martes, agosto 31, 2021

on-the-fly: Cómo hackear MySQL con Network Packet Manipulation en 1 minuto

La semana pasada hablamos sobre la herramienta on-the-fly, en la que se ha estado trabajando con un enfoque basado en IoT, ICS y TI. La evaluación de estos entornos es, sin duda, algo interesante e importante para cualquier auditor. Disponer de una herramienta que pretende cubrir diferentes aspectos dentro de este campo, aunque aún le falte por cubrir algunos aspectos, es interesante.

Figura 1: on-the-fly: Cómo hackear MySQL con
Network Packet Manipulation en 1 minuto

La herramienta está disponible en su Github y puede ser descargada. Es una herramienta Open Source en la que su base es la colaboración de los usuarios y la creación de módulos que pueden ser ejecutados de forma simultánea a través del concepto del ‘job’.
También hemos hablado en el blog sobre la técnica de manipulación de paquetes o Network Packet Manipulation sobre diferentes entornos de prueba y el potencial de la técnica con algunos protocolos que siguen sin cifrarse por defecto. Empezamos hablando sobre cómo manipular paquetes ‘al vuelo’ con herramientas como Etterfilter, cómo hacerlo sobre un entorno para hackear Wordpress o para hackear Moodle y cómo hacerlo a través de netfilterqueue, modernizando el ataque y dando más flexibilidad al programador y al Ethical Hacker.

Cuando empezamos a desarrollar on-the-fly en el departamento de Ideas Locas se me ocurrió crear un módulo que permitiera apoyarse en el módulo de ARP Spoofing y poder manipular los paquetes MySQL que pasaran por la máquina. Dentro de on-the-fly hay diferentes secciones: spoofing, sniffer, manipulation, etcétera. La parte de manipulación son módulos pensados para visualizar el tráfico que pasa por nuestra máquina y poder manipularlo al vuelo. 

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

Como ejemplo, en este artículo, veremos cómo funciona el módulo mysql_manipulation de on-the-fly. El módulo necesita que otro módulo proporcione el tráfico, para eso se utilizará el módulo de arp_spoof. El escenario es el siguiente:
  • Máquina Linux con una base de datos MySQL.
  • Cliente Windows (o cualquier sistema) que hará de aplicación web (o lo que sea) que pide datos a la base de datos. Nótese que aplicación y datos están separados.
  • Pentester con máquina Kali Linux y herramienta on-the-fly preparada.
  • El módulo de manipulación de MySQL lo que hará es estar preparado para que cuando se detecte una sentencia o palabra clave, se ejecute el código de sustitución y se cambie una sentencia por otra. Esto puede provocar la alteración de la tabla y los datos que hay en su interior.
ARP Spoof

Lo primero es ver la base de datos y alguna tabla que hay en el servidor. Desde la aplicación de la máquina Windows realizamos una consulta.

Figura 4: Consulta SQL a ejecutar

Como se puede ver, se hace una consulta a la tabla texto y se obtienen unos valores. Con el ataque de manipulación de paquetes, si se detecta un ‘Select’ o cualquier sentencia concreta ‘Select * from texto’, por ejemplo, se podría manipular la sentencia que le llega realmente a la base de datos para ejecutar. El potencial, como se puede ver es infinito.

Figura 5: Activación del arp_spoof

Ahora, preparamos el módulo arp_spoof. La configuración es sencilla, hay que indicarle el atributo ‘target’ y el atributo ‘gateway’. La interfaz de red por la que se realizará el ataque y si se quiere activar el reenvío de paquetes o no. Por otro lado, el atributo ‘verbose’ nos dará información sobre el envío de los paquetes ARP que se está haciendo como se ve en la Figura 5.

Figura 6: Ejecución de jobs

Una vez configurado y ejecutado se obtiene un ‘job’ en la aplicación. Ese trabajo es un hilo que está ejecutando la tarea del ARP Spoofing y nos permite poder configurar otros módulos por encima y trabajar de forma conjunta, como se hará a continuación. Si queremos eliminar un ‘job’ se puede hacer con la instrucción: jobs -k [ID del job]. Si queremos eliminar todos los ‘jobs’ se puede hacer con la instrucción: jobs -K (con mayúscula).

