domingo, mayo 17, 2026

¿Tiene informático tu ayuntamiento? El futuro de España lo decidirán 8.132 municipios

Me llamo Santiago Bonet. Soy Ingeniero en Informática y llevo más de 30 años en esto, de los cuales 21 de ellos como Director TIC en el sector privado, y los últimos 7 como Responsable de Transformación Digital del Ayuntamiento de Alcàsser, un municipio de 10.712 habitantes de la Comunitat Valenciana. Conocía a Chema Alonso en el año 2011, en el Teatro Municipal de Algemesí, cuando ambos éramos ponentes ante 400 chavales de FP Informática
Le contacté hace unos días por su buzón de MyPublicInbox y le conté lo que estamos haciendo en Alcàsser, y amablemente me ofreció este espacio. Se lo agradezco, porque lo que voy a contar creo que afecta a toda España, y la comunidad hacker hispana debería saberlo. 
Además, os voy a pedir que nos apoyéis en el candidatura al Premio en la Noche de las Telecomunicaciones Valencianas 2026, pero puedes apoyarnos después de de que te cuente el detalle.

⚠️ El problema: la ley que regula los ayuntamientos tiene 40 años

La Ley 7/1985, Reguladora de las Bases del Régimen Local (LBRL), define la estructura orgánica básica de los ayuntamientos españoles. Establece qué puestos son obligatorios, qué funciones son reservadas y qué perfiles tienen reconocimiento institucional formal. En 1985, Internet no existía. El correo electrónico era cosa de laboratorios universitarios. La LBRL reserva funciones esenciales a los funcionarios con habilitación de carácter nacional: Secretarios, Interventores y Tesoreros. Todas ellas son figuras imprescindibles con una responsabilidad enorme — la fe pública, el control económico y la tesorería son pilares del Estado local — y el reconocimiento institucional que tienen está completamente justificado.

Pero en 1985 nadie podía imaginar que cuarenta años después la infraestructura digital sería tan crítica como la económica o la jurídica. Que un ciberataque podría paralizar un ayuntamiento durante semanas. Que la interoperabilidad entre administraciones, la identidad digital, la protección de datos o la inteligencia artificial aplicada al servicio público serían responsabilidades de primer orden. Todo eso recae hoy sobre una figura que la ley NO menciona: el técnico informático municipal.

Como consecuencia de esta ausencia de regulación, el 88% de los 8.132 municipios españoles tienen menos de 7.000 habitantes y NO disponen de ningún técnico informático en plantilla que lidere su transformación digital, según los datos del INE 2025. Y el resultado es predecible: formularios en papel que se pierden, ciberataques sin respuesta, equipos con sistemas operativos obsoletos conectados a redes municipales, y ciudadanos que no pueden hacer un trámite online porque nadie les ha enseñado.

💡 La propuesta en positivo

El modelo que han construido los funcionarios habilitados nacionales — con cuerpos propios, atribuciones definidas por ley, formación reglada y reconocimiento institucional — es exactamente el referente que necesita la figura del técnico informático municipal.

No se trata de sustituir a nadie ni de cuestionar lo que ya funciona. Se trata de que España actualice su marco normativo para que la digitalización tenga el mismo respaldo institucional que la gestión económica o la fe pública. En 2026, la infraestructura digital es tan crítica como cualquier otra. Y merece el mismo tratamiento.

🚀 Lo que un solo técnico puede hacer en un municipio de 10.000 habitantes 

En febrero de 2019, Alcàsser sufrió un ciberataque. El Ayuntamiento creó el Área de Transformación Digital y me contrató como técnico responsable. Un técnico. Uno. Para un municipio de 10.712 habitantes con 10 sedes y más de un centenar de ordenadores. Lo que vino después es el Proyecto GREEN-TDIGITAL. Los números hablan solos:

Figura 3: Datos del Proyecto GREEN-TDIGITAL

Todo con software libre, usando Drupal para la intranet y web, GLPI para gestión de incidencias, GNU/Linux Debian en más de 100 máquinas que iban al contenedor, servidores en un CPD alimentado con paneles solares. Y un chatbot de IA en producción con más de 360 consultas resueltas en sus primeros seis meses.

Figura 4: 🤖 El chatbot de IA en producción - 360+ consultas resueltas
en 6 meses, alimentado por las 22 áreas municipales del ayuntamiento

La clave del modelo no es la tecnología en sí. Es la combinación de tres factores que deben multiplicarse, no sumarse. La fórmula de Green-TDigital:

TRANSFORMACIÓN DIGITAL = TECNOLOGÍAS × PERSONAS × ORGANIZACIÓN

Si cualquiera de los tres vale cero, el resultado es cero. Por eso el proyecto tiene tres patas: despliegue tecnológico, formación ciudadana, y reorganización de procesos en las 22 áreas del ayuntamiento. Y por eso los propios funcionarios son parte activa del cambio:

Figura 5: 🪧 Los adhesivos en los mostradores de las 22 áreas. Los propios
funcionarios animan en persona a los ciudadanos a digitalizar sus trámites

🔴 Por qué esto le importa a la comunidad hacker

Un municipio sin técnico informático no es solo un problema de servicio público. Es un problema de seguridad que está pasando desapercibido.

Vector de ataque sistémico — más de 7.000 municipios sin TIC en plantilla:
  • Sistemas sin parchear durante años o décadas
  • Sin plan de contingencia ante ciberataques
  • Datos de ciudadanos gestionados sin criterio técnico de seguridad
  • Dependencia total de proveedores externos sin supervisión técnica interna
  • Software propietario sin alternativa de continuidad si el proveedor desaparece
  • Interoperabilidad con el Estado hecha a golpe de papel y fax en algunos casos
Alcàsser lo sufrió en 2019. Muchos otros municipios lo están sufriendo ahora mismo en silencio. Y la respuesta institucional sigue siendo insuficiente porque el marco legal no contempla al técnico informático como figura necesaria.

🏆 Validación externa — no es solo Alcàsser que lo dice

GREEN-TDIGITAL ha pasado por siete eventos de referencia en dos años, y ha competido por premios que ayuden a difundir el mensaje de las necesidades que hay en todos los ayuntamientos de España.

Figura 6: Difusión del proyecto GREEN-TDIGITAL

💬 Conclusión: la infraestructura más crítica de España no tiene quién la proteja

Los ayuntamientos son la primera línea del Estado. Gestionan el padrón, las licencias, las ayudas sociales, la recaudación local. Son los que saben cuántas personas mayores viven solas en cada calle, dónde hay que colocar un desfibrilador. Son los que atienden al ciudadano cara a cara. Y el 88% de esos 8.132 ayuntamientos no tiene ni un solo técnico informático. Estamos hablando de infraestructura crítica gestionada sin personal especializado. Como si los hospitales no tuvieran médicos. Como si las centrales eléctricas no tuvieran ingenieros.

Figura 7: El proyecto compite en los Premios NTV 2026

El modelo GREEN-TDIGITAL demuestra que se puede cambiar esto desde dentro, con pocos recursos y software libre. Está documentado, publicado y disponible de forma gratuita para cualquier ayuntamiento que quiera replicarlo. Está todo en mi blog santiagobonet.com.

La pregunta no es si la transformación digital llegará a tu municipio. La pregunta es si llegará a tiempo, liderada desde dentro, o si llegará tarde, gestionada desde fuera y sin que nadie la entienda.

Autor: Santiago Bonet

Publicado por Chema Alonso a las 7:01 a. m. 1 comentarios

Etiquetas: , , , , ,

sábado, mayo 16, 2026

ExploitGym: Mythos, GPT 5.5, Gemini Pro en un CTF & Benchmark de hacer exploits

En el artículo de "El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs" donde os contaba cómo ha ido evolucionando el uso de los modelos LLMs en el mundo de la ciberseguridad en general, os contaba cómo se habían ido cubriendo las diferentes áreas con IA de forma muy rápida. Primero la búsqueda de vulnerabilidades, después el parcheo de vulnerabilidades, y por supuesto, la explotación de las mismas. 
Con la llegada de Mythos y GPT 5.5, el impacto en el mundo de la Seguridad Ofensiva, en concreto la parte de exploiting de vulnerabilidades se ha disparado, además de incrementar masivamente la parte descubrimiento de las mismas. La pregunta que queda en el aire, es... ¿cuánto de mejores son estos nuevos modelo en la estas funciones? ¿Cuánto de efectivo es un Agente AI para hacer pentesting y hacking creando exploits? Es decir, para usarlo como os contamos en el libro para hacker "Hacking y Pentesting con Inteligencia Artificial".
Esto es lo que se intenta medir en el paper de "ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks?" donde investigadores de varias empresas y universidades han trabajado en hacer un benchmark para medir justo esto, haciendo competir en la primera evaluación a Mythos, GPT 5.5, Gemini Pro y las versiones de Claude Opus 4.7 y 4.6, y que podéis leer aquí mismo.
Para poder medirlo, el Benchmark está formado por tres conjuntos de vulnerabilidades en el área de lo que se ha llamado USER Space, donde se trata de ver cómo hace explotación de vulnerabilidades en software ampliamente utilizado en Internet por los usuarios y ver cómo salta las protecciones de la memoria como ASLR, PIE y los Canary, vulnerabilidades en BROWSER Space  para Chromium Browsers, donde se usa la versión V8 con las protecciones de Sandbox, y en Kernel Space para explotar bugs en el kernel de Linux, donde hay protecciones de KASLR y usernames, entre otras. 
Al final, son 898 vulnerabilidades compiladas en un Benchmark al que juegan los diferentes modelos para lograr, como en los CTFs tradicionales de las CONs de Hacking, las banderas. Las flags. Para ello, una vez descubierta la vulnerabilidad y construido el exploit saltándose las mitigaciones, el sistema de ExploitGym les entregará la bandera, que será evaluada por el Juez, tal y como se ve en este gráfico.

Figura 5: Proceso de búsqueda, reporte y validación de la explotación

Como podéis ver, es un CTF en toda regla, pero además, luchando contra el crono, por lo que el time-out es de sólo 2 horas. Una competición muy dura para que un grupo de humanos pudiera entrar a competir contra estos Agentes AI de Seguridad Ofensiva. Los resultados en la siguiente tabla.

Figura 6: Resultados del Benchmark de ExploitGym

Como podéis ver, Mythos Preview consiguió un total de 157 banderas, mientras que GPT-5.5 consiguió un total de 120. Una auténtica salvajada en ambos casos, descubriendo y creando exploits funcionales de las vulnerabilidades. Pero ojo cuidado, que los resultados aún fueron mayores que esos.

Figura 7: Flag-To-Success

En la tabla anterior se puede ver que Mythos Preview y GPT-5.5 consiguieron 226 y 210 banderas respectivamente, pero no explotando la vulnerabilidad exigida, sino explotando otras que estaban también en el código. Es decir, no siguieron el camino que se se pedía de explotar concretamente ese bug, sino que se aprovecharon de otros existentes en el código, por lo que no se dieron por buenas. Claro, a un atacante de verdad seguro que eso le da bastante igual.

La gráfica anterior es todavía más curiosa, porque a pesar de que encontraron y explotaron Mythos y GPT-5.5 un total de 91 banderas iguales, aún hubo 66 que explotó Mythos y no GPT-5.5 y al contrario, 29 que explotó GPT-5.5 y no Mythos, luego alguien que tenga la suma de los dos tiene una visión más amplia de la verdadera seguridad. Como cuenta en este libro, los Bug Hunters con IA son mucho más peligrosos.

Figura 9:"Bug Hunter" escrito por David Padilla en 0xWord

A la hora de responder a la pregunta de "¿Cuánto de mejor es Mythos con respecto a Claude Opus?", ya que vimos que era posible hacer un exploit en 20 horas a partir de un CVE, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron", la comparativa siguiente es clara. 
Para ver el proceso completo de cómo trabaja un Agente AI en el descubrimiento, explotación y reporte para evaluación de las vulnerabilidades aquí tenéis un proceso con el punto de vista de la conversación de uno de los agentes.
Por último, hay que resaltar el valor de las medidas de protección y las mitigaciones, pues en el estudio se ve que hay muchas más vulnerabilidades descubiertas por los Agentes AI pero que no han podido ser explotadas por las medidas de seguridad, por lo que hay que seguir estresando las medidas de seguridad en los sistemas para hacer que sea más difícil, o imposible en el mejor de los casos, explotarlas.

Figura 12: Ratio de bypass de las medidas de mitigación.

En el nuevo mundo, los Agentes AI también juegan un rol importante en la protección de los sistemas, y especialmente en el nuevo mundo de vulnerabilidades creadas por servicios digitales creados por IA que hay que proteger. Para ello, necesitamos IA para hacer triage de peticiones de atacantes, y generación de firmas de bloqueo, creación de nuevas reglas en los servicios de seguridad, etcétera. En el artículo de "Cómo desplegar IA con seguridad en la empresa" os hablé de todo lo que hay que hacer en Guardarraíles para protegerse de las debilidades de la IA, pues lo mismo pero para los bugs y explotis tradicionales.
Un mundo nuevo y acelerado el que se ha puesto encima de los que trabajamos en ciberseguridad que nos obliga a transformar las herramientas y procesos tradicionales, para adaptarnos a este nuevo mundo donde la IA saca a flote muchos más problemas creados por una tecnología falible que inyecta bugs en el software: "El ser humano"

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Figura 14: Contactar con Chema Alonso

Publicado por Chema Alonso a las 9:37 a. m. 0 comentarios

Etiquetas: , , , , , , , , , , , , , ,

Suscribirse a: Entradas (Atom)

Entrada destacada

Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment. Nuestro nuevo libro en 0xWord

Pocas veces me ha hecho tanta ilusión que saliera un nuevo libro en 0xWord como con este libro de " Hacking IA: Jailbreak, Prompt Inje...

Entradas populares