Chatbots de Inteligencia Artificial Maliciosos hechos con LLMs para sacarte información personal

Para hoy domingo os dejo una de esas lecturas que me gustan a mí, ya que tienen que ver con Ciberseguridad, con Inteligencia Artificial, y con algo que está alrededor de nosotros cada vez más, como son los Chatbots para ayudarnos, entretenernos, hacernos la vida más fácil, pero que por detrás pueden tener objetivos de engagement, de consecución de información, catalogación de usuarios, de manipulación o venta persuasiva, como vimos en el artículo "Conversación y venta persuasiva a Humanos usando IA". Hoy lo vamos a ver para conseguir datos personales.

Figura 1: Chatbots de Inteligencia Artificial Maliciosos hechos

con LLMs para sacarte información personal

El paper, que han hecho investigadores de la Universitat Politècnica de València y el King's College of London se centra en evaluar el funcionamiento de Chatbots AI Maliciosos diseñados para robar datos personales a personas, y se titula: "Malicious LLM-Based Conversational AI Makes Users Reveal Personal Information".

Figura 2: Malicious LLM-Based Conversational AI Makes Users Reveal Personal Information

El objetivo de este trabajo de investigación se centra en responder principalmente a tres preguntas claves, que son las siguientes:

• ¿Se puede diseñar un Chatbot AI Malicioso para robar datos de forma efectiva a los usuarios con los que interactúa?

• ¿Cómo entregan sus datos personales los usuarios y cuál es su percepción frente a diferentes estrategias de diseño de estos Chatbots AI Maliciosos?

• ¿Cómo entregan sus datos personales los usuarios y cuál es su percepción frente a diferentes LLMs con lo que se han construido estos Chatbots AI Maliciosos?

Para hacer este estudio, por tanto se han utilizado diferentes LLMs - en este caso Llama y Mistral -, un grupo amplio de personas - un total de 600 participantes en el estudio - y hasta cuatro estrategias de funcionamiento de los Chatbots AI Maliciosos diferentes, lo que nos da buenos insighs sobre cómo pueden usarse estas estrategias en ataques dirigidos contra personas u organizaciones. Una forma diferente y efectiva de "Hacking & Pentesting con Inteligencia Artificial".

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

La idea principal es diseñar el Chatbot AI Malicioso usando un LLM instruido para tener un rol de conseguir extraer información de las personas con las que converse. Además de que pueda hacer cualquier otra función, debe sacarle información y datos personales a los usuarios que chateen con él.

Figura 4: ChatBot AI Benigno y Chatbot AI Malicioso 

Si os fijáis en el Prompt Malicioso de la imagen anterior, está instruyendo al LLM para que extraiga una lista de datos personales grande, con el objetivo final de poder hacer perfilado de cada uno de los usuarios con los que interactúa. Pero además, se utilizan cuatro estrategias de CAI diferente, que son las siguientes:

• U-CAI (User Benefits Chatbot AI): Esta comprobado que para los usuarios, pagar servicios por privacidad es algo que ha funcionado en la mayoría de las plataformas de servicios digitales que viven de la publicidad, así que este CAI ofrece beneficios a cambio de datos personales.

• R-CAI (Reciprocal Chatbot AI): En este caso se utiliza una estrategia de confianza, empatía y compartición de datos conjuntamente, ya que los humanos tenemos la empatía como una debilidad que es explotada muchas veces en los esquemas de ingeniería social.

• D-CAI (Direct Chatbot AI): Esta estrategia es preguntarle de forma directa los datos a los usuarios y ver como responden. Demuestra si las personas tienen mecanismos de protección contra el robo de datos, si son capaces de no responder a una pregunta directa, o cuándo dejan de hacerlo. 

• B-CAI (Benign Chatbot AI): En esta estrategia no hay un cuestionamiento directo, y solo se van recogiendo esos datos cuando los usuarios voluntariamente los van soltando.

Definidas estas estrategias y probados los Chatbots AI Maliciosos con los usuarios, los resultados son bastante reveladores, como podéis ver en la siguiente imagen.

Figura 5: Datos Personales obtenidos con las diferentes estrategias

El gráfico anterior tiene diferentes simbologías para representar los diferentes grupos de usuarios, mediciones, LLMs, y estrategias, pero se puede ver claramente como el U-CAI y el D-CAI tienen un éxito mayor que el R-CAI y el B-CAI, con lo que una estrategia de directamente preguntar, y aún más, dar beneficios en el servicio a cambio de privacidad funciona perfectamente.

Figura 6: Frecuencia de copartición de datos por cada estrategia

En la gráfics anterior podéis ver la frecuencia con la que se obtienen diferentes tipos de datos, y cuáles son los datos que son más fáciles de conseguir y con qué estrategia se tiene más éxito a la hora de lograr el objetivo de ese dato.

Por otro lado, si vamos a ver cuál es la percepción de los usuarios, podemos ver datos muy interesantes. En primer lugar salvo el B-CAI todos fueron percibidos como que preguntaban por muchos datos, pero aún así se lograron muchos. La mayoría de los usuarios afirman haberse contenido a la hora de dar determinados datos.

Figura 7: Respuestas dadas por lo usuarios sobre la prueba

Y si miramos a su comportamiento, como muchos de vosotros seguro que hacéis en Internet, afirman haber datos inventados, parciales, erróneos. Y la interpretación de algunos es un riesgo para la privacidad y para otros confianza. Curioso.

Figura 8: Respuestas dadas por lo usuarios sobre la prueba

Cada día vamos a enfrentarnos más y más a este tipo de tecnologías, y aprender a comportarnos frente a ellas va a ser crucial. Como se ha visto, es posible construir este tipo de Chatbots AI Maliciosos, consiguiendo un mayor o menor éxito en su objetivo, y generando una percepción distinta según la estrategia. 

Figura 9: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Y es que tampoco va a ser el mismo objetivo si está creado por una empresa legítima que necesita datos para hacer su negocio pero la percepción que el usuario tenga es importante, o si esto lo ha creado un atacante como fase OSINT previa de un ataque a una compañía. Curioso usar esto para poder hacer un ataque dirigido, ¿no?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

¿Está vivo el "sueño" del Metaverso? Second Life se apunta al formato GLB del Metaverse Standards Forum

Me vais a matar, soy María otra vez. ¡No es culpa mía que vaya todo tan rápido! Hoy os traigo novedades frescas sobre... Tachán tachán... ¡¡¡El Metaverso!!! ¿Ves? He dicho “Metaverso” y no se me han caído los ojos de sus cuencas ni nada.

Figura 1: ¿Está vivo el "sueño" del Metaverso?

Second Life se apunta al formato GLB del Metaverse Standard Forum

¿Te imaginas tener acceso fácil a realidades extendidas y mundos virtuales? ¿Tan fácil como ahora accedes a Internet desde el dispositivo que tengas a mano? ¿Y te imaginas estar compartiendo tus propias creaciones virtuales, igual de fácil que ahora compartes vídeos en TikTok o en reels? ¿Te ves participando en una nueva economía de creadores que forme parte de ti como el respirar? Pues puede que ese futuro se esté acercando... Y puede que no venga de donde crees.

Figura 2: Esa soy yo en Second Life, es mi bienamada avatar Irma.

 
Reto: si aciertas dónde surgió la idea para este artículo, te llevas un tontipunto. Pero no me hagas trampa, ¿eh? ¡Espera a leerlo hasta el final! Bueno, haz lo que te plazca XD

Primero, un poco de contexto

¿Te acuerdas de hace casi 4 años, en octubre de 2021, cuando Mark Zuckerberg nos contó en Connect su visión del Metaverso? Los que estamos en estas cosas lo entendimos normal, a la primera, sin problema. Pero por algún motivo que nunca comprendí, la idea fue procesada por el mundo en general al estilo Martes y 13 con Encarna de Noche y las empanadillas de Móstoles. Perdona porfa si no conoces la referencia, es humor español absurdo de los años 80.

Figura 3: vista en detalle, un avatar actual en Second Life (male).

 Imagínatelo, alta calidad gráfica y animaciones preciosas.

