T1034. Enumera y soluciona el problema de las comillas en servicios de Windows !!!

Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a comentar una pequeña herramienta o truco para ayudarnos a fortificar y/o atacar nuestros sistemas Windows, como siempre, depende del rol que te toque.

Siguiendo el Framework MITRE, vamos a hablar de la técnica T1034, en concreto Path Interception. Empleada como mecanismo de persistencia, aprovecha una vulnerabilidad de concepto en los servicios Windows para ejecutar de manera controlada binarios.

El concepto es sencillo. En los sistemas Windows arrancamos servicios, y si en los nombres del ejecutable del servicio hay espacio y no se ha empleado las comillas, por ejemplo "c:\mi compañia\mi programa\programa.exe" el comportamiento es que el sistema intentará buscar programa.exe de la siguiente manera:

C:\archivos de programa*\empresa*\nombredeprograma*\programa.exe*

C:\programa.exe

C:\archivos de programa\programa.exe

C:\archivos de programa\empresa\programa.exe

C:\archivos de programa\empresa\nombredeprograma\programa.exe

Buscará primero el binario en cada uno de los sitios que he puesto asterisco.

Si conocemos esto, y podemos escribir en cualquier de esas ubicaciones, podemos colocar nuestra pieza de software, nuestro malware/stager/etc... y que se ejecute cada vez que se inicie el servicio (por ejemplo, cada vez que se inicie el sistema).

El concepto de Services Hijacking es muy viejo, pero el comentarlo es porque aún veo muchos entornos en los que esto no se cuida.

Lo interesante de esto es que podemos usar alguna de las herramientas que hay para enumerar, pero en este que os traigo, tenemos la posibilidad de no solo listar los servicios del Windows que tienen un ejecutable con espacios en los nombres y no tiene comillas !!!! y si queremos, nos modifica el servicio para incluir las comillas, es decir, para solucionarlo.

Como ves en las imágenes de la propia herramienta, el concepto es muy sencillo.

Espero que te sirva de ayuda tanto si vas a atacar, como si vas a proteger.

También, podríamos usar este dato en el SIEM, si trazamos la actividad con SYSMON, preguntando algo así como: si el papa es service.exe y el proceso no es: '\''.*' y algunas cosita más, podrás descubrirlos "in the wild" sin tener que ir al equipo a pasarle la tool...

Bueno, como siempre, dale el uso que quieras, gracias por leerme !!!

Process Monitor. Ver las ramas del registro que se crean al hacer settings en Windows.

Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a dar un breve tip&tricks relacionado con el registro y Windows.

El otro día publiqué en las redes sociales una web muy interesante que vincula una GPO con la rama del registro que le corresponde.

En esta ocasión un pequeño truco. ¿Conoces Process Monitor? La herramienta de Sysinternals para monitorizar procesos del sistema?

Podemos ir abriendo servicios y viendo datos del resultado, procesos hijos, el pid, la operación, como siempre. Bien, podemos usar los filtros para indicar dos pequeños filtros.

Uno que el proceso sea MMC.exe, es decir, una consola ( el editor de GPO´s por ejemplo) y otro filtro en el que indicamos que la operación en RegSetValue.

Una vez que tenemos el filtro, abrimos nuestra editor de GPO´s y modificamos cualquier dato, por ejemplo, la longitud de contraseña... y antes de darle a CLICK para guardar la GPO, volvemos a Process Monitor, aplicamos el filtro, borramos la lista, y hacemos click en la GPO (para guardar).

De esta manera podemos ver con detalle la clave de registro que se ha modificado.

Espero que os sirva de ayuda en alguna ocasión.

Gracias por leerme !!!

Detectar enumeración de usuarios en Active Directory mediante honeytoken: Anti BloodHound, Empire, etc

Estimados amigos de Inseguros !!!

En este artículo vamos a comentar algunas cositas de Blue Team o fortificación de sistemas Windows mediante honeypots.

En este blog hemos hablado mucho de honeypots de todo tipo, he dado charlas que podéis ver en video, en fin, que me gusta...

Bien, vamos al concepto. Hay muchas herramientas hoy en día que se usan para explotar fallos en el Directorio Activo. De las más conocidas está Empire y su módulo para reconocer usuarios o como pueda ser el ingestor de BloodHoud.

La idea es crearnos un usuarios "honeypot" en el directorio para que, si algún proceso accede a él, nos salte una alarma en la que nos haga sospechar e investigar quien está realizando esa operación de enumeración, que da como resultado un usuario.

Os pongo otro ejemplo en el mundo web por si sirve de concepto. Imagina una web como esta www.miempresa.com en la que no existe www.miempresa.com/rrhh/nominas.  Si por cualquier motivo detecto una petición a ese recurso, es alguien que está buscando por mi web ese directorio... es decir, está enumerando.  El concepto es el mismo pero llevado a Active Directory.

Para ello vamos a hacer lo mismo que hicimos el otro día para auditar los cambios del registro, pero está vez lo vamos a hacer sobre un usuario, el comodín.

Creamos un usuario con un nombre cantoso, que no usamos, por ejemplo uso cebo, de "gancho" y de mi pasión por el jamón illooooooo. Ahora accedemos a las opciones avanzadas de seguridad y configuramos la auditoría de acceso sobre este objeto, al final, es un objeto de Active Directory.

Con esto estamos creando un honeyUser, un usuario que si alguien pregunta por él, es porque está haciendo un trabajo masivo de enumeración...

Si todo ha ido bien, cualquier acceso a este fichero daría un evento...

Pero ojo, qué pasa cuando entras a usuarios y equipos de Active Directory o usas cualquier comando powershell? Get-ADUser -filter *

Aquí tendrías un falso positivo como una casa...

El trabajo del analista de eventos es recibir esta alerta, y tratar de discernir si es un usuario administrador haciendo trabajo de administrador, o es una herramienta intentando ejecutar su acometido.

Espero que te sirva de ayuda, ya no tanto para estas herramientas, sino en general como idea de las capacidades de detección mediante auditorías.

Si quieres aprender a detectar Empire por ejemplo podrás mirar en la monitorización de procesos, buscar codificación de Powershell, consultas de red y muchas más cosas, esto es solo una idea para cualquier enumeración.

Para la detección en entorno local forense me gusta este post. https://holdmybeersecurity.com/2019/02/27/sysinternals-for-windows-incident-response/

y para monitorización remota me gusta este: https://www.swelcher.com/blog/2018/3/29/detecting-powershell-empire

Gracias por leerme !!!

Auditar cambios en el registro sin herramientas de terceros

Estimados amigos de Inseguros.

En el post de hoy vamos a volver a machacar al público con una característica básica de seguridad de los sistemas Microsoft como es la monitorización del registro.

Todos los cambios de seguridad que solemos hacer por políticas o comandos suelen acabar en la base de datos de los Windows, el registro.

Hemos hablado mucho de este tema por artículos en el blog, incluso abrí una rama en mi github personal con algunas claves del registro que si o si deberías monitorizar.

Pero para qué hacer esto? imagina que configuras: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest DWORD ‘UseLogonCredential’ value 1 

Esto qué hace? habilita en un controlador el tipo de autenticación Wdigest para que cuando ejecuten Mimikatz en un proceso de compromiso las claves estén en claro, no haga falta crackearlas. Los malos lo hacen así !!! tu configuras mecanismos de defensa y ellos los cambian!!!

Bien, la cuestión es que la gente piensa en cómo monitorizar las claves, y piensa en clientes, agentes, cómo las gestiono, como detecto esos cambios en mi SIEM. 

Por partes. Lo que vamos a ver en este artículo es como levantar un evento, una alerta, cada vez que alguien mire o cambie un valor de una clave del registro concreta. Nos aparecerá un log en el visor de eventos y listo. Otra cosa es cuando tengas ese evento, como transformarlo en un correo (hay mil artículos de como enviar correos con eventos) enviarlo a un SIEM, ELK o similar...

Entonces, al lío. Como cualquier elemento de auditoria en sistemas Microsoft, hay dos partes: decirle al sistema que vamos a auditar acceso y/o error en el registro; el segundo paso es identificar qué ramas del registro queremos auditar.***** esto es igual para TODO en Active Directory******

Allá vamos. Vamos al editor de políticas de grupo y creamos una política con esta información:

Ahora vamos a la rama del registro que queremos auditar y seteamos la configuración, es decir, que para TODOS, audite el uso de estos permisos.

Entonces, seguro que habéis pensado... esta política tiene sentido para el servidor en el que se configura, ya que hemos ido localmente al registro a indicarle la rama concreta. BIEN !!! si no lo has pensado... lo entiendes? xD

Para eso usamos la rama Registro de las GPO en las que nos permite realizar esto, indicar qué claves del registro y qué permisos tienen, así, podemos emplearlo para un grupo de servidores (Por OU o como quiera que apliques la directiva).

