Code Talks by Ideas Locas 2024: Cómo usar la API de Latch & Zero-Knowledge Proofs

Comenzamos una nueva edición de nuestros "Code Talks", una serie de vídeos de corta duración de divulgación técnica que comenzamos ya hace más de siete años y que a día de hoy seguimos haciendo para hablar con mucha ilusión de diferentes proyectos y PoCs en los que trabajamos en el día a día en el equipo de innovación, o junto a otros compañeros del área para aprender sobre IA, Hacking, Web3 o Machine Learning.

Figura 1: Code Talks Ideas Locas 2024. Cómo usar la API de Latch

& Zero-Knowledge Proofs

Se acaban de publicar dos Code Talks de esta nueva edición 2024, y hoy os los traigo aquí. El primero de ellos sobre "Cómo usar la API de Latch" que es nuestra plataforma de Second Factor Authorization. En esta ocasión, quiero hacer especial énfasis en el uso directo de la API de Latch, y las ventajas que esto nos puede dar sin necesidad de disponer de un SDK para poder trabajar con ello. 

 Figura 2: Code Talk "Cómo usar el API de Latch"

Desde luego que trabajar con un SDK también aportan sus ventajas, ya que nos proporcionan una capa de abstracción que nos simplifica la interacción con la API, pero también podemos estar perdiendo funcionalidades y no tenemos libertad total para usar la API como queramos.

Figura 3: SDKs disponibles para Latch en la sección de Developer de la web

Los SDKs suelen ir actualizándose según se van desarrollando la API, por lo que van a ir un paso por detrás, y tendremos antes la API disponible que el SDK. Podría darse el caso de que se realizara una actualización de la API que cambiase sus endpoints, y se tendría que esperar a que los SDKs se actualizasen para que estuvieran disponibles para trabajar con la nueva versión de la API.

Figura 4: En la CodeTalk te enseñamos cómo integrar Latch en tus aplicaicones

Además los SDK estarán disponibles para ciertos lenguajes de programación (los que el proveedor o la comunidad Open Source hayan desarrollado) y quizás no se ha liberado un SDK para el lenguaje de programación con el que trabajamos en nuestro día a día o en nuestros proyectos. Sin embargo, haciendo las llamadas a la API directamente podremos adaptar nuestro código, independientemente del lenguaje de programación, para trabajar con ello.

Cómo utilizar la API de Latch

Por último, hay también que destacar que el uso de SDKs podrían afectar al rendimiento de la aplicación, ya que pueden tener dependencias y acceder directamente a la API podría optimizar las solicitudes para obtener el mejor rendimiento posible. 

Figura 5: Registro como desarrollador de Latch en el sitio web de Latch

Como se puede ver, trabajar directamente con la API de los servicios puede ofrecer ciertas ventajas ante trabajar con un SDK. Ambas opciones van a conseguir el mismo objetivo pero, depende del caso de uso, a veces puede ser más conveniente utilizar una en vez de otra.

Figura 6: Documentación de la API de Latch en el área de desarrolladores

Si nos registramos como desarrolladores de Latch tendremos acceso a la documentación de la API donde podemos ver las diferentes funcionalidades disponibles, tanto a nivel de aplicación como a nivel de usuario:

API Aplicación:

• Parear Cuenta
• Desparear Cuenta
• Consultar Estado de la Cuenta
• Modificar Estado de la Cuenta
• Gestionar Operaciones de la Cuenta
• Historial de Usuario
• Gestionar Instancias

API Usuario:

• Gestionar aplicaciones
• Subscripción desarrollador

En este Code Talk encontrarás cómo hacer uso de la API de Latch donde vemos como se realiza el proceso de autenticación para poder usar la API, así como las funcionalidades básicas de parear, consultar el estado, modificar el estado y desparear una aplicación que previamente habremos creado en el Área de desarrolladores de Latch.

