lunes, octubre 07, 2024

(UN)Expected Connnections: Telefónica Innovation Day - 17 de Octubre de 2024

Hoy lunes os quería dejar el último aviso para que podáis registraros y asistir al Telefónica Innovation Day que tendremos el próximo día 17 de Octubre de 2024 en horario de tarde, y que podrás seguir por Internet y de forma presencial en el Distrito C de Madrid. Es decir, en nuestros queridos "Head Quarters" de Telefónica.
El evento es un evento puro de Innovación y Tecnología. Todo va a girar en torno a ello. A todas las innovaciones que hemos estado haciendo el último año, apoyadas en muchas cosas que hemos ido haciendo en el pasado, porque esto no es un viaje de un año, sino un proceso en el que Telefónica se embarcó desde el nacimiento de la compañía: Innovar para evolucionar a un compañía que sirva mejor a sus clientes.
La sesión tiene una agenda en tres bloques, muy diferenciados. El primero es el café y las demos en la sala adyacente, donde podrás probar y conocer de primera mano soluciones de las que os he ido hablando en el blog durante este año, mas alguna que aún no he contado. Podrás ver y experimentar demos con
Todas las tecnologías, y las novedades, las veremos en la siguiente parte del evento, donde daré, con la ayuda de algún miembro del equipo de Telefónica Innovación Digital, la presentación con todas las novedades y detalles de lo nuevo de este año, y lo que aún no se ha presentado.
Después, una vez acabada la sesión, todos los que asistáis de forma presencial al evento, podréis pasar a la parte de networking, con un vino, algo de comida, y todas las experiencias disponibles para probarlas si no has tenido tiempo.
Además, todos los miembros del equipo estaremos presencialmente en la sala para atender cualquier duda, curiosidad, necesidad, solicitud de contacto o de información que quieras. Que para eso es este día, y el evento presencial.
Así que, si quieres asistir a este día, regístrate cuanto antes. Ya hace unos días que estamos gestionando una lista de espera y una sala de desborde, para dar prioridad a clientes y partners en la sala principal, así que en cuanto te registres comenzaremos a buscarte un hueco para ver cómo conseguimos que puedas asistir a nuestro Telefónica Innovation Day.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, octubre 06, 2024

La tertulia "En casa de Herrero" del 30 de Septiembre

Este lunes que viene volveré a estar a las 17:00 horas en la sección de una hora que se guarda para hacer una tertulia en el programa de Luis Herrero, que como sabéis se llama "En casa de Herrero". Pero antes de que llegue el día de mañana, quiero dejaros por aquí el ratito de la semana pasada, que lo he subido a mi canal de Youtube.
En dicha tertulia, Luis Herrero ha juntado a Luiz EnriquezJosé Luis Garci y a un servidor para que hablemos de lo que vaya saliendo. Así que saldrá mucha música, cine, cómics, libros y tecnología, que son los temas que nos interesan a los que allí nos vamos a juntar los lunes.
El programa lo puedes escuchar en la web, y en las plataformas de podcasts donde se encuentra, pero yo lo he recogido y subido a mi canal de Youtube para que lo podáis escuchar. Para este día me llevé un regalo que me hizo el magnífico Arturo Pérez-Reverte, que ya sabe que yo soy un mitómano, y para hace dos cumpleaños me regaló unas galeradas el "El Problema Final", que guardo con mucho cariño.

Figura 3: La tertulia "En casa de Herrero"

Hablamos de cine, de la serie de El Pingüino, de Los Soprano, de Steve Van Zack, de cine, de Kris Kristofferson, de las Megalópolis de Coppola, de Truman Capote, y lo que fue surgiendo. 

También hablamos un poco de New York, de La NacionalBirdLand y de dónde ver Jazz mientras cenas. Y escribimos a Arturo Pérez-Reverte que nos contestó fuera de programa para confirmarnos que no había visto ni Megalópolis ni El Pingüino... aún.

Y ce cómics, que les llevé al estudio el Cómic Facsimile de Detective Comics #27, donde aparecía la primera historia de Batman. Una joya que os recomiendo a todos que os leáis, y si podéis que lo compréis, que yo lo llevé al estudio.
Si quieres contactar con cualquiera de nosotros, tanto Luis Herrero como José Luis Garci, como Luis Enriquez - y yo por supuesto - tenemos nuestros buzones de MyPublicInbox y vamos a contestar a todos los mensajes que lleguen de la audiencia, así que siéntete libre de contactarnos.  El próximo programa en el que estaré será mañana lunes.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, octubre 05, 2024

Cómo crear una aplicación y protegerse de ciberestafas con el API de SIM Swap

Si eres lector de este blog, seguramente ya habrás leído en más de una ocasión sobre Open Gateway y las enormes posibilidades que ofrece a los desarrolladores. Hoy quiero mostrar cómo crear una aplicación sencilla en Python para comprobar el estado de SIM Swap utilizando las APIs de Open Gateway y aprovechando el Sandbox de Telefónica para hacer pruebas sin riesgo.

Figura 1: Cómo crear una aplicación y protegerse
de ciberestafas con el API de  SIM Swap

¿Qué es SIM Swap?

Vamos a comenzar con una explicación de por qué esto es importante. SIM Swap es un evento de red que ayuda a detectar un tipo de ciberestafa en el que un atacante obtiene un duplicado de la tarjeta SIM de una víctima, mediante un engaño o una portabilidad entre empresas de telecomunicaciones fraudulenta, lo que le permite acceder a su línea de teléfono y recibir tanto llamadas de teléfono como mensajes SMS, lo que le da acceso a los códigos OTP de autenticación de segundo factor (2FA), o incluso realizar llamadas en nombre del usuario. 
Esto facilita el acceso no autorizado a cuentas bancarias, redes sociales u otros servicios sensibles que utilizan el SMS o la llamada como validación de 2FA, además de poder suplantar a la víctima en llamadas de teléfono fraudulentas. 
Con la API de SIM Swap de Open Gateway, podemos verificar si el número de teléfono de un usuario ha sido asociado recientemente a una nueva tarjeta SIM, lo que permite prevenir fraudes de manera más efectiva.

Sandbox de Telefónica Open Gateway

Antes de acceder a los datos reales, es fundamental probar la aplicación en un entorno seguro. Aquí es donde entra en juego el modo mock del Sandbox de Telefónica Open Gateway, un entorno de pruebas que simula el comportamiento real de la API sin comprometer datos de usuarios. Antes de empezar a programar, hay que dirigirse al sandbox para crear la aplicación. Aquí encontraremos las APIs disponibles con las que podemos trabajar, estando actualmente Device Location VerificationDevice StatusNumber Verification y SIM Swap.


Para la demo, se va a hacer uso de la API de SIM Swap. Tras seleccionar esta API y darle al botón de crear aplicación, se encuentra un formulario para rellenar información sobre esta. Desde aquí se puede seleccionar el modo de trabajo (producción o mock), indicar el nombre que se le quiere asignar a la aplicación, la URL de redirección (si es necesario) y una pequeña descripción.

Figura 5: Formulario de creación de aplicación

El siguiente paso es para aceptar los términos y condiciones de uso.

Figura 6: Confirmación de los términos y condiciones

En el último paso se muestra un resumen con toda la información anterior y el botón para confirmar y terminar con creación de la aplicación.

Figura 7: Resumen de la aplicación y confirmación

Ahora, en el apartado de “Mis aplicaciones”, se puede ver la nueva aplicación creada, aunque podría estar pendiente de validación. 

Figura 8: Información de la aplicación creada

Desde aquí se puede conocer el identificador de la aplicación, así como el secreto que será necesario para autenticarse al realizar llamadas a la API.

Ejemplo de aplicación SIM Swap en Python

Para comenzar a crear la aplicación en Python se tienen dos opciones:
  • Revisar la API e implementar todas las llamadas para conseguir la autorización y las llamadas a la API de SIM Swap usando alguna librería como puede ser requests.
  • Hacer uso del SDK que está preparado para trabajar con el sandbox.
Esta última opción es el que se opta por utilizar en este ejemplo para agilizar la creación de la aplicación. Su instalación se puede hacer con pip, indicando el paquete opengateway-sandbox-sdk:

pip install opengateway-sandbox-sdk

Ahora, se crea un nuevo script de Python  y vamos a definir una función que, dado un número de teléfono, cree una instancia de Simswap con los datos de nuestra aplicación (Client ID y Client Secret que se encuentran en la información de nuestra aplicación creada en el sandbox), así como el número de teléfono (en formato E.164) que se desea consultar. 

Se ejecuta la función retrieve_date() para obtener la fecha del último cambio de emparejamiento MSISDN <-> IMSI, o lo que es lo mismo, la última vez que el número de teléfono (MSISDN) fue vinculado a una nueva tarjeta SIM (IMSI).

Figura 9: Función para obtener última fecha de cambio de SIM

Este sería el código más básico para poder hacer uso de SIM Swap a través del SDK. Vamos a ampliar un poco el código para poner validación del número de teléfono y que se pueda pasar un número de teléfono o un fichero con un listado de número a través de parámetros al iniciar el script. Creamos una nueva función que, pasado un número de teléfono, compruebe a través de una expresión regular que cumple con el formato E.164
<->
Figura 10: Función para validar que un
número está en formato internacional
<->
La expresión regular que aparece en re.compile(r"^\+[1-9]\d{9,14}$") está diseñada para validar números de teléfono en formato internacional. Veamos en que consiste cada parte:
  • <->^: Marca el inicio de la cadena, asegurando que no haya caracteres antes del número.
  • <->\+: Busca el símbolo "+" al principio del número, que es obligatorio en los formatos internacionales.
  • <->[1-9]: Busca un dígito entre 1 y 9, lo que impide que el código de país comience con 0 (en números internacionales, los códigos de país nunca empiezan por cero).
  • <->\d{9,14}: Busca entre 9 y 14 dígitos después del código de país, representando el número de teléfono.
    • <->\d significa cualquier dígito (0-9).
    • <->{9,14} especifica que debe haber un mínimo de 9 dígitos y un máximo de 14 después del código de país.
  • <->$: Marca el final de la cadena, asegurando que no haya caracteres adicionales después del número.
En resumen, esta expresión regular valida un número de teléfono internacional que:
  • <->Empieza con un símbolo +.
  • <->Tiene un código de país que comienza con un dígito entre 1 y 9.
  • <->El número de teléfono contiene entre 9 y 14 dígitos después del código de país.
Algunos ejemplo válidos para esto serían: “+34600123456” (España) o “+14155552671” (EE. UU.). Y un par de ejemplos de números no válidos podrían ser: “+0123456789” (el código de país no puede empezar con 0) o “34600123456” (falta el símbolo +).

Figura 11: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

<->Por último, realizamos la creación de una función principal. La función main() se encarga de gestionar los argumentos de la línea de comandos para que el usuario pueda verificar el estado de SIM Swap de uno o varios números de teléfono. Utiliza la librería argparse, que facilita la creación de interfaces de línea de comandos en Python. A través de esta función, el usuario puede proporcionar un número de teléfono individual utilizando la opción -p/--phone, o bien un archivo que contenga varios números de teléfono, uno por línea, con la opción -f/--file.

La función emplea un grupo de argumentos mutuamente excluyentes, lo que significa que el usuario debe elegir entre una de estas dos opciones, pero no ambas al mismo tiempo. Esto simplifica el manejo de los datos y asegura que la herramienta sea flexible pero a la vez fácil de usar. 

Figura 12: Función principal del programa
<->
Cuando se pasa un número de teléfono, este se valida usando la función phone_validator(), y, si todo va bien, se procesa con la función sim_swap(). Si se utiliza un archivo, la función intenta leer los números de teléfono línea por línea, y si encuentra algún error (como que el archivo no exista o no se pueda leer), gestiona las excepciones e informa al usuario. Esta estructura permite que la herramienta sea robusta y manejable, garantizando una buena experiencia de usuario con el manejo de errores y validaciones necesarias para evitar problemas.

Para finalizar se debería realizar la llamada a la función main(), algo que se puede integrar dentro del condicional if __name__ == “__main__": típico de Python. Sólo una cosa más, ¿recuerdas que en la llamada a SIM Swap había que indicar el Client ID y Client Secret? En el código mostrado anteriormente, estos valores aparecían en la función sim_swap() en las constantes CLIENT_ID y CLIENT_SECRET

<->
<->
Figura 13: Recuperando las credenciales desde el entorno
<->
<->Como se trata de valores que contienen información sensible, como buena práctica de programación, se recomienda leerlos del entorno. Para ello se puede hacer uso de la librería python-dotenv y almacenar las credenciales en un archivo .env que contiene las variables del entorno. 

