La piedra blanda: Un cómic "dibujado" con hierro en grabados. De Rodrigo Cortés y Tomás Hijo

La verdad que resumir en el título de este artículo esta nueva obra de Rodrigo Cortés y Tomás Hijo como un "cómic" dibujado con hierro me parece una aberración a lo maravillosa que ha sido la sorpresa de disfrutar de la belleza artística de esta obra narrativa incatalogable, o sí hay que catalogarla como algo sería "una de esas obras diferentes y únicas en las que se suele perder Rodrigo Cortés". Eso sí, acompañado de la maestría con el "pincel de metal" de Tomás Hijo, que se ha visto infectado y subyugado en la construcción de la misma.

Figura 1: La piedra blanda: Un cómic "dibujado"

con hierro en grabados. De Rodrigo Cortés y Tomás Hijo.

Me llegó el paquete, y aunque tardó un poco en acabar en mis manos, cuando lo hice me llamó la atención. Un libro en una encuadernación preciosa, pero nada más abrirlo... "¿un cómic?¿Rodrigo ha hecho un cómic? ¡Qué guay!", pensé. Y lo llamé por teléfono por acordarse de mí, como siempre, para que tenga mi estantería de Rodrigo Cortés actualizada y al día.

Figura 2: La piedra blanca de Rodrigo Cortés y Tomás Hijo.

 Cada dibujo es un grabado.

Tras hablar unos minutos, me insistió dos veces en que no me fuera a la historia sin leer la introducción. "Léete todo, Chema, que te va a gustar". No siempre soy de los que me leo los prefacios y prólogos antes de leerme la historia. Quizá porque no me gusta el spoiler, o quizá porque me gusta tener los ojos en vacío sin ningún condicionamiento antes de sacar mi propia conclusión, pero Rodrigo no pone coma sin importancia. No pone color sin sentido. No pone decimal sin peso. Así que ese sutil recordatorio significaba algo que iba a hacer que mi percepción de lo que iba a leer se tiñera de un caleidoscopio de nuevas percepciones.

Figura 3: Grabados de La piedra blanda de Rodrigo Cortés y Tomás Hijo.

En la introducción, primero de la de Tomás Hijo, no pude más que reírme, feliz. La descripción de Rodrigo Cortes en su parte creativa de construir el castillo con impulso creativo buscando hacerlo grande es la parte de locura diferencial de sus obras, pero si conoces a Rodrigo sabes que ese "dadaismo" es sólo una parte de lo que se viene encima después.. que ya me lo sé yo.

Figura 4:"La piedra blanda" de Rodrigo Cortés y Tomás Hijo.

Y es que después de que la locura haya sembrado el corazón de la obra, viene el otro Rodrigo que conocemos bien, el que escribe con 17 decimales, el que, como dice Tomás Hijo, necesita hacer la tilde de la letra del tamaño correcto y no muy grande. El que viene con las herramientas de relojero, los gafas de gran aumento, y se embarca en tallar cada milímetro de la obra. 

Figura 5: "La piedra blanda"de Rodrigo Cortés y Tomás Hijo.

Cada milímetro. Todo tiene que encajar en su sitio, incluso si su destino viene infundido por la locura creativa, pero ya que se va a contar una historia con viñetas cinceladas con hierro, vamos a hacerlo con cada detalle en su sitio, y si hay que ir a por la tinta de esta viñeta a una fábrica de Polonia donde la hacen con sangre donada por ninfas de otra dimensión... pues hay que hacerlo. Las cosas no pueden no estar hechas como exige cada creación.

Figura 6: Contactar con Rodrigo Cortés

Después de reconocer a Rodrigo Cortés en cada una de las palabras y experiencias que narra Tomás Hijo, me puse con la introducción de éste, que comenzó con el sutil aroma de un mensaje que venía a decir, algo así como, "entiendo que haya sido duro el proceso, pero era lo que había que hacer Tomás". Ya sabéis, como esos genios que entienden que los demás tengan que sufrir el dolor de afinar a otro decimal más, pero que no le tiembla la mano. Es lo que hay que hacer. Esa tilde es demasiado grande. Pero después, desvela el misterio que había en mi cabeza - y que siempre busco en lo que hace Rodrigo -... ¿por qué se metería en este proyecto? - 

Figura 7: Los lápices para dibujar "La piedra blanda"

Rodrigo Cortés no se mete en un proyecto que no haya sido capaz de sobrevivir a su examen de unicidad, de resquicio, de esquina no transitada y sin luz en la que se puede acercar una cerilla protegida por la mano, así, con cuidado, lo suficiente para que se pueda ver lo que allí sucede, pero sin necesidad de que se vea todo; que queden tinieblas y penumbra donde la mente de cada uno tenga - se vea obligado, no le quede otra, es lo que hay - que completar con sus propias herramientas de pintar lienzos, y si no las tiene... pues no las tiene, ¡qué le vamos a hacer! Cada cuál se enfrente a la vida y a la obra con sus herramientas. Los proyectos de Rodrigo no vienen a ayudarte a entender nada. Es más, vienen a confundirte todo lo que puedan, que de eso trata muchas veces el arte, de obligarte a preguntarte cosas y responder cosas difíciles con emociones encontradas.

Figura 8: Los grabados de "La piedra blanda"

Pues esa es la historia, pero para que sea única, está narrada visualmente en dibujos cómo un cómic que Tomás Hijo ha tallado en tantos grabados como viñetas le ha debido pedir Rodrigo, más todas aquellas que habrá descartado después cuando la obra no acaba de hacer el "clic" perfecto en cada micro-segundo de la historia. Pero para que la puedas entender, para que puedas ver un poco más de esa esquinita a oscuras, debes saber que cada viñeta está hecha como está hecha.

"¡Este Rodrigo Cortes está loco, y Tomás Hijo también por dejarse someter por la tiranía de un proyecto así", pensé.

Y comencé a leer la historia. Pero claro, ya no veía los dibujos como cuando leo un cómic. Cada dibujo crecía en mi mente. Cada detalle, cada espacio en blanco tallado para dejar sin tocar las líneas, de manera invertida, significaba un juego de espejos de los misterios de la historia que me dejaba intrigado. ¿Por qué Pedro Poco sonríe poco? ¿Por qué come jilgueros? ¿Por qué el amor es el bosque que nace del corazón de su amada?

Figura 9: Los grabados de "La piedra blanda"

Y me tiene loco dándole vueltas a los detalles, al orden, a la disposición de cada dibujo en cada posición de cada página, al por qué, y lo más importante.... a lo que es comunicarse con los creadores a través de una obra. Un juego de espejos donde los creadores plasman en ella emociones, sentimientos, historias, preguntas, dudas y misterios, que la obra se los devuelven. Cuando ellos la terminan, te la entregan, pero el espejo se da la vuelta, te escupe otra obra que está rebotando contra ti, contra cada uno de los que las leemos, y nos metemos en una espiral que nos obliga a encontrar las emociones, las preguntas, y si nos atrevemos, a darnos alguna respuesta.

Eso es La piedra blanda para mí.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Comprueba tú que anuncios políticos te pondría a ti ChatGPT en función de los datos que le das y el riesgo del etiquetado de personas

Vaya por adelantado que lo que voy a mostrar ahora no es más que un juego experimental de reflexión que lleva también saltarse los Guardarraíles que evitan que ChatGPT, en virtud a su System Prompt, haga juicios políticos en sus respuestas, pero es curioso como los datos que nosotros damos a cualquier plataforma o servicio digital podrían ser utilizados con un modelo MM-LLM y obtener una respuesta de ideología política.

Figura 1: Comprueba tú que anuncios políticos te pondría

a ti ChatGPT en función de los datos que le das

y el riesgo del etiquetado de personas

A ver, el experimento es sencillo, se trata de pedirle a ChatGPT que, basado en datos de cualquier fuente, intente inferir una ideología política. Pero la respuesta que me dio fue curiosa, como podéis ver en esta primera imagen, ya que dice sería irresponsable por que no tiene suficientes datos. 

Figura 2: Opinar sobre mi ideología política es arriesgado

Y es correcto. No los tiene porque no creo que haya tenido yo ninguna conversación política o ideológica con él, que es un tema de debate que no me gusta mucho. Perfecto, pues vamos a decirle que en lugar de responder con la creencia política, que responda con qué anuncio de un mitin político de una serie de partidos cree que habrá más probabilidades de éxito, y le damos la lista de PP, PSOE, Podemos y VOX, y entonces sí, nos responde.

Figura 3: Pero si tuviera que ponerme un anuncio sería de Podemos.

En este caso se trata de coger los datos que tenga de mí y estereotiparlo con datos que tenga de perfiles ideológicos afines a determinados partidos, para ver qué anuncio me ofrecería, teniendo en cuenta el tipo de peticiones que le he hecho.

Figura 4: ...pero mirando mi perfil de X dice que PSOE

He probado varias veces a ver si cambiaba mucho, pero no, es consistente. Así que como parece que con esos datos me daba una respuesta, he querido probar con otras fuentes de datos mías, a ver si cambiando la base sobre la que tomar la decisión cambiaba su opinión, y sí, la verdad es que sí. Al pedirle que se base en mi cuenta de Twitter/X el resultado cambia.

Figura 5:... y con el blog, me dice que PP.

Y cuando le digo que lo haga basándose en los datos de mi blog, el resultado vuelve a cambiar, y me da otra opinión diferente. Lo que tiene sentido, porque los que me conocen saben que la política es un tema que evito de siempre, así que ni en mi blog, ni en mi cuenta de Twitter/X ni en mis conversaciones con ChatGPT he hablado de eso, y solo son conjeturas basadas en estereotipos para asignar un anuncio, así que con diferentes fuentes de datos es normal que asigne diferentes "etiquetas".

Figura 6: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Lo que sí me hizo reflexionar es sobre lo que hablaba en el discurso que impartí sobre Tecnología Humanista, ya que los algoritmos de Machine Learning, y ahora estos modernos MM-LLMs con Deep Reasoning, facilitan mucho la asignación de etiquetas a cualquier fuente de datos, con una "accuracy" muy pequeño, tal y como se ve en esta muestra, y es tentador para los desarrolladores de servicios aplicarlas a todos los usuarios de una plataforma porque pueden acertar en un porcentaje pequeño, pero ese pequeño porcentaje puede suponer un incremento en negocio. 

Figura 7: Discurso Doctor Honoris Causa de Chema Alonso: Tecnología Humanista

Por el camino, se han puesto etiquetas "erróneas" a personas que pueden que le mediaticen su experiencia, la información que reciben, los productos que le ofrecen, etcétera, sin saber que ha sido que le han catalogado erróneamente, y esto puede llevar a evoluciones de la realidad casi distópicas, si al final es la profecía auto-cumplida, y el etiquetado previo erróneo de una persona lleva a su condicionamiento subliminal para convertirlo en lo etiquetado... Prueba tú, a ver si acierta o no acierta estereotipándote.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

FrodoKEM: Un Key-Encapsulation Mechanism Quantum-Safe (PQC) que recibe su nombre por "El señor de los Anillos"

No hace mucho os hablaba de HQC "Hamming Quasi-Cyclic" el segundo KEM (Key-Encapsulation Mechanism) elegido por el NIST para completar al primero que se anuncio y que fue bautizado como  Module-Latice-Based KEM, o MLB-KEM o ML-KEM. Estos dos primeros KEM han sido elegidos como parte de la estandarización de los algoritmos de Criptografía Post-Cuántica (PQC: Post-Quantum Cryptography). 

Figura 1: FrodoKEM: Un Key-Encapsulation Mechanism Quantum-Safe (PQC)

que recibe su nombre por "El señor de los anillos"

Sin embargo, hubo otros que se quedaron en el camino, y que con la aceleración de los últimos anuncios de Google Willow Quantum Chip, Microsoft Majorana-1 y Amazon Ocelot Quantum Chip,  merece la pena conocerlos porque alguno se está convirtiendo en estándar ISO. Uno de ellos es FrodoKEM, en el que han colaborado el mundo de la universidad, investigadores de Google y de Microsoft, que incluso tienes publicado en su GitHub para que lo puedas probar.

Figura 2: FrodoKEM en GitHub

Si queréis conocer más información de  Module-Latice-Based KEM, o MLB-KEM o ML-KEM, la podéis encontrar en la publicación completa del standard de ML-KEM la tenéis documentada en el siguiente paper del NIST, y yo escribí un artículo de HQC "Hamming Quasi-Cyclic", que también podéis leer.

Figura 3: Module-Lattice-Based Key-Encapsulation Mechanism Standard

Estos dos algoritmos se basan en una estructura de anillo algebraica central para esos algoritmos, y la apuesta de Frodo "es librarse del anillo". Sí, has entendido correctamente, este algoritmo recibe su nombre en homenaje al mítico personaje "Frodo" de "El señor de los anillos", que si no te has leído el libro, estás tardando ya - yo le dediqué un verano y lo disfruté como un "enano".

Figura 4: El Hobbit y El Señor de los anillos.

Tu lectura de este verano, sí o sí.

En este caso, FrodoKEM utiliza, para la generación de las claves de cifrado PQC (Post-Quantum Cryptography) que se usarán en una solución PKI se basan en la dificultad de resolver el problema de Learning With Errors. En este caso, el problema radica en dada una matriz A cuadrada de n x n generada uniformemente aleatoria, y dos matrices lineales siendo una muestra s de la clave, pero teniendo además la matriz e "errores", se realiza el cálculo de A x s + e y se obtiene una matriz b.

Figura 5: Explicación del problema de Learning With Errors

Para un atacante la dificultad del algoritmo es resolver la inversa, es decir, dado A y el resultado b, encontrar s, que sería la derivada sampleada de la clave, que no sería fácil de resolver para un algoritmo cuántico por la explosión de probabilidades en los que se ha podido inyectar el error, lo que le obliga a descubrir la matriz de errores, además de la clave. Como se puede ver en la imagen siguiente, la clave pública está compuesta de sA y b, por lo que se hace complejo resolver el problema.

Figura 6: Funcionamiento de FrodoKEM

Esta es la base fundamental de FrodoKEM, que como bien explican en la web de "FrodoKEM" y en el artículo "FrodoKEM: A conservative quantum-safe cryptographic algorithm" fue descartado del proceso de estandarización de NIST en la Ronda 3, pero va a ser estandarizado por la ISO/IEC 18033-2 para que sea un estándar que pueda ser utilizado por cualquiera que lo desee en la industria. 

Figura 7: Estandarización ISO de FrodoKEM

El problema que tiene FrodoKEM, como bien explican, es que evitar las posibles vulnerabilidades criptográficas que puede tener en el futuro el "anillo algebraico" en el que se centran ML-KEM y HQC-KEM es un coste en tamaño y en ciclos de computación.

Figura 8: Comparativa de ML-KEN y FrodoKEM

en tamaño y ciclos de computo hecha por el NIST.

Por supuesto, si te interesa el mundo de la criptografía, y no estás al día, te recomiendo que te pongas las pilas con el libro de  Cifrado de las comunicaciones digitales: de la cifra clásica a RSA 2ª Edición de 0xWord que te va a aclarar muchos de los conceptos que que son importantes en los algoritmos PQC (Post Quantum Cryptography).

Figura 9: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Así que, si no tenías lectura para estos días, ya sabes qué te puedes comenzar a leer, que esto es fundamental para entender el mundo de la seguridad informática en cualquiera de las áreas profesionales en la que te quieras especializar.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

DotNet Conference Spain 2025: Un evento L-Size para hacker & developer. 19 de Junio en Madrid.

El próximo 19 de Junio en Madrid tendrá lugar una nueva edición de la mítica DotNet Conference Spain de nuestros amigos de PlainConcepts, donde yo voy a tener el honor de compartir escenario con viejos amigos que ya lo han compartido conmigo décadas atrás, como son el mítico David Carmona o el pequeño-gran Luis Fraile, además de un elenco de charlas espectacular.

Figura 1: DotNet Conference Spain 2025.

Un evento L-Size para hacker & developer

19 de Junio en Madrid.

El evento será el día 19 de Junio, como os he dicho al principio. Será en Kinépolis de la Ciudad de la Imagen de Madrid, y tendrá charlas y charlas para developers & hackers, así que márcalo en tu calendario que será un evento en el que sin duda disfrutarás de la tecnología.

Figura 2: Ponentes de la DotNet Conference Spain 2025

con David Carmona y Midudev entre otros muchos.

Entre los ponentes, además de estar David Carmona, como ya os he dicho, estará Ana Escobar de Intel, Glenn Condron, que es Principal Product Manager en Microsoft, el genial Miguel Durán, midudev, o Isabel Delgado que es Senior Technical Specialist Azure Data & AI en Microsoft, entre otros. Pero también estarán Carlos Mendible, que es Principal Cloud Solution Architect en "la micro", Javier Carnero, que es Research Manager en Plain Concepts y el mi viejo amigo Luis Fraile que es un todoterreno del DevOps.

Figura 3: Carlos Mendible, Javier Carnero y Luis Fraile

también darán charlas en la DotNet Conference Spain 2025

Las entradas las puedes comprar hasta fin de mes por 40 €, y después hasta el día del evento por 55€, así que más vales que las compres ahora, pero... si tienes cuenta en MyPublicInbox, con 300 Tempos consigues un descuento de 15 € como ves en las imágenes siguientes, con lo que tu entrada pasaría de 40€ a 25€ y si la compras después - mala idea - el precio pasará a 40€.

Figura 4: Conseguir las entradas de la DotNet 2025

Para conseguir el código descuento, entra en tu cuenta de MyPublicInbox, consigue 300 Tempos - que los puedes conseguir con las campañas de Tempos Gratis, apoyándome a mí en Twitter/X con el servicio de Tempos x Tweets/Posts, o comprándolos si te falta alguno, y luego irte a la sección de Canjear Tempos. Ahí encontrarás el cupón de DotNet2025 que te dará ese descuento de 15€ en tu entrada.  Hazlo ahora mismo y te ahorras la subida (15€ y te descuentas los otros 15€, que ambos suman 30€ menos que los que lo hacen mal y a destiempo)

Figura 5: Consigue15 € de descuento

en la entrada de DotNet2025

Y después, lo aplicas en la compra de la entrada como he hecho yo en la Figura 4, y te haces una entrada en la agenda para que ese día no te moleste nadie y no se te pase. Además, todos los asistentes a este evento tendrán 100 Tempos gratuitos de MyPublicInbox cortesía de nuestros amigos de PlainConcepts, que podréis utilizar para lo que queráis más adelante, así que no te faltes a la cita.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

The Hackers Labs: Aprender a ser Pentester haciendo retos CTF

Hoy queremos contarte algo que nos emociona de verdad. Llevamos tiempo trabajando en un proyecto que nació de una necesidad muy clara: queríamos una forma práctica, divertida y accesible de entrenar ciberseguridad. Así que decidimos dejar de buscar... y construirla nosotros mismos. Así nació The Hackers Labs.

Figura 1: The Hackers Labs: Aprender a ser Pentester haciendo retos CTF

en entornos virtuales con la comunidad de "The Hackers Lab"

Una plataforma hecha por y para apasionados de la seguridad informática. Un espacio donde puedes romper y crear cosas (legalmente), aprender de verdad y medirte con otros sin pagar un céntimo. Y sí, también pasarte horas enganchado a un reto sin darte cuenta.

¿Qué es exactamente The Hackers Labs?

Imagina un gimnasio para hackers, pero sin cuotas, sin postureo y con un montón de buen rollo técnico. Eso es The Hackers Labs. Es una plataforma de CTFs (Capture The Flag) y laboratorios vulnerables y retos técnicos de ciberseguridad, ordenaditos y listos para que los resuelvas desde tu equipo, donde puedes entrenar en diferentes ramas de la ciberseguridad. 

Figura 2: The Hackers Lab

Está pensada para todo tipo de personas: desde quien acaba de descubrir lo que es una IP hasta el profesional que quiere repasar técnicas avanzadas antes de una auditoría. ¿Lo mejor? Es totalmente gratuita. Sin necesidad de registrarte. Sin anuncios. Sin letra pequeña.

¿Qué te vas a encontrar dentro?

Lo hemos organizado todo para que no pierdas el tiempo: retos por categorías, niveles y sistemas operativos. ¿Te apetece practicar reversing y ya tienes experiencia? 

Figura 3: Categorías de los entornos virtuales CTF

Pues eliges esa categoría y te vas directo al nivel profesional. Sin rodeos. Algunas de las categorías que puedes explorar:

• OSINT– investigación en fuentes abiertas, ideal para quienes aman conectar puntos.
• Seguridad ofensiva – escaneos, explotación, pivoting... puro pentesting.
• Criptografía – rompecabezas cifrados para los fans del código oculto.
• Reversing – desmontar binarios y entender cómo piensan las máquinas.
• Defensiva– porque defender es igual de desafiante que atacar.

Figura 4: Categorías de los entornos virtuales CTF

Empieza sin registrarte (aunque te va a picar el gusanillo del ranking)

Sí, puedes empezar sin cuenta. Entras, eliges un laboratorio, lo descargas y listo. Pero, seamos sinceros: una vez que resuelves tu primera flag, vas a querer más.

Figura 5: Entornos, y rankings por máquina

Y ahí entra el sistema de rankings: si te registras (solo si tú quieres), puedes validar las flags y sumar puntos. Tenemos:

• Ranking por laboratorio
• Ranking global contra usuarios de todo el mundo

Esto añade ese toque competitivo que tanto motiva, pero siempre en buen rollo. Queremos que aprender sea un juego, no una presión.

Una comunidad de verdad, no solo una web

The Hackers Labs no es solo una plataforma. Es una comunidad. En serio. Nos reunimos en Discord y Telegram para resolver dudas, compartir ideas, ayudarnos y, cómo no, picarnos sanamente. Incluso montamos pequeñas competiciones entre nosotros para ver quién resuelve qué antes.

Figura 6: Ranking de Write-Ups

Y si te gusta explicar lo que aprendes, puedes escribir tus propias resoluciones (write-ups) y subirlas. Si se validan, sumas puntos en el ranking de contribución. Aquí compartir te hace mejor jugador, y además mejora la plataforma para todos.

¿Qué tienen de especial los laboratorios?

Cada laboratorio está hecho con mimo. No queríamos retos genéricos sacados de un manual, sino escenarios reales, con sistemas reales, vulnerabilidades reales, y detalles técnicos de verdad.

Figura  7: Entorno de máquinas en The HAcker Labs

Cada uno incluye:

• Compatibilidad con VirtualBox/VMware
• Sistema operativo sobre el que trabajarás
• Número de usuarios que han conseguido las flags
• Hash MD5 para verificar la integridad del archivo

Figura 8: El primer jugador que lo resolvió

¡Y sí, algunos retos te harán sudar! Pero te aseguramos que vale la pena cada minuto invertido.

🎁 ¡Y pronto... premios!

Lo decimos ya: quienes suban en los rankings van a recibir regalos oficiales de The Hackers Labs. Es algo que estamos organizando a partir de este artículo.

Figura 9: Merchandising de The Hackers Lab

No necesitas ser el hacker del año para ganarlos. Aquí premiamos la constancia, las ganas de aprender y la colaboración. Queremos que esta sea una comunidad que crezca con y gracias a vosotros.

Este año organizamos nuestro primer gran CTF en un congreso de ciber!!!

Sí, lo leíste bien: The Hackers Labs será el organizador oficial del CTF Hacken 2025, que se celebrará los días 30 y 31 de mayo.

Figura 10: The Hackers Labs será el organizador oficial del CTF Hacken 2025

Será un fin de semana lleno de retos, flags, sudores fríos, risas, memes, piques sanos y aprendizaje del bueno. Si te mola el hacking, no te lo puedes perder. Marca las fechas. Cárgate de cafeína. Y prepárate para competir con lo mejor de la comunidad.

Dos curiosos con ganas de crear

The Hackers Labs nació de la inquietud de dos curiosos con ganas de aprender, romper cosas (legalmente 😅), y sobre todo, crear algo útil para la comunidad. No somos una empresa. No hay inversores. Solo pasión por la ciberseguridad, muchas horas de terminal… y café. Todo lo que ves aquí lo hemos montado a pulmón. Y lo mejor de todo: esto no acaba aquí.

🛠 En resumen: esto es solo el principio

The Hackers Labs nació como un proyecto entre amigos, con ganas de aprender, entrenar y compartir lo que nos apasiona. Y está creciendo cada día gracias a todos los que os habéis unido y habéis aportado vuestro tiempo, ideas y feedback. Si te vibra algo por dentro leyendo esto… únete.

Estamos abiertos a nuevas manos, nuevas mentes y nuevas formas de aportar. Ya seas bueno programando, diseñando retos, escribiendo writeups o simplemente con ganas de ayudar: aquí hay sitio parati.

💥 Escríbenos, únete al Discord, mándanos un mensaje en Telegram o simplemente di "hola".

Esto lo construimos entre todos.

Entonces esto también es para ti.

🔗 Pásate por: https://thehackerslabs.com

Y empieza tu camino hacker hoy mismo.

Te esperamos dentro. 👾

Autor: Manuel Martínez, founder de The Hackers Lab

Contactar con Manuel Martínez

17 Edición del Máster Online en Ciberseguridad en el Campus de Ciberseguridad: Promoción 2025-2026 Abierto el Registro

Parece que está lejos, pero dentro de nada estamos celebrando el verano, lo despedimos, y ya nos metemos en la próxima 17 Edición del Máster Online de Ciberseguridad 2025-2026 del Campus Internacional de Ciberseguridad que tendrá su inicio el próximo 9 de OCTUBRE de 2025 y terminará en 2026. Como sabéis yo participo como Mentor de los programas de Máster este año 2024-2025, colaborando también con 0xWord, Singularity Hackers y MyPublicInbox. 

Figura 1: 17 Edición del Máster Online en Ciberseguridad en el

Campus de Ciberseguridad: Promoción 2025-2026 Abierto el Registro

Este programa en concreto del Máster de Ciberseguridad 2025-2026 lo dirige el gran Sergio de los Santos, y tiene un año de duración, con un programa amplío para enfocarte en todas las áreas del mundo de la ciberseguridad.

Figura 2: Mentor del Campus Internacional de Ciberseguridad

En esta nueva edición del Máster de Ciberseguridad, que como he dicho dirige  Sergio de los Santos y que dará comienzo el 9 de Octubre 2025, los alumnos tendrán un plantel de profesores de primer nivel, muchos de ellos han sido o son compañeros míos, entre los que están Juanjo Salvador, Pablo San Emeterio, Fran Ramírez, Alejandro Vázquez, Gonzalo Álvarez Marañón, Pablo González, José Torres, Eduardo Sánchez, David García, Jesús Torres o José Rodríguez, entre otros.

Figura 3: Consulta todo el profesorado del Máster de Ciberseguridad

El programa del curso, que puedes consultar en la web, tiene los siguientes módulos. Entre ellos, un Trabajo de Fin de Máster donde habrá alguno que propondré yo para los que quieran hacerlo. Como podéis ver, el programa es muy ambicioso, así que más vale que vengas con ganas de estudiar y aprender.

Figura 4: Programa del XII Máster de Ciberseguridad

Dentro de esta formación además, tendrás estas certificaciones asociadas a este Máster, como son:

• Certificación del Campus Internacional de Ciberseguridad,
• Certificación de Fundamentos de Linux por Linux Profesional Institute.

Además pueden optar a estas certificaciones durante la realización del programa:

• Certified Cyber Security Professional (CCSP)
• Administrador de Transformación Digital por Zscaler (ZDTA)
• Certificación de Fundamentos de Python por el Python Institute.
• Certificación de la Universidad UCAM de Murcia.

Además, los alumnos recibirán como material de estudio libros de 0xWord como complemento de estudio. En concreto, el libro de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos, y el de "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.

Figura 5: Libros de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos,

 y "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.

Por último, todos los alumnos tendrán una sala de conversaciones en MyPublicInbox con los profesores del programa de formación - y conmigo - y recibirán Tempos de MyPublicInbox por si quieren hacer consultas a profesionales.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Hacking Gitlab Duo: Remote Prompt Injection, Malicious Prompt Smuggling, Client-Side Attacks & Private Code Stealing.

Esta misma semana se ha publicado un trabajo de investigación sobre vulnerabilidades del GitLab Duo que es muy interesante por muchos aspectos, y por utilizar muchas de las técnicas de las que cada día hablamos más en el mundo del Hacking de Productos & Servicios hechos con IA. En este caso, los investigadores de Legit han demostrado cómo se podía utilizar GitLab Duo para atacar a otros usuarios con librerías infectadas y construir malware, para inyectar código malicioso en los resultados de GitLab Duo y para robar código privado, muy interesante técnicamente toda la investigación.

Figura 1: Hacking Gitlab Duo - Remote Prompt Injection,

Malicious Prompt Smuggling, Client-Side Attacks

& Private Code Stealing.

El artículo completo lo podéis leer en "Remote Prompt Injection in GitLab Duo Leads to Source Code Theft", y aquí tenéis una explicación del trabajo que os he resumido - y ampliado - para ver si soy capaz de explicarlo con claridad.

Figura 2: Remote Prompt Injection in GitLab Duo Leads to Source Code Theft

GitLab Duo es el asistente con IA de la plataforma GitLab que te ayuda a trabajar con tu repositorio de código, y que está disponible para todos los usuarios. Utiliza, por supuesto, una arquitectura de DeepReasoning, así que permite realizar tareas complejas, escribir código, puede manipular documentación, y para hacer bien el trabajo, cuenta con su Memory.

Figura 3: Hacker & Developer in the Age of GenAI LLM Apps & Services

Para entender el ataque bien, os recomiendo que leáis antes el artículo de "GenAI Apps & Services: Cómo explotar arquitecturas RAG con Plugins Inseguros" porque tiene algunas similitudes en cuanto al ataque. En este artículo teníamos un servicio representado por ChatGPT, y le dábamos capacidades para hacer cosas sobre datos conectados (ficheros en One-Drive), y aplicaciones (enviar correos electrónicos). Si no había un entorno aislado multiusuario, un atacante podría ver los prompts de otro usuario, o los ficheros a los que tuviera acceso el modelo de IA, en ese caso, ChatGPT. 

Hacking Gitlab Duo:

En el ejemplo de GitLab Duo, el investigador hace un ataque de Prompt Injection que pone en el código fuente de un programa como un comentario, y con un simple "Explain this code" o hacer cualquier acción sobre ese código, se puede ver cómo GitLab Duo lo procesa.

Figura 4: El Prompt Injection está en un comentario.

Cuando se le pide a GitLab Duo que explique el código

se puede ver que se ejecutan las órdenes del Prompt.

Visto esto, para enviar estos ataques a otro usuario lo que hace es proponer un cambio en el un código de otro usuario, y en los comentarios introducir el Remote Prompt Injection, que en este caso inicial se trata de meter una librería de código maliciosa, por ejemplo, para robar los usuarios y contraseñas de un proceso de Login.

Figura 5: Prompt Injection para meter una

librería Javascript maliciosa.

Cuando la víctima dueña del código solicite a GitLab Duo cualquier comando sobre el código que está visualizando del cambio propuesto, el Prompt Injection se ejecutará, y realizará un Memory Poisoning, dejando en la memoria que si en el futuro se solicita, por ejemplo, una página de Login, meta esa librería maliciosa. 

Figura 6: Técnicas para Prompt Smuggling

Para hacer este ataque mucho más invisible para la víctima, el atacante hace uso de técnicas de Prompt Smuggling para saltar los posibles guardarraíles del modelo usando trucos como los vistos en el artículo "Cómo saltarse los AI Guardrails con Invisible Characters & Adversarial Prompts para hacer Prompt Injection & Jailbreak Smuggling" , además de para hacer menos visible el Prompt en el código y el panel que pueda ver la víctima.

Figura 7: Prompt codificado en los cambios con texto en blanco.

Solo se ve cuando se selecciona en GitLab

Como se puede ver en la imagen anterior, en la parte de Changes queda en color blanco (codificado en KaTeX), y además queda en Unicode usando codificación Base16 para meter los Prompts Maliciosos.

Figura 8: El Prompt Injection queda codificado en el historial

En este caso la demo la hace directamente con la petición del Login, así que la infección de la Memory no tiene que esperar a la petición futura.

Figura 9: El Prompt Injection se ejecuta.

Ahora, si vemos el proceso completo de GitLab Duo, se puede ver cómo ha inyectado la librería maliciosa, y cada vez que procesa el usuario y la contraseña llama a la función de esta librería que puede robar las cuentas tranquilamente.

Figura 10: El código de Login queda infectado.

Una vez que se ha completado este ataque, es posible imaginar muchos otros ejemplos. Por ejemplo pedirle que en la respuesta GitLab Duo muestre un enlace que la víctima pueda hacer clic para llevarle a una infección. 

Figura 11: Inyectando un enlace malicioso en la salida de GitLab Duo

Y por supuesto, cuando llegue la ejecución del Prompt en el GitLab Duo de la víctima, se producirá esa respuesta que se ha solicitado, tal y como se ve en la imagen siguiente.

Figura 12: Inyectado el enlace en la salida de GitLab Duo

Una vez visto este comportamiento, se pueden reproducir todos los ataques Client-Site en Web Applications, ya que tenemos un servidor - el de GitLab - desde el que enviar código a una víctima - desde Prompt inyectado -.

Figura 13: Hacking Web Applications: Client-Side Attacks
de Enrique Rando en 0xWord

El siguiente ejemplo fue hacer HTML Injection y realizar ataques de Cross-Site Scripting (XSS), en este ejemplo para "Rickrollear" un poco.

Figura 14: Injectando HTML Injection

Com se muestra en la imagen siguiente, este ataque también funcionó, por lo que se ha utilizado el modelo LLM como forma de atacar a otros clientes.

Figura 15: Rickrolleando con GitLab Duo

La última de las PoCs es para robar el código fuente de un programa de otro usuario que está en PRIVADO. En este caso aprovecha que GitLab Duo puede usar la herramienta merge_request_reader que tiene acceso a todos los códigos - públicos y privados -, así que con este Prompt se le pide que meta el código en un parámetro en Base64 como parte de un enlace.

Figura 16: Prompt para robar código privado

Al final, usando este ataque Remote Prompt Injection se solicita a GitLab Duo que use una herramienta que tiene conectada al modelo -  y que le da permisos para acceder a datos privados - que explique un merge_request privado, y que pinte la salida como parámetro de un enlace. 

Figura 17: Enlace malicioso con el código fuente robado

Para poder hacer este ataque, ha sido necesito meter el Remote Prompt Injection en una petición de cambio enviada a un código de la víctima, utilizando las técnicas de ASCII & Malicious Prompt Smuggling. Después, cuando al víctima ha pedido cualquier comando a GitLab Duo, el Malicious Prompt se ha ejecutado y se ha creado un enlace malicioso con el código fuente del programa a robar como parámetro. Cuando la víctima hace clic en él se envía el GET Request con el código fuente en la URL al servidor controlado por el atacante.

Reflexión final

El mundo de la Inteligencia Artificial a las profesiones de cibeseguridad nos ha abierto tres nuevas disciplinas en las que tenemos que trabajar. La primera es la de utilizar los nuevos modelos de IA para hacer ataques en los procesos de Pentesting, Ethical Hacking o Red Team. La segunda disciplina es utilizar la IA como forma de aumentar las capacidades de los equipos de seguridad, para automatizar tareas en el SOC, procesos de patching por IA, detección de anomalías, forensics, y cualquier proceso del Blue Team y los equipos de CERT & CSIRT. 

Figura 18: Hackin’ AI: Creando una IA… ¿Qué puede salir mal? por Chema Alonso

Por último, lo que vemos aquí es un ejemplo de la disciplina de aprender a atacar las nueva arquitecturas basadas en modelos de IA, Agentic AI, etcétera, que es lo que recoge el OWASP Top 10 de Productos & Servicios basados en LLMs. Un campo completo para el que aprender a diseñar nuevos ataques, basados en Prompt Injection, Jailbreak, Memory Poisoning, Malicious Prompt Smuggling, Guardrails Bypass, Data Poisoning, etcetera. Todos los problemas vistos en el artículo de hoy, el equipo de GitLab ya los parcheó, que se hizo un reporte responsable, pero son un ejemplo perfecto del tipo de ataques al que nos vamos a enfrentar hoy en día. Entretenidísimos vamos a estar.

PD: Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: Inteligencia Artificial (Hacking & Security): Links, Posts, Talks & Papers

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)