Una entrevista en el Foco de Maria Zabay

Hoy, que esta semana estoy de muchos viajes, os traigo por aquí la entrevista que me hizo Maria Zabay en su espacio de El Foco, por el que hemos pasado muchos como David Summers o Arturo Pérez-Reverte, y que por supuesto no podía faltar. En esta ocasión para hablar de Inteligencia Artificial y los retos para el trabajo, la sociedad, y los tiempos que vivimos hoy en día.

Figura 1: Una entrevista en el Foco de Maria Zabay

La entrevista me la hizo Maria Zabay, y sacamos el máximo provecho a los 40 minutos que teníamos, así que nos dio tiempo a hablar de muchas cosas. De Agentes AI, de Ciberseguridad, de la visión de Cloudflare, del trabajo hecho por la IA reemplazando a las personas, y de los problemas que podríamos tener si esta se volvía maliciosa o era vulnerada.

Figura 2: Contactar con María Zabay

Toda la entrevista la tenéis integra en Youtube, y os la dejo por aquí para que podáis verla, que seguro que si empiezas la terminas porque va muy rápida. Muchas preguntas, poco tiempo para contestar, que deja como resultado una entrevista con muchas cosas para pensar en ellas.

Figura 3: Maria Zabay entrevista a Chema Alonso en El Foco

 

Además, como podéis ver, es posible contactar con Maria Zabay por MyPublicInbox, y tenéis todas las entrevistas en sus vídeos de Youtube donde podéis perderos viendo a grandes entrevistados hablando de cosas con la misma intensidad y velocidad.

Figura 4: Vídeos de El Foco de Maria Zabay

Y nada más, que disfrutéis el día que yo voy de viaje para un evento en Zaragoza, así que me toca estar en otro "foco" hoy. Os deseo un gran día.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Arrogante: Bases de la 1ª Edición de los premios MIRA (10.000 €)

Si te digo que, por grabar un vídeo con tu móvil, o cualquier otra cosa que se te ocurra... hay un premio en metálico de 10.000 €, ser entrevistado en uno de los pódcast más exitosos del momento y además, tener una nota de prensa que saldrá en los medios más importantes de España, dándote todo el protagonismo...

Figura 1: Arrogante - Bases de la 1ª Edición de los premios MIRA (10.000 €)

Y si además te digo que está abierto a cualquier persona mayor de 18 años, emprendedores, creativos, agencias, escritores, periodistas, etc...¿te animarías a ver de qué va? No te digo a participar, te digo simplemente a mirar.

MIRA.

Lo tienes muy fácil, los proyectos se presentarán a través de mi perfil de MyPublicInbox, pero antes, para tener toda la información.

En la vida, hay trenes que solo pasan una vez al año. Aprovéchate.

Bases de la 1ª Edición de los premios MIRA.

1- La fecha límite serán las 23:59h 21 de abril de 2026. Hora peninsular española.

2- La temática de este año será la lona que hay en Madrid, concretamente en la calle Alcalá.

Figura 2: Puedes ver la lona en directo en la calle Alcalá 77 de Madrid.

A la altura del número 77. No tienes que ir expresamente a verla.

3- Puedes hacer un vídeo, puedes ponerlo en grupos, puedes hacer un anuncio, puedes moverlo en tu email, puedes hablar con el párroco de tu pueblo y celebrar una boda, puedes hacer lo que te dé la gana.

4- Se valorará el impacto de tu campaña y la creatividad de la misma. Se valorará especialmente la ejecución y los resultados. Las ideas no valen de nada.

El elemento central este año es esa lona, a partir de ahí, haz lo que quieras.

Objetivo

El objetivo de la campaña, es lograr la mayor difusión y visibilidad posible.

¿Cómo se logra eso? Con creatividad y cojones. O cojonos. O cojonas.

IMPORTANTE: No ganará, necesariamente, la persona que logre mayor difusión, pues la creatividad se valorará a la misma altura que la visibilidad. Así que no te preocupes si no puedes llegar a mucha gente, puedes ganar igualmente.

5- Podrá participar cualquier persona mayor de 18 años, emprendedores, creativos, agencias, escritores, periodistas, etc…

Jurado

- Chema Alonso, VP de Cloudflare y Founder de MyPublicInbox.

- Pablo Ibáñez, “El hombre de Negro”, Artista y empresario.

- Isra Bravo, escritor y copywriter disléxico.

Figura 3: Libro "Arrogante" de Isra Bravo

Premios

- La campaña ganadora se llevará 10.000€ en metálico.

- Además, será el protagonista de un programa especial en el exitoso pódcast Escapando Palante, de Pablo Ibáñez, donde será entrevistado.

- Y difusión en prensa de toda España.

6- El premio podría quedar desierto, pero vamos, muy mal se tiene que dar para que alguien no haga algo decente y gane.

7- El elemento con el que tienes que crear la campaña de este año, es esta lona. E insistimos, sé creativo, sé valiente, sé.

8- Los trabajos se deben presentar en: https://mypublicinbox.com/IsraBravo

9- Todo lo recaudado se dona a Fundación Bobath. Para presentar el proyecto hay que pagar unos 5.000 Tempos (para poder escribir al perfil de arriba). Pues bien, va todo íntegro para Bobah.

Fecha límite de la campaña: 21 de abril a las 23:59h

Autor: Isra Bravo

Contactar con Isra Bravo

Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad: 4a Edición - 15 de Octubre 2026

Si has seguido mis publicaciones en este blog durante los últimos años, o si has seguido las noticias del mundo en los últimos meses, verás que la Inteligencia Artificial y la Ciberseguridad se han ido mezclando de una manera espectacular, y ya es imposible hablar de la una sin la otra. Desplegar y utilizar Inteligencia Artificial en la vida personal o profesional requiere, más que nunca, de Ciberseguridad, y ser un profesional de Ciberseguridad requiere, más que nunca, amplios conocimientos de Inteligencia Artificial.

Figura 1: Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad

Fecha de Comienzo - 15 de Octubre 2026 - 12 meses de duración

Por eso se creó el Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad, que ya va a comenzar ya su 4a Edición, donde como sabíes soy el Mentor durante los últimos años, y que va a tener su próxima edición el 15 de Octubre de 2026, así que es momento de solicitar tu plaza - y preguntar por las becas. 

Figura 2: Inteligencia Artificial ¿obligatoria en seguridad?

De este máster han salido proyectos como LLM-Guardian v3.0 "Sentinel" que hizo Juan Luis Cuenca Ramos, alumno del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad, y del que os he publicado un par de artículos para que veáis la calidad de cosas que se pueden hacer en esta formación. Él mismo contó su experiencia en un artículo titulado: "«No soy técnico»: Cómo un alumno del Campus conquistó el blog de Chema Alonso"

Figura 3: LLM-Guardian v3.0 "SENTINEL".

Monitorización Continua de LLMs Corporativos

De estos temas, yo, que además tengo una sesión privada con todos los alumnos, he hablado en el pasado, como puedes ver en estos dos vídeos que te dejo aquí, para que entiendas la importancia de aprender estas dos disciplinas juntas.

Figura 4: Formarse en Ciberseguridad es una profesión de futuro

La Inteligencia Artificial también juega… y no siempre en tu equipo, así que tienes que aprender a cómo sacarle partido. La IA está cambiando las reglas del juego en Ciberseguridad. Desde ciberataques automatizados hasta sistemas de detección más inteligentes. Este máster te enseña a usarla a tu favor, entender sus riesgos… y adelantarte a su uso malicioso. ¿Qué vas a aprender?

Figura 5: Programa del Máster Online de IA aplicada a Ciberseguridad

El Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad tiene una duración de 12 meses, y durante todo este año, tendrás la posibilidad de conseguir Múltiples Certificaciones que estánincluidas. Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también certificaciones profesionales como la de Azure Fundamentals, entre otras.

Figura 6: Profesores del Máster Online de Inteligencia Artificial Aplicada a la

Ciberseguridad en el Campus Internacional de Cibeseguridad, 

Pablo González, Fran Ramírez, Pablo Saucedo, David García, 

Rafael Troncoso, José Torres, entre otros.

Para poder formarte mejor, y ajustado a tus necesidades, además cuentas con Tempos de MyPublicInbox que puedes utilizar para contactar con el Profesorado del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.

Figura 7: Todos los alumnos del Máster Online de Inteligencia Artificial

Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad 

endrán 2.000 Tempos de MyPublicInbox

Además, para completar su aprendizaje, tendrá incluidos como material de formación los libros de la editorial de 0xWord de "Machine Learning aplicado a Ciberseguridad" escrito por Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

Figura 8: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Además de nuestro último libro "Hacking & Pentesting con Inteligencia Artificial" escrito por Pablo González, Fran Ramírez, Rafael Troncoso, Javier del Pino y por mí, sobre el tema de este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.

 

Figura 9: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Si tienes alguna duda te recomiendo que hagas dos cosas. La primera que te veas esta conferencia mía que di a finales de año en Nerdearla Madrid 2025, donde hablo de todos estos temas en menos de una hora. Para que veas lo importante que es esta disciplina.

Figura 10: Ciberseguridad & Inteligencia Artificial enNerdearla España 2025 por Chema Alonso

La segunda, que te veas las vacantes que tenemos abiertas en Cloudflare para trabajar con nosotros. Mira cuantas de ellas piden Ciberseguridad e Inteligencia Artificial y luego me dices cuánto de importante es esta combinación. 

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Así que, si estabas pensando en dar un salto evolutivo en tu carrera profesional, mira este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad que puedes hacerlo desde cual lugar en remoto, y en un año haz el upgrade que te pide el mercado profesional.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Captchas Cognitivos: Más fácil con IA que con ojos

Ya os he contado muchas veces que los Catpchas Cogntivos se están convirtiendo  en una molestia para el usuario más que en una protección real contra los ataques automatizados de los robots, porque cada vez es más sencillo resolverlos con Inteligencia Artificial que hacerlo siendo un humano con tus propias capacidades cognitivas.

Figura 1: Captchas Cognitivos - Más fácil con IA que con ojos

En el mundo del cibercrimen, donde tienen de todo para el crimeware as a service, entre otros servicios, cómo no, están los negocios de resolución de Captchas Cognitivos as a Service, que están sacando el máximo partido posible al mundo de la Inteligencia Artificial. Así que, si los malos pueden, tú también puedes sacarle partido a la IA para hacer cosas buenas.

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Yo he estado jugando con ellos, ya que los utilizan HBO Max, Linkedin, Twitter/X, etcétera, y os he ido dejando artículos para que pudierais ver cómo funcionan:

• Captcha Cognitivo de Twitter (X) con GPT4-Vision & Gemini
• Captcha Cognitivo de Twitter (X) con Anthropic Claude 3.0 Opus
• Captcha Cognitivo de Twitter (X) con GPT-4o
• Captcha Cognitivo de Administración Pública con ChatGPT
• Captcha Cognitivo de la mano y la plancha en HBO max
• Captcha Story X: I am not a Robot, I am a GenAI Multimodal Agent
• Reto hacking con un Captcha Cognitivo para romper con GenAI
• Solución al Reto de Hacking de un Captcha Cognitivo Visual
• Anthropic Claude 3.5 Sonnet & Cognitive Captchas
• LinkedIN + ChatGPT: El Captcha Cognitivo del Objeto Descolocado
• Captcha Cognitivo de Twitter / X de Sentar Personas Correctamente: Probando con ChatGPT & Gemini
• Cómo resolver los Captchas Cognitivos Visuales y Auditivos de GitHub con Gemini (o cualquier MM-LLM) sin despeinarte

Pues bien, el otro día, un ReCaptcha de Google me pidió que resolviera en esta imagen - que aquí tienes ampliada - en qué recuadros hay motocicletas. Y ya no es que sean imágenes pequeñas o parciales, es que además están procesadas para hacerlas más confusas aún.

Figura 3: Las imágenes donde hay que buscar motocicletas

Ni me lo pensé. Fijaos que en la imagen de la izquierda de la fila del medio casi no se aprecia nada, y es casi un Test de Rorschach donde cada uno puede ver lo que quiera. Por cierto, hablando de Rorschach, si te gustó Watchmen y no te has leído Rorschach dibujado por Jorge Fornés, te estás perdiendo una obra de arte del cómic.

Figura 4: Rorschach de Jorge Fornés

Inciso a parte, resolver el Captcha Cognitivo de las motocicletas, a mí, que tengo que usar gafas para trabajar con el ordenador, me obligó a mirar y remirar, y aumentar la imagen. Así que pensé que esto me lo voy a tener que apañar con un Agente de IA para resolver mis captchas en local, y se lo pasé a Gemini a ver.

Figura 5: Pasado a Gemini para que lo resuelva él

Evidentemente, el resultado era el que esperaba. Es decir, que sin despeinarse lo resolvió mucho antes de lo que yo soy capaz de resolverlo, así que supongo que mejor que la media de los seres humanos que se vena confrontados contra este reto.

Figura 6: Gemini lo resuelve mejor que yo.

La reflexión es, si Google me pone el ReCaptcha, y Google me lo resuelve con Gemini, ¿¿por qué seguimos con esto?? Que al lado del botón del ReCaptcha haya un botón de "Resolver con Gemini" y listo, ¿no? Así todos muchos más contentos. Un CoPilot útil de verdad.

Figura 7: Resolver con Gemini y listo

Bueno, está claro que vamos a tener que repensar este tipo de tecnologías, que la necesidad inicial por la que fueron creados los Captchas Cognitivos está dejando de ser cubierta. Diferenciar a un humano de un bot con un Captcha Cognitivo ya NO es posible.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cloudflare Talks en Londres: The Intelligent Network, Connect on Tour & Futurenet World en Abril.

Esta semana que viene, el día 15 de Abril, voy a estar en The Wave, en Zaragoza, dando una conferencia con Cloudflare y Nunsys, pero también subiré el día antes a Londres donde tenemos una semana de eventos con Cloudflare Connnect on Tour. Pero además también regresaré la semana de después, para participar en Futurenet. Viajes interesantes a la capital de UK que os dejo hoy por aquí.

Figura 1: Cloudflare Connnect on Tour.

Mi primera charla será en The Intelligent Network el día 14 de Abril, que es un evento sólo para un grupo de CXO y que tendrá lugar en Londres la próxima semana. No os puedo dejar más información, ya que el evento va solo por invitación, pero habrá en abierto otros. Pero del que sí os puedo dejar información es de Cloudflare Connect on Tour London 2026, que tendrá lugar el día 15 de Abril.

Figura 2: Cloudflare Connnect on Tour.

La lista de Speakers es de primera linea, con Stephanie Cohen, Chief Strategy Officer de Cloudflare, Grant Bourzikas, Chief Security Officer de Cloudflare, Ramy Houssaini Chief Cyber Solutions Officer Cloudflare o Tony Van den Berge, Geo Vice President, EMEA Cloudflare. Puedes registrarte en la web, pero date prisa que queda poco tiempo.

Figura 3: Regístrate al Cloudflare Connect on Tour London 2026

Después estos dos eventos, la tercera cita será en Futurenet World, que tendrá lugar a la semana siguiente, los días 21 y 22 de Abril, también en Londres, y donde yo estaré dando una charla el primer día, para hablar de "cómo fortificar despliegues de IA en la empresa".

Figura 4: Chema Alonso en Futurenet World

O sea, que si estás por Londres estos días, puede que te cruces conmigo "at random" por la city, y si vienes a alguna de las charlas, pues nos vemos seguro, que estaré trabajando en la ciudad "de los cielos grises".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Bug Hunter": Nuevo libro en 0xWord

Otro día feliz, porque tenemos un nuevo libro en 0xWord, que sabéis que conseguir esto y mantener una editorial como la nuestra viva es siempre un reto. Así que, presentaros este nuevo libro de "Bug Hunter", escrito por David Padilla, alguien que sabe de esto, de ser un buscador de Bugs, que ha escrito este libro que sus más de 200 páginas te va a entretener y enseñar cómo hacer esto hoy en día con IA.

Figura 1: "Bug Hunter": Nuevo libro escrito por David Padilla en 0xWord

¿Alguna vez te has preguntado cómo es realmente reportar vulnerabilidades en empresas reconocidas a nivel mundial? ¿Te gustaría dar el paso y obtener reconocimiento descubriendo fallos? El Bug Bounty es una disciplina de seguridad ofensiva basada en recompensar a quienes identifican y reportan vulnerabilidades y justifican su impacto en activos de distintas compañías. Sin embargo, la realidad dista mucho del mito. 

Figura 3:"Bug Hunter" escrito por David Padilla en 0xWord

Este libro ha sido desarrollado desde la experiencia de alguien - David Padilla - que empezó desde cero, con curiosidad y constancia, documentando cómo se descubren vulnerabilidades, cómo se entienden y cómo se reportan. No pretende vender la imagen de un “Bug Hunter” que gana miles de dólares, sino mostrar el proceso real: aprendizaje, errores, frustración y evolución de un usuario estándar. 

Figura 4: Contactar con David Padilla Alvarado

A lo largo de sus páginas, se presenta una metodología técnica clara, combinada con casos reales, técnicas de explotación, enfoques prácticos y reflexiones sobre el presente y futuro del sector, incluyendo el papel de la Inteligencia Artificial en el Bug Bounty. El objetivo es tratar al lector como un igual: acompañarle desde sus primeros pasos hasta comprender cómo enfrentarse a un entorno complejo, exigente y altamente competitivo. Este no es sólo un libro sobre encontrar vulnerabilidades, sino sobre desarrollar una mentalidad.

Figura 5: Índice del libro "Bug Hunter" escrito por David Padilla en 0xWord

Como os podéis, está cargado de todo lo que llevamos años escribiendo por aquí. Por supuesto, es un complemento ideal para el libro de  "Hacking & Pentesting con Inteligencia Artificial" que también podéis comprar hoy mismo. Así que, si quieres un libro para comenzarte a formar en el mundo de la Inteligencia Artificial aplicado a la Ciberseguridad, el Pentesting y el Hacking y el Bug Bounty,  ya los tienes disponible para que te lo puedas comprar. Además, puedes usar tus Tempos de  MyPublicInbox.  

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este  libro de "Bug Hunter" y que, además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. 

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar en tu Agenda el Perfil Público destinatario de la transferencia.

Figura 7: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 8: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 9: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 10: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 11: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Un "Hardening Tip" de BBDD - de mi Lost & Found - contra las "Heavy Queries Malignas"

Hace muchos años, cuando estaba trabajando en mi Ph.D en los Time-Based Blind SQL Injection using Heavy Queries, en uno de mis documentos de la universidad escribí sobre las técnicas de "hardening" para dificultar este tipo de ataques y lo tenía preparado en un post, pero lo fui dejando sin sacar, y un día me olvidé de publicarlo, hace unos quince años más o menos.

Figura 1: Un "Hardening Tip" de BBDD - de mi Lost & Found -

 contra las "Heavy Queries Malignas"

Sin embargo, hablando sobre las capacidades de usar ChatGPT, Claude o Gemini para investigar en ciberseguridad, y lo fácil que hubiera sido construir las diferentes Heavy Queries para explotar un bug de SQL Injection usando una técnica Time-Based, me he acordado con él, y se lo he preguntado directamente a Gemini.

Figura 2: Whitepaper de "Time-Based Blind SQL Injection using Heavy Queries"

Por supuesto, de las técnicas de Time-Based Blind SQL Injection using Heavy Queries, hablé en el libro de "Hacking de Aplicaciones Web: SQL Injection", mientras que de las técnicas de LDAP & Blind LDAP  Injection in Web Applications,  y Connection String Parameter Pollution hablé en el libro de "Hacking Web Technologies".

Figura 3: Libro Hacking de Aplicaciones Web: SQL Injection
de Enrique Rando y Chema Alonso

Pero hoy en día, encontrar estas técnicas es tan fácil cómo preguntarle a los modelos, que ellos ya se han aprendido todos los papers, por ti, así que, preguntándole por ayuda para localizar si me han hecho un ataque a un aplicación web con un Microsoft Access 2003, obtienes rápidamente la información de sobre este ataque con Heavy Queries.

Figura 4: La tabla del sistema a explotar en Access 2003

Como podéis, ver, rápidamente nos hace el análisis de la tabla del sistema a explotar, y nos dice que la forma de explotarlo es usando Join de ella misma ene veces, tal y como explicamos en el paper, para lograr un volumen de datos tan grande que generar un delay medible. 

Figura 5: El método para explotarlo

Y por último, nos da la inyección completa que se puede utilizar para hacer el Time-Based Blind SQL Injection Using Heavy Queries, lo que genera la explotación completa de la vulnerabilidad. 

Figura 6: Inyección completa tipo Time-Based Blind SQL Injection using Heavy Queries

El resultado es que en un segundo puedes encontrar cómo hacerlo, y no ha habido que hacer ningún Jailbreak ni nada por el estilo, así que vamos a ver ahora la parte de fortificación de la que os he estado hablando.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez,  Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si vamos ahora a las protecciones, primero hay que entender por qué sigue siendo importante tener protecciones contra esta forma de explotar la base de datos, generando una Heavy Query. Estas técnicas se pueden usar para hacer un DoS o para extraer información de la BD, especialmente en motores que no tienen funciones de tiempo, o en entornos bajo WAF que están filtrando las queries.

Figura 8: Por qué sigue siendo importante esto

Y aquí viene el Hardening "Tip" del pasado, que no saqué en ninguno de los blog posts que escribí sobre ello, que consiste en que una vez construida la consulta, se pueda comprobar que la consulta tiene un Time-Out acorde con el tipo de Query que se está lanzando.

Figura 9: Poner un límite de tiempo a las consultas SQL

Por supuesto, usar consultas parametrizadas, detectar el tipo de los datos que se inyectan en los parámetros y no construir consultas concatenando strings es la clave, pero que una aplicación pueda vulnerar el rendimiento de la aplicación y de la propia base de datos por no controlar los límites de consumo de recursos de una consulta SQL es fundamental.

Figura 10: Límite temporal a nivel de TRANSACCIÓN en PostgreSQL

Para ello, en los diferentes motores de Bases de Datos existen formas de controlar el máximo tiempo que se va a permitir en ejecución una consulta, que es de lo que estuve escribiendo hace quince años, pero aquí tenéis, preguntándole a Gemini, la fácil que es limitar estos tiempos.

Figura 11: Límites en MySQL versiones 5.7.8+

Por supuesto, si no hay SQL Injection, no hay necesidad de tener esto, pero lo cierto es que esta protección se puede añadir no sólo a nivel de aplicación, sino también a nivel de DBFirewall, a nivel de Driver de conexión, o incluso como hacíamos con los ataques a nivel de red haciendo un Network Packet Manipulation con un Man-in-the-middle.

Figura 12: En Transat-SQL a nivel de Server,

a nivel de Conexión y a nivel de Query

Hay que tener en cuenta que en una arquitectura de Zero-Trust, la base de datos no debe fiarse nunca de las aplicaciones, así que, al igual que hacíamos con el Paranoid Mode para evitar las manipulaciones en bases de datos por parte de ataques de SQL Injection, controlar el consumo descontrolado de recursos es fundamental.

Figura 13: Controles en Oracle a nivel de SESSION y con Perfiles

Al final, si eres responsable de una base de datos de alto rendimiento, con muchas aplicaciones colgando de ellas, limitar el consumo de recursos lo puedes hacer preventivamente - evitándolo con límites - o reactivo, viendo qué está comiéndose la memoria y la CPU de la base de datos.

Figura 14: Límites en Access 2003 y SQLite

Ya os conté muchas veces que en la universidad yo me especialicé en Bases de Datos, que me encantaban, y que mis primeros trabajos tuvieron que ver con Tuning de bases de datos Oracle y de aplicaciones que corrían sobre ellas, así que estas cosas las tenía muy presentes cuando comencé con el trabajo de Time-Based Blind SQL Injection Attacks using Heavy Queries.

Figura 15: Resumen de posibilidades

Esta es una buena práctica de seguridad, sobre todo si eres de los que gusta tener los entornos Hardened in Paranoid Mode, así que si no la conocías o no lo estás aplicando, a lo mejor encuentras un punto donde tener estos controles y evitas estos ataques.

Figura 16: Por qué es útil esto

Lo cierto, que es a lo que iba la conversación inicial, es que esto que dejé a medio escribir hace quince años como un post, tenía que actualizarlo para ver cómo se establecen los límites temporales en todas las bases de datos, y en todos los puntos posibles, pero gracias a la existencia de los LLMs hoy en día, ha sido tan fácil como pedirle a Gemini que me lo dé, por eso os lo he compartido hoy y he borrado una tarea del pasado que tenía en mi To-Do.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)