This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

Esta semana se ha publicado la entrevista que me hizo mi querido compañero João Tomé, con el que comparto oficina en Cloudflare Lisboa, para hablar de todo un poco y de nada en concreto. O lo que es lo mismo, un poco de mi vida, el mundo del hacking, la ciberseguridad, el mundo de la inteligencia artificial, y todas esas cosas de las que siempre nos gusta charlar.

Figura 1: This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

En la entrevista, que se hizo para el sitio web de This Week in NET, donde puedes ver todas las actividades alrededor de Cloudflare, también cuento anécdotas de esas que suelo contar a mis amigos en cenas, comidas y reuniones más reducidas. 

Figura 2: This Week in NET

Algunas de esas anécdotas, como la de cuándo cené con Steve Wozniak y Kevin Mitnick, donde le conté el "bug" de DirtyTooth y la respuesta inicial de Apple, es alguna de las que ha salido en las redes sociales publicadas, pero estuvimos hablando casi una hora.

AI agents are now ranking among the top hacking teams in the world.

Hacker and Cloudflare VP Chema Alonso explains why — and what comes next.

Full episode + subscribe →https://t.co/k7dbUqVuPR pic.twitter.com/hnY6JpisIt

— Cloudflare (@Cloudflare) March 27, 2026

La charla completa la tenéis en el siguiente vídeo que está subido a Youtube, donde la tenéis completa. Son casi cincuenta minutos, así que si tienes tiempo y te apetece te la puedes ver completamente. También cuento en ella cómo comencé, o los inicios dando charlas en mi carrera.

Figura 4: This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

Todas las entrevistas que el gran João Tomé ha hecho, con grandes profesionales y compañeros, además de súper clases en el mundo de la tecnología, las tenéis en el Canal Youtube de Cloudflare al que tenéis que suscribiros ahora mismo.

Figura 5: Canal Youtube de Cloudflare

Y si quieres consumir el contenido en podcasts, RSS, o en una emisión continua mientras que estás trabajando, el equipo de comunicación creó Cloudflare TV, donde tenéis acceso a todo el contenido en todos los formatos y en todos los canales. Para que no te quejes.

Figura 6: Cloudflare TV

Y si lo que quieres es suscribirte por e-mail, en tu buzón de correo para tener el aviso regular de las novedades, entonces lo tienes fácil con la suscripción a la Newsletter de This Week in NET.

Figura 7: Suscripción a la Newsletter de This Week in NET

Espero que os entretenga, pero además que las charlas que oigáis más allá de la mía, os inspiren, os eduquen, os preparen mentalmente para el mundo que tenemos por delante, que es, sobre todo, un futuro lleno de cambios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

FrontierMath: Inteligencia Artificial resolviendo problemas de matemáticas aún no resueltos.

La organización de Epoch AI es un centro de investigación que está dedicado a monitorizar el avance de la Inteligencia Artificial en la ciencia, y en especial, de la matemática, donde tienen un Benchmark para monitorizar el resultado de los modelos LLM de frontera en la resolución de problemas matemáticos.

Figura 1: FrontierMath: Inteligencia Artificial resolviendo

problemas de matemáticas aún no resueltos.

Además del Benchmark FrontierMath, del que hablaré un poco al final de este artículo, tienen una sección donde recopilan problemas de matemáticas que aún no han sido resueltos. Conjeturas aún por descubrir su respuesta, donde actualmente tienen un total de 15 problemas.

Figura 2: FrontierMath

Estos problemas los tienen catalogados por dificultad de resolución, donde los propios matemáticos que los proponen indican el nivel de dificultad, y cuanto creen que los humanos podrían resolverlo. Así, estos son catalogados en niveles de dificultad.

Figura 3: Quince retos no resueltos por humanos

De ellos, de los "Moderadamente Interesantes", donde hay cuatro - ninguno de ellos resueltos por humanos - hay uno de ellos que acaba de ser resuelto por la Inteligencia Artificial. Este reto que ha sido resuelto, el matemático que lo planteo no lo pudo resolver en el año 2019 cuando se le ocurrió.

Figura 4: Retos Moderadamente Interesantes

El enunciado del problema de "Ramsey-Style Problem on Hypergraphs", por si queréis intentarlo vosotros antes de leer la solución, lo tenéis publicado aquí, igual que el resto de los problemas abiertos. Para que te entretengas en tus ratos libres.

Figura 5: "Ramsey-Style Problem on Hypergraphs"

El problema de "Ramsey-Style Problem on Hypergraphs" es el que ha sido resuelto por los modelos de Inteligencia Artificial, en las últimas versiones de los modelos de frontera que tenéis aquí en la tabla, donde GPT-5.4 Pro, GPT-5.4 (xhigh), Gemini 3.1 Pro y Claude Opus 4.6 (max) han sido los únicos capaces de resolver este problema.

Figura 6: Modelos que han resuelto el problema aún no resuelto

Es un paso pequeño, porque se esperaba que este problema, si lo hubieran intentado resolver matemáticos de nivel, lo hubieran podido sacar seguro en unos meses - según dice el matemático que lo planteó -, pero lo cierto es que la IA lo ha resuelto rápidamente, con este Prompt, donde se le describe el problema.

A hypergraph (V, H) is said to contain a partition of size n if there is some D ⊆ V and P ⊆ H such that |D| = n and every member of D is contained in exactly one member of P. Define H(n) to be the largest integer k such that there is a hypergraph (V, H) with |V| = k having no isolated vertices and containing no partitions of size greater than n.

It is known that H(n) ≥ k_n, where k_n is defined recursively by the formula k_1 = 1 and k_n = ⌊n/2⌋ + k_⌊n/2⌋ + k_⌊(n+1)/2⌋.

Your task is to improve this lower bound by a constant factor, i.e. show that H(n) ≥ c*k_n for some c > 1. It is acceptable if this improvement does not work for small n, but it must already be "in effect" for n=15. You must demonstrate this improvement by providing an algorithm that takes n as input and produces a hypergraph witnessing H(n) ≥ c * k_n.

Please provide an algorithm that takes n as input and outputs the witness hypergraph as a string where vertices are labeled, 1, ..., |V|, and edges are denoted with curly braces. Example: {1,2,3},{2,4},{3,4,5},{1,5}

Solution format:

* Write a Python script defining a function `solution(n: int) -> str`.

* Do not include any code at the file level. You may include a `main` block for testing, but it will not be executed by the verifier.

* For n ≤ 100, the algorithm must complete within 10 minutes when run on a typical laptop.

Y con este Prompt, el modelo ha resuelto el problema y ha publicado un artículo donde ofrece la explicación matemática y la demostración de por qué está resuelto, como podéis ver aquí. Perdonadme que no me meta en la parte matemática, que ya me parece demasiado para un artículo que estoy escribiendo en domingo.

Figura 7: El paper que resuelve la conjetura que estaba sin resolver aún

Lo cierto es que, además de esta competición, el Benchmark FrontierMath está retando a los modelos de frontera con problemas con cuatro niveles de dificultad, donde miden la exactitud en la resolución. Estos problemas no son nada fáciles, especialmente el nivel Tier-4 donde hay 50 problemas muy complejos.

Figura 8: El Tier 4 tiene 50 problemas extremadamente difíciles

Y la clasificación en este nivel, de los diferentes modelos, muestra que aún queda espacio de mejora, pero al mismo tiempo muestran lo rápido que están mejorando, versión tras versión, estos modelos, buscando superar a todos los matemáticos de la tierra en un futuro que no parece demasiado lejano.

Figura 9: Clasificación en el Tier-4 de los problemas

Recordad que estos modelos sufren de problemas aún sin resolver, como vimos en el Benchmark de la ORCA donde los decimales, la aplicación de la fórmula correcta, o la transformación de medidas sigue siendo un reto en determinadas situaciones.

Figura 10: Evolución de los modelos y resultados de las pruebas de Tier-4

Por supuesto, para el mundo del hacking y el pentesting donde se utiliza ya IA, que esta es otra buena disciplina donde hay que resolver problemas, la mejora continua de estos modelos hace que caba vez sean más eficientes a la hora de realizar una penetración en un sistema. Así que hay que seguir apostando por ellos.

Figura 11: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han  escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Una charla en Lisboa, una entrevista en RNE y fotos en Spatial con iPhone

Para hoy domingo, aprovecho para dejaros rápidamente tres cosas rápidas, dos de ellas porque a mí me gusta conservar todas las charlas y entrevistas que voy haciendo en mi canal de Youtube, y la última porque me ha hecho gracia un update de iPhone en las Photos usando GenAI para crear fotos en formato Spatial, que como no lo conocía ni Mi Survivor ni Mi Hacker, entonces es que aún no es muy conocido.

Figura 1: Una charla en Lisboa, una entrevista

en RNE y fotos en Spatial con iPhone

Lo primero que os dejo es la primera conferencia que impartí para Cloudflare el año pasado, durante el mes de Octubre de 2025 en el Patio Galé, de Lisboa. Para hablar de IA y Ciberseguridad en Atlantic Convergence 2025, nada nuevo de lo que no os haya hablado ya por aquí, pero que para mí fue especial. 

Figura 2: Conferencia en Atlantic Convergence 2025

Este segundo vídeo es realmente sólo una entrevista en audio para RNE Radio5 que hice hace poco con Daniel Hernández Baldí. Unos minutos hablando de actualidad y hecha durante este mes de Marzo, así que tiene muy poco tiempo.

Figura 3: Entrevista de Daniel Hernández Baldí a Chema Alonso en RNE - Radio5

El último vídeo que os dejo es sólo cómo funcionan las Spatial Photos en iPhone e iOS, que lo descubrí por casualidad, y me hizo gracia. Se trata de convertir las fotos usando GenAI en imágenes "vivas" en 3D. Ya sabéis que iPhone metió las "Live Photos" grabando unos segundos hace ya mucho tiempo, pues bien, ahora ha metido estas "Spatial Photos" que se crean a partir de cualquier fotografía.

Figura 4: Haciendo Spatial Photo de la foto de RootedCON

El funcionamiento es sencillo. Basta con que le des al cubo que aparece encima a la derecha de cualquier fotografía, iOS lo procesa con GenAI, y saca una nueva fotografía que reacciona a los movimientos del acelerómetro y el giroscopio para permitirte ver la foto en 3D desde diferentes puntos de vista.

Figura 5: La foto del Gato Maligno en formato Spatial

Es un 3D muy pequeño, pero es gracioso verlo. Os he hecho unos vídeos para que se vea funcionando. Nada más. Así que os dejo hoy domingo que hay que disfrutar el día. Que hagáis muchas cosas divertidas en vuestra vida.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Doom over DNS: O cómo guardar, descargar y ejecutar Doom desde el DNS (de Cloudflare)

Almacenar ficheros en los sitios menos pensados no es algo nuevo. Hace años que ya teníamos DNSFS, donde se utilizaba el DNS para almacenar ficheros, y nosotros en el equipo de Ideas Locas creamos un almacenamiento infinito a mi Macintosh utilizando una Raspberry Pi, Python & Google Photos, lo que nos permitía tener la posibilidad de descargar cualquier juego desde la nube y ejecutarlo.

Figura 1: Doom over DNS: O cómo guardar, descargar y

ejecutar Doom desde el DNS (de Cloudflare)

Estos días se ha publicado Doom over DNS, así que he ido a ver cómo lo han hecho, y la verdad es que es bastante sencillo, pero mezclar Doom siempre en la ecuación genera mucho interés. 

View this post on Instagram

Aquí andamos, trabajando un rato. Os prometo que esto es parte de una investigación }:) Prince of Persia Rulez!!

A post shared by Chema Alonso (@chemaalonso) on Oct 2, 2019 at 1:39am PDT

Cuando había que probar el emulador de MS-DOS para iPhone, mi primera prueba fue con DOOM, por supuesto, ya hace poco os hablé de otro caso donde construían versiones Doom-Like para DuckDB, CedarDB e incluso Excel, que es que los fans de esta joya son muchos.

Figura 3: Doom over DNS

Ahora el "hack" era utilizar registros TXT de los DNS - en este caso de Cloudlare - para guardar un port de Doom a C#, aprovechar la distribución mundial de baja latencia en Edge que ofrece el DNS más rápido y más seguro de Internet - ya sabéis que es 1.1.1.1 de Cloudflare -, y ejecutarlo con una simple llamada.

Figura 4: Cloudflare DNS el más rápido y seguro de Internet

Para ello, tienes el proyecto de Doom over DNS en GitHub, y te puedes bajar todos los scripts que necesitas, escritos en PowerShell, con el contenido del juego que se va subir a 1964 registros TXT del DNS de tu dominio, para tener el código que hay que descargar completo.

Figura 5: Doom over DNS en GitHub

Los comandos para compilar el juego a bytecodes y poderlo subir al DNS de Cloudflare son los siguientes tres que tienes aquí. Y te va a ir a toda "mecha" y cifrado en PQC si usas el cliente WARP de Cloudflare en tu conexión de Internet.

Figura 6: Build the Game, Load Cloudflare Credentials, Upload to DNS

Una vez que lo tengas subido, pues ya es tan fácil como pedir la ejecución con otro script, también en PowerShell que tiene varias opciones para que lo puedas ejecutar bajo demanda.

Figura 7: Ejecución desde PowerShell de Doom over DNS

Esta idea de usar PowerShell para descargar y ejecutar cosas también es la que se usa en iBombShell de la que hemos hablamos muchas veces por aquí. Así que se podría hacer una mezcla de registros TXT del DNS para almacenar los payloads de iBombShell.

Figura 8: Arrancando Doom over DNS

Si quieres saber cómo funciona, pues descárgate el código desde el GitHub de Doom over DNS y pruébalo. Y, si quieres, adáptalo para hacer lo mismo con el juego que quieras. ¿Quién se anima a hacer uno para ejecutar el Light-Cycles de Tron? 

Figura 9: Comprar libro de "Pentesting con PowerShell Silver Edition"

de Pablo González en 0xWord.

Otra opción chula podría hacer el porting a TypeScript y subirlo a los Workers de Cloudflare, como hicimos con el Arkanoid, ¿no? Vamos, que es muy sencillo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo configurar y Monitorizar un Cloud Web Application Firewall para proteger tu Web en un Internet muy peligroso

Puede que en tu empresa el problema sea que casi nadie lo esté mirando, pero la web está siendo atacada constantemente. Este fenómeno suele pasar desapercibido para la mayoría de organizaciones. En los últimos años, las noticias más visibles en el ámbito de la ciberseguridad han estado centradas en incidentes de gran impacto, como ataques de ransomware, filtraciones de datos personales o campañas avanzadas de amenazas persistentes (APT).

Figura 1: Cómo configurar y Monitorizar un Cloud Web Application Firewall

para proteger tu Web en un Internet muy peligroso

No obstante, rara vez se habla del volumen constante de escaneos y ataques automatizados que reciben diariamente las páginas y servicios web en Internet. Únicamente los ataques DDoS de gran magnitud suelen captar la atención mediática en lo que respecta a la seguridad de servicios web. Para que os hagáis una idea, en el Threat Report 2026 de Cloudflare, la compañía está bloqueando más de 230 Billones de amenazas al día. Ese es el nivel de agresividad que vivimos hoy en día en Internet.

En el caso de VapaSec, poco después de comenzar nuestra actividad, empezamos a monitorizar la seguridad de nuestras infraestructuras expuestas a Internet. A pesar de contar con un número reducido de sistemas, detectamos más de 15.000 eventos de seguridad en un corto periodo de tiempo. La gran mayoría de estos eventos se originaban en tan solo dos servicios web.

El impacto de un Web Application Firewall

Este hallazgo nos llevó a una conclusión relevante: disponer de un WAF (Web Application Firewall) no es suficiente si no está correctamente configurado y gestionado. Inicialmente, no estábamos bloqueando ninguno de estos ataques. 

Figura 2: Eventos de Seguridad en la web antes del WAF

Esto es comprensible, ya que, como ocurre con muchas soluciones de seguridad, su eficacia depende en gran medida de la configuración y del mantenimiento continuo.

Figura 3: Eventos de seguridad en la web tras configurar el WAF

Tras implementar una gestión activa del WAF, bloqueando el tráfico malicioso de forma proactiva, logramos reducir los eventos diarios a apenas una veintena.

Internet es un escáner permanente

El análisis del tráfico de cualquier aplicación o servicio web revela una realidad clara: no es necesario ser una organización conocida para convertirse en objetivo. Basta con estar conectado a Internet. Los atacantes no seleccionan objetivos de forma personalizada en la mayoría de los casos. Operan mediante escaneos masivos y automatizados en busca de sistemas vulnerables. Si encuentran una oportunidad, pueden utilizar el sistema comprometido para minar criptomonedas, distribuir malware, lanzar ataques contra terceros o interrumpir el servicio web y pedir un rescate para recuperar su actividad. Todas estas actividades no buscan otra cosa más que obtener un retorno económico.

Figura 4: Libro de "Hacking Web Technologies Silver Edition"

de Enrique Rando, Pablo González, Amador Aparicio,

Ricardo Martín y Chema Alonso

Una forma sencilla de comprobar si has sido escaneado, es revisando los logs del servidor web (Apache, Nginx, etcétera). Es habitual encontrar intentos de acceso a rutas sensibles como .env, .git, paneles de administración o copias de seguridad. También son frecuentes los ataques de fuerza bruta contra formularios de autenticación, procedentes de múltiples direcciones IP.

Figura 5: Eventos en el log que indican escaneos

Cabe destacar que muchos de estos ataques no se caracterizan por un alto volumen de peticiones, sino por su persistencia y automatización. En nuestra experiencia, solo aquellas empresas cuyo modelo de negocio depende directamente de la protección del contenido web muestran un mayor nivel de concienciación en materia de seguridad y gestión de la exposición en Internet.

Figura 6: Acciones de bloqueo diarias por dominios

Es común encontrar organizaciones que implementan plugins o frameworks de seguridad directamente en sus servidores. Aunque estas soluciones son útiles y mitigan una parte significativa de los ataques, presentan ciertas limitaciones:

• Consumen recursos locales (CPU, memoria y ancho de banda).
• No evitan que el tráfico malicioso alcance la infraestructura protegida.
• Pueden resultar insuficientes frente a ataques de denegación de servicio DDoS.

Por este motivo, resulta recomendable utilizar soluciones de WAF en la Cloud. Este enfoque permite filtrar y mitigar amenazas en un punto previo a la infraestructura que presta el servicio web. De esta forma se optimiza el uso de recursos y se mejora la resiliencia del servicio.

Figura 7: Cloudflare WAF

Dentro de estas soluciones, una de las más extendidas y usadas es Cloudflare WAF. Cloudflare dispone de plan gratuito, que permite a muchos creadores de contenidos y pequeñas empresas disfrutar de soluciones de primer nivel sin hacer un desembolso económico.

Mis dominios están en Cloudflare. ¿Quién los gestiona?

Migrar tus dominios a Cloudflare aporta mejoras significativas en el rendimiento y gestión de la infraestructura IT. Al utilizar Cloudflare consiguen un mejor rendimiento de los servicios Web y una gestión ágil y rápida del DNS. Además de la mejora en el rendimiento, Cloudflare permite establecer un nivel de seguridad avanzado configurando algunos parámetros de seguridad.

Sin embargo, es importante destacar que el simple hecho de migrar tu infraestructura a Cloudflare no establece por defecto un nivel de seguridad alto. La configuración del WAF y de las políticas de seguridad es un aspecto crítico.

Figura 8: VAPASEC en RootedCON Madrid 2026

En diferentes conversaciones mantenidas durante eventos como RootedCON, hemos detectado la excesiva confianza en que con el uso de Cloudflare, por sí solo, proporciona seguridad completa. La realidad es que estas herramientas requieren una gestión activa y continua para ser efectivas, para poder adecuarse a las amenazas cambiantes.

Primeros pasos para mejorar la seguridad

A continuación, os dejo algunas medidas iniciales que pueden ayudar a reforzar la seguridad de un sitio web, que como podéis ver, es algo que requiere trabajo de gestión y configuración, así como de mantenimiento y operación.

Figura 9: Hacking Web Applications: Client-Side Attacks
de Enrique Rando en 0xWord

El primer paso que se deben dar es activar el Proxy, de esta forma conseguimos beneficiarnos de la capacidad de caché y CDN que ofrece Cloudflare, pero también tenemos otra ventaja. No soy amigo de la seguridad por oscuridad, pero el activar el Proxy hace que la IP que vean los visitantes de nuestro sitio web no sea la de nuestra máquina si no una de las direcciones IP de entrada a la red de Cloudflare.

Figura 10: Configuración del Reverse Proxy en Cloudflare

Una vez activado el Proxy, podemos implantar reglas que protejan nuestro sitio web de visitantes no deseados. Una primera medida puede ser crear una regla que bloquee el acceso desde determinados países en los que mi organización no tiene actividad comercial. Por ejemplo si no tenemos actividad comercial en países como Afganistán, Irak, Irán, Ucrania, Rusia, Bielorrusia, Somalia o Korea del Norte, puede ser interesante bloquear el acceso desde esos países con una regla como esta.

Figura 11: Reglas de origen en el WAF de Cloudflare

Otro paso que se puede dar para mejorar la seguridad de nuestro sitio web es restringir el acceso de scripts o programas automáticos estén visitando nuestro sitio web. Por ejemplo, con esta regla podemos evitar que programas en Python o automatizaciones que usen curl nos resten recursos de nuestro servidor web.

Figura 12: Regla por USER-Agent de origen en el WAF de Cloudflare

Igual has terminado de leer este post y te has ido a revisar el log de tu servidor web y te has dado cuenta que hay algunos visitantes con direcciones IP de mala reputación que lanzan peticiones de manera constante, solicitando recursos en rutas muy sospechosas. Podrías bloquearlas o someterlas a un reto introduciéndolas en una regla.

Figura 13: Reglas en el WAF de Cloudflare por direcciones IP de origen

Por separado cada una de estas tareas no son una gran carga para el día a día del operador de ciberseguridad, pero hay que ejecutarlas todos los días y dependen del escaso tiempo de los operadores de seguridad, lo que puede llevar a que esta tarea no se ejecute.

Automatizacion de la protección: el enfoque de VapaSec

Hace tres años nos encontramos con esta misma problemática en VapaSec. La gestión manual de la seguridad web no era escalable, ni sostenible en el tiempo. Como respuesta, desarrollamos VapaSec Web Protection, inicialmente como herramienta interna, y posteriormente como solución accesible para terceros. Web Protection no es un WAF, Web Protection automatiza y mejora la gestión de tu WAF. Es una solución que protege los servicios web mediante múltiples capas de protección:

Figura 14: VAPASEC Web Protection

El primer nivel que implementamos consiste en el bloqueo de direcciones IP con mala reputación, que realizan escaneos constantes sobre nuestros servicios web. VapaSec Web Protection cuenta con un motor propio que permite evaluar la reputación de cada IP mediante un sistema de scoring de riesgo. En función de este score, determinamos automáticamente si se debe aplicar un bloqueo o un mecanismo de desafío (challenge) a dicha dirección.

Este sistema de reputación se apoya en una base de datos donde se almacena información sobre las direcciones IP que han mostrado comportamiento malicioso de forma recurrente contra nuestros clientes desde el inicio del servicio. La base de datos se mantiene actualizada mediante la integración de fuentes tanto públicas como privadas, lo que nos permite identificar direcciones IP que están participando activamente en ataques y aplicar medidas preventivas en los WAF que gestionamos. De este modo, evitamos que estos actores maliciosos accedan a los servicios protegidos. Asimismo, las direcciones IP  son eliminadas de la base de datos cuando dejan de presentar actividad maliciosa, garantizando así un enfoque dinámico y ajustado a la realidad del tráfico.

Además, esta información se comparte entre todos los dominios integrados en la solución a través de una funcionalidad que denominamos Inteligencia Colectiva. Gracias a este enfoque, cuando un atacante es detectado en uno de los dominios, queda automáticamente bloqueado en el resto, reforzando la protección de todo el ecosistema.

Otra de las medidas que implementamos en los dominios que protegemos consiste en restringir el acceso desde países en situación de conflicto bélico o que presentan un origen recurrente de actividad maliciosa. Este tipo de control es una práctica habitual en la configuración de WAF, ya que permite reducir la superficie de ataque filtrando tráfico en función de su procedencia geográfica . No obstante, es importante señalar que estos países no siempre representan el principal origen de los ataques bloqueados por Web Protection, tal y como se puede observar en la imagen inferior.

Figura 15: Bloqueos por países

En el segundo nivel implementamos reglas especializadas orientadas a la protección de los activos web. Estas reglas se nutren de información actualizada sobre amenazas activas en Internet, lo que nos permite anticiparnos y mitigar intentos de ataque antes de que impacten en los dominios que gestionamos.

Adicionalmente, establecemos políticas específicas para proteger los paneles de acceso de nuestros clientes. Para ello, incorporamos un mecanismo de control que limita el acceso a estos puntos críticos, de forma que únicamente los usuarios previamente identificados mediante su dirección de correo electrónico puedan acceder al formulario donde se introducen las credenciales de autenticación.

Figura 16: Protecciones con challenge

Otra de las capas de seguridad que incorporamos al servicio es la denominada Real Time Protection. Esta capa opera de forma continua, analizando las peticiones que recibe el servidor web protegido por Web Protection. En caso de detectar indicios de actividad maliciosa, el sistema responde automáticamente aplicando contramedidas sobre el visitante sospechoso.

En VapaSec consideramos que la mejor forma de evaluar este tipo de soluciones es mediante su uso en un entorno real. Siguiendo un enfoque similar al de Cloudflare con su plan gratuito, hemos desarrollado una prueba sin coste que permite utilizar Web Protection durante 30 días. De este modo, cualquier organización puede analizar de forma directa el volumen de tráfico no deseado que recibe diariamente y valorar el impacto real de la solución en su postura de seguridad.

Un saludo,

Autor: Pablo San Emeterio, fundador de VapaSec

Contactar con Pablo San Emeterio

Todo es eventual

Recuerdo que comencé en mi adolescencia con la lectura de las novelas de Stephen King, algo que sigo disfrutando hoy en día. Casi me muero de miedo con El Misterio de Salem´s Lot, pero también con Cujo, Ojos de fuego, Christine, Carrie, Maleficio, El Resplandor, El juego de Gerald o Misery. Este último me aterró, y hoy en día me parece tan actual como entonces. Pero no os voy a hablar de todos ellos, que me he leído muchos más. He elegido comenzar mi post de hoy hablando de Stephen King por un relato de esos que aparecen en las recopilaciones de Las 2 después de la medianoche y Las 4 después de la medianoche.

Figura 1: Todo es eventual

En ese relato una persona tiene que gastar todo el dinero durante el día. Y al día siguiente también. Y al otro. No puede conservar nada y cada semana tiene una nueva asignación, pero tiene que gastarlo. El relato se llama "Todo es eventual". No os destripo la historia, pero se me hizo muy vívida la imagen - y lo leí hace más de 30 años - donde Stephen King contaba que aquella historia fue porque se imagino una imagen de un hombre tirando dinero por la alcantarilla y a partir de ahí construyó el relato.

Stephen King, que es uno de los genios de los que he leído mucho también de su vida personal, decía que muchos de sus relatos comienzan así, con una imagen que ve en la calle de alguien, o que le viene a la cabeza. A partir de ahí crea la historia alrededor. ¿Por qué pelearían la pareja al subir al taxi saliendo del hotel de lujo? ¿Porque ese peatón en el semáforo está llevando un ramo de flores y está llorando? El resto, es dejar volar la imaginación.

Cuando yo leí ese relato sentí cierta ansiedad. Al final, el protagonista está en una prisión de la que no puede salir. Un ciclo del que tiene que acabar gastando todo cada semana. Tiene 7 días para gastar todo el dinero. Incluso llegando a tirarlo por la alcantarilla. Parece algo difícil de entender que algo que es muy valioso acabe siendo lanzado a la basura cada día. Pero no, no lo es. Stephen King está trasladando otro mensaje al lector, con su forma de escribir y decir las cosas.

Que Stephen King es un escritor brillante y de éxito es mundialmente conocido. Sus libros han sido adaptados una y otra vez al cine, a series. Y han conseguido dejarte de todo menos indiferente. La Tienda, La zona muerta, El Retrato de Rose Madder, Cementerio de animales, IT son obras mundialmente conocidas. Pero también es un escritor muy trabajador, tanto, que su editor le obligó a usar pseudónimos para no publicar tantos libros e inundar el mercado con su nombre, por lo que comenzó a usar a Richard Bachman para sacar novelas como La Larga Marcha o Carretera Maldita, pero llegó a utilizar alguno otro más.

Me fascinó Stephen King, pero además era un profesional trabajador y constante, y eso me impactaba positivamente aún más. Voluntad de trabajo. Y trabajo de calidad a fuerza de haber practicado y practicado. De hecho, una de las cosas que más me motivaba era la gestión del fracaso y la frustración que él explicaba con la teoría del clavo. Cuando estaba comenzando como escritor y enviaba sus relatos y novelas a las revistas y a los editores por carta, él contaba que recibía una y otra vez cartas de rechazo. No las tiraba, no las guardaba, las pinchaba en un clavo que tenía en su despacho. Y cuando le había rechazado tantas veces que ya no le cabían más cartas en el clavo, pues a clavar un clavo más grande en la pared.

Pero volviendo al asunto del relato, donde el protagonista tiraba el dinero que no había podido gastar o usar por la alcantarilla, la gracia es que hay un recurso más valioso que todos los días, y todas las semanas, se va por la alcantarilla si no lo empleamos bien, que es el Tiempo. No lo puedes acumular, cada día decides qué haces con él, y a final de semana pasa factura, pero si no haces nada con él, pues va por la alcantarilla.

Aún no hemos visto a nadie que haya salido vivo de la vida, así que tú tiempo, querido lector, con una alta probabilidad, tiene un contador activado y en cuenta atrás. Así que cada día, cada semana, cada mes, tienes el que tienes, que es el mismo que tenemos todos. Y se acaba. Todo lo que has vivido hasta ahora ya se ha descontado de tu contador, y debes sentirte feliz con como lo hayas gastado. Si lo has gastado mal, si has vivido la vida de otros, si has dejado que te lo roben - ya sean personas, malas decisiones o algoritmos de engagement en servicios digitales -, has sido tú. Si lo has tirado por la alcantarilla, pues eres tú el que lo haces.

Lo que es seguro es que, al final del día, el tiempo que no hayas empleado en hacer algo que realmente quieras, no lo puedes acumular. Decide qué quieres hacer con él. Donde lo quieres gastar e invertir cada día para que haga que tu vida hoy, mañana y el resto del tiempo que tienes por delante se acerque un poco más a lo que quieres que sea.

No te quedes en el camino o estancado en un círculo de pasar por la alcantarilla todos los días a tirar tu “dinero”. Tal vez tu alcantarilla sean redes sociales y vídeos insulsos, o malas amistades, o en simplemente aburrirte. Tu tiempo es tuyo. Tus decisiones son tuyas. Cambiar las cosas no siempre es fácil, pero tienes tus 24 horas cada día para gastarlas de la mejor formar posible para ti. Y cada semana para hacer que cuente. Deporte, descanso, lectura, aprendizaje, proyectos, trabajo, familia, amigos, cine, música, tú decides. Pero decide bien.

Yo hago eso cada día. Pienso en lo que voy a hacer cada minuto. Como gasto mi tiempo cada día. Como hago que ese tiempo cuente en cosas que quiera hacer. No vamos a tener tiempo de hacer todo lo que queramos en la vida, así que hay que asegurarse que hayamos conseguido que durante nuestros días en el mundo de los vivos, hagamos mayoritariamente cosas que queremos hacer y nos hacen felices o nos acercan más a la felicidad. Si estás gastando el tiempo en cosas que no te hacen feliz, o que cada día hacen que te veas abocado a situaciones donde vas a tener que hacer más y más cosas que no son donde te gustaría gastar tu tiempo, entonces haz algo. Tienes 24 horas cada día.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cuánto dinero cuesta hacerte el juego de Light-Cycles de TRON en Workers de Cloudflare usando IA

Ayer os hablaba de la Deuda Técnica en la que incurrimos cuando hacemos uso de la Inteligencia Artificial para programar proyectos, y hoy quería ver cuánto cuesta en dinero hacerte un proyecto con IA, además de verlo en tiempo. Y para hacer la prueba, quise hacerlo con el juego del Light-Cycles de TRON.

Figura 1: Cuánto dinero cuesta hacerte el juego de Light-Cycles

de TRON en Workers de Cloudflare usando IA

Ya sabéis que yo soy muy fan de la saga de TRON, de la que tengo todos los cómics, me he visto todas las películas y series, e incluso tengo varias de las novelas, y la maquinita de los años 80 de TRON, donde entre otros, venía el juego de Light-Cycles al que me podéis ver jugando aquí.

View this post on Instagram

A post shared by Chema Alonso (@chemaalonso)

Como ya os conté en el articulo de "La gestión de la "Deuda Cognitiva" en servicios programados con Inteligencia Artificial" es un juego que me lo he hecho con Vibe-Coding para tenerlo en un script en Bash para MacOS donde puedo jugar cualquier minuto perdido. 

View this post on Instagram

A post shared by Chema Alonso (@chemaalonso)

Este es uno de los juegos míticos de TRON, de los que os hablé en mis artículos dedicados a TRON que debes leerte si no los has leído ya para hacerte súper-fan de la saga. Aquí los tienes.

• Trace ON
• TRON: La historia a través de las películas, series, vídeo juegos y cómics
• TRON: Los cómics que se han publicado
• TRON: Los juegos de TRON en el Siglo XX para que juegues online con las motos, los discos y los tanques. EOL.
• TRON: Los juegos de TRON en el Siglo XXI de aventuras gráficas y arcade. EOT

Pues bien, después de ver el artículo de "Cómo migrar Arkanoid de C++ a TypeScript con OpenCode y desplegarlo en Workers de Cloudflare" quise hacérmelo yo y ver lo que me costaría tenerlo corriendo en un Cloudflare Worker en el Edge, así que me puse a pegarme con ello.

Figura 4: Prompt para crear el Light-Cycles de Tron en OpenCode para MacOS

La verdad es que no fue muy complicado, le pedí a Gemini el Prompt para OpenCode - después de configurarlo y conectarlo con AI Gateway de Cloudflare, utilizando Claude Sonnet 4.6, le di caña.

Figura 5: Jugando on the Edge dentro del Grid

En cuestión de un 15 minutos me había hecho todo el juego, y lo había desplegado como un Cloudflare Worker en una URL de una de mis cuentas de Cloudflare, y por supuesto me eché unas partidas para demostrar a la máquina quién es el que manda en The Grid - yo soy el que gano, por supuesto -.

Figura 6: Coste en tiempo y en dinero para hacer el proyecto

Pero lo interesante era cuánto había costado hacerme este juego, que como podéis ver fue medio dólar, es decir, 0.5 USD en costes de "ingeniería", y para construirme un juego que programar décadas atrás hubiera sido mucho, mucho, mucho más costoso.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Sí, puede que los modelos tengan problemas de seguridad que les hacen vulnerables por diseño, como he hablado muchas veces, pero generando código hay que reconocer que lo hacen a una velocidad brutal, por lo que no adaptarse a este mundo es imposible e irresponsable. Eso sí, creo que en el artículo de ayer os dejé ya clara mi reflexión sobre dónde hay que ir con todo con esto, y donde creo que hay que ir con cuidado. El mundo pasado ya pasó, ahora es este.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)