o sea si notan que están teclando o sea y a través

Speaker:

de la IA al rato vas a poder saber que teclas estás apretando si me entienden o sea o sea,

Speaker:

Al rato vas a poder, a través de las paredes vas a poder saber qué teclas,

Speaker:

qué contraseña estás tecleando.

Speaker:

O sea, cómo está tu corazón latiendo, si estás estresado, si estás angustiado,

Speaker:

si tomaste mucho café y todo esto.

Speaker:

Entonces, pues ya depende de ustedes si les gusta ser espiados, ¿verdad?

Speaker:

Porque eso parece al no hacer algo al respecto, ¿no?

Speaker:

Entonces, porque siempre lo más fácil es ir siempre a salir ganando,

Speaker:

¿no? Lo más práctico, ¿no?

Speaker:

Entonces, ok. este tema fue un tema nomás porque como estaba hablando del wifi,

Speaker:

del estadio del FIFA que ya viene a México y eso pues se me ocurrió,

Speaker:

agregar este mini pedacito de algo extra acerca de lo mismo tema del wifi,

Speaker:

entonces ese fue un tema extra y ahora sí Y vamos con el último tema del programa

Speaker:

del día de hoy y continuamos.

Speaker:

Bueno, entonces vamos a hablar de un tema importante.

Speaker:

Pues más en el área político-legal, pero es acerca del pitching.

Speaker:

Pero esto que voy a decir pasa cuando políticos y esa gente hacen cada ley que

Speaker:

no entienden el contexto y no saben las implicaciones técnicas que conllevan.

Speaker:

Entonces, nomás se fijan en lo político, en lo que va a salir en el periódico.

Speaker:

Wow, eso nos va a dar votos, no sé qué se fijará.

Speaker:

Pero bueno, esa es una ley, una reforma.

Speaker:

A una reforma que adiciona una fracción al artículo 231 del Código Penal para el Distrito Federal,

Speaker:

o sea, para la Ciudad de México, dotando al pitching como una identidad jurídica propia.

Speaker:

Pero, ¿por qué aunque sea para la Ciudad de México lo digo así?

Speaker:

Porque generalmente después agarran y copian, y decían, pues,

Speaker:

ah, vamos a estar a nivel nacional.

Speaker:

Entonces, pues lo bueno es que ahorita,

Speaker:

Nomás está para la Ciudad de México Pero no dudo que pronto Eso se expanda Y

Speaker:

bueno, ok Entonces, ¿de qué se trata esta cosa?

Speaker:

Dice, primero tiene una penalidad severa Establece

Speaker:

que las sentencias Van de 3 a 9 años de prisión Acompañadas por multas económicas

Speaker:

Después dice la ley persigue específicamente el acto de enviar al suelo digital ya sea por SMS,

Speaker:

correo llamadas o sitios web falsos donde el atacante suplanta la identidad

Speaker:

de instituciones bancarias gubernamentales o proveedores de servicios para extraer credenciales,

Speaker:

dinero o datos ok y cuáles son los agravantes de vulnerabilidad, dice.

Speaker:

Un asiento jurídico de la forma en que las penas se incrementan automáticamente

Speaker:

si el delito se comete contra sectores demográficos específicos,

Speaker:

como adultos mayores,

Speaker:

personas con discapacidad o

Speaker:

menores de edad, quienes son los principales objetivos de estas campañas.

Speaker:

Ok, entonces, pero aquí si se fijan, o sea,

Speaker:

pues, luego leyendo se te das cuenta de algunas implicaciones técnicas y algunas

Speaker:

zonas grises, por ejemplo,

Speaker:

a pesar de que es un avance legal, pues, ha tenido sus críticas, ¿no?

Speaker:

Porque debido a que pues es deficiente su redacción, pues así de fácil o sea por ejemplo,

Speaker:

en lugar de centrarse estrictamente en la ingeniería social y la suplantación

Speaker:

de identidad o sea que eso es lo principal del pitching, porque el pitching

Speaker:

es suplantar la identidad de alguien o de alguna empresa,

Speaker:

de algo para que tú creas que estás conectándote con el banco,

Speaker:

con una entidad de gobierno, con una empresa.

Speaker:

Y la redacción de la ley apila términos informáticos inconectos,

Speaker:

porque no saben y no preguntan, son unos idiotas.

Speaker:

O sea mezclan conceptos como radiodifusión red de redes o sitios espejo o sea.

Speaker:

Reinyección de datos y manipulación de vulnerabilidades del sistema operativo.

Speaker:

O sea, esta falta, o sea, son cosas, o sea, red de redes.

Speaker:

O sea, está hablando del internet, porque red de redes no necesariamente es el internet.

Speaker:

O sea, tú puedes tener un intranet, tú puedes tener un extranet.

Speaker:

O sea, o el internet, ¿no?

Speaker:

O sea, son cosas diferentes y a todos y todos esos son redes de redes, ¿no?

Speaker:

O sea, claro que se entiende, se puede asumir que...

Speaker:

Quieren decir internet cuando hablan de redes, pero no es, se puede decir un

Speaker:

término exacto, red de redes.

Speaker:

Por ejemplo, sitios espejo está mal también.

Speaker:

O sea, ¿qué es eso? ¿Qué sitios espejo? O sea,

Speaker:

sitios espejo, tú puedes tener un sitio y puedes tener la réplica de tu sitio

Speaker:

por si se cae de un servidor,

Speaker:

Lo tienes duplicado en otro lugar Aunque no sea visible No sea público en el

Speaker:

momento Pero lo puedes tener en otro De hecho es muy común Por ejemplo en las bases de datos Tener,

Speaker:

es más, los discos duros Cuando tú tienes un RAID 10 O vamos a decir.

Speaker:

Que es Un mirror, así se llama de hecho Mirror,

Speaker:

que es un disco duro Copia al otro disco duro Si entienden O sea,

Speaker:

entonces no es así como un sitio de internet, un sitio de espejo puede ser legal,

Speaker:

o sea, no necesariamente tiene que ser ilegal.

Speaker:

Sí puede ser que ese sitio de espejo esté copiando o reflejando otro genuino

Speaker:

y eso es una copia ilegal, sí puede ser, pero no necesariamente un sitio de espejo es ilegal.

Speaker:

O sea, entonces, son tantas cosas que, ¿qué onda con estos cuates?

Speaker:

O sea, espero que esa ley, si un día se llega a la ley nacional,

Speaker:

que esté bien redactada.

Speaker:

La verdad es una super gacho la falta de previsión técnica.

Speaker:

Pues no sé los ministerios públicos no sé cómo le van a hacer ¿no?

Speaker:

O sea, ¿cómo van a armar el caso?

Speaker:

O sea, porque está cañón eso. O sea, y aparte, como está tan mal,

Speaker:

pues el riesgo de criminalización del sector profesional pues es eminente, ¿no?

Speaker:

Al tener una redacción tan amplia y no delimitar con precisión la intención

Speaker:

maliciosa, o sea, el dolo, pues,

Speaker:

la reforma genera un vacío legal.

Speaker:

Y para los especialistas que trabajan en estos incidentes,

Speaker:

la ley no traza una línea clara que proteja el análisis forense informático del otro.

Speaker:

O sea, las pruebas de penetración el pen testing que se llama que es algo legal

Speaker:

que hasta las empresas lo solicitan a ver,

Speaker:

trata de hackearme mi red para ver que tan segura está es un servicio o sea,

Speaker:

quiero que me des un informe de mi red si está seguro o no.

Speaker:

Entonces ya vas con tu equipo y todo y trata de hackear la red,

Speaker:

ah, no, pues no puede hackearla, está súper segura porque mira,

Speaker:

está así, o al revés, ¿no?

Speaker:

Ah, sí, pues mira, usé estos procesos, metodología, usé este software,

Speaker:

usé este equipo, y traté de infiltrarme en su red, pero no se pudo, o sí se pudo, ¿no?

Speaker:

Ah, sí se pudo porque mira, aquí no se ha cifrado, aquí esto,

Speaker:

aquí lo otro, y ya sabe la empresa que hacer para remediar eso, ¿no? Y eso es legal.

Speaker:

Y aquí, pues ya no, o sea, ya casi te van a pasar, no, ¿sabes qué?

Speaker:

Pues al bote, ¿no? Pues ya sé qué pasó ahí, ¿no?

Speaker:

Porque si la ley no distingue entre

Speaker:

atacante que suplanta la

Speaker:

identidad y por ejemplo un perito

Speaker:

o un investigador que audita o interactúa con

Speaker:

una infraestructura falsa para extraer evidencia pues que onda ahí tiene que

Speaker:

estar del invitado el trabajo legítimo de ciberseguridad queda expuesto a interpretaciones penales no sé,

Speaker:

Entonces, no me gusta para nada. Por eso quise traer este tema,

Speaker:

aunque es más legal que nada, pero pues tiene mucho que ver con mi área, ¿no?

Speaker:

O sea, entonces, pues, así como que andan con estos cuates que ya no les sirve

Speaker:

el cerebro, ¿qué pasa, no?

Speaker:

O sea, ¿por qué no consultan a alguien que sepa esos términos para ponerlos

Speaker:

en sus leyes antes de revertir una cosa de esas?

Speaker:

Ahora,

Speaker:

vamos a decir que los especialistas en derechos digitales señalan que la ley

Speaker:

penaliza el último eslabón de la cadena, por ejemplo,

Speaker:

en este caso el engaño en sí, pero ignora la raíz técnica del problema.

Speaker:

O sea, ¿y cuál es la raíz?

Speaker:

Las filtraciones masivas.

Speaker:

O sea, un atacante hoy no necesita hackear un teléfono de una víctima.

Speaker:

Basta con cruzar bases de datos gubernamentales o privadas filtradas con nombres,

Speaker:

curves, número de cuenta, etc., ¿no?

Speaker:

Para generar correos phishing, o sea, súper hiper personalizados, ¿no?

Speaker:

Antes te llegaba un correo del banco y cuando eran falsos pues te das cuenta

Speaker:

porque decía algo así como no sé señor, señora y no traía nombres.

Speaker:

Detectamos que es su cuenta y le inventaron un número X y,

Speaker:

tuvo unos movimientos y no sé qué, y qué, X, ¿no? Y ya.

Speaker:

O sea, pero luego no te das cuenta porque después no tenía tu nombre,

Speaker:

ni tu número de cuenta, ni nada, ¿no?

Speaker:

Ni número de teléfono, nada personal.

Speaker:

Pero ahora con esos hiper, se puede hacer correos, SMS, WhatsApp,

Speaker:

hiper personalizados, porque el mismo gobierno se ha filtrado toda su información, ¿no?

Speaker:

Entonces ya puedes decir, oh, sí, mira, ahora ya en lugar de ponerle así como señor, señora este,

Speaker:

ciudadano, x ya le ponen tu nombre y le ponen tu, ah con el número de cuenta

Speaker:

y a lo mejor ya tienen el número de cuenta y con tu curva tal y esto, y ala pues si todos esos,

Speaker:

todos esos datos, aunque no se toman la cuenta porque muchos no se lo saben

Speaker:

de memoria pero ya se asustan por lo menos cuando tienen su nombre completo y su curva por ejemplo,

Speaker:

o su rumor de teléfono y de dónde salió parece que sí es real,

Speaker:

claro que otros hay que fijarse en otros detalles de dónde viene,

Speaker:

si la dirección del correo es del banco y todo eso pero por lo menos si te da

Speaker:

una impresión por lo menos ya tiene más datos míos que antes y eso es culpa del gobierno.

Speaker:

Entonces por qué no se censuran ellos mismos primero antes de empezar a hacer

Speaker:

leyes para los ciudadanos, que se hagan leyes para ellos mismos,

Speaker:

que por hacer sistemas tan fáciles de hackear y de penetrar,

Speaker:

pues del pentesting, O sea,

Speaker:

pues, que se censuren ellos mismos, por no decirlo de otra manera.

Speaker:

No, eso es el origen, ¿no?

Speaker:

De todo el pitching y todo lo que está pasando ahorita.

Speaker:

O sea, y la ley castiga nomás al operador del fraude, ¿no? pero no exige mayor

Speaker:

responsabilidad técnica de

Speaker:

las instituciones que perdieron el control de los datos en primer lugar.

Speaker:

Por ejemplo, en cualquier país avanzado si una institución pierde datos,

Speaker:

tienen la obligación de anunciar que se perdieron los datos y cuáles datos se

Speaker:

perdieron y cuándo y todo esto, ¿no?

Speaker:

Entonces, aquí, dices, oh, no, no, no pasó nada, ah, este nomás eran datos de hace 10 años ¿sí?

Speaker:

O sea, seguro ¿qué más?

Speaker:

¿no? entonces aquí no pasa nada o sea, así como que oh, este,

Speaker:

y para que veas, ahora vamos a perder tus datos biométricos también,

Speaker:

para que no estés quejando ¿y quién nuestros datos biométricos, no?

Speaker:

O sea, entonces no, está mal esto, pero quería dejar esto bien claro porque

Speaker:

aunque esto nomás se aplique en la Ciudad de México ahorita.

Speaker:

No creo que ahí vaya a terminar esto.

Speaker:

Entonces, más vale ir revisando esta ley, porque al rato se les ocurre a estos

Speaker:

cuates otra tontería y la aplican a nivel nacional.

Speaker:

O sea, a lo mejor algún político, ¿no?

Speaker:

A lo mejor Harfuch o alguien dice, ah, ocupo esa del pitching por la nivel nacional.

Speaker:

Ah, sí, ahorita mañana la subimos a la Cámara de Diputados y la votamos en la

Speaker:

noche y ya para mañana ya amanece en la Cámara de Senadores y ya el otro día

Speaker:

está publicada en el diario oficial y órale, vámonos, ¿no?

Speaker:

En tres días ya está lista la ley a nivel nacional y así de gacha como está

Speaker:

redactada, ¿no? O sea, no manches.

Speaker:

Entonces, ese es el otro tema del día de hoy.

Speaker:

Y pues creo que ahora sí me pasé.

Speaker:

Ahora sí me pasé de las...

Speaker:

40-45 minutos, pero estos temas de ciberseguridad y la política,

Speaker:

pues la verdad sí hacen que me enojen, porque hacen pura tontería,

Speaker:

pues no son informáticos,

Speaker:

no son ingenieros de sistemas,

Speaker:

no tienen ninguna acreditación técnica,

Speaker:

y si la tienen, a lo mejor estudiaron hace 20, 30 años y no están al día,

Speaker:

pues una cosa es que lo hayas estudiado y pues si te dedicas a la política y

Speaker:

otra cosa que estés en el mero,

Speaker:

o sea,

Speaker:

en el trabajo o sea de campo en el área pues y sepas como se.

Speaker:

Maneja todo ahí y otra cosa que te lo cuenten así como un cuento de hadas y

Speaker:

ya hagas una ley así como como sea entonces pues no está bien eso,

Speaker:

Entonces ahí se los dejo y lo siento por los que viven en la Ciudad de México

Speaker:

porque la verdad está callo en eso, está muy difícil.

Speaker:

Y los profesionistas de pen testing y todo eso tienen que, yo creo que hacer

Speaker:

10 contratos antes, o sea, más bien 5 contratos y cláusulas y no sé qué diga.

Speaker:

Yo soy profesionista en esto y me contrataron para que intentara o para que

Speaker:

jacquiera esta empresa o este negocio para mejorar la seguridad y que la empresa

Speaker:

le firme y todo lo de no sé qué tendría que hacer.

Speaker:

Un montón de cosas para que cualquier cosa no vea decir, oh este pues está haciendo

Speaker:

algo ilegal como esta ley, ya todo lo considera ilegal.

Speaker:

Porque pues se puede interpretar como quiera así con esos términos que le ponen red de redes,

Speaker:

que quiere decir eso para empezar la verdad, la verdad bueno ya para que se

Speaker:

me baje Hasta aquí lo dejamos.

Speaker:

Que tengan un muy buen sábado. Muchas gracias por su tiempo.

Speaker:

Nos vemos la próxima semana y no se les olvide inscribirse ahí en los grupos de Telegram, WhatsApp.

Speaker:

Estamos en comunicación. Denle like en la plataforma que me estén escuchando.

Speaker:

Muchas gracias por su apoyo y estamos en comunicación el próximo fin de semana. Hasta entonces.

Chapters

Video

More from YouTube