<-> A continuación comparto un vídeo de ejemplo del uso de la API de SIM Swap donde puede apreciarse el código tanto haciendo uso directo de la API, como del SDK.

Figura 14: SIM Swap API vs SDK

Las APIs de Telefónica Open Gateway son una puerta abierta para que los desarrolladores puedan explorar nuevas formas de enriquecer sus aplicaciones con capacidades avanzadas, como el ejemplo visto con la detección de SIM Swap. El acceso a estos servicios no solo refuerza la seguridad de las aplicaciones, sino que también te permite crear experiencias más confiables para los usuarios.


Con el sandbox, tienes a tu disposición un entorno seguro para experimentar, probar e integrar estas funcionalidades en tiempo récord, sin necesidad de comprometer datos reales.  Si buscas llevar tus proyectos al siguiente nivel, esta es tu oportunidad, y puedes comenzar hoy mismo a experimentar con las APIs de Telefónica Open Gateway, explorar todo su potencial y transformar tus ideas en soluciones reales que impacten de forma positiva a miles de usuarios.
<->
<->Developer Hub

<->
Para que empecéis a experimentar, es necesario que os unáis al Developer Hub de Telefónica Open Gateway. La inscripción a este programa no tiene ningún coste, por lo que podréis disfrutar del Sandbox de forma gratuita. En la sección Technical Toolbox del área privada, una vez que os hayáis registrado y logado, encontraréis el acceso y, una vez dentro, lo primero que veréis es nuestro catálogo completo de APIs disponibles en el entorno de pruebas. 

Seleccionad aquella con la que queráis trabajar, añadid la información general de vuestra aplicación y elegid el modo que deseéis, ya sea de producción o mock, para empezar con vuestros desarrollos. Probad vuestros desarrollos con estas APIs para llevarlos al siguiente nivel de seguridad antifraude con OpenGateway.


Y si quieres mantenerte informado con novedades en la iniciativa como más webinars sobre nuestras soluciones, lanzamientos comerciales o nuevas APIs disponibles, suscríbete a nuestra newsletter de Open Gateway.

Saludos y

Happy Coding!

viernes, octubre 04, 2024

Sandbox de Telefónica Open Gateway: Para que pruebes las APIs de OpenGateway en tus servicios digitales

Vosotros sabéis que yo soy un fiel creyente y defensor de que las cosas se hagan y no de que se queden en el terreno de las ideas. Delivery, Delivery, Delivery. Mis compañeros me lo ha oido muchas veces. Esto es especialmente importante para un desarrollador, que puede explotar su creatividad picando código y experimentando distintas alternativas para sus aplicaciones. Por eso, estoy encantado de contaros que el Sandbox de Telefónica Open Gateway ya está disponible para que todos lo uséis y saquéis el mayor provecho a vuestros desarrollos.



Ya os he hablado varias veces esta iniciativa global del sector de las telecomunicaciones, con la que las que las telcos abrimos nuestras capacidades para exponerlas a los desarrolladores a través de APIs estandarizadas y fácilmente programables
Es un proyecto con el que estamos permitiendo el acceso a nuestras redes, para liberar todo el potencial de las capacidades 5G y ponerlo a disposición de los creadores de experiencias de todo el mundo. De esta forma, se podrán crear aplicaciones y servicios innovadores con mayor rapidez gracias a un acceso simplificado a las funciones de red.


El último año de Telefónica Open Gateway ha estado protagonizado por una clara escalada, tanto en número de APIs, países y operadoras, como en la oferta comercial. Las empresas están buscando integrar funcionalidades avanzadas de la red en sus operaciones, para impulsar aspectos como su eficiencia o agilidad. Por ello, la figura del desarrollador se ha puesto en el punto de mira de muchas compañías como el arquitecto de soluciones que puedan satisfacer las necesidades existentes.

Sandbox de Telefónica Open Gateway

Por eso, nuestro equipo de Telefónica Open Gateway ha trabajado para poner a vuestra disposición el Sandbox, un entorno de pruebas diseñado para developers for developers, que ya es una realidad. Cuenta con dos funcionalidades: el Sandbox en modo mock y el Sandbox en modo de producción.


El Sandbox mock de Telefónica Open Gateway es una réplica simulada de nuestro entorno de producción, creada para que podáis realizar pruebas exhaustivas con nuestras APIs sin comprometer datos reales. Este espacio seguro permite asegurar la funcionalidad de integraciones, identificar y corregir errores, y verificar la eficiencia de las aplicaciones antes de lanzarlas al mercado.Podréis probar integraciones con APIs de Telefónica sin afectar a usuarios reales, desarrollar y depurar aplicaciones en un entorno seguro antes de desplegarlas en producción y evaluar el valor añadido de las APIs en diferentes contextos empresariales. 

Actualmente, las APIs disponibles son Device Location Verification, Device Status, Number Verification y SIM Swap. Este Sandbox está aislado y controlado por nosotros, lo que garantiza un entorno seguro para que desarrolléis y probéis aplicaciones. Además, se requiere autenticación OAuth 2.0 para acceder a las APIs, lo que protege vuestras aplicaciones y datos.


El Sandbox de producción cuenta con las mismas características y ventajas que el modo mock. La principal diferencia consiste en que se trata de un entorno de integración real, en el que se busca registrar una aplicación con alguno de los operadores de Telefónica. En este caso, debéis rellenar algunos datos adicionales en nuestro formulario que posteriormente pasarán por un proceso de validación. Actualmente, esta modalidad del Sandbox sólo está disponible para Movistar en España. Pronto se añadirán el resto de las operadoras de otros países, como Vivo en Brasil u O2 en Alemania.


Para que empecéis a experimentar, es necesario que os unáis al Developer Hub de Telefónica Open Gateway. La inscripción a este programa no tiene ningún coste, por lo que podréis disfrutar del Sandbox de forma gratuita. En la sección Technical Toolbox del área privada, una vez que os hayáis registrado y logado, encontraréis el acceso y, una vez dentro, lo primero que veréis es nuestro catálogo completo de APIs disponibles en el entorno de pruebas. 

Seleccionad aquella con la que queráis trabajar, añadid la información general de vuestra aplicación y elegid el modo que deseéis, ya sea de producción o mock, para empezar con vuestros desarrollos. Probad vuestros desarrollos con estas APIs para llevarlos al siguiente nivel de seguridad antifraude con OpenGateway.


Y si quieres mantenerte informado con novedades en la iniciativa como más webinars sobre nuestras soluciones, lanzamientos comerciales o nuevas APIs disponibles, suscríbete a nuestra newsletter de Open Gateway.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, octubre 03, 2024

Reserva tu plaza para la 2ª Edición del Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad

Queda un mes para que dé comienzo la 2ª Edición del  Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad" el próximo 4 de Noviembre de 2024 así que os traigo un recordatorio para que si te gusta este mundo reserves tu plaza cuanto antes, que no hay muchas. La Inteligencia Artificial está produciendo una disrupción en todas las industrias profesionales, y en el caso de la Ciberseguridad es clarísimo su impacto. Los que seguís el lado del mal, mis conferencias o simplemente la actualidad tecnológica, ya sabéis lo importante de la Inteligencia Artificial en la Ciberseguridad, tanto como la utilizan los atacantes como los equipos Blue TeamRed Team o Purple Team en las empresas. 
Como este impacto es tan grande, la Universidad de Deusto con el Doctor Pablo García Bringas (que además fue parte del tribunal de mi tesis doctoral)  y yo hemos diseñado un Programa de Formación de Inteligencia Artificial para Expertos en Ciberseguridad de un mes de duración, que permitiera a Estudiantes de Informática y a Profesionales de ciberseguridad hacer un "Upgrade" al mundo de la Inteligencia Artificial, que fue lo que impartimos en la primera edicion.
La formación tendrá lugar durante el mes de NOVIEMBRE de este año. Sólo hay una edición este curso académico, y las plazas están limitadas. Los módulos que tiene la formación, de un total de 48 horas, están centrados en temas actualizados a día de hoy, que hemos clasificado en:
  • Coding for Hacking & AI
    • AI Tools & Frameworks, Python Models, ML, GAN & GenAI Algorithms
  • Cybersecurty Foundations
    • Offensive & Defensive Security, Bugs, Exploits, Pentest, threats & Red Team Workloads
  • AI Foundations
    • Machine Learning, Deep Learning, RL, Cognitive Services, GANs & GenAI
  • AI for Cybersecurity: Threat Hunting
    • ML & DL for TH, Cognitive Services for CyberSecurity, Biometry, Eye Gazing, Solutions
  • AI for CyberSecurity: DeepFakes
    • APT with DF Tech, Synthetic Humans, Human Biometry, AI for Anti-DF Tech
  • AI for Cybersecurity: Language Models
    • SLM/LLMs for Red Team, Testing, OSINT, Exploiting, Automating
  • Attack & Protect  LLM Apps & Services
    • GenAI Digital Services, RAG Architectures, OWASP Top 10, Jailbreak, Firewalling, Content-Safety
  • Adversarial Attacks on ML
    • ML Attacks, FSGM & FGSM, Open ML Security Project
  • Auditing & Pentesting AI
    • Tools & Frameworks, Explicability, Robustness, Effectiveness
  • Proyecto Final de IA & Ciberseguridad
Como podéis ver, el contenido del Programa de Especialización es una pasada y lleva todo lo más actual de este mundo para hacer un "Boost" de conocimiento en todas las áreas de trabajo en las que confluyen la Inteligencia Artificial y la Ciberseguridad. Para que os hagáis una idea del tipo de cosas que se ven, hace no mucho os publiqué el trabajo "Cómo utilizar GenAI para la detección de bugs en ficheros Web.config usando Ollama" de Fernando Gutiérrez Calderón, uno de los alumnos de la primera edición de este programa.

Todas las clases se harán online por la tarde, pero hay tres actividades presenciales que tendrán lugar en la Universidad de Deusto en Bilbao a la que puedes asistir en presencial u online, y dará comienzo el próximo 4 de NOVIEMBRE.
Como podéis ver, yo estaré en varias actividades, como la presentación de proyectos, haré una conferencia presencial, estaré en la inauguración, y tendré una sesión de Q&A con los alumnos para responder dudas de la formación, o de orientación profesional en este mundo. Además, las clases las tendrás con muchos que seguro que ya conoces de mi equipo de Ideas Locas, y los proyectos, artículos, libros y charlas de los que vamos hablando por este blog.

Como podéis ver están Pablo GonzálezFran RamírezÁlvaro Núñez-RomeroJavier del PinoJavier Álvarez PáramoPablo Saucedo de Miguel y el grandísimo Rafael Troncoso. Todos compañeros de viaje en este mundo de Machine Learning, DeepLearning, AI, GenAI, SecDevOps, Pentesting, Hacking & Ciberseguridad en general.


Como complemento de la formación, además de las clases, la conferencia, la sesión de Q&A, los alumnos recibirán 5.000 Tempos para preguntar a los profesionales a través de MyPublicInbox después de que acabe el curso, y los libros de Ethical Haking y el de Machine Learning & Ciberseguridad de la editorial 0xWord.
También tendrán un Test de Singularity Hackers para tener una evaluación de sus capacidades y compatibilidad con roles profesionales en ciberseguridad, una entrada para poder asistir a OpenExpo Europe 2025. Además los alumnos tendrán la posibilidad de convertir su buzón de MyPublicInbox en un Perfil Público para poder tener mayor visibilidad profesional en Internet.

Registro al Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad"

Y ahora la parte más importante, si quiere registrarte y asistir al programa, tienes muy poco tiempo, así que debes formalizar tu matrícula antes del 1 de Ocubre de 2024, y tienes toda la información de la documentación y el precio en la Web del Programa de Inteligencia Artificial para Expertos en Ciberseguridad de la Universidad de Deusto.
Si eres estudiante de Grado de Informática o de Máster, si estás trabajando en Ciberseguridad, o si has terminado tus estudios de Informática, Telecomunicaciones, Matemáticas, Física o Ingeniería, y quieres dedicarte al mundo de la Ciberseguridad aplicando Inteligencia Artificial, entonces esta es tu oportunidad de formarte en lo último de lo último que estamos viendo hoy en día en nuestro mundo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

miércoles, octubre 02, 2024

The Art of Pentesting: El nuevo libro de 0xWord para formarse como pentester

Siempre que tenemos un nuevo libro en 0xWord es un día feliz. Cuesta mucho sacar adelante este proyecto, y poder decir que hoy tenemos ya a la venta el nuevo ejemplar de "The Art of Pentesting", escrito por Pablo González, que ha escrito como complemento al libro de "Ethical Hacking", que son los primeros que debes leerte antes de profundizar con libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y "Empire: Hacking Avanzado en el Red Team".

Figura 1: "The Art of Pentesting" El nuevo libro de
0xWord para formarse como pentester

El libro, como os he dicho, lo ha escrito el gran Pablo González, que además de escribir ya una buena cantidad de libros como os he dicho antes - además de la novela "Got Root" - es compañero en Telefónica Innovación Digital en el equipo de "Ideas Locas", viejo compañero de Informática64, ElevenPaths, y por supuesto mi WingMan en multitud de proyectos y charlas. Si os digo que es una persona a la que adoro, no os sorprenderá mucho.
Este libro lo ha escrito con mucho cariño, desde cero, comenzando a pensar cómo debería ser formado un pentester hoy en día, como hace con muchos que vienen a su equipo desde hace muchos años, donde dependiendo del nivel que tengan, va poniendo retos profesionales para que crezcan. Ahora ha escrito este libro con todos los nuevos conocimientos que dan los años de experiencia haciendo esto: pentesting.

Figura 3: "The Art of Pentesting" El nuevo libro de
0xWord para formarse como pentester

El libro, que es una lectura perfecta para iniciarse y ponerse a trabajar desde ya en equipos de Red Team, de QA de Seguridad, o para hacer proyectos de Ethical Hacking en consultoras de Ciberseguridad, que tan demandados son hoy en día. 

ssh -p 2929 -i $HOME/.ssh/id_rsa root@database_book
cat /root/book/info 
 
La seguridad ofensiva es una disciplina que permite medir como de eficaces y eficientes son los controles de seguridad que una organización implementa. La necesidad de las organizaciones de integrar seguridad en sus procesos y en sus activos no hace más que crecer, por lo que pruebas como el pentesting y los proyectos de hacking ético son vitales para las empresas y poder tomar decisiones sobre su seguridad. 
 
El libro consta de 5 capítulos en los que el lector recorrerá las diferentes fases del pentesting, siempre con un enfoque práctico. Se detendrá en diferentes escenarios seleccionados con el objetivo de poner a prueba los conceptos y las fases del pentesting. El lector podrá conocer una gran cantidad de técnicas (en las diferentes fases) y aprenderá a utilizar diferentes herramientas que le ayudarán a validar sus conocimientos. 
 
La propuesta es ¡práctica, práctica, práctica! Móntate tu laboratorio virtualizado (o con contenedores) y pon a prueba lo que aprendes con este libro en tu entorno controlado por ti. Interioriza los conceptos y conocimientos para hacerlos tuyos. Enumeración, recopilación de información, escaneo, análisis de vulnerabilidades, explotación, escalada de privilegios, pivoting, movimiento lateral, volcado de credenciales, etcétera. Aquí tienes un libro de consulta en pentesting.

Estas son las palabras con las que Pablo González describe este libro dedicado a una de las cosas que más ama, el pentesting.

Figura 4: Índice del libro "The Art of Pentesting" El nuevo libro de
0xWord para formarse como pentester

Este libro, además, es el complemento perfecto para otra lectura que debes acompañar a esta, que es el libro de "Ethical Hacking", que - como he dicho al principio - son los primeros que debes leerte antes de profundizar con libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y "Empire: Hacking Avanzado en el Red Team".

Así que, si quieres un libro para formarte en pentesting, ya tienes este texto disponible para que te lo puedas comprar, y además, puedes usar tus Tempos de  MyPublicInbox.

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "The Art of Pentesting" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 7: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.


No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.
Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares