Gracias por acompañarme en 2022

Aún le quedan unas horitas a este año, y seguro que aún me da tiempo a hacer alguna cosa más, pero creo que este año ya se ha ido y ha dado de sí para mí todo lo que tenía que dar. Lo he exprimido. Todo lo que he podido. Ha sido un año de más trabajo que otros, pero he intentado sacar el máximo de cada semana, de cada día, de cada hora. Pero no por llenarlos con cajas en la agenda, sino por que fueran actividades que me apetecían, proyectos profesionales con los que disfruto, momentos con gente que quiera compartir, o en soledad, disfrutando algo que quisiera hacer yo conmigo mismo.

Figura 1: Gracias por acompañarme en 2022

Ahora se cierra el año, y yo, que tengo el demonio cabrón vigilándome siempre, me he puesto a revisar no lo que he hecho para darme palmaditas en la espalda - que debería hacer de vez en cuando -, sino para  ver qué tenía que haber mejor, más, o que se se ha quedado directamente sin hacer. También para ver algunos de los fracasos del año, que son los que más enseñan en la vida. Los errores de 2022. Las cosas dichas que no debía. Las acciones equivocadas que no se pueden deshacer. Las decisiones erróneas que tomé, para ver cuáles puedo corregir y mejorar para el futuro, y cuáles he de asumir y avanzar sobre ellas.

También me han salido muchas cosas bien. Acerté en muchas decisiones. Hice acciones correctas. Fui valiente, peleón, luchador, apreté los dientes, me comí las tripas, gané a muchos juegos, tantos como los que perdí, seguramente. Y saqué muchos de los propósitos que me hice el 1 de Enero de este año. Y todos los principales he de decir que los cumplí, pero como solo yo conozco esa lista, pues para mí se queda.

Eso sí, una de ellas, tenía que ver con este blog. Desde finales del año 2015 donde, en otro momento vital, tomé la decisión de reducir el número de publicaciones en El lado del mal, había comenzado a recuperar mi ritmo de publicación diaria. Poco a poco. Sin llegar a cumplir ningún año el 214 donde publiqué todos los días. Este año quería escribir, al menos, 1 post más que el año anterior. Y casi no llego. Éste de hoy es el número 361 del año.

Y me ha costado, lo confieso.

Pero quería hacerlo porque era una manera de forzarme a mantener mi mente activa. A obligarme a estar al día de toda la revolución tecnológica que se está acelerando. Y me alegro de haberlo hecho. Ha sido un año lleno de avances con la tecnología Web3 y los NTFs, SmartContracts, Oráculos, Ledgers, BlockChain, Criptomonedas, Tokenomics, Fan Tokens, etc... con el Metaverso, los mundos virtuales, los dispositivos de VR, XR, ER, MR, AR, etc... y, por supuesto, la Inteligenica Aritificial, la centrada en servicios cognitivos y la paridad humana, el mundo de Generative-AI y los algoritmos basados en datos masivos como ChatGPT, Stable Diffusion, LaMDA, OpenIA, Midjourney, Dall-e, Copilot, etcétra,  y todo esto, mezclado con Ciberseguridad. Impresionante el año.

Pero como siempre, para ser productivo en la vida, hay que buscar tiempo para las relaciones humanas, para hacer deporte, para disfrutar con fruición de aficiones, como yo con los cómics, y todas las actividades mundanas que hago sin utilizar mi ordenador. Y he de decir que yo alimento mucho esa faceta de mi vida con todas las charlas y conferencias en las que participo, que hacen que salga con las pilas recargadas después de haber estado trabajando intensamente. No importa si estoy cansado, eso me recarga las baterías a tope.

Ver esta publicación en Instagram

Una publicación compartida de Chema Alonso (@chemaalonso)

Así que, aunque 2022 haya tenido cosas malas, cosas no tan buenas, yo me doy por satisfecho con él, y le pongo un lazo, un marco, y a la estantería de los años pasados. Me pongo alguna arruga más en la cara, y tiro para adelante esperando que en 2023 me pasen muchas cosas ( esperemos hacerlas todas buenas). Ya estoy pensando en mis propósitos... bueno, yo no los llamaría "propósitos", para mí son KPIs y OKRs, para el año que viene. 

Pero antes de dar carpetazo al blog en 2022, las últimas palabras son para ti, por venir a estar conmigo a través de El lado del mal cada día. Así que, con ellas, se cierra El lado del mal este año:

Gracias por acompañarme en el 22. Nos vemos en el 23.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

¿Y qué deparará el futuro a Twitter en 2023 tras el convulso 2022?

Como sabéis, y he contado muchas veces, mi relación con Twitter al principio fue de extrañeza. ¿Quién iba a estar contando a todo rato lo que hace en su vida de forma pública en Internet? Pues ya ves. Lo cierto es que Twitter fue migrando en su uso y el microblogging pasó del "What are you doing now?" a "What is happening now?", y muchos nos enamoramos de esta plataforma.

Figura 1: ¿Y qué deparará el futuro a Twitter en 2023 tras el convulso 2022?

Este año, la situación para Twitter ha sido un poco estrambótica. La compra de Elon Musk, los continuos cambios de criterios en Twitter Blue, las Verificaciones, los cambios de volante en la estrategia de la compañía en medio de debates públicos en la red, lo anárquico del contenido bloqueado "porque me molesta a mí", pero el hate speech que a otros si nos molesta más, no, hasta llegar a la famosa encuesta en la que el nuevo boss, preguntó si debía dejar de ser CEO o no, y salió que sí. 

Figura 2: Elon será el CEO hasta que encuentre alguien lo suficientemente

tonto como para aceptar el trabajo. Él se quedará con SW & Servers.

Pero de todo esto, lo que más apesadumbrado me deja es la pérdida de talento. Twitter ha sido una compañía innovadora en su ADN, convirtiéndose en aquella famosa "Plaza Pública" de la que hablamos con el proyecto Public Mind, donde se podía tomar un pulso al debate de la sociedad mundial. Ha sido una empresa en la que hacer que parezca fácil comunicar a tanta gente de manera tan rápida, adaptándose constantemente a lo que demandaba el tiempo real del cambio.

Figura 3: Configurar un NFT como foto de perfil en Twitter

Una empresa donde la creatividad, y las ganas de hacer cosas nuevas estaban en su cultura, y donde se estaban abriendo cada día más al mundo de la Web3, a pesar de las incertidumbres que pueda generar en el futuro a algunos. Incluso han sido de los primeros en hacer sencillo de forma bastante masiva, el uso de NFTs en sus plataformas, siendo firmes en la innovación de la compañía por defecto.

Figura 4: Cómo configurar tu cuenta de Twitter en la Living App de Movistar+ en la televisión

Con ellos yo he tenido la suerte de trabajar en múltiples proyectos, como la integración de Twitter en la estrategia de Second Screen de Movistar Home, o llevar a la televisión directamente el consumo de los vídeos con la Living App de Twitter en Movistar+. Pero también con las integraciones de Tempos por Tweets y Tempos por Followers de MyPublicInbox. Siempre se ha podido trabajar de maravilla con ellos. Ágiles, imaginativos, talentosos. 

Figura 5: Los comentarios en Twitter también los sigues en Movistar Home

Ahora, a falta de un líder creíble que enamore a los ingenieros de más talento y creatividad, sumado a la política de reducción de personal de manera un tanto "caótica", más la inestabilidad que proyecta la compañía, hace que sea difícil para Twitter atraer a los mejores talentos dentro de la compañía.

Y la perdida de talento se acaba notando. 

Para acabar el año aún más tocada, la compañía se enfrenta al robo y venta de los datos de lo que parece que somos más de 400 Millones de usuarios únicos de Twitter, es decir, prácticamente toda la plataforma actual y pasada de la compañía.  No sabemos si esto tiene algo que ver con la salida de Peiter Zapko, Head of Security, de Twitter en Enero de este año 2022 que ya no se nos va, o con la reducción drástica de personal en la compañía, que lleva, lógicamente, a que pueda pasar de todo.

Figura 6: Twitter Detox en OpenExpo Europe 2022

Con toda esta locura, un análisis de la firma Insider Intelligence, pronostica la caída de usuarios de Twitter a partir del año que viene. Según ellos, porque la pérdida de talento matará la innovación, generará problemas que se irán viendo poco a poco, y el "Hate Speech" hará que muchos que no disfrutamos de los abusones o exacerbados en redes sociales que hacen ruido - que nosotros hicimos hasta el Twitter Detox para localizarlos -, vayan poco a poco haciendo Ghosting de la plataforma.

Figura 7: Pronóstico de pérdida de usuarios en Twitter para 2023 y 2024

Yo por ahora me resisto a abandonar Twitter, pero como sabéis me he abierto a Mastondon, y estoy mirando otras redes sociales más orientadas al mundo Web3 puro, con otras políticas, muchas innovación y talento, para ver cómo evoluciona este mundo del microblogging, del What's happpening now?. 

Figura 8: Cuenta de Chema Alonso en Mastodon

Twitter ha sido el sistema nervioso de lo que pasa en Internet durante varios años, y está claro que si esta compañía pierde esa capacidad de adaptarse a los cambios y enamorar a los usuarios para estar conectados, será reemplazada por otra. Yo, a todas las personas de la compañía, les deseo que tengan éxito en mantener su esencia con todos estos cambios. Nos hace falta algo como Twitter.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Aprende Seguridad Informática & Hacking con los VBooks de 0xWord en MyPublicInbox usando tus Tempos

Uno de los proyectos de formación que creamos en 0xWord son los VBOOKs, que son Vídeo-Libros de aprendizaje en técnicas de seguridad informática y hacking, que van explicando y haciendo las demos de los libros más solicitados en la editorial. Estos VBooks que los puedes comprar en la web de 0xWord, también los puedes conseguir y disfrutar desde ya en MyPublicInbox utilizando tus Tempos.

Figura 1: Aprende Seguridad Informática & Hacking con los

VBooks de 0xWord en MyPublicInbox usando tus Tempos

Para ello, en la sección de Convertir tus Tempos encontrarás ahora la opción de VBooks, donde podrás ver que hay disponibles ahora mismo tres cursos en formato de Vídeo-Libro que dedicamos a "Ethical Hacking", a "Ataques en redes de datos IPv4&IPv6" y a "Windows Server 2016: Configuración, Administración y Seguridad". 

Figura 2: Convierte tus Tempos - VBooks

En cualquiera de los tres, si le das a la opción de Detalles, podrás ver el primer capítulo de cada uno de los tres libros totalmente libre, así sabrás la calidad del contenido que tiene el curso.

Figura 3: Detalle del VBook de Ethical Hacking y primer vídeo libre

También podrás ver la lista completa de todos los capítulos y vídeos que forman cada uno de los VBOOKs, que como verás son muchos para que no dejes ningún contenido sin explicación y demostración.

Figura 4: Todos los vídeos del VBook de Ethical Hacking disponibles

Por último, si decides comprarlo con tus Tempos (que ya sabes que tienes formas de ganarlos), basta con que des a comprar el VBOOK.

Figura 5: Confirmación de compra con Tempos

Si tienes Tempos, tendrás ya acceso inmediato a todos los contenidos del curso, sin tener que esperar ningún proceso extra.

Figura 6: Confirmación de Curso en formato VBook Comprado

A partir de ese momento, podrás ir a la sección de Eventos, donde tienes ahora listados los contenidos que tienes disponibles para tu formación en tu cuenta, y ahí podrás ver el contenido del curso tranquilamente, para seguir las explicaciones y las demostraciones.

Figura 7: Aprendiendo a usar Metasploit con Pablo Gonzalez

en este capítulo del VBook de Ethical Hacking.

Si eres una empresa, que tienes formaciones de valor que quieres poner disponibles a través de MyPublicInbox, ponte en contacto con Héctor o Leire directamente desde MyPublicInbox o a través de este formulario para tiendas online y te ayudamos con el proceso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Doctor Embajador Doctor Alonso

[Nota: Esta fue una broma del día de los Santos Inocentes en España, que se celebra el 28 de Diciembre cada año]

Normalmente cuando me hacen una presentación suelen hacerlo como "Chema Alonso". A veces ponen "hacker", a veces incluso "ex-hacker", otras veces dicen que soy el Chief Digital Officer de Telefónica, pero pocas veces me presentan con mi título universitario de Doctor, que con mucho esfuerzo saqué en 2014. Lo cierto es que la culpa es mía, porque no me gusta mucho que lean mi currículo, que cuando uno ya es mayor tiene muchas cosas en el pasado, y yo lo que quiero es tener muchas cosas en el futuro.

Figura 1: Doctor Embajador Doctor Alonso

Esto, a veces me lo han afeado en la comunidad académica universitaria, porque creen que cuando uno se saca el doctorado debe ser presentado como Doctor. Así, cuando doy alguna presentación en la universidad sí que me presentan como el Doctor Alonso, o el Doctor Chema Alonso o el Doctor José María Alonso Cebrián. 

Figura 2: Foto del doctorado de 2014

Y a mí me parece perfecto. Todo lo que he hecho y he estudiado lo hecho con gusto y con orgullo, así que, que me presenten como Doctor me parece bien. Pero si no lo hacen, tampoco me ha importado mucho en el pasado. Pero las formalidades en el mundo académico son las que son. Siempre me ha encantado el momento en el que queda claro que Wolowitz no tiene un doctorado.

Figura 3: Doctor, Doctor... Señor Wolowitz

En el año 2012, la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, donde yo estudié, me nombró Embajador Honorífico, en un acto muy emotivo para mí en el que no me preparé ningún discurso y tuve que improvisar unas palabras en una servilleta, que tenéis aquí.

Figura 4: Embajador Honorífico de EUI-UPM

Además, como me dieron el inmenso honor de nombrarme Doctor Honoris Causa en la Universidad Rey Juan Carlos de Móstoles en 2020, pues más razón para sentirme orgulloso de ello. Ya era Doctor Embajador Doctor. 

Figura 5: Doctor Honoris Causa URJC 2020

Pues bien, mis compañeros de protocolo me han pedido que haga uso de mi título de Doctor Doctor en las presentaciones, así que, a partir de ahora voy a usar como tarjeta de visita esta que me han diseñado mis compañeros de marca, donde utilizaré Doctor Embajador Doctor Alonso como forma de presentación.

Figura 6: Mi nueva tarjeta de visita de Telefónica

A mí me parece un poco raro, pero si he sido El Maligno tantos años, no pasará nada por ser el Doctor Embajador Doctor Alonso un tiempo. Así que, si vienes a una reunión conmigo, pídeme una tarjeta de visita, que te llevarás una del Doctor Embajador Doctor Alonso. Lo que no sé, es qué va a hacer el Doctor Ignacio Cirac con tantos doctorados a sus espaldas...

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Queridos Reyes Magos, quiero formarme para trabajar en ciberseguridad en 2023 [pilas no incluidas]

"Queridos Reyes Magos,

para 2023 quiero aprender bien ciberseguridad, empezando desde cero. Quiero cambiar mi futuro profesional para poder trabajar haciendo fortificación, pentesting, gestionando incidentes de seguridad, o en ciberinteligencia. ¿Me puedes traer una formación que comience desde cero para que pueda cumplir y hacer realidad mi sueño?"

El próximo 30 de Marzo da comienzo la edición del nuevo año 2023 del Máster Online de Fundamentos de Ciberseguridad en el Campus Internacional de Ciberseguridad, donde como os he anunciado hace poco, soy el Mentor del programa de Másters durante este curso. Este Máster de Fundamentos de Ciberseguridad está diseñado para que los alumnos puedan empezar desde cero. Es decir, que no es necesario cumplir ningún requisito previo para realizarlo. Solo tener ganas de aprender mucho y trabajar un programa ambicioso, así que tienes que venir con ganas de aprender mucho y trabajar lo que sea necesario, que las pilas no están incluidas.

Figura 1: Máster en Fundamentos de Ciberseguridad

para comenzar en Ciberseguridad desde cero

El Máster de Fundamentos de Ciberseguridad tiene una estructura muy especial, y un acompañamiento muy cercano, además de contar con muchas actividades y material de formación. En el siguiente vídeo tienes una explicación completa de su funcionamiento.

Figura 2: Descripción del Máster de Fundamentos de Ciberseguridad

Los asistentes tendrán incluidos Tempos de MyPublicInbox para contactar con profesionales de Seguridad Informática o con Hackers en la plataforma, y para contactar conmigo y pedirme consejo o ayuda sobre tu carrera profesional, el programa de Máster o el Trabajo Fin de Máster. Además, hemos creado una sala de chat en MyPublicInbox donde podrás estar en contacto con el equipo de docentes y conmigo en todo momento.

Figura 3: Sala chat en MyPublicInbox conmigo y los profesores

para los alumnos del Máster de  Fundamentos de Ciberseguridad

Tendrán también incluidos un total de 7 libros de 0xWord para formarse al mismo tiempo que asisten a las formaciones, ayudando a cerrar todas las carencias en las diferencias materias que puedan ir apareciendo, lo que ayudará a completar las explicaciones con tiempo de lectura y práctica en casa. 

Figura 4: 7 libros de 0xWord en el Máster de Fundamentos de Ciberseguridad

Y para poder orientar mucho mejor profesionalmente a cada uno de los estudiantes, el Máster de Fundamentos de Ciberseguridad incluye la prueba de Singularity Hackers para poder conocer mejor cuáles son las características, capacidades y habilidades personales de cada uno de los alumnos para poder encaminarle mejor hacia una carrera profesional en ciberseguridad u otra.

Figura 5: Estudio personalizado de Singularity Hackers en

el Máster de Fundamentos de Ciberseguridad

El temario, por supuesto, cubre los Fundamentos de Ciberseguridad que son necesarios conocer para poder trabajar en este campo, donde hay tantas oportunidades laborales hoy en día, y, donde si los alumnos superan los requisitos de aprendizaje, seguro que encontrarán oportunidades de trabajo en este campo de ciberseguridad. En Telefónica tenemos abiertas muchas vacantes en jobs.telefonica.com

Figura 6: Programa del Máster de Fundamentos de Ciberseguridad

Por último, no quiero olvidarme de los profesores de este Máster de Fundamentos de Ciberseguridad, donde está Juanjo Salvador, como director académico y profesor, y los grandes Pablo González, Daniel Echevarri, Eduardo Sánchez e Ivan Portillo. Todos ellos profesionales de este campo y con grandes dotes didácticas. 

Figura 7: Profesores del Máster de Fundamentos de Ciberseguridad

Así que, si quieres comenzar en este mundo de la ciberseguridad desde cero - sin tener que cumplir ningún requisito previo - hemos diseñado esta formación para ti. No será fácil. Tendrás que trabajar mucho. Tendrás que escuchar, estudiar y hacer muchos trabajos, pero el premio al final de este Máster de Fundamentos de Ciberseguridad tiene que valerlo. Así que, ya sabes qué pedir a los Reyes Magos, un regalo que te cambie la vida.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

ChatGPT hace código con SQL Injection, CoPilot mete Security Bugs y los programadores que usan Asistentes AI hacen más "Buggy Code"

Eso es lo que dice el paper publicado el 16 de Diciembre por investigadores de la Universidad de Stanford donde han hecho un experimento muy interesante con programadores para saber si activarles asistentes de Inteligencia Artificial para ayudarles a hacer código - como el caso de Copilot o ChatGPT - y ver después si su código es más o menos inseguro, corrector o incompleto.

Figura 1: ChatGPT hace código con SQL Injection, CoPilot mete Security

Bugs y los programadores que usan Asistentes AI hacen más "buggy code".

El resultado que arroja el artículo académico, titulado "Do users write more insecure code with AI assistants?" es que, a día de hoy, el código es más inseguro cuando los programadores se confían en el asistente de AI y le dejan meter más código, lo que lleva a que haya más bugs. 

Figura 2: Do users write more insecure code with AI assistants?

Probar esto es tan fácil como hacer una prueba con ChatGPT para ver si se come un SQL Injection de libro en un procedimiento en PHP para autenticar una página web, tal y como veis a continuación.

Figura 3: Código PHP con bug de SQL Injection generado por ChatGPT

En el código no ha filtrado ninguno de los datos de entrada que va a introducir en la consulta un bug de SQL Injection, y ha hecho un programa que funciona, pero que no tienen ninguna medida de protección y seguridad del código para evitar SQL Injection. Eso es que no se ha leído aún nuestro libro.

Figura 4: Libro Hacking de Aplicaciones Web: SQL Injection
de Enrique Rando y Chema Alonso

Que Copilot mete bugs, ya lo sabíamos, como vimos en el artículo de nuestro compañero Fran Ramírez donde vimos tres ejemplos en Python de código inseguro, como por ejemplo código para crear un fichero temporal usando funciones inseguras, como en este ejemplo.

Figura 5: Ejemplo inseguro de Copilot para fichero temporal.

Lo que viene a demostrar este paper no es si los asistentes de AI generan "buggy code", que ya sabemos que sí, sino si el usarlos hace que los programadores incrementen el número de bugs, errores, códigos inseguros, etcétera que los programadores que no los usan. Y el resultado es que sí. Que para 5 experimentos, el código seguro generado por programadores que no usaban asistentes AI era del 79% mientras que el de los programadores con asistente AI era del 67%.

Figura 6: Con AI, código más inseguro que sin AI

Por supuesto, cada programador es único, y depende mucho de lo que haga la persona con su código, pero para 5 ejercicios de seguridad, que tienen que ver con cifrar datos, firmas digitalmente, hacer consultas SQL o meter un directorio en un sandbox, el resultado era el anterior. 

Figura 7: Resultado para los ejercicios. Azul con AI, Marrón sin AI

Por supuesto, estamos al inicio del uso de asistentes de AI para programar, pero esto en dos años estará más que evolucionado y llegará un momento donde, probablemente, se alcanzará la Paridad Humana en programar, y entonces ya no habrá vuelta atrás, y programar sin asistentes de AI será una temeridad, pero por ahora, estamos en una fase mucho más temprana, así que cuidado con tu código.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Y de repente... 24 de Diciembre de 2022

Es verdad que tengo muchos recuerdos encima. Muchas cosas que he ido atesorando. Buenas y malas. Felices y tristes. A lo largo de los más de 17.000 días que llevo correteando por encima de esta esfera de agua y tierra ha dado tiempo más que de sobra para pasar por muchas situaciones.  Y para poder enredar en muchas de las cosas en las que me he metido a enredar. A celebrar la consecución de muchas de las cosas que me propuse en su momento conseguir. A consolarme por los fracasos de las que fallé. A pensar muchas nuevas.

Figura 1: Y de repente... 24 de Diciembre de 2022

Este año se me ha pasado volando. Debe ser porque he estado haciendo muchas cosas de esas en las que salto un rato con el pie derecho, otras con el pie izquierdo. Otras con los dos. Capeando también aquellas que te vienen por el camino. Con arte. Con trabajo. Con IJKL, espacio A para disparo, bomba con la Z y salto para el espacio. Y sin darme cuenta he llegado a la mañana de hoy. Me he levantado a las 7:00 a postear en mi blog, y he visto.. que es 24 de Diciembre de 2022. 

"¿Ya?", he pensado primero. "¿Qué posteo?", pensé después. 

Y he acabado en este texto. Me he puesto la música triste, corta venas, de esa que me permite agarrarme a mi bolita azul y disfrutar de ese sentimiento de melancolía que permite que mis recuerdos sigan viviendo y evolucionando en mí. Creando su ecosistema de nuevas vidas y nuevas aventuras dentro de un mundo que solo yo conservo. Y no, no me inspiraba esto 2022. Las cosas de esta año que han sido menos buenas no han ocupado tanto espacio en las horas de mi tiempo despierto o dormido en el viaje desde el 1 de Enero hasta hoy. 

He revisado mi año en Spotify para ver qué ha ocupado el tiempo hasta llegar aquí y veo que hay mucho de esa música que tiene que ver con la que está de moda, incluido ese "reggaeton" que me ponen mis hijas cuando las llevo a patines. Bolita amarilla. Cuando regreso de patines, y las traigo cansadas de regreso suelo tocarle la oreja a Mi Hacker. Acariciársela. Y decirla lo mucho que la quiero. Y luego estiro el brazo para atrás, para que me coja la manita Mi Survivor. Y sonríe porque sabe lo que le voy a decir. Te quiero, bichín. Bolita amarilla. Patines, cumpleaños, competiciones, exhibiciones, deberes, "llévame"'s, y "ayúdame"'s con cosas de deberes han sido muchas de las bolitas amarillas que han marcado el camino hasta el 24 de Diciembre de 2022.

Hacer un resumen ejecutivo para mí mismo - que yo no tengo tiempo para leer correos electrónicos muy largos -, de este año, hay momentos chulos, tensiones que me han dejado comiendo techo muchas noches, charlas con mamá, partidos del mundial con emoción en los penales, amigos en el escenario haciendo música, charlas con cenas de cosas ricas y vino aún más. Ojos que sonríen. Brazos que abrazan. Noches furtivas. Palabras que dan calor. Cafés que reviven. Risas y algo de magia. Disgustos que van a la papelera de reciclaje rápido. Cambios que ponen emoción a la vida y te recuerdan que esto se mueve. Cosas. Buenas y malas que te recuerdan que estás vivo. Que el día que no te pase nada ya no molará nada.

No me puse muchos objetivos a principios de año. No hice grandes planes. Así que los sobre-cumplí, que diría mi KPI. Lo que quería era seguir en el medio del camino, y eso me fue aceptablemente bien. Acerté en cosas. Fallé en otras. Pude haberlo hecho mejor. Pero también pude haberlo hecho peor. Y me premié por ello comprándome cómics de la niñez para volver a ser un X-Man. Monté en monopatín. Y salí a correr con mi amigo Samu cuando pude.  Hice un exceso de tanto en tanto. Y viajé algo. Cené en ciudades de por ahí. Llamé por teléfono a los amigos para ver cómo les iba. 

Así que bien.

Comí hamburguesas de esas que me gustan. También ensaladas. Peleé por los proyectos que creí que hacían bien a mi empresa. Ayudé a los compañeros que pude cuando lo necesitaron. Me enfadé y me frustré. También me alegré y me sorprendí. Puse corazón en lo que hice. También fui perezoso alguna mañana que el cuerpo no me respondió. Fuimos a caminar y ver conejitos aunque hiciera frío. Monté en pedaló con mis hijas. Vi mis series de superhéroes y acabé The Walking Dead. Sigo con The Shield. Lloré viendo películas. Me leí las novelas de mis amigos.  Le di muchos besos y abrazos a mi madre. Disfruté la exposición de figuras de superhéroes de mi brodal. Troleé a mi sobrina. Te llamé a las 7:00 para decirte que había puesto Internet. Conocí a gente nueva. Perdí a seres queridos por el camino. Trabajé en cafeterías. Cosí Madrid con el Maligno-móvil. Tomé vino. Masajes. Recuerdo que lloré por pena. Me acordé de cosas también del pasado. Me dio vertigo ver crecer a Mi Hacker. También inventé alguna cosa. Compré cartas de Pokemon para Mi Survivor. Ya no soy capaz de leer sin gafas...

Así que bien.

Di alguna charla. Escribí lo que quise. Y más aún. Aprendí muchas cosas. También se me olvidaron otras. No soy bueno para las fechas de cumpleaños, así que si no te llamé fue porque soy un despistao. Comí setas que cogió mi brodal por el campo y cocinó mamá. Me junté con la familia. Compré chocolate. Hice mal muchas cosas. Perdí la cartera con toda la documentación. También me olvidé de citas de la agenda. Y de cosas que me dijiste, seguro. Y también sucedió que otras que me dijeron... simplemente las ignoré y me hice el despistao. Conté mi día. Escuché tus consejos, o no. Y los hice caso, o no. Me topé con algún tonto. Y también conocí a gente nueva que me alegró el año. Dije cosas bonitas siempre que pude. Tampoco me callé las malas cuando me hizo falta decirlas. Pero sólo cuando hizo falta decirlas. Comí el cocido de mamá.

Ni tan mal.

Abollé el coche aparcando muchas veces. Y no sufrí por ello. Troleé a mis hijas todo lo que pude. Hice Snowboard. Me emborraché alguna vez sin darme ni cuenta. Otras a conciencia. Me reí mucho. Celebré mi cumpleaños con mucha gente. Tomé frutos secos con cerveza que me encanta. Mejillones picantones. Y comida china. Y algún licor digestivo. Y muchas veces. Me subí al escenario con el gorro. No he visto Wakanda Forever. Ni Avatar 2. Aún. Brindé por ti. No seguí la política. Seguí sin votar. Me levanté a las 5 de la mañana muchas veces. No, no trasnoché mucho este año, que me acuesto pronto. Monté con mi skate. Y me puse mis patines online. Me miré al espejo y muchas veces y dije: "¡Qué guapo!". Y otras tantas dije: "'¡Qué mayor te haces!". Fui a Estados Unidos, a México, a la República Dominicana, y a Kuala Lumpur. Y nada más. Y nada menos.

Como cualquier otro. Amarillo. Azul. Algo de rojo y un poco de verde.

Al final, viví 2022 como uno más. Como tú. Con muchas ganas de hacer muchas cosas. Sin angustias por no poder llegar a lo que no pude llegar. Feliz de haberme caído al suelo y hacerme daño. Triste por lo que me duele. Con esperanza de ver feliz a los que me rodean. Aunque sea a ratitos. Aunque sea a tiro digital. De ayudar a los que puedo. Contento de seguir teniendo ganas de venir aquí a contar cosas. De tener ganas de que los días me machaquen para pasar de un segundo a otro devastado por la intensidad del anterior. De conseguir que pase lo que pase, incluso aunque sean palabras incorrectas, parezca que riman. De que siga consiguiendo que en mi vida lo más importantes sean palabras que aún no escribí. Que el futuro no me dé miedo, aunque tocara ver el final de la serie, viendo el suelo acercarse a tu cabeza, o disfrutando de la visión de cómo el sol ilumina el pico de la montaña mientras caes mirando al cielo por el vacío dese la ladera de la montaña.... Se acabará 2022 con la bolsa de ilusión llena para 2023.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Quantum Computing Cybersecurity Preparedness Act: Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos

El gobierno de Estados Unidos ha decidido aprobar en el congreso la llamada "Quantum Computing Cybersecurity Preparedness Act", que abre el camino de la era de ciberseguridad post-cuántica en la seguridad de la administración de EEUU. Ha sido firmada por el presidente Biden, y en ella se establecen los primeros pasos a tomar para preparar los sistemas criptográficos para la llegada en algún momento en el tiempo, de los ordenadores cuánticos.

Figura 1: Quantum Computing Cybersecurity Preparedness Act

Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos

Mucho se ha hablado de los problemas de ciberseguridad que existirán cuando los ordenadores cuánticos sean una realidad práctica en nuestras vidas, ya que las "complejas" operaciones matemáticas que hoy en día garantizan la confidencialidad de los datos que hoy se cifran con nuestros algoritmos criptográficos, ya no servirán con la existencia de equipos informáticos cuánticos, lo que dejará al descubierto todos los datos que hoy protegemos. Grandes investigadores, como son el Dr. Ignacio Cirac o el Dr. Luciano Bello, que dedican su trabajo al campo de la computación cuántica, llevan años en sus ponencias hablando del impacto que en el mundo de la ciberseguridad.

Figura 2: Quantum Computing Cybersecurity Preparedness Act

En el libro de "El cifrado de las comunicaciones digitales: De la cifra clásica a RSA (2ª Edición)", tienes la base de toda la criptografía clásica y moderna de nuestros sistemas, y con la llegada en el futuro, que sea en la década del 2030, todas esas protecciones caerán, y podríamos tener muchas consecuencias no deseadas. Datos cifrados capturados en transmisiones, copias de archivos con claves olvidadas, volúmenes de almacenamiento con datos confidenciales protegidos, etcétera, se abrirán para todos.

Figura 3: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Hace ya años, en el artículo de Quantum Cryptography, os contaba cómo en Telefónica habíamos utilizado tecnología cuántica para hacer el cifrado de datos, que es otra aproximación válida, ya que se basa en proteger las claves de cifrado compartiéndolas con tecnología cuántica. Una aproximación válida hoy en día, pero que no funcionaría en el futuro si el algoritmo de cifrado no fuera PQE, ya que permitiría al atacante acceder a la información incluso sin clave.

