martes, marzo 31, 2020

Gremlin Botnets: El club de los poetas muertos [Parte 4 de 6]

Con lo visto hasta el momento, ya tenemos todo lo necesario para hacer una demostración de cómo puede funcionar un Gremlin Botnet. Nos vamos a centrar en un caso concreto, creando una app para Android que utilice los diferentes permisos posibles para sacar información de quién está utilizando este dispositivo, usando el número de teléfono, la cuenta Twitter o la cuenta de correo electrónico del dispositivo como identificador principal.

Figura 37: Gremlin Botnets: El club de los poetas muertos (4 de 6)

Como vamos a ver, es un ejemplo de cómo usar un "Crecimiento Orgánico", es decir, mediante la creación de una app propia que va a ser lo más silenciosa posible en todo el proceso, por lo que usaremos esteganografía y cifrado para enviar los comandos y recibir los datos entre la Gremlin App y la el C&C de la Botnet.

Quiz App

El gancho que hemos elegido es un pequeño juego. Los juegos son unas de las apps más descargadas por padres despreocupados que buscan entretenimiento gratis para sus pequeños, permitiendo que estas apps soliciten muchos permisos y se lleven sus datos - muchos datos - para pagar el uso de dichos servicios de entretenimiento. Nosotros vamos a hacer una Gremlin App de las que para descubrir habrá que hacer un buen reversing, como se explica en el libro de Malware en Android: Discovering, Reversing & Forensic.

Figura 38: Malware en Android: Discovering, Reversing & Forensics

En nuestro caso hemos elegido un sencillo juego de preguntas para solicitar al usuario que nos diga qué le gusta más. En cada petición cargamos dos imágenes de cosas similares para hacerle al usuario decidir quién gana. Bastante sencillo de entender.

Figura 39: Se muestran dos imágenes y se debe escoger una.
!Siempre Cálico Electrónico!

Por el camino, tenemos una imagen - el banner de Quiz App - que también es una imagen y vamos a ir recargando cada cierto tiempo. Pero es en esta imagen donde vamos a elegir qué app es la que queremos que se vuelva maliciosa. Es decir, vamos a seleccionar qué app se va a volver una Gremlin App.

Como podéis ver, en esta PoC, hemos puesto tres tipos de datos que buscamos poder sacar del dispositivo, como son el número de teléfono, la dirección de correo electrónico o al cuenta Twitter. No necesitamos saber todo, se trata de que activemos la app por medio de un identificador que sí que hayamos sido capaces de extraer. Esta info la vamos a ver en el panel de control de la lista de dispositivos en nuestra Gremlin Botnet.

Figura 40: Desde el C&C marcamos una Gremlin App a activar

Por supuesto, dentro de nuestra Gremlin Botnet el resto de las apps continuará teniendo un comportamiento normal y el juego seguirá siendo un juego que no hace nada mal. Como se puede ver en la imagen siguiente, para indicar qué app se debe volver maliciosa usamos esteganografía que metemos dentro de la imagen del banner. En este servicio se puede ver el código que está inyectado en cada petición.

Figura 41: Comandos ocultos por esteganografía en la imagen

Como se puede apreciar en la imagen anterior hay tres comandos que son "Contacts", "Location" y "Photos" para decidir qué queremos que nos envíe del dispositivo en que se encuentra instalada la Gremlin App. Para ello, tenemos en el panel de control la lista de dispositivos con sus identificadores - a partir de los cuales podremos hacer todo el proceso de OSINT explicado anteriormente. Por ejemplo, ene esta demo tenemos estos dos terminales infectados por nuestra Gremlin App durmiente en modo Zombie.

Figura 42: C&C de nuestra Gremlin Botnet con la lista de dispositivos con nuestra Gremlin App

Elegido uno de ellos, podemos enviarle un comando concreto, como en este caso que hemos solicitado de este dispositivo la lista de contactos dados de alta. Estos se irán enviando en cada iteración con la Gremlin App que se ha vuelto maliciosa usando el intercambio de imágenes y la petición de las misma con parámetros GET que realmente llevan la información robada del dispositivo.

Figura 43: Solicitando la lista de contactos de este dispositivo

Este comando inyectará en la imagen de cabecera de nuestro juego el número de teléfono (o la dirección de e-mail que también lo tenemos) en la Gremlin Botnet, y todas las apps mirarán en esa imagen, para extraer los datos con esteganografía y así saber si le toca a cada una volverse maliciosa o no. En este ejemplo hemos activado uno de los dos dispositivos para que nos de la lista de contactos, y como se puede ver, el terminal afectado muestra un menaje que hemos puesto para que se entienda mejor la demo. Es decir, hemos activado ese dispositivo. Tan sencillo como esto.

Figura 44: Gremlin App activada para que envíe los contactos

Lo que iremos recibiendo en el servidor, poco a poco, será la lista de contactos que se encuentran en ese dispositivo. Para ello se aprovechará cada petición de una nueva imagen para ir enviando al servidor los datos en parámetros GET cifrados como si fueran parte de la petición de la imagen. Un sencillo truco para no levantar muchas sospechas en un posible análisis de tráfico de la red.

Figura 45: Lista de contactos en el C&C recibidos por la Gremlin App

Y lo mismo podremos hacer, activando otro dispositivo, en este caso para solicitar la lista de fotografías en el carrete. El usuario confió en esta app para acceder al carrete pensando que era fundamental para el funcionamiento de la app - como así decimos nosotros - y por lo tanto, podremos activar este comando remotamente en otra Gremlin App.

Figura 46: Activando el robo de fotos del carrete del disositivo

En este caos vemos que se vuelve una Gremlin App la otra instalación de nuestra app, ya que hemos cambiado el target a un nuevo identificador, que ha sido incluido en el banner de cabecera junto con un nuevo comando. Así, se vuelve maliciosa la otra app de nuestra Gremlin Botnet.

Figura 47: Ahora activamos otra Gremlin App
Y lo que iremos recibiendo ahora en nuestro panel de control será ahora la lista de fotografías que tenemos en el carrete de ese dispositivo controlado por nuestra Gremlin App. Así de sencillo, y así de peligroso.

Figura 48: Todas las fotos de ese dispositivo en nuestro C&C

Para que podáis ver la demo completa, os dejamos este vídeo que hemos preparado que realiza esta mismo demostración en poco más de dos minutos para que podáis ver lo fácil y rápido que es activar y desactivar una Gremlin App en una Gremlin Botnet.

Figura 49: Gremlin Botnet: Activando Gremlin Apps

Como podéis ver, cualquier app que instales en tu dispositivo puede hacer un uso malicioso de los permisos en modo APT, seleccionando el objetivo en base a la información que tiene de él. Así que ten mucho cuidado con lo que instalas.

No se vayan todavía, aún hay más

En las dos próximas partes vamos a ver como, apps que fueron pensadas para nunca ser maliciosas pueden también ser maliciosas si caen en malas manos con malas artes. Nos vemos en la siguiente parte.

Saludos Malignos!

*********************************************************************************
- Gremlin Botnets: El club de los poetas muertos [Parte 1 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 2 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 3 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 4 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 5 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 6 de 6]
*********************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)


lunes, marzo 30, 2020

PowerShell Revolution: El poder del pentesting en tu mano

El pasado 27 de marzo hicimos la FluCON. Un evento muy especial por las circunstancias en las que estamos. Circunstancias en las que toda la sociedad se encuentra. Siempre hemos dado vueltas a eso de hacer un evento que sume al mundo de la ciberseguridad y, creo, que era el momento. Unir a varios amigos del sector para debatir, dar charlas, entrevistar, en resumen, pasar una gran tarde y dar conocimiento a la gente que veía el evento.

Figura 1: Powershell Revolution: El poder del pentesting en tu mano

La charla que tenía programada llamada "Powershell Revolution: El poder del pentesting en tu mano" se tuvo que mover, pero al final se liberó. Hoy quería mostrar un poco de que se habla en esta charla y los conceptos importantes del Pentesting con Powershell que han ido haciendo de esta línea de comandos que la seguridad sea un paso importante.

Figura 2: Pentesting con PowerShell

Ya hemos hablado en el blog sobre esto, el juego del gato del ratón, el juego en el que las protecciones se miden a los bypasses, y cuando éstos suceden, las protecciones mejoran. Esto es la seguridad. Mejorar. Probar. Mejora continua de la que hablan los ciclos del análisis de riesgo.

¿De qué se habla?

En la charla se habla de las protecciones de Powershell, haciendo un breve repaso a algunas de las más importantes y de cómo fueron surgiendo. En qué versiones fueron saliendo o en qué versión del sistema operativo se puede utilizar. Qué hay de todo. Otra parte importante, una vez vista las protecciones son los bypasses, haciendo un repaso por diferentes técnicas y formas que existen de lograrlos. Aquí de nuevo el juego que comenté anteriormente. Por último, quería mostrar una especie de glosario de herramientas o de cosas a estudiar para mejorar en el ámbito de Powershell.

Figura 3: Empire: Hacking avanzado en el Red Team

Históricamente el timeline de Powershell es el que se puede ver en la siguiente imagen. La aparición de la primera versión de Powershell es la 1.0 en el año 2006, junto a la aparición de sistema operativo Windows Vista. Desde entonces, Powershell se ha ido convirtiendo en una pieza fundamental dentro de la administración de sistemas y redes Microsoft. Así como una pieza fundamental en la post-explotación para los pentesters. Ya sea utilizando de forma manual o a través de herramientas como Empire, Covenant o iBombshell.

Figura 4: Conceptos iniciales

También, históricamente el uso de Powershell en un pentest o en un Ethical Hacking ha sido interesante debido a las posibilidades de “poco ruido” y evasión que se lograba. En los años 2012, 2013 o 2014 esto era una de las mecánicas más demandadas, ya que todo funcionaba y funciona bien. Quizá el desconocimiento sobre el potencial de Powershell en la época ayudó a esto.

Figura 5: Ethical Hacking

En la charla se hizo una enumeración de cuatro protecciones que, digamos, fueron apareciendo con el paso del tiempo y de las nuevas versiones. A continuación, se enumeran y se enmarcan temporalmente:
• Políticas de ejecución de scripts: Aparecen en la primera versión de Powershell. Marcaban las reglas para poder ejecutar scripts de Powershell en el sistema. Fueron aumentando el número de políticas con el paso de las versiones.
• Modo de lenguaje: El modo restringido es el que aumenta en parte la protección, a través de la prohibición de ejecución de ciertas instrucciones. Este modo aparece en la versión 3. Este dato es importante para su bypass.
• AMSI. AntiMalware Scan Interface: Utilizable por Powershell en sistemas operativos Windows 10, Windows Server 2016 y Windows Server 2019. Permite a los antivirus como Windows Defender poder detectar instrucciones o código malicioso en un proceso de Powershell. Así como permite que antivirus de terceros también puedan enterarse de estas situaciones, gracias a la interfaz que provee AMSI.
• Políticas GPO: Registro de acciones: importaciones de módulos, transcription o registro de ejecuciones de bloques de script. Existen diferentes políticas. Todas aportan su granito de arena a la detección y análisis de la ejecución de ciertos códigos de Powershell.
Políticas de ejecución

Microsoft explica que es una estrategia de seguridad, aunque también indica que no es un mecanismo de protección en sí mismo. Es algo complejo de explicar. Aparecen la primera versión de Powershell y lo que sí está claro es que permiten proteger de una ejecución “accidental” de los scripts. Es decir, si un usuario recibe un script y alguien le dice ejecútalo, la política de ejecución bloqueará dicha ejecución.

Figura 6: Protecciones en PowerShell

Por el contrario, si alguien quiere bypassear la política existen muchas formas. Existen artículos indicando: “7 formas de bypassear políticas de ejecución de Powershell”, “15 vías para…”, y así cada vez más. Lo más sencillo, a partir de la versión 3.0 de Powershell es ejecutar lo siguiente:
powershell.exe –ExecutionPolicy Bypass.
Tú decides como propietario del proceso de Powershell que política quieres utilizar.

Modo restringido del lenguaje

En la versión 3.0 de Powershell se incorporó el modo restringido. Se puede consultar si está activo de la siguiente manera
$ExecutionContext.SessionState.LanguageMode
Para configurarlo de forma permanente se debe crear una variable de entorno, a nivel de sistema llamada __PSLockDownPolicy. Si le aplicamos el valor 4, es el máximo para el Constrained Language.

Figura 7: Uso de ExecutionContext.SessionState.LanguageMode

El bypass de esta restricción es cargar una Powershell versión 2.0, tal como puede verse en la siguiente imagen. Lo curioso aquí es que no se puede cargar el modo restringido en dicha versión. Esto es válido para sistemas Windows que tengan .NET Framework 2.0. En Windows 10 no es válido, hay que buscar otro tipo de soluciones.

Figura 8: Powershdll.dll

En Windows 10 el bypass va ligado a otro tipo de acciones, como por ejemplo cargar una Powershell o ejecutar código Powershell a través del uso de ciertas DLLs, sin necesidad de cargar una Powershell.exe. Un ejemplo sería el de Powershell sin powershell.exe. O el proyecto Powershdll.dll.

AMSI

De AMSI ya hemos hablado en el blog bastante, pero en la charla se muestra qué es y cómo funciona. Con alguno ejemplo práctico bastante interesante, en el que se demuestra que una URL o una palabra crítica puede hacer saltar la detección como código malicioso.

Figura 9: Ejemplo de amsiutils

En la prueba del bypass el objetivo es que cuando uno ejecute el comando amsiutils, ya no nos devuelva el mensaje de que ha sido bloqueado por el antivirus. El comando amsiutils es comando que prueba que AMSI está habilitado en el proceso de Powershell.

Figura 10: Arquitectura de procesos

Aquí tenéis la estructura de funcionamiento de AMSI y su interacción con los antivirus. Un ejemplo práctico y muy visual. Además, AMSI no es exclusivo de Powershell, ya que, como se puede ver, es utilizado en diversos lenguajes de scripting. Debido a que AMSI se carga en el proceso del usuario, éste puede “tocar” dicho proceso y parchearlo de tal forma que AMSI quede anulado. Esto se puede ver más en detalle en el video de la charla.


Figura 11: PowerShell Revolution: El poder del pentesting en tus manos

Para finalizar os dejamos el vídeo de la charla "Powershell Revolution: El poder del pentesting en tus manos". Espero que podáis sacar el máximo jugo a vuestra consola azul y prosigáis con vuestro entrenamiento con esta gran línea de comandos.

#YoMeQuedoEnCasa

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 12: Contactar con Pablo González

domingo, marzo 29, 2020

Cálico Electrónico contra el Coronavirus @CalicoOficial #QuedateEnCasa

Ayer hicimos trabajar al héroe de nuestra generación para luchar contra el Coronavirus. Sé que todos queremos ayudar y que todos estamos un poco agobiados de estar en casa, y preocupados por el futuro, y nuestros series queridos. Todos tenemos algo que aportar en esta batalla. Los sanitarios y fuerzas de seguridad están dándolo todo. Nosotros en Telefónica nos autoimpusimos la Misión de "Hacer un mundo más humano conectado la vida de las personas", y ahora más que nunca estamos en ello.

Figura 1: Cálico Electrónico contra el Coronavirus @CalicoOficial #QuedateEnCasa

Pero no todos podemos hacer todo. Hay proyectos de impresión de mascarillas en 3D demostrado que los Hackers del 3D Printing pueden aportar lo suyo. Tenemos a emprendedores haciendo apps de autoevalución para evitar colapsar las urgencias, y tenemos que ser nosotros los que hagamos nuestro papel. Colaborar en proyectos humanitarios, ayudar a que nuestros mayores estén más cerca de los suyos gracias a la tecnología, cuidar de nuestros amigos, o seguir las indicaciones de los cuerpos de seguridad y el gobierno.


Figura 2: Cálico Electrónico contra el Coronavirus

Por eso, nosotros sacamos a Cálico Electrónico de su tranquilo retiro en le que le tenemos - que ya nos pican los dedos y el corazón y estamos mirando a ver si lo traemos de vuelta y cómo, que por eso le hemos abierto un buzón en MyPublicInbox y hemos publicado el cómic con Las Tiras de Cálico Electrónico  - y el gan Nikotxan le puso a luchar contra el Coronavirus.

Figura 3: Las Tiras de Cálico Electrónico

Y creo que lo explica perfectamente nuestro querido gordito, así que a hacerle caso y quedarnos en casa. Como os dije ayer, hemos puesto una Living App en Movistar+ para que puedas hacer Yoga y algo de Entrenamiento para runners, pero sobre todo, sobre todo, sobre todo, quédate en casa.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


sábado, marzo 28, 2020

Clases de Yoga y Entrenamiento para Runners con Chema Martínez en Movistar+ @chemitamartinez @movistarplus @movistar_es #YoMeQuedoEnCasa

Con el comienzo del periodo de confinamiento, quisimos llevar a los hogares por medio de Movistar+ un Curso de Yoga y unas Clases de Entrenamiento para Runners con Chema Martinez, para que un millón de casas pudieran acceder a él desde Movistar+ y mantenerse en forma durante este tiempo. Practicar algo de deporte no solo es bueno para la salud física, sino para la salud mental, así que hay que moverse.

Figura 1: Clases de Yoga y Entrenamiento para Runners con Chema Martínez en Movistar+

Yo personalmente tengo mi rutina diaria e intento hacer deporte a primera hora del día. Bicicleta estática y algo de pesas ligeras para comenzar la jornada con energía. No he sido muy deportista cuando era joven, pero he de decir que desde que comencé a hacer deporte de forma rutinaria - nada exagerado ni competitivo - ha cambiado mi forma de disfrutar la vida. Primero lo use como refugio, luego como vía de escape, y ahora porque me hace mucho, mucho, mucho más feliz. 

Figura 2: Sección Apps en Movistar+ a la izquierda del buscador

Para acceder a estas clases de Yoga y al Entrenamiento para Runners de Chema Martínez, hemos utilizado la plataforma de Home as a Computer para crear una Living App que hemos llamado #YoMeQuedoEnCasa. Como sabéis, con esta plataforma de Living Apps puedes gestionar también tu red de dispositivos en el hogar a través de SmartWiFi en Movistar + y lo mismo para acceder a datos de tu factura y tu consumo en Mi Movistar. Para ello, entras en la sección Apps de tu Movistar+ y seleccionas la que hemos llamado #YoMeQuedoEnCasa.

Figura 3: Living App de #YoMeQuedoEnCasa

Como verás, no solo están el Curso de Yoga y el Entrenamiento para Runners, sino que vamos a llevar conciertos cada día - ya os avisaremos - y tenemos algunos entretenimiento para los niños. Juegos sencillos, retos para ellos, y algún consejo que iremos poniendo cada día.

Figura 4: Tienes las opciones de Yoga y Entrenamiento para Runners y más.

En la parte de "No Dejes de Cuidarte", es donde podrás entrar a las clases de Yoga de Marta, que va explicando ejercicio a ejercicio cómo debes realizarlos. Son sesiones cortas y relajanes para utilizar la potencia del Yoga en el cuidado del cuerpo y la mente.

Figura 5: Clases de Yoga con Marta

Y en la parte de Entrenamiento para Runners, Chema Martínez muestra cómo organizarse una tabla de ejercicios diarios para mantener el cuerpo listo para cuando nos den el pistoletazo de salida y podamos volver a galopar por la ciudad o por el monte.

Figura 6: Entrenamiento para runners con Chema Martínez

En este vídeo tienes una demostración de cómo funciona esta aplicación en tu televisión, para que puedas disfrutar de ella desde la sección Apps de Moivstar+.


Figura 7: Living App de YoMeQuedoEnCasa en Movistar+

Además, por si tienes niños pequeños y quieres curiosear, en esta App vas a encontrar también algunos consejos y juegos para hacer con los más pequeños. Son solo pequeños entretenimientos que puedes hacer con ellos.

Figura 8: Entretenimiento para niños

Como sabéis, yo hago manualidades con Mi Hacker y Mi Survivor, y ella lo va documentado para publicaros cómo hacerlos. Os dejé el proceso para hacer unos Huevos de Dragón comprando estos huevos de corcho en Amazon, estas cajas de chinchetas y esmaltes pintauñas de colores.


También os dejamos publicado cómo hacer esqueletos monstruosos que se mueven, utilizando simplemente unos encuadernadores como estos, y unos rotuladores Sharpies que no deben faltar en cualquier casa que se precie con un niño o una niña que disfrute de dibujar y pintar.


Y esto es todo por hoy. Si os interesa el mundo del deporte, esta tarde también tenemos una vídeo conferencia en la que participa Juanma Esparcia o Feliciano López entre otros. 


Como ves, se puede llenar el tiempo en casa - aunque sé que muchos necesitamos ya salir fuera - para cumplir con nuestro deber de dar tiempo a nuestro sistema sanitario a atender progresivamente a los afectados por este coronavirus. #YoMeQuedoEnCasa

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


viernes, marzo 27, 2020

A mis amigos. A mis queridos amigos. A tus queridos amigos.

Queridos amigos,

en estos días de confinamiento, los grupos de WhatsApp y Telegram, los hilos en Twitter, o los mensajes en cualquier otra red social, arden. Estamos viviendo una época para la que no nos preparamos. Una situación para la que no nos dieron ningún manual. Un momento en la historia de la humanidad que muchos – o la gran mayoría de nosotros – no hubiéramos pensado como posible.

Figura 1: A mis amigos. A mis queridos amigos. A tus queridos amigos.

Estamos tan acostumbrados a las películas de cine con catástrofes que al final hemos pensado que esto solo podía pasar en las películas. En los libros como el Dean R. Koontz que me leí de joven, o en las aventuras de cine fantástico, al final todo se resuelve con un héroe que da con la solución mágica que todo lo arregla. No sé si será esto así. No lo creo. Pienso que seremos entre todos.

Como buen aficionado a los cómics de superhéroes, recuerdo aún el momento en que Marvel tuvo que enfrentar a sus héroes, a Spiderman, a Daredevil, al Doctor Extraño o a El Castigador, con la catástrofe del atentado terrorista del 11-S en New York. Los superhéroes, de un mundo de ficción, se vieron superados por la realidad de un drama que rasgó el alma a muchas personas para siempre. No eran tan fuertes como los humanos, solo son superhéroes.

Figura 2: Los superhéroes no pudieron hacer nada en el 11-M.
No eran humanos, solo "superhéroes".

Hoy en día estamos igual. Superados por un virus del que los escritores de ciencia ficción han fantaseado en el pasado. Y hay que pelearlo sin héroes ni superhéroes más allá que el de todos juntos. Con los aciertos y errores de los seres humanos que somos. Imperfectos, y defectuosos en muchos rincones de nosotros mismos. Ponerse frente al espejo y no encontrarse las costuras de uno mismo es el primer signo de que no somos para nada infalibles.