Bien, ya sabes como hacerlo. Pero en muchas ocasiones, cuando habla con alumnos de cursos y similar, me comentan que con estos artículos se aprende la teoría, la manera de hacerlo, pero no se termina de centrar.

Me refiero a bien, pero ahora como lo haces, cómo lo mantienes. Te voy a dar unos tips o consejos.

Lo suyo es que esto lo hagas en entornos de pruebas. No esto en concreto porque no tiene mayor relevancia, pero para otros casos quizás si. Lo importante es realizar una copia de seguridad. Es tan sencilla como botón derecho.

Ahora la cuestión es que para importar una GPO entre dominios, en el entorno de pruebas y producción, se hace con un pequeño hack. En el servidor destino creas la política, y le dices que importe la configuración de un backup. De esta manera se importa una GPO entre dominios.

Bien, más trucos... Como he dicho, tengo una lista de claves del registro que me gustan, pero puede que tu tengas la tuya. Hay una manera cutre de importar estas claves de manera automática, y no tener que hacer el proceso 2 ( entrar en el registro, establecer permiso) pero no se la digas a nadie xD

Localiza tu GPO en SYSVOL, en mi caso estaba aquí: \\miempresa.local\SYSVOL\miempresa.local\Policies\{5F23582A-A1BA-4D22-A34B-AB5B3C29307A}\Machine\Microsoft\Windows NT\SecEdit

El fichero es el mismo que teneis en mi github, para que solo copies y pegueis so vagos !!!

Como se aprecia, se identifica la rama del registro y la SACL

	"USERS\.DEFAULT\Environment" ,0,"D:PAR(A;CI;KA;;;BA)(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KR;;;BU)(A;CI;KR;;;S-1-15-2-1)S:AR(AU;OICISA;CCDCLCSD;;;WD)"
	"USERS\.DEFAULT\Software\Classes\Exefile\Shell\Runas\Command\IsolatedCommand" ,0,"D:PAR(A;CI;KA;;;BA)(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KR;;;BU)(A;CI;KR;;;S-1-15-2-1)S:AR(AU;OICISA;CCDCLCSD;;;WD)"
	"USERS\.DEFAULT\Software\Classes\Mscfile\Shell\Open\Command" ,0,"D:PAR(A;CI;KA;;;BA)(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KR;;;BU)(A;CI;KR;;;S-1-15-2-1)S:AR(AU;OICISA;CCDCLCSD;;;WD)"

Si editamos este fichero y lo modificamos añadiendo tus claves de registro, podrás cargar más fácilmente tu lista.

Pero bueno, se nos olvida lo importante !!! Queremos ver cómo al hacer un cambio en la rama del registro nos aparece un evento...

Ahora con ese evento, puedes configurar en tu SIEM, gestor de eventos o aparato mágico una alerta que te información si es un comportamiento normal, o es un "kinomakino" tocando tu Windows xDDD.

Espero que te sirva de ayuda y sobre todo, gracias por leerme !!!

Una de wordlist: The Mentalist !!!

Estimados amigos de Inseguros !!!

Dentro de los procesos de seguridad, tanto ofensivos como defensivos, es muy importante el trabajar con diccionarios y wordlist para fuerza bruta.

Espera, de manera defensiva? comorrrrrr !!!! Espero que hayas leído el artículo sobre como usar las listas de passwords de manera defensiva del anterior artículo...

Pero en esta ocasión vamos a centrarnos en la parte de generación de diccionarios, independientemente del uso que le des. En este blog hemos hablado hace años de herramientas como CUPP,  Crunch, ThaDoctor, who´s your daddy, CEWL  y en esta ocasión voy a comentar una sencilla herramienta para el mismo propósito, pero muy sencilla y gráfica. The Mentalist.

El uso es muy sencillo, es más es casi block chain !! jajajaja, usa chains, cadenas, en las que voy construyendo "condiciones" o casos sobre el texto.

La primera chain es el "input", el texto. aquí por ejemplo podríamos poner el nombre de la empresa, informático, producto, sector,etc, y podemos poner varios.

En el siguiente chain, vamos a realizar una modificación de mayúsculas/minúsculas con varios criterios.

Los chains son muy sencillos y donde mejor explicado está es en la propia documentación. Por ejemplo...

Attribute	Description
No Words	Provides an empty string
Custom File...	User-specified custom wordlist file
Custom String...	User-specified custom string
English Dictionary	English dictionary taken from the Unix words file
Common Names
Men	1,000 most common mens' names in the US
Women	1,000 most common womens' names in the US
Pets	1,200 most common pets' names in the US
Other
Slang & Expletives	Wordlist of US slang and expletives
Months & Seasons	Wordlist of months and seasons

Tiene opciones sencillas, como el típico de añadir años antes o después de la palabra, poner la primera letra en mayúsculas, c4mb1ar las letras a lo hacker, etc...

Una herramienta más que anidad con otras, puede que nos ayude a crear un diccionario personalizado interesante para nuestros fines.

Espero que os guste !!!

Blue Team: auto-fuerza-bruteate !!! Active Directory

Estimados amigos de Inseguros !!!

En el post de hoy vamos a hablar de un concepto y herramienta defensiva relacionado con la fuerza bruta. Me refiero a realizar estas pruebas contra el directorio activo que gestionamos.

Imagina que quieres lanzar un proceso de fuerza bruta contra TODO tu AD. No existe, o no conozco, una manera de hacerlo sin que intervengan las GPO´s de bloquee de cuentas por ejemplo. Es decir, que si lanzas el ataque de fuerza bruta por ejemplo desde una IP, el AD no te bloquee el usuario destino... Si existe estaría bien saberlo.

Con una política de seguridad de contraseñas compleja, como las que conocemos, no es suficiente, o no debería serlo, para proteger la identidad de nuestros preciados usuarios de AD. Por ejemplo, una clave de 10 caracteres, alfanuméricos, que se cambie, el historial, balbalbal, está mejor que usar 12345, pero en la realidad, esta clave tampoco es segura: nombre_empresa2020!"# o similares.

Si a esto le sumas el constante chorreo de leaks de contraseñas que aparecen de ataques a terceros, tenemos una abanico de posibilidades de que un usuario esté usando una contraseña SEGURA para Active Directory pero no para un atacante.

Para esto podemos hacer varias gestiones, pero podemos aprovecharnos de la capacidad que tiene DSinternals por ejemplo para de manera controlada, autenticada... puedes exportar el contenido de tu NTDIS... de tu base de datos de usuarios del directorio, en formato NTLM. En este artículo lo vimos.

Ahora vamos a usar la herramienta bAd-Passwords del señor https://twitter.com/JakobHeidelberg que lo que hace es exactamente lo que queremos. Lee el directorio activo, pasa a NTLM una o varias listas de contraseñas y las compara.

El trabajo previo de generar una lista de contraseñas lo podemos hacer con varias herramientas, en el próximo post os paso una y una lista, o usar los diccionarios de filtraciones que hay...

De esta manera podemos auditar periódicamente si alguno de nuestros usuarios está usando una contraseña que cumple con los criterios de la política, pero que para un mega-hacker rico de la muerte podría ser fácil de adivinar.

Como siempre, espero que os guste.

Gracias por leerme !!!

Trabajo en Ciberseguridad: Soy rico !!! pero mírate al ombligo...

Estimados amigos de Inseguros!!!

En el artículillo de hoy voy a opinar un poco de este tema, el de lo salarios y en concreto en el mundo de la ciberseguridad.

Para ponernos en el contexto, me refiero a los notícias absurdas de que faltan miles de profesionales en ciberseguridad, de que son las profesiones del futuro, y sobre todo sobre el boom de los salarios.

En primer lugar, decir que soy un defensor de que los sueldos de la informática son bajos, por lo general, incluidos los de la ciber, por mucho que se lea.

Pero ahora quiero ser un poco más crítico con nosotros mismos. Con los profesionales de la ciberseguridad, porque hay veces en las que soy "empleado" y otras veces con "el que contrata". Unas veces pido y otras doy, y es bueno poner todos los elementos sobre la mesa para poder juzgar la situación económica de los sueldos, no solo desde el punto de vista del que nos interesa a cada uno. Creo que esto es fundamental, el poder ver el problema desde varios prismas, y no desde el que me interesa a mí como individuo.

Voy a empezar por la ubicación. La ciudad donde vivas. Cada país, cada ciudad, tiene unos costes de vida distintos. No es lo mismo vivir en Madrid que en Murcia. Esto es una realidad, y las empresas lo usan. Pongo un ejemplo, mejor dos, de ciudades y empresas que lo aprovechan. Málaga y Alicante,  están apostando mucho por el desarrollo de parques empresariales y colectivos para atraer talento. Como va esto? La globalización, para lo bueno y lo malo, tiene muchas cosas. No solo es bueno para comprar en Aliexpress o amazon cosas quitándonos al proveedor local, sino que ahora el concepto de proveedor local apenas tiene sentido.

Empresas de Noruega, Finlandia, países que por lo general no tienen buen clima... buena gastronomía... les salen MUCHO más rentable atraer talento con oficinas en la soleada Málaga que en Trondheim. Incluso con un 20% menos de sueldo, van a tener más poder adquisitivo, mejor calidad de vida. Esto es algo que está ocurriendo, la calidad de vida del sur de España se está poniendo en valor para muchas empresas, y se está aprovechando.

Si es moral o no, si habría que favorecer el desarrollo local, todo eso está muy bien, pero entonces no compres en aliexpress ni en pc componentes... ni exportes a otros países... y ya de paso mira esta postura con Trump cómo nos afecta.

Respecto a la formación. Es VITAL estar formado. Pero no como tu te quieres formar, sino como lo pide la industria. Si para ser funcionario o para trabajar en X puestos hay que tener una carrera, en el mundo TIC las certificaciones son muy necesarias. Soy un claro defensor de estas, y si bien los masters están muy bien y de moda, conozco MUY pocos que realmente preparen bien a los profesionales, sin embargo, si eliges medio bien, con el precio/tiempo de realizar un master, puedes tener certificaciones de la industria que te aporten mucho más.

No que te aporten como persona... como ser del espacio... NO, que te aporten para encontrar un buen trabajo y salario.

Por otro lado, la curva de la formación, para mi, tambien es muy importante. ¿Qué es esto? Con 22 años y una pasión creciente por la infosec. seguro que haces muchas acciones formativas, pero qué pasa cuando tengas 30? La vida no es siempre fines de semana de largas noches hackeando máquinas, pasando CTF´. La vida con 30 años ( por poner una cifra) es de largas noches sin dormir con el niño malo, con obligaciones familiares, con cargas horarias de trabajo importantes, y al final, no es tán fácil mantener esa curva de formación, de actualización.

Lo he visto MIL veces, gente que llega, se come el mundo, encuentra trabajo y a los dos años ya no es que no destaquen, es que ODIAN su trabajo, porque se ha convertido en trabajo.

Mantener un programa activo de formación y renovación es FUNDAMENTAL para ser un buen profesional en la informática y en la ciber, por eso creo que esto debe reflejarse en el CV. Está claro que no va a ser lo mismo con 20 que con 40, pero asistir a eventos, algún curso de vez en cuando... es más que necesario. Carrera+master+CCNA ( por decir algo) con 23 años es lo normal !!!!no es algo TOP.

Entonces, en tu empresa, te pagan formación? porque el salario económico es algo importante, pero tu tiempo para evolucionar, crecer, investigar, formarte, es algo VITAL, porque lo que puede ser bueno para hoy, puede ser malo para mañana: estancarte y aburrirte de por vida.

Experiencia, que decir de la experiencia !!! si no la tienes no la ganas, si no la ganas no la tienes...
La vida por suerte suele ser muy larga, y la laboral más. Un año, dos años, tres...cinco, diez !!! el tiempo pasa. La experiencia es un grado se dice, y los que no la tienen la cuestionan, y los que la tenemos la ponemos en alza. Vamos a darle una importancia media, para ser justos, pero la tiene.

Contando con que una curva buena de desarrollo profesional e intelectual puede llegar a los 40/50 como cotas más altas, tener 3 años de experiencia en una herramienta es importante, pero no lo es todo.

Tipo de empresa, FUNDAMENTAL, me parece lo más importante. No es lo mismo estar en un consultora por proyectos que en un cliente final. NO HAY COLOR. Empresas que te usan dos años en un proyecto, si se renuevan sigues, y sino, te vas a otro... esas empresas cuando te forman? al final si criticas el modelo de que la localización es una excusa para pagar menos, tambien pensaras que el modelo contrata es un modelo en el que se aprovechan de ti, para ganar dinero directamente de tu trabajo?.

Otro de los factores que me comenta la gente que les parece fundamental es la proyección. Es decir, no me importa tanto cuánto me vas a pagar ahora, pero quiero saber cuanto me vas a pagar, si todo va bien, dentro de 3 años, y dentro de 5... Esto en empresas de proyecto es prácticamente IMPOSIBLE saber. En un cliente final, si puedes saber cuales son los techos de ascensos funcionales y económicos. Conocer que dentro de 3 años puedes estar muy bien, a riesgo de estar 2 años no tan bien, económicamente, pero con otras ganancias, puede estar muy bien. Es más, los jóvenes lo demandan.

Por último, dentro de estas reflexiones más o menos acertadas, y quizás personales, está el mega-ego de la ciberseguridad. Cualquier cosa que se venda como ciberseguridad está de moda, y la gente se aprovecha de ello.

Desde cuanto una persona con 3 años de experiencia es senior? yo creo que una persona es senior cuando lleva 10 años, 15, 20, pero 3?

Usar una herramienta de ciberseguridad, como un SIEM o un antivirus no te hace experto en ciberseguridad. Ni tan siquiera haciendo auditorías todos los días te haces experto en ciberseguridad. La ciberseguridad, como la informática, es muy amplia, y requiere de muchos años y estudio para intentar comprender al máximo la realidad y aportar valor.

Y qué decir de otras capacidades?¿ Hay empresas en las que puede que trabajes como técnico, pero que en ciertas ocasiones tengas que hacer de gestor de equipo, de comercial ante un cliente, de pre-venta con un comercial... relaciones públicas.. hay gente que no tiene ninguna cualidad más allá de la técnica, que son máquinas en lo suyo, pero no les pidas más.

Entonces, dicho esto, vamos con lo sueldos, con los números.

Pero no vamos a mirarnos al ombligo, a nosotros mismos, vamos a mirar el mundo.

Cuanto gana un ingeniero agrícola con 4 años de experiencia? y un licenciado en ADE? un enfermero? un químico? etc

El problema de la falta de sueldo es general en España, y el sector ciberseguridad está bien pagado en consideración con otros sectores.

Un junior con menos de 3 años de experiencia puede estar cobrando 22.000/27.000 euros. Esto es un PEDAZO de sueldo en cualquier ciudad normal para una persona que acaba su ciclo/carrera y hace sus primeros pasos en el mundo laboral.

Pasar de los 27k hasta los 35k puede ser labor de ya unos 5 años de experiencia.

Con una carrera más o menos lanzada, de 10 años, cobrar alrededor de los 45.000 euros creo que es habitual, pero ya en las provincias no. En la inmensa mayoría de España no. Por el coste de vida, y por el tipo de empresa. Os voy a poner un ejemplo, en Murcia, no hay empresa que tenga un CISO. NINGUNA. Hay CIO`s, pero CISO´s como tal exclusivo NO, porque hay unas 10/20 empresas que quizás lo necesiten, pero aún no hay madurez. En Alicante igual, en Albacete igual... Málaga... Córdoba... Gijón... A Coruña... Quitando ibex 35 y grandes grandes grandes empresas, no hay puestos de CISO, ni mucho menos de técnicos que cobren más de 45k.

Hablo de la norma, de lo extendido. Hay chavales que con 2 años de experiencia cobran 120k desde casa... pero no todos somos así, no todos somos genios, esto hay que mirarlo.

Vamos a ver los Pure Players de la ciber. Cuánto facturan? porque oyes nombres de empresas muy grandes en ciberseguridad, pero ves su facturación, y es de empresa de informática de "toda la vida" o casi... y esto al final repercute en los sueldos.

Yo creo que hay MUY poca gente que gana más de 50.000e en una empresa española no Ibex o multinacional como experto en ciberseguridad.

En este punto voy a meter una imágen de una pequeña encuesta en la red en la que efectivamente, se demuestran más o menos mis sospechas: la gente fuera de Madrid no gana mucha pasta...

Vete a Barcelona, segunda ciudad económicamente, Bilbao, Sevilla, A Coruña, Málaga, Murcia... Mira a ver cuanto se cobra. y esto es ASÍ. Lo era hace 20 años y lo sigue siendo.

No quiero decir que defienda que se pague menos en unos sitios que en otros, todos los que me conoceis sabeis mi enfoque en cuanto al centralismo y a la calidad de vida de vivir en Murcia, sino que es algo que se hace, y que tiene un % de justificación. Un pequeño porcentaje, pero al final vivir en la contaminada y saturada Madriz, con 90 minutos de media diaria de desplazamientos para ir a trabajar, con el precio de la vivienda, es normal que se pague algo más.

Al final de todo esto, me gustaría que te quedases con varios conceptos, principalmente que un salario es una mezcla de varias cosas y que no porque seas "ciber"algo eres un crack. un máquina.

Por último, relativizar los precios de los servicios de ciberseguridad, que si bien son caros, depende mucho de quien los haga... al final... como cualquier otro sector.

Gracias por leerme.