Figura 4: PoC de cifrado cuántico de Telefónica, la UPM y Huawei

Con el objetivo de preparase, se lleva años trabajando en los algoritmos PQE (Post-Quantum Encryption), que utilizan diferentes aproximaciones para evitar el uso de las funciones matemáticas que hoy son útiles, pero con la llegada de los ordenadores cuánticos dejarán de serlo. Y es por ello que se lleva trabajando en la elección de algoritmos criptográficos PQE desde el hace años para que, con tiempo, preparamos la seguridad de la información de nuestros datos, y fueron anunciados en Julio de este año.

Algoritmos de cifrado post-cuántico elegidos por el NIST

Para ello el NIST ha estado trabajando en el programa de Post-Quantum Cryptography Standarization en la elección de cuáles deberían de ser esos algoritmos PQE, que al final fueron cuatro los elegidos. Para el cifrado general, se eligió a Crystals-Kyber como el algoritmo a utilizar para cifrado público.

Figura 5: Algoritmos PQE elegidos por NIST: Cifrado público

Para firma digital, los algoritmos elegidos han sido tres, que son Crystals-Delithium, Falcon y Sphincs+, que están totalmente documentados, y disponibles para que todo el mundo los pueda implementar.

Figura 6: Algoritmos PQE elegidos por NIST: Firma Digital

Ahora, ya que existe una recomendación clara de cuáles son los algoritmos de criptografía post-quantum, lo que ha aprobado el gobierno de EEUU en su Quantum Computing Cybersecurity PreparednessAct es comenzar el proyecto de transformación de todos los algoritmos criptográficos a un modelo PQE, por lo que con el nuevo acto se insta a dos cosas:

Figura 7: Quantum Computing Cybersecurity Preparedness Act

• Establecer cuáles son las guías de transición para migrar a algoritmos PQE para toda la administración.

• En un plazo máximo de 15 meses, se presente la estrategia nacional de ciberseguridad para la era post-quantum. 

Lo que llevará a trabajar en criptografía mirando, y dando por hecho, en breve habremos entrado en una nueva era. No está mal para terminar el año.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Mastodon: Verificación cruzada de web y cuenta con color "verde"

En el artículo de Mastodon: Verificación y "check azul" hablé de las formas de verificar una identidad de Mastodon, y una de las más evidentes es que otro sitio de confianza apunte a tu cuenta de Mastodon. Esto está bien cuando conoces el sitio web asociado a una cuenta de Mastodon, y la mejor forma de conocer esto es que sea en la propia cuenta de Mastodon.

Figura 1: Mastodon: Verificación cruzada de web y cuenta con color "verde"

Y la plataforma de Mastodon tiene una forma de cruzar la verificación de la cuenta y la web de la persona de forma muy sencilla, tal y como apuntaron algunos usuarios en el hilo de Mastodon, así que como es sencillo, os lo dejo por aquí para que lo hagáis vosotros si queréis.

Verificar tu cuenta con una web de confianza cruzada

Al final, lo que sucede es que cuando hay una verificación cruzada, es decir, un enlace publicado en la cuenta de Mastodon que apunta a una web, y en esa web un enlace que apunta a esta cuenta de Mastodon, entonces el enlace se ve en verde, tal y como se ve el de mi blog personal en los metadatos de mi cuenta.

Figura 2: Metadatos con mis URLS en mi cuenta de Mastodon

Para ello, tienes que irte a la configuración de tu perfil, y en la parte de Metadatos introducir la web de la que eres propietario, y en la que vas a tener información de tu cuenta de Mastodon. 

Figura 3: Enlace con rel="me" que funciona como verificación en Mastondon

Después debes ir a tu web, y publicar en la home de ese dominio un enlace a tu cuenta de Mastodon ( y poner com parámetro de la etiqueta "a" el valor rel="me" como ves en la imagen anterior, dentro de tu web. Yo lo tengo en el componente de mi blog que tiene la información de mis cuentas en redes sociales.

Figura 4: Enlace a mi cuenta de Mastodon en el blog de El lado del mal

Esto le indica a tu Mastodon que ese dominio es tuyo, y lo pintará de verde, dejando claro a los visitantes de tu cuenta que el que está en esa cuenta de Mastodon es el dueño de esas webs, como es mi caso con "El lado del mal". Nota de actualización: tienen que ir bajo https:

Figura 5: Ese enlace en verde indica que está verificado de forma cruzada

Como veis es un proceso muy sencillo que sirve para verificar que una cuenta de Mastodon está asociada a una web, lo que puede servir para identificar a una cuenta de forma robusta, sin necesidad de procesos de verificación más complejos y centralizados. Y tienes la seguridad de que esta es mi cuenta. Sencillo, sencillo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)