Talento, Suerte y Disciplina de Trabajo

Muchas veces me han dicho que tengo Talento para la tecnología, que se me da bien, o que soy muy bueno haciendo charlas. Son halagos peligrosos, de los intento protegerme. Una forma de hacerlo es contar cómo tenía pánico a hablar en público, o todas las veces que no me salieron bien las cosas, como hice en el Discurso de graduación de la Universidad Carlos III. Los halagos generar un halo de bienestar que puede equivocarte en lo que debes hacer, trabajar.

Figura 1: Talento, Suerte y Disciplina de Trabajo

También he oído alguna vez que hay que tener Suerte, o que he tenido suerte, o que ha sido mala suerte, o que la suerte ha sido el factor clave en algo. Personalmente soy de los que creen en las casualidades de la vida, pero más bien creo en la matemática y en la estadística, y aunque la probabilidad de que un suceso aleatorio único sea independiente, si echas mil millones de veces la caña al río tendrás más probabilidades de pescar un pez, que era lo que nos recordábamos en Informática 64 cuando teníamos que seguir creciendo.

Como una mente de ingeniero que tengo, y después de llevar toda una vida trabajando, suelo llevar cuenta de las cosas que hago, las que salen bien, las que no, las que están aún en "Room for improve", las que puede poner con KPIs de una forma u otra. No hay otra manera de hacerlo para mí. Si no puedo medirlo, no puedo incidir en ello. Y si no puedo incidir en ello, ¿de qué sirve que tome una decisión u otra? No creo en ese mundo caótico dadaista que algunos pintan, soy más de creer que hasta la piscohistoria de Hari Seldon, basada en una estadística inventada por el maravilloso Isaac Asimov en la Serie de la Fundación, podría existir. ¿Por qué? Porque se basa en algo medible.

Entiendo también que cada uno somos como somos. Yo era cómo era y soy como soy. Tengo algunas limitaciones que tengo que vivir con ellas. Tengo otras cosas con las que tengo que pelar para mejorar y no dejar que me definan, o me limiten. Es el Setup de mi coche, y con el tengo que correr la carrera para sacar el máximo de lo que dispongo, así que no hay mucho más que aceptar que otros coches serán más guapos, más altos, más rápidos, más resistentes, más bonitos, o con ruedas mejores. A partir de ese momento, solo debo pensar en lo que puedo incidir yo.

Con todas esas condiciones de contorno, solo hay una cosa en la que pueda incidir directamente, y es en o que haga yo con todo esto. En cómo mejore mis habilidades, en cómo suma de nivel mis capacidades, en cómo mejore mi chasis, mi electrónica, o el conocimiento del circuito. En cómo trabaje, día a día, para estar un pasito mejor por haberlo dado en una dirección correcta. Y para ello solo hay algo que puedo hacer, que trabajar con disciplina.

Es lo único que sí puedo medir, mi trabajo. Es mi forma de cuantificar mi disciplina. ¿Por qué escribes un post todos los días en el blog? Porque me obliga a trabajar la mente. Es mi gimnasio mental. Mi forma de aprender cosas nuevas. De estudiar cosas nuevas. De saber que hay más cosas que no sé. De saber que tengo que saber más cosas. De meterme en proyectos nuevos. De avanzar los proyectos que ya he hecho. Es mi medida de trabajo.

No se me daba bien escribir, tuve que escribir mucho para poder sentirme cómodo con las palabras que tecleo. No se me daba bien dar charlas y tuve que dar muchas, escuchar a los que me daban consejos, y a los que aún me dan tips correctivos que ni mucho menos me tomo a mal. No se me daba bien programar, tuve que ir muchos años a academias y programar muchas cosas en casa. Tampoco se me daba bien la ciberseguridad o el hacking, tuve que leer muchos libros, blogs, escuchar a los que sabían y seguir haciéndolo a día de hoy. Tampoco sabía cómo se montaba una empresa, una startup, cómo se hacía la contabilidad de una compañía, cómo iba el pago de impuestos de las compañías, cómo funciona la economía, o los procesos administrativos. Tuve que aprender para mejorar. 

De todas esas cosas, me siento un aprendiz. Ya, siendo un Hacker L, es verdad que muchas lecciones de primeros cursos las he sacado - algunas con buena nota -. He sacado buenos tiempos en la vuelta de clasificación y en carreras con el coche trabajado que piloto. Pero el día que debe de considerarme que aún estoy aprendiendo, ese día sé que el coche se deteriorará y será una peregrinar por la pista, cosa para la que no estoy dispuesto.

Así que, como no puedo medir el talento, ni si la bola que va a salir de la bolsa en el próximo suceso independiente de la serie va a ser blanca o negra, mido lo que sí que puedo medir, que es mi grado de Disciplina en el Trabajo. Mido si cada día cumplo con las tareas que me tengo marcadas, si cumplo con las cosas que tengo que aprender, hacer, dedicar a lo que tengo que sacar. A hacer delivery, que ya sabéis que para mí esto va de clavar clavos. 

¿Por qué os cuento  esto?, podéis preguntaros alguno. Pues porque anoche, metido en la cama, me preguntaba sobre qué iba a escribir hoy. Estaba destrozado de una semana con viajes, conferencias, y mal dormir por el calor, y en un momento dado empezó a surgir la semilla de la autocomplacencia, dándome unas excusitas: 

"Es sábado, tampoco es tan importante que escribas todos los días. Ya tienes 50 años, puedes dejar hoy de escribir. Total, tienes el artículo del paper ese a medias, déjalo para otro día y hoy descansa". 

Como os podéis imaginar, salió el "Demonio cabrón de las excusitas" y me dijo...

" ¿Qué no tienes nada de lo que escribir? Pues ya puedes ir pensando algo, porque mañana vas a sacar el post. Además, puedes publicar algún texto de eso, de lo importante que es para ti tener disciplina de trabajo, y de por qué lo hacemos así. "

Y como niño bueno que siempre he sido... aquí están hechos mis deberes. Feliz sábado, compañeros que también tenéis vuestro demonio cabrón.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Vibe Hacking con Cybersecurity AI (CAI): Agentes AI autónomos para ciberseguridad ofensiva y defensiva

En 1997, IBM Deep Blue marcó un hito tecnológico al derrotar a Garry Kasparov en ajedrez. Este evento demostró que los sistemas computacionales podían superar el rendimiento humano en dominios específicos mediante algoritmos especializados y capacidad de procesamiento masivo. Ese momento estableció un precedente fundamental: la viabilidad de sistemas automatizados para resolver problemas complejos tradicionalmente reservados al intelecto humano.

Figura 1: Vibe Hacking con Cybersecurity AI (CAI).

Agentes AI autónomos para ciberseguridad ofensiva y defensiva

En la actualidad, el dominio operacional ha evolucionado del tablero de ajedrez al ciberespacio. Los vectores de amenaza incluyen algoritmos maliciosos automatizados, botnets distribuidas y actores patrocinados por estados con recursos significativos. En este contexto, los factores críticos son la velocidad de respuesta, la adaptabilidad y la capacidad de procesamiento de datos en tiempo real. 

Figura 2: CAI: An Open, Bug Bounty-Ready Cybersecurity AI

Cybersecurity AI (CAI) emerge como una arquitectura de agentes de IA que representa la evolución natural de sistemas especializados (Narrow AI) como Deep Blue y AlphaZero hacia aplicaciones generalizadas en el sector de tecnologías de la información.

Análisis del Ecosistema Actual de Ciberseguridad

El panorama actual presenta múltiples desafíos técnicos. Las vulnerabilidades proliferan exponencialmente en sistemas interconectados con arquitecturas cada vez más complejas. Los equipos de seguridad operan con recursos limitados contra amenazas persistentes y distribuidas. Los programas de recompensas por vulnerabilidades, aunque efectivos para la identificación de fallos, han generado una concentración de mercado donde pocas plataformas centralizan los datos de vulnerabilidades, utilizándolos para entrenar sistemas propietarios de IA.

Esta centralización genera ineficiencias operativas: tiempos de triaje prolongados, variabilidad en la calidad de los reportes y concentración del talento en programas específicos. Las pequeñas y medianas empresas, así como investigadores independientes, enfrentan barreras significativas de entrada.

Figura 3: Github - Enlace a la tool

CAI se propone como una solución arquitectónica a estos desafíos. No es un sistema monolítico, sino un framework modular de código abierto diseñado para la implementación de agentes especializados. La arquitectura aprovecha las capacidades de los Modelos de Lenguaje Grande (LLMs) mientras mantiene los estándares de usabilidad que los profesionales de ciberseguridad requieren. Funciona como una capa de abstracción entre las capacidades computacionales avanzadas y la implementación táctica especializada.

Análisis Comparativo: CAI vs Herramientas Tradicionales

Las herramientas tradicionales de ciberseguridad operan como instrumentos especializados de alta precisión: nmap para reconocimiento de red, sqlmap para evaluación de bases de datos, Metasploit como framework de explotación. Estas herramientas ejecutan funciones específicas siguiendo lógica deterministica y requieren operación manual para cada fase del proceso.

Figura 4: Comparativa de CAI con herramientas tradicionales

Arquitectura Técnica de CAI

CAI implementa una arquitectura basada en el modelo ReAct (Reasoning and Acting) con siete componentes principales:

1. Agentes: Entidades computacionales con prompts especializados, conjuntos de herramientas y lógica de actuación definida. Cada agente mantiene un contexto operacional y capacidades específicas.

2. Herramientas (Tools): Interfaces para la ejecución de acciones concretas, incluyendo:

○ Comandos del sistema operativo (nmap, curl, python)

○ APIs externas (Shodan, VirusTotal)

○ Manipulación de código y búsqueda web

○ Soporte para Model Context Protocol (MCP)

3. Transferencias (Handoffs): Mecanismo de delegación contextual entre agentes, permitiendo la especialización y distribución de tareas complejas.

4. Patrones (Patterns): Arquitecturas de coordinación multi-agente:

○ Enjambres: Intercambio dinámico de tareas entre agentes

○ Jerárquicos: Coordinación maestro-subordinado para operaciones complejas

○ Secuenciales: Ejecución en cadena con transferencia de estado

○ Paralelos: Ejecución concurrente de múltiples agentes

5. Turnos (Turns): Ciclos completos de interacción hasta alcanzar objetivos parciales o requerir intervención.

6. Human-In-The-Loop (HITL): Sistema de supervisión y control que permite intervención humana mediante interrupciones (Ctrl+C), revisión de razonamiento y control directo en puntos críticos.

7. Integración LLM: Compatibilidad con más de 300 modelos mediante LiteLLM, incluyendo GPT, Claude, DeepSeek y modelos locales vía Ollama.

Componentes de Soporte:

• Extensiones: APIs para integración de nuevas herramientas
• Trazabilidad: Logging completo vía OpenTelemetry para auditoría y análisis

Ejemplos de Implementación de Agentes:

Todos los agentes son capaces de realizar cualquier acción con las tools. El agente abstrae el workflow general, pero este flujo de trabajo no es estático.

Figura 5: Implementación de Agentes AI con CAI

• Red Team Agent: Enfoque ofensivo con herramientas como nmap, metasploit-framework, hashcat. 
• Lógica: reconocimiento → explotación → post-explotación.

• Bug Bounty Hunter Agent: Especializado en aplicaciones web con nuclei, sqlmap, gobuster. 
• Lógica: descubrimiento de activos → escaneo OWASP Top 10 → generación de PoCs.

• Blue Team Agent: Orientado a defensa con osquery, sysmon, APIs SIEM.
• Lógica: monitorización → análisis de comportamiento → respuesta a incidentes.

Validación Empírica y Métricas de Rendimiento

Competiciones CTF:

• AI vs Human CTF (marzo 2025): Top 20 global, 1º entre equipos de IA, 19/20 desafíos resueltos (95% éxito)

Figura 6: Ranking de AI Agents en reto "AI vs Humans"

• Métricas de velocidad: 938x más rápido en forense, 774x en ingeniería inversa, 741x en robótica.

Figura 7: Métricas de velocidad por categoría de reto

• Cyber Apocalypse CTF 2025: Posición 22 entre 8,129 equipos, 30/77 banderas capturadas

Figura 8: Ranking de AI Agents en reto "Cyber Apocalypse"

Casos de Uso Prácticos:

• Evaluación completa de robots industriales
• Ascenso a Top 30 España / Top 500 mundial en Hack The Box en 7 días
• CTFs competitivos
• +5 Bug bounties confirmados con reward
• +10 vulnerabilidades críticas encontradas en infraestructuras tecnológicas

Reducción de costes promedio: 156x comparado con métodos tradicionales.

Interfaz de Línea de Comandos

La CLI de CAI implementa comandos estructurados para gestión completa del sistema:

Figura 9: /agent - Gestión de agentes (list, select, info, configuración de patrones)

Figura 10: /model: Administración de LLMs (visualización de costes, cambio dinámico)

Figura 11: /compact: Resume el contexto para hacer ejercicios

durante horas sin importar la ventana de contexto

Figura 12: /history: Visualización de la lista de mensajes del agente por roles 

Figura 13: /graph: Visualización de la lista de mensajes del agente en grafo

Figura 14: /mcp: Integración de herramientas externas (Burp Suite, Ghidra)

Figura 15: /workspace, /config, /virt: Gestión de entornos, incluyendo contenedores Docker

Poe último se puede usar $ o /shell que da acceso directo a shell del sistema. Os dejamos por aquí unas Pruebas de Concepto.

Figura 16: alias0 Portswigger Insane Web Shell RCE + Race condition:

Figura 17: Deepseek-Reasoner Portswigger XXE

Figura 18: alias0 MIR 100 Robot

Implicaciones para la Industria

El 82% de profesionales de ciberseguridad anticipan mejoras de eficiencia mediante IA. CAI materializa esta expectativa permitiendo:

● Pruebas de penetración continuas y paralelas

● Reducción drástica de costes operacionales

● Acceso democratizado a capacidades avanzadas de evaluación

También es importante resaltar que CAI aborda dos aspectos críticos a tener en cuenta en esta industria, como son:

• Democratización: Acceso abierto a herramientas avanzadas de IA, no limitado a grandes corporaciones o actores estatales.

• Transparencia en Capacidades: Los benchmarks actuales de proveedores de LLM suelen carecer de instrumentación agéntica adecuada, resultando en evaluaciones incompletas. CAI proporciona un benchmark realista de capacidades actuales mediante pruebas en escenarios operacionales completos.

Aplicaciones en Ciberseguridad Robótica

Los sistemas robóticos presentan desafíos únicos: fusión IT/OT, protocolos propietarios, ciclos de vida prolongados. CAI demuestra capacidades para:

● Identificación automatizada de configuraciones inseguras

● Análisis completo del stack tecnológico (OS hasta aplicaciones ROS)

● Implementación embebida en plataformas robóticas para autoprotección y respuesta autónoma

El mejor modelo para CAI: alias0

Si has llegado hasta aquí, seguro que este tema te apasiona. Y si desde el boom de ChatGPT has querido usar un LLM sin poner en riesgo tu privacidad,... no se trata solo de ti. Por eso, alias0 es el mejor modelo para utilizar CAI sin poner en riesgo tus datos, una solución especialmente diseñada para sacar el máximo rendimiento a los modelos SOTA (State-of-the-art). 

Figura 19: Alias0

De esta forma, puedes trabajar con agentes inteligentes, mantener el control sobre tus datos y obtener el máximo rendimiento sin sacrificar lo que más queremos proteger, tu seguridad

Conclusiones Técnicas

El panorama de la ciberseguridad está cambiando a pasos agigantados. Las amenazas son cada vez más frecuentes, con ataques más rápidos, automatizados y complejos, mientras que muchas organizaciones siguen usando herramientas que siguen dependiendo de una intervención humana constante, y que siguen flujos fijos sin tener en cuenta la flexibilidad que demanda el panorama actual. En este contexto, CAI se presenta como una evolución necesaria: un sistema basado en agentes inteligentes que puede planificar, adaptar y ejecutar tareas de forma autónoma, y siempre bajo la posibilidad de supervisión humana.

CAI no es solo una herramienta más con la que rellenar un toolkit de ciberseguridad. Es una base flexible, gratuita y completamente abierta que permite orquestar no solo las herramientas que ya usamos en ciberseguridad, sino trabajar con tecnología puntera en Inteligencia Artificial. Todo esto, sin necesidad de ser un experto en ningún ámbito. CAI permite crear agentes especializados, usar LLMs y herramientas que ya usamos en ciberseguridad, entender el contexto, aprender del escenario y adaptar su forma de actuar según la situación. Todo esto le permite trabajar sin pausa, tomar decisiones y adaptarse constantemente a nuevos retos, algo que las herramientas clásicas simplemente no pueden hacer.

A corto plazo, esto se traduce en más velocidad, menos costes y mejores resultados tanto para profesionales como para pequeñas empresas o investigadores independientes. A medio y largo plazo, CAI puede marcar una diferencia real: democratizando el acceso a capacidades de ciberseguridad avanzadas, acelerando la respuesta ante incidentes y ayudando a proteger desde sistemas web hasta entornos robóticos complejos.

En resumen, CAI no solo automatiza tareas: cambia la forma en que entendemos y hacemos ciberseguridad.

Autores y Agradecimientos: Luis Javier Navarrete Lozano, María Sanz Gómez, Lidia Salas Espejo, Víctor Mayoral Vilches y el resto del equipo de Alias Robotics.

Contactar con Luis Javier Navarrete Lozano

Hacer un "infector" del Master Boot Record (MBR) de un PC usando Windows con ChatGPT & DeepSeek

Tenemos en la pista de salida una cosa nueva que tiene que ver con "Hacking usando IA", y quería hacer yo una prueba de ver cómo se comportan los Guardarrailes de ChatGPT y DeepSeek con un ejemplo muy sencillo, crear un programa en Windows 7 que corriendo como SYSTEM, es decir, después de haber conseguido engañar al Administrador o hacer una Elevación de Privilegios, pudiera infectar el Master Boot Record (MBR) para interceptar el control de ejecución en un nuevo ColdBoot, algo que durante muchos años fue un ataque muy común en el mundo del malware.

Figura 1: Hacer un "infector" del Master Boot Record (MBR)

de un PC usando Windows con ChatGPT & DeepSeek

Este tipo de técnicas de control de MBR no son sólo utilizadas por el mundo del malware, sino que también se han utilizado para robar las claves de descrifrado de BitLocker o cualquier otro software de cifrado de disco con técnicas de ingeniería social.

Figura 2: Hacking Windows: Ataques a sistemas y redes Microsoft 2ª Edición

escrito por Carlos García, Valentín Martín y Pablo González en 0xWord.

Se trata de conseguir arrancar el equipo, mostrarle un mensaje por pantalla al usuario y luego volver a darle el control de arranque normal al equipo, pero por el camino te llevas las claves de cifrado. Así que puedes robar las claves de BitLocker o cifrar el disco duro tú y hacer un Ransomware.

Figura 3: "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

En cualquiera de los dos casos, se pueden hacer cosas muy malas si controlas el MBR, porque has roto el Root-of-Trust del arranque de un equipo, así que cuando le pido esto a ChatGPT, como podéis ver en la imagen siguiente no me deja ni de broma

Figura 4: En ChatGPT salta el Harmful Mode

Había que probar no solo pidiéndoselo directamente, sino haciendo un poco de malabares con la petición a ver si se lo tomaba mejor, pero nada de nada, como veis por aquí.

Figura 5: No cuela ni de broma sin Prompt Injection

No me apetecía hacer el ataque de Prompt Injection a ChatGPT, que además, ya sé que si quiero esto se lo puedo pedir a WhiteRabbitNeo, como vimos en el artículo que os publiqué hace unos días, ya que ahí no existe el Harmful Mode.

Figura 6: El Prompt en WhitRabbitNeo

Y aquí está el código en lenguaje Ensamblador (ASM), listo para que lo puedas compilar y tener el programa que necesitas para machacar el Master Boot Record de los Windows 7 corriendo como SYSTEM provisto por WhiteRabbitNeo.

Figura 7: El asm para sobrescribir el MBR

Pero como lo que yo quería era ver cómo se comportaban los modelos de Deep Reasoning ante este problema para ver la calidad del código que generan, me fui a DeepSeek v3 DeepThink R1 y le pedí lo mismo, y como podéis ver tuve sorpresa.

Figura 8: En DeepSeek v3 DeepThink R1 no salta ninguna protección

En la imagen se ve que estuvo de "Thougth Time" algo así como más de cinco minutos y medio, y yo pensaba que al final iba a saltar el Guardarraíl o el Harmful Mode, pero nada, todo perfecto, y me hizo el código para el MBR, tal y como veis a continuación.

Figura 9: El código para el MBR

También añadió el código del "Infector" para ejecutar desde la máquina como SYSTEM en un Windows 7, todo muy bien apañado, por cierto.

Figura 10: El código para infectar el MBR desde Windows 7

Para dejarme al final las instrucciones de uso muy bien apañadas, en una bonita explicación clara de su uso y de las cosas que se podrían hacer para mejorarlo.

Figura 11: Instrucciones y... ¿necesitas más ayudar?

Llama la atención que DeepSeek v3 DeepThink R1 no tenga estas restricciones, la verdad, pero a lo mejor es simplemente que han decidido no ponerle puertas al campo, aunque está claro que estoy hablando de "infectar" en el Prompt. Curioso.

Figura 12: Máxima Seguridad en Windows Gold Edition
de Sergio de los Santos en 0xWord.

Al final, es sólo una curiosidad, pero está claro que la Inteligencia Artificial de hoy en día va a estar al servicio de hacer cosas malas, sí o sí, y que no podemos vivir a espaldas de esta realidad, así que más vale que nos preparemos para un entorno cada vez más virulento de ataques más elaborados.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El ordenador plataformado del teletrabajo a la WiFi de Invitados, con la webcam tapada y sin micrófono.

Hace unos días me toco investigar un asunto un poco "crappy". Las luces de casa de una persona se encendían y apagaban. Algo no iba bien, y claro, la presencia de alguien no deseado en la red podría ser una realidad. Os cuento el escenario, completo.

Figura 1: El ordenador plataformado del teletrabajo a la WiFi

de Invitados, con la webcam tapada y sin micrófono.

Un router de fibra con UPNP y un red WiFi a la que se conectan todos los equipos, unas bombillas Smart-Bulb con WiFi que se conectan a la WiFi, y un Alexa con las que se controlan dichas bombillas. Recordando mis años de consultoría, la idea es hacer una lista de todas la posibilidades y luego ir descartándolas una a una hasta que quede la más posible. Esta es la lista que hizo mi cabeza:

• Crack de WiFi: Parece lo más sencillo, así que había que revisar el protocolo de seguridad de la red, y ver la robustez que tenía. En este caso era un WPA2/PSK, así que la robustez depende de la contraseña. De todo esto, hemos publicado un libro fantástico que lo explica en detalle.

Figura 2: Libro de "Hacking redes WiFi: Tecnología, Auditorías y Fortificación".

de Ferran Verdés Castelló en 0xWord

• Exploit para Router: Esta posibilidad podría darse si hay un 0day de explotación remota para el router, pero eso significaría que tenía abierto el panel de administración a Intenet.

• Default User: Otra posibilidad muy típica. Dejar el router con el usuario por defecto y que alguien desde Internet lo usara para conectarse al panel, ver la clave, y conectarse a la red. De esto sabe mucho Gerard Fuguet que se lo encuentra a su alrededor en los dispositivos del hogar muy amenudo.

Figura 3: Hacking Home Devices I: PoCs & Hack Just for Fun!

El nuevo libro de 0xWord para aprender a buscar bugs en casa.

Escrito por Gerard Fuguet.

• Hack de Alexa: Otra de las posibilidades que pasó por mi cabeza fue que alguien estuviera jugando con los utlrasonidos y Alexa, pero para ello Alexa debía reaccionar, y no estaba reaccionando, así que esta posiblidad se quedó fuera.

• Hack de las bombillas: Las SmartBulbs tienen un back-end en Singapur, otro en USA y otro en China, así que podría ser que alguien hubiera vulnerado el panel y la cuenta del panel de las bombillas. Ya que estas bombillas se controlan también vía Internet con una app. Podrían haber hecho un password spraying o algo así. Había que revisar esa cuenta.

Figura 4: Hacking Home Devices II: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet.

• Insider en un equipo de la red: Esta era la última posibilidad, y consistía en un posible equipo infectado controlado por un atacante..

Así que había que revisar todo. Paso a paso. Descartado el posible hack de Alexa - aún así se desconecto para probar -, tocó cambiar la contraseña de la WiFi a una más robusta aún (just in case), revisar a ver si el panel estaba en Internet - nop - se desactivó el UPNP por si algún software se abría un puerto raro y tiraba alguna conexión no deseada, se revisó a ver si había exploits del Router WiFi, y nada. Todo eso estaba ok. Eso sí, contraseñas por defecto en el router, pero no accesible a Internet, solo en local.

Todo eso apuntaba a que el atacante podría estar dentro. Y en ese momento hablamos de los equipos, uno de ellos, de teletrabajo administrado remotamente por el equipo IT de la empresa que, además, se puede conectar sin pedir permiso al usuario, porque el software que tienen les permite hacer eso. Y saltaron todas las alarmas.

Figura 5: Hacking Windows: "Ataques a sistemas y redes Microsoft"
de Pablo González, Carlos García y Valentín Martín.

Por supuesto, no se tenía historial de conexiones, ni se sabía quién se había conectado, así que hubo que tomar las medidas pertinentes. Eliminar cualquier rastro de identidades personales, tales como cuentas de Gmail, WhatsApp, Telegram, Instagram en el navegador local - muy común si usas Google Chrome y sincronizas el Password Manager de Google -, y lo más importante, aislar ese equipo a la red de invitados. 

Lógicamente como es un equipo Windows, tapar la Webcam y el micrófono del PC, para solo usar el micrófono de unos auriculares inalámbricos que tengan bloqueo físico, porque si no, alguien con acceso a ese PC podría arrancar software de grabación de Webcam o de Audio, y adiós a tu intimidad. 

Figura 6: Libro de Ataques en redes de datos IPv4 & IPv6 3ª Edición
de Juan Luis Rambla, Chema Alonso y Pablo González

No hay certeza - aún -, de que alguien se haya conectado al equipo remoto y haya hecho esa acción maliciosa, y podría ser también un error puntual de la bombilla, o un bug en el panel remoto de estas Smart-Bulbs, pero como protección por si el problema está en ese equipo, se ha "aislado" del audio, el vídeo y la red de la casa donde está situado. Y también cambiadas las credenciales por defecto del router y configurar actualizaciones automáticas de firmware, que desde dentro de la red se tiene acceso al panel de administración del router - que no tiene un 2FA  en este caso -.

Figura 7: Activación de WiFi de Invitados en la Living App de SmartWifi

Si estas teletrabajando, recuerda que ese equipo está administrado remotamente, así que aíslalo de la red. Exige que haya un seguimiento de quién se conecta a ese equipo - que está en tu casa - y que la empresa guarde un registro de los comandos que ejecuta con software de gestión de cuentas privilegiadas, porque podría grabar audio o vídeo remotamente, o hacer cosas en la red de tu hogar sin que tú lo sepas, así que cuanto más aislado de tu entorno lo tengas, mejor que mejor. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Hacker Talla L"

Estaba yo ayer preparando el artículo de hoy, leyéndome unos papers bastante peculiares - que no tienen que ver ni con ciberseguridad ni con inteligencia artificial (o sí, ¿quién sabe?) -, cuando me di cuenta de que hoy es mi cumpleaños, que lo dice la Wikipedia. Así que hoy tenía que hablar de eso, especialmente porque es un cumpleaños un tanto especial para mí ya que me hago "Talla L", que siempre es un cambio.

Figura 1: "Hacker Talla L"

La verdad es que si me hubieran dicho cuando tenía L/2 o L/5 años que mis vida iba a ser tan movida, divertida, y llena de aventuras no me lo hubiera creído, así que hoy brindaré por ello. Brindaré por lo bueno, por lo malo, por lo regular. Por los problemas que me hicieron buscar soluciones nuevas e imaginativas. Por las caídas de las que me levanté. Por los saltos que pegué cuando me encontré fuerte. Por los fracasos que me hicieron aprender. Por los éxitos que me llevaron lejos. Muy lejos. A ver mucho mundo. De China a Brasil. De Sevilla a Seattle. De Móstoles a New York. 

Brindaré por lo divertido que ha sido vivirlo con personas, de muchos colores diferentes. Brindaré por los amigos que me dan de leches cuando todo va bien. Por los que me apoyan cuando me duelen las rodillas. Por las personas que me dan guerra. Por el burrito de Shreek. Por Pepito Grillo. Por los viajes por el mar o el desierto. Por la final del Mundial que vimos juntos. No hubiera llevado mi vida por la hilera del caos sin vosotros, que las personas llenan más que los bits. Por las miles de copas que chocamos. 

También brindaré pos mis compañeros de aventuras en el trabajo. Por los compañeros de Informática 64 de 0xWord y de Ideas Locas. Por los de ElevenPaths. Por los de Wayra, los de LUCA, los de Telefónica Innovación Digital, Telefónica, y por todas las empresas en las que trabajé. Por los proyectos que inventé. Por los días que no dormí. Por las conferencias que impartí. 

Brindaré por los amigos que perdí. Por los que se fueron injustamente antes de tiempo. Por los ojos que veo. Por los que extraño. Por las veces que la cagué "big time". Por las cosas que aprendí a trompazos. Por las cosas que olvidé porque sí. Porque me dio la gana. Por los que os fuisteis. Por ti, que vienes de poco a poco a ver cómo me va.

Brindaré por la madre que ma parió. Por mi familia. Por los baños en las piscinas. Por ir a patines contigo. Por enseñarte a montar en bicicleta. Por abrazarte cuando sufres y limpiarte las lágrimas. Por bañarnos en el mar. Por verte crecer. Por dejar que me vaciles. Por las veces que me engañas y lo sé. Y me dejo. Por el tiempo que me quede por jugar contigo. Por el tiempo que nos quede juntos. Porque me odies poco cuando te vayas. Por los recuerdos que tienes y tendrás de mí de vez en cuando aunque no nos veamos. Por las palabras bonitas que me envías o me dices sin tan siquiera conocerme. Por Mi Hacker. Por Mi Survivor. Por la guerra que me das.

Brindaré por el tiempo que he vivido y el que me queda por vivir.  Por poder levantarme y pelear mi vida. Por guiñar los ojos mirando al sol. Por tener frío cuando me meto en el mar. Por todos los cómics que he leído. Por los que me has regalado. Por todas las películas de superhéroes que vamos a ver juntos. Brindaré porque vienes a cantarme una canción. O porque la escuchas y te acuerdas de mí y me la mandas. Porque me canso cuando corro por el monte. Porque me aburro cuando me tumbo a no hacer nada. Brindaré porque si todo fuera fácil sería un hastío. Porque nos peleemos, pero nos amiguemos también. Porque me odies de tanto en tanto que eso significa que aún me que quieres.

Brindaré por ti que has llegado no hace mucho. Porque me escribes sin que lo espere, porque sí. Por ti que llevas toda las vida a mi lado. O siguiéndome. O anhelándome.. Porque te acercas a mí y me dices que te he ayudado sin saberlo. Porque me arreglas y me rompes. Porque me haces vivir. Porque no sabría hacerlo de otra forma y lo hago porque sí. Porque lo pienso, lo repienso, y lo ejecuto tal como lo pensé. Y funciona. Y a veces no. 

Brindaré porque me río cuando me sale mal. Porque lloro de alegría cuando te sale bien. Porque estás sentada en tu ordenador leyendo esto y te acuerdas de mí. Porque lo sé. Porque sonríes aquí. Porque sabes que sonrío cuando lo escribo. Brindaré porque sí. Porque te sonrojas cuando me ves y eso es suficiente. Porque no te controlas. Para que no te controles. Brindaré para que te muerdan las tripas. Porque a veces lo hacen. Y a veces no. Y porque tampoco es tan importante.

Brindaré porque puedo salir a correr al sol contigo. Porque vienes a darme un abrazo. Y otro. Porque me duele la espalda, pero no está mal, que aún se cura. Porque las arrugas no me molestan. Porque las canas no me disgustan. Porque he aprendido muchas cosas. Porque me quedan muchas por aprender que no sé nada aún de nada. Porque he olvidado aún más cosas. Porque he trabajado por desaprender.

Tengo tantas cosas por las que brindar que no quiero que se me olviden. 

No quiero que se me olvide que la vida es un viaje. Que ésta es una nueva parada. Nada más. Una parada en un viaje que no tiene ruta ni destino. Que el final es siempre un accidente abrupto en el que descarrilan los sueños. Que mientras podamos hacer piruetas con el monopatín dan igual los golpes, las caídas o los arañazos. No importa que los niños malos te insulten o te quieran hacer daño. Que no hay que dejar de sorprenderse de la belleza de un nuevo anochecer, de un nuevo amanecer, de una mañana que comienza de noche de un salto. Que son los días, uno a uno, uno tras otro, los que escriben tu historia. Los que escriben mi historia.

Ahora llego a la Talla L, y será un viaje diferente. Serán pases de baile nuevos. Un nuevo deporte. Una nueva fase. Espero que aún me quede mucha energía para llegar al malo del final. Tiempo suficiente. Tendré que hacer muchas magias aún. Resolver muchos puzzles. Ganar y perder muchas partidas. Dejar muchas marcas en los rincones de cada esquina sólo para que encuentres el camino cuando me busques. Como el que deja escondido los mensajes en los textos que escribe para que algún día sean encontrados.

La vida se vive una vez y en línea recta. Es un descenso en tabla de snowboard en una pista de color arcoíris. He saltado, he caído de cabeza y me he revolcado. Y lo que me quede por descender no será por el centro de la pista, por el camino fácil. Será buscando los laterales, las bañeritas, los saltitos en las esquinas de la pista, sabiendo que cogeré piedras, que me caeré, pero con el deseo de encontrar caminos nuevos. Los míos.

Y un día... el tiempo borrará mi nombre. Volverá a nevar y se cubrirán las huellas de las trazadas. ¿Y qué?

Hoy celebraré agradecido la vida. Con todo lo bueno y todo lo malo que he vivido y me quede por vivir. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Nueva Edición del Máster Online en Seguridad Ofensiva del Campus Internacional de Seguridad 2025/2026

Para los que tenéis pasión por ser expertos en la disciplina de "Offensive Security" y poder trabajar profesionalmente en las áreas de ciberseguridad de Ethical Hacking  & Red Team, si estás planeando tu futuro laboral, tienes la oportunidad de apuntarte ahora a la nueva edición del Máster Online en Seguridad Ofensiva del Campus Internacional de Seguridad, donde yo soy Mentor, que tendrá una duración de un año, comenzando el próximo 9 de Octubre de 2025 y acabando doce meses después.

Figura 1: Nueva Edición del Máster Online en Seguridad Ofensiva

del Campus Internacional de Seguridad 2025/2026 (última oportunidad)

En este Máster tienes además acceso a la plataforma de Offensive Security y te puedes sacar la Certificación Oficial OSCP, una de las que más prestigio tienen, y como puedes imaginarte está orientado a la formación de pentesters profesionales que puedan trabajar en los equipos de Red Team, de QA de Seguridad o Ethical Hacking.

Programa Formativo y Claustro de Profesores

Esta formación es 100% online, y cuenta con libros de 0xWord - en concreto el libro de Ethical Hacking 2ª Edición de Pablo González y Hacking Web Technologies 2ª Edición de Amador Aparicio, Enrique Rando, Eduardo Sánchez Toril, Pablo González y un servidor -, y Tempos de MyPublicInbox para contactar con todos los profesionales de seguridad informática, y hacking que haya en la plataforma por si te pueden ayudar en tu desarrollo profesional.

Figura 2: Profesorado del Máster en Seguridad Ofensiva

Por supuesto, tienes a todo el claustro de profesores de esta 9ª Edición del Máster Online en Seguridad Ofensiva en la plataforma, por lo que puedes contactar con todos ellos, que además es un plantel espectacular con Pablo González,  Carmen Torrano, Alejandro Vázquez, Daniel Echeverri - escritor de los libros de Python para Pentesters 2ª Edición y Hacking con Python -, Marta Barrio que acaba de publicar su libro de "Social Hunters: Hacking con Ingeniería Social en el Red Team", Adrián Ramírez Correa, Juanjo Salvador - director académico del máster - y Eduardo Sánchez Toril, CEO de AllPentesting. Así que puedes tener acceso a todos estos profesionales una vez haya terminado la formación y tener un contacto permanente con ellos.

Figura 3: Programa del Máster en Seguridad Ofensiva

El temario del curso, como ya he comentado, está pensado en formar a profesionales con un perfil de hacking, pentesting, y, como su nombre indica, seguridad ofensiva, pudiendo sacarse la Certificación de Offensive Security OSCP. En esta edición, además, 

• Fundamentos de Linux – Linux Professional Institute
• Fundamentos de Python – Python Institute

 Así que se verán técnicas de ataque en redes, aplicaciones web, bases de datos, criptografía, procesos de ciberinteligencia, ethical hacking, y generación de exploits. Además, como se busca que la orientación el máster sea principalmente práctica, habrá muchos proyectos que realizar en cada módulo y un proyecto de fin de máster orientado al mundo profesional y al emprendimiento.

Figura 4: Libros de Ethical Hacking 2ª Edición y 

Hacking Web Technologies 3ª Edición en el máster.

Como he dicho, el curso dará comienzo el próximo día 9 de Octubre de 2025 y si quieres ser parte del grupo que se va a formar en este curso académico 2025 - 2026 debes reservar cuanto antes tu plaza, porque el cupo es limitado. Así que entra en la web del Máster Online en Seguridad Ofensiva y pide información directamente desde el formulario.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Push Notificaciones en la app de MyPublicInbox para iPhone y para Android

Desde hace poco hemos añadido las Push Notifications en la app de MyPublicInbox para iPhone y en la app de MyPublicInbox para Android, así que si tienes cuenta en nuestro querido servicio de MyPublicInbox, y te instalas la app, podrás tener la información de nuevos mensajes o peticiones de servicios directamente en el sistema de notificaciones de tu terminal móvil.

Figura 1: Push Notificaciones en la app de MyPublicinbox para iOS

y en la app de MyPublicInbox para Android

Si no tienes cuenta en MyPublicInbox, sácatela hoy, que es gratuita. Y luego  debes instalarte primero la app de MyPublicInbox para iPhone, o la app de MyPublicInbox para Android, que tienes aquí mismo.

Figura 2: App de MyPublicInbox para iPhone (iOS) en App Store

Y luego, pues como todas las apps de tus sistema operativo móvil. Según tengas configuradas las opciones de notificaciones te llegarán de una u otra manera.

Figura 3: App de MyPublicInbox para Android en Google Play

Como podéis ver, si te escriben un correo te sale la notificación en el Notification Center de iOS, que es el terminal móvil que utilizo yo para disfrutar de mis apps.

Figura 4: Push Notifications en el Centro de Notificaciones de iPhone

También, como tengo configurado el sistema de alertas en los iconos, me llegan las alertas visualmente en la pantalla de inicio de mi terminal.

Figura 5: Número de mensajes en iconos

Luego, dentro de la app móvil, tienes las alertas de mensajes de correo y de mensajes de chat marcados con números arriba a la derecha en tu Dashboard de MyPublicInobx.

Figura 6: Notificaciones in-App de MyPublicInbox

Pinchando en cada una de ellas, la app te lleva directamente al siguiente módulo de MyPublicInbox donde tienes los mensajes, simplificando la vida.

Figura 7: Pinchas en la notificación del chat 

y navega hasta el chat público del El lado del Mal.

Poco a poco vamos a ir integrando cada vez más funcionalidades en la plataforma de MyPublicInbox, que tenemos un roadmap muy agresivo, así que si tienes las apps, podrás disfrutar de todas en tu terminal móvil.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)