jueves, enero 31, 2019

Ofertas de trabajo en Seguridad @ElevenPaths & @Telefonica

Con la llegada del mes de Enero de 2019 llega el momento de arrancar nuevos proyectos para el  año, y ya tenemos publicadas muchas vacantes en el área de CDO (Chief Data Officer) donde hay puestos de ingeniería, de hacking, de Product Management, de Artificial Intelligent, de BigData, etcétera, y en las áreas de seguridad informática en muchas de las ubicaciones en las que operamos.

Figura 1: Ofertas de trabajo en Seguridad @ElevenPaths & @Telefonica

El equipo de ElevenPaths ha creado un pequeño vídeo para informarnos de que ellos también están reclutando para los equipos de hacking ético, pero también tienes en el resto de operaciones.


Figura 2: Vente a trabajar a ElevenPaths

El negocio de seguridad informática y ciberseguridad en el grupo Telefónica sigue creciendo a ratios muy altos, y seguimos ampliando los recursos dedicados a ofrecerlos. En los últimos tiempos hemos tenido el lanzamiento del Security Operations Centre en O2 UK, que inauguramos hace unos días, además de las ampliaciones que hicimos en otras ubicaciones donde ya teníamos presencia.


También hemos lanzado el servicio de Conexión Segura en Telefónica de España, y el Security Operations Center que tiene la compañía en Julian Camarillo ha vuelto a crecer en todos los indicadores.


Y con la llegada de Enero se han abierto nuevas oportunidades en la compañía que puedes buscar en la web que tenemos para recibir tu propuesta. La URL es https://jobs.telefonica.com y buscando por términos como "Seguridad", "11Paths", "CDO", "Cognitive", "Big Data", o alguna de las especialidades en las que desees trabajar, podrás acceder a las ofertas.
Muchas de esas plazas están directamente en mi unidad, donde tenemos abiertas ahora más de 30 plazas, así que no dudes en aplicar si te apetece venir a hacer alguna de las tareas que hacemos por aquí. Y si aún no estás preparado porque eres muy joven, sigue formándote que te esperamos para el futuro.

Saludos Malignos!

miércoles, enero 30, 2019

El bug de FaceTime, la indolencia mediática y la complejidad de la masificación

Al final Apple ha desactivado la opción de las llamadas grupales en FaceTime temporalmente hasta que solucione el bug. Si no te has enterado, ha dado la vuelta al mundo un fallo de seguridad en el servicio FaceTime de iOS & MacOS que permite a alguien escuchar por el micrófono e incluso verle con la cámara aunque no haya contestado.

Figura 1: El bug de FaceTime, la indolencia mediática y la complejidad de la masificación

El bug se publicó en 9to5Mac con un vídeo que lo demostraba con el micrófono, y poco después se publicaba un tweet que explicaba cómo conseguir activar también la cámara. Al poco tiempo Apple desactivó las llamadas grupales hasta que pudiera corregirlo.


Figura 2: Demo del Bug de FaceTime

Que se haya descubierto y publicado el día 28 de Enero - Día Internacional de la Protección de Datos - ha sido una bonita metáfora del mundo al que vamos, donde cada día hay nuevos fallos de seguridad y nuevas filtraciones de datos, contraseñas, caídas de servicios, etcétera. Y que haya sido después de que la campaña de iPhone en el pasado CES fuera "Lo que pasa en tu iPhone se queda en tu iPhone" ha sido karma.


