sábado, agosto 24, 2019

9 píldoras de nuestra tecnología en vídeo: Movistar Home, Aura, Wild Wild WiFi y el Dr. Tech

Durante este mes de Agosto hemos publicado algunos vídeos con contenido sobre las tecnologías en las que estamos trabajando. Desde la construcción de Aura, hasta su integración en las app de Movistar + y en Movistar Home, pasando por algunas características que están incluidas en Movistar Home explicadas por el Dr. Tech.

Figura 1: Nueve píldoras de nuestra tecnología en vídeo:
Movistar Home, Aura, Wild Wild WiFi y el Dr. Tech

A esto hay que sumar que en ElevenPaths también hemos seguido haciendo contenido, como la entrevista a Gianluca DÁntonio en 11Paths Radio o la explicación en un CodeTalk For Developers de nuestro trabajo de Wild Wild WiFi. Todos estos vídeos os los recojo en este post de hoy para que los veas en unos minutos.

1.- Aura en Movistar Plus

El primer vídeo de Aura es el que os dejé en un post aparte esta semana en el que junto con Mi Hacker contaba en el año 2017 cómo iba a ser el funcionamiento de Aura en Movistar Plus.


Figura 2: Presentación en 2017 de Aura en Movistar Plus

El segundo, es una explicación que hicieron nuestros compañeras de cómo funciona hoy en día Aura en Movistar Plus, que es tal y como lo puedes usar si eres cliente de Movistar en España.


Figura 3: Aura en Movistar Plus hoy

2.- Aura en Movistar Home

El siguiente vídeo es una explicación de cómo está construido Aura dentro de Movistar Home, para poder ofrecer las funciones básicas que tiene nuestro dispositivo. Fundamental para entender el presente y el futuro de la interacción con los servicios de Telefónica en el hogar.


Figura 4: El software de Movistar Home


Figura 5: Aura en Movistar Home

Y para explicar las funcionalidades de forma sencilla, la serie del Dr. Tech ha publicado más vídeos de esta WebSerie de 10 capítulos. Aquí tienes los tres últimos que hemos puesto a disposición de todo el mundo.


Figura 6: "Es lo que hay: WiFi y Movistar Home


Figura 7: "¿Qué vemos hoy, Pichurri?" 


Figura 8: Llamadas y Vídeo-Llamadas

3.- ElevenPaths

Para el final os dejo dos cosas de nuestros compañeros de la unidad de ciberseguridad del grupo Telefónica. El primero es un podcast de 11Paths Radio con la entrevista a Gianluca D'Antonio para hablar de la gestión de la seguridad en la empresa hoy en día y la actualidad del sector.

Figura 9: Entrevista a Gianluca D'Antonio

El segundo, y último del día de hoy, es una CodeTalk for Developers explicando el trabajo de Wild Wild WiFi en una sesión fácil de seguir en unos minutos.


Figura 10: Wild Wild WiFi "Tu router en paranoid mode"

Y esto es todo, ahora a disfrutar del fin de semana que hace un día fantástico en Madrid para montar en bicicleta y/o monopatín.

Saludos Malignos!

viernes, agosto 23, 2019

9 y 10 de Septiembre en Madrid: Gestión, Digitalización, Ciberseguridad & Inteligencia Artificial

No será hasta el mes de Septiembre que vuelva a preparar una conferencia. A principios de mes voy a participar en un programa de televisión con unos amigos y dar mi primera conferencia de esta última parte del año, donde no tengo previstas dar muchas, que tengo muchos proyectos interesantes en los que quiero centrarme. Mi primera charla será durante el Congreso Internacional de Gestión GF 2019, que tendrá lugar en el Palacio Municipal de Congresos de Madrid.
Esta es una "Meeting Point-Expo" con ciclos de conferencias, reuniones de trabajo, etcétera, que cuenta con ponencias centradas en la digitalización, la gestión de los clientes y la transformación tecnológica. Y yo voy a dar una charla sobre Inteligencia Artificial & Ciberseguridad en la que he estado trabajando y que he puesto como título:
"Artificial Intelligence versus Humans: Cómo el avance de la tecnología se puede usar para el mal"
En esta sesión, Chema Alonso hablará de cómo las tecnologías de Big Data y Cloud Computing habilitaron la llegada de grandes avances en Inteligencia Artificial para superar los límites de los seres humanos. El concepto de Human Parity refleja que un sistema informático, o una inteligencia artificial, tiene menor tasa de error que los seres humanos ante una capacidad cognitiva, como la vista, el habla, la traducción o la comprensión lectora. 
Como veremos, la Inteligencia Artificial ha estado superando en los últimos tres años el Human Parity en muchas áreas, abren la posibilidad de que los malos creen nuevos ataques que sumar a las campañas de Fake News, con la generación de realidades falsas y la suplantación de personas en tiempo real utilizando la potencia de modelos de IA entrenados. Un mundo apasionante el que se nos viene...
No es que quiera dar una visión catastrofista ni negativa de la tecnología. Al contrario. Soy un convencido de que los seres humanos hemos sabido enfrentarnos a tecnologías mucho más peligrosas para todos nosotros, y lo hemos hecho con madurez y responsabilidad. Sí, a veces hemos tropezado, y de esos errores debemos aprender para enfocar el futuro con sensatez. 

Pero la tecnologías que tenemos por delante son maravillosas y nos pueden cambiar la vida muy positivamente. Así que, mejor entender los riesgos y trabajar con optimismo y convencidos de las posibilidades que tenemos de aprovecharnos del progreso científico y tecnológico para tener una vida mucho mejor.

Figura 2: Datos del Congreso. Ponentes, programa y entradas en este enlace

Mi charla en concreto será el día 10 de Septiembre a las 12:30 del medio día y no sé si será grabada. Yo estaré por el congreso ese día en alguna reunión y visitado la feria para ver los expositores. Si quieres venir, tienes la ubicación, el programa completo con las charlas de ponentes de la importancia de Herman Rutgers, Paul Bedford, Fred Hoffman o María José Jordá, responsable del área digital y experiencia de cliente del BBVA, y la forma de conseguir las entradas en la web del Congreso.

Saludos Malignos!

jueves, agosto 22, 2019

CVE-2019-14969: Escalada de privilegios en Windows Server 2016 a través de enlaces simbólicos

El mundo de las vulnerabilidades no descansa. Agosto va pasando, pero el mundo de la ciberseguridad sigue y sigue. Me he parado a revisar algunas de las que van saliendo y me ha llamado la atención, por simplicidad y potencia, una vulnerabilidad descubierta por la gente de ActiveLabs y en la que cuentan cómo funcionan los enlaces simbólicos en Microsoft Windows y cómo se puede lograr una escalada de privilegios total, es decir, de un usuario autenticado a ejecutar código como SYSTEM.

Figura 1: CVE-2019-14969: Escalada de privilegios en Windows Server 2016
a través de enlaces simbólicos

Antes de entrar en detalle, me parece interesar hacer un inciso sobre dónde encontrar estas vulnerabilidades, noticias, etcétera. A veces me preguntan por las fuentes, ¿dónde miras o miráis? Hoy en día es más fácil que nunca enterarse de las nuevas vulnerabilidades que se van reportando o que se van descubriendo.

Desde hacer seguimiento de diversas cuentas en Twitter, utilizar fuentes de datos de exploits como Exploit-DB, PacketStorm, 0day.today o SecurityFocus, seguir feeds de Mitre y otras fuentes más o menos relevantes, eventos o utilizar blogs nacionales que tratan éstas. Hay una gran cantidad de fuentes diferentes, quizá lo difícil sería organizar toda la información que recibimos.

Al ver la explotación de la vulnerabilidad y ver cómo se explica la técnica me pareció muy interesante, ya que lo vi muy didáctico. Teniendo en cuenta que el próximo 13 de septiembre hay un Rooted Lab en la RootedCON de Valencia sobre Red Team & Ethical Hacking que impartiré, pues pensé que esto era interesante para añadir a las diferentes técnicas de escalada de privilegios en sistemas. Además, el sábado 14 de septiembre impartiré una charla sobre uac-a-mola^2, la evolución de uac-a-mola, en el evento de Rooted en Valencia.

CVE-2019-14969: Escalando privilegios

Para el ejemplo que comentaré, y que se puede obtener mayor información en el artículo de ActiveLabs, utilizaremos la aplicación Netwrix Auditor en su versión 9.7 o anterior. ¿Qué hace esta herramienta? Es fácil, detecta amenazas de seguridad, prueba el cumplimiento y ayuda al equipo de IT con la auditoría. Es un software orientado a la auditoría IT.

Antes de seguir, miré en exploit-db buscando más información sobre vulnerabilidades en este software. Se puede encontrar un DoS sobre la aplicación y poco más.

Figura 2: Vulnerabilidades de Netwrix Auditor

Ahora, vamos a comenzar con la explicación del CVE-2019-14969. Esta vulnerabilidad es una escalada de privilegios de usuarios autenticados en el equipo que pueden llegar a ejecutar código como SYSTEM en un equipo Windows Server 2016.

Figura 3: Libro de Windows Server 2016: Administración y Seguridad

Lo primero de todo y echando un vistazo al pasado reciente hay que decir que la elevación o escalada de privilegios en sistemas MS Windows ha aumentado a través del uso de enlaces simbólicos. Algo similar ocurrió entre 2017 y 2019 con el crecimiento de publicaciones sobre bypasses de UAC, sobre todo con el uso de DLL Hijacking y manipulación del registro. En otras palabras, de una técnica concreta se puede obtener cientos de vulnerabilidades en diferentes aplicaciones o en diferentes partes de un sistema operativo.

El abuso o aprovechamiento de los enlaces simbólicos ha sido realizado durante muchos años, como por ejemplo el DLL Hijacking, pero ahora hay una pequeña oleada de vulnerabilidades en Windows que se aprovechan de esta técnica. ¿El resultado? Puede ser la escalada de privilegios. Muchos pueden pensar en el enlace simbólico en algo del mundo GNU/Linux, pero también aplica en el mundo Windows y hay que fortificar nuestros equipos contra estas técnicas.

Figura 4: Libro de "Máxima Seguridad en Windows: Secretos Técnicos"

Cuando se instala la aplicación Netwrix Auditor y se revisan los permisos en la carpeta donde se instala, se puede observar que los usuarios autenticados tienen permisos totales sobre el fichero “Netwrix.ADA.StorageAuditService.log”, el codiciado “Full Control”. Si revisamos el proceso “Netwrix.ADA.StorageAuditService.exe”, por ejemplo con ProcMon, encontramos que se está ejecutando en un nivel de integridad de SYSTEM.

Figura 5: Revisión con ProcMon

Es decir, se está ejecutando como NT AUTHORITY\SYSTEM. Este proceso escribe en ese archivo cada diez minutos para registrar cierta información. Además, para mayor comprensión, el servicio que se instala es “NwDataCollectionCoreSvc”, el cual es ejecutado como una cuenta local del sistema, es el responsable de ejecutar el binario comentado anteriormente. El binario se ejecutará como proceso hijo y como SYSTEM.

Lo interesante después del análisis con ProcMon es que el software intenta cargar DLLs no existentes, es decir, que devuelven un Name Not Found cuando lo vemos con el ProcMon e intentan cargar las DLLs. En el ejemplo de la publicación de la vulnerabilidad se utiliza la DLL con nombre VERSION.dll. El proceso que invoca esta DLL es UAVRServer.exe, el cual es otro binario que se arranca con otro servicio del software ejecutado con una cuenta local de sistema.

Eliminando el fichero de log que se encuentra en la ruta "\Program Files\Netwrix Auditor\Logs\Active Directory" se busca crear el enlace simbólico entre la DLL y el fichero de log. Hay que recordar que el fichero de log es dónde el binario elevado escribe cada diez minutos. Utilizando la herramienta CreateSymLink de James Forshaw. Con esta herramienta se crea el enlace simbólico comentado.

Figura 6: CreateSymLink

Cuando el proceso “Netwrix.ADA.StorageAuditService.exe" escriba con la operación WriteFile en el archivo de registro, es decir en el fichero del log. Vemos que se crea de nuevo el fichero de log, hay una reparación. Ahora, se borra el enlace simbólico y se espera diez minutos para que se realiza la siguiente operación de WriteFile. Ahora se ha generado un fichero VERSION.dll en el directorio \Program Files(x86)\Netwrix Auditor\User Activity Video Recording.

Lo interesante es que antes con el ProcMon se podía ver que no se encontraba esa DLL, pero ahora sí, gracias al enlace simbólico generado con la herramienta CreateSymLink. ¿Qué tiene esa DLL? Bueno, nada que nos importe, pero se puede generar una DLL que, por ejemplo, tenga la ejecución de una calculadora o la ejecución de un Meterpreter de Metasploit con msfvenom.

Figura 7: Ahora encuentra la DLL

Si revisamos la configuración de seguridad del archivo VERSION.dll se puede ver que los usuarios autenticados tienen control total sobre el archivo. Ahora se copia la nueva DLL por la VERSION.dll. Por último, se debe esperar a que el servicio "NwUserActivitySvc" se reinicie. Generalmente, tendrá que ser un administrador o el propio devenir del sistema el que provoque este hecho.

Con herramientas como Process Explorer se puede ver que cuando todo se desemboca, si la DLL levanta una calculadora, ésta tendrá un contexto de integridad de SYSTEM. Lo mismo ocurriría si la DLL tiene un Meterpreter o cualquier otro código ejecutable.

Figura 8: Libros de "Metasploit para pentesters 4ª Edición"
y "Hacking con Metasploit: Advanced Pentesting" de 0xWord.

En definitiva, la vulnerabilidad permite a los usuarios normales elevar privilegios en el sistema. La vulnerabilidad, según informó el propio ActiveLabs, está solventada en la versión 9.8 de la aplicación.

Lo interesante es el funcionamiento de la técnica de elevación gracias a los permisos de los archivos y los enlaces simbólicos. El uso de herramientas como ProcMon y Process Explorer para detectar y verificar las hipótesis. En definitiva, un mundo interesante el de la escalada de privilegios.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

miércoles, agosto 21, 2019

Mis camisetas en @0xWord: Evil:ONE, Fear the FOCA, Soy Maligno, Profesor Alonso, y Cálico Electrónico

Antes de irme de vacaciones ya os había dicho en uno de los artículos que me había hecho un par de camisetas nuevas. En concreto hemos hecho una de Cálico Electrónico y otra del Profesor Alonso. La primera, la de de Cálico Electrónico, es solo un pequeño logo en el corazón, para dejar claro que siempre tendré al "gordito" cerca de mi patatita, y la del Profesor Alonso está basada en la imagen del poster que me hizo el gran Cels Piñol.

Figura 1: Mis camisetas en @0xWord: Evil:ONE, Fear the FOCA,
Soy Maligno, Profesor Alonso, y Cálico Electrónico

Las camisetas ya las he estado usando yo, de hecho, durante el concierto de Despistaos en las fiestas de Leganés. Como podéis ver, el gran José Krespo, guitarrista y compositor de algunas canciones tan míticas como "Gracias" o "Mi Accidente Preferido" se puso la camiseta de Evil:One.


Por su parte, mi "primoPablo Alonso, que es el bajista en Despistaos y en Pignoise - además de llevarse el libro de Hacker Épico que ya se está leyendo - lució la "mítica" camiseta de "Fear The FOCA" que tantos años he llevado yo. Y por último, Lazaro, el batería del grupo, llevó como yo la camiseta del Profesor Alonso. Íbamos conjuntados. A Dani le moló la del Profesor Alonso, pero no tenía más a mano, que me las quitan de las manos....chacho!


Como siempre suelo hacer, he pedido que me hagan unas pocas camisetas de más de todas ellas. No muchas, que luego hay que guardarlas. Ya he regalado ya algunas a los amigos más cercanos, pero si queréis tener alguna de ellas, están todas disponibles en la web de 0xWord.


Perdonad si cuando vais a comprarlas ya han volado las de vuestra talla, pero es que las hago para mí y el stock que se queda en 0xWord es muy pequeño. Todas las camisetas las tenéis disponibles en los siguientes enlaces de la web de 0xWord:


Y recordad que "Los Despis" tocan este finde en el Mediterranea y la semana que viene en Palencia y en Alcalá de Henares, donde si hay suerte y cuadra todo, yo iré a verlos otra vez para pasar una buena noche.

Figura 5: Próximos conciertos de Despistaos

Tenéis todos los conciertos del grupo en la web, y escuchar todas las canciones en el perfil en Spotify de Despistaos, que yo lo tengo machacado.

Saludos Malignos!

martes, agosto 20, 2019

Así fue la conferencia que hice con Mi Hacker para presentar AURA a los compañeros de Telefónica

Era finales del año 2017, el mes de Noviembre en un encuentro de empleados de Telefónica. Aura todavía no se había puesto en producción en ninguno de los países, y yo tenía que dar una charla para explicar durante unos minutos cosas que estábamos haciendo en la unidad CDO, y decidía invertir cinco minutos en hacer algo muy especial. En hacer una presentación con Mi Hacker.

Figura 1: Así fue la conferencia que hice con Mi Hacker
para presentar AURA a los compañeros de Telefónica

La idea era mostrar cómo para las nuevas generaciones hablar con la tecnología era algo natural, así que le propuse a Mi Hacker - de solo 9 años en aquel entonces - hacer las demos juntos. Desde muy pequeña le ha gustado la tecnología, y yo la he animado a hacer cosas en el escenario para que supere ese miedo escénico al que yo me vi expuesto muy mayor.

Figura 2: Ensayando con Mi Hacker para el evento de Aura

Ha hecho teatro, competiciones deportivas, baile con coreografías infinitas, conciertos de música tocando instrumentos y exhibiciones de patinaje. Hablar en público es algo que hay que superar, y cuanto antes mejor.


En este caso se trataba de hacer una demo hablando con Aura en la app de Movistar Plus para enseñar los comandos básicos que se pueden utilizar, así que solo debíamos hacer un recorrido juntos por un posible escenario manejando los servicios que se ofrecen en nuestra plataforma de TV


Figura 4: Presentación de Aura en 2017 con Mi Hacker

Entre medias, planificamos algún chiste juntos, y yo hice uno que no estaba planificado sobre la ocurrente idea que algunos compañeros tuvieron en un momento de llamar a nuestra querida Aura como Matilde, así que le hice una pregunta a Mi Hacker que le pilló por sorpresa.


Como os podéis imaginar, saqué a Mi Hacker del colegio para venir a los ensayos, luego la devolví a las clases. La volví a sacar para el día del evento, y la volví a llevar a clase una vez terminado. Y yo estaba nervioso como un flan. Tanto que no me salían las palabras. Estuve más nervioso yo que ella, pero al final salió todo perfectamente y la gente entendió cómo funcionaría Aura en la app de Movistar Plus, donde la puedes usar si eres clientes de Movistar en España.


Como sabéis, no es la única vez que he hecho estas cosas a Mi Hacker y a Mi Survivor. Con esta última grabé el anuncio de Movistar Home y la SuperCopa de Europa - que se me ha hecho del Atlético de Madrid -, también la llevé a entrenar a Aura, y a las dos las subí a hacer las demos de Rubika. Además, con Mi Hacker hice el vídeo con Microsoft sobre Movistar Home.

Figura 7: En la presentación de Rubika, Mi Hacker y Mi Survivor me ayudaron.

Para ellas es un premio hacer estas cosas, y yo creo que es una forma de que aprendan cosas de forma diferente, así que mientras ellas quieran hacer estas cosas conmigo, teatro, una exhibición de patinaje artístico o una recital de canto, yo las voy a animar ... y a empujar, que al final tendrán que volar solas.

Saludos Malignos!

lunes, agosto 19, 2019

Food for Thought: Treinta libros que alimentaron mi mente (Parte 3)

Aún estamos de verano en España, y seguro que alguno de vosotros tiene aún días libres que gastar por delante. Yo voy a volver poco a poco al blog, pero sin mucha presión durante el mes de Agosto, así que he pensado en recomendaros hoy alguno más de los libros que he leído. 

Figura 1: Food for Thought: Treinta libros que alimentaron mi mente (Parte 3)

De momento os había dejado dos tandas de recomendaciones - tres tandas, si hablamos de los libros de seguridad informática y hacking de 0xWord - así que si quieres saber cuáles son, los puedes leer en esto artículos:


Junto a ellas, las "Seis recomendaciones personales de libros de 0xWord" que ya os dejé tiempo atrás.  Y ahora, vamos con los libros que he seleccionado para esta parte.

16.- Interface

Vale, es el tercer posts que publico sobre recomendaciones de libros, y vuelve a aparecer Neil Stephenson - en este caso acompañado de Frederick George - del que ya os recomendé SnowCrash y la trilogía del Criptonomicón. Pero es que este libro me encantó por lo adelantado a su tiempo y lo que planteaban. A ver, el objetivo era construir un candidato presidencial para Estados Unidos que ganara adaptando su discurso en función de lo que la gente iba reaccionando.

Figura 2: Intreface. No os extrañe encontrarla con el pseudónimo de
"Steven Bury" que usaron ambos autores.

Entonces, cuando se hizo este libro aún no había Internet 2.0 con la llegada de la gente, ni el famoso Internet+ del que habla Bruce Schneier en su libro de "Haga clic aquí para matarlos a todos" que lleva la inclusión de todos los dispositivos IoT conectados a la red, así que la tecnología que se usa es un tanto retro.







Anoche no podía conciliar el sueño, y opté por comenzar a leer el nuevo libro de Bruce Schneier "Haz clic aquí para matarlos a todos". Al final me enganché y me comí un tercio de libro. Es divulgativo, habla de lo que el llama "Internet+" con los problemas de Internet + IoT + Connected Humans. No es muy técnico, es para tecnólogos y no se mete en ninguna parte con los detalles ya que es un libro para no ténicos que quieran conocer cómo funciona el mundo de la seguridad informática, los ciberataques, las vulnerabilidades y los procesos de gestión de la seguridad empresarial y, lo más importante, nacional e internacional por medio de los gobiernos. Eso sí, me hubiera encantado ser el corrector de la traducción, porque algunas adaptaciones al español de términos como "Hard Coded Password" , Botnet, o APT (Advanced Persistant Threat) han sido traducidos como "Contraseña de Código Duro", Red de Robots, o Ataques posibles todo el tiempo, que me han hecho tener que penar en una traducción literal al inglés para dar con el término correcto. Pero muy entrenida la lectura, y explica bien por qué los fallos existieron, existen, y existirán, y porque la homogenización de tecnologías y la reducción de costes y aumento de la velocidad en la puesta en producción de la tecnología nos lleva a cosas como Mirai o el mundo del ransomware en SmartCities.
A post shared by Chema Alonso (@chemaalonso) on

Cada una de las personas que son analizadas para tomar datos usa una especie de SmartWatch por el cual se emiten los discursos del presidente, y en función de cómo reaccionan, un equipo de expertos analiza y controla - literalmente controlan como si fuera una marioneta - los discursos del candidato, llegando a conseguir que se convierta en el presidente de EEUU... y no os cuento más, que hasta aquí puedo leer.

La verdad es que la tecnología que aquí se describe ha sido superada ampliamente por las tecnologías de análisis descriptivo, predictivo y prescriptivo de datos con Big Data, y la trama de convertir a un presidente adaptando sus discursos basados en datos sin importar si miente o da información inexacta es justo lo que las Fake News explotaron después. Así que, si con Snow Crash predijo los avatares y mundos virtuales, y con Criptonomicón la llegada de las criptomonedas y el BitCoin, con este libro podríamos decir que Neil Stephenson predijo la llegada de las Fake News.

17.- En defensa de la ilustración: Por la razón, la ciencia, el humanismo y el progreso

Esta ha sido el libro de cabecera de estas vacaciones de verano. La recomendación de un compañero de Telefónica que me ha tenido enganchado todos los días con la lectura de este libro de divulgación sobre cómo ha progresado la vida de las personas desde que comenzó el proceso de la ilustración, gracias a tener una visión humanista de nuestra existencia, y a la aplicación del razonamiento y la ciencia para mejorar nuestras sociedades. 550 páginas de puro alimento para el cerebro.







Para estas vacaciones me dejé asesorar por un compañero de Telefónica para elegir una lectura. Me ha llevado dos semanas completas leer las 550 páginas del libro (más 100 de notas y referencias), pero al igual que Un mundo Feliz, Factfulness, Sapiens, El Gen Egoísta, y algunos más que os he dejado en mi blog, el libro me ha encantado. Ver el mundo desde una perspectiva Humanista, buscando El Progreso por medio de la razón y la ciencia me parece el camino adecuado. El autor es mordaz, sagaz, irónico y cáustico. A Donald Trump, Nietzsche y a más de 200 intelectuales de la “Segunda Cultura”, científicos agoreros, fundamentalistas religiosos, filósofos del “superhombre” y políticos anti-ciencia les pasa factura en este texto. Me ha maravillado y me ha abierto muchas ventanas en la vida para que tenga más luz en mi juicio. Os lo recomiendo. Un libro de texto que debería leer cualquier universitario y cualquier persona que quiera entender un poco mejor el mundo hoy en día.
A post shared by Chema Alonso (@chemaalonso) on

Comienza con una frase de Barack Obama que utilizó en el año 2016 y que recoge algo que no se nos debe olvidar nuca, y es que a pesar de que tengamos cosas que seguir mejorando, que tengamos cosas que no están todo lo bien que nos gustaría, o que incluso están mal, en reglas generales, desde que comenzó el proceso de la Ilustración, los seres humanos han avanzado muchísimo. La frase, que está en la WikiQuote de Barack Obama también, dice:
"the truth is that if you had to choose when to be born, not knowing where or who you would be, in all of human history, now would be the time. "
Steven Pinker no es un tipo con pelos en la lengua, así que no trata a los que él consideran como enemigos de la Ilustración y el progreso con muchos paños calientes, pero en resumen, es otro libro de los que te abre la mente. Te enseña a luchar contra el sesgo de disponibilidad, contra el sesgo de negatividad, y sobre todo te enseña - como hace Fact Fullness - a que no te comas los primeros datos y gráficos con cosas absolutamente negativas que muestran muchos políticos y analistas para hacerte creer que el mundo está yendo a peor.  

18.- El Capitán Alatriste

Cambio de tercio, y vamos a uno que a mí encanta, la literatura de aventuras. De este tipo de novelas os voy a recomendar muchos libros, y en este caso me gustaría comenzar por las novelas de El Capitán Alatriste. A ver, son novelas que se leen con emoción, con espadachines que lo mismo se trinchan en las calles de Madrid, que en los ríos del maldito Flandes. Con tintes históricos de nuestra España, en la que los personajes de ficción, se mezclan con los históricos, con el Conde Duque de Olivares, con el gran Francisco Quevedo que cojo y con Damajuna de vino es capaz de ponerse farruco con el primero que le mente su alma, por que él puede llegar a ser tanto polvo enamorado con su larga lengua como un diestro con el estilete en corto.

Figura 5: Las novelas del Capitán Alatriste

Y por allí circulan soldados, poetas y literatos, con las interpretaciones de las obras del mítico Lope de Vega como fondo de conspiraciones para la nobleza, y con la veneración inconmensurable de todos los actores de esta gran aventura, al manco Cervantes que dejó escritas una de las aventuras más grandes de nuestra lengua con el hidalgo paseando por Castilla.

A esto súmale las campañas de los viejos tercios españoles que en la Italia, el Flandes o en los barcos contra los moriscos en levante, se dejaban sangre, actitud y cuchilladas. Ya fuera para pelear por la bandera, para sufrir una conspiración de la iglesia y el temido Bocanegra, para salvar al narrador Iñigo Balboa o luchar por el oro que llegaba de las Américas, pero nunca al pueblo llano. Una colección de aventuras del gran Arturo Pérez-Reverte, para disfrutar las tardes de verano, sin duda.


He de decir, que son muchas las novelas de Don Arturo - al que tuve la fortuna de conocer en persona - que me he leído y me encantan. Mi favorita quizá sea, por encima de las demás, "El Club Dumas", ya que mezcla amor por los libros, las aventuras de Los Tres Mosqueteros, y una trama con un personaje con sonrisa de conejo que te atrapa.

Pero también tienes La Sombra del Águila que es tronchante y ver a los personajes temer y mofarse del "petit cabrón" Napoleón Bonaparte, o "El Husar", que viene entrenado en el arte de la guerra para llegar a la España de la guerra de la independencia y entender en primera persona porque un pueblo que perdía todas las batallas, ganaba la guerra a base de acuchillar gabachos y prusianos que se topaban con los grupos echados al monte de bajitos y morenos cabreados.


O los misterios de La Tabla de Flandes y El Maestro de Esgrima. Con el primero, he de decir que no podía seguir leyendo hasta no descubrir el movimiento de la partida de ajedrez. Me tenía obsesionado entender el acertijo y no quería que las letras me lo desvelaran. En fin, que aunque os he recomendado las novelas de El Capitán Alatriste, os dejo también en el saco la otra lista de novelas del gran Arturo Pérez-Reverte que he citado, y de las que pedí que me dedicara mi favorita.

19.- El origen perdido

Esta novela cayó en mis manos cuando aún era socio del Círculo de Lectores. La historia está protagonizada por tres hackers, donde el protagonista, llamado Root (ese es un nickname y no "Maligno") - empresario de éxito y con una casa domotizada hasta la médula -, lidera a Jabba (como en el Retorno del Jedi) y Proxi - una chica hacker de la que es imposible no enamorarse en la novela - para encontrar la cura al cerebro de su hermano que parece haber sido hackeado por un antiguo idioma: El Aymara.

Figura 8: El Origen Perdido de Matilde Asensi

La novela es una novela de acción, en donde la parte de hacking y seguridad informática se trata de forma muy novelesca - vamos, al estilo del inicio de La Piel del Tambor de Don Arturo Pérez-Reverte con el hacker que se mete en la red del Vaticano o de Lisbeth Salander en la serie Milienium de lo que escribí un artículo llamado "Lisbeth, ¿que has hecho qué?". Pero al estilo de Matilde Asensi, a quién no voy a descubriros ahora. Con un estilo narrativo muy ameno, interesante y adictivo.

Figura 9: Origen (Inception en original) de Christopher Nolan. Película de 11 sobre 10.

Lo mejor del libro, sin duda, el planteamiento de que el cerebro es como una computadora que se puede hackear con un lenguaje primigenio. Yo soy más de pensar que el cerebro se hackea con ideas, al estilo que propone la película de "Origen" del gran Christopher Nolan, pero pensar que pudiera existir un código ensamblador para cerebros es cuanto menos atrayente.

20.- Los hombres que susurran a las máquinas

Este libro es un tanto especial para mí. Es de Antonio Salas, un escritor-periodista que se suele infiltrar en el mundo del que quiere escribir, y eso hizo con la comunidad de hacking en España. Pero conmigo quiso tener una entrevista personal - como con muchos otros compañeros de este mundo - y quedó conmigo un día en Telefónica para hablar durante un rato sobre mí, sobre los hackers, y sobre todo y nada.


Al final, el libro recoge una historia bonita, con entrevistas a muchos compañeros, con datos sobre las conferencias, sobre las charlas, los hacks, y es fácil de leer. Permite conocer a muchos de los que llevamos años en este mundo de la tecnología - aunque faltan muchos aún -. Entre las curiosidades del libro está que me pidió alguna foto, y lleva la famosa imagen en la que estoy saludando al rey con mi gorro en el Mobile World Congress de 2016 que acabó en la historia del "Kinki ciberdelincuente del 15 M". Recomendable si quieres conocer cómo funciona este mundo.

Y esto es todo por hoy, ya os dejaré más libros en la siguiente parte de esta serie, que cuanto más escribo, más me acuerdo de buenas historias que he leído.

Saludos Malignos!

Entrada destacada

Rock & Hack: Cursos Online, Charlas de Hacking, Eventos, Festivales y Conciertos de Rock en Agosto

Estas leyendo este post, pero yo sigo de vacaciones. Sin embargo, no quería dejar pasar la oportunidad de dejaros el calendario de activida...

Entradas populares