Robo de 400.000 USD clonando la voz del CEO con Inteligencia Artificial

No es el primer ataque de estas características, ya que tuvimos el primero hace dos años, cuando se utilizó por primera vez servicios cognitivos de Inteligencia Artificial para robar 220.000 € a una empresa clonando la voz del CEO. Ahora, se trata de un ataque similar en el que han conseguido, clonando la voz del director de la empresa, convencer por medio de una llamada de teléfono con voz clonada y mensajes de correo electrónico - de forma coordinada - convencer al director de una sucursal bancaria de hacer dos transferencias por un valor de 400.000 € en total, como cuenta la revista Forbes.

Figura 1: Robo de 400.000 USD clonando la voz del CEO con Inteligencia Artificial

El ataque mezcla dos ataques que ya se conocen para hacer todo mucho más creíble. Primero controlan el correo electrónico, que puede hacerse por medio de un robo de Tokens OAuth como hemos explicado muchas veces, o con directamente un robo de identidad, para pedir la transferencia al responsable del banco y luego el uso de la Inteligencia Artificial para hacer la llamada de teléfono mucho más creíble, como sucedió en el caso de hace dos años. De esta forma, se gana la confianza del miembro de la sucursal que al final es el que hace el movimiento de capital.

Figura 2: Noticia del robo con AI en Forbes

En este ataque, las técnicas de ingeniería social cuentan con mucha importancia, porque hay que meter presión e importancia al tiempo. Así, en esta ocasión el gancho era una operación empresarial de 35 millones de euros que, como se puede ver en la documentación oficial del caso, acabó terminando en las dos transferencias de dinero a las cuentas de los estafadores.

Figura 3: Explicación en la documentación oficial

Las técnicas de clonación en tiempo real de voz con inteligencia artificial, como ya contamos en la charla de este año que di en la Open Expo titulada "Blade Runners & Virtual Replicants" y que podéis leer en el artículo de este verano, están ya muy avanzadas, y recibir una llamada de teléfono de una persona que tiene su voz grabada en muchos vídeos de Internet, charlas, conferencias, etcétera, ya no es una forma para un ser humano de identificación segura, pues la IA puede pasar ese "Test de Turing" y tenemos que trabajar en los nuevos Tests de Voight-Kampff.

Figura 4: BladeRunners & Virtual Replicants con DeepFakes

Así que, si tienes procesos de movimientos de capitales en tu empresa que validas con llamadas de teléfono de verificación, probablemente vas a tener que mejorarlos y fortificarlos, porque puede ser un foco de problemas en el futuro con el avance de estas técnicas de engaño, que la IA es capaz de recrear la voz de personas que incluso la han perdido, como sucedió con el actor Val Kilmer.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Apoyar Automáticamente en Twitter a Perfiles Públicos de MyPublicInbox por Tempos continuos

El mes pasado pusimos en producción la capacidad de ganar Tempos por Tweets en MyPublicInbox. O lo que es lo mismo, dar Tempos a los usuarios de la plataforma de MyPublicInbox a cambio de apoyos en la red social Twitter en forma de Likes y Retweets. Esa característica permite que cualquier usuario de la plataforma pueda generar Tempos con sus acciones de apoyo a Perfiles Públicos que luego pueda utilizar.

Figura 1: Apoyar Automáticamente en Twitter a Perfiles Públicos

de MyPublicInbox por Tempos continuos

Al poco tiempo, activamos también este servicio para los propios perfiles públicos, para que los apoyos puedan ser compartidos entre ellos, también con generación de Tempos por cada apoyo que se produce en en Twitter. Y esta semana hemos añadido la posibilidad de que apoyes siempre a los Perfiles Públicos a los que quieres ayudar, para que de forma automática se generen Tempos en tu cuenta.

Figura 2: Apoyar Siempre en Tempos por Tweets

El funcionamiento es sencillo, cuando apoyas a un Perfil Público, puedes seleccionar la opción de "Apoyar Siempre", lo que hará que todos los Tweets para los que ese perfil público en concreto solicite apoyo, sean automáticamente apoyados por ti. 

Figura 3: Ganar Tempos automáticamente con Apoyar Siempre

Esto se hace cada 24 horas, de tal manera que la plataforma irá apoyando los tweets para los que ese perfil público solicite colaboración. Y te permite que puedas ir generando Tempos día a día sin necesidad de que te preocupes de darle manualmente a apoyar a cada uno de los Tweets. 

Figura 4: Verás qué Tweets has apoyado, cuáles de forma manual o automática

y si tienes el selector de Apoyar Siempre activado o no para ese perfil.

Y siempre podrás ver qué Tweets has apoyado, y quitar la selección de la opción de "Apoyar Siempre" en todo momento. El objetivo es hacer que la plataforma te ayude a hacer más relevantes a los perfiles públicos a los que quieres apoyar y te ayude, al mismo tiempo, a ganar Tempos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Entrevista a Miguel Ángel Martín y Rafael García, organizadores de HBSCON

Durante el mes de Septiembre tuvimos la HBSCON y durante este mes de octubre os he traido, como todos los meses, el calendario de cursos online de HackBySecurity de pentesting y ciberseguridad donde, además, se encuentra para el día 18 de Octubre el BootCamp de Ciberseguridad con Singularity Hackers. Y quería que conocierais al par de personas que está detrás de estas iniciativas: Miguel Ángel Martín y Rafael García.

Figura 1: Entrevista a Miguel Ángel Martín y Rafael García, organizadores de HBSCON

Así que, les he hecho esta pequeña entrevista para que podáis saber más de su historia, de quiénes son este equipo de buenas personas con las que da gusto hacer cosas. Tranquilos, trabajadores, cercanos, y con ganas de hacer bien todo en lo que se meten. Aquí tenéis la doble entrevista que les he hecho.

1.- ¿Quiénes son Miguel Ángel Martín y Rafael García y cómo nació HackBySecurity?

M.A: Miguel Angel es una persona tranquila a la que le gusta pasar tiempo con su familia y amigos y a la que le encanta y siente pasión por su trabajo. Me gustan mucho las motos, la música (si puede ser rock mejor :)), colaborar y ayudar en cualquier proyecto en el que me sienta alegre y en definitiva, una persona cercana, transparente y dispuesta siempre a ayudar. La historia de Hack by Security es curiosa dado que tanto Rafa como yo, veníamos con una trayectoria de 19-20 años de experiencia laboral en la que hemos pasado por diversos proyectos y empleos…siempre relacionados con el mundo IT y, por consiguiente, en la Ciberseguridad.

Figura 2: Contactar con Miguel Ángel Martín de HackBySecurity

Tuvimos la suerte de cruzarnos en un proyecto en conjunto (en el que la verdad, no estábamos nada contentos) y, entre cañas, salió la típica conversación de por qué zona de Madrid vivía, a la que Rafa me contesto en Sanse (San Sebastian de los Reyes). Cuando escuche eso me alegre mucho dado que yo también soy de Sanse, por lo que empezamos a tirar de hilos y teníamos amigos en común, frecuentábamos un bar de Rock, coincidíamos en gustos musicales, encajábamos perfectamente como equipo de trabajo y surgió lo más importante que he podido llevarme de todo esto que es la amistad y la suerte de haberle conocido.

Era curioso como viviendo a 5 minutos uno del otro nunca habíamos coincidido en algún local o evento, por lo que, entre esas cañas, empezamos a cantar una canción (ya os diremos cual es XD) y desde ese momento supimos que había que hacer algo en conjunto. Empezamos a trabajar en el nombre, logo, proyectos, formación y un largo etcétera y, poco a poco se fueron sumando el resto de miembros del equipo como por ejemplo Sergio Rodriguez, nuestro director de formación. Tuvimos siempre el apoyo de amigos y referentes del sector como en este caso Pablo González, Marta Barrio, Ángel Nuñez y un largo etcétera y por supuesto a esa persona que tanto quiere el equipo de HbS que es Noelia Zazo de 0xWORD.

Desde la creación de la primera sociedad en junio de 2019 en la que empezamos a trabajar con fuerza desde el 1 de enero de 2020, no hemos parado a descansar un solo día…incluidos los domingos. A día de hoy contando con l@s compañer@s externos somos un total de 22 personas y en marzo de este 2021, abrimos la segunda sociedad, con vistas de generar una tercera en 2022 y seguir cumpliendo nuestro plan de empresa.

Figura 3: Contactar con Rafa García de HackBySecurity

Rafa: Yo soy una persona sencilla que no necesita mucho para divertirse y que valoro más con quién que el qué, a priori soy serio y tranquilo, al menos es lo que me dicen que proyecto, y soy bastante curioso, me gusta investigar y saber el porqué de las cosas, el problema es que muchas veces eso me genera más preguntas que respuestas y a veces hace que me “pierda” un poco.  

2.- ¿Cómo entrasteis en el mundo de la ciberseguridad vosotros?, es decir, ¿cuál es vuestra historia en el mundo del hacking? ¿A quiénes tuvisteis de referencia?

Rafa: Desde pequeño he estado con ordenadores, desde aquel Amstrad CPC 464 de casete hasta hoy, programando incluso mis propios juegos en Basic, las primeras cosas que hackeé por tanto fueron video juegos, en aquel momento los juegos online no existían y las partidas se almacenaban en ficheros en el propio equipo, solo había que abrirlos, editarlos y listo, aparecías en otros sitios con más monedas, armas,... o lo que fuese, ya más tarde empecé a estudiar informática y a dedicarme profesionalmente a ello, pasando por multitud de puestos, de programador a consultor o jefe de proyecto, y finalmente desembarqué en ciberseguridad hasta que tuve la suerte de conocer a Miguel Ángel.

Referencia mientras estaba estudiando o cuando era pequeño en lo que respecta a la informática, te diría que no tenía una que fuese muy clara, ahora eso sí, lo que tenía muy claro era que mi forma de ser debía parecerse a la de mi abuelo, trabajador incansable, amable con todo el mundo, pero con carácter si había que tenerlo; más tarde, ya con conocimiento de causa me parecen admirables tanto Pablo González como Marta Barrio, que son más jóvenes que yo, pero no por eso significa que no tenga que aprender de ellos.

M.A: Coincidiendo con Rafa, mis comienzos fueron con 5-6 años con ese Amstrad CPC 464 que le regalaron a mi hermano mayor y en el que poco a poco, fui adentrándome programando esos juegos con el libro que incluían, copiando cintas y despertando la curiosidad por el mundo IT. Empecé a estudiar informática y certificarme en varios ciclos formativos en Microsoft, Cisco etc, y con 16 años comencé a trabajar en una empresa reparando impresoras y configurando servidores. Al cabo de un par de años seguí certificándome en Microsoft y di el salto a trabajar solamente como Sysadmin. De ahí, muchos proyectos y aventuras nuevas en las que siempre tuve ocasión de investigar y aprender y seguir ascendiendo en diversos cargos hasta llegar a ser director de sistemas. La parte de Ciberseguridad siempre la he tenido cerca dado que, por el sector y proyectos, tenías que estar actualizado y protegido. Con los amigos “jugábamos” mucho por los IRC con varios virus e intentando siempre acceder de alguna manera remota a las máquinas, es decir, entre nosotros nos atacábamos como si de un juego se tratase y es algo que me vino muy bien para lo que más tarde se convertiría en mi hobbie, pasión y forma de ganarme la vida.

Como referente lo tengo claro, tú fuiste uno de mis referentes junto a Kevin Mitnick. Guardo con cariño un mensaje que te hice llegar por Facebook un 6 de mayo de 2015 realizando una consulta de malware y posteriormente sobre cursos de hacking y muchas veces lo vuelvo a leer ya que siempre demostraste una cercanía con todo el mundo y siempre estás dispuesto a ayudar, por eso lo mantengo para, entre otras cosas, seguir aprendiendo y recordando que siempre hay que estar dispuesto a ayudar y a ser buena persona… ese fue otro de tus consejos mediante esa video llamada cuando decidimos lanzar Hack by Security. Al cabo de los años he tenido la suerte de conocer a Marta Barrio, Pablo Gonzalez, Angel Nuñez y un montón de referentes y amig@s y seguir aprendiendo de tod@s ell@s a diario, por lo que solo puedo daros las gracias por formar parte de todo tanto a nivel profesional como personal.

3.- ¿Y cómo nació HBSCON?

Rafa: Pues el nacimiento de la HBSCON hay que debérselo a Miguel Ángel, lo tenía en mente desde hace mucho tiempo y no ha parado hasta conseguirlo.

M.A.: Sin el apoyo de Rafa y del equipo, nada hubiera sido posible. Yo puedo tener miles de ideas divertidas, a las que Rafa cada vez que le llamo a cualquier hora del día y le digo…Rafa, he estado pensando, él se pone a reír y a temblar a la vez pensando “ya está el tarado este con sus ideas” jajajaja… pero lo más curioso es que siempre se sube a todos los proyectos que surgen y, como no podía ser otro, se subió a la HBSCON. El proyecto de hacer este congreso nace desde hace muchos años ya que era una idea que siempre tenía en mente, pero que, por motivos ajenos a mí, no me dejaban o autorizaban a llevarlo a cabo, por eso desde Hack by Security sabía que era el momento perfecto para lanzar esta CON.

Una vez que logro liar al equipo, me toca empezar a tirar de teléfono y contactos y, por supuesto, en esta ocasión pude acceder fácilmente a much@s amig@s mediante MyPublicInbox. Cuando ya tuvimos a tod@s l@s ponentes, llegaba la hora de que Rafa y el equipo empezaran a realizar lo más difícil, que era la parte técnica y de organización, por lo que la maquinaria empezó a rodar y comenzaron los preparativos tanto de la parte del CTF, web, registros, streaming… aquí contamos con los amigos de HackMadrid que son un apoyo incondicional para HbS. 

El resto como se suele decir, es historia… ha sido un congreso en el que hemos tenido la suerte de que fueseis todos los ponentes unos referentes en muchos sentidos, por lo que tanto la organización, patrocinios de MyPublicInbox, 0xWORD, Singularity Hackers, Miriadax, Telefónica Tech, Telefónica Open Future, Ayuntamiento de Segovia y Ayuntamiento de Alcobendas, los CTFs, los regalos que las CONs amigas han donado, el apoyo de las empresas colaboradoras del evento y un largo etcétera ha sido increíble y por eso ha sido un éxito total. Estamos muy contentos de haber podido crear nuestra primera CON y de darnos cuenta que hay muchos amigos que nos apoyan y apoyaran en todos los proyectos que lancemos.

4.- ¿Cuál ha sido el resultado una vez que ha pasado todo? ¿Cuál ha sido la reacción de los asistentes? ¿Vamos a tener HBSCON 2022?

Rafa: Genial, la verdad que personalmente me ha encantado, con nervios los primeros 15 minutos, pero en cuanto tú, Chema, arrancaste la charla, se me pasaron todos y en la siguiente ya estaba con el bol de palomitas disfrutando; le pusimos mucho cariño y creo que eso se ha trasmitido a los asistentes, las muestras de agradecimiento fueron continuas, y claro está, habrá HBSCON 2022, algo habrá que hacer para sorprender.


Figura 4: Chema Alonso en HBSCON "Social Worms & Frauds"

M.A: De nuevo coincido con Rafa en que estábamos muy nerviosos cuanto más se acercaba el congreso. El día de comienzo en cuanto arrancaste tu, ya estábamos más tranquilos y disfrutando, aunque como siempre mucho nervio para que todo saliese bien…y como no podía ser de otra manera, Rafa y su equipo se volcaron al 100% para que fuese así. La verdad que rodeados de profesionales como Yolanda Corral y Beatriz Cerrolaza, sabíamos que estábamos en buenas manos, y dada su experiencia en este tipo de eventos, eso nos tranquilizaba bastante.

Una vez que todo pasó, empezamos a recibir felicitaciones tanto por correo, RRSS, tlf... los asistentes disfrutaron y la verdad que nos emocionamos al recibir tanto feedback positivo, eso quería decir que lo hicimos bien y que la gente lo disfrutó. Efectivamente en 2022 tendremos otra HBSCON en la que, tal como comento Kevin Mitnick, intentaremos tener su asistencia entre otr@s grandes Hackers. Esta vez si o si va a ser presencial…tenemos un par de sorpresas que las diremos cuando se vaya acercando el momento.

5.- El bootCamp de Ciberseguridad que da comienzo el 18 de Octubre, de todas las formaciones que hacéis, es la autopista para que alguien que quiera empezar de cero o reorientar su carrera profesional, pueda comenzar a trabajar en esta profesión. ¿Qué aprenden en ese campo de entrenamiento los asistentes?

Rafa: Como dices se arranca casi desde cero, y van a aprender tanto técnicas como una metodología para poder llevar a cabo un pentesting, desde las primeras fases de reconocimiento del objetivo hasta la explotación del mismo y la creación de movimientos laterales para poder comprometer más equipos. 

Figura 5: BootCamp de Ciberseguridad Ofensiva

Se ven tanto técnicas automáticas como técnicas más artesanales o manuales, que muchas veces son las que marcan la diferencia y las que te hacen entender el porqué de las cosas, un pentesting no se limita a pulsar un botón y crear un informe, es algo más, y nosotros enseñamos ese algo más.  

Figura 6: Módulos y contenido del BootCamp de Seguridad Ofensiva

6.- Yo llevo tiempo hablando de una asociación de CONs para coordinar actividades y tener mucho más impacto en la sociedad, ¿cómo lo veis vosotros?

M.A: La idea es una pasada. Según leí el articulo empecé a maquinar como sabes ya que te hice llegar nuestro apoyo e interés en participar en esta iniciativa :). Creo que generar esta asociación y uniéndonos todos, crearíamos un proyecto estable, con unos pilares basados en el respeto, conocimiento, buen ambiente y algo muy potente, por lo que, sin duda alguna, desde HbS apoyaremos esta iniciativa siempre.

Rafa: Me parece una idea fantástica, la sociedad en general no es consciente de lo que le rodea, y mientras la ciberseguridad y el hacking siga siendo de “frikis” o visto de esa manera, significa que no estamos haciendo las cosas del todo bien, debemos enseñar a los jóvenes desde chiquititos a proteger sus datos y crearles hábitos tecnológicos sanos, no que piensen que por instalar un antivirus ya está todo resuelto. Todos los eventos que actualmente hay en España son muy solidarios y rápidamente se unen en iniciativas sin esperar nada a cambio, ese es un factor diferenciador en ciberseguridad que, personalmente, no he visto en otros ámbitos; crear una asociación a nivel nacional (o internacional) que vaya enseñando ciberseguridad, y, aunque suene algo raro, evangelizando, es una idea extraordinaria.

7.- Habéis crecido mucho en los últimos años, ¿qué preparáis para el futuro?

Rafa: Trabajar y seguir paso a paso, estamos preparando nuevas formaciones y alguna sorpresilla más muy chula; los que trabajamos en ciberseguridad tenemos un problema, que no nos podemos quedar quietos, pero como es algo que nos gusta, nos lo tomamos con humor.

M.A.: Tal como comenta Rafa, tenemos una serie de formaciones muy potentes y chulas que si todo sigue como es debido, lanzaremos 6 de ellas entre diciembre de este año y enero de 2022 para, a lo largo del primer cuatrimestre, lanzar otras 5 más. Tenemos también el lanzamiento de una nueva plataforma de formación, una metodología en formación nueva, nuevos docentes y alguna sorpresa más. En la parte de servicios uno de los proyectos que lanzaremos será un Centro de Operaciones y una aplicación que tiene Rafa en desarrollo que va a dar mucho de qué hablar… y hasta aquí puedo decir, jajaja.

8.- ¿Qué le recomendaríais a alguien que quiera emprender en ciberseguridad desde vuestra experiencia personal?

M.A.: Paciencia, ilusión, ganas y que nunca nunca pierda de vista su objetivo. Por otro lado, y siguiendo tu consejo, es que sea buena persona, de esta manera atraerá siempre a buenas personas y el proceso y camino será más liviano. Muy importante escuchar siempre al equipo ya que ellos son el motor que empuja y hacen que el barco avance. Debemos aprender a equivocarnos y que nos puedan corregir para que sigamos aprendiendo y mejorando. Todo llega a su debido momento y todas las cosas pasan por algo, por lo que la paciencia, tranquilidad y calma, es clave para poner unos cimientos irrompibles.

Rafa: Si lo que quiere es crear una empresa, y no tiene experiencia empresarial, que se arme de paciencia, que no trate de abarcar todo y que se rodee de buena gente, quizá tardará más en llegar a su objetivo, pero llegará más tranquilo.

Y esta ha sido la entrevista, espero que os haya entretenido conocer la historia del equipo de personas que está detrás de HBSCON y HackBySecurity.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Padrino de la promoción de egresados de Seguridad Informática & Ciberseguridad en la UNIR 2021-2022

He pasado toda mi etapa profesional ligado a la universidad. Creo sinceramente que la relación de formación y trabajo es una manera sana de ir a adquiriendo nuevas competencias y habilidades. Es una cosa que he dicho muchas veces, porque creo que hay cosas que se aprenden haciendo y cosas que se aprenden aprendiendo. Por eso estuve hasta los 38 años estudiando en la Universidad, y por eso sigo asistiendo a formaciones, charlas, conferencias, cursos, como alumno. Porque nunca sabes todo, y cada día, si no te esfuerzas, sabes menos, como contaba en el artículo de Eppur si muove.

Figura 1: Padrino de la promoción de egresados de

Seguridad Informática & Ciberseguridad

en la UNIR, KSchool & EDIX 2021-2022

Yo he hecho formación reglada y formación no reglada. He hecho la Ingeniería Técnica en Informática de Sistemas en la UPM, la Ingeniería Superior, el Máster en Seguridad Informática y el Doctorado en la URJC. Muchos años estudiando en la Universidad los cursos oficiales. Pero también hice cursos de comunicaciones, administración de sistemas, seguridad informática, me saqué certificaciones oficiales de fabricantes, y asistí y asisto a muchas charlas y conferencias, además de leer libros y artículos para intentar mejorar mis carencias, que todavía tengo muchas.

View this post on Instagram

Una publicación compartida de Chema Alonso (@chemaalonso)

Mi vida cerca de la Universidad creo que es algo que quiero seguir manteniendo, y la UNIR tiene un Máster Universitario en Seguridad Informática de 60 ECTS (European Credit Transfer & Accumulation System)  para aquellos que quieren orientar sus estudios de doctorado al mismo área al que yo lo orienté, así que cuando me pidieron que fuera el Padrino de la promoción 2021-2022 para dar el discurso de egresados, no pude decir que no. Han sido muchos años trabajando con y para ellos, desde nuestros días en Informática 64. Algunos compañeros de aquellos años están trabajando allí, y muchos compañeros se formaron también allí. Es una relación bonita de muchos años de las que me gusta mantener a mí.

Figura 3: Máster Universitario en Seguridad Informática con FOCA

Este año, si lo habéis leído en algún sitio, seré yo el que imparta el discurso de egresados. Es siempre una tarea complicada, y solo un año anterior he sido padrino de otra promoción, en este caso de la universidad URJC, donde también tuve la suerte de darles el discurso en ese día tan especial en el que se celebra la consecución del título. Además, ese discurso será, no solo para los alumnos del Máster Universitario en Seguridad Informática de la UNIR, sino también para los alumnos de la misma rama - ciberseguridad - de los otros centros asociados, como son los del Máster en Ciberseguridad de KSchool que se hace en Madrid los fines de semana, y el Master de Formación Profesional en Ciberseguidad de EDIX para los alumnos de FP de Grado Superior.

Como ya he dicho, la relación con la UNIR es larga de años, que yo la recuerdo desde la etapa de Informática 64 cuando comenzamos a trabajar con ellos y ellos eran una "Startup" creciendo en un mundo que se iba a transformar, y que ellos convirtieron en una gran multinacional. Hoy la relación continúa con 0xWord - donde los libros se entregan también como material de apoyo en los Másters de este año -, con MyPublicInbox donde muchos profesores de la UNIR se encuentran en la plataforma, y los alumnos tendrán Tempos, y ahora también con Singularity Hackers, que formará parte de algunas formaciones de la UNIR. Yo, espero que ser el padrino de los chavales de esta promoción y darles el discurso de egresados sea solo el último paso a superar antes de que ellos alcancen su éxito profesional.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Instagram NUNCA, NUNCA te envía Direct Messages (DM): Cómo puedes ver los mensajes oficiales que te envía Instagram

Hace tiempo que os hablé de la estafa de phishing que se hace por Instagram mediante el envío de DM (Direct Messages) o mensajes internos. Volví a insistir hace poco porque un Perfil Público de MyPublicInbox volvió a preguntarme ante la recepción de uno de estos mensajes directos desde una supuesta cuenta de Instagram informándole de una falta por violación de copyright.

Figura 1: Instagram NUNCA, NUNCAte envía Direct Messages (DM).

 Cómo puedes ver los mensajes oficiales que te envía Instagram 

Pero no fue suficiente, como nunca lo es con la concienciación, así que, como he seguido recibiendo preguntas de más gente a través de mi buzón público, hace un par de días grabé un vídeo en TikTok, que también subí a Instagram, para insistir con el mismo tema e intentar que más gente estuviera alerta contra este tipo de ataques.

View this post on Instagram

Una publicación compartida de Chema Alonso (@chemaalonso)

Hoy quería dejaros aquí la información de cómo se pone en contacto contigo Instagram si de verdad quiere comunicarte algo que, como podéis ver en la ayuda oficial de Instagram en la web, lo hace por medio de mensajes de e-mail a tu cuente personal que, y esto es lo más importante, puedes ver dentro de tu cuenta de Instagram.

Figura 3: Cómo te contacta Instagram. Ayuda Oficial.

Para ello, solo debes irte a las opciones de tu cuenta de Instagram en la versión mobile o la versión web y seleccionar la opción de "Correos electrónicos de Instagram". Ahí tendrás todas las comunicaciones que Instagram ha realizado a tu cuenta.

Figura 4: Correos electrónicos de Instagram en tu cuenta

Así que, si recibes un DM de una cuenta que parece que es de Instagram diciéndote que te van a verificar, que te van a quitar el verificado, que te has incumplido la política de copyright con tus contenidos, etcétera, olvídalos. Son todos una estafa. 

Figura 5: Web phishing de Instagram hecha con Shellphish & SocialBox

Y lo mismo si recibes cosas similares en tu correo electrónico provenientes de Instagram. No hagas ningún clic en nada, y vete a tu app de Instagram, entra en la sección de "Correos electrónicos de Instagram" y si no está allí, bórralo que es un phishing. 

Figura 6: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Por supuesto, seguid todas las recomendaciones de protección de tu cuenta, con un Segundo Factor de Autenticación, restringid quién os puede enviar mensajes, y tomad todas las precauciones para evitar los peligros en Internet, pero sobre todo, contadle esto a los amigos y familiares que usen Instagram, que a pesar de que es tan sencillo este ataque, sigue teniendo mucho éxito.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Python: Más allá (aún) de "sólo" hacking, pentesting, IA & Data Science #Python #HackYourCareer

Python cumple nada más y nada menos que 30 años desde el lanzamiento de la versión 0.9 y parece que es ahora cuando más se está escuchando, especialmente en el campo de la inteligencia artificial y la ciencia de datos. Pero, ¿solo podemos aplicar Python dentro de este contexto? ¿Existe algún otro campo donde se pueda utilizar? ¿Tiene algo que hacer frente a otros lenguajes tipo Java, PHP, JavaScript o incluso Lenguaje C?

Figura 1: Python: Más allá (aún) de "sólo" hacking, pentesting, IA & Data Science.

Son muchas las cuestiones que nos abordan referentes a este lenguaje. Si bien es cierto que Python está viviendo una cierta edad de oro con IA y Data Science, este veterano lenguaje no es para nada un recién llegado, ha sabido evolucionar y adaptarse a las exigencias del mundo Tech a lo largo de estos años, y en le mundo de la ciberseguridad, el pentesting y el hacking es uno de los más utilizados por los makers, hackers & researchers.

Figura 2: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

Python es uno de los lenguajes de programación más populares que existen en la actualidad debido principalmente a su aplicación en el campo de la AI y Data Science. Se trata de un lenguaje de propósito general, multiparadigma y de código abierto, aunque en sus orígenes se consideró como lenguaje de scripting, el tiempo lo ha situado en el top de los lenguajes más utilizados por los desarrolladores junto con Java, C#, Javascript y Go. Su versatilidad y facilidad de aprendizaje hacen de Python una buena elección tanto para desarrolladores noveles, así como para técnicos más experimentados.

Figura 3: Guido Van Rossum (ahora trabajando en Microsoft)

El origen de Python se sitúa a finales de la década de los 80. Su creador Guido Van Rossum que por aquel entonces trabajaba en el Centrum Wiskunde & Informatica (CWI) decidió darle continuidad a un proyecto iniciado con el lenguaje de programación ABC del que había formado parte. Van Rossum basó la estructura y sintaxis de Python en este lenguaje y su objetivo era desarrollar una sintaxis fácil de usar y aprender y por supuesto que fuera compatible con el software de la época, más concretamente para el sistema operativo Amoeba. Desde la publicación de la primera versión oficial en 1991 Python ha ido evolucionando, ha sabido adaptarse a las nuevas tecnologías haciendo de este uno de los lenguajes con mayor popularidad entre la comunidad de desarrolladores.

En la actualidad Python sigue ganando cuota de mercado y su tasa de crecimiento ha sido de más del 20% por ciento en el primer semestre del año 2021 tal y como se muestra en El informe semestral State of the Developer Nation de SlashData siendo esta la más alta de todas las grandes comunidades de lenguajes de programación. El gráfico que se muestra a continuación refleja esa tendencia:

Figura 4: Ranking de comunidades por lenguajes de programación

Podemos encontrar soluciones web realizadas con Python. Frameworks para el desarrollo web como Django o Flask permiten de manera fácil la integración de protocolos y reducen el tiempo de desarrollo. Por este motivo aplicaciones tan conocidas como son Instagram y Pinterest optaron por utilizarlo, estando esta última completamente desarrollada con este lenguaje de programación. Cabe mencionar que casi el 100% del código de Dropbox está escrito con Python, siendo utilizado en el cliente Desktop y en los controladores de la aplicación web garantizando que Dropbox funcione perfectamente en cualquier sistema operativo gracias a Python. 

Gracias a a la capacidad de proceso de cálculo de Python cada vez más aplicaciones empresariales optan por incluirlo en su core debido a su capacidad para procesar gran cantidad de cálculos y crear modelos de aprendizaje automático permitiendo incluir en los desarrollos bibliotecas como Keras, Pandas o NumPy. Un ejemplo de este uso es Odoo (antes OpenERP) el cual está desarrollado íntegramente con python 3. Sin ir más lejos, el juego Battlefield 2, aquel juego de batalla en primera persona al que todos nos hemos enganchado en algún momento, está completamente desarrollado con Python, tanto el motor de juego como la parte de las animaciones. La lista es bastante larga, desarrollos como Facebook, Spotify, Netflix, BitTorrent e incluso Google App Engine incluye Python mediante el uso de frameworks para la construcción de sitios escalables y de alto volumen de tráfico o como servicios en gestión de infraestructura en sus proyectos.

Figura 5: Contenidos del BootCamp Online de Backend Python

La versatilidad de Python no se detiene ahí. Cabe destacar el uso de Python en la creación de sistemas operativos, combinado con C, dando como resultado Ubiquity de Ubuntu, Anaconda y Fedora de Red Hat, sistemas operativos hechos con Python y que actualmente se encuentran instalados en gran cantidad de dispositivos. Sin embargo, hemos de ser realistas, Python aún tiene mucho camino que recorrer antes de ser considerada como la mejor opción para el desarrollo de apps móviles o para la su ejecución en un entorno de frontend ya que, debido a las propias características del lenguaje su código se ejecuta de forma más lenta que por ejemplo Java o JavaScript.

Teniendo en cuenta los puntos anteriores, nos ha quedado claro la versatilidad de Python no solo en el ámbito de la inteligencia artificial y data science - que también se mezcla con ciberseguridad como hemos visto en decenas de artículos en este blog - sino que este que puede ser usado para la programación del lado del servidor con total garantía. Su fiabilidad y madurez ha hecho decantarse a empresas como Amazon, Instagram o Netflix por su integración en sus proyectos obteniendo muy buenos resultados formando parte del stack indispensable de todo proyecto.

Figura 6: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández
donde se mezcla Python, con IA y Data Science.

Este veterano lenguaje siempre ha tenido y seguirá teniendo el reconocimiento que se merece dentro de la comunidad tech haciendo que, este proyecto, esté en continua evolución a fin de adaptarse a los nuevos retos tecnológicos. Todo ello unido a la sencillez de su sintaxis, así como una curva de aprendizaje pequeña permite a los desarrolladores junior adquirir gran experiencia en un pequeño período de tiempo está haciendo que la comunidad de desarrolladores Python siga creciendo. Hoy en día incluir Python en los desarrollos es una apuesta segura, donde los profesionales de tecnología no se pueden quedar fuera.

Figura 7: BootCamp Online Backend Python - 20 de Octubre

En el Bootcamp Online Backend Python del que formo parte como docente junto a Manuel S. Lemos, aprenderás Python en un entorno profesional de desarrollo Backend y eso te permitirá explorar numerosas áreas de trabajo: Desarrollo Web, Ciberseguridad, Data Science, Big Data e Inteligencia Artificial. Además, no necesitas experiencia en programación para comenzar. 

Figura 8: Manuel S. Lemos, docente del BootCamp Online Backend Python

El 20 de octubre empieza una nueva edición, 100% Online y con apoyo todas las semanas a través de tutorías grupales. El Bootcamp dura un total de 100 horas pero tienes 24 semanas de acceso a todo el material didáctico. Aquí puedes descargarte el temario completo, y recuerda que tienes Tempos de MyPublicInbox para contactar con los profesionales y material de 0xWord.

Autor: José Marín, Senior Full Stack Developer & Docente en GeeksHubs Academy

Hackerspaces, Hacklabs o Makerspaces: Lugares ser un Maker que aprende haciendo

Hoy vamos a hablar de los Hackerspaces o Hacklabs, que son lugares de reunión disponibles por todo el mundo para Hackers & Makers y que si desconocías su existencia, sin duda, lograrán llamar tu atención en el futuro. Porque un Hacklab o Hackerspace es un lugar en el que prima el aprendizaje cooperativo, un espacio en el que poder desarrollar tus proyectos personales y en el que puedes dar o recibir la ayuda de otras personas que como tú están ahí realizando sus propios proyectos. 

Figura 1: Hackerspaces, Hacklabs o Makerspaces.

Lugares ser un Maker que aprende haciendo 

Estos lugares están pensados para poder desarrollar todo tipo de proyectos enfocados a la tecnología, desde programación o electrónica hasta diseño mecánico o fabricación por aditivos. Es un lugar en el que el desarrollo de los proyectos se puede llevar a todos los niveles.

Figura 2: Hack Manhattan, uno de los Hackerspaces más conocidos.

También ofrece la posibilidad a sus participantes de organizar talleres, cursos o charlas abiertas de diferentes materias como la Impresión 3D, Arduino, Drones, FPGAs, Raspberry Pi, Pi Zero, IoT, soldadura, electrónica, Micro:bit, Rubber Ducky, u otros temas que resulten interesantes a la comunidad Maker. En definitiva, es el lugar ideal para adquirir y compartir conocimientos con tus compañeros en todo tipo de materias. A su vez da la posibilidad de trabajar o llevar a cabo proyectos grupales ya que hay expertos en todo tipo de materias, por ejemplo, puede haber un experto en software, otro en robótica y otro en diseño e Impresión 3D, utilizando el conocimiento de los tres es posible desarrollar proyectos cuanto menos interesantes.

Figura 3: Libros para Makers en 0xWord que deberías tener:

Arduino para Hackes: PoCs & Hacks Just For Fun,

Hacking con Drones: Love is in the air &

Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun.

Otra de las ventajas que ofrece disponer de un espacio así es que ofrece la posibilidad de investigar y cultivar campos que quizás desconocías y que han resultado ser de tu interés. Además, podrás aplicarlos directamente y poner a prueba todo lo aprendido con tus compañeros. Los Hacklabs o Hackerspaces sirven también para desarrollar relaciones con personas de tu zona que no conocías y comparten la misma pasión por la investigación que tú pudiendo llegar a forjar nuevas amistades.

Figura 4: Hackerspace con algunos de sus participantes trabajando en distintos proyectos.

Para entender un poco mas cómo funcionan los Hackerspaces primero debemos conocer su historia. En el año 1998 tras el primer Hackit Hackmeeting realizado en Italia surgió la idea de construir un espacio (equipado con todo lo necesario) dedicado a la tecnología y el aprendizaje accesible a todo el mundo y en el que fuese posible desarrollar todo tipo de proyectos tecnológicos. Esta idea se puso a prueba y se obtuvieron muy buenos resultados por lo que poco a poco este interesante concepto se fue extendiendo por todo el mundo hasta día de hoy que podemos encontrar cerca de 2000 hackerspaces activos a lo largo del mundo.

Figura 5: Hackerspace situado en la zona sur de Londres: South London Makerspace.

En lo que a nivel nacional se refiere en España contamos con 22 de estos espacios dedicados a la investigación. El primero de ellos surgió en Barcelona en el año 2000 y recibió el nombre de Kernel Panic hace 21 años. Kernel Panic fue uno de los pioneros no solo de nuestro país, sino del mundo, no fue hasta 2006 cuando se celebraron en Madrid las jornadas Interhacklabs cuando se tomó la iniciativa de extender este interesante concepto por toda España. Las jornadas Interhacklabs realizaron el mismo papel que el Hacking Hackmeeting en Italia y actuaron como catalizador para el surgimiento de nuevos hacklabs también en varios países de Latinoamérica.

 

Figura 6: Mapa de Fab Labs en todo el mundo en Fablabs.io

En cuanto a “modelo de negocio” los hackerspaces funcionan a través de un programa de suscripciones. A pesar de que sean lugares que promueven el uso de las tecnologías libres para que sean viables hay que cubrir ciertos gastos como el mantenimiento del local y las distintas máquinas que hay en él. De todas formas, el precio de las suscripciones no es nada elevado, dependiendo del país o ciudad los precios oscilan entre los 25 € mensuales en España hasta los 100 USD en el centro de Manhattan.

Figura 7: Membresía del Hackspace de Manhattan

También se ofrecen tarifas reducidas si eres estudiante, desempleado o jubilado. En el caso de España la cuota bajaría a unos 10 € mensuales y en el de Manhattan a 50 dólares. Aunque la diferencia de precio a simple vista pueda parecer abismal es importante tener en cuenta que este depende de diversos factores como la localización del local o el valor de la divisa de cada país. Independientemente estos precios están ajustados para ser accesibles a todo el mundo.

Be a Maker      

Si te han llamado la atención estos lugares y estás interesado en encontrar uno en tu zona desde esta wiki puedes comprobar si hay alguno cercano a donde vives. Desde ella también podrás acceder a la pagina web de cada Hackerspace para ver fotos, la localización exacta o informarte de horarios, que servicios ofrecen y de que herramientas disponen en cada uno de ellos. También tendrás acceso a sus perfiles en las redes sociales para no perderte ninguna novedad y la posibilidad de adquirir tu suscripción si finalmente decides unirte a esta interesante iniciativa.

Saludos,
 

Autor: Sergio Sancho, Security Researcher en Ideas Locas.

Contactar con Sergio Sancho en MyPublicInbox

¡ Feliz 2º Cumpleaños @MyPublicInbox !

Hoy es el 9 de Octubre, el Día Internacional del Correo, y es el día que elegimos para el "Hello World!" de nuestro querido proyecto MyPublicInbox. Han sido dos años apasionantes de emprendimiento donde hemos invertido muchos recursos personales para tener la plataforma funcionando, muchas horas, y mucho cariño para que el servicio crezca y crezca.

Figura 1: ¡ Feliz 2º Cumpleaños @MyPublicInbox ! 

Hemos tenido el apoyo de empresas que nos han apoyado como ESET, GeeksHubs Academy, BeUnicoos, Google, LinkMusic, Microsoft y el programa de MVPs, HackBySecurity, 0xWord - que no solo da Tempos con todos sus libros, sino que permite canjear Tempos en su tienda, TamoVIP, Campus Internacional de Ciberseguridad, y un largo etcétera. Gracias por apoyarnos. Hemos trabajado en crear servicios para los perfiles públicos, y servicios para todos los usuarios de la plataforma, herramientas como el asistente de fortificación de las cuentas de Twitter, las postales mágicas, y la posibilidad de conseguir Tempos por dar apoyos en Twitter a los perfiles públicos, incluso si ya se es un perfil público. 

Pero lo más bonito de todo ha sido el apoyo de los Perfiles Públicos que han confiado en estar con nosotros en la plataforma, con grandes profesionales en diferentes áreas profesionales, como el mundo del cómic, el cine, emprendimiento, business angels, innovación, televisión, el mundo del podcast, la música, el deporte, profesionales de la seguridad informática, el mundo del hacking, y un largo etcétera.

Muchos de ellos, apoyando con sus Tempos a ONGs y Proyectos sociales que se han dado de alta en la plataforma, como la Fundación Inocente, la Fundación OchoTumbao, Wikimedia o el Proyecto Hogar, que van recibiendo los Tempos a media que los perfiles públicos los generan. Tiempo invertido por ellos en apoyar un proyecto social. 

Para todos los que están en la plataforma hemos estado trabajando, para hacerlos más relevantes aún de lo que son en el mundo de Internet, para conseguir que su impacto en la red sea lo más positivo posible, y sus interacciones con los que contactamos con ellos lo más valiosas. Porque al final, lo que más nos importa en MyPublicInbox es que la comunicación sea valiosa para los que nos ponemos en contacto con los perfiles públicos, y para los propios perfiles públicos.

Por eso, que MyPublicInbox haya sido utilizado para llevar más de 12.000 comunicaciones, entre los más de 10.000 usuarios de la plataforma, que haya sido capaz de realizar más de 500 servicios de mejora de impacto a servicios públicos, que hayamos tenido más de 25 campañas con empresas de patrocinio de Tempos, que se hayan dado de alta más de 20 proyectos sociales, y que muchos usuarios se hayan convertido en perfiles públicos para comenzar a tener más relevancia en la red con nosotros, nos hace muy felices.

Por supuesto, sigue siendo aún una startup que está creciendo, y que vamos a seguir mimando. Vamos a seguir poniendo nuestro cariño, esfuerzo y vitalidad en hacer que cada día sirva más y mejor para todos los que confiáis de una forma u otra en ella.

Hoy, que es un día especial, yo voy a reducir el coste en Tempos para comunicarse conmigo con el objetivo de que el quiera hacerlo, pueda hacerlo vía mi perfil en MyPublicInbox este puente sin que tenga que comprar Tempos. Para ello, puede conseguir 300 Tempos gratis con las campañas disponibles de ESET, HackBySecurity y GeeksHubs Academy, más los Tempos que se pueden conseguir gratis en la plataforma apoyando a perfiles públicos en Twitter. Con esas campañas puedes conseguir 300 Tempos y, si quieres, escribirme gratis durante este puente - del 9 al 12 de Octubre -, y yo prometo contestar todo inmediatamente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)