Lo más significativo es que cuando leí la primera noticia no me inmuté. Seguí con mi vida. Ya he pasado por muchos bugs y casos similares. Y no solo yo, sino la gran mayoría del público. Es así, ya casi ni nos inmutamos, y esto pasa por tres sencillas razones que puede que nos gusten o no.
1.- Indolencia mediática: El público en general ya no sabe diferenciar entre los cientos de nombres de botnets, operaciones de hacking, cibercrimen, incidentes en el mundo industrial, ransomware, bugs de WhatsApp, Twitter, leaks de Facebook, apps que filtran datos, etc.. No sé ni cuántas veces he hablado de un bug o un fallo en un servicio o un software. ¿Quién se acuerda del bug de WhatsApp Call o de retransmisión de mensajes?
Casos como el de Cambridge Analytica ya están olvidados para la gran mayoría del público que no recuerda - ni le preocupa en demasía - si hubo intervención externa para manipular votaciones como la del Brexit o las elecciones presidenciales en EEUU por medio de ataques de Fake News.
Estos casos - de todo tipo - aparecen, se expanden en una gran ola mediática, y en poco más de dos semanas a todo el mundo se le olvida. Habrá nuevas noticias de índole similar que volverán a aparecer. El público en general está desarrollando una indolencia a este tipo de noticias que se quedan en una charla de café, comentario en el bar, o post en un blog. ¿O alguien espera que la gente vaya a tirar sus iPhone o Mac a la basura por esto? 
2.- Aceptación de la complejidad: El volumen de código que existe hoy en día es enorme. Desarrollar algo como un iPhone o un MacOS, con todas sus aplicaciones y servicios de backend, implica una cantidad de código enorme, que además cambia constantemente. Cada mes hay nuevas actualizaciones que cambian el código. Esas actualizaciones hacen que las variaciones de una versión 1.3 a una 1.4 signifiquen cientos de miles de líneas de código máquina diferentes. Y eso implica que los equipos de Quality Assurance tenga que volver a probar todo como si fuera nuevo.  
Es muy complicado controlar todo, por mucho que la gente se crea que se puede hacer un terminal móvil invulnerable. Hace unos años di una charla que lleva más de 1.3 millones de visualizaciones llamada "Tu iPhone es tan (in)seguro como tu Windows" que intentaba explicar esa complejidad.

Figura 4: Tu iPhone es tan (in)Seguro como tu Windows
Como os podéis imaginar, una simple línea de código puede meter un fallo que no existía hasta el momento. Recuerdo el bug del GoTo Fail de iPhone  - que seguramente el gran público habrá olvidado  - donde una línea copiada dos veces se cargaba la seguridad de todo el sistema. ¿Fue un fallo voluntario o intencionado en el módulo de criptografía para poder espiar las comunicaciones
El caso es que como en el GoTo Fail - que pudo ser un simple Copy & Paste desafortunado - en este puede que los equipos de QA hayan probado este proceso cientos o miles de veces en versiones anteriores, y nunca se había dado este fallo. Así que no estaba localizado en la lista de Test de Regresión donde se prueban los bugs que se conocen del pasado. Pero alguien inyectó el fallo en algún momento y un usuario se topó con él. 
De hecho, el libro de Hacking iOS: iPhone & iPad que escribí junto a otros compañeros tiene una larga lista de pequeños bugs, leaks, técnicas de ataque, etcétera que se pueden encontrar en un iPhone.
Figura 6: Libro de Hacking iOS:iPhone & iPad
¿Se podría haber evitado? Pues es el típico fallo que se analiza en un post-mortem y se ve si se puede cambiar algún proceso o añadir algún control más. Pero eso tampoco garantizará que aparezcan nuevos fallos, porque el hardware crece y se hace más complejo, el software crece, y se hace más complejo, y esta complejidad hace que las posibilidades de que aparezca más rincones donde se pueda inyectar un fallo crezcan. Los que trabajamos en seguridad lo tenemos asumido.
3.- Masificación de los servicios: Hoy en día, el "stickiness" o lo casados que estamos con ciertos servicios en Internet es muy alto. Cambiar tu vida digital de un día a otro, dando un bandazo en un momento de enfado, es posible "relativamente". En sistemas operativos móviles no hay muchas alternativas si quieres estar en las plataformas de apps para las que se diseñan juegos. 
En Redes Sociales, en servicios de comunicación de mensajería, en servicios básicos de uso diario de la mayoría de las personas, las alternativas son muy pocas.  Es el mundo de Internet: "The winner takes it all" que se suele decir. 
Así que cuando sale un bug en WhatsApp, Facebook, Twitter, FaceTime, Android, iOS, Windows, o cualquier otro software o servicio de uso masivo, lo único que podemos hacer es presión para que se arregle pronto o para que pongan nuevos controles. Poco más.
Así que, sabiendo que este es el mundo en el que vivimos, y que cambiarlo va a ser complicado, debemos seguir trabajando en reducir el número de bugs, en que no sean fáciles de explotar y en que su tiempo de vida sea menor. Por esa es tan importante la labor de los hackers e investigadores de seguridad que hacen Responsible Disclosure y ayudan a que los fallos se vayan corrigiendo. Es el mundo que tenemos, así que tenemos que entender que los cambios van a ser muy poco a poco y que, por desgracia, además de poder mejorar también podemos ir a peor.