Figura 7: Envenenamiento de caché en Windows

A continuación, si la técnica funciona correctamente se puede ver en la Figura 7 cómo la caché ARP, tanto de la máquina Windows como la de Linux quedan envenenadas.

Figura 8: Envenenamiento de caché en Linux

Ya tenemos la primera parte hecha. El tráfico pasa por la máquina del pentester y ahora es cuando trabajaremos por encima con el módulo de manipulación. Recordemos que es un requisito que tenía el módulo de manipulación.

Manipulación MySQL

Ahora vamos a trabajar con el módulo mysql_manipulation. El módulo dispone de dos atributos, por lo que es muy sencillo de utilizar:
  • Query_modify: Este atributo indica la sentencia o palabra que se debe identificar para modificar la consulta. Es decir, si se configura con un ‘select’ por cualquier sentencia que pase por nosotros si ésta lleva un ‘select’ se bloquea y se modifica por la que nosotros queramos.
  • Query_spoof: Es la sentencia que queremos que se ejecute.
En la Figura 10, se puede ver cuál es actual estado de la tabla users. Lo que vamos a hacer es configurar el módulo mysql_manipulation para que cuando se detecte un ‘select’ (sea cuál sea) se cambie por un ‘insert into users (username,password) values (‘root’,’pwned’)'.

Figura 9: Configuración de la Manipulación de Paquetes

Nos podemos preguntar cómo sabemos los campos de una tabla. Gracias a que todo el tráfico pasa por nosotros, podemos utilizar el módulo sniff de on-the-fly para volcar todo el tráfico a un fichero y poder evaluar las peticiones y respuestas que ha tenido la máquina con la base de datos. De esta forma sencilla podríamos conocer el valor de diferentes tablas.

Figura 10: Configuración de la tabla de usuarios antes de la manipulación

En la imagen anterior se puede ver que hay tres usuarios en la tabla. Cuando ejecutemos el módulo y luego haya un ‘select’ que pasa por nosotros se cambiará dicha consulta por un ‘insert’ sobre la tabla users.

Figura 11: Tabla users después de la manipulación del paquete

En la imagen anterior se puede ver cómo se ha insertado un nuevo usuario en la tabla de users. Esto podría provocar que el pentester obtuviera acceso a la aplicación y poder avanzar su camino (entre otras muchas cosas). Puedes ver el ejemplo en este vídeo.

Figura 12: Demo de NPM con on-the-fly

Para ver las posibilidades de este módulo os dejamos un video que hemos creado y que se encuentra también disponible en el Github de la herramienta. Seguiremos contando más casos de uso de la herramienta y posibilidades de ésta, ya que el potencial que tiene es muy alto.
 
Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 9: Contactar con Pablo González

lunes, agosto 30, 2021

Emprendedores Septiembre 2021

En el mes de septiembre si me ves de refilón en un quiosco es que te has topado con la revista Emprendedores de este mes, donde sale una entrevista larga que tuvimos en Wayra en el mes de Julio, junto con unas fotos que me hicieron allí y en el Espacio de la Fundación Telefónica.

Figura 1: Emprendedores Septiembre 2021

La revista Emprendedores lleva décadas al lado de las startups, las scaleups y las grandes empresas de este país, siendo la memoria histórica de nuestra sociedad a la hora de crear empresas, hacerlos grandes y reinventarse. Así que pasar un rato charlando con Alejandro Vesga, director de Empredendores desde el año 1997, y con la periodista Isabel García Méndez, que lleva desde el año 2005 acompañando a la publicación, me pareció una idea fantástica.
La revista Emprendedores es mucho más que la entrevista de la portada, y si echas un ojo el contenido de lo que trae la de este mes, podrás ver que hay entrevistas a muchos emprendedores, revisión de modelos de negocios, consejos para emprender, análisis de nuevos mercados de consumo o de servicio, etcétera, con lo que siempre vas a encontrar algo de interés si estás en una startup o con ganas de montar una nueva andadura empresarial.
En mi caso, tuvimos una charla donde hablamos de emprendimiento Telefónica, de Wayra, de las startups, de mi vida como emprendedor en Informática 64, ElevenPaths, 0xWord, Singularity Hackers, MyPublicInbox y otros proyectos, y del mundo de las grandes empresas, con la visión de llevar ya cinco años en el comité ejecutivo de una compañía como Telefónica, que es un auténtico grado.
La charal fue divertida, nos reímos, se nos pasó el tiempo volando, y nos hicimos una foto en la que Alejandro Vesga buscaba qué había debajo de mi gorro, que verás en una editorial que ha escrito con el título de de "Llega el fin de los negocios aburridos", que al final si tu idea es emprender en algo que no te divierte, difícilmente llegará a buen término.

Figura 5: Alejandro Vesga, director de la revista Emprendedores

Pues eso, que si me ves en los quioscos, es por esto que os estoy contando hoy. Que si compras la revista, - que también tienes disponible en el quiosco digital de Nextory, la antigua Nubico -, te encontrarás muchas más cosas que solo la entrevista, y que quiero aprovechar este artículo para darle las gracias al equipo de Emprendedores, a Isabel García Méndez y a Alejandro Vesga, por contar conmigo para ser parte de la historia de sus portadas, que para mí es un auténtico premio.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, agosto 29, 2021

¿Con qué te quedas? ¿La sala de reuniones o la conexión a Internet?

Esta semana, con la publicación de mi artículo "Trabajar en la empresa en la que quieres trabajar desde el lugar donde quieres vivir" en la sección de Zenda Libros de "El futuro está por hackear", me han contactado y preguntado mucho los amigos, compañeros y conocidos para hablar de él, compartirme su visión, o simplemente confirmarme que opinan igual o distinta, o con matices.

Figura 1: ¿Con qué te quedas? ¿La sala de reuniones o la conexión a Internet?

El punto de interés es que, plantear un debate sobre cómo debe ser el trabajo en el futuro después de la pandemia en un mundo hiperconectado, globalizado, y con la experiencia que hemos tenido en esta fase de pruebas de la pandemia, es importante. Pensar en cómo balancear vida laboral y vida personal es el debate, el objetivo, tener una vida más plena y feliz. 
Si no has leído el artículo del que hablo, te recomiendo que lo leas antes, pues este post solo es un corolario a modo de reflexión con algo que hablé con uno de los lectores del mismo y compañeros. Y es la pregunta que lleva por título este post. La pregunta es la siguiente:

"Supón que llegas a la oficina de tu empresa y no hay Conectividad con todo lo que ello implica. Es decir,  que en tu oficina no funciona el teléfono, el e-mail, la red de datos, WhatsApp, Teams, o cualquiera otra herramienta de conexión "REMOTA" y en tu casa sí que funcionan..... ¿Podrías trabajar en la oficina así? ¿Te quedarías o te irías a tu casa?"

Si la respuesta es que te irías a tu casa a trabajar, entonces es que en tu trabajo, por mucho que lo creas, la oficina física, la sala de reuniones, los pasillos y cafetería son mucho menos importantes que algo que puedes consumir en remoto, como son las herramientas de comunicación. 

Así que, si no quieres 100% de flexibilidad en el trabajo remoto - que no work from home, que una cafetería, una piscina o una casa de campo es tan buena para trabajar remotamente que una oficina - por lo menos deberías empezar a plantearte, como forma de balancear el trabajo y la vida familiar, el tener un amplio porcentaje de flexibilidad de ubicación para trabajar contigo y con tu equipo, ¿no crees?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, agosto 28, 2021

Unit 42

Para hoy sábado os voy a dejar la referencia de una serie de Netflix que estoy viendo y me está gustando. Se trata de UNIT 42 o Unidad 42 y el hilo de la serie es un grupo especial de la policía de Bruselas que se ocupa de resolver crímenes en los que la tecnología ha sido medio para cometerlos. Y donde para resolverlos, también forma parte la tecnología. Y sí, el 42 viene - como en Escuela 42 - del ASCII(42) de la guía del autoestopista galáctico.
De hecho, los principales protagonistas son un inspector jefe de policía viudo sin muchos conocimientos tecnológicos, y una hacker que piensa "out-of-the-box" con la tecnología para resolver los casos. No os quiero desvelar el argumento de cada uno de ellos, que son solo dos temporadas de 10 capítulos y es mejor que la veáis vosotros y la disfrutéis. Os dejo el trailer para que veáis vosotros.

Figura 2: Trailer de Unidad 42

Pero con el fin de  que os hagáis una idea, os diré que el primero de ellos tiene que ver con la invasión de la privacidad por medio de las webcams con passwords por defecto que llevan a un caso basado en el incidente del técnico de Mac que espiaba a sus clientes en el año 2011. La serie me recuerda mucho al libro de Hacker Épico escrito por Rodrigo Yepes y Alejandro Ramos, donde el protagonista tiene que resolver el caso utilizando técnicas de pentesting y hacking para salvar su vida....


La serie me la recomendó María José Solano, co-fundadora de Zenda Libros - ¡gracias!, y la verdad es que le agradezco la sugerencia, porque ante todo es una serie entretenida, de emoción con algo de tecnología. Tiene un 7.0 sobre 10 en IMDB la serie completo y algunos capítulos como el primero tiene 7.9 de valoración. Solo es una valoración, pero para mí IMDB siempre es una buena referencia. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, agosto 27, 2021

"He oído que hay estafadores con falsos brokers de BitCoins", dijo el falso broker de BitCoins

Perdonad que hoy vuelva a tocar este tema de los Falsos Brokers, pero es que en "Un Informático en el lado del mal" recibo muchas campañas de spam que tienen que ver con los temas de estas que toco de vez en cuando, es decir con la estafa de contratar hackers para hackear el whatsapp, las apps mágicas para hackear Facebook, o cambiar notas de la universidad, de los falsos brokers, o de las inversiones en BitCoins, que es de lo que recibí la campaña esta semana, y me hizo mucha gracia.

Figura 1: "He oído que hay estafadores con falsos brokers de BitCoins",

El mensaje, como podéis ver en la imagen siguiente, es un clásico que busca ganarse la confianza de las víctimas en plan "cómo sabes hay muchos estafadores con las inversiones en BitCoins, pero este de aquí en concreto es el bueno"... y me maravilla que estas cosas funcionen. Pero supongo que el problema de entendimiento de cómo funciona el mundo de los BitCoins es algo que juega en su favor. 
Lo cierto es que entre las estafas de inversiones en BitCoins, el desconocimiento de la tecnología - recomendado 100% el libro de Felix Brezo y Yaiza Rubio para aprender a investigar BlockChain y BitCoin -, y los numerosos hackeaos a los exchangers que afectan a personas de la calle, el ruido alrededor del mundo de las criptomonedas hace que los trabajamos en ciberseguridad estemos todo el día explicando cosas a amigos y familiares sobre esas monedas virtuales criptográficas.


Hoy en día, trabajar en ciberseguridad, exige saber de BlockChain y BitCoin obligatoriamente, porque de una forma un otra las criptomonedas acaban saliendo en las estafas, los ataques de ransomware, los esquemas de movimiento de dinero de los cibercriminales, etcétera. 


Figura 4: Bad Guys Never Sleep

Pero para el resto de la ciudadanía hay que seguir haciendo divulgación para que entiendan bien lo que las noticias, las campañas de spam, y los esquemas de fraude significan. Os dejo la charla de "Bad Guys never sleep" que habla de cómo los malos van cambiando alrededor del mismo objetivo. Tu dinero, tus BitCoins.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, agosto 26, 2021

On-the-fly: Una nueva herramienta para auditar redes TI, IoT & ICS

En el equipo de Ideas Locas tenemos algunas sorpresas para estas semanas. Una de ellas es la publicación de una nueva herramienta denominada on-the-fly, la cual ya está disponible en su Github. Pronto anunciaremos algo más sobre un par de herramientas y algunos sitios donde se podrán ver y donde realmente se darán a conocer. 

Figura 1: On-the-fly. Una nueva herramienta para auditar redes TI, IoT & ICS

Hoy queremos hablar del trabajo que ha sido sacar esta herramienta. La idea es proporciona una herramienta modular que permita al usuario ir configurando módulos que permitan realizar ataques de redes tanto en el mundo TI, IoT o ICS.
Algo que se debe tener claro es que la utilización de diferentes tecnologías entre estos dispositivos que nos rodean hace que la seguridad sea heterogénea. Cuando se afronta un Ethical Hacking en cualquier entorno, uno de los factores importantes es la red. La red conecta el mundo del Internet de las cosas, el mundo de los sistemas de control industrial y el mundo de las tecnologías de la información.