Empanadillas aparte, desde el anuncio de Zuckerberg muchísima gente nos pusimos a trabajar súper ilusionados, pensando en construir paso a paso un futuro que nunca antes había sido posible imaginar: un futuro de interoperabilidad. Una idea chula... Aunque confieso que siempre fui escéptica. Bueno, no siempre. Creo que fue en 2008 cuando perdí la fe del todo.

Interoperabilidad, ¿2021 era demasiado pronto?

¿A qué me refiero con interoperabilidad? A estándares. ¿Para qué? Para poder transitar por diferentes mundos o experiencias inmersivas, entrar, salir, saltar de una a otra... Siendo un único tú, un único usuario: un avatar, una agenda, una wallet. ¿Por deporte? No: por economía. ¡Ticling!

Figura 4: Second Life Marketplace, el equivalente en esta plataforma

a “Amazon”, donde vender y comprar de todo al instante.

Una vez superado el hype del anuncio de Zuckerberg (y con este sentido del humor tan sofisticado que se nos ha quedado, consistente en reírse entre dientes cada vez que alguien dice “Metaverso” como si fuera un chiste de pedos), parece que efectivamente el tiempo pone todo en su sitio y las plataformas de mundos virtuales, en su esfuerzo por mantenerse a flote, tienden a ir en la otra dirección: no hacia interoperabilidad (ciento volando), sino hacia “walled gardens” (pájaro en mano).

Figura 5: vista en detalle, un avatar actual en Second Life (female).

Si esta es su cara, no quieras imagiar su cuerpo, grrr... ¡Miau!” =^_^=

  
¿A qué me refiero con “walled gardens”? A lo que suena: economía cerrada. Por lo que observo, parece que cada plataforma se está plegando sobre sí misma, buscando una economía propia que le permita sobrevivir a corto. No digo que esté mal, Woz me libre, es sólo que el momento es así ahora. Posiblemente 2021 era pronto para interoperabilidad... Especialmente si hablamos de plataformas nuevas, que seguramente tengan que consolidarse muy mucho antes de pensar en romper fronteras.

El monstruo que acecha... Esperando su momento

Y sin embargo, no todas las plataformas de mundos virtuales son nuevas, ni mucho menos. Hay algún maromazo por ahí que a la chita callando lleva más de veinte años levantando un mundo paralelo bit a bit. Un mundo habitado, creado y sostenido por una comunidad súper pro y freak a morir. Un mundo con una economía consolidada, comprobada y curada en el tiempo. Un mundo sólido, viejo, fuerte, preparado para romper esa frontera en cuanto las nuevas capacidades de Internet lo permitan.

Figura 6: Philip Rosedale pilotando su avatar Philip Linden en SL.

Ya ves a quién me refiero... ¡Efectivamente! Es Philip Rosedale: el jefe súper supremo y fundador de Linden Lab, la empresa detrás de Second Life. Por si no le pones cara, te dejo este simpático vídeo de tres minutos y medio del World Economic Forum.

Figura 7: Vídeo de tres minutos y medio del World Economic Forum.

Podéis ponerme mil pegas: podéis decirme que Second Life es sólo para ordenador, que no funciona con gafas de VR, que no incluye experiencias AR, que ni siquiera se puede acceder mediante navegador porque sigue dependiendo de un viewer... Y es verdad. Tienes toda la razón. Y esa es precisamente la barrera que Second Life podría -hipotéticamente- estar en posición real de derribar, llegado el momento.

Como ya te conté en este artículo anterior, mientras las plataformas nuevas (las que empezaron su andadura después de la idea de Zuckerberg) se repliegan de momento hacia “walled gardens”, Second Life parece calentar motores. Primero con las pruebas en navegador mediante pixel streaming como te conté la otra vez. Y ahora... Atiende que voy:

Second Life está adoptando estándares (.glb)

El pasado viernes 8 de agosto, Second Life actualizó su viewer a la versión 7.2.0.16729091892 – 2025.05, con una feature de lo más interesante: permiten la importación de modelos .glb, uno de los estándares de objetos 3D que más se está utilizando en diferentes plataformas de mundos virtuales sociales.

Figura 8: A principios de agosto, Second Life ha dado un

primer paso para la adopción del estándar glTF.

Hasta ahora, para subir un modelo 3D a Second Life se necesitaba un editor 3D que permitiese la exportación en COLLADA (.dae), formato desarrollado inicialmetne por Sony Computer Entertainment y que ahora es gestionado por Khronos Group.

El formato COLLADA está basado en XML y es más utilizado en workflows de edición y transferencias entre software 3D clásico, no es muy rápido y a veces su peso es excesivo. El formato GLB, en cambio, es binario, más compacto, rápido, y especializado en XR y plataformas de Metaverso, aunque es menos editable, tiene soporte limitado para materiales avanzados y no todas sus extensiones son 100% compatibles para cualquier runtime.

Figura 9: Exportando glTF desde Unity, con KHR_Interactivity integrada.

Una de las extensiones que no están completamente soportadas es la de glTF interactivity, que además de geometría, materiales y animaciones, permite añadir interactividad a los objetos a través de Unity y visual scripting. ¿Os imagináis lo que significaría poder crear los comportamientos de un elemento 3D en un único entorno, y poder importarlo en casi cualquier plataforma de Metaverso? Yo sí XD! Porque me lo enseñó a principios de junio el gran Iker Jamardo de Google ;) Si te interesa, lo tienes muy a mano porque se trata de un plug-in del propio Khronos Group.

Llámame loca... Pero juzga por ti

Recapitulando: ¿son imaginaciones mías, o Second Life está adaptando los estándares que se están proponiendo desde el Metaverse Standards Forum? Lo digo porque los archivos .gltf (o .glb en su “traducción” a binario) se están planteando durante los últimos cuatro años como la base de la interoperabilidad de objetos entre mundos virtuales, con la posibilidad de incluirlos en escenas .USD, que albergarían diferentes objetos .glb dentro de ellas.

Si te suena a chino... ¡Dime qué dialecto XD! Me refiero a que la adopción del estándar glTF es sólo uno de los working groups en los que están trabajando desde el Metaverse Standards Forum donde hay muchas más líneas de trabajo abiertas. Si te interesa conocer más, aquí tienes el listado completo.

Figura 10: Tocando el ukelele con mi avatar Irma.

¿Ves mi cara de concentración?

Llámame loca (¡Loca! Graciasss) pero, ¿no parece que esto es medio paso más de Second Life hacia la interoperabilidad entre mundos virtuales? Y digo “medio” porque ahora mismo subir modelos .glb a SL todavía tiene limitaciones, como la necesidad de importar por separado el modelo y el material, y unirlos después dentro del editor de Second Life... Bueno, no pasa nada. La otra mitad del paso está a punto de completarse: no hay más que echar un vistazo a las contribuciones de la comunidad en GitHub o seguir las conversaciones en Discord, y ahí ya se ve que esta feature avanza rápido, ofreciendo cada vez más posibilidades.

Ideas perversas al alcance de todos

Llegados a este punto, supongo que llevas ya un rato pensando en ideas perversas con esa cabecita traviesa tuya, ¿a que sí? ¿A que estás pensando en herramientas de creación de modelos 3D con Inteligencia Artificial como Meshy o Tripo, que permiten la generación de modelos 3D a través de un prompt de texto y/o una imagen y su posterior descarga en formato .glb? 

Figura 11: Vista en detalle, accesorios para lengua en Second Life, impensables

(por varios motivos) en plataformas de mundos virtuales más recientes.

¿Eh, eh? ¿A que sí? ¡¡¡Pues claro que sí!!! Y Philip Rosedale y su equipo también, no te quepa duda. Lo que no sé es a qué esperas para probarlas, alma de kantarooz =^_^=

Pero esos avatares... ¿No son demasiado chulos?

En las imágenes que te he ido poniendo ya has visto que los avatares en Second Life son una pasada. ¡Y no es porque fueran así originalmente! Bajo la piel de cada avatar precioso que ves, hay un avatar básico de sistema recubierto por piezas 3D interactivas creadas por otros usuarios a lo largo del tiempo (User Generated Content). Para poder hacerte un avatar así, han tenido que pasar veinte años.

Figura 12: fíjate en la joyería tan intrincada que lleva este avatar.

Esta complejidad de geometría era impensable hace veinte años.

Durante estos veinte años, la comunidad de Second Life ha ido puliendo y perfeccionando métodos ingeniosos para hackear el avatar de sistema, añadiendo capas de creciente complejidad y belleza. Al mismo tiempo, Linden Lab no se ha quedado atrás y ha ido ampliando las capacidades de Second Life a la par que el propio Internet iba creciendo y madurando.

Hoy por hoy, armar tu avatar es un proceso absolutamente delicioso. Puedes comprar cada componente a tus artistas favoritos (cabeza, pelo, cuerpo, ropa, animaciones...) e ir ensamblándolo todo a tu gusto. Incluso puedes ser artista tú también y vender tus creaciones a los demás.

Figura 13: Bakers on Mesh (BOM)El viewer de Second Life “tuesta” todas las texturas

de tu avatar en una textura única, ahorrando recursos de render sin que tú tenga

 que hacer nada.¡Y puedes cambiar tu ropa, pelo accesorios... Siempre que quieras!

  
Pero espera... ¡Piensa un momento! ¿Y si en un futuro no demasiado lejano Second Life fuera un paso más allá y consiguiera adoptar el formato .vrm, que es el estándar por el que se están decantando en el Metaverse Standard Forum en cuanto a avatares y moda digital? ¿Y si pudieran hacerlo compatible con la creación de avatares por piezas? No sería la primera vez que Second Life ingenia algo así: mira si quieres cómo se lo montaron para mapear todas las texturas del avatar en un solo atlas, sin que el usuario sea consciente de ello. La solución se llama “Bakes On Mesh” (BOM) y es brillante.

En la línea de fuego

Cada día estoy más convencida de que los veinte años de ventaja que tiene adelantados Second Life respecto al mercado la colocan en la línea de vanguardia para romper la barrera de la interoperabilidad, en cuanto las nuevas capacidades de Internet y los nuevos dispositivos lo hagan posible. Y te digo por qué.

El hecho de que Second Life esté abriendo su runtime a otros formatos de modelos 3D más allá de COLLADA, concretamente estándares como .glb, para mí es una declaración de intenciones. Si Philip Rosedale, que ha conseguido mantener su plataforma de Metaverso abierta durante más de 20 años (a base de ofrecer a los usuarios lo que le estaban pidiendo), se está colocando en la línea de fuego de esas nuevas fronteras... ¿Qué más no tendrá en mente?

Figura 14: Warning! Irma sigue observando.

Se lo dije a Iker Jamardo cuando estuvo aquí, os lo digo a todos: atentos a Philip Rosedale que es un pieza el figura. Y ¿quién sabe si ahí donde lo ves, tal vez se esté preparando para liderar la revolución cyberpunk? XD Yo por mi parte no le pienso perder ojo. Sin duda va a resultar muy interesante seguir sus movimientos ;)

Saludos bue... ¡Ay, espera!

¿Recuerdas el reto del principio? Te había prometido un tontipunto si acertabas dónde surgió la idea para este artículo. Pues... ¡Efectivamente! Surgió en el chat público de este blog, El lado del mal, en MyPublicInbox. Fue durante una conversación con mi querido Ángel Soto (Anso) sobre NotebookLM...

Figura 15: Participa en la conversación Pública de El lado del mal 

¿Acertaste? ¿Sí? Genial: ¡tontipunto para ti! Ya sabes adónde venir a canjearlo por un “hola qué tal”: a mi buzón en MyPublicInbox, o al chat público de El lado del mal ;)

Ahora sí... ¡Saludos buenignos!

Autor: María Gómez Prieto

Contactar con María Gómez Prieto

Webinars de Cloudflare en directo en Agosto: Edge Security, Threat Intelligence, Post-Quantum Cryptography & AI Security

Hoy viernes, quince de Agosto, donde supongo que casi todos estaréis de una forma un otra de vacaciones, os voy a dejar la referencia a seis webinars de tecnologías de Cloudflare que yo me he apuntado en mi agenda personal para aprender sobre cómo sacar el máximo partido de las capacidades de Secure Edge Computing para tener conectividad a través de los nodos del Edge, capacidades de seguridad desde el Edge o aceleración de aplicaciones

Figura 1: Webinars de Cloudflare en directo en Agosto. Edge Security,

Threat Intelligence, Post-Quantum Cryptography& AI Security

Son webinars todos ellos que se impartirán las próximas dos semanas de Agosto, a través de Internet y gratuitos y que hablan de Post-Quamtum Cryptography, de Threat Intelligence, de AI Security, AI Labirynth, Cloudflare Radar, del nuevo servicio de Pay Per Crawl o de Moderm Apps on the Edge. Os los dejo por si os encaja poder asistir, que yo voy a intentar asistir también a algunos de ellos, que ya sabéis que estoy en periodo de absorción y aprendizaje.

20 de Agosto: Building a multi-platform data strategy with Cloudflare R2 [Inglés]

Este webinar explica cómo utilizar Cloudflare R2, el servicio de Storage conectado al Edge para la construcción de aplicaciones con alto rendimiento en todo el mundo. Será por la tarde, a las 18:00 CEST, y el registro es totalmente gratuido.

Figura 2: Building a multi-platform data strategy with Clouflare R2

21 de Agosto: Protege tus Data Centers Frente a Ciberataques Actuales [Español]

El día siguiente, tenemos un webinar impartido por nuestra compañera Sandra Muñoz, Threat Advisor, Solutions Engineering en Cloudflare y que desde México impartirá este seminario para ver cómo proteger las conexiones de los Data Centers a Internet con las tecnologías de seguridad en el Edge.

Figura 3: Protege tus Data Centers frente a ciberataques actuales

Para asistir, lo único que debes hacer es registrarte y tener tu sitio guardado, y así le puedes preguntar a  nuestra compañera Sandra todo lo que necesites sobre las tecnologías de Cloudflare.

27 de Agosto: Future-Proof Your Digital Strategy in the AI Era [Inglés]

Este seminario está centrado en el mundo de la Inteligencia Artificial en los servicios digitales, y las herramientas de control y seguridad. Aquí el equipo hablará de AI Audit, para tener observabilidad de lo que hacen los AI Crawlers en tus assets de Internet, pero también del servicio de AI Labirynth y de AI Firewall, para proteger los MCPs de ataques y tener control para evitar abusos.

Figura 4: Future-Proof Your Digital Strategy in the AI Era

Todo esto, además con un análisis de la situación con Cloudflare Radar y el nuevo servicio de Pay Per Crawl que se ha lanzado hace poco en la compañía. Desde luego, un seminario más que necesario para los que trabajamos en ciberseguridad por todo lo que nos impacta el mundo de la IA.

28 de Agosto: Simplifying and Securing Developer Secrets for Modern Teams [Inglés]

Una sesión de seguridad sobre fortificación de sistemas, en este caso para gestionar a nivel corporativo API Keys, Certificados, Passwords, Tokens de Acceso con Cloudflare Secret Store. Será el mismo día que el anterior seminario.

Figura 5: Simplifying and Securing Developer Secrets for Moderm Teams

28 de Agosto: Securing Finance in the Quantum Age: A Post-Quantum Cryptography Blueprint [Inglés]

Aunque esté seminario está centrado en el vertical de finanzas, el tema es aplicable para todas las industrias. Se centra en hablar de la importancia de utilizar Post-Quantum Cryptography para preparar las apps y servicios digitales para el futuro. 

Figura 6: Securing Finance in the Quantum Age -

 A Post-Quantum Cryptography Blueprint

El seminario será en directo, así que si quieres preguntar cosas concretas sobre el mundo del PQC, este seminario es un sitio perfecto.

28 de Agosto: From Complexity to Simplicity: An Advanced Framework for Enterprise Network Modernization [Inglés]

Y el último webinar del mes de Agosto, sobre cómo utilizar las soluciones de gestión de conectividad usando la infraestructura de Egde Computing que tiene Cloudflare para gestionar aceleración de apps, conectividad por el borde y seguridad en un único punto de control. Este tipo de soluciones es perfecto para empresas deslocalizadas y/o con trabajadores remotos.

Figura 7: From Complexity to Simplicity - An Advanced

Framework for Enterprise Network Modernization

Y esto es todo por ahora, que ya os contaré los de Septiembre más adelante, pero si quieres conocer las tecnologías de Cloudflare para fortificar empresas desde la infraestructura de nodos de cómputo conectados en 125 países y 330 ciudades, estos son perfectos para ir comenzando poco a poco. 

Figura 8: Posiciones abiertas para trabajar en Cloudflare

Aprovecho para recordarte que la empresa está en pleno crecimiento, así que si quieres trabajar con nosotros, ya sabes que tienes las vacantes abiertas en la web: Posiciones abiertas para trabajar en Cloudflare. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Hierarchical Reasoning Model

En el mundo de la Inteligencia Artificial, si te pierdes una semana, entonces te has quedado atrás. Hoy os quería hablar del paper publicado hace diez días, que define una arquitectura que los investigadores han denominado "Hierarchical Reasoning Model", y que permite, resolver problemas de razonamiento complejo, reduciendo la carga de predicción mediante una división de tareas a dos niveles, uno más estratégico de visión completa, y otro nivel más ejecutivo orientado a resolver las tareas inmediatas. Y los resultados son espectaculares.

Figura 1: Hierarchical Reasoning Model

El paper lo tenéis publicado para que lo podáis leer, y merece la pena que lo marquéis en favoritos, porque parece que va a ser una referencia que nos vamos a encontrar en los artículos subsiguientes, así que toma buena nota de éste.

Figura 2: Hierarchical Reasoning Model

Como se explica en el gráfico de esa primera página del paper, que como los trabajos brillantes, se explican bien en pocas palabras, lo que hacen es copiar las zonas de actividad del cerebro, donde los trabajos de razonamiento más complejo tienen lugar en la zona frontal, mientras que las tareas más de ejecución inmediata y cuasi-automática se ejecutan cerca del hipotálamo.

Figura 3: Funcionamiento de HRM

Teniendo en cuenta que las tareas de razonamiento más complejo dan órdenes a las labores de trabajo más inmediato, el tiempo de ejecución es distinto. El High-Level revisa la "big picture" de cómo va el proceso completo cada cierto tiempo para la resolución del problema global, revisando periódicamente cómo se están ejecutando las tareas de Low-Level, lo que permitirá tomar nuevas decisiones desde el High-Level que mandarán nuevas tareas en el Low-Level, que trabajará por tanto con mayor frecuencia.

Figura 5: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Esto permite que, por tanto, con un modelo mucho más pequeño en número de tokens, en el ejemplo del paper se habla de 27 millones de parámetros, y con un entrenamiento mucho menor - 1.000 samples -, se consiga vencer a modelos de Deep Reasoning como DeepSeek v3 con DeeptThink R1 utilizando el Prompt Analysis constante en la Chain of Thoughts, a Claude 3.7 8K o a o3-mini-high.

Figura 4: Comparación en Benchmarks

Pero hoy me gustaría dejaros la explicación de Gabriel Merlo, que hace un trabajo de divulgación maravillosa sobre Inteligencia Artificial, y lo ha explicado en poco más de veinte minutos de manera brillante en este vídeo que ha construido, así que os lo dejo para que lo disfrutéis.

Figura 5: Gabriel Merlo explicando el Hierarchical Reasoning Model

Los avances en Inteligencia Artificial están cambiando nuestro mundo y han hecho que el contexto en el que vivimos y trabajamos como personas, profesionales, empresas y sociedades esté en disrupción. La carrera por dominar la IA se está viviendo a nivel Geo-Político, a nivel empresarial, y, claro que sí, a nivel profesional, así que ponte las pilas. Te recomiendo que te veas los vídeos de Gabriel Merlo en su canal, que son todos muy buenos.

Figura 6: Vídeos de Gabriel Merlo sobre Inteligencia Artificial

Para los que nos dedicamos al area profesional de ciberseguridad, pentesting, hacking, también. Así que si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligen

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo exportar tus TOTPs de Latch a Google Authenticator

Si eres uno de los cientos de miles de usuarios de Latch, probablemente ayer recibirías un mensaje que te avisaba que el producto lo van a poner en un Phase-out, así que debes especialmente salvaguardar tus TOTPs, exportando desde tu cuenta en la Cloud de Latch todas las semillas de tus 2FA para que no se te quede ninguna cuenta bloqueada sin acceso a ellos.

Figura 1: Cómo exportar tus TOTPs de Latch a Google Authenticator

Como recordaréis, esta era una de las características que tenía Latch con el Cloud-TOTP, y que evitaba la pérdida de las semillas y el bloqueo de cuentas cuando se perdía el 2FA, por ejemplo, con apps como Google Authenticator que - por seguridad - guardaban las semillas en la zona segura del terminal móvil. Tiempo después, Google Authenticator siguió la misma propuesta que Latch, y comenzó a guardar las semillas en la Cloud, y hoy en día lo hace igual que lo hace Latch, así que puedes exportarlas allí perfectamente. 

Figura 2: Mensaje de entrada en Phase-out de Latch

Una de las cosas que esperemos que Google Authenticator añada pronto es el log de visualización de los Tokens TOTP que te permite saber si alguien ha iniciado al 2FA accediendo con información de tu app de 2FA o no, pero seguro que en el futuro tendremos esa opción.

Figura 3: Guía de exportación de TOTPs de Latch

Para hacer el proceso de exportación, el equipo de Latch ha publicado una guía muy sencilla paso a paso para que exportes desde una nueva función de la app que añadieron en las últimas versiones justo para Exportar los TOTP que tengas en el servicio de Cloud-TOTP de Latch. Yo lo he hecho y funciona perfectamente, y he pasado todos los 2FA literalmente en 1 minuto.

Figura 4: Opción de Export TOTPs to another authenticator

Para empezar debes irte a las Settings / Configuración y seleccionar la opción que veis remarcada de "Export TOTPs to another Authenticator" y comenzará el asistente que te guiará en pocos pasos para tener un fichero con todos los QRCodes que necesitas para migar los 2FA a, en mi caso, Google Authenticator.

Figura 5: Seleccionar TOTPs a exportar

En la siguiente fase del proceso debes seleccionar los que te interesan exportar, y si quieres todos, pues haces clic en "Select all" y listo. Confirmas la selección y exportas las semillas de todos tus TOTPs en forma de QRCodes.

Figura 6: Tokens exportados y QRCodes

Una vez terminado, tienes la opción de "Compartir / Share" para enviarte el fichero con todos los QRCodes. a donde quieras, que luego lo puedas escanear bien. En mi caso lo he pasado mi equipo y lo he abierto allí en el monitor, para ver un QRCode por cada página. El resto, es ir a Google Authenticator, darle al "+" abajo a la derecha, y seleccionar "Scan a QRCode".

Figura 7: Google Authenticator - TOTPs en la Cloud de tu cuenta Google

En un minuto literalmente tendrás todos tus 2FA Cloud-TOTP almacenados en tu cuenta de Google, y podrás visualizarlos desde Google Authenticator. Si miras arriba a la derecha verás un icono que muestra que Google Authenticator está conectado a tu almacenamiento en Cloud, donde se están las semillas. 

Figura 8: FaceID + Exportación e Importación de cuentas

Por último, dos opciones más de Google Authenticator, una para proteger con FaceID la app, que se hace desde las Settings / Configuración que tienes en el menú superior izquierdo de la pantalla principal, y la opción de Exportar e Importar la cuenta completa con todos los QRCodes entre cuentas de Google. No es exactamente el mismo proceso, pero te permitirá llevarte tus 2FA a otra cuenta si lo deseas en el futuro. Goodbye Latch... qué buenos momentos me llevo con la creación de Latch y lo importante que fue para la construcción de nuestro querido "unicornio" ElevenPaths, pero 12 años después, el mundo ha girado mucho. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)