Saludos Malignos!

martes, enero 29, 2019

OAuth: La amenaza invisible

El pasado viernes 25 de enero de 2019 se celebró la V Sh3llcon. Este congreso es especial para mí, ya que se celebra en la ciudad de Santander, una tierra muy conocida por mí. Por quinto año tuve el honor de poder estar allí, aunque fuera en un viaje de ida y vuelta y con mucha ‘prisa’. Unos minutos antes de empezar la charla le comenté a Sergio: “Ya son 5 años y aquí seguimos…”. Sergio, que es el presidente de esta CON me respondió: “Ufff, sí…”. Vi el esfuerzo de todo el equipo en sus ojos. No ha sido fácil que Sh3llcon llegase al quinto año. Han sido pioneros en el norte y debemos seguir empujando. Como digo, para mí un honor.

Figura 1: OAuth "La amenaza invisible" en Sh3llcon V

Este año quería mostrar algunas de las cosas que hacemos en el departamento de Ideas Locas. Siempre resulta curioso contar que trabajas en un departamento de Ideas Locas. La primera reacción es de sorpresa, pero una vez que defines lo que se hace en el departamento y que somos la fase de pre-innovación, la gente asiente y entiende.

Ideas, pruebas de concepto ágiles, pruebas de un solo día, artículos, cosas que pueden acabar en patentes, ideas que acaban en producto o servicios, difusión de la parte tecnológica, etcétera. Un día a día en el que uno no tiene tiempo de aburrirse, sobre todo si aparece el boss y dice: "Chicos, reunión de urgencia que tenemos que probar una idea nueva."

En esta edición, como pone en el título, lo que quería contar es la evolución de SAPPO, la herramienta de Ethical Hacking para explotación de servicios por medio de OAuth, tanto en su versión 1, como 2. Una idea que surgió para la RootedCON 2016, pero que ha seguido siendo evolucionada.


Figura 2: RootedCON 2016 "Solo hay que besar un Sappo"

De ahí evolucionamos la plataforma para crear el ataque de RamsomCloud O365 que utiliza el propio Kevin Mitnick en sus conferencias, y se basa en una idea a la que todo el equipo tiene mucho cariño.


Figura 3: Kevin Mitnick explicando Sappo y Ransomcloud

En Santander quería mostrar cómo la idea surgió y cómo la idea fue evolucionando hasta llegar a la prueba con Twitter completa después de que Chema Alonso lo presentará en la pasada OpenExpo.

La charla en la Sh3llCON V

En la primera parte se hablaba de la evolución del phishing, de que esto ya no era una cosa que se trata de robarte credenciales con un ‘landing page cutre’. El phishing había ido evolucionando, buscando obtener información o buscando que el usuario realice algún tipo de acción beneficiosa para el atacante. Tras ver varios ejemplos, el más claro es el secuestro de WhatsApp Web a través de un QRCode, del cual ya hemos hablado desde el punto de vista técnico.


Figura 4: Esquema de QRCode Hijacking para WhatsApp Web

En resumen, hablamos del SPAM, del Spear Phishing, del Bar Spoofing, de los Punycode, de las WebView de las apps que no muestran dominio, de la codificación que no distingue una I (i mayúscula) de una l (L minúscula), etcétera. Se ve claramente una evolución en las técnicas.

Llegó la hora de OAuth

Lo primero es entender que OAuth es un protocolo abierto, el cual nos va a permitir el proceso de autorización segunda de una API. Las aplicaciones que utilizan este protocolo son las de escritorio, las de web y las móviles. En OAuth versión 1 las móviles y de escritorio encontraban algunos problemas.

Figura 5: Esquema de funcionamiento de OAuth 1

Vimos la diferencia entre OAuth 1 y 2, tal y como se puede ver en las siguientes imágenes. Menos flujo en el caso de la versión 2 del protocolo y los scopes bien definidos.

Figura 6: Esquema de funcionamiento de OAuth 2

Cuando uno pregunta a la gente si conoce OAuth, en muchas ocasiones nos encontramos una respuesta negativa. ¿Dónde se puede encontrar? ¿Lo utilizamos como usuarios diariamente? Pues la respuesta es afirmativa en la mayoría de los casos. Si nos fijamos en la siguiente imagen. Son sólo algunos ejemplos de donde podemos encontrar OAuth.

Figura 7: Sitios que permiten el uso de OAuth

Como se puede ver está en la mayoría de servicios de hoy en día. Durante la charla hablamos de cómo fue los primeros pasos en el trabajo de OAuth. Las típicas preguntas que surgen cuando uno quiere empezar a revisar un tema o empezar a investigar cierto tema. Nos fuimos a la documentación de las API de Twitter y Microsoft (para Office 365 y Outlook).

La revisión de la documentación es fundamental, una primera etapa de aprendizaje y de investigación que debemos llevar a cabo para poder llegar a un objetivo previo o bien definido. Para empezar la investigación, lo primero, aparte de hacer uso de la documentación, es crear una aplicación o app OAuth dentro de la plataforma en la que se quiera trabajar.

Figura 8: Creación de una aplicación OAuth en Microsoft Office365

La parte de conocimiento sobre las peticiones que hay que hacer es fundamental en el uso de las apps OAuth. De esto ya se habla largo y tendido en el artículo de Sappo: Spear APPs to steal OAuth-Tokens. Haciendo un breve resumen tenemos que tener estos conocimientos básicos en mente:
1. App creada en la plataforma. Esto nos aportará un APP ID y un Secret.
2. Se realiza una petición HTTP, en el caso de Microsoft de tipo GET. Se indica el listado de scopes, el APP ID o Client ID y el Redirect URI o dirección de Callback. Esta es la petición que la víctima realizará en un ataque SAPPO. Esta es la petición que el cliente realizará contra el proveedor de identidad. Esto lleva al usuario a un sitio web del proveedor dónde le indicará que la App X quiere tener ciertos permisos. Aquí está el proceso de autorización. Si la víctima acepta o dice ‘Sí’ se hará entrega desde el proveedor a nuestra dirección de Callback de un AuthCode.
Figura 9: Petición de autorización de permisos OAuth
3. Con el AuthCode en poder del cliente, éste puede ir directamente al proveedor para indicarle que quiere recoger un Access Token. Dependiendo del proveedor (Microsoft o Twitter) nos pueden entregar un Access Token o Refresh Token. Es decir, uno o dos tokens.
Figura 10: Petición de Authorization_code
4. En este instante se obtiene el Access Token y se dispone de autorización para acceder a funcionalidades de la cuenta, en función de los scopes que nos hayan autorizado.
Se llevó a cabo en la charla una demo sobre SAPPO en Office 365, aunque ya hemos visto en este blog diferentes ejemplos. Hacemos un recopilatorio:


Figura 11: Robo de Office365 y acceso a los e-mails



Figura 12: Ransomcloud Office365

SAPPO y Twitter

La última demo fue con el SAPPO y Twitter. Totalmente interactiva. Cuando se envía el e-mail para que la víctima haga clic en el enlace que se le envía, el que solicitará el AuthCode al proveedor, si se autoriza la app, ya se tendrá acceso a diferentes funcionalidades. En este caso, se podrá hacer uso de los tuits, publicar, leerlos, leer mensajes directos, eliminar a usuarios que se siguen desde la cuenta y, lo más importante.

Figura 13: PoC de Sappo con Twitter

Lo más importante es que desde la API de Twitter si se bloquea un usuario, si éste te sigue dejará de hacerlo. Esto es algo bastante importante, ya que si un usuario es “infectado” y autoriza a una app a poder bloquear followers puede que se encuentre la cuenta totalmente a 0 en lo que a followers se refiere. Si te ganas la vida de influencer puede ser un riesgo grande.

Referencias de Sappo

[Post] Sappo: Spear APPs to steal OAuth-Tokens
[Post] Sappo: RansomCloud O365
[Post] Cómo se ha hecho a Gmail el ataque de SPAM masivo por OAuth 2
[Post] Google alerta de las apps NO verificadas al pedir permisos OAuth. Microsoft Office 365 aún debe mejorar un poco.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

lunes, enero 28, 2019

Un informático en el lado del mal: Un proyecto personal de 13 años [Parte 3: 2016 a 2019]

Terminar este recorrido después de la Parte 1 y Parte 2 con los últimos años es fácil. Suelo tener muy vívido lo que hago en el blog, así que estos tres últimos años 2016, 2017 y 2018 los tengo muy frescos en mi menta. Son los años, principalmente, en los que he sido CDO del grupo Telefónica y he focalizado mi trabajo en crear y ejecutar la estrategia Data-Centric, pero también en hacer que ElevenPaths siguiera creciendo, que LUCA se consolidara como un líder en el sector, que Aura fuera lanzado o la creación de Movistar Home y siempre con la visión de la 4ª Plataforma en mente. 

Figura 1: Un informático en el lado del mal:
Un proyecto personal de 13 años
[Parte 3: 2016 a 2019]

Pero por el camino hemos trabajado en otra serie de hacks, ideas, y proyectos que me motivan personalmente. Han sido los años de Sappo, de WordPress in Paranoid Mode, los años en los que hemos hablado de RansomCloud O365 y de mi querido DirtyTooth, que forzó a cambiar el funcionamiento de iOS, o la creación de Pigram (Ahora Safe-Post) con otra idea loca de enchufar tokens OAuth a canales SMS para ampliar la conectividad de los sistemas de Internet con apps middleware y que ahora llevamos al Movistar Team.


Figura 2: Las vaciones del 2015 al 2016

Y son mi presente, y mi futuro. Años en los que el mundo ha vuelto a girar un poco con la llegada de las Fake News y el escándalo de Cambridge Analytica, con la eclosión de la Inteligencia Artificial y las GANS. Y más cosas en las que llevo trabajando un año con mi equipo y estoy a punto de contaros. Con la emoción de Mi Hacker y Mi Survivor cuando me cuentan que han hecho los deberes y saben que lo han hecho bien. Saben que se van a ganar un carita de esas que canjean por pequeños caprichos. Ellas han nacido después de este blog, han crecido con él, os he contado cómo me he vuelto loco buscando un regaloy como ya se han hecho mayores.


Figura 3: El vídeo con Mi Survivor, que es del Atleti

A título personal - que sabéis que este blog se moja de mí en muchos rincones - han sido los años en los que os presenté al Dragón Matías y sus historias, con los cuentos de El Gigante de los Juguetes, Serpentina y los quesos olorosos, El batería suplente de los GooGooDolls o La Hormiga Valiente. Son los años en los que metí en mi vida - o mejor - recuperé el camino siguiendo el Hilo de Ariadne para disfrutar mi tiempo con más conciertos, cine, cómics, los amigos de los 50 Chuletones y las reuniones reducidas con "Los niños perdidos". 




A post shared by Chema Alonso (@chemaalonso) on

Durante estos años también hubo situaciones complicadas asociadas a mi exposición mediática. Fueron los años en los que me eligieron como uno de los Españoles más influyentes del año, donde me dieron la Cruz del Mérito de la Guardia Civil con Distintivo Blanco. Los años en los que ya había terminado mi doctorado, o me eligieron para dar el Pregón de las fiestas de mi Móstoles querido.


Figura 5: El pregón de las fiestas patronales de Móstoles

Mucha exposición mediática que hizo que me apartara un poco de Facebook y Twitter donde tengo presencia cuasi-automática y me mudara a Instagram. A una actividad más lúdica personal que profesional y donde decidí dejar de lidiar con el ciberbullying, el hating, los abusones en las redes sociales y el tonting.

Figura 6: Lista de los 100 más influyentes

De estos años, después del resumen que os he hecho en los párrafos anteriores sos voy a dejar los posts seleccionados de una forma más listada que narrada, pues al final la diatriba inicial ha servido para recoger lo más importante de este tiempo.

[2016] El año que fui CDO y los datos dirigieron mi vida
- La inteligencia artificial y la ética del ratón 
- You are where you are 
- Impact Talk en la UEM Business School 
- RamsonCloud O365: Paga por tus e-mails

Figura 7: You Are Where You Are

[2017] El año que cené con Wozniak, viaje por el mundo, y conocí a todo el mundo
- Latch My Car 
- Esto va de clavar clavos: La burocracia personal y el auténtico KPI de tu trabajo 
- Steve Wozniak, Kevin Mitnick y Chema Alonso cenan en California 
- Todavía una canción de amor 
- Masaap: Controla en tiempo real la seguridad de tus aplicaciones móviles

[2018] El año que casi me mato con el skate y sacamos AURA & Movistar Home
- Just Talking to MySelf: Unas palabras de mí para el Chema Alonso adolescente 
 - Y para Reyes Magos puedes pedir un LEGO Maligno [Inocentada]
- Movistar Home: Lanzamiento en Late Motiv 
- La AI que no quería matar, que quería matar y que no sabía amar  
- Tener ideas es molón, pero solo cuenta si las ejecutas 
- El camino de sacarse el doctorado en el mundo profesional 
- 40 conferencias de Chema Alonso elegidas por Chema Alonso 
- Wild Wild WiFi: Dancing with wolves 
- A la universidad se viene a transformar tu futuro, no a sacarse un título
- Connected Skate powered by AURA



A post shared by Chema Alonso (@chemaalonso) on

Y ahora llega 2019. Un año en el que ni tengo la sensación de haber llegado a ningún sitio, ni me he cansado para nada de la tecnología, el hacking y la actividad masiva de hacer cosas. Es un año en el que voy a seguir con mis cosas de 0xWord Cómics, al igual que con nuevas ideas en mi unidad CDO, en mi grupo de Ideas Locas. El blog pretende seguir más o menos como ha ido en estos tres últimos años.

Puede que algún día no haya algún post, puede que un día aparezca un cuento o un relato de esos que me gustan a mí. Puede que un día haya un tutorial de un compañero. O que un día opine sobre la actualidad. O puede que no. Puede que hable de mis proyectos. De mis charlas. De los cómics que me gustan. De la música que me mantiene programado el cerebro y el alma. Puede que un día este triste y venga aquí solo a reflexionar sobre la existencia. O que esté feliz y deje que la alegría se me escape por las yemas de los dedos. Y tendrá sus dibujos de No Lusers de vez en cuando, sus libros de 0xWord, y su inocentada del 28 de Diciembre. Vamos, nada nuevo bajo el sol.

Quiero terminar este repaso a esos años - del que soy consciente que no llega a recoger ni una quinta parte de lo que hay en él, y ha significado para mí - con una reflexión pequeña sobre lo que habéis significado vosotros, los amigos que me habéis seguido durante algunos años por aquí. Los que habéis estado unos años al principio, a la mitad, o en la parte final de este blog conmigo. Leyéndome. Los que sois jóvenes y tenéis menos de 25 años. Los que ya estáis en los taitantos, y los veteranos como yo que pasamos de los cuarenta y algo (e incluso los cuarenta y todos, que mis amigos ya están en esas edades de lidiar con los novios y novias de sus hijos). 

Podría dar una lista infinita de nombres y nicknames. Algunos llegasteis con un comentario y acabasteis siendo parte del blog, de los libros de 0xWord, de mis proyectos. Parte de mi vida. Parte de mí. Algunos pasasteis por Informática 64. Por ElevenPaths o por algún proyecto de los míos. Algunos me enviáis dibujos que cuelgo en mi despacho. Otros sois amigos en la distancia para hablar de ciclismo, invitarme a alguna actividad y hasta enviarme un queso. Algunos venís a verme cuando podéis. O me enviáis un e-mail cuando algo sucede o puede sucederme que os está preocupando.

Por supuesto, hay muchas personas que han estado todo este tiempo conmigo. Y de todas ellas una muy especial con la que inicié la aventura de salir juntos adelante. Un amigo con el que no necesito hablar mucho porque nos basta con saber que estamos. Mi amigo Rodol, uno de esos que están conmigo allá en el Móstoles. En aquellos días en que los colegas eran tan importantes, y que sigue aquí a mi lado. A unos pasos de mí.


Lo más importante de este blog en este tiempo han sido las personas con las que me ha conectado. Por supuesto me ha conectado conmigo mismo muchas veces, pero también con otros seres humanos maravillosos que me ha regalado este proyecto personal de "Un informático en el lado del mal". Hoy, cuando los blogs personales ya no están tan de moda y son más molonas otras cosas en la vida de los influencers, yo sigo pensando en que este pequeño rincón de Internet es como mi habitación. Donde vengo a esconderme del mundo cuando he tenido un mal día, donde vengo a estudiar, donde vengo a poner música o una película para entretenerme. Como si fuera un adolescente escondiéndose del mundo en el refugio que le da seguridad. Y solo os puedo decir una cosa...

Saludos Malignos!