Figura 3: Libro de Ethical Hacking 2ª Edición

La irrupción del paradigma IoT, la conectividad del mundo OT / ICS y el crecimiento exponencial del mundo TI hacen que el pentester requiera conocer todos estos espacios para poder trabajar acorde a lo necesario. Una herramienta que centraliza diferentes técnicas de evaluación de vulnerabilidades o debilidades en una red es un concepto interesante. Dándole el concepto de modular se consigue lograr varias cosas:

1. Que cualquier usuario de la comunidad (hay que recordar que la herramienta es Open Source) puede colaborar y ampliar las posibilidades de ésta, gracias a la implementación de un módulo. 
 
2. Disponer de diferentes técnicas modernas para llevar a cabo este tipo de evaluación y que fácilmente sea ampliable. 
 
3. Lectura y entendimiento sencilla para poder implementar módulos y compartirlos con la comunidad.

Según podemos encontrar en el artículo de presentación de la herramienta

La herramienta ‘on-the-fly’ es un framework que proporciona funcionalidades para llevar a cabo tareas de pentesting en redes de datos en entornos IoT, ICS y TI. La herramienta permite ejecutar diferentes acciones de forma simultánea y de forma modular, simplificando el encadenamiento de acciones y otorgando la posibilidad de realizar diferentes ataques simultáneos.


on-the-fly’ tiene una arquitectura modular y dispone de más de 40 módulos con funcionalidades para el pentesting en entornos IoT, ICS & TI. Esto es algo interesante, ya que cualquier usuario podría ampliar la base de conocimiento de la herramienta. La arquitectura de la herramienta es la siguiente:

Figura 5: Arquitectura de "on the fly"

A continuación se enumeran los tipos de módulos principales:

Figura 6: Módulos de 'on-the-fly'

- Discovery: En este tipo de módulos se pueden encontrar funcionalidades para descubrir diferentes tipos de servicios y máquinas. Se utilizan diferentes protocolos: Modbus para descubrimiento ICS, TCP para descubrimiento de servicios y máquinas, MDNS y SSDP, etcétera.

- Manipulation: Este tipo de módulos permiten manipular ‘al vuelo’ (on-the-fly) el tráfico que pasa a través de la máquina. Son módulos especializados en cambiar valores que pueden observarse y manipularse. Permiten obtener ventaja, por ejemplo, manipulando las consultas a una base de datos y consiguiendo acceso.
 
- Server: Este tipo de módulos proporcionan al pentester la posibilidad de levanar un servicio o servidor y disponer de un servicio fake sobre SSDP, MQTT o DNS, por ejemplo.

- Spoof: Este tipo de módulo permite llevar a cabo ataques de spoofing entre diferentes máquinas. Por ejemplo, se puede hacer los clásicos ARP Spoofing, DNS Spoofing o NTP Spoofing, pero también ataques de spoofing en COAP y MQTT (IoT) y en Modbus (ICS).

- Pivot: Este tipo de módulo permite utilizar ‘on-the-fly’ como herramienta para pivotar en un pentest. Permite utilizar SOCKS4 y un port-forwarding sobre TCP para redirigir el tráfico. Una funcionalidad necesaria para el pentester.

- Sniffer: Este tipo de módulo permite llevar a cabo un ‘sniffing’ de paquetes. Hay módulos que vienen preparados para ‘sniffar’ tráfico concreto, y otros módulos permiten configurar qué se quiere sniffar, cómo y dónde almacenarlo.

- Examples: Este tipo de módulo muestra ejemplos de implementación de un módulo. Esto sirve para que un usuario pueda crear de manera sencilla su propio módulo con la funcionalidad que quiera.

Los comandos disponibles en la herramienta ‘on-the-fly’ son los siguientes que puedes ver en la siguiente captura. De ellos, el comando jobs muestra los módulos que generan ‘hilos’ y están en ejecución. Desde este comando podemos ‘terminar’ un módulo cuando se quiera. ‘on-the-fly’ tiene un sistema de gestión de hilos interno para poder ejecutar en background cualquier trabajo y poder finalizarlo cuando el usuario lo requiera.

