Exprimir el Secure Edge: Webinars de Cloudflare en Directo durante Septiembre

El calendario de actividades de divulgación tecnológica es alto en Cloudflare, y una de estas actividades son los Webinars en directo. Cada mes puedes participar en nuevos seminarios que además incluyen las novedades de todo lo que se va publicando en el modelo de Innovación Continua que defiende y practica la compañía.

Figura 1: Exprimir el Secure Edge - Webinars de Cloudflare

en Directo durante Septiembre

Hoy os traigo la lista de los que están planificados para este mes de Septiembre, para que si tienes tiempo, puedas participar en alguno de ellos que si te interesa el mundo de las tecnologías de seguridad en el Edge y los sistemas de Zero Trust en arquitecturas de Secure Access Service Edge (SASE), seguro que lo vas a disfrutar.

Todos los Webinars en Septiembre

09: From Robotics to Remote Access: Implementing Zero Trust in an Era of Evolving Threats

"Retailers are juggling managing vast amounts of customer data, payment information, and supply chain networks across multiple locations and platforms, traditional perimeter-based security models are proving inadequate against sophisticated cyber threats.Join us for our webinar featuring Ocado Group's Technical Architect as he shares their real-world Zero Trust Network Access (ZTNA) deployment journey. 

Figura 2: From Robotics to Remote Access: Implementing

Zero Trust in an Era of Evolving Threats

From securing robotic warehouse systems and customer fulfilment platforms to protecting proprietary technology solutions and sophisticated automation, discover how Ocado Group implemented Zero Trust principles across their entire technology ecosystem."

10: 3 phases, 10 steps: Implementing a SASE architecture

"Cloudflare experts will walk you through a proven 10-step roadmap to successfully implement SASE across your organization. Drawing from real-world customer examples, we’ll explore how leading enterprises are scoping their Zero Trust projects, overcoming common roadblocks, and unlocking measurable improvements in agility and security."

Figura 3:  3 phases, 10 steps: Implementing a SASE architecture

10: Securing and scaling your cloud environment to support AI transformation

"Even the most innovative and well-built AI application won’t succeed if it lacks the right underlying cloud infrastructure. The right foundation enables strong data security, efficient connectivity between AI components, and cost-effective scale. The wrong one turns those same benefits into obstacles. This is doubly true for agentic AI, whose complexity introduces a whole new realm of security and scalability issues.

Figura 4: Securing and scaling your cloud environment to support AI transformation

How should organizations adapt their cloud environments to support AI scale and security — whether they have already made cloud investments, or are turning to the cloud for the first time? Forrester guest speaker Lee Sustar has extensive experience advising enterprises on exactly that question. Join our webinar to learn about: Common trends and challenges in how organizations make AI-focused cloud investments Lee’s advice for organizations tackling these challenges Cloudflare’s perspective on how a commodity cloud vs a connectivity cloud delivers competitive advantage with AI scaling."

17: Modernizing Security: Real World Stories of Zero Trust in Action

"Employees, applications, and infrastructure exist everywhere today – across regions, cloud environments, and hybrid work settings. To manage this sprawling attack surface, many organizations are modernizing security with Zero Trust best practices to reduce risk, simplify their architectures, and enable business agility.

Figura 5: Modernizing Security: Real World Stories of Zero Trust in Action

In this webinar series, Cloudflare spotlights customers making progress on that journey. Register now to join a conversation exploring successful real-world deployments, including:Priority use cases to get started and scale with Zero TrustCommon challenges and best practices to overcome themArchitectural strategies and technical capabilities, including roadmap previews."

18: Temporada alta de fin de año 2025: Maximiza ingresos y minimiza riesgos.

"¿Está tu infraestructura digital lista para afrontar la temporada alta de ventas de fin de año 2025 y el aumento de ciber-amenazas?Únete a nuestros expertos de Cloudflare para conocer cómo fortalecer la resiliencia digital de tu negocio durante la época más exigente del comercio minorista.Compartiremos estrategias prácticas para retailers que se están preparando para los picos de tráfico del Buen Fin, Black Friday, Cyber Monday y la temporada navideña, en un contexto donde las amenazas evolucionan constantemente: desde ransomware que impacta operaciones e inventarios, hasta ataques dirigidos a APIs o páginas de pago.En esta sesión de alto impacto te mostraremos cómo proteger tus ingresos, reducir riesgos y asegurar una experiencia de compra fluida durante tus días más críticos.

Figura 6: Temporada alta de fin de año 2025: Maximiza ingresos y minimiza riesgos

Aprenderás cómo:Escalar sin fricción durante aumentos repentinos de visitas, donde cada segundo cuenta para convertirDefenderte de bots avanzados, ransomware y ataques DDoS que apuntan a los días de mayores ventasEvitar fraude digital, robo de datos de pago y abuso de APIs en plataformas de checkout, inventario y logísticaImplementar estrategias tecnológicas que prioricen al comprador real y aseguren la información del cliente."

30: How Cloudflare can coexist alongside Zscaler to fast-track your remote access project

"Are you worried about doubling down with the wrong security vendor? Maybe you are using one vendor (like Zscaler) for web inspections, but the thought of a full-scale SASE rollout seems overwhelming, complex, and disruptive. The good news is you can start modernizing remote access immediately, without those concerns.Join this webinar to discover how Cloudflare can strengthen and simplify security, while coexisting seamlessly alongside your web proxy from vendors like Zscaler.

Figura 7:  How Cloudflare can coexist alongside Zscaler

to fast-track your remote access project

In particular, our experts will show how to take advantage of clientless deployments of ZTNA, DNS filtering, and email security to improve your posture — all without installing additional software on devices.With demos, architectural walkthroughs, and real-world customer examples, you will learn:Use cases that deliver quick time-to-value with minimal disruptionStep-by-step technical guidance to run Cloudflare in parallel with Zscaler Recommendations on when a best-of-breed approach makes sense."

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Cloudflaring"

Ayer comencé mi primer día en el nuevo colegio, con los procesos de onboarding y formación, como ya os dije, y como he hecho siempre, os cuento un poco más por este blog personal que me acompaña ya veinte años. Sólo es el primer día de un viaje que espero que sea muy largo, divertido, intenso y apasionante. Este es uno de los muy pocos primeros días de trabajo que he tenido en mi vida, así que la experiencia fue especial, como sabéis todos los que habéis tenido ese primer día alguna vez.

Figura 1: "Cloudflaring"

Ya os conté en Linkedin en qué consiste este nuevo puesto de trabajo como FTE que voy a desempeñar, pero en una empresa en pleno crecimiento, que construye tecnología, innova, y trabajar por mejorar Internet, seguro que cada día es totalmente diferente al anterior. El rol es el que conocéis, pero aún estaré en la fase de onboarding y aterrizaje un poquito de tiempo, antes de que mi agenda se llene de actividades relacionadas con este rol y pueda meterme de lleno con él.

Figura 2: Post en Linkedin sobre mi nuevo rol

Cloudflare es una compañía puramente tecnológica, con equipos de innovación tecnológica creando soluciones que mejoren Internet, productos nuevos, servicios desarrollados íntegramente por los ingenieros de esta empresa. Yo os he dejado publicados algunos artículos en este blog que hablan de AI Labyrinth para evitar el WebScraping de Bots, o de Cloudflare Radar o recientemente de los servicios de Pay per Crawl de Cloudflare AI Audit, como ejemplos de este trabajo constante de innovación tecnológica.

Figura 3: Cloudflare AI Audit

Pero  si quieres ver realmente lo que los equipos construyen, puedes echar un ojo diario al blog de Cloudflare, donde tienes artículos diarios sobre la tecnología que construyen, lo que está pasando en Internet, y los proyectos en los que los equipos están trabajando. Basta ver el número de productos y servicios que tienen construidos para que te hagas una idea de visión que está empresa tiene de hacer tecnología.

Fugura 4: Blog de Cloudflare

Por supuesto, como amante que soy de la tecnología, la innovación, la ciberseguridad, el mundo de la inteligencia artificial que vivimos hoy, no fue muy difícil que me convencieran para que me uniera a la compañía, con ganas de aprender, trabajar, y disfrutar sobre todo de este ecosistema donde crear un mejor Internet es el ADN.

Figura 5: Posiciones abiertas para trabajar en Cloudflare

Ya os iré contando, día a día, poco a poco, muchas más cosas cuando toque, pero si quieres, puedes venirte tú a verlo de primera mano, que la compañía está en pleno crecimiento y tenéis abiertas más de un centenar de posiciones para todos aquellos que améis la tecnología. 

Figura 6: Oficinas de Cloudflare en Lisboa

Yo voy a estar asociado a la oficina de Lisboa - que me enamoré de ella la primera vez que vine y donde tienes el proyecto de generar "Chaos" con las olas marinas- pero la compañía tiene sedes por muchos rincones del mundo, y puede que encuentres tu sitio y tu rol en ella.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Todos los programas de formación para especializarte en el Campus Internacional de Ciberseguridad

Llevo muchos años trabajando en ciberseguridad, y si algo tengo claro es que este campo necesita cada vez más talento, más pasión y más formación. Por eso creamos 0xWord - cuyos libros son material de apoyo en todas las formaciones en las que participamos -, por eso creamos Singularity Hackers, por eso doy conferencias en las que hablo de Cibeseguridad, y por eso trabajo en la creación de programas de formación desde hace más de 25 años. Cómo sabéis, una de esas iniciativas me llevó a enrolarme como Mentor en el Campus Internacional de Ciberseguridad, una escuela pensada para formar a los futuros expertos en seguridad digital. 

Figura 1: Todos los programas de formación para especializarte

en el Campus Internacional de Ciberseguridad

Ese es un lugar donde puedes empezar desde cero, especializarte en áreas avanzadas, o reconducir tu carrera hacia un sector con futuro un futuro profesional más que prometedor. Y ya se han abierto ya las matrículas para la nueva edición de Octubre de 2025. 

Elige una buena base para tu carrera profesional

 

Sí, he dicho Octubre, que se llena rápido y las plazas son limitadas. Si estás pensando en formarte en ciberseguridad, ahora es el momento. Y como os podéis imaginar, esta carrera profesional es de largo recorrido. Hay que dedicar una vida a ella, pero todo camino tiene un paso tras otro. Os doy una pincelada y un recorrido sobre ellos.

Figura 2: Máster en Ciberseguridad

El camino suele empezar aquí. Si tienes una base técnica y quieres adentrarte en la ciberseguridad de forma seria, práctica y orientada a la realidad del sector, éste es tu punto de partida. Aquí se aprende a:

• Gestionar y responder ante incidentes reales.
• Proteger sistemas operativos, redes, servicios en la nube.
• Analizar vulnerabilidades y aplicar medidas de hardening.
• Entender cómo se atacan y defienden los sistemas actuales.

Múltiples Certificaciones incluidas: Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Cyber Security Professional (CCSP) de ISMS FORUM y también a la de Administrador de Transformación Digital de Zscaler (ZDTA). Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler.

• Perfil de entrada: Técnicos, desarrolladores, sysadmins, recién graduados o profesionales en transición.
• Objetivo: Convertirte en un perfil generalista en ciberseguridad, preparado para incorporarte a equipos SOC, blue teams o departamentos de IT.

Una vez tienes esa base, puedes especializarte en la ruta que más te apasione. Aquí te presento las opciones diseñadas con un enfoque claro: formar expertos reales, preparados para los retos del presente (y del futuro).

Figura 3: Máster en Ciberinteligencia

Piensa como un analista. Actúa como un cazador. Este máster te convierte en los ojos y oídos del ciberespacio. Aprenderás a identificar amenazas antes de que golpeen, utilizando herramientas de OSINT, análisis de actores, técnicas de atribución y perfilado. Con material de 0xWord

Figura 4: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Triple Certificación incluida: Todos los alumnos al finalizar su formación reciben seguro doble titulación, y una certificación.

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.
• Certificación Administrador de Transformación Digital de Zscaler (ZDTA). 

Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler. Las temáticas de esta formación son:

• Inteligencia de amenazas (Threat Intel)
• Técnicas OSINT avanzadas
• Modelos de atribución y análisis geopolítico
• Plataformas de inteligencia y visualización

Ideal si quieres trabajar en equipos de inteligencia, SOCs, cuerpos policiales o análisis de amenazas para grandes empresas. Se te entrena para actuar con cabeza fría y datos precisos.

Figura 5: Máster en IA Aplicada a la Ciberseguridad

La Inteligencia Artificial también juega… y no siempre en tu equipo, así que tienes que aprender a cómo sacarle partido. La IA está cambiando las reglas del juego en ciberseguridad. Desde ciberataques automatizados hasta sistemas de detección más inteligentes. Este máster te enseña a usarla a tu favor, entender sus riesgos… y adelantarte a su uso malicioso. ¿Qué vas a aprender?

• Aplicaciones de machine learning y deep learning en detección de amenazas
• Análisis de malware con IA
• Técnicas de OSINT automatizado con IA
• Generación y detección de ciberataques mediante modelos generativos (IA generativa)
• Riesgos, sesgos y ética en la aplicación de IA a la ciberseguridad

Múltiples Certificaciones incluidas: Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también a la de Administrador de Transformación Digital de Zscaler (ZDTA). Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler.

Figura 6: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

¿Para quién es este máster?

Si ya trabajas en seguridad y quieres ir un paso por delante. Si vienes del mundo de la IA y quieres aplicarla al campo con mayor proyección del momento. O si simplemente quieres entender cómo esta tecnología está transformando la defensa (y el ataque). Porque los atacantes ya están usando IA. La pregunta es: ¿y tú?

Figura 7: Máster en Seguridad Ofensiva

El arte de pensar como un atacante. Aquí aprendes a romper cosas. Legalmente, claro. Es el máster para quienes quieren dominar el Pentesting, el Hacking Etico y Exploiting de vulnerabilidades. Aprenderás desde lo básico hasta lo más avanzado.

Figura 8: "The Art of Pentesting" El nuevo libro de

0xWord para formarse como pentester

Es, además, uno de los pocos másteres del mercado que te prepara de verdad para conseguir la tan ansiada certificación OSCP (Offensive Security Certified Professional). Si ese es tu objetivo, aquí vas a entrenarte como se debe, con prácticas reales, laboratorios exigentes y mentores que ya han pasado por ahí. Estos son los temas tratados.

• Hacking web, redes, sistemas y cloud
• Explotación de vulnerabilidades y desarrollo de exploits
• Técnicas de evasión y post-explotación
• Escalada de privilegios, pivoting, acceso persistente

Triple Certificación incluida: Todos los alumnos al finalizar su formación reciben seguro doble titulación, y una certificación.

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.
• Certificación Administrador de Transformación Digital de Zscaler (ZDTA). 

Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler. Las temáticas de esta formación son:

• Inteligencia de amenazas (Threat Intel)
• Técnicas OSINT avanzadas
• Modelos de atribución y análisis geopolítico
• Plataformas de inteligencia y visualización

Tiene un enfoque 100% práctico, con laboratorios reales y simulación de entornos corporativos, y es perfecto si quieres ser Pentester, Red Teamer o entrar en el mundo del Bug Bounty.

Figura 9: Máster en Reversing y Análisis de Malware

Desentrañar lo oculto. Decodificar lo imposible. Este máster te lleva al nivel más bajo: ensamblador, binarios, análisis forense, malware... Si te fascina saber cómo funcionan las cosas por dentro, este es tu camino.

Figura 10: "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

⚙️ Temáticas:

• Análisis de malware y técnicas anti-reversing
• Reversing de aplicaciones y binarios en Windows y Linux
• Ingeniería inversa aplicada al mundo real
• Técnicas de análisis estático y dinámico

Triple Certificación incluida: Todos los alumnos al finalizar su formación reciben seguro doble titulación, y una certificación.

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.
• Certificación Administrador de Transformación Digital de Zscaler (ZDTA). 

Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler. Las temáticas de esta formación son:

• Inteligencia de amenazas (Threat Intel)
• Técnicas OSINT avanzadas
• Modelos de atribución y análisis geopolítico
• Plataformas de inteligencia y visualización

Es ideal para quienes quieren dedicarse al análisis de amenazas avanzadas, ciberinteligencia técnica o forense digital. Si te gusta desmontar relojes, este máster es tu laboratorio.

Figura 11:  Máster en DevSecOps y Seguridad en la Nube

Cloud + Seguridad + Automatización = Futuro. Hoy todo pasa por la nube. Y si no está bien protegida, se convierte en la puerta de entrada perfecta para los atacantes. Este máster te enseña a integrar la seguridad en todo el ciclo de desarrollo: desde el código hasta el despliegue.

☁️ Temáticas:

• Seguridad en Azure, AWