sábado, octubre 23, 2021

De vuelta a las CONs internacionales: Hack In the Box - CyberWeek 2021 en Abu Dhabi, TACS 2021 y Ekoparty 2021

La verdad es que tenía ganas de volver al circuito de las CONs internacionales. Han sido muchos años dando charlas en DefCON, BlackHat, Hack in the Box, Troopers, HackCON, ShmooCON, ToorCON, DeepSEC, Sec-IT en mundo anglosajón, y mis queridas Ekoparty, RootedCON, NCN, 8dot8, DragonJAR CON, Hackr0n, Navaja Negra, HBSCON y un largo etcétera de CONS de Hacking en habla hispana. Muchas noches en aviones, muchas carreras por aeropuertos, muchos cambios de horario. Muchas vueltas por el mundo, que desde hace unos años, cuando comencé con el proyecto de ElevenPaths fui reduciendo. 

Figura 1:  De vuelta a las CONs internacionales: Hack In the Box -

He estado quitándome las ganas con conferencias cerca de Madrid, pero reduciendo mucho, mucho, mi actividad en conferencias internacionales. Y un día llegó la pandemia. Y con ella los eventos online. Y el encierro en casa.  Y las ganas de salir. Así que me animé a participar en las versiones online de CONs tan importantes como 8dot8 este año, y Ekoparty el año pasado, además de eventos puntuales en los que he dado charlas online. Pero ahora que llega el "deshielo", vuelven las CONs internacionales. Y he querido animarme y volver a estar en alguna de ellas, y os dejo información por si queréis animaros a alguna vosotros.
La primera de las grandes CON que tenéis a tiro es la EKOparty 2021, que tendrá lugar del 2 al 6 de Noviembre, y para la que puedes conseguir ya tu entrada en la web. La lista de ponentes es enorme, con charlas que tienen una pintaza espectacular. Entre ellos se encuentra el gran Luciano Bello o Salvador Mendoza, pero merece la pena que le eches un ojo si te gusta el mundo del hacking profesional.

Figura 3: TACS 2021

Yo no voy a estar en la Ekoparty este año, que ya estuve el año pasado, y tengo el día 3 de Noviembre el Innovation Day con Telefónica, pero sí que me he animado a participar en el Trans-Atlantic Cyber Security 2021, donde estaré junto a Monica Valle, Carlos Seisdedos, Igor Lukic u Ofelia Tejerina entre otros ponentes, para hablar un poco de hacking, ciberseguridad y pentesting. Puedes conseguir tu entrada en la web de registro de TACS 2021.
Pero donde sí me he liado el "gorro" a la cabeza, ha sido para irme a la Hack In The Box CyberWeek 2021 en Abu Dhabi, para dar una de las Keynotes del evento. He sido speaker en un par de ocasiones en la HitB en Amsterdam, pero es la primera vez en mi vida que voy a visitar Abu Dhabi para dar una keynote, así que pienso disfrutarlo como nunca. 

Además, entre la lista de ponentes se encuentra John Matherly, al que hace tiempo que tengo ganas de ver, que no nos vemos desde mis viajes a Las Vegas a dar charlas en DefCON & BlackHat, o al gran Hugo Teso, que se nos fugó de España para trabajar por medio mundo haciendo ... cosas de hackers.

Por supuesto, no creo que vuelva al ritmo frenético que llevé durante más de una década dando charlas en el circuito internacional de CONs, pero reconozco que cuando he recibido la invitación de HitB me picaron las ganas de hacerlo, así que... ya veremos.

Bonus: Del 8 al 12 de Noviembre también tiene lugar la HoneySEC, que no hay que perderse de vista, así que apúntala también en el calendario }:) Consigue tu entrada en la web del congreso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, octubre 22, 2021

3 de Noviembre: Innovation Day 2021 en Telefónica (además de online)

El próximo día 3 de Noviembre tenemos el Innovation Day en Telefónica. Un día para sentarnos a hablar de tecnología y ver qué es lo que hemos estado haciendo este año, qué hemos puesto ya marcha, y en qué estamos pensando en adelante. Será un día para, además, volver a tener un evento presencial en Telefónica - en el Auditorio del Edificio Central en Distrito C -, pero que además se podrá seguir en streaming por Internet, al estilo de cómo hacíamos nuestros eventos pre-pandemia.

(además de online)

La innovación para Telefónica - y para mí especialmente - es fundamental para sobrevivir en este mundo, y por eso desde siempre, e Informática 64, ElevenPaths, LUCA, CDataO, CDCO y ahora CDigitalO, siempre, siempre, siempre, siempre, ha sido fundamental para mí. Si no innovas, mueres. Si no sigues el ritmo de innovación de los demás, mueres. Si no innovas, no mejoras, y si no mejoras, empeoras. Por eso este evento es tan especial para mí. 

Figura 2: Irene Gómez, responsable de Innovación Abierta y 
David del Val responsable de Core Innovation.

En Telefónica durante este tiempo hemos hecho muchas cosas en Innovación en las tres grandes áreas de trabajo. La innovación en Productos&Servicios, la innovación en Redes&Plataformas, y la innovación externa con Startups&ScaleUps. Por eso lanzamos iniciativas como Wayra X, Wayra Builder o el fondo de ScaleUps LeadWind en la parte de innovación abierta o trabajamos con Edge, 5G Private Networks, Ondas Milimétricas, OpenRAN, HaaC, SmartWiFi Gaming y las plataformas de Entertaiment en nuestros equipos de Core Innovation, o hemos estado anunciando todas las novedades que se ha incluido en nuestros productos y servicios durante este año en forma de Living Apps, Movistar Home, TV, SmartWifi, Network Tokenization, o el Innovation Hub que anunció nuestro presidente hace poco.

Figura 3: La apertura y cierre del evento será de Helena Díez-Fuentes

Innovar, además, implica comenzar con proyectos que son pequeños. A veces tan solo una Idea Loca que probamos, que testeamos, que aplastamos, arrugamos, y volvemos a estirar otra vez.  A lo mejor es un research científico, o un artículo de reflexión, que luego pasa a ser una PoC, y si tiene suerte y sobrevive el análisis, valoración de enemigos y consigue algo de recursos, se convierte en un MVP. Si luego ese mínimo producto viable resulta positivo, y consigue meterse en el roadmap de innovación, o de producto, se convierte en una "feature", o una iniciativa que va a tener que pelear por ser un lanzamiento. Y en esa dura carrera de obstáculos, los que innovan, los locos que están detrás de esas locuras, se divierten pensando diferentes.
Para innovar hay que tener un punto de creatividad, un punto de locura, y un punto de vehemencia, pues la carrera va a ser dura de saque. No está hecho esto de innovar para los que tienen aversión al riesgo, para los que el trabajo es reunirse para que no pase nada. No está hecho para los que huyen del riesgo de una decisión en la que nunca vas a tener todos los datos. Está hecho para los locos que montan una startup, para los que invierten su tiempo en hacer cosas que los anti-innovadores dirán: "Nunca va a funcionar". Así, este día es para que nos juntemos un poco los locos, y charlemos con los amantes de las locuras, y las Ideas Locas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, octubre 21, 2021

Cómo conseguir Retweets & Likes en Twitter usando MyPublicInbox

Si tienes Tempos de MyPublicInbox y eres un Perfil Público de la plataforma - ya sabes que puedes solicitar serlo desde tu cuenta e incluso pedirlo desde fuera- , puedes utilizar el servicio de "Promocionar Tweets en Twitter" de una forma muy sencilla. Solo debes elegir el tweet para el que quieras apoyos en forma de retweet y likes para que los usuarios de MyPublicInbox te puedan ayudar.

Figura 1: Cómo conseguir Retweets & Likes en Twitter usando MyPublicInbox

El funcionamiento es muy sencillo, y en estos tres pasos que te pongo a continuación puedes ver cómo funciona y cómo puedes seguir la evolución de los apoyos.

Paso 1: Selección del Tweet para el que quieres apoyo

Entra en tu cuenta de MyPublicInbox y vete a la sección de "Promocionar Tweets". Ahí, en la parte superior pega la URL del Tweet para el que quieres apoyos y selecciona el número de apoyos que quieres conseguir con los Tempos que tienes.

Figura 2: Selección de Tweet a promocionar y paquete de apoyos

Cada uno de los usuarios que apoye tu tweet recibirá Tempos por hacerlo, y esto pueden ser cualquier tipo de usuario, incluidos otros perfiles públicos.

Paso 2: Lista de Tweets Promocionados

Con solo el paso anterior, ya te debería salir en la lista de Tweets promocionados. Ahí podrás ir viendo cómo evolucionan los apoyos y quién te ha apoyado un tweet concreto a través de MyPublicInbox, que además saldrá, por supuesto, en el Time-Line de Twitter del usuario que te ha apoyado.

Figura 3: Lista de Tweets que tienes en promoción actualmente.

Paso 3: Comprobación de evolución de apoyos.

Cuando el tweet haya recibido apoyos tendrás la lista de los usuarios de Twitter que te han apoyado, y podrás ir a ver sus Time-Line de Twitter para ver cómo tu tweet aparece en sus cuentas, además de ver en qué fecha te dieron su apoyo.

Figura 4: Lista de apoyos y evolución temporal a un tweet de 0xWord

Si uno de los usuarios elimina su apoyo en Twitter, no pasa nada, porque el sistema evalúa constantemente que el apoyo continúa y si no, le quita los Tempos, y el Tweet en promoción seguirá buscando nuevos apoyos hasta llegar al número que has solicitado.

Tener difusión en Twitter para ser relevante en la red

Twitter es un plataforma fantástica para comunicar tu trabajo, tus servicios, tus nuevos proyectos o simplemente difundir un evento, una charla, o una convocatoria para algo, así que poder utilizar tus Tempos y la masa de usuarios para MyPublicInbox para hacer que llegue más lejos tu mensaje es una opción a tu disposición que puedes usar. 

Figura 5: Apoyar siempre a un perfil público en Twitter

Yo estoy usando los Tempos que he generado en las comunicaciones para ello, y agradezco a todos los que me habéis dado vuestro apoyo a través de MyPublicInbox, y especialmente a los que lo habéis seleccionado para que sean apoyos automáticos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, octubre 20, 2021

8.8 Enteka Chile - Computer Security Conference: 22 y 23 de Octubre

Los días 22 y 23 de Octubre, es decir, este viernes y este sábado, tendrá lugar la CON 8.8 Enteka Chile, en la que yo estaré participando dentro de una agenda de dos días cargadas de charlas, talleres y actividades de hacking. La 8.8 Enteka es la CON principal y original de nuestra querida 8.8 y tendrá como cabeza de cartel en la agenda a Dr. Richard Stallman, fundador del movimiento de Software Libre.
La lista de ponentes es espectacular, y entre ellos se encuentra Diego Espitia o Salvador Mendoza a.k.a. "Netxing" - que es es autor del libro "Show me the (e-) money Hacking a sistemas de pagos digitales: NFC. RFID, MST y Chips EMV" en 0xWord, entre muchos otros ponentes. Y por supuesto, yo también participaré, que este evento es el que no hay que perderse de la 8.8 seguro.

Yo daré una charla actualizada dedicada a los "Blade Runners & Virtual Replicants", porque este año hemos seguido viendo cómo avanza este mundo dónde la Inteligencia Artificial permite que a través de una llamada de teléfono o una vídeo conferencia puedas ser cualquier persona usando un "Replicante Digital".
Si quieres asistir, debes adquirir una entrada, que puedes conseguir desde la siguiente URL de Registro para la 8.8 Enteka, y si quieres participar, colaborar, o tener una relación más cercana con la organización, contacta con Gabriel Bergel a.k.a. Ragnar, que es quién está detrás de esta iniciativa de difusión de hacking durante todos estos años.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, octubre 19, 2021

El cuento de "Caperucita y el Ciberlobo" para educar en #ciberseguridad

Esta semana hemos publicado en Telefónica un cuento, hecho por el gran Nikotxan - ya sabéis, el creador de Cálico Electrónico - para explicar por medio del cuento de Caperucita Roja cuáles son los errores que cometemos en Internet y que son aprovechados por el mundo del cibercrimen para atacarnos, en este caso, la adaptación ha sido llamada "Caperucita y el Ciberlobo", y merece la pena.
En el cuento se escenifican los ataques de phishing, de man-in-the-middle, el robo de identidad digital, el uso de redes inseguras, y la importancia de tener herramientas de protección personal, pero todo explicado para niños en poco más de dos minutos y con el cuento de por medio.


Es una historia que podéis ponerle a los más jóvenes, para que empiecen a entender que en el mundo de hoy en día, donde tenemos a los niños mucho más protegidos y ya no van solos por el bosque, el verdadero peligro está en su habitación, cuando se conectan a Internet sin tener conciencia de los riesgos. Me ha encantado cómo lo han explicado.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, octubre 18, 2021

Qué destrezas debe tener un técnico para ser buen CTO y no cumplir el Principio de Peter #HackYourCareer

Cuando comencé con 24 años la andadura de dirigir Informática 64 era una persona 100% Hands-On. Necesitaba hacerlo todo por mí mismo. Las tareas que caían en mi lado las hacía siempre yo a mi manera y modo, esforzándome por aprender a hacerlas mejor. Sin embargo, con el paso del tiempo tuve que aprender a hacer otras tareas que no había aprendido en la universidad. A gestionar equipos.

Figura 1: Qué destrezas debe tener un técnico para ser buen CTO
y no cumplir el Principio de Peter #HackYourCareer

Gestionar un equipo de personas es una tarea compleja. Y no hay una única forma de hacerlo, claro que no. Durante los últimos 22 años dirigiendo equipos de profesionales para objetivos muy diversos, he tenido que aprender mucho y variado de cómo hacerlo. 

Hoy, con la experiencia de los años, sé que cuando alguien pone en el CV "capacidad de dirigir equipos", no siempre entiendo por ello lo mismo que los demás, pues gestionar un equipo comercial, un equipo de gestión, y un equipo técnico es una cosa muy diferente entre sí. Y gestionar todos los equipos para que funcionen acompasados como una orquesta, es la labor de un COO o un CEO, que se aprende cuando has gestionado una P&L - a ser posible que afecte a tu bolsillo - y todas las decisiones para que se cumpla el Business Plan. Entre ellas, por supuesto, las que tienen que ver con tecnología.

El CTO y el Principio de Peter

Centrándome ya en el mundo de la tecnología, hay una máxima que se aplica muchas veces en estas organizaciones, y es el famoso Principio de Peter. O lo que es lo mismo, que un buen desarrollador, un buen Arquitecto de Software, un buen Administrador IT se convierte en un pésimo CTO cuando es promocionado. Simplemente porque no ha aprendido a algo de lo que yo siempre hablo con mis amigos técnicos:

- "Tienes que aprender a pintar con las manos de otros. Tienes que aprender a hacer tecnología con las manos de tus desarrolladores." 

Siempre uso la metáfora de los grandes artistas, pintores, escultores, etcétera que tienen un taller con jóvenes pintores, o escultores que trabajan bien los materiales, o simplemente ayudantes, que preparan los trabajos y ejecutan las ideas de los artistas. Es labor del artista crear la obra, pero cuenta con un gran número de trabajadores que pintan en sus cuadros, que trabajan en sus ideas, en sus obras. Son ayudantes de plasmar y ejecutar la visión del artista.


El genial artista Okuda, famoso por sus obras a través de todo el mundo, cuenta con un taller en el que otros pintores, ayudantes, trabajadores del diseño 3D están para ayudarle a crear la obra que él ha visto en su cabeza, que el ha plasmado en sus bocetos, en sus diseños. Él crea la obra con la ayuda de las manos de los demás.

Este es el trabajo de un C-Level. Ser capaz de hacer un trabajo que será su propia responsabilidad con las manos de las personas de sus equipos. Y esto, en el caso del CTO, donde la gran mayoría de CTOs han sido grandes desarrolladores, arquitectos de software o administradores de sistemas, es el gran reto. Dejar de ser 100% hands-on a ser capaz de crear tecnología con las manos de sus equipos. Y no siempre lo consiguen.

Nuevas destrezas

Cuando hay que gestionar un equipo técnico para que suene como una orquesta hay que desarrollar nuevas capacidades. No todas las personas son iguales, ni tienen las mismas motivaciones, ni funcionan por las mismas motivaciones. Las habilidades sociales, personales, la gestión del talento es una necesidad fundamental para saber acoplar las piezas, pero también hace falta disciplina y método para tocar la partitura.


Un CTO debe saber gestionar una organización, creando procesos, metodologías, rutinas y hábitos que ayuden a la construcción de un equipo que sepa lidiar con las situaciones de contexto externas, los problemas y vicisitudes del día a día. Y también hay que elegir qué instrumentos son los que se van a utilizar para que todos trabajen de forma coordinada.

Es decir, un gran Arquitecto de Software no tiene obligatoriamente que ser un buen CTO, y es necesario aprender habilidades para cumplir correctamente esa función. Establecer la metodología de trabajo, preocupándose de la calidad y seguridad del software, alineado con los tiempos y recursos de la corporación, gestionar el talento, elegir el "stack" tecnológico y definir los mecanismos de control es un trabajo de un buen CTO

BootCamp Online de Tech Management &  Leadership

Yo he tenido la suerte de trabajar con grandes CTOs en mis equipos, y siempre ha sido necesario establecer todo este trabajo al principio y cuidarlo día a día. Por eso si quieres dar el salto a ser un CTO, necesitas cumplir esas disciplinas. 
Yo soy un Doctor en Informática que ha estudiado todo lo que tiene que ver con tecnología, y me ha tocado ser C-Level en empresas tecnológicas desde muy joven. Toda mi carrera profesional. He tenido que aprender a pintar con las manos de otros, al mismo tiempo que entendía la tecnología que teníamos entre manos, para crear cosas que parecían imposibles.

Figura 5: Primera parte del temario del

Por eso, cuando hablamos con los compañeros de GeeksHubs Academy para hacer que la carrera de los profesionales creciera, tenía claro que hay que formar a gente de tecnología para que sea C-Level, para que gobiernen los equipos entendiendo la tecnología. Y por eso está el BootCamp Online de Tech Management & LeaderShip, porque, repito, ser un CTO no es ser el que más saber de una determinada tecnología, sino el que sabe cómo hacer tecnología con las manos de muchos ingenieros.

Figura 6: Segunda parte del temario del

Y hasta que no aprendas esto, no serás capaz de subir al nivel C. Al nivel de "Chief". Para ello, necesitas aprender que hacer esto no significa "mandar que se haga", sino saber que se trata de que sepas "gestionar el equipo para que pase", que es distinto.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, octubre 17, 2021

10.000 días nada más, ni menos.

Fue ayer mismo, lo juro. Tenía 20 años. Estaba pensando en empezar a trabajar de informático nada más salir de la universidad. Os juro que fue ayer. Os prometo que no sé cómo ha pasado. Cómo ha corrido todo tan rápido. No me he dado cuenta. Bueno, sí. Me he dado cuenta de miles de aventuras. De millones de anécdotas. De cientos de miles de desventuras y reveses. Pero ..¿tanto tiempo he consumido ya? No puede ser. Os lo digo de verdad, ayer mismo tenía 20 años y... sí, bueno, algún cumpleaños he celebrado, pero...es que de casi todo, dicen, que han pasado 20 o 25 años y casi no me lo creo. 

Figura 1: 10.000 días nada más, ni menos.

Y es que es verdad. En mi mente ayer día tenía 20 años y comenzaba a buscar trabajo de informático sufriendo mis primeras decepciones porque no me contrataban, y al día siguiente tengo 46 años y he hecho casi de todo. Ha sido un parpadeo. Sí, sé que no ha sido un día, pero para mí ha sido un continuo desde los veinte años. Más de dos décadas y media que se han pasado volando. Corriendo. Y no me he perdido una sola aventura. Una cena. Un concierto. Una película de superhéroes. Un viaje al otro lado del mundo. Un reto que superar. Un error que cometer. Pero... ¿ya son 46 años? 

La verdad es que cuando era niño pensaba que para el año 2.000 los coches volarían, y miraba a esa fecha con recelo, porque yo ya tendría 25 años de edad. Sería ya mayor. Muy mayor. Sería como decir... "¡buah, ya 25!!". Y hoy, estoy a cuatro años - tres y medio - de haber vivido el doble de esa edad. ¡Qué rápido pasa todo! Seguro que cuando pestañee otra vez estaré en 60 años. Tendré ya todo el pelo cano y pensaré... "¿Ya? ¡Pero si estoy a punto de comenzar otra liada!"

Lo cierto es que, a pesar de que todo ha corrido mucho, y de que renunciaría a todo lo conseguido en estos años por volver a jugar otra vez la partida a ver qué sale, cometería todos los mismos errores una y otra vez. Hace años que me siento en medio del camino, es decir, en el sitio donde tengo que estar. Ni más allá, ni más acá. Hace años que los sueños son jugar a lo que estoy jugando. Y contar los días explicándome los que hice en cada segundo.

No trato desde hace ya mucho tiempo de demostrarme nada a mí ni a nadie. No trato de llegar a ningún sitio. No intento conseguir nada más. Solo juego a vivir los retos, problemas, aventuras y desventuras con la diversión de poder jugarlo. Ayer tenía 20 años y quería hacer muchas cosas. Hoy tengo lazo con ese chaval de 20 años y sigo queriendo hacer muchas cosas. Pero las quiero hacer por una necesidad mayor que la que tenía en aquellos años. Ese chaval de 20 años necesitaba hacer muchas cosas para sobrevivir en el mundo, el de ahora necesita hacer muchas cosas para sentir que está vivo. 

No quiero tumbarme en lo conseguido y dejarme ir cómoda, relajadamente, viendo recortes de periódicos con recuerdos. No es que me parezca mala forma de vida disfrutar de los botines de forma relajada, pero como buen pirata yo prefiero apuntarme a ser un alfa, fletar nuevas expediciones, e ir  en busca de nuevos retos y problemas para sentir que siguen quedando fases de este juego que resolver, que este sigue siendo mi tiempo, que aún sigo con ganas y fuerzas de dar zancadas. Por el placer de seguir en la partida. No por la necesidad de conseguir algo. Hace tiempo que leo los libros con el placer de perderme en sus páginas, sin deseo alguno de que se terminen. No tengo el fuego de sobrevivir, sino el de vivir las aventuras.

Y es esa mirada siempre hacia delante, hacia la nueva aventura, hacia lo nuevo por venir en el poco tiempo que me quede sobre este planeta, es lo que hace que alguna vez me olvide del paso del tiempo. Como me ha pasado hoy, que he echado cuentas y me ha sorprendido lo que ya se fue. De que han pasado casi 10.000 días desde que estaba en la universidad pensando en todas las aventuras que iba a vivir. De que ya no tengo 20 años, ni 30, ni tan siquiera los 40 años esos en los que aprendí a montar en monopatín. Eso sí, si falto mañana, que sepáis que lo que estuve por aquí, lo viví. Que todos esos años fueron mi aventura.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, octubre 16, 2021

Robo de 400.000 USD clonando la voz del CEO con Inteligencia Artificial

No es el primer ataque de estas características, ya que tuvimos el primero hace dos años, cuando se utilizó por primera vez servicios cognitivos de Inteligencia Artificial para robar 220.000 € a una empresa clonando la voz del CEO. Ahora, se trata de un ataque similar en el que han conseguido, clonando la voz del director de la empresa, convencer por medio de una llamada de teléfono con voz clonada y mensajes de correo electrónico - de forma coordinada - convencer al director de una sucursal bancaria de hacer dos transferencias por un valor de 400.000 € en total, como cuenta la revista Forbes.

Figura 1: Robo de 400.000 USD clonando la voz del CEO con Inteligencia Artificial

El ataque mezcla dos ataques que ya se conocen para hacer todo mucho más creíble. Primero controlan el correo electrónico, que puede hacerse por medio de un robo de Tokens OAuth como hemos explicado muchas veces, o con directamente un robo de identidad, para pedir la transferencia al responsable del banco y luego el uso de la Inteligencia Artificial para hacer la llamada de teléfono mucho más creíble, como sucedió en el caso de hace dos años. De esta forma, se gana la confianza del miembro de la sucursal que al final es el que hace el movimiento de capital.
En este ataque, las técnicas de ingeniería social cuentan con mucha importancia, porque hay que meter presión e importancia al tiempo. Así, en esta ocasión el gancho era una operación empresarial de 35 millones de euros que, como se puede ver en la documentación oficial del caso, acabó terminando en las dos transferencias de dinero a las cuentas de los estafadores.
Las técnicas de clonación en tiempo real de voz con inteligencia artificial, como ya contamos en la charla de este año que di en la Open Expo titulada "Blade Runners & Virtual Replicants" y que podéis leer en el artículo de este verano, están ya muy avanzadas, y recibir una llamada de teléfono de una persona que tiene su voz grabada en muchos vídeos de Internet, charlas, conferencias, etcétera, ya no es una forma para un ser humano de identificación segura, pues la IA puede pasar ese "Test de Turing" y tenemos que trabajar en los nuevos Tests de Voight-Kampff.


Figura 4: BladeRunners & Virtual Replicants con DeepFakes

Así que, si tienes procesos de movimientos de capitales en tu empresa que validas con llamadas de teléfono de verificación, probablemente vas a tener que mejorarlos y fortificarlos, porque puede ser un foco de problemas en el futuro con el avance de estas técnicas de engaño, que la IA es capaz de recrear la voz de personas que incluso la han perdido, como sucedió con el actor Val Kilmer.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, octubre 15, 2021

Apoyar Automáticamente en Twitter a Perfiles Públicos de MyPublicInbox por Tempos continuos

El mes pasado pusimos en producción la capacidad de ganar Tempos por Tweets en MyPublicInbox. O lo que es lo mismo, dar Tempos a los usuarios de la plataforma de MyPublicInbox a cambio de apoyos en la red social Twitter en forma de Likes y Retweets. Esa característica permite que cualquier usuario de la plataforma pueda generar Tempos con sus acciones de apoyo a Perfiles Públicos que luego pueda utilizar.

Figura 1: Apoyar Automáticamente en Twitter a Perfiles Públicos
de MyPublicInbox por Tempos continuos

Al poco tiempo, activamos también este servicio para los propios perfiles públicos, para que los apoyos puedan ser compartidos entre ellos, también con generación de Tempos por cada apoyo que se produce en en Twitter. Y esta semana hemos añadido la posibilidad de que apoyes siempre a los Perfiles Públicos a los que quieres ayudar, para que de forma automática se generen Tempos en tu cuenta.

Figura 2: Apoyar Siempre en Tempos por Tweets

El funcionamiento es sencillo, cuando apoyas a un Perfil Público, puedes seleccionar la opción de "Apoyar Siempre", lo que hará que todos los Tweets para los que ese perfil público en concreto solicite apoyo, sean automáticamente apoyados por ti. 

Figura 3: Ganar Tempos automáticamente con Apoyar Siempre

Esto se hace cada 24 horas, de tal manera que la plataforma irá apoyando los tweets para los que ese perfil público solicite colaboración. Y te permite que puedas ir generando Tempos día a día sin necesidad de que te preocupes de darle manualmente a apoyar a cada uno de los Tweets

Figura 4: Verás qué Tweets has apoyado, cuáles de forma manual o automática
y si tienes el selector de Apoyar Siempre activado o no para ese perfil.

Y siempre podrás ver qué Tweets has apoyado, y quitar la selección de la opción de "Apoyar Siempre" en todo momento. El objetivo es hacer que la plataforma te ayude a hacer más relevantes a los perfiles públicos a los que quieres apoyar y te ayude, al mismo tiempo, a ganar Tempos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, octubre 14, 2021

Entrevista a Miguel Ángel Martín y Rafael García, organizadores de HBSCON

Durante el mes de Septiembre tuvimos la HBSCON y durante este mes de octubre os he traido, como todos los meses, el calendario de cursos online de HackBySecurity de pentesting y ciberseguridad donde, además, se encuentra para el día 18 de Octubre el BootCamp de Ciberseguridad con Singularity Hackers. Y quería que conocierais al par de personas que está detrás de estas iniciativas: Miguel Ángel Martín y Rafael García.

Figura 1: Entrevista a Miguel Ángel Martín y Rafael García, organizadores de HBSCON

Así que, les he hecho esta pequeña entrevista para que podáis saber más de su historia, de quiénes son este equipo de buenas personas con las que da gusto hacer cosas. Tranquilos, trabajadores, cercanos, y con ganas de hacer bien todo en lo que se meten. Aquí tenéis la doble entrevista que les he hecho.

1.- ¿Quiénes son Miguel Ángel Martín y Rafael García y cómo nació HackBySecurity?

M.A: Miguel Angel es una persona tranquila a la que le gusta pasar tiempo con su familia y amigos y a la que le encanta y siente pasión por su trabajo. Me gustan mucho las motos, la música (si puede ser rock mejor :)), colaborar y ayudar en cualquier proyecto en el que me sienta alegre y en definitiva, una persona cercana, transparente y dispuesta siempre a ayudar. La historia de Hack by Security es curiosa dado que tanto Rafa como yo, veníamos con una trayectoria de 19-20 años de experiencia laboral en la que hemos pasado por diversos proyectos y empleos…siempre relacionados con el mundo IT y, por consiguiente, en la Ciberseguridad.