Figura 7: Comandos de 'on-the-fly'

Esta funcionalidad es la que permite poder cargar diferentes módulos para un ataque de red y poder juntar funcionalidades a través del uso de hilos. La gestión se lleva a cabo a través del comando Jobs.

Figura 8: Descripción de los comandos de 'on-the-fly'

Próximamente hablaremos de cómo hacer un módulo en on-the-fly o ver algunas de las funcionalidades interesantes que podemos encontrar. Es un proyecto en fabricación y que ha visto la luz recientemente. Todos los comentarios de mejora serán bienvenidos. Hay mucho más detalle en su repositorio de Github. Para finalizar, os dejamos con los siguientes vídeos donde se puede ver un ataque de SSDP fake, engañando a los dispositivos de la red tal como se puede ver en el artículo sobre EvilSSDP.
 

Figura 9: Ataque SSDP Fake

Por otro lado, os dejamos un ejemplo de spoofing en Modbus.

Figura 10: Demo de Spoofing de Modbus con 'on-the-fly'

Han sido meses de ir haciendo poco a poco la herramienta, pensar los módulos e ir añadiendo funcionalidades. Todavía queda camino, ya que el proyecto puede acabar con un gran número de implementaciones. Gracias a todos los miembros del equipo que han ido participando en el proyecto. Casi todos hemos pasado por la herramienta para aportar nuestro granito de arena. Pronto más noticias :)

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 11: Contactar con Pablo González

miércoles, agosto 25, 2021

Cuando alertas de una estafa con Amazon y la promocionas (sin querer) al mismo tiempo

Este sábado os hablaba de la Estafa de los Falsos Brokers, y ayer mismo vi un caso curioso que denota lo metidas que están estas campañas de malvertising en nuestra sociedad. Este es un claro ejemplo de cómo de bien incrustados están los estafadores en nuestro mundo y lo cerca que están de nosotros.

Figura 1: Cuando alertas de una estafa con Amazon
y la promocionas (sin querer) al mismo tiempo

Este mes publicaba el Diario AS Online una noticia que hacía referencia a los ataques de Phishing y estafas con Falsas tarjetas regalo de Amazon. Esta noticia dice así: "Cuidado con estas estafas relacionadas con Amazon para apropiarse de tus datos y tu dinero". La noticia se basa en una publicación de nuestros amigos de ESET que hablan de cómo los cibercriminales usan la imagen de Amazon para estafar a la gente.

Figura 2: La noticia sobre las estafas usando la imagen de Amazon

Pero lo curioso de la noticia es que, si bajas un poco más hacia abajo, puedes ver que en el contenido patrocinado de esta noticia se encuentra la Estafa de los Falsos Brokers, de nuevo utilizando a Amazon con reclamo. Es decir, la misma noticia que te advierte de que hay estafas con Amazon, te promueve dos estafas con Amazon.
aa
Figura 3: En la misma noticia, dos contenidos patrocinados con
la estafa de los Falsos Brokers

Por supuesto, es la misma compañía de marketing digital que citaba el otro día en el artículo - y que debería ser bloqueada y penalizada por estos sitios de tan alta reputación para las personas evitando que vuelva a publicar nada en este sitio - , con la misma promoción para capturar los datos de las víctimas y venderles las "habichuelas mágicas" que harán que tu dinero se multiplique por unas 5 veces en 2 meses.

Figura 4: La captura de datos de las víctimas con la imagen de Amazon

Por supuesto, es un truco del Tocomocho clásico y directo a la avaricia de las personas porque - insisto - si ellos fueran capaces de convertir 20.000 € en 110.000 € en solo 2 meses... ¿para qué necesitan gastarse dinero en campañas publicitarias en captar tus 250 €?

Figura 5: La calculadora de la avaricia con la imagen de Amazon

Por supuesto el ni Amazon ni el  Diario AS tienen nada que ver con esto, porque es un espacio cedido a una agencia, pero al final sale su imagen detrás de anuncios que parecen noticias. Este tipo de campañas de malvertising deberían estar más controladas, sobre todo porque el modelo publicitario de los contenidos en Internet financia a muchos de los creadores, y si al final los anuncios que se leen en cualquier medio son estafas, los usuarios van a acabar renegando de ellos, pidiendo el bloqueo, no cediendo datos, etcétera. Personalmente creo que Amazon debería hacer algo al respecto, pero de eso ya os hablaré otro día con más calma.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, agosto 24, 2021

CON 8dot8 Regional Norte 2021: Este miércoles 25 de agosto ONLINE

Este  miércoles, online, tendrá lugar la 8dot8 Regional Norte, donde habrá una jornada para disfrutar de conferencias de ciberseguridad, y en la que el gran Gabriel Bergel me ha liado para que pase al principio de la sesión a tener una entrevista sobre "Ciberseguridad, Hacking y Emprendimiento en Seguridad Informática"
Yo estaré solo media hora al inicio de la jornada. para hacer de telonero antes de que lleguen los principales protagonistas, pero donde intentaré que la charla que vamos a tener sea de interés para los que os conectéis. Si te conectas desde España serán las 16:00 horas.
Entre los ponentes de esta edición, que tiene horarios de Chile, tienes a Francisco Correa, fundador de Vulnscope, Cristian Rojas que hablará de problemas de seguridad en las APIs, Fernando Lagos que es co-fundador de Nivel 4 Cybersecurity, el mexicano Eduardo Contreras que hablará de "The CatSniffer" y cerrará  Dmitry Bestuzhev de Karspersky.
Será una jornada para disfrutar de unas charlas de ciberseguridad y hacking, y aunque tendrá una parte centrada en el estado de ciberseguridad en Chile, para los que nos conectamos desde España - en horario de tarde y en agosto - es un buen momento para disfrutar antes de que comience nuestra locura del mes de septiembre.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, agosto 23, 2021

Los que hackean su carrera profesional te lo cuentan. Ahora te toca a ti. #hackYourCareer

Hace un tiempo Chema Alonso os contó la historia del término “Bootcamp” cuando contaba su experiencia aprendiendo a programar, una palabra de origen militar que hoy en día se utiliza mucho para hacer referencia a formaciones intensivas y de alto carácter práctico y orientación profesional. Por eso mismo en el mundo de la tecnología, los Bootcamps han tomado tanto protagonismo, ya que en un corto periodo de tiempo te adentras en el sector y ya no solo te curte a nivel técnico sino que te inyecta la disciplina y la cultura del esfuerzo que, con una buena planificación personal, te harán conseguir tus objetivos con éxito a lo largo de tu carrera.

Figura 1: Los que hackean su carrera profesional te lo cuentan.
Ahora te toca a ti. #hackYourCareer

Es posible que tengas miedo a empezar algo que sabes que va a ser tan intenso, o que eso solo está pensado para personas muy valientes. Bueno, dar el paso es cosa de confiar en uno mismo (aunque estés sintiendo ese miedo), y te aseguro que nadie empieza su primer día con seguridad a unos niveles altos. Y sí, sabemos que la teoría siempre es muy fácil, pero para que veas que cualquier persona puede enfrentarse a este proceso, hoy quiero compartir la historia de tres alumnos de nuestra Coding School, GeeksHubs Academy, que creo que pueden ayudarte a pensar que tú también eres capaz.

Ellos, junto a sus demás compañeros y compañeras, se enfrentaban a 12 semanas intensivas en las que aprender en base a proyectos reales, una tecnología nueva cada semana y 14 en total, trabajo en equipo, empezar a despertar su curiosidad individual y muchas horas de errores, frustración, código y vueltas de tuerca para interiorizar conceptos mientras (casi sin darse cuenta) experimentaban su futuro entorno profesional. 


En estas formaciones seguimos una metodología inmersiva con tutores guías que seguí yo mismo, o el propio Chema Alonso, como nos contó cuando nos visitó, ya que estuvimos hablando largo y tendido de eso, de cómo sé esforzó él para aprender, y cómo programar es algo que se puede aprender a cualquier edad si tienes un buen tutor que te guía. Al final, como él decía,  vamos a tener que reinventarnos muchas veces en la vida, ¿o crees que tú que estás leyendo este artículo vas a aguantar en un trabajo haciendo lo mismo 20 años más sin tener que aprender nada más?

Figura 3: Alumnos de nuestros BootCamps en GeeksHubs Academy

Pedro, de 39 años, hace otros tantos que se formó en tecnología pero por motivos personales y muy a su pesar (de esos que nos pone la vida a todos en algún momento…) se tuvo que desvincular del sector. Una vez tomó la decisión, ha exprimido al 100% cada día en el Bootcamp, y eso que pasaba dos horas diarias en un coche (porque no vivía demasiado cerca)... Claro ejemplo de que cuando una persona quiere conseguir algo, el esfuerzo es clave. Además, cuenta una anécdota con la que muchos podemos sentirnos identificados:

“Incertidumbre tenía, pero me pudo más la pasión. Nunca me olvidaré de un día en el que mis hijos me contaban que estaban estudiando en clase el tema de las profesiones, y yo les pregunté qué querían ser de mayores: uno quería ser conductor de autobuses y otro cocinero. A continuación, ellos me preguntaron a mi que pedía ser yo cuando era pequeño, y yo les dije que quería ser informático. Entonces, y con la inocencia de unos niños que a veces tiene mucho más impacto que otras cosas “de mayores”, me preguntaron que porqué no lo era… Tenían razón y esa fue la palanca que me dio el último impulso para tomar la decisión de cursar el Bootcamp.”

Guillermo, de 28, por lo contrario, es Licenciado en Derecho y estuvo ejerciendo unos años hasta que, en un momento de curiosidad por probar cosas nuevas, hizo un curso gratuito sobre programación y descubrió que se había convertido en su nueva pasión. Fue ahí cuando pensó que un Bootcamp sería la mejor manera de re-orientar su futuro laboral. En ese momento vivía en Luxemburgo y se mudó a España (Valencia) para formarse en esta modalidad.

Es posible que te estés preguntando qué hace un abogado re-convirtiendo su carrera al mundo de la programación, pero ya ves que nada es imposible. Una de las cosas que más destaca Guillermo del nuevo sector al que se ha introducido es el espíritu de grupo y el trabajo en equipo, algo que dice no haber encontrado en ningún otro sitio. Vaya, desmontando así el popular mito del geek/friki sentado en una esquina con su ordenador y “sus movidas”.

Figura 4: Alumnos de GeeksHubs Academy haciendo un FullStack Developer

Y por último, Miguel, de 25, que a los 16 años tuvo que dejar atrás su primer sueño: estudiar física. Realmente él siempre tuvo claro que este era el camino en el que quería estar, y decidió realizar un Bootcamp que define como “un puente que une lo que ya tenía con lo que quería conseguir”. Para él uno de los aspectos más importantes ha sido estar acompañado de profesores a los que se les notaba la pasión que tienen por la programación y en consecuencia, conseguían contagiar a todos sus alumnos y alumnas.

Figura 5: Testimonio de Miguel Torres

Como dice Pedro al final del vídeo, tendrás ganas de acabar pero sin querer que se acabe. Y en mi opinión, esta es una de las sensaciones más bonitas cuando estás haciendo algo que de verdad te llena. Te animo a que des el paso y te des un voto de confianza, porque tú, igual que Pedro, Guillermo y Miguel (con mucho esfuerzo, claro) ahora, o Chema Alonso y yo mismo en el pasado, puedes dar un giro en tu vida, empezar ya lo que siempre habías querido o seguir ampliando tu carrera en este formato que realmente te prepara para insertarte en el mundo laboral, donde, podrás poner en práctica real todo eso que siempre has soñado.


En GeeksHubs Academy hemos anunciado las últimas convocatorias presenciales del año en Valencia (13 de Septiembre y Madrid el 27 de Septiembre, (y parece que Barcelona también estará presente a final de año) así que si no quieres acabar 2021 sin haber dado el paso que llevas tanto tiempo pensando, te animo a que eches un vistazo y preguntes cualquier duda que tengas para que te podamos asesorar en esta nueva etapa. Chema Alonso cuenta muchas veces que su mamá le decía: "Si otros pueden, tú también, hijo", y él se lo creyó. ¿No deberías creer tú en ti mismo?

HackYourCareer!

Autor: Chaume Sánchez, CEO de GeeksHubs