Vibe Hacking con Cybersecurity AI (CAI): Agentes AI autónomos para ciberseguridad ofensiva y defensiva

En 1997, IBM Deep Blue marcó un hito tecnológico al derrotar a Garry Kasparov en ajedrez. Este evento demostró que los sistemas computacionales podían superar el rendimiento humano en dominios específicos mediante algoritmos especializados y capacidad de procesamiento masivo. Ese momento estableció un precedente fundamental: la viabilidad de sistemas automatizados para resolver problemas complejos tradicionalmente reservados al intelecto humano.

Figura 1: Vibe Hacking con Cybersecurity AI (CAI).

Agentes AI autónomos para ciberseguridad ofensiva y defensiva

En la actualidad, el dominio operacional ha evolucionado del tablero de ajedrez al ciberespacio. Los vectores de amenaza incluyen algoritmos maliciosos automatizados, botnets distribuidas y actores patrocinados por estados con recursos significativos. En este contexto, los factores críticos son la velocidad de respuesta, la adaptabilidad y la capacidad de procesamiento de datos en tiempo real. 

Figura 2: CAI: An Open, Bug Bounty-Ready Cybersecurity AI

Cybersecurity AI (CAI) emerge como una arquitectura de agentes de IA que representa la evolución natural de sistemas especializados (Narrow AI) como Deep Blue y AlphaZero hacia aplicaciones generalizadas en el sector de tecnologías de la información.

Análisis del Ecosistema Actual de Ciberseguridad

El panorama actual presenta múltiples desafíos técnicos. Las vulnerabilidades proliferan exponencialmente en sistemas interconectados con arquitecturas cada vez más complejas. Los equipos de seguridad operan con recursos limitados contra amenazas persistentes y distribuidas. Los programas de recompensas por vulnerabilidades, aunque efectivos para la identificación de fallos, han generado una concentración de mercado donde pocas plataformas centralizan los datos de vulnerabilidades, utilizándolos para entrenar sistemas propietarios de IA.

Esta centralización genera ineficiencias operativas: tiempos de triaje prolongados, variabilidad en la calidad de los reportes y concentración del talento en programas específicos. Las pequeñas y medianas empresas, así como investigadores independientes, enfrentan barreras significativas de entrada.

Figura 3: Github - Enlace a la tool

CAI se propone como una solución arquitectónica a estos desafíos. No es un sistema monolítico, sino un framework modular de código abierto diseñado para la implementación de agentes especializados. La arquitectura aprovecha las capacidades de los Modelos de Lenguaje Grande (LLMs) mientras mantiene los estándares de usabilidad que los profesionales de ciberseguridad requieren. Funciona como una capa de abstracción entre las capacidades computacionales avanzadas y la implementación táctica especializada.

Análisis Comparativo: CAI vs Herramientas Tradicionales

Las herramientas tradicionales de ciberseguridad operan como instrumentos especializados de alta precisión: nmap para reconocimiento de red, sqlmap para evaluación de bases de datos, Metasploit como framework de explotación. Estas herramientas ejecutan funciones específicas siguiendo lógica deterministica y requieren operación manual para cada fase del proceso.

Figura 4: Comparativa de CAI con herramientas tradicionales

Arquitectura Técnica de CAI

CAI implementa una arquitectura basada en el modelo ReAct (Reasoning and Acting) con siete componentes principales:

1. Agentes: Entidades computacionales con prompts especializados, conjuntos de herramientas y lógica de actuación definida. Cada agente mantiene un contexto operacional y capacidades específicas.

2. Herramientas (Tools): Interfaces para la ejecución de acciones concretas, incluyendo:

○ Comandos del sistema operativo (nmap, curl, python)

○ APIs externas (Shodan, VirusTotal)

○ Manipulación de código y búsqueda web

○ Soporte para Model Context Protocol (MCP)

3. Transferencias (Handoffs): Mecanismo de delegación contextual entre agentes, permitiendo la especialización y distribución de tareas complejas.

4. Patrones (Patterns): Arquitecturas de coordinación multi-agente:

○ Enjambres: Intercambio dinámico de tareas entre agentes

○ Jerárquicos: Coordinación maestro-subordinado para operaciones complejas

○ Secuenciales: Ejecución en cadena con transferencia de estado

○ Paralelos: Ejecución concurrente de múltiples agentes

5. Turnos (Turns): Ciclos completos de interacción hasta alcanzar objetivos parciales o requerir intervención.

6. Human-In-The-Loop (HITL): Sistema de supervisión y control que permite intervención humana mediante interrupciones (Ctrl+C), revisión de razonamiento y control directo en puntos críticos.

7. Integración LLM: Compatibilidad con más de 300 modelos mediante LiteLLM, incluyendo GPT, Claude, DeepSeek y modelos locales vía Ollama.

Componentes de Soporte:

• Extensiones: APIs para integración de nuevas herramientas
• Trazabilidad: Logging completo vía OpenTelemetry para auditoría y análisis

Ejemplos de Implementación de Agentes:

Todos los agentes son capaces de realizar cualquier acción con las tools. El agente abstrae el workflow general, pero este flujo de trabajo no es estático.

Figura 5: Implementación de Agentes AI con CAI

• Red Team Agent: Enfoque ofensivo con herramientas como nmap, metasploit-framework, hashcat. 
• Lógica: reconocimiento → explotación → post-explotación.

• Bug Bounty Hunter Agent: Especializado en aplicaciones web con nuclei, sqlmap, gobuster. 
• Lógica: descubrimiento de activos → escaneo OWASP Top 10 → generación de PoCs.

• Blue Team Agent: Orientado a defensa con osquery, sysmon, APIs SIEM.
• Lógica: monitorización → análisis de comportamiento → respuesta a incidentes.

Validación Empírica y Métricas de Rendimiento

Competiciones CTF:

• AI vs Human CTF (marzo 2025): Top 20 global, 1º entre equipos de IA, 19/20 desafíos resueltos (95% éxito)

Figura 6: Ranking de AI Agents en reto "AI vs Humans"

• Métricas de velocidad: 938x más rápido en forense, 774x en ingeniería inversa, 741x en robótica.

Figura 7: Métricas de velocidad por categoría de reto

• Cyber Apocalypse CTF 2025: Posición 22 entre 8,129 equipos, 30/77 banderas capturadas

Figura 8: Ranking de AI Agents en reto "Cyber Apocalypse"

Casos de Uso Prácticos:

• Evaluación completa de robots industriales
• Ascenso a Top 30 España / Top 500 mundial en Hack The Box en 7 días
• CTFs competitivos
• +5 Bug bounties confirmados con reward
• +10 vulnerabilidades críticas encontradas en infraestructuras tecnológicas

Reducción de costes promedio: 156x comparado con métodos tradicionales.

Interfaz de Línea de Comandos

La CLI de CAI implementa comandos estructurados para gestión completa del sistema:

Figura 9: /agent - Gestión de agentes (list, select, info, configuración de patrones)

Figura 10: /model: Administración de LLMs (visualización de costes, cambio dinámico)

Figura 11: /compact: Resume el contexto para hacer ejercicios

durante horas sin importar la ventana de contexto

Figura 12: /history: Visualización de la lista de mensajes del agente por roles 

Figura 13: /graph: Visualización de la lista de mensajes del agente en grafo

Figura 14: /mcp: Integración de herramientas externas (Burp Suite, Ghidra)

Figura 15: /workspace, /config, /virt: Gestión de entornos, incluyendo contenedores Docker

Poe último se puede usar $ o /shell que da acceso directo a shell del sistema. Os dejamos por aquí unas Pruebas de Concepto.

Figura 16: alias0 Portswigger Insane Web Shell RCE + Race condition:

Figura 17: Deepseek-Reasoner Portswigger XXE

Figura 18: alias0 MIR 100 Robot

Implicaciones para la Industria

El 82% de profesionales de ciberseguridad anticipan mejoras de eficiencia mediante IA. CAI materializa esta expectativa permitiendo:

● Pruebas de penetración continuas y paralelas

● Reducción drástica de costes operacionales

● Acceso democratizado a capacidades avanzadas de evaluación

También es importante resaltar que CAI aborda dos aspectos críticos a tener en cuenta en esta industria, como son:

• Democratización: Acceso abierto a herramientas avanzadas de IA, no limitado a grandes corporaciones o actores estatales.

• Transparencia en Capacidades: Los benchmarks actuales de proveedores de LLM suelen carecer de instrumentación agéntica adecuada, resultando en evaluaciones incompletas. CAI proporciona un benchmark realista de capacidades actuales mediante pruebas en escenarios operacionales completos.

Aplicaciones en Ciberseguridad Robótica

Los sistemas robóticos presentan desafíos únicos: fusión IT/OT, protocolos propietarios, ciclos de vida prolongados. CAI demuestra capacidades para:

● Identificación automatizada de configuraciones inseguras

● Análisis completo del stack tecnológico (OS hasta aplicaciones ROS)

● Implementación embebida en plataformas robóticas para autoprotección y respuesta autónoma

El mejor modelo para CAI: alias0

Si has llegado hasta aquí, seguro que este tema te apasiona. Y si desde el boom de ChatGPT has querido usar un LLM sin poner en riesgo tu privacidad,... no se trata solo de ti. Por eso, alias0 es el mejor modelo para utilizar CAI sin poner en riesgo tus datos, una solución especialmente diseñada para sacar el máximo rendimiento a los modelos SOTA (State-of-the-art). 

Figura 19: Alias0

De esta forma, puedes trabajar con agentes inteligentes, mantener el control sobre tus datos y obtener el máximo rendimiento sin sacrificar lo que más queremos proteger, tu seguridad

Conclusiones Técnicas

El panorama de la ciberseguridad está cambiando a pasos agigantados. Las amenazas son cada vez más frecuentes, con ataques más rápidos, automatizados y complejos, mientras que muchas organizaciones siguen usando herramientas que siguen dependiendo de una intervención humana constante, y que siguen flujos fijos sin tener en cuenta la flexibilidad que demanda el panorama actual. En este contexto, CAI se presenta como una evolución necesaria: un sistema basado en agentes inteligentes que puede planificar, adaptar y ejecutar tareas de forma autónoma, y siempre bajo la posibilidad de supervisión humana.

CAI no es solo una herramienta más con la que rellenar un toolkit de ciberseguridad. Es una base flexible, gratuita y completamente abierta que permite orquestar no solo las herramientas que ya usamos en ciberseguridad, sino trabajar con tecnología puntera en Inteligencia Artificial. Todo esto, sin necesidad de ser un experto en ningún ámbito. CAI permite crear agentes especializados, usar LLMs y herramientas que ya usamos en ciberseguridad, entender el contexto, aprender del escenario y adaptar su forma de actuar según la situación. Todo esto le permite trabajar sin pausa, tomar decisiones y adaptarse constantemente a nuevos retos, algo que las herramientas clásicas simplemente no pueden hacer.

A corto plazo, esto se traduce en más velocidad, menos costes y mejores resultados tanto para profesionales como para pequeñas empresas o investigadores independientes. A medio y largo plazo, CAI puede marcar una diferencia real: democratizando el acceso a capacidades de ciberseguridad avanzadas, acelerando la respuesta ante incidentes y ayudando a proteger desde sistemas web hasta entornos robóticos complejos.

En resumen, CAI no solo automatiza tareas: cambia la forma en que entendemos y hacemos ciberseguridad.

Autores y Agradecimientos: Luis Javier Navarrete Lozano, María Sanz Gómez, Lidia Salas Espejo, Víctor Mayoral Vilches y el resto del equipo de Alias Robotics.

Contactar con Luis Javier Navarrete Lozano

PD: Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: Inteligencia Artificial (Hacking & Security): Links, Posts, Talks & Papers.

Deep Live Cam & VerifAI: Detección de DeepFakes en Vídeo Conferencias

En el año 2021 comenzaron a aparecer los proyectos que permitían utilizar una única fotografía para hacer una DeepFake en Vídeo Conferencias. La idea es tan sencilla como construir en tiempo real un stream de vídeo con la DeepFake y publicarla como una Virtual Cam para que pudiera utilizarse en cualquiera de las plataformas de Vídeo Conferencias, como Zoom, Meet o Teams. 

Figura 1: Deep Live Cam & VerifAI.

Detección de DeepFakes en Vídeo Conferencias

En aquel tiempo trabajamos primero con FaceIT Live y FaceIT Live3 posteriormente, y para poder construir las Virtual Cams fácilmente en los entornos Windows, creamos nosotros una pequeña PoC para tener un sencillo GUI que llamamos By The Face, pero que utilizaba por debajo el software de FaceIT Live3.

Figura 2: By The Face para vídeo conferencia con DeepFake de FaceIT Live3

Esta idea ha continuado evolucionando, y la última herramienta que ha aparecido, por su calidad y su facilidad de uso es Deep Live Cam, que hace exactamente lo que os he contado. 

Figura 3: Repositorio GitHub de Deep Live Cam

Con una fotografía te hace la DeepFake en tiempo real y te crea la Virtual Cam de la misma manera que se ve en el vídeo de la  Figura 2 con By the Face, pero muy mejorada la calidad de la DeepFake.

Figura 4: GUI de Deep Live Cam

Y el resultado es el que podéis ver en este GIF que se presenta de demo en el repositorio de GitHub de Deep Live Cam, que es el que puedes esperar, pero con una muy buena calidad. 

Figura 5: Demo con DeepFake de Elon Musk

Como os podéis imaginar, esta herramienta es más que suficiente para que sea utilizada por los cibercriminales a la hora de realizar ciberestafas de suplantación de famosos, lo que lleva a que muchas personas les den su dinero pensando que están ayudando a sus ídolos.

Figura 6: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Así que cuando hemos visto el vídeo de demo publicado en el artículo de Ars Technica, y el vídeo de demo subido en el propio repositorio de GitHub de Deep Live Cam, hemos querido probarlos con nuestro querido Tu VerifAI, a ver si los detectaba.

Figura 7: Tu VerifAI para detectar GenAI Pics & DeepFakes

El objetivo es ver si la tecnología de detección que tenemos ahora metida en Tu VerifAI es capaz de detectar Deep Live Cam en su uso en tiempo real para estafar por vídeo conferencia a un empleado de una empresa o a un particular. Así que le hemos subido los vídeos de demo hechos con ella.

Figura 8: Vídeo de Demo de Deep Live Cam

El primero ha sido el vídeo de demo del repositorio oficial, recortado para que solo se vea la imagen de la cámara en el vídeo, y se lo he subido a Tu VerifAI, y el resultado ha sido que lo ha detectado bien.

Figura 9: Detección de la DeepFake con Tu Verifai

Los siguientes vídeos, los hemos ido dividiendo en cada uno de los caracteres que se van utilizando, para no confundir a la herramienta y ponérselo fácil con muchos cambios de cara, así que hemos ido subiendo uno a uno. Primero el de George Clooney.

Figura 10: Deep Fake con George Clooney.

(Qué bien me cae ese tipo)

Y el resultado tras subir esta DeepFake hecha con Deep Live Cam a Tu VerifAI es que lo detecta perfectamente.

Figura 11: Tu Verifai da un resultado de "MUY PROBABLEMENTE"

El siguiente ejemplo es con Mark Zuckerberg, que como podéis ver, es con la misma persona y en el mismo entorno.

Figura 12: Deep Fake con Mark Zuckerberg

Ahora el mismo proceso. Subimos el vídeo a Tu VerifAI y esperamos resultado, que en este caso es otra vez MUY PROBABLEMENTE con mayor grado de certidumbre.

Figura 13: Tu VerifAI da un resultado de "MUY PROBABLEMENTE"

Ahora vamos con el actor Hugh Grant, que también se muestra en el vídeo de demostración que estamos analizando.

Figura 14: Deep Fake de Hugh Grant

Y el resultado, que como ya os podéis imaginar, es que Tu VerifAI detecta que se está utilizando tecnología de DeepFake en ese vídeo.

Figura 15: Tu VerifAI da un resultado de "MUY PROBABLEMENTE"

El último vídeo, que he querido probar todos para que se queden guardados en el artículo por si hay que reusarlos el día de mañana.

Figura 16: Vídeo con DeepFake de JD Vance

Como podríais suponer, el resultado no cambia para este vídeo tampoco, aunque de nuevo varía el grado de certidumbre del algoritmo.

Figura 17: Tu VerifAI da un resultado de "MUY PROBABLEMENTE"

Por desgracia, a pesar de que para la tecnología de detección estas DeepFakes no pasan el filtro de Tu VerifAI, para empleados de empresas y personas particulares sí que lo hará, lo que les convertirá en víctimas de ataques del CEO con DeepFakes o Estafas de Famosos en Apuros.

Usar VerifAI en tu empresa

Si quieres probar estas tecnologías, integrar esta solución en tus productos, o en las herramientas de vídeo conferencia de tu organización, no dudes en ponerte en contacto con nosotros a través de la web de Tu para Empresas, y te ayudaremos con ello.

Figura 8: Contacta con nosotros si quieres más info de VerifAI

Por supuesto, si quieres ser nuestro partner, y distribuir estas tecnologías o ayudar a desplegarlas en tus clientes, también contacta con nosotros.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity

El próximo 11 de Octubre da comiendo el Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity que durará hasta Marzo de 2025. En este bootcamp se incluyen 104 horas de sesiones online con el equipo docente, más acceso a retos de ciberseguridad preparados para el BootCamp, más la inclusión de los cursos en vídeo de Scripting con Bash, Scripting con Python, Metasploit, más una sesión de orientación con Pablo González.

Figura 1: Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity

Como podéis ver, el Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity está pensado para ser una formación muy intensa, con más de 200 horas de formación en total, e incluye además los libros de Metasploit para Pentesters Gold Edition y el de Ethical Hacking: Teoría y práctica para la realización de un pentesting 2ª Edición, ambos de Pablo González en 0xWord.

Figura 2: Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity

Las 104 horas de sesiones online las realizará el equipo de formación, formado por muchos de los que seguro ya conocéis si leéis habitualmente este blog, como son: Miguel Ángel Martín, Alejandro Amorín, Álvaro Núñez-Romero, Pablo González, Ángel A. Nuñez, Rafael García, Fran Ramírez, José Luis Martínez, Valentín Martín, Daniel Puente, Rafa Sánchez, Ana Isabel Corral y Abraham Romero.

Figura 3: Profesores del Bootcamp Online de Ciberseguridad

Defensiva y Ofensiva de HackBySecurity

El contenido de las 104 sesiones, más los cursos en vídeo, es el que puedes ver a continuación, que como se puede ver hace un completo recorrido práctico de lo que es la ciberseguridad ofensiva y defensiva. Tienes todos los detalles en la web Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity.

Figura 4: Temario del Bootcamp Online de Ciberseguridad

Defensiva y Ofensiva de HackBySecurity

Además, todos los asistentes recibirán 2.000 Tempos de MyPublicInbox para poder contactar con los profesores o con cualquier perfil público de la plataforma.

Figura 5: Conseguir un 10% de descuento en el Bootcamp

Por último, recordarte que en este Bootcamp Online de Ciberseguridad Defensiva y Ofensiva de HackBySecurity puedes utilizar el código descuento con el cupón que puedes conseguir en la tienda de MyPublicInbox con Tempos del 10% (Solo el del 10%).

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo detectar que un empleado de tu empresa está sufriendo una estafa con Deepfakes

Uno de los proyectos a los que más cariño estamos dando en Tu.com es Tu Verifai, la versión empresarial del proyecto AutoVerifAI que os dejamos en abierto desde hace tiempo para que lo probéis. La idea es tan sencilla como poder detectar vídeos o imágenes generadas con GenAI o que sean DeepFakes utilizando diferentes algoritmos de inteligencia artificial.

Figura 1: Cómo detectar que un empleado de tu empresa

está sufriendo una estafa con Deepfakes

Hoy os voy a hablar de una de las capacidades que tiene, utilizando su API empresarial para poder analizar imágenes o vídeos, y descubrir si se está utilizando una DeepFake. 

Detectando DeepFakes en los Temas de tu empresa

Dejadme que os haga un ejemplo muy sencillo con una sesión de Microsoft Teams en la que un empleado está siendo engañado por un atacante que está ocultando su verdadero aspecto usando una DeepFake.

Figura 2: El atacante usa un software de DeepFak en tiempo

real en una sesión de Microsoft Teams

En este caso el atacante está usando un software que permite usar DeepFake en tiempo real, y esta salida es la que está retransmitiendo por la cámara que está configurada en su reunión de Microsoft Teams, por lo que está ocultando su verdadero aspecto en una reunión virtual de tu empresa.

Figura 3: La DeepFake se está viendo en la sesión de Microsoft Teams

Lo que estamos haciendo ahora con nuestra tecnología es seleccionar trozos de vídeo o simplemente fotogramas de la cámara de nuestro interlocutor, y enviarlos vía API al servidor de Tu VerifAI - la versión profesional para empresas de AutoVerifAI -. 

Figura 4: Con nuestro plugin, capturamos fotogramas de la sesión

de Microsoft Teams y los enviamos al servidor de seguridad que los

analizará utilizando VerifAI.

Para hacer esto, usamos una Consola de Seguridad Centralizada que recibe los fotogramas y los analiza con el API de Tu VerifiAI, dándonos una lista de posibles resultados, entre otros, el de Posible DeepFake.

Figura 5: Lista de resultados de los análisis hechos a los fotogramas

Si filtramos en la consola solo por los que han dado el resultado de "Posible DeepFake", podremos hacer un análisis más detallado de los posibles ataques están recibiendo nuestros empleados, tal y como vemos en la imagen siguiente.

Figura 6: Posibles DeepFakes en las sesiones de MS Teams

Y si entramos en cada uno de estos análisis, podemos ver los resultados de ese análisis, los fotogramas y los algoritmos que han detectado la posible DeepFake en cada una de estas alertas. Aquí tienes un ejemplo de cómo han saltado unas alarmas.

Figura 7: Detectando una posible DeepFake. Evidencias

Si quieres probar estas tecnologías, integrar esta solución en tus productos, o en las herramientas de vídeo conferencia de tu organización, no dudes en ponerte en contacto con nosotros a través de la web de Tu para Empresas, y te ayudaremos con ello.

Figura 8: Contacta con nosotros si quieres más info de VerifAI

Por supuesto, si quieres ser nuestro partner, y distribuir estas tecnologías o ayudar a desplegarlas en tus clientes, también contacta con nosotros.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Si un atacante tiene acceso a tu cuenta... ¿Qué no te gustaría que pudiera hacer? ¿Te gustaría poder bloquearle acciones?

Hoy quería responderos a esta pregunta que he puesto en el título. Imagina que un atacante tiene acceso a tu cuenta. Ha conseguido acceder a tu correo electrónico, a tu cuenta del banco, a tu cuenta de la empresa, a tu cuenta de Facebook o de Instagram. Ha conseguido acceder a tu ERP o a tu CRM. Piensa en ello. Lo ha conseguido porque te ha hecho un Session Hijacking, ha conseguido tus credenciales con un malware, o te ha robado un Token OAuth. O simplemente ha encontrado un bug en el código de la aplicación que ha conseguido explotar y tiene acceso a toda tu cuenta.

Figura 1: Si un atacante tiene acceso a tu cuenta... ¿Qué no te gustaría

que pudiera hacer? ¿Te gustaría poder bloquearle acciones?

Imagínatelo por un instante. Imagínatelo delante de tu cuenta bancaria, con acceso tu cuenta. Delante de tu cuenta de la empresa. Delante de tu correo electrónico. Piensa en ello. ¿Te da un escalofrío? Imagínatelo delante de tu cuenta de almacenamiento de fotos. Delante de tu iCloud. De tu Google Drive viendo tranquilamente una tras otra todas tus fotos. O todos tus documentos. O todos los mensajes que has enviado y recibido por Instagram.

Seguro que te da mal rollo. 

Y es que, si tenemos toda la protección basada en un el sistema de Login, en la autenticación de la cuenta, estamos perdidos cuando llega una de esas situaciones. Cuando alguien consigue saltarse esa protección todo el sistema de privacidad se cae abajo.

Por eso inventamos Latch.

Por eso creamos un canal paralelo de autenticación que protege todos los datos y todas las acciones aún cuando un atacante se haya hecho con tus credenciales, con una cookie de sesión, o con un token OAuth de tu plataforma. Gracias que con Latch tienes un 2nd Factor Authorization puedes cerrar determinadas capacidades de tu cuenta aún cuando alguien esté dentro de ella.

La idea es tan sencilla como que mires tu aplicación o servicio y analices justo lo que dice el título de esta entrada: Si una atacante tiene un acceso a tu cuenta, ¿qué no te gustaría que pudiera ver, acceder, hacer, ejecutar? Y a cada una de esas cosas, le pones un Latch. Tan sencillo como eso.

Figura 2: Gestión de Pestillos en cuentas

Imagina que tienes una cuenta de administración de una servicio de gestión de una empresa en el que te autenticas con Login/Password y un Second Factor Authentication (que puedes ser un TOTP o un SMS-OTP, o incluso un Latch). 

Una vez que pases el proceso de autenticación te encuentras con todas las opciones del menú, y entre ellas tienes que pensar cuáles son las que no te gustaría que tuviera acceso un atacante si tuviera acceso a tu cuenta. Por ejemplo, te hago esta lista:

• No me gustaría que pudiera borrar la cuenta.

• No me gustaría que pudiera editar mi perfil.

• No me gustaría que pudiera mandar mensaje en mi nombre.

• No me gustaría que pudiera eliminar mis mensajes.

• No me gustaría que pudiera hacer transferencias de dinero.

• No me gustaría que pudiera acceder a mis mensajes.

Lo que quieras. Y luego decides qué pestillos configuras para cada una de esas acciones. Nosotros, por ejemplo, en el proyecto de WordPress in Paranoid Mode que luego portamos a Joomla! también, definíamos esas acciones y las agrupábamos en tres modos. Hicimos tres pestillos (que se llaman operaciones) dentro de un Latch, así que cuando tenías una cuenta de WordPress, la pareabas con tu cuenta de Latch, y tenías tres operaciones dentro de Latch que eran Modo Read-Only, Modo Edición y Modo Administración.

Figura 3: Un Latch con tres Operaciones en forma de pestillos

Así, independientemente de que una cuenta fuera el Administrador del WordPress - ya sea legítimamente o por haber conseguido acceso de manera ilegítima -, cada vez que se iba a realizar una operación dentro de una tabla de WordPress se miraba si esa operación era de Edición o Administración y si era así, se comprobaba el estado del pestillo de Edición o Administración. Si está cerrado, se bloquea la operación y listo. Así, aunque te roben tus cuentas de WordPress, tu plataforma está segura contra modificaciones o accesos no deseados.

Figura 4: Presentación de My WordPress in Paranoid Mode

Si has hecho una plataforma para gestión de lo que sea, piensa en eso. Piensa en qué zonas de la cuenta de tu usuario no te gustaría que una persona con acceso ilegal a una cuenta pudiera tocar. Y pon un pestillo en ellas. Así, el dueño legítimo de la cuenta, que tiene control de sus pestillos desde el canal de Latch, siempre puede tenerlos cerrados hasta que vaya a hacer uso de esa capacidad y él conscientemente abra el pestillo.

Figura 5: Operación de Latch para proteger la función de eliminación del pestillo

Por ejemplo, en MyPublicInbox integramos Latch, y la operación de Desparear Latch, está protegida. Sólo si el pestillo de Latch está abierto se puede desparear, como se puede ver en la imagen anterior, y seguimos haciendo más operaciones para proteger más partes de tu cuenta con nuevas operaciones. Para esto, Latch es único, porque te ayuda a evitar que un atacante pueda acceder a tu privacidad, tus datos, tu información, tus funciones, incluso si te han robado el acceso a tu cuenta. 

Figura 6: Cómo integrar Latch en aplicaciones .NET

Si quieres saber cómo funcionan estas operaciones en Latch, te recomiendo que te veas un Webinar de cómo configurar Operaciones en Latch. Aquí tienes uno que te explica cómo integrar Latch en aplicaciones .NET. Tienes de más lenguajes de programación, pero son todos muy similares.

Figura 7: Contacta con nosotros y te ayudamos con la integración de Latch

Y si necesitas ayuda para implementar Latch, contacta con nosotros en Latch.tu.com y te ayudamos con el proceso de integración en tu plataforma, o en los sistemas de tu empresa. Si no tienes esta protección en tus plataformas de call-center, de ERP, de correo, de administración, de lo que sea, no te sorprendas el día que te roben una cuenta y quede todo totalmente expuesto o te hagan un destrozo completo en tu sistema.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)