Invaders Must Die!: "Cheating" Space Invaders con Inteligencia Artificial para ganar en mi Spectrum

Puede sonar exagerado, pero muchos caminos hacia la tecnología comenzaron con un mando en las manos. Los videojuegos de ordenador, antes de la llegada del mundo Plug & Play con las PlayStation o las Xbox, reinaban con la frustración y la dificultad de pasar de fases, entre otras cosas. 

Figura 1: Invaders Must Die! "Cheating" Space Invaders con

Inteligencia Artificial para ganar en mi Spectrum

Nunca olvidaré mi primer "hack": quería jugar desesperadamente al "Maniac mansion 2, Day of the Tentacle" pero mi flamante 386SX con 2 MB de RAM no podía con semejante bestia, que necesitaba más memoria. 

Figura 2: Maniac Mansion V2 Enhanced de 1989

Tocaba llamar a mi colega de infancia, que era un cerebrito.

"Edita el config.sys y teclea exactamente esto…y después esto en el himem.sys"

, me decía. Y de esto iba seguido mi eufórico grito de:  

"¡FUNCIONA!"

Figura 3: Ejemplo de parte del proceso/llamada telefónica

durante los años 90, Tuning MSDOS…

Mi yo de 13 años aprendió la lección del famoso dicho sobre el conocimiento como herramienta de poder, o la versión descafeinada: conocer gente más lista que tú, una bendición que me permitía estirar ese 386 hasta donde podía…

Un gamer de niño en los 90

Mi obsesión por los videojuegos comienza en casa de mi tío en la antigua Yugoslavia, Belgrado, con las cintas de casete que cargaban lentamente algunos juegos míticos. El Space Invaders era uno de ellos, algo muy inusual en aquella época y en aquel país recién salido del comunismo. Esas primeras experiencias, donde no necesitaba un amigo o familiar para echar una partida, me hacían pensar lo inteligentes que eran los diseñadores, pero que siempre había "tácticas" que tú descubres jugando ese nivel imposible una y otra vez, perdiendo vidas, hasta que ya lo dominabas y entendías cómo estar un paso por delante.

Figura 4: Revista en papel "Hobby Consolas"

Siempre fui impaciente, detestaba tener que pasar algunas fases aburridas o hacer movimientos repetitivos. Bienvenidas las revistas HobbyConsolas, donde se publicaban "trucos" para tener vidas extra o superpoderes; bastaba repetir ciertas secuencias, ¡et voilà! Sin embargo, no siempre me podía permitir comprar la revista, o se agotaba, o el videojuego que tenía entre manos no disponía de "trucos". Tocaba… ¿jugar?

Warez, CheatCodes y Cracks

Tocaba descubrir sitios Warez donde grupos elitistas como CLASS, Razor1911, entre otros, tenían una escena donde además de "piratear" cualquier cosa también tenían una sección de cheat codes. Nuevamente descubrí la magia y el poder del conocimiento: bastaba con tener acceso a estos parches, aplicarlos en tu directorio del videojuego y tenías unos trucos que ni siquiera estaban "diseñados" por los creadores. Un ejemplo de la ingeniería inversa y sus capacidades, no sólo para saltarse las protecciones del acceso, sino también para acceder a estos privilegios que pocos tenían en aquella época.

Figura 5: Escena Warez activa con grupos de crackers,

reversers en la industria del gaming.

Veinte años más tarde sigo siendo impaciente y, aunque los videojuegos han dejado de motivarme como cuando era un niño, continúo pensando que jugar y divertirte con la tecnología son los pilares para conseguir superpoderes. De ahí nace mi apuesta personal con los Capture The Flag en congresos de ciberseguridad como Hackron, entre otros. Uno de los CTF de Hackron, el tablero del juego, una ciudad interactiva, cada flag del juego activa una interacción visual/sonora real sobre la ciudad.

Figura 6: El CTF de la Hackr0n sobre el mundo IoT en SmarCities

Diseñar retos, conectarlos con "cosas" y que según saques una flag haga una acción y provoque una emoción entre los jugadores es algo que siempre he considerado necesario para seguir motivando a las futuras promesas.

Figura 7: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Hablando con algunos colegas a los que les molan este tipo de acciones —que llevan su tiempo para montarse— resulta que el uso de LLMs en estas competiciones hace que no sean ni relevantes ni divertidas; en minutos muchas de las flags se resuelven. Al principio del artículo pensaba insultar a estos "jugadores", pero resulta que son como yo en mi época joven: impacientes, y quieren sacar el cheat code para ganar de otra manera.

Una IA para mi Spectrum

Me hice la pregunta, si yo tuviera una IA en los años 90, acaso no la usaría? Al final Chema Alonso hace muchas pruebas de VibeCoding para AMSTRAD, no hay por qué no hacerlo para un Spectrum como el de mis primeros días de gamer. Dicho y hecho, me fui a comprar una réplica de la SPECTRUM que cuesta solo 99€ para validar esta idea.

Figura 8: Replica Spectrum por 99€ e incluyendo una

réplica perfecta de la sensación de su mítico teclado

No iba a dejar escapar esta oportunidad. Arranque el sistema, reviví esa bestia de "consola" que con su lenguaje BASIC/Ensamblador ZX80 era capaz de sacar maravillas, entre ellas, por supuesto, el mítico Space Invaders, ese juego difícil de narices que para "sobrevivir" tendrías que ser de otro planeta… en esta ocasión una segunda parte que ni llegue a jugar.

Figura 9: Space Invaders

Descargué el fichero del juego en formato TZX para dárselo a Claude Opus, pidiéndole en el prompt:

"Modifícalo en binario y consigue vidas extras, con las chorradas que te hacen la vida más fácil, como tener el autodisparo ON, etcétera." 

Figura 10: "Cheteando" el Space Invaders con Claude Opus en OpenCode

Claude Opus obedeció y, con algunos ajustes vía prompts, terminó cumpliendo con la misión. Mi siguiente prompt es donde hago lucir mi impaciencia: 

"Debes vencer a toda costa y evitar que te maten, el Game Over no existe, debes estar por encima de todo en este juego." 

Dicho y hecho, os dejo el resultado en el siguiente vídeo, para que veas qué bien funciona mi Spectrum y el Space Invaders "cheteado" con Claude Opus. 

Figura 11: Playing Space Invaders hacked by IA in a Spectrum "Replica"

Puedes consultar en esta guía lo que Claude ha aplicado dentro del fichero: Guía Ingeniería Inversa Spectrum, que hemos subido a Slideshare.

Figura 12: Guía práctica de ingenieria inversa para modificar videojuegos ZX Spectrum

Más de treinta años después, esto terminará siendo parte de algún reto, de algún CTF enrevesado, pero sobre todo es la esencia de algo que me importa: aunque la incertidumbre sobre nuestra relevancia junto a la Inteligencia Artificial es real, quiero pensar que la creatividad visceral que poseemos los humanos sigue siendo imprescindible, y lo será durante muchos años más. 

"Invaders must die". 

Autor: Igor Lukic, organizador y fundador de Hackron

Contactar con Igor Lukic, organizador y fundador de Hackron

Asiste grátis al Taller de diseño digital con Inteligencia Artificial este 25 de Mayo Online

Esta tarde a las 17:00 hora de España tenemos el taller gratuito de "Usos de la IA para transformar la logística y la cadena de suministro en las empresas" al cuál, si te das prisa aún puedes apuntarte, pero además, el próximo lunes tenemos el Taller de Diseño Digital con Inteligencia Artificial gratis y online para que puedas seguir formándote todo lo que puedas en el mundo de la IA, que tanto está transformando las profesiones y el mundo laboral. Así que aprovecha de esto que estamos haciendo en la UNIR.

Figura 1: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

No se me ocurre ninguna persona que le diría a un amigo, hijo o conocido al que aprecie que no se ponga las pilas con la Inteligencia Artificial. Pero lo cierto es que el campo de aplicación es tan grande, que aprender y conocer cómo hacerlo concretamente en determinados puestos de trabajo exige una especialización concreta.

FORO: Taller de diseño digital con Inteligencia Artificial 

En la UNIR estamos trabajando en verticalizar la aplicación de la IA en los diferentes sectores profesionales. Está muy bien que yo me especialice en cómo usar la parte de ciberseguridad, pentesting o hacking, pero un profesional de Marketing, Comunicación, Diseño Gráfico o User-Experience de hoy en día necesita aprender a cómo utilizarla en la parte más creativa para el diseño, desde imágenes, a vídeos, pasando por creaciones musicales o composiciones completas de anuncios.

Figura 2:  Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

Por eso hemos trabajado con profesionales de los diferentes sectores para hacer los FOROS UNIR gratuitos para todos, donde poder asomarse a cómo los profesionales, en este caso el Taller de Diseño Digital con Inteligencia Artificial gratis y online.

Figura 3: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

El próximo foro, titulado: "Taller de Diseño Digital con Inteligencia Artificial" será el próximo día 25 de Mayo por la tarde (a las 17:00 horas de España), totalmente GRATUITO y ONLINE, y contará con profesionales que hablarán justamente de esto.

Figura 4: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

Si estás trabajando en sector logístico, o en la gestión de la cadena de suministro de tu empresa, o quieres dedicarte profesionalmente a este mundo, donde tenemos a profesionales de éste mundo profesional que compartirán cómo están utilizando la Inteligencia Artificial en sus procesos.

Figura 5: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

Al final, esta es una oportunidad para conectarse desde casa o el trabajo, y en una hora ponerse al día con uno de los temas que más preocupan hoy profesionalmente, como es el Diseño Digital con Inteligencia Artificial. No desaproveches la oportunidad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

19 Edición del Máster Online en Ciberseguridad en el Campus de Ciberseguridad: Promoción 2026-2027 Abierto el Registro

Parece que está lejos, pero dentro de nada estamos celebrando el verano, lo despedimos, y ya nos metemos en la próxima 19 Edición del Máster Online de Ciberseguridad 2026-2027 del Campus Internacional de Ciberseguridad que tendrá su inicio el próximo 8 de OCTUBRE de 2026 y terminará en 2027. Como sabéis yo participo como Mentor de los programas de Máster este año 2025-2026, colaborando también con 0xWord, Singularity Hackers y MyPublicInbox. 

Figura 1: 19 Edición del Máster Online en Ciberseguridad en el

Campus de Ciberseguridad: Promoción 2025-2026 Abierto el Registro

Este programa en concreto del Máster de Ciberseguridad 2026-2027 lo dirige el gran Sergio de los Santos, y tiene un año de duración, con un programa amplío para enfocarte en todas las áreas del mundo de la ciberseguridad.

Figura 2: Mentor del Campus Internacional de Ciberseguridad

En esta nueva edición del Máster de Ciberseguridad, que como he dicho dirige  Sergio de los Santos y que dará comienzo el 8 de Octubre 2026, los alumnos tendrán un plantel de profesores de primer nivel, muchos de ellos han sido o son compañeros míos, entre los que están Juanjo Salvador, Pablo San Emeterio, Fran Ramírez, Alejandro Vázquez, Gonzalo Álvarez Marañón, Pablo González, José Torres, Eduardo Sánchez, David García, Jesús Torres o José Rodríguez, entre otros.

Figura 3: Consulta todo el profesorado del Máster de Ciberseguridad

El programa del curso, que puedes consultar en la web, ha sufrido un actualización masiva para adaptarse al mundo de la Inteligencia Artificial, y tiene los siguientes módulos. Entre ellos, un Trabajo de Fin de Máster donde habrá alguno que propondré yo para los que quieran hacerlo. Como podéis ver, el programa es muy ambicioso, así que más vale que vengas con ganas de estudiar y aprender.

Figura 4: Programa del XII Máster de Ciberseguridad

Dentro de esta formación además, tendrás estas certificaciones asociadas a este Máster, como son:

• Certificación del Campus Internacional de Ciberseguridad,
• Certificación de Fundamentos de Linux por Linux Profesional Institute.

Además pueden optar a estas certificaciones durante la realización del programa:

• Certified Cyber Security Professional (CCSP)
• Administrador de Transformación Digital por Zscaler (ZDTA)
• Certificación de Fundamentos de Python por el Python Institute.
• Certificación de la Universidad UCAM de Murcia.

Además, los alumnos recibirán como material de estudio libros de 0xWord como complemento de estudio. En concreto, el libro de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos, y el de "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.

Figura 5: Libros de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos,

 y "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.

Por último, todos los alumnos tendrán una sala de conversaciones en MyPublicInbox con los profesores del programa de formación - y conmigo - y recibirán Tempos de MyPublicInbox por si quieren hacer consultas a profesionales.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

¿Tiene informático tu ayuntamiento? El futuro de España lo decidirán 8.132 municipios

Me llamo Santiago Bonet. Soy Ingeniero en Informática y llevo más de 30 años en esto, de los cuales 21 de ellos como Director TIC en el sector privado, y los últimos 7 como Responsable de Transformación Digital del Ayuntamiento de Alcàsser, un municipio de 10.712 habitantes de la Comunitat Valenciana. Conocía a Chema Alonso en el año 2011, en el Teatro Municipal de Algemesí, cuando ambos éramos ponentes ante 400 chavales de FP Informática. 

Figura 1: ¿Tiene informático tu ayuntamiento?

El futuro de España lo decidirán 8.132 municipios

Le contacté hace unos días por su buzón de MyPublicInbox y le conté lo que estamos haciendo en Alcàsser, y amablemente me ofreció este espacio. Se lo agradezco, porque lo que voy a contar creo que afecta a toda España, y la comunidad hacker hispana debería saberlo. 

Figura 2: El proyecto compite en los Premios NTV 2026

Además, os voy a pedir que nos apoyéis en el candidatura al Premio en la Noche de las Telecomunicaciones Valencianas 2026, pero puedes apoyarnos después de de que te cuente el detalle.

⚠️ El problema: la ley que regula los ayuntamientos tiene 40 años

La Ley 7/1985, Reguladora de las Bases del Régimen Local (LBRL), define la estructura orgánica básica de los ayuntamientos españoles. Establece qué puestos son obligatorios, qué funciones son reservadas y qué perfiles tienen reconocimiento institucional formal. En 1985, Internet no existía. El correo electrónico era cosa de laboratorios universitarios. La LBRL reserva funciones esenciales a los funcionarios con habilitación de carácter nacional: Secretarios, Interventores y Tesoreros. Todas ellas son figuras imprescindibles con una responsabilidad enorme — la fe pública, el control económico y la tesorería son pilares del Estado local — y el reconocimiento institucional que tienen está completamente justificado.

Pero en 1985 nadie podía imaginar que cuarenta años después la infraestructura digital sería tan crítica como la económica o la jurídica. Que un ciberataque podría paralizar un ayuntamiento durante semanas. Que la interoperabilidad entre administraciones, la identidad digital, la protección de datos o la inteligencia artificial aplicada al servicio público serían responsabilidades de primer orden. Todo eso recae hoy sobre una figura que la ley NO menciona: el técnico informático municipal.

Como consecuencia de esta ausencia de regulación, el 88% de los 8.132 municipios españoles tienen menos de 7.000 habitantes y NO disponen de ningún técnico informático en plantilla que lidere su transformación digital, según los datos del INE 2025. Y el resultado es predecible: formularios en papel que se pierden, ciberataques sin respuesta, equipos con sistemas operativos obsoletos conectados a redes municipales, y ciudadanos que no pueden hacer un trámite online porque nadie les ha enseñado.

💡 La propuesta en positivo

El modelo que han construido los funcionarios habilitados nacionales — con cuerpos propios, atribuciones definidas por ley, formación reglada y reconocimiento institucional — es exactamente el referente que necesita la figura del técnico informático municipal.

No se trata de sustituir a nadie ni de cuestionar lo que ya funciona. Se trata de que España actualice su marco normativo para que la digitalización tenga el mismo respaldo institucional que la gestión económica o la fe pública. En 2026, la infraestructura digital es tan crítica como cualquier otra. Y merece el mismo tratamiento.

🚀 Lo que un solo técnico puede hacer en un municipio de 10.000 habitantes 

En febrero de 2019, Alcàsser sufrió un ciberataque. El Ayuntamiento creó el Área de Transformación Digital y me contrató como técnico responsable. Un técnico. Uno. Para un municipio de 10.712 habitantes con 10 sedes y más de un centenar de ordenadores. Lo que vino después es el Proyecto GREEN-TDIGITAL. Los números hablan solos:

Figura 3: Datos del Proyecto GREEN-TDIGITAL

Todo con software libre, usando Drupal para la intranet y web, GLPI para gestión de incidencias, GNU/Linux Debian en más de 100 máquinas que iban al contenedor, servidores en un CPD alimentado con paneles solares. Y un chatbot de IA en producción con más de 360 consultas resueltas en sus primeros seis meses.

Figura 4: 🤖 El chatbot de IA en producción - 360+ consultas resueltas

en 6 meses, alimentado por las 22 áreas municipales del ayuntamiento

La clave del modelo no es la tecnología en sí. Es la combinación de tres factores que deben multiplicarse, no sumarse. La fórmula de Green-TDigital:

TRANSFORMACIÓN DIGITAL = TECNOLOGÍAS × PERSONAS × ORGANIZACIÓN

Si cualquiera de los tres vale cero, el resultado es cero. Por eso el proyecto tiene tres patas: despliegue tecnológico, formación ciudadana, y reorganización de procesos en las 22 áreas del ayuntamiento. Y por eso los propios funcionarios son parte activa del cambio:

Figura 5: 🪧 Los adhesivos en los mostradores de las 22 áreas. Los propios

funcionarios animan en persona a los ciudadanos a digitalizar sus trámites

🔴 Por qué esto le importa a la comunidad hacker

Un municipio sin técnico informático no es solo un problema de servicio público. Es un problema de seguridad que está pasando desapercibido.

Vector de ataque sistémico — más de 7.000 municipios sin TIC en plantilla:

• Sistemas sin parchear durante años o décadas
• Sin plan de contingencia ante ciberataques
• Datos de ciudadanos gestionados sin criterio técnico de seguridad
• Dependencia total de proveedores externos sin supervisión técnica interna
• Software propietario sin alternativa de continuidad si el proveedor desaparece
• Interoperabilidad con el Estado hecha a golpe de papel y fax en algunos casos

Alcàsser lo sufrió en 2019. Muchos otros municipios lo están sufriendo ahora mismo en silencio. Y la respuesta institucional sigue siendo insuficiente porque el marco legal no contempla al técnico informático como figura necesaria.

🏆 Validación externa — no es solo Alcàsser que lo dice

GREEN-TDIGITAL ha pasado por siete eventos de referencia en dos años, y ha competido por premios que ayuden a difundir el mensaje de las necesidades que hay en todos los ayuntamientos de España.

Figura 6: Difusión del proyecto GREEN-TDIGITAL

💬 Conclusión: la infraestructura más crítica de España no tiene quién la proteja

Los ayuntamientos son la primera línea del Estado. Gestionan el padrón, las licencias, las ayudas sociales, la recaudación local. Son los que saben cuántas personas mayores viven solas en cada calle, dónde hay que colocar un desfibrilador. Son los que atienden al ciudadano cara a cara. Y el 88% de esos 8.132 ayuntamientos no tiene ni un solo técnico informático. Estamos hablando de infraestructura crítica gestionada sin personal especializado. Como si los hospitales no tuvieran médicos. Como si las centrales eléctricas no tuvieran ingenieros.

Figura 7: El proyecto compite en los Premios NTV 2026

El modelo GREEN-TDIGITAL demuestra que se puede cambiar esto desde dentro, con pocos recursos y software libre. Está documentado, publicado y disponible de forma gratuita para cualquier ayuntamiento que quiera replicarlo. Está todo en mi blog santiagobonet.com.

La pregunta no es si la transformación digital llegará a tu municipio. La pregunta es si llegará a tiempo, liderada desde dentro, o si llegará tarde, gestionada desde fuera y sin que nadie la entienda.

Autor: Santiago Bonet

Contactar con Santiago Bonet

ExploitGym: Mythos, GPT 5.5, Gemini Pro en un CTF & Benchmark de hacer exploits

En el artículo de "El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs" donde os contaba cómo ha ido evolucionando el uso de los modelos LLMs en el mundo de la ciberseguridad en general, os contaba cómo se habían ido cubriendo las diferentes áreas con IA de forma muy rápida. Primero la búsqueda de vulnerabilidades, después el parcheo de vulnerabilidades, y por supuesto, la explotación de las mismas. 

Figura 1: ExploitGym: Mythos, GPT 5.5, Gemini Pro

en un CTF & Benchmark de hacer exploits

Con la llegada de Mythos y GPT 5.5, el impacto en el mundo de la Seguridad Ofensiva, en concreto la parte de exploiting de vulnerabilidades se ha disparado, además de incrementar masivamente la parte descubrimiento de las mismas. La pregunta que queda en el aire, es... ¿cuánto de mejores son estos nuevos modelo en la estas funciones? ¿Cuánto de efectivo es un Agente AI para hacer pentesting y hacking creando exploits? Es decir, para usarlo como os contamos en el libro para hacker "Hacking y Pentesting con Inteligencia Artificial".

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Esto es lo que se intenta medir en el paper de "ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks?" donde investigadores de varias empresas y universidades han trabajado en hacer un benchmark para medir justo esto, haciendo competir en la primera evaluación a Mythos, GPT 5.5, Gemini Pro y las versiones de Claude Opus 4.7 y 4.6, y que podéis leer aquí mismo.

Figura 3: "ExploitGym: Can AI Agents Turn Security

Vulnerabilities into Real Attacks?"

Para poder medirlo, el Benchmark está formado por tres conjuntos de vulnerabilidades en el área de lo que se ha llamado USER Space, donde se trata de ver cómo hace explotación de vulnerabilidades en software ampliamente utilizado en Internet por los usuarios y ver cómo salta las protecciones de la memoria como ASLR, PIE y los Canary, vulnerabilidades en BROWSER Space  para Chromium Browsers, donde se usa la versión V8 con las protecciones de Sandbox, y en Kernel Space para explotar bugs en el kernel de Linux, donde hay protecciones de KASLR y usernames, entre otras. 

Figura 4: Tres espacios con vulnerabilidades a explotar y sus mitigaciones

Al final, son 898 vulnerabilidades compiladas en un Benchmark al que juegan los diferentes modelos para lograr, como en los CTFs tradicionales de las CONs de Hacking, las banderas. Las flags. Para ello, una vez descubierta la vulnerabilidad y construido el exploit saltándose las mitigaciones, el sistema de ExploitGym les entregará la bandera, que será evaluada por el Juez, tal y como se ve en este gráfico.

Figura 5: Proceso de búsqueda, reporte y validación de la explotación

Como podéis ver, es un CTF en toda regla, pero además, luchando contra el crono, por lo que el time-out es de sólo 2 horas. Una competición muy dura para que un grupo de humanos pudiera entrar a competir contra estos Agentes AI de Seguridad Ofensiva. Los resultados en la siguiente tabla.

Figura 6: Resultados del Benchmark de ExploitGym

Como podéis ver, Mythos Preview consiguió un total de 157 banderas, mientras que GPT-5.5 consiguió un total de 120. Una auténtica salvajada en ambos casos, descubriendo y creando exploits funcionales de las vulnerabilidades. Pero ojo cuidado, que los resultados aún fueron mayores que esos.

Figura 7: Flag-To-Success

En la tabla anterior se puede ver que Mythos Preview y GPT-5.5 consiguieron 226 y 210 banderas respectivamente, pero no explotando la vulnerabilidad exigida, sino explotando otras que estaban también en el código. Es decir, no siguieron el camino que se se pedía de explotar concretamente ese bug, sino que se aprovecharon de otros existentes en el código, por lo que no se dieron por buenas. Claro, a un atacante de verdad seguro que eso le da bastante igual.

Figura 8: Overlap entre Mythos y GPT-5.5

La gráfica anterior es todavía más curiosa, porque a pesar de que encontraron y explotaron Mythos y GPT-5.5 un total de 91 banderas iguales, aún hubo 66 que explotó Mythos y no GPT-5.5 y al contrario, 29 que explotó GPT-5.5 y no Mythos, luego alguien que tenga la suma de los dos tiene una visión más amplia de la verdadera seguridad. Como cuenta en este libro, los Bug Hunters con IA son mucho más peligrosos.

Figura 9:"Bug Hunter" escrito por David Padilla en 0xWord

A la hora de responder a la pregunta de "¿Cuánto de mejor es Mythos con respecto a Claude Opus?", ya que vimos que era posible hacer un exploit en 20 horas a partir de un CVE, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron", la comparativa siguiente es clara. 

Figura 10: Generación de exploits en 2 horas y 5 horas

Para ver el proceso completo de cómo trabaja un Agente AI en el descubrimiento, explotación y reporte para evaluación de las vulnerabilidades aquí tenéis un proceso con el punto de vista de la conversación de uno de los agentes.

Figura 11: Verificación de una trayectoria de explotación.

Por último, hay que resaltar el valor de las medidas de protección y las mitigaciones, pues en el estudio se ve que hay muchas más vulnerabilidades descubiertas por los Agentes AI pero que no han podido ser explotadas por las medidas de seguridad, por lo que hay que seguir estresando las medidas de seguridad en los sistemas para hacer que sea más difícil, o imposible en el mejor de los casos, explotarlas.

Figura 12: Ratio de bypass de las medidas de mitigación.

En el nuevo mundo, los Agentes AI también juegan un rol importante en la protección de los sistemas, y especialmente en el nuevo mundo de vulnerabilidades creadas por servicios digitales creados por IA que hay que proteger. Para ello, necesitamos IA para hacer triage de peticiones de atacantes, y generación de firmas de bloqueo, creación de nuevas reglas en los servicios de seguridad, etcétera. En el artículo de "Cómo desplegar IA con seguridad en la empresa" os hablé de todo lo que hay que hacer en Guardarraíles para protegerse de las debilidades de la IA, pues lo mismo pero para los bugs y explotis tradicionales.

Figura 13:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Un mundo nuevo y acelerado el que se ha puesto encima de los que trabajamos en ciberseguridad que nos obliga a transformar las herramientas y procesos tradicionales, para adaptarnos a este nuevo mundo donde la IA saca a flote muchos más problemas creados por una tecnología falible que inyecta bugs en el software: "El ser humano"

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Figura 14: Contactar con Chema Alonso

Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

Esta semana, en mitad de la vorágine de viajes y charlas, en mi buzón de MyPublicInbox he recibido un par de correos muy similares. Ambos eran de incidentes de seguridad en PYMEs, y ambos tenían un punto de desesperación por culpa de un incidente de seguridad. Se trataba de dos ciberestafas - nada nuevas - que habían robado el dinero de sus cuentas. 

Figura 1: Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

El primero de ellos tenía un troyano en el equipo desde donde le controlaban el correo electrónico, y le estaban controlando las transferencias bancarias, desde el correo electrónico. Es una técnica que ya os conté hace más de doce años, donde se modifican los números de cuenta, y la víctima acaba siendo ella la que envía el dinero a cuentas en el extranjero pensando que lo está haciendo a una cuenta correcta.

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

El segundo de los correos fue un ransomware que le estaba pidiendo un pago en BitCoins para devolverle el acceso a todos sus documentos, trabajos, facturas, bases de datos de claves de acceso a cuentas, etcétera. Nada nuevo bajo el sol en ninguno de los dos ataques.

Por supuesto, yo les contesté con la mejor de mis intenciones, explicándole al primero la dificultad de recuperar el dinero enviado hace una semana a unas cuentas en Hong-Kong, y al segundo lo complejo que es recuperar a corto plazo de tiempo el acceso a esos documentos sin pagar, y los costes que puede tener intentar crackear el cifrado del ransomware por fuerza bruta.

Sin embargo, lo que más me llamó la atención era el punto de desesperación y sufrimiento que ambas personas tenían en sus mensajes. Eran PYMEs y estos ataques les hacían un roto para seguir con su vida normal, para poder hacer frente a los pagos del mes, y les afectaba a su vida personal de manera importante. Las pequeñas empresas eran, y son su forma de vida. Viven al mes de lo que van cobrando y la disrupción les dejaba en una situación crítica y desesperanzada. 

Los servicios de ciberseguridad son caros o baratos dependiendo de ti

A veces me gustaría poder hacer magia, y con un golpe de teclado hacer que el dinero regresara de las cuentas de los cibercriminales o que los ficheros se descifraran con un sencillo script hecho con Vibe Coding, pero la realidad es que la solución no está después, si no antes. Ninguna de ellos tenía sistemas de protección en tiempo real. No tenían EDRs para detectar el malware y las vulnerabilidades cuando llegaban.

"¡Es que los servicios de ciberseguridad son muy caros!", 

me decía una de las víctimas. Sí, es verdad. A posteriori, los servicios de ciberseguridad son muy caros, porque los analistas forenses o los expertos de ciberseguridad si los pagas por horas cuando ya has tenido el problema, te van a costar mucho, y encima no van a poder hacer magia. Pero poner soluciones de prevención de ciberseguridad ANTES es muy barato.

El modelo de seguridad de IronGate Cybersecurity funciona como una Suscripción por Dispositivo, donde se da un servicio MDR (Managed Detection and Response) que vela por la seguridad de los equipos las 24 horas del día, los 7 días a la semana, ayudando a PyMes, Autónomos y Particulares a tener protegidos los equipos, detectar las amenazas y tomar las acciones preventivas y/o correctivas de ciberseguridad adecuadas a la alerta. Por 10 € al mes por equipo.

Figura 3: Gestión de dispositvos para Autónomos y Particulares

Para ello, IronGate Cybersecurity se encarga de ser un Security Operations Center para que todas alarmas de seguridad generadas desde tus sistemas de seguridad en los dispositivos sirvan para aumentar el nivel de seguridad de tus equipos. En una PYME con dos ordenadores y tres móviles el coste de la protección con EDRs y MDR es de 50 € al mes con monitorización 24x7. La cantidad de dinero perdida en los dos incidentes que os he contado podría pagar la protección de los sistemas por toda la vida útil de la emrpesa.

Figura 4: IronGate Cybersecurity - Security Operations Center (SOC)

para PyMes, Autónomos y Particulares

Sé que "gastar" en seguridad es algo que nunca viene bien cuando eres una PYME que va al día, pero mejor un poco en prevención que sufrir las consecuencias después. Os garantizo que una vez que el dinero ha volado o que el ransomware ha cifrado los archivos, los expertos de ciberseguridad no van a poder hacer magia. Si tu pequeña empresa es tu forma de subsistir, entonces no ahorres en lo importante.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

En Memoria de José Manuel Vera. Un periodista, amigo, en la comunidad hacker

Hoy es un día de mierda. Es lo primero y más importante que decir. Es un día de mierda, perder a alguien con José Manuel Vera. Una puta mierda. Porque era un compañero desde que nos conocimos hace doce años, y porque se convirtió en un amigo. Este amigo nos ha dejado repentinamente, y me enteré ayer por la tarde. Desde entonces tengo rabia, cabreo e impotencia.

Figura 1: En Memoria de José Manuel Vera.

Un periodista, amigo, en la comunidad hacker

Nos conocimos en el otoño del año 2012 cuando vino a Telefónica a hacerme una entrevista. Era un periodista que adoraba el hacking y la ciberseguridad - no muchos han acabado siendo ponentes de eventos como RootedCON -. Cuando nos conocimos quería hacerme fotos con una chaqueta americana para la portada de la revista ONE donde trabajaba en aquel entonces, pero le avisé de que yo me veo fatal con traje y que iba a quedar fatal.

Figura 2: Esta entrevista, foto y portada es de

José Manuel Vera y es de lo mejor que tengo.

Me lo regaló para mí él.

Me hizo un book de fotos con chaqueta - una verde para más dolor -, y cuando acabó, las vio, y dijo: "Tienes razón, vamos a usar la que te hemos hecho con camiseta, vaqueros y zapatillas deportivas", y así salió la revista. Me la hizo él, y a mi madre le hizo mucha ilusión. Y luego nos reímos muchas veces de lo mal que me queda el traje. "Hasta mis hijas me lo dicen, José Manuel", le decía después.

Después de ese momento, construimos una relación de amistad, de cariño, de colaboración constante. Se convirtió en mi amigo, en mi abrazo obligado en todas las CONs de hacking, mi apoyo en momentos de presión, y un promotor de todo lo que hacía yo. Me publicaba los libros de 0xWord en sus artículos y siempre, siempre, siempre me buscaba para saludarme o hacerse fotos conmigo.

Figura 3: José Manuel siempre de los nuestros

Estuvo conmigo durante más de catorce años siguiendo mi carrera, apoyándome, estando a mi lado siempre, sin importar el momento.  Tengo mil momentos, mil conversaciones, mil recuerdos con él. Pero hoy no estoy para contarlos. Este jueves pasado vino a verme. Acababa de publicar la reseña de mi último libro en su sección de la Biblioteca de SIC, y pasó a hacerse una foto conmigo - otra más - a saludarme y darme un abrazo.

Hacía nada de eso, solo cinco días, desde que nos dimos ese abrazo, como siempre, sólo que ese sería a la postres nuestro último abrazo. Nuestra última foto. Y es una puta mierda, porque no puedo decir más que buenas palabras de él.  Hoy estoy despidiendo a una buena persona, a un buen tío. Un tipo alegre, una persona cariñosa. Solo puedo enviar mi más sentido pésame a su familia, e intentar honrar la memoria de José Manuel con mi eterno aprecio, cariño y respeto por la persona que fue en vida. Te echaremos mucho tiempo de menos, compañero.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)