Figura 7: Lista de Code Talks con todas las sesiones de Latch

En el pasado, se han realizado diversos Code Talk sobre Latch, cubriendo su uso en diferentes lenguajes de programación como Go, .NET, Java, PHP, GO, etcétera, gracias al uso de los diferentes kit de desarrollo de software (SDKs) disponibles, así como otros usos en proyectos y pruebas de concepto diferentes como WordPress in Paranoid Mode, MicroLatch, Latch’sApp, o el uso de los Webhooks y la distribución de los secretos limitados. Todos estos vídeos los tienes en la web de los CodeTalks, en la lista de Youtube que tiene Chema Alonso en su canal, y que puedes ver arriba.

Zero-Knowledge Proofs: Un Puente hacia la Confianza en Web3

El segundo de los que hemos publicado este años es para adentrarnos un poco más en el mundo Web3, concretamente hablando sobre las pruebas de conocimiento cero, que puedes ver aquí mismo: Zero-Knowledge Proofs: Un Puente hacia la Confianza en Web3, hecho por Luis García Adán.

Figura 8: Zero-Knowledge Proofs: Un Puente hacia la Confianza en Web3por Luis García Adán

Así que no te los pierdas, y nos veremos en el próximo episodio, y recuerda que tienes todas las Codetalks4devs en una sola lista de Youtube, para que las puedas ver seguidas una tras otra. Y si quieres verlas en la tele, recuerda que en la Sección APPS -> Educación y Cultura, tienes la Living App de las CodeTalks by Ideas Locas de tu Movistar+. 

Figura 9: Sección Apps, Educación y Cultura

Solo debes entrar en ella y tendrás acceso a todos los Webinars en formato Codetalk que vamos realizando.

Figura 10: Living App Codetalks by Ideas Locas

Esperamos que disfrutes de esta nueva edición 2024 de nuestros Code Talks y recuerda que cada mes se realizará una nueva publicación, por lo que te recomendamos que permanezcas atento para no perderte una. 

Happy hacking!

Autor: Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

Contactar con Álvaro Núñez-Romero

Cursos y consejos sobre ciberseguridad en la Living App de Hack by Security en Movistar+

Como os adelanté que iba a suceder, el pasado 18 de Abril estrenamos la nueva versión de la Living App de HackBySecurity con nuevos contenidos. En la Living App de Hack by Security que tenéis en la sección Apps de Movistar+ (si tienes el descodificador UHD 4K) podéis encontrar cursos sobre hacking y ciberseguridad y conocer las últimas tendencias, cursos o los eventos más destacados. Podéis aprender los conceptos básicos de ciberseguridad para entender los riesgos a los que nos enfrentamos cada día y tomar medidas para proteger vuestra información personal.

Figura 1: Cursos y consejos sobre ciberseguridad en la

Living App de Hack by Security en Movistar+

Desde las nociones básicas para crear una contraseña segura (no, la fecha de tu cumpleaños no lo es), comprender los peligros del phishing o la importancia de actualizar nuestros dispositivos cuando lo notifican, hay un sinfín de consejos para navegar en casa o en cualquier sitio de una forma segura. Por eso la ciberseguridad es para todos y esta Living App también. Ya no es solo un término exclusivo para aquellos que nos dediquemos al mundo de la informática, la seguridad o la programación.

Figura 2: Calle Destacados de la Living App de Hack by Security

El equipo de Hack by Security son expertos dedicados a mejorar la protección de las empresas, robustecer las barreras digitales y ofrecer soluciones personalizadas a cada cliente. La Living App de Hack by Security lleva todos estas medidas y consejos a vuestras casas para que podáis proteger vuestra conectividad y la de vuestra familia de posibles fraudes.

Living App de Hack by Security: cursos, eventos, consejos y mucho más

En la Living App de Hack by Security vais a encontrar una gran cantidad de recursos diseñados para que aprendáis sobre ciberseguridad de una forma fácil y sencilla. Nada de códigos ni programación, con conceptos sencillos vais a poder mejorar vuestra seguridad en internet.

Ciberseguridad

La sección de "Ciberseguridad" incluye cuatro categorías compuestas por vídeos breves que os introducen al mundo de la seguridad digital.

Figura 3: Apartado Ciberseguridad de la Living App de Hack by Security

• En el apartado "Ciberseguridad en el teletrabajo" vemos algunos consejos sobre los peligros derivados de trabajar con programas piratas, como posibles sanciones económicas o robo de datos personales.

• En "Ciberseguridad en redes sociales" se aborda uno de los temas más actuales de la sociedad por la filtración de datos que se dan. Aquí podéis aprender a cómo proteger vuestros perfiles, detectar contenido generado por Inteligencia Artificial (IA), las llamadas Fake News, o los peligros que acechan a los usuarios como son el phishing o el catfish.

Concienciación

En el apartado "Concienciación" el contenido de la Living App de Hack By Security aborda diferentes temas en torno a las redes sociales que más se usan: Facebook, Instagram, Twitter (X) y LinkedIn. 

Figura 4: Contactar con Rafa García de HackBySecurity

Aquí podréis aprender a proteger vuestra cuenta para evitar el robo de identidad, o a recuperar vuestra contraseña si se te ha olvidado de una forma totalmente segura.

   
Entretenimiento

El último bloque es el de "Entretenimiento" que incluye entrevistas y eventos relacionados con el sector de la ciberseguridad.

Figura 5: Apartado "Entrevista" de la Living App de Hack by Security

• Sobre las entrevistas, si estáis familiarizados con el mundo hacker conoceréis más que de sobra las aventuras de Kevin Mitnick, el que para algunos es el mayor hacker de la historia. Aquí podréis escucharle hablar de algunas de sus hazañas.

• También podréis verme a mí para contaros algunas de mis experiencias y dar algunos consejos sobre ciberseguridad.

Figura 6: Daniel Echeverri Montoya a.k.a. "Adastra", poente de AsturCONTech

• Por último, el en apartado de eventos, podéis seguir las ponencias de expertos en ciberseguridad como Daniel Echeverri, autor de los libros de Python para Pentesters, Hacking con Python, y el libro de DeepWeb: Privacidad y Anonimato en TOR, I2P y FreeNET,  en el HBSCON, Érica Aguado en el AsturCON o algunas de las charlas que he dado en diferentes congresos.

Figura 7: Contactar con Érica Aguado

Aprende desde Movistar Plus+

Como veis, la Living App de Hack by Security tiene mucho que ofreceros en materia de seguridad cibernética. Además, próximamente se añadirán contenidos muy chulos sobre IA. Como ya os he contado en otras ocasiones, también puedes aprender mucho más desde las diferentes Living Apps de Movistar Plus+. 

Figura 8: Contactar con Miguel Ángel Martín de HackBySecurity

En EnlightED hay vídeos de expertos en educación, tecnología e innovación que comparten sus conclusiones sobre diferentes temas relacionados con la educación digital. Y no todo es tecnología en las Living Apps. En la sección "Educación y Cultura" también puedes aprender en familia sobre los misterios del universo con Amautas, formarte en las habilidades profesionales más demandadas en LinkedIn Learning o saber más sobre los personajes más históricos en la Living App de la Real Academia de la Historia.

Figura 9: Living App de la Real Academia de la Historia

Para acceder a todo el catálogo de Living Apps necesitas un Descodificador UHD. Tan solo tienes que hacer clic en el botón “+” de tu Mando Vocal o navegar hasta la sección "Apps" situado a la izquierda del menú de Movistar Plus+.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

RootedCON 2024: Tus Tempos de MyPublicInbox y tus entradas para OpenExpo Europe 2024

Ya hemos cargado los primeros lotes de 100 Tempos para los casi 1.000 registrados a la RootedCON 2024 dentro de MyPublicInbox, así que si estás entre ellos, recibirás (o habrás recibido ya), los Tempos  de MyPublicInbox, y la entrada de OpenExpo Europe 2024, que te entregan por haber asistido a esta edición de la CON más grande de España.

Figura 1: RootedCON 2024 - Tus Tempos de MyPublicInbox

y tus entradas para OpenExpo Europe 2024

Para recibirlos no tienes más que tener cuenta en MyPublicInbox, con el mismo correo electrónico con el que te registraste en RootedCON 2024. La plataforma te cargará 100 Tempos si la cuenta la tienes ya creada, y si no, cuando la crees, los recibirás. Y lo mismo pasará con tu entrada para OpenExpo Europe 2024.

Figura 2: El mensaje de Leire avisando a Román Ramírez que

ha recibido sus 100 Tempos por asistir a la RootedCON 2024.

Si no tienes cuenta en MyPublicInbox, pero te la sacas con el mismo correo electrónico con el que te registraste, entonces verás que nada más crear la cuenta se te cargarán los 100 Tempos. Y de igual manera con tu entrada para OpenExpo Europe 2024.

Figura 3: OpenExpo Europe 2024: The Power of GenAI.

Recibirás también tu entrada vía MyPublicInbox.

El sistema que utilizamos es un cruzado de hashes no reversibles, para garantizar la privacidad de los datos, donde se comparan hashes, y cuando hay "match", se asignan Tempos y entradas de OpenExpo Europe 2024.

Figura 4: RootedCON 2024 Portugal

Además, tengo que dejaros info de la próxima RootedCON 2024 Portugal, que va a tener lugar en el mes de Mayo, así que si quieres continuar con la experiencia de la CON en el país vecino, te puedes organizar unos días disfrutando del buen clima, el hacking, y el buen comer en Portugal.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Mañana es el UNIR Innovation Day Miami 2024 Presencial & Online: Ciberseguridad & IA + Sport Tech. Mételo en la agenda

Mañana 25 de Abril estaremos Iker Casillas y yo en la Universidad UNIR de Miami con un evento de jornada de mañana centrada en tecnología, donde hablaremos de Ciberseguridad e IA, y de SportTech con el acuerdo que tenemos entre Wayra y SportBoost para invertir en Startup Tecnológicas en este área.

Figura 1: UNIR Innovation Day Miami 2024: Ciberseguridad & IA

+ Sport Tech (25 de Abril). Presencial & Online

La sesión tendrá lugar en Miami, así que si estás en Estados Unidos por esa zona, estás más que invitado a pasarte. El programa del evento, es el siguiente, donde como podéis ver tendremos un debate al final, en el que se podrán hacer preguntas a los ponentes del panel, y antes habrá dos charlas de ciberseguridad, IA, y la seguridad y protección del tiempo con MyPublicInbox.

Figura 2: Programa del Miami Innovation Day

Si quieres asistir a este evento de forma PRESENCIAL en Miami, y estar con Iker Casillas y conmigo allí, debes registrarte antes a través de este enlace. Estaremos en la Universidad UNIR de Miami, así que te esperamos por allí. El espacio está limitado, porque el auditorio no es muy grande, así que más vale que te des prisa en registrarte.

Figura 3: UNIR Innovation Day Miami 2024: PRESENCIAL

Si no puedes venir presencialmente, pero quieres asistir ONLINE, entonces debes registrarte a través de este otro enlace, y aunque no estarás con nosotros, sí que podrás hacer preguntas y participar de todas las charlas en directo.

Figura 4: UNIR Innovation Day Miami 2024: ONLINE

Por último, para todos los asistentes al evento - tanto presencial como Online -, la UNIR entregará 500 Tempos de MyPublicInbox para que puedas utilizarlos en la plataforma y tener comunicación con Iker Casillas, conmigo, o con cualquier otro perfil público de la plataforma.

Figura 5: Buzón Público de Iker Casillas en MyPublicInbox

Si estás por la zona de Miami, y tienes ganas de venir a vernos, mañana es una oportunidad fantástica para que vengas a conocernos, que Iker Casillas y yo no damos muchos eventos presenciales por la zona, y que se dé esta situación otra vez, va a ser difícil. Y si te gusta el contenido y no estás por la zona, pues presencial es tu opción.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Día del libro en @0xWord: Cupón 10% descuento DIALIBRO2024" por el #Diadellibro2024

Como todos los años, desde 0xWord nos sumamos a celebrar el Día del Libro, así que desde ya mismo, hasta el 28 de Abril a las doce de la noche, podrás conseguir todos los productos de la tienda de 0xWord con un 10% de descuento utilizando el código: DIALIBRO2024.

Figura 1: Día del libro en 0xWord: Cupón 10% descuento

DIALIBRO2024" por el #Diadellibro2024

El código descuento, que estará activo hasta las 23:59 del domingo 28 de Abril es DIALIBRO2024, así que si lo utilizas tendrás un descuento del 10% en todo el material de 0xWord en la tienda. Incluido el material de Cálico Electrónico, los Packs Oferta, los VBOOKs, los cómics de EVIL:ONE en 0xWord Comics, las novelas en 0xWord Pocket o los nuevos de 0xWord Brain.

Figura 2: Compra tus libros de Hacking en 0xWord

Pero además, tienes formas de incrementar los descuentos de 0xWord, utilizando tus Tempos de MyPublicInbox, que puedes usar de dos formas diferentes. Enviando Tempos a 0xWord y consiguiendo un descuento extra o canjeando un código descuento de 0xWord por Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 3: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 4: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 5: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 6: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los descuentos de las ofertas, entre el código de descuento DIALIBRO2024 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Un Programa de Formación para usar Inteligencia Artificial en Seguridad Ofensiva & Seguridad Defensiva

La verdad es que diseñando el Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad" que vamos a impartir en el Mes de MAYO ONLINE con la Universidad de Deusto me lo pasé muy, muy, muy bien. Y esto no es nada más que por la infinidad de cosas que permite la Inteligencia Artificial para hacer muchas cosas que hemos venido haciendo en los últimos veinte años en el mundo de la Seguridad Ofensiva y la Seguridad Defensiva, pero para hacerlo de una manera mucho más espectacular y rápido.

Figura 1: Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad"

En la formación que hemos diseñado, hemos metido una sección solo dedicada a las DeepFakes, a cómo crearlas, cómo usarlas en ejercicios del Red Team, como analizarlas, cómo detectarlas y todo con la Inteligencia Artificial en el centro. Crear Ataques de CEO, usar algoritmos de DeepFake Detection, analizar la voz, la imagen, el sentimiento de una Deepfake en su cara, en lo que dice, en el tono de la voz de cómo lo dice. Parece que estamos viviendo en un mundo de ciencia-ficción, pero es nuestro día a día.

Figura 3: Pablo García Bringas, Vicedecano de relaciones externas

de la Facultad de Ingeniería de la Universidad de Deusto

También, con la llegada de los LLMs usarlos como punto vulnerable de ataques a plataformas y servicios creados sobre ellos, haciendo ataques de Prompt Injection, o viendo sus alucinaciones, cómo hacerles Jailbreak, o mejor, ponerlos de nuestro lado, y usarlos para crear scripts de ataque, para hacer ataques sofisticados de Spear-Phishing, para que nos ayuden a saltarnos captchas cognitivos, o directamente a hacer pentesting usando LLMs creados específicamente para esta función, o los que te personalices tú. Los módulos que tiene la formación que hemos imaginado, de un total de 48 horas, están centrados en todos ellos, actualizados a día de hoy, que hemos clasificado en:

• Coding for Hacking & AI
• AI Tools & Frameworks, Python Models, ML, GAN & GenAI Algorithms
• Cybersecurty Foundations
• Offensive & Defensive Security, Bugs, Exploits, Pentest, threats & Red Team Workloads
• AI Foundations
• Machine Learning, Deep Learning, RL, Cognitive Services, GANs & GenAI
• AI for Cybersecurity: Threat Hunting
• ML & DL for TH, Cognitive Services for CyberSecurity, Biometry, Eye Gazing, Solutions
• AI for CyberSecurity: DeepFakes
• APT with DF Tech, Synthetic Humans, Human Biometry, AI for Anti-DF Tech
• AI for Cybersecurity: Language Models
• SLM/LLMs for Red Team, Testing, OSINT, Exploiting, Automating
• Attack & Protect  LLM Apps & Services
• GenAI Digital Services, RAG Architectures, OWASP Top 10, Jailbreak, Firewalling, Content-Safety
• Adversarial Attacks on ML
• ML Attacks, FSGM & FGSM, Open ML Security Project
• Auditing & Pentesting AI
• Tools & Frameworks, Explicability, Robustness, Effectiveness
• Proyecto Final de IA & Ciberseguridad

Y es que ese mes pensamos jugar, y hacer que los asistentes salgan de allí con ganas de probar todo, de jugar con algoritmos de Machine Learning, que le pierdan el miedo a las Redes Neuronales, al uso de los Modelos de Difusión, a la creación de plataformas automatizadas con GenAI. Como hacemos nosotros en el equipo de Ideas Locas, donde los últimos años casi todo lo que hemos hecho ha sido así. Como la campaña de creación de polémicas en Twitter, el proyecto Newsbender de creación de propaganda política con portales basados en GenAI, nuestro DeepFake Detector o los algoritmos basados en Cognitive Services para hacer servicios de ciberseguridad.

Figura 3: Material del programa de IA para Expertos en Ciberseguridad 

Además, por primera vez en mucho tiempo, todos estos algoritmos, todos estos repositorios de datos, herramientas de entrenamiento y frameworks están al alcance de cualquiera en su casa, con un ordenador, y una conexión a Internet, por lo que cualquiera puede probar cosas nuevas, evolucionar lo que ya existe, y darle una vuelta de tuerca para crear algo diferente, nuevo, mejor o simplemente aplicado a otro lugar que no se pensó al principio.

Figura 4: Profesores del programa de IA para Expertos en Ciberseguridad 

Así que, si te apuntas al  Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad" te recomiendo que vengas con ganas de jugar, con la mente abierta para explorar cosas, para que luego tú enredes, aportes, practiques, y nos traigas cosas nuevas. Nunca me ha gustado que el aprendizaje sea unidireccional, y con mi equipo de Ideas Locas nuestra forma de trabajar es un Back&Forth constante, les pido cosas, me las devuelven evolucionadas, se las cambio otra vez y le damos otra vuelta de tuerca. Y ese es el espíritu que buscamos en este programa. Todas las clases se harán online por la tarde, pero hay tres actividades presenciales que tendrán lugar en la Universidad de Deusto en Bilbao a la que puedes asistir en presencial u online, y dará comienzo el próximo 6 de MAYO.

Figura 5: Cronograma del programa de IA para Expertos en Ciberseguridad

Si quiere registrarte y asistir al programa, tienes muy poco tiempo, así que debes formalizar tu matrícula antes del 30 de Abril de 2024, y tienes toda la información de la documentación y el precio en la Web del Programa de Inteligencia Artificial para Expertos en Ciberseguridad de la Universidad de Deusto.

Figura 6: Registro al Programa de Especialización "Inteligencia

Artificial para Expertos en Ciberseguridad"

Si eres estudiante de Grado de Informática o de Máster, si estás trabajando en Ciberseguridad, o si has terminado tus estudios de Informática, Telecomunicaciones, Matemáticas, Física o Ingeniería, y quieres dedicarte al mundo de la Ciberseguridad aplicando Inteligencia Artificial, entonces esta es tu oportunidad de formarte en lo último de lo último que estamos viendo hoy en día en nuestro mundo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tu cuenta de MyPublicInbox con AppleID

Durante este tiempo, los compañeros del equipo han estado trabajando para tener la plataforma de MyPublicInbox más adaptada a los usuarios de Apple que tengan iPhone, iPad, o MacOS en su día a día de trabajo. Han estado haciendo una versión WebApp de MyPublicInbox para iOS especial, que tenga validada la UX en este sistema operativo, y ahora han añadido la posibilidad de crearse una cuenta con AppleID, y utilizarla para iniciar sesión de forma mucho más transparente.

Figura 1: Tu cuenta de MyPublicInbox con AppleID

Cuando se crea una cuenta con AppleID, el "Proveedor de Indentidad" (Identity Provider o IdP) es Apple, y eso quiere decir que él es que autentica usuarios y contraseñas, por lo que en el proveedor de identidad de MyPublicInbox no hay ningún dato de usuarios y contraseñas de esos usuarios.

Figura 2: Ahora puedes crear e iniciar sesión en MyPublicInbox

con Linkedin, GoogleID y AppleID

Cuando se crea una cuenta, o se hace login, o se recupera una contraseña, es Apple quién gestiona todos esos procesos, limitándose MyPublicInbox a preguntar si ese usuario está autenticado o no, y si le tiene que dar acceso o no a la plataforma con esa cuenta. Lo mismo que sucede si creas tu cuenta e inicias sesión co LinkedIn o GoogleID.

Figura 3: Cuando inicias sesión en MyPublicInbox con AppleID,

es Apple quién te autentica y valida tu sesión.

Por debajo todo está funcionando con Tokens OAuth de autenticación y autorización, por lo que para el usuario del ecosistema Apple es una vida más sencilla, y una forma más cómoda de gestionar su identidad al no tener que preocuparse de nuevas credenciales para MyPublicInbox.

Figura 4: Correo electrónico y configuración en WebApp iOS de MyPublicInbox

Además, como ya os he dicho, hemos hecho la WebApp de iOS para usuarios de iOS, que permite tener como una App más del sistema la cuenta de MyPublicInbox y con un clic en ella acceder a todos los servicios. Tienes en este artículo "Cómo configurar la WebApp de MyPublicInbox en iPhone & iPad". 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo crear una Campaña de Polémica en Twitter ( X ) con ChatGPT y una botnet de cuentas controladas #Tistimito

El pasado jueves, fui con Carmen Porter e Iker Jiménez al programa a Horizonte a explicar algo que para los que trabajamos en la industria de la ciberseguridad, la reputación online, o la protección de marcas personales y profesionales en las redes, conocemos desde que comenzaron las redes sociales, y que no es nada más que las guerras de opinión de los bots en dichas plataformas sociales y cualquier otro servicio de Internet, para conseguir meter presión a una persona o una empresa y conseguir un objetivo.

Figura 1: Cómo crear una Campaña de Polémica en Twitter ( X )

con ChatGPT y una botnet de cuentas controladas #Tistimito

La idea es tan sencilla como controlar un gran número de cuentas en una plataforma, ya sea Twitter (X), Instagram, Google (para darse de alta con la cuenta de Google en todas ellas o poner comentarios en cualquier lugar), Facebook, o "elige-tú-la-plataforma-o-red-donde-quieres-montar-tu-campaña", y después hacer automáticamente con un panel de control que estas cuentas hagan masivamente cosas.  Esto lo hemos visto para hacer muchas cosas malas, como el BlackSEO, o campañas de BlackASO, y por supuesto para generación de "Flames" en redes sociales.

Figura 2: "Ciberestafas: La historia de nunca acabar" por Juan Carlos Galindo en 0xWord.

Los profesionales de la reputación online conocen bien cómo funcionan estas redes de cuentas controladas se utilizan para hacer campañas de apoyo positivo, o campañas negativas, y en el mundo de las ciberestafas es una pieza fundamental para conseguir dar realismo a los engaños que se presentan a sus víctimas.

Figura 3: Comentarios falsos publicados por cuentas controladas en Youtube para

promocionar el contacto de Linda y estafar vía WhatsApp o Telegram

El funcionamiento es sencillo. Un panel de control C&C con el que se controlan las cuentas y se les dan órdenes como una Botnet que son. Estas cuentas son las que realizarán las acciones en la plataforma que sea, ya sea comentarios en Youtube - como en el ejemplo que os dejé de "Linda Fake Broker" -, o en Posts de Twitter (X), o en comentarios de una App en AppStore o Google Play para hacer una campaña de  BlackASO, o lo que quieras.

NewsBender: Crea tu polémica en Twitter X

     

Para controlar esa cuentas, pues primero hay que tenerlas creadas - ya sea por el dueño del C&C o por una persona real -, y luego controladas. Para manejar esas cuentas, es decir, para tenerlas "control"-"adas", se necesitan o bien las credenciales, o simplemente un Token OAuth. En ambos casos, puede ser controlado legítimamente, por mediante un robo de credenciales o Tokens OAuth, usando muchas de las técnicas que os he contado en no pocas ocasiones, como nuestro Sappo.

Figura 5: Herramienta para Crear Polémicas en Twitter X

En el caso de Twitter (X), que fue lo que preparamos para el programa de Horizonte, nosotros hicimos una herramienta que hacía justo eso, pero para que fuera más fácil y más entendible para las personas, utilizamos ChatGPT, en este caso GPT3.5, para que él mismo nos creara los mensajes, con un porcentaje de mensajes positivos, otro porcentaje negativos. De esto había hablado cuando hablamos de Codeproject: Newsbender para crear noticias automáticas en diarios digitales con ideologías políticas.

En nuestro caso, para la herramienta, permitimos elegir un tema, poner a quién le quieres hacer la campaña positiva, negativa, muy positiva o muy negativa, cuántos mensajes necesitas que te genere ChatGPT, y luego los publicas en las cuentas de Twitter (X) que tenemos en nuestro C&C. Para esta demo lo quisimos hacer solo con 20 cuentas de Twitter (X) que creamos especialmente para esta ocasión, y que habíamos perfilado un poco, con fotos de perfil, con mensajes, con followers y un poco de historial de interacciones.

Figura 6: Mensajes creados por la herramienta asignados a cuentas de Twitter de prueba

Luego, creamos un panel de control desde dónde se configura el tipo de Prompting - puedes verlo en la Figura 5 - que quieres hacer a ChatGPT para que las campañas sean a favor o en contra, y el nivel de intensidad. Dejando que los mensajes sean más o menos duros cuando los cree el modelo GPT. Además, la herramienta permite añadir Hashtags o generarlos automáticamente el modelo, para dar libertad de expresión al modelo o para tener una etiqueta que seguir a la hora de analizar el impacto de la campaña.

Figura 7: Demo de cómo funciona el proceso

Para dar más realismo al "Flame", permitimos que se configuren número de Posts (Tweets) totales que se van a crear y el porcentaje de ellos que van a ser contrarios a la campaña que estamos creando, para que haya debate y más "engagement" con la comunidad humana de Twitter (X). El objetivo final es generar un gran incendio en tres fases:

1.- Los bots prenden la chispa generando el ruido inicial, con debate polémico incluido, para generar efecto llamada a los humanos. 

 

2.- Las cuentas humanas que se ven atraídas hacia la polémica, toman partido y continúan expandiendo el fuego por la red. 

 

3.- El fuego salta de la red a los medios digitales, aprovechando aquellos medios de comunicación que hacen de noticias de lo que pasa en la red.

De esta forma, en el programa, que puedes ver completamente en la web, utilizando la herramienta creamos varias polémicas, una de ellas en contra de Iker Jiménez por haber entrevistado mal a un invitado ficticio que yo llamé Tistimito.

Figura 8: Creando las campañas de polémicas en Twitter (X)

El resultado es que se crearon los Posts (Tweets) de forma automática por ChatGPT, se asignaron con el mismo HashTag a diferentes cuentas de Twitter (X) controladas por el C&C y luego, con un simple botón se publican todas en la red. Puedes ver lo que sucedió en el programa, a partir del minuto 33:40

Figura 8: Polémicas en Twitter X desde el minuto 33:40

Después de eso, la gente ve los mensajes en al red social, se une al debate, azuza el fuego, y el resto es tener un Trending Topic que haga que el fuego llegue a los medios digitales, a los periódicos, informativos, e incluso que meta presión en los ejecutivos y políticos para conseguir objetivos concretos.

Figura 10: Tistimito es Tendencia en España

Pero esto no es nada nuevo, y se lleva haciendo muchos años. El objetivo era mostrar lo sencillo que es hacer esto con la llegada de los LLMs y la GenAI, donde crear los mensajes de texto, los comentarios, etcétera, es un juego de prompting.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)