Pero somos luchadores, y tenemos cosas preciosas. Tenemos empatía. Incluso eso que llaman los anglosajones “Spanish Shame”, que nos hace sentir vergüenza ajena, que nos es más que la prueba de que tenemos una empatía emocional por otras personas, por lo que sufren, por lo que les pasa, por lo que les puede hacer daño. Yo me emociono, y también lloro, cuando una situación denota sufrimiento o alegría descontrolada en otra persona.


Tenemos amistad que hace que nos queramos juntar, abrazar, quedar para comer, ayudar los unos a los otros. Animar en los balcones poniendo música, o simplemente aplaudir para mandar un mensaje desde todos los rincones de nuestro país a los oídos de profesionales que están cuidando de nosotros. De nuestros mayores. De nuestros enfermos. Somos personas. Somos seres humanos. Con nuestras grandezas y debilidades. Nos buscamos. Nos queremos. Nos enfrentamos porque nos vemos retados por las ideas de otros. Nos ayudamos. Nos apoyamos. Si no, no hubiéramos llegado hasta aquí.

Y en estos momentos, me gustaría pediros un favor a todos vosotros. No es momento para peleas. No es momento para post-verdades. No es momentos para ser el Capitán A Posteriori. No es momento para especulaciones y argumentos debatibles. No es momento para la frustración. No es momento para la ira. Para la rabia. No es momento para la queja gratuita e infinita.


Figura 4: El Capitán A posteriori

Es el momento en el que debemos demostrar eso que llevamos dentro. Es el momento de estar juntos. De querernos. De hacer que los grupos de WhatsApp sean lugares de amistad, apoyo, y alegría. No es momento de discusiones por los grupos de WhatsApp. No es momento de crispación.

Es momento de asegurarse de que todos los miembros de tu familia están atendidos. Que tienen su dosis de cuidados emocionales. De besos virtuales. De charlas por vídeo conferencia. De que las mamás vean a sus hijos y de que los nietos vean a sus abuelos. Es momento de que los grupos de WhatsApp o Telegram sean para compartir memes graciosos, para quedar y tomar una cerveza virtual. Para preguntarle a ese de “derechas"¿Cómo vas?". Y al de “izquierdas” preguntarle “¿Estás bien en casa?”.


Es momento para que, en ausencia de cordura entre algunos personajes públicos que crean crispación, los amigos se demuestren algo muy importante: Que se quieren sean como sean. Del Ateli, del Barsa o del Real Madrid. De VOX y de Podemos. De Sevilla y de Málaga. De Buenos Aires y de Sao Paolo. De la capital o del pueblo. De mi querido Madrid o de mi amada Barcelona. Es tiempo para leerle un cuento a la abuela por vídeo-conferencia. O para hacer los deberes juntos por House-Party.  O para que alguien se arranque a tocar una canción en la vídeo conferencia y diga eso de "Pongamos que hablo de Madrid". Para eso sí.


No dejéis que este tiempo que estamos encerrados se lleve lo más bonito que tenemos los humanos. El cariño que nos tenemos. El cariño por la familia. El cariño por los amigos. El cariño por los que sufren. El cariño por los que nos necesitan. Es tiempo de solidaridad entre todos. Para querernos como solo sabemos los seres humanos.

Ya nos pegaremos por el fútbol cuando vuelvan la Liga y la Champions. Ya nos pegaremos por la política cuando estemos sanos y pensando en el futuro. Ya discutiremos por lo que queráis cuando celebremos cumpleaños, aniversarios, santos, comidas de amigos, victorias o el nacimiento de un nuevo ser humano. Ya habrá tiempo.

Ahora, más que nunca, a vosotros, a mis amigos, os pido que sigáis siendo quienes sois y que nos os pueda la situación que nos rodea. Siempre os he querido como sois. No quiero que seáis de otra forma. No quiero que cambiéis por esta situación. Me tenéis aquí, como siempre. Para cometer los mismos errores que he cometido una y otra vez. Para meterme en líos una y otra vez. Para estar a vuestro lado. Saldremos de esta y saldremos de esta más unidos que nunca.
Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares