midulive
Transcribed podcasts: 605
Time transcribed: 13d 3h 7m 36s
Time transcribed: 13d 3h 7m 36s
results.
This graph shows how many times the word ______ has been mentioned throughout the history of the program.
el ataque que ha habido de javascript os doy un poquito el contexto contexto inicial hace mucho
tiempo existía un servicio que se llamaba polifil.io vale no sé si os acordáis pero esto ya lo
comentamos en febrero lo comentamos hicimos un vídeo como éste elimínalo ya venga la publicidad
está elimina esto de tus proyectos ya es peligroso mira hace cuatro meses que una empresa de china
había comprado este proyecto polifil.io ahora si intentáis acceder vais a ver que no vais a poder
de ninguna forma porque lo han veis si intentáis entrar a la página polifil.io veis os dice que
los dns ya no funciona ni al.com ni nada vale si intentáis utilizarlo pues ya no funciona pero
qué era esto de polifil.io bueno el tema es que esto es una una cosa que se utilizaba hace mucho
tiempo bueno hace mucho tiempo pero que se sigue utilizando en cientos de miles de páginas web ahora
os lo comentaré esto era un servicio que era un archivo de un cdn que tú lo cargabas en tu página
web y automáticamente detectaba cuál era tu navegador para parchear las partes que le faltaban
por ejemplo si le faltaban las promesas inyectaba el javascript para hacer que pudiera soportar las
promesas y así el código que cargabas después funcionaba perfectamente las promesas por arte de
magia esto pues tenía sus ventajas también sus desventajas obviamente pero qué es lo que pasó lo que pasó
es que hace unos meses y este es el contexto inicial este servicio fue comprado por una empresa china
vale compró el dominio compró todo el servicio y lo que hizo el creador andrew wetz este es el
creador original dijo oye que sepáis que si estáis utilizando este servicio que lo borréis
inmediatamente yo creé el proyecto pero nunca he tenido acceso a este dominio y no tengo ninguna
influencia sobre esta venta vale a día de hoy no hay ninguna página web que requiera ninguna de los
polyfills de esta biblioteca casi todas las features de la plataforma web se pueden adoptar
fácilmente o se pueden crear y añadir de otra forma o sea y es que es verdad haciendo por ejemplo el
bundling o lo que sea se puede hacer sin necesidad de esto entonces dice los dominios que sirven scripts
de terceros desde un dominio externo son un problema de seguridad muy grande dice por ejemplo el equipo de
web analytics podría leer y modificar cualquier página web en el mundo esto ya os lo dije yo que no
carguéis por favor escucharme no carguéis javascript de dominios externos no carguéis javascript de dominios
externos más escuchado me has escuchado te lo vuelvo a decir no cargues javascript de un dominio
externo porque a día de hoy igual funciona bien no hay ningún problema y claro yo entiendo que hay algunos
casos que no se puede hacer nada por ejemplo si utilicéis google analytics el problema es que google
analytics te da un snippet de código que ya es de un dominio externo no un dominio externo es un dominio
que no es el tuyo que es el de alguien que está ahí fuera que es lo que pasa pues que tú no tienes
control sobre ese javascript y por lo tanto te pueden inyectar cualquier cosa por ahí dentro el
problema de esto cuando es una empresa como google que las posibilidades que lo hackeen son relativamente
bajas o que te vaya a fuquear en el sentido de que te quiera meter una estafa son bastante bajas que no
nulas bajas pero no nulas porque de hecho google luego puede hacer con esos datos lo que le dé la
gana pero bueno en estos casos pues bueno qué le vas a hacer si quieres utilizar google analytics pues
tendrás que pasar por el aro hay alternativas como utilizar la api de google analytics pero bueno eso
para otro vídeo pero en el caso de estos servicios que es un cdn mágico no tú carga esto que es un cdn
mágico y ya está vale mira por ejemplo una cosa que suele pasar tú vas con toda que no no es culpa
de view vale no no pasa nada esto le pasa a cualquiera pero tú vas aquí y ya aquí dices cdn y tú pones
este script que a priori a priori no tiene mala pinta no este script de view script y te viene aquí
de js deliver.net y tal esto puede estar bien si tú lo utilizas en una aplicación local de pruebas o lo que
sea pero en producción esto no lo deberías poner nunca jamás porque lo que estamos haciendo es
depender de un dominio externo que vete a saber si el día de mañana lo hackean mira lo puede pueden
hackear el dominio y entonces lo que van a hacer es que esto va a poder devolver el javascript que le
dé la gana quien quiera puede cambiar este contenido y poner aquí lo que quiera o pueden publicar una
versión maligna de view y por lo que sea pues te la puedes tragar que esto también te puede pasar en
pie pero bueno se supone que puedes tener un poquito más de tiempo quizás de detectarlo el
tema es que esto no lo controlas tú este código te lo están inyectando y el problema que tiene
javascript que es lo bueno y lo malo javascript tiene muchas cosas buenas pero también tiene cosas
malas y las cosas malas que tiene javascript es que tiene acceso a toda tu página web que es lo
que ha pasado con polyfill.io lo que ha pasado es que una empresa china compró este servicio el
problema no es que sea una empresa china que mucha gente madre mía que luego os enseñaré algún comentario
mucha gente estaba ahí que erre que erre con es que claro es que eres racista porque no sé qué la
madre que los parió pariós ahora me gustaría ver dónde están dónde están metidos este vídeo envejeció
muy bien midu tirando la posta hace cuatro meses recién explotó hace dos días si lo hubiera comprado
una empresa random de usa estoy seguro que no hubiera pasado nada esto ya os digo yo que no tiene nada que
ver si lo hubiera comprado una empresa de bulgaria de eeuu de chile que desconocemos sus motivos pues
también os hubiera dicho cuidado con esto porque no sabemos qué motivación tiene esta empresa
independientemente de donde sea como si quiere ser japonesa porque tiene mala pinta y en este caso
era china pues bueno que le vamos a hacer es china pero aquí también me ponen trump china china china
pues bueno al final que ha pasado con todo esto yo avisé el que avisa no es roedor y lo que ha pasado
amigos es que la gente que compró polyfill.io ha cambiado el contenido de este archivo los nuevos dueños
han inyectado malware en más de 100.000 no una ni dos no en más de 100.000 páginas web que es lo que han
hecho para esto lo que han estado haciendo pues no han cambiado el contenido de golpe sino lo que hacían
es que dependiendo del dispositivo y de la hora iban cambiando el contenido de forma dinámica vale y lo que
hacían era inyectar este código de aquí que podéis ver por aquí ves dependiendo de algún dispositivo y tal
pues vamos a inyectar e inyectaba cargaba otro javascript que era de google google analytics
no lo sé rick no lo sé rick esto no huele bien pero claro visualmente lo parece no entonces cargaba
otro javascript y esto lo que hacía pues era desde que hacía una redirección a un sitio de estafas
hasta que enviaban datos pues del usuario un montón de cosas y aquí tenéis pues todos los recursos hacia
donde iba pues los indicadores de que se había comprometido vamos a ver vamos a ver qué tiene
esta página a ver bueno claro qué es lo que lo que ha pasado por suerte qué es lo que ha pasado por
suerte porque como podéis ver ahora ya no se puede entrar directamente lo que ha pasado es que por
suerte esta gente esta empresa china había comprado los dominios si no me equivoco los había comprado
en no me acuerdo sea namecheap pero lo había comprado en un en un sitio de estos bastante famosos y lo que
han hecho no en don dominio no era y entonces lo que han hecho es quitarle directamente el dominio y
lo han era namecheap gracias en namecheap y lo que han hecho es quitarlo totalmente vale ahora qué más
cosas han pasado el 25 de junio google empezó bloqueando google ads en todas las páginas que
utilizaron polyfill.io el 26 de junio hicieron han estado atacando claro cuando un montón de blogs se
han hecho eco de esta noticia han estado atacando estos estos blogs luego claufler ha implementado un fix en
tiempo real donde cualquier persona o cualquier página web que estuviese cargando cdn punto
polyfill.io lo que hacía era reescribir esto lo reescribía lo cual pues está estaba bastante bien a
ver si lo enseño esto que lo tenía por aquí esto es una cosa buena pero también es una cosa que da
bastante miedo y ahora te explicaré por qué ves esto lo que hace es que automáticamente reemplazaba
los enlaces de polyfill.io con una versión correcta que está utilizando claufler y así pues te
evitabas que estuviese con malware o lo que sea ese archivo esto está muy potente y es increíble
pero esto también es quien vigila a los vigilantes no esto lo que te quiere decir también es que
claufler aquí te está protegiendo pero quién te dice a ti que claufler el día de mañana no te puede
hacer exactamente lo mismo y que te ponga a parchear todos los javascript que quieran y que inyecten el
código que quieran o sea esta es la posibilidad que tiene claufler que es bastante brutal obviamente lo
hacen por un tema de defenderte y es una opción ojo que es una opción que tenéis aunque para la
gente que está en el plan gratuito lo han activado automáticamente me imagino que para evitarse problemas
si estás en el plan de pago tienes que activarlo tú manualmente y lo tenéis que poner aquí en
reemplazar librerías bibliotecas no seguras de javascript y esto lo que hace por ejemplo es
reemplazártelo ahora mismo sólo hacen con polyfill.io pero me imagino que el día de mañana pues lo harán con
otra no ves cómo hemos llegado a esta decisión y es que aquí pues lo que han visto es que el
polyfill.io se estaba utilizando aproximadamente en el 4% de todas sus páginas web o sea el 4% es que es
bastante es tremendo y además ha sido un ataque brutal a ver muchas de estas páginas seguramente
o no se han enterado de qué pasó esto o no me siguen en twitch y no han visto mis directos pero yo creo
que cualquier empresa en condiciones lo harían lo haría bien o sea lo tendrían esto más que estudiado
y cuando una empresa externa compra un servicio como este yo creo que tendría que mirarlo igual
claufler tiene más regulaciones si se hace el vivo se come un juicio bueno puede ser que obviamente
obviamente puede ser que tenga más control no es una empresa americana si hiciera una actividad como
han hecho los chinos automáticamente el fbi se haría cargo el problema de países como china es que las
autoridades de allí no colaboran a ver si y no porque la torre de totana si en el sentido de que
claufler al final es una empresa con cara y ojos por eso os digo que lo importante no es tanto que sea
estadounidense o china lo importante es no es lo mismo que este servicio lo comprase por ejemplo
tiktok vale la empresa detrás de tiktok bite dance bite dance que es la empresa que hay detrás de tiktok
que sí que te pueden espiar y o que sea pero al final es una empresa que quieras o no que tiene sede
en pekín y que pues al final tiene un montón de visibilidad un impacto global que sabes quién está
detrás quién está en el board que lo sabes todo que no que te digan que una empresa de las islas
azores que no sabes ni a qué se dedican lo ha comprado sabes entonces no sé no es tanto de que
sea china es que si fuese tenzen huawei alguna de éstas es mucho más difícil que te vaya a hacer una
cosa de éstas pero cuando no sabes ni cuál es y lo mismo con claufler claro que una empresa como
claufler no lo va a hacer porque tiene inversores tiene accionistas le puede caer un puro pero una
empresa que son dos personas que no saben ni quiénes son que están ahí en un cuarto oscuro que están que
no saben ni lo que hacen pues a ver pues si ya existen un montón de pseudo empresas en eeuu que se
dedican a hacer cosas bastante chungas ya sea de piratería ya sea de lo que sea o sea que también
podría hacer esto sin ningún tipo de idea o sea no habría ningún tipo de cosa es una empresa china
se sabe que china pero vete a saber realmente quién hay detrás igual detrás hay gente que de la
indonesia o de lo que sea no cuál es el objetivo de inyectar malware es decir ganar hombre el objetivo
siempre de inyectar malware o de cualquier cosa es ganar dinero o robar dinero o hacer daño no hacer
daño es ganar dinero en el sentido de que tú cuando inyectas el malware lo que quieres es redirigir por
ejemplo al usuario a una página que parece real y no lo es y es una estafa y así pues le estafa
no le roba dinero o puede ser recabar datos para poder atacar a ese usuario por ejemplo imagínate
que ese javascript puedes hacer un keylogger porque en javascript lo podrías hacer y se va a quedar con
todas las contraseñas de tu página web y como esto lo estás cargando en cualquier página web de
polifil pues lo podrías hacer y lo que va a hacer es vale pues ahora que tengo las contraseñas le voy a
enviar un email ni siquiera a lo mejor intentan entrar en tu correo en ese servicio pero te van
a enviar un email y te van a decir oye tengo un vídeo tuyo donde te estás tocando mirando a mi
dudeb entonces si no quieres que lo distribuya me tienes que pagar un bitcoin y para que sepas que
sé quién es que es verdad todo esto tu contraseña es y te pone la contraseña y te quedas como como y
entonces en realidad es porque automáticamente ha robado la contraseña todo lo hacen así de veces lo
hacen un montón de veces aquí tenéis el tema de polifil.io el ataque de seguridad más de 100.000
más de 100.000 páginas es que es bastante bestia más de 100.000 páginas han sido afectadas y para
recordároslo una vez más por favor no utilicen scripts de dominios externos vale no lo hagan también
por ejemplo incluso para que veáis hasta dónde ha llegado esto el gobierno de chile ha hecho un
comunicado donde estaban informando de la el ataque de cadena de suministro esto de cadena de suministro
es este tipo de ataque que se ha hecho vale dice sobre la popular biblioteca javascript llamada
polifil.js utilizada originalmente para mejorar la compatibilidad de los sitios web con navegadores
antiguos bastante bien bastante bien me ha gustado el artículo no está mal la versión de esta librería
hospedada por el sitio polifil.io usada por más de 100.000 sitios fue modificada para incluir código
malicioso luego de que el dominio fuese adquirido por una empresa china según reporta bleeping computer
se recomienda a los encarados del sitio web revisar la existencia hasta la librería en sus páginas y
aplicar los pasos descritos en mitigación que al final la idea es pues cambiarlo y utilizar el cdn
de cloudflare aunque ya os digo yo que la idea es dejar de utilizarlo dejar de utilizarlo eso sería lo
mejor del mundo acaban de hackear a todos los bancos algún banco estoy seguro no tengo ninguna duda lo
sabe dios lo sabe dios no tengo ninguna duda de que algún banco ahí fuera estaba utilizando polifil.io es
que no tengo dudas no tengo dudas no usen script de sitios web de terceros midu dixie la gente que
usa bustra telwin y similares a ver telwin no hace falta utilizarlo de terceros pero es verdad que
bustra le pasa un poco lo mismo a ver para un proyecto local no pasa nada si utilizáis bustra con
mpm no pasa nada el problema es que no hay no hay necesidad de utilizar el cdn yo lo recomiendo que si
lo podéis evitar lo evitéis y así os quitáis problemas de que se lía de mañana imaginaos mira otro problema que
ha ocurrido muchas veces el dominio no se actualiza porque este servicio no es infinito nosotros creemos
que la vida en internet es infinita y que los dominios no expiran y todo esto vale pero imagínate
que la gente de gs deliver pues desaparece muere yo que sé se va a una granja deja de hacer nada de
esto no y entonces la idea es que alguien aprovecha que no se renueva el dominio lo compra esa persona
replica todo lo que había y entonces de repente empieza a inyectar código en todo lo que pueda o
sea que eso es lo que pasaría entonces si podéis evitad un cdn ya no por tema de rendimiento que
también sino que también para hacerlo así muchas páginas de wordpress en los temas usan cdn de
bustra y ahí está pero totalmente mi dudep como sm espero que este es el mismo problema esto de sm sm
punto sh este es el mismo problema que si lo queréis utilizar para un proyecto personal en
local y tal que está bien pero para un proyecto con cara y ojos en producción esto está prohibido no
la no lo hagáis no lo utilicéis vale no lo utilicéis el que avisa no es traidor que luego os conozco
para uECTRA
15
16
16
16
16
17
17
18
18
17
18
20
23
21
22
22
23
32
23
24
25
25
24
24
26
25
Mississippi
26
25
26
26
28
25
tiempo existía un servicio que se llamaba polifil.io vale no sé si os acordáis pero esto ya lo
comentamos en febrero lo comentamos hicimos un vídeo como éste elimínalo ya venga la publicidad
está elimina esto de tus proyectos ya es peligroso mira hace cuatro meses que una empresa de china
había comprado este proyecto polifil.io ahora si intentáis acceder vais a ver que no vais a poder
de ninguna forma porque lo han veis si intentáis entrar a la página polifil.io veis os dice que
los dns ya no funciona ni al.com ni nada vale si intentáis utilizarlo pues ya no funciona pero
qué era esto de polifil.io bueno el tema es que esto es una una cosa que se utilizaba hace mucho
tiempo bueno hace mucho tiempo pero que se sigue utilizando en cientos de miles de páginas web ahora
os lo comentaré esto era un servicio que era un archivo de un cdn que tú lo cargabas en tu página
web y automáticamente detectaba cuál era tu navegador para parchear las partes que le faltaban
por ejemplo si le faltaban las promesas inyectaba el javascript para hacer que pudiera soportar las
promesas y así el código que cargabas después funcionaba perfectamente las promesas por arte de
magia esto pues tenía sus ventajas también sus desventajas obviamente pero qué es lo que pasó lo que pasó
es que hace unos meses y este es el contexto inicial este servicio fue comprado por una empresa china
vale compró el dominio compró todo el servicio y lo que hizo el creador andrew wetz este es el
creador original dijo oye que sepáis que si estáis utilizando este servicio que lo borréis
inmediatamente yo creé el proyecto pero nunca he tenido acceso a este dominio y no tengo ninguna
influencia sobre esta venta vale a día de hoy no hay ninguna página web que requiera ninguna de los
polyfills de esta biblioteca casi todas las features de la plataforma web se pueden adoptar
fácilmente o se pueden crear y añadir de otra forma o sea y es que es verdad haciendo por ejemplo el
bundling o lo que sea se puede hacer sin necesidad de esto entonces dice los dominios que sirven scripts
de terceros desde un dominio externo son un problema de seguridad muy grande dice por ejemplo el equipo de
web analytics podría leer y modificar cualquier página web en el mundo esto ya os lo dije yo que no
carguéis por favor escucharme no carguéis javascript de dominios externos no carguéis javascript de dominios
externos más escuchado me has escuchado te lo vuelvo a decir no cargues javascript de un dominio
externo porque a día de hoy igual funciona bien no hay ningún problema y claro yo entiendo que hay algunos
casos que no se puede hacer nada por ejemplo si utilicéis google analytics el problema es que google
analytics te da un snippet de código que ya es de un dominio externo no un dominio externo es un dominio
que no es el tuyo que es el de alguien que está ahí fuera que es lo que pasa pues que tú no tienes
control sobre ese javascript y por lo tanto te pueden inyectar cualquier cosa por ahí dentro el
problema de esto cuando es una empresa como google que las posibilidades que lo hackeen son relativamente
bajas o que te vaya a fuquear en el sentido de que te quiera meter una estafa son bastante bajas que no
nulas bajas pero no nulas porque de hecho google luego puede hacer con esos datos lo que le dé la
gana pero bueno en estos casos pues bueno qué le vas a hacer si quieres utilizar google analytics pues
tendrás que pasar por el aro hay alternativas como utilizar la api de google analytics pero bueno eso
para otro vídeo pero en el caso de estos servicios que es un cdn mágico no tú carga esto que es un cdn
mágico y ya está vale mira por ejemplo una cosa que suele pasar tú vas con toda que no no es culpa
de view vale no no pasa nada esto le pasa a cualquiera pero tú vas aquí y ya aquí dices cdn y tú pones
este script que a priori a priori no tiene mala pinta no este script de view script y te viene aquí
de js deliver.net y tal esto puede estar bien si tú lo utilizas en una aplicación local de pruebas o lo que
sea pero en producción esto no lo deberías poner nunca jamás porque lo que estamos haciendo es
depender de un dominio externo que vete a saber si el día de mañana lo hackean mira lo puede pueden
hackear el dominio y entonces lo que van a hacer es que esto va a poder devolver el javascript que le
dé la gana quien quiera puede cambiar este contenido y poner aquí lo que quiera o pueden publicar una
versión maligna de view y por lo que sea pues te la puedes tragar que esto también te puede pasar en
pie pero bueno se supone que puedes tener un poquito más de tiempo quizás de detectarlo el
tema es que esto no lo controlas tú este código te lo están inyectando y el problema que tiene
javascript que es lo bueno y lo malo javascript tiene muchas cosas buenas pero también tiene cosas
malas y las cosas malas que tiene javascript es que tiene acceso a toda tu página web que es lo
que ha pasado con polyfill.io lo que ha pasado es que una empresa china compró este servicio el
problema no es que sea una empresa china que mucha gente madre mía que luego os enseñaré algún comentario
mucha gente estaba ahí que erre que erre con es que claro es que eres racista porque no sé qué la
madre que los parió pariós ahora me gustaría ver dónde están dónde están metidos este vídeo envejeció
muy bien midu tirando la posta hace cuatro meses recién explotó hace dos días si lo hubiera comprado
una empresa random de usa estoy seguro que no hubiera pasado nada esto ya os digo yo que no tiene nada que
ver si lo hubiera comprado una empresa de bulgaria de eeuu de chile que desconocemos sus motivos pues
también os hubiera dicho cuidado con esto porque no sabemos qué motivación tiene esta empresa
independientemente de donde sea como si quiere ser japonesa porque tiene mala pinta y en este caso
era china pues bueno que le vamos a hacer es china pero aquí también me ponen trump china china china
pues bueno al final que ha pasado con todo esto yo avisé el que avisa no es roedor y lo que ha pasado
amigos es que la gente que compró polyfill.io ha cambiado el contenido de este archivo los nuevos dueños
han inyectado malware en más de 100.000 no una ni dos no en más de 100.000 páginas web que es lo que han
hecho para esto lo que han estado haciendo pues no han cambiado el contenido de golpe sino lo que hacían
es que dependiendo del dispositivo y de la hora iban cambiando el contenido de forma dinámica vale y lo que
hacían era inyectar este código de aquí que podéis ver por aquí ves dependiendo de algún dispositivo y tal
pues vamos a inyectar e inyectaba cargaba otro javascript que era de google google analytics
no lo sé rick no lo sé rick esto no huele bien pero claro visualmente lo parece no entonces cargaba
otro javascript y esto lo que hacía pues era desde que hacía una redirección a un sitio de estafas
hasta que enviaban datos pues del usuario un montón de cosas y aquí tenéis pues todos los recursos hacia
donde iba pues los indicadores de que se había comprometido vamos a ver vamos a ver qué tiene
esta página a ver bueno claro qué es lo que lo que ha pasado por suerte qué es lo que ha pasado por
suerte porque como podéis ver ahora ya no se puede entrar directamente lo que ha pasado es que por
suerte esta gente esta empresa china había comprado los dominios si no me equivoco los había comprado
en no me acuerdo sea namecheap pero lo había comprado en un en un sitio de estos bastante famosos y lo que
han hecho no en don dominio no era y entonces lo que han hecho es quitarle directamente el dominio y
lo han era namecheap gracias en namecheap y lo que han hecho es quitarlo totalmente vale ahora qué más
cosas han pasado el 25 de junio google empezó bloqueando google ads en todas las páginas que
utilizaron polyfill.io el 26 de junio hicieron han estado atacando claro cuando un montón de blogs se
han hecho eco de esta noticia han estado atacando estos estos blogs luego claufler ha implementado un fix en
tiempo real donde cualquier persona o cualquier página web que estuviese cargando cdn punto
polyfill.io lo que hacía era reescribir esto lo reescribía lo cual pues está estaba bastante bien a
ver si lo enseño esto que lo tenía por aquí esto es una cosa buena pero también es una cosa que da
bastante miedo y ahora te explicaré por qué ves esto lo que hace es que automáticamente reemplazaba
los enlaces de polyfill.io con una versión correcta que está utilizando claufler y así pues te
evitabas que estuviese con malware o lo que sea ese archivo esto está muy potente y es increíble
pero esto también es quien vigila a los vigilantes no esto lo que te quiere decir también es que
claufler aquí te está protegiendo pero quién te dice a ti que claufler el día de mañana no te puede
hacer exactamente lo mismo y que te ponga a parchear todos los javascript que quieran y que inyecten el
código que quieran o sea esta es la posibilidad que tiene claufler que es bastante brutal obviamente lo
hacen por un tema de defenderte y es una opción ojo que es una opción que tenéis aunque para la
gente que está en el plan gratuito lo han activado automáticamente me imagino que para evitarse problemas
si estás en el plan de pago tienes que activarlo tú manualmente y lo tenéis que poner aquí en
reemplazar librerías bibliotecas no seguras de javascript y esto lo que hace por ejemplo es
reemplazártelo ahora mismo sólo hacen con polyfill.io pero me imagino que el día de mañana pues lo harán con
otra no ves cómo hemos llegado a esta decisión y es que aquí pues lo que han visto es que el
polyfill.io se estaba utilizando aproximadamente en el 4% de todas sus páginas web o sea el 4% es que es
bastante es tremendo y además ha sido un ataque brutal a ver muchas de estas páginas seguramente
o no se han enterado de qué pasó esto o no me siguen en twitch y no han visto mis directos pero yo creo
que cualquier empresa en condiciones lo harían lo haría bien o sea lo tendrían esto más que estudiado
y cuando una empresa externa compra un servicio como este yo creo que tendría que mirarlo igual
claufler tiene más regulaciones si se hace el vivo se come un juicio bueno puede ser que obviamente
obviamente puede ser que tenga más control no es una empresa americana si hiciera una actividad como
han hecho los chinos automáticamente el fbi se haría cargo el problema de países como china es que las
autoridades de allí no colaboran a ver si y no porque la torre de totana si en el sentido de que
claufler al final es una empresa con cara y ojos por eso os digo que lo importante no es tanto que sea
estadounidense o china lo importante es no es lo mismo que este servicio lo comprase por ejemplo
tiktok vale la empresa detrás de tiktok bite dance bite dance que es la empresa que hay detrás de tiktok
que sí que te pueden espiar y o que sea pero al final es una empresa que quieras o no que tiene sede
en pekín y que pues al final tiene un montón de visibilidad un impacto global que sabes quién está
detrás quién está en el board que lo sabes todo que no que te digan que una empresa de las islas
azores que no sabes ni a qué se dedican lo ha comprado sabes entonces no sé no es tanto de que
sea china es que si fuese tenzen huawei alguna de éstas es mucho más difícil que te vaya a hacer una
cosa de éstas pero cuando no sabes ni cuál es y lo mismo con claufler claro que una empresa como
claufler no lo va a hacer porque tiene inversores tiene accionistas le puede caer un puro pero una
empresa que son dos personas que no saben ni quiénes son que están ahí en un cuarto oscuro que están que
no saben ni lo que hacen pues a ver pues si ya existen un montón de pseudo empresas en eeuu que se
dedican a hacer cosas bastante chungas ya sea de piratería ya sea de lo que sea o sea que también
podría hacer esto sin ningún tipo de idea o sea no habría ningún tipo de cosa es una empresa china
se sabe que china pero vete a saber realmente quién hay detrás igual detrás hay gente que de la
indonesia o de lo que sea no cuál es el objetivo de inyectar malware es decir ganar hombre el objetivo
siempre de inyectar malware o de cualquier cosa es ganar dinero o robar dinero o hacer daño no hacer
daño es ganar dinero en el sentido de que tú cuando inyectas el malware lo que quieres es redirigir por
ejemplo al usuario a una página que parece real y no lo es y es una estafa y así pues le estafa
no le roba dinero o puede ser recabar datos para poder atacar a ese usuario por ejemplo imagínate
que ese javascript puedes hacer un keylogger porque en javascript lo podrías hacer y se va a quedar con
todas las contraseñas de tu página web y como esto lo estás cargando en cualquier página web de
polifil pues lo podrías hacer y lo que va a hacer es vale pues ahora que tengo las contraseñas le voy a
enviar un email ni siquiera a lo mejor intentan entrar en tu correo en ese servicio pero te van
a enviar un email y te van a decir oye tengo un vídeo tuyo donde te estás tocando mirando a mi
dudeb entonces si no quieres que lo distribuya me tienes que pagar un bitcoin y para que sepas que
sé quién es que es verdad todo esto tu contraseña es y te pone la contraseña y te quedas como como y
entonces en realidad es porque automáticamente ha robado la contraseña todo lo hacen así de veces lo
hacen un montón de veces aquí tenéis el tema de polifil.io el ataque de seguridad más de 100.000
más de 100.000 páginas es que es bastante bestia más de 100.000 páginas han sido afectadas y para
recordároslo una vez más por favor no utilicen scripts de dominios externos vale no lo hagan también
por ejemplo incluso para que veáis hasta dónde ha llegado esto el gobierno de chile ha hecho un
comunicado donde estaban informando de la el ataque de cadena de suministro esto de cadena de suministro
es este tipo de ataque que se ha hecho vale dice sobre la popular biblioteca javascript llamada
polifil.js utilizada originalmente para mejorar la compatibilidad de los sitios web con navegadores
antiguos bastante bien bastante bien me ha gustado el artículo no está mal la versión de esta librería
hospedada por el sitio polifil.io usada por más de 100.000 sitios fue modificada para incluir código
malicioso luego de que el dominio fuese adquirido por una empresa china según reporta bleeping computer
se recomienda a los encarados del sitio web revisar la existencia hasta la librería en sus páginas y
aplicar los pasos descritos en mitigación que al final la idea es pues cambiarlo y utilizar el cdn
de cloudflare aunque ya os digo yo que la idea es dejar de utilizarlo dejar de utilizarlo eso sería lo
mejor del mundo acaban de hackear a todos los bancos algún banco estoy seguro no tengo ninguna duda lo
sabe dios lo sabe dios no tengo ninguna duda de que algún banco ahí fuera estaba utilizando polifil.io es
que no tengo dudas no tengo dudas no usen script de sitios web de terceros midu dixie la gente que
usa bustra telwin y similares a ver telwin no hace falta utilizarlo de terceros pero es verdad que
bustra le pasa un poco lo mismo a ver para un proyecto local no pasa nada si utilizáis bustra con
mpm no pasa nada el problema es que no hay no hay necesidad de utilizar el cdn yo lo recomiendo que si
lo podéis evitar lo evitéis y así os quitáis problemas de que se lía de mañana imaginaos mira otro problema que
ha ocurrido muchas veces el dominio no se actualiza porque este servicio no es infinito nosotros creemos
que la vida en internet es infinita y que los dominios no expiran y todo esto vale pero imagínate
que la gente de gs deliver pues desaparece muere yo que sé se va a una granja deja de hacer nada de
esto no y entonces la idea es que alguien aprovecha que no se renueva el dominio lo compra esa persona
replica todo lo que había y entonces de repente empieza a inyectar código en todo lo que pueda o
sea que eso es lo que pasaría entonces si podéis evitad un cdn ya no por tema de rendimiento que
también sino que también para hacerlo así muchas páginas de wordpress en los temas usan cdn de
bustra y ahí está pero totalmente mi dudep como sm espero que este es el mismo problema esto de sm sm
punto sh este es el mismo problema que si lo queréis utilizar para un proyecto personal en
local y tal que está bien pero para un proyecto con cara y ojos en producción esto está prohibido no
la no lo hagáis no lo utilicéis vale no lo utilicéis el que avisa no es traidor que luego os conozco
para uECTRA
15
16
16
16
16
17
17
18
18
17
18
20
23
21
22
22
23
32
23
24
25
25
24
24
26
25
Mississippi
26
25
26
26
28
25