Tuvimos la suerte de cruzarnos en un proyecto en conjunto (en el que la verdad, no estábamos nada contentos) y, entre cañas, salió la típica conversación de por qué zona de Madrid vivía, a la que Rafa me contesto en Sanse (San Sebastian de los Reyes). Cuando escuche eso me alegre mucho dado que yo también soy de Sanse, por lo que empezamos a tirar de hilos y teníamos amigos en común, frecuentábamos un bar de Rock, coincidíamos en gustos musicales, encajábamos perfectamente como equipo de trabajo y surgió lo más importante que he podido llevarme de todo esto que es la amistad y la suerte de haberle conocido.

Era curioso como viviendo a 5 minutos uno del otro nunca habíamos coincidido en algún local o evento, por lo que, entre esas cañas, empezamos a cantar una canción (ya os diremos cual es XD) y desde ese momento supimos que había que hacer algo en conjunto. Empezamos a trabajar en el nombre, logo, proyectos, formación y un largo etcétera y, poco a poco se fueron sumando el resto de miembros del equipo como por ejemplo Sergio Rodriguez, nuestro director de formación. Tuvimos siempre el apoyo de amigos y referentes del sector como en este caso Pablo González, Marta Barrio, Ángel Nuñez y un largo etcétera y por supuesto a esa persona que tanto quiere el equipo de HbS que es Noelia Zazo de 0xWORD.

Desde la creación de la primera sociedad en junio de 2019 en la que empezamos a trabajar con fuerza desde el 1 de enero de 2020, no hemos parado a descansar un solo día…incluidos los domingos. A día de hoy contando con l@s compañer@s externos somos un total de 22 personas y en marzo de este 2021, abrimos la segunda sociedad, con vistas de generar una tercera en 2022 y seguir cumpliendo nuestro plan de empresa.



Rafa: Yo soy una persona sencilla que no necesita mucho para divertirse y que valoro más con quién que el qué, a priori soy serio y tranquilo, al menos es lo que me dicen que proyecto, y soy bastante curioso, me gusta investigar y saber el porqué de las cosas, el problema es que muchas veces eso me genera más preguntas que respuestas y a veces hace que me “pierda” un poco.  

2.- ¿Cómo entrasteis en el mundo de la ciberseguridad vosotros?, es decir, ¿cuál es vuestra historia en el mundo del hacking? ¿A quiénes tuvisteis de referencia?

Rafa: Desde pequeño he estado con ordenadores, desde aquel Amstrad CPC 464 de casete hasta hoy, programando incluso mis propios juegos en Basic, las primeras cosas que hackeé por tanto fueron video juegos, en aquel momento los juegos online no existían y las partidas se almacenaban en ficheros en el propio equipo, solo había que abrirlos, editarlos y listo, aparecías en otros sitios con más monedas, armas,... o lo que fuese, ya más tarde empecé a estudiar informática y a dedicarme profesionalmente a ello, pasando por multitud de puestos, de programador a consultor o jefe de proyecto, y finalmente desembarqué en ciberseguridad hasta que tuve la suerte de conocer a Miguel Ángel.

Referencia mientras estaba estudiando o cuando era pequeño en lo que respecta a la informática, te diría que no tenía una que fuese muy clara, ahora eso sí, lo que tenía muy claro era que mi forma de ser debía parecerse a la de mi abuelo, trabajador incansable, amable con todo el mundo, pero con carácter si había que tenerlo; más tarde, ya con conocimiento de causa me parecen admirables tanto Pablo González como Marta Barrio, que son más jóvenes que yo, pero no por eso significa que no tenga que aprender de ellos.

M.A: Coincidiendo con Rafa, mis comienzos fueron con 5-6 años con ese Amstrad CPC 464 que le regalaron a mi hermano mayor y en el que poco a poco, fui adentrándome programando esos juegos con el libro que incluían, copiando cintas y despertando la curiosidad por el mundo IT. Empecé a estudiar informática y certificarme en varios ciclos formativos en Microsoft, Cisco etc, y con 16 años comencé a trabajar en una empresa reparando impresoras y configurando servidores. Al cabo de un par de años seguí certificándome en Microsoft y di el salto a trabajar solamente como Sysadmin. De ahí, muchos proyectos y aventuras nuevas en las que siempre tuve ocasión de investigar y aprender y seguir ascendiendo en diversos cargos hasta llegar a ser director de sistemas. La parte de Ciberseguridad siempre la he tenido cerca dado que, por el sector y proyectos, tenías que estar actualizado y protegido. Con los amigos “jugábamos” mucho por los IRC con varios virus e intentando siempre acceder de alguna manera remota a las máquinas, es decir, entre nosotros nos atacábamos como si de un juego se tratase y es algo que me vino muy bien para lo que más tarde se convertiría en mi hobbie, pasión y forma de ganarme la vida.

Como referente lo tengo claro, tú fuiste uno de mis referentes junto a Kevin Mitnick. Guardo con cariño un mensaje que te hice llegar por Facebook un 6 de mayo de 2015 realizando una consulta de malware y posteriormente sobre cursos de hacking y muchas veces lo vuelvo a leer ya que siempre demostraste una cercanía con todo el mundo y siempre estás dispuesto a ayudar, por eso lo mantengo para, entre otras cosas, seguir aprendiendo y recordando que siempre hay que estar dispuesto a ayudar y a ser buena persona… ese fue otro de tus consejos mediante esa video llamada cuando decidimos lanzar Hack by Security. Al cabo de los años he tenido la suerte de conocer a Marta Barrio, Pablo Gonzalez, Angel Nuñez y un montón de referentes y amig@s y seguir aprendiendo de tod@s ell@s a diario, por lo que solo puedo daros las gracias por formar parte de todo tanto a nivel profesional como personal.

3.- ¿Y cómo nació HBSCON?

Rafa: Pues el nacimiento de la HBSCON hay que debérselo a Miguel Ángel, lo tenía en mente desde hace mucho tiempo y no ha parado hasta conseguirlo.

M.A.: Sin el apoyo de Rafa y del equipo, nada hubiera sido posible. Yo puedo tener miles de ideas divertidas, a las que Rafa cada vez que le llamo a cualquier hora del día y le digo…Rafa, he estado pensando, él se pone a reír y a temblar a la vez pensando “ya está el tarado este con sus ideas” jajajaja… pero lo más curioso es que siempre se sube a todos los proyectos que surgen y, como no podía ser otro, se subió a la HBSCON. El proyecto de hacer este congreso nace desde hace muchos años ya que era una idea que siempre tenía en mente, pero que, por motivos ajenos a mí, no me dejaban o autorizaban a llevarlo a cabo, por eso desde Hack by Security sabía que era el momento perfecto para lanzar esta CON.

Una vez que logro liar al equipo, me toca empezar a tirar de teléfono y contactos y, por supuesto, en esta ocasión pude acceder fácilmente a much@s amig@s mediante MyPublicInbox. Cuando ya tuvimos a tod@s l@s ponentes, llegaba la hora de que Rafa y el equipo empezaran a realizar lo más difícil, que era la parte técnica y de organización, por lo que la maquinaria empezó a rodar y comenzaron los preparativos tanto de la parte del CTF, web, registros, streaming… aquí contamos con los amigos de HackMadrid que son un apoyo incondicional para HbS. 

El resto como se suele decir, es historia… ha sido un congreso en el que hemos tenido la suerte de que fueseis todos los ponentes unos referentes en muchos sentidos, por lo que tanto la organización, patrocinios de MyPublicInbox, 0xWORD, Singularity Hackers, Miriadax, Telefónica Tech, Telefónica Open Future, Ayuntamiento de Segovia y Ayuntamiento de Alcobendas, los CTFs, los regalos que las CONs amigas han donado, el apoyo de las empresas colaboradoras del evento y un largo etcétera ha sido increíble y por eso ha sido un éxito total. Estamos muy contentos de haber podido crear nuestra primera CON y de darnos cuenta que hay muchos amigos que nos apoyan y apoyaran en todos los proyectos que lancemos.

4.- ¿Cuál ha sido el resultado una vez que ha pasado todo? ¿Cuál ha sido la reacción de los asistentes? ¿Vamos a tener HBSCON 2022?

Rafa: Genial, la verdad que personalmente me ha encantado, con nervios los primeros 15 minutos, pero en cuanto tú, Chema, arrancaste la charla, se me pasaron todos y en la siguiente ya estaba con el bol de palomitas disfrutando; le pusimos mucho cariño y creo que eso se ha trasmitido a los asistentes, las muestras de agradecimiento fueron continuas, y claro está, habrá HBSCON 2022, algo habrá que hacer para sorprender.


Figura 4: Chema Alonso en HBSCON "Social Worms & Frauds"

M.A:
De nuevo coincido con Rafa en que estábamos muy nerviosos cuanto más se acercaba el congreso. El día de comienzo en cuanto arrancaste tu, ya estábamos más tranquilos y disfrutando, aunque como siempre mucho nervio para que todo saliese bien…y como no podía ser de otra manera, Rafa y su equipo se volcaron al 100% para que fuese así. La verdad que rodeados de profesionales como Yolanda Corral y Beatriz Cerrolaza, sabíamos que estábamos en buenas manos, y dada su experiencia en este tipo de eventos, eso nos tranquilizaba bastante.

Una vez que todo pasó, empezamos a recibir felicitaciones tanto por correo, RRSS, tlf... los asistentes disfrutaron y la verdad que nos emocionamos al recibir tanto feedback positivo, eso quería decir que lo hicimos bien y que la gente lo disfrutó. Efectivamente en 2022 tendremos otra HBSCON en la que, tal como comento Kevin Mitnick, intentaremos tener su asistencia entre otr@s grandes Hackers. Esta vez si o si va a ser presencial…tenemos un par de sorpresas que las diremos cuando se vaya acercando el momento.

5.- El bootCamp de Ciberseguridad que da comienzo el 18 de Octubre, de todas las formaciones que hacéis, es la autopista para que alguien que quiera empezar de cero o reorientar su carrera profesional, pueda comenzar a trabajar en esta profesión. ¿Qué aprenden en ese campo de entrenamiento los asistentes?

Rafa: Como dices se arranca casi desde cero, y van a aprender tanto técnicas como una metodología para poder llevar a cabo un pentesting, desde las primeras fases de reconocimiento del objetivo hasta la explotación del mismo y la creación de movimientos laterales para poder comprometer más equipos. 

Se ven tanto técnicas automáticas como técnicas más artesanales o manuales, que muchas veces son las que marcan la diferencia y las que te hacen entender el porqué de las cosas, un pentesting no se limita a pulsar un botón y crear un informe, es algo más, y nosotros enseñamos ese algo más.  
6.- Yo llevo tiempo hablando de una asociación de CONs para coordinar actividades y tener mucho más impacto en la sociedad, ¿cómo lo veis vosotros?

M.A: La idea es una pasada. Según leí el articulo empecé a maquinar como sabes ya que te hice llegar nuestro apoyo e interés en participar en esta iniciativa :). Creo que generar esta asociación y uniéndonos todos, crearíamos un proyecto estable, con unos pilares basados en el respeto, conocimiento, buen ambiente y algo muy potente, por lo que, sin duda alguna, desde HbS apoyaremos esta iniciativa siempre.

Rafa: Me parece una idea fantástica, la sociedad en general no es consciente de lo que le rodea, y mientras la ciberseguridad y el hacking siga siendo de “frikis” o visto de esa manera, significa que no estamos haciendo las cosas del todo bien, debemos enseñar a los jóvenes desde chiquititos a proteger sus datos y crearles hábitos tecnológicos sanos, no que piensen que por instalar un antivirus ya está todo resuelto. Todos los eventos que actualmente hay en España son muy solidarios y rápidamente se unen en iniciativas sin esperar nada a cambio, ese es un factor diferenciador en ciberseguridad que, personalmente, no he visto en otros ámbitos; crear una asociación a nivel nacional (o internacional) que vaya enseñando ciberseguridad, y, aunque suene algo raro, evangelizando, es una idea extraordinaria.

7.- Habéis crecido mucho en los últimos años, ¿qué preparáis para el futuro?

Rafa: Trabajar y seguir paso a paso, estamos preparando nuevas formaciones y alguna sorpresilla más muy chula; los que trabajamos en ciberseguridad tenemos un problema, que no nos podemos quedar quietos, pero como es algo que nos gusta, nos lo tomamos con humor.

M.A.: Tal como comenta Rafa, tenemos una serie de formaciones muy potentes y chulas que si todo sigue como es debido, lanzaremos 6 de ellas entre diciembre de este año y enero de 2022 para, a lo largo del primer cuatrimestre, lanzar otras 5 más. Tenemos también el lanzamiento de una nueva plataforma de formación, una metodología en formación nueva, nuevos docentes y alguna sorpresa más. En la parte de servicios uno de los proyectos que lanzaremos será un Centro de Operaciones y una aplicación que tiene Rafa en desarrollo que va a dar mucho de qué hablar… y hasta aquí puedo decir, jajaja.

8.- ¿Qué le recomendaríais a alguien que quiera emprender en ciberseguridad desde vuestra experiencia personal?

M.A.: Paciencia, ilusión, ganas y que nunca nunca pierda de vista su objetivo. Por otro lado, y siguiendo tu consejo, es que sea buena persona, de esta manera atraerá siempre a buenas personas y el proceso y camino será más liviano. Muy importante escuchar siempre al equipo ya que ellos son el motor que empuja y hacen que el barco avance. Debemos aprender a equivocarnos y que nos puedan corregir para que sigamos aprendiendo y mejorando. Todo llega a su debido momento y todas las cosas pasan por algo, por lo que la paciencia, tranquilidad y calma, es clave para poner unos cimientos irrompibles.

Rafa: Si lo que quiere es crear una empresa, y no tiene experiencia empresarial, que se arme de paciencia, que no trate de abarcar todo y que se rodee de buena gente, quizá tardará más en llegar a su objetivo, pero llegará más tranquilo.

Y esta ha sido la entrevista, espero que os haya entretenido conocer la historia del equipo de personas que está detrás de HBSCON y HackBySecurity.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, octubre 13, 2021

Padrino de la promoción de egresados de Seguridad Informática & Ciberseguridad en la UNIR 2021-2022

He pasado toda mi etapa profesional ligado a la universidad. Creo sinceramente que la relación de formación y trabajo es una manera sana de ir a adquiriendo nuevas competencias y habilidades. Es una cosa que he dicho muchas veces, porque creo que hay cosas que se aprenden haciendo y cosas que se aprenden aprendiendo. Por eso estuve hasta los 38 años estudiando en la Universidad, y por eso sigo asistiendo a formaciones, charlas, conferencias, cursos, como alumno. Porque nunca sabes todo, y cada día, si no te esfuerzas, sabes menos, como contaba en el artículo de Eppur si muove.

Figura 1: Padrino de la promoción de egresados de
Seguridad Informática & Ciberseguridad
en la UNIR, KSchool & EDIX 2021-2022

Yo he hecho formación reglada y formación no reglada. He hecho la Ingeniería Técnica en Informática de Sistemas en la UPM, la Ingeniería Superior, el Máster en Seguridad Informática y el Doctorado en la URJC. Muchos años estudiando en la Universidad los cursos oficiales. Pero también hice cursos de comunicaciones, administración de sistemas, seguridad informática, me saqué certificaciones oficiales de fabricantes, y asistí y asisto a muchas charlas y conferencias, además de leer libros y artículos para intentar mejorar mis carencias, que todavía tengo muchas.


Mi vida cerca de la Universidad creo que es algo que quiero seguir manteniendo, y la UNIR tiene un Máster Universitario en Seguridad Informática de 60 ECTS (European Credit Transfer & Accumulation System)  para aquellos que quieren orientar sus estudios de doctorado al mismo área al que yo lo orienté, así que cuando me pidieron que fuera el Padrino de la promoción 2021-2022 para dar el discurso de egresados, no pude decir que no. Han sido muchos años trabajando con y para ellos, desde nuestros días en Informática 64. Algunos compañeros de aquellos años están trabajando allí, y muchos compañeros se formaron también allí. Es una relación bonita de muchos años de las que me gusta mantener a mí.
Este año, si lo habéis leído en algún sitio, seré yo el que imparta el discurso de egresados. Es siempre una tarea complicada, y solo un año anterior he sido padrino de otra promoción, en este caso de la universidad URJC, donde también tuve la suerte de darles el discurso en ese día tan especial en el que se celebra la consecución del título. Además, ese discurso será, no solo para los alumnos del Máster Universitario en Seguridad Informática de la UNIR, sino también para los alumnos de la misma rama - ciberseguridad - de los otros centros asociados, como son los del Máster en Ciberseguridad de KSchool que se hace en Madrid los fines de semana, y el Master de Formación Profesional en Ciberseguidad de EDIX para los alumnos de FP de Grado Superior.


Como ya he dicho, la relación con la UNIR es larga de años, que yo la recuerdo desde la etapa de Informática 64 cuando comenzamos a trabajar con ellos y ellos eran una "Startup" creciendo en un mundo que se iba a transformar, y que ellos convirtieron en una gran multinacional. Hoy la relación continúa con 0xWord - donde los libros se entregan también como material de apoyo en los Másters de este año -, con MyPublicInbox donde muchos profesores de la UNIR se encuentran en la plataforma, y los alumnos tendrán Tempos, y ahora también con Singularity Hackers, que formará parte de algunas formaciones de la UNIR. Yo, espero que ser el padrino de los chavales de esta promoción y darles el discurso de egresados sea solo el último paso a superar antes de que ellos alcancen su éxito profesional.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

Singularity Hackers: Para descubrir el trabajo de Ciberseguridad & Seguridad Informática que mejor se adapta a ti

Hoy me toca hablar de Singularity Hackers , la nueva plataforma de Inteligencia Artificial que te ayuda a descubrir el trabajo en Cibersegu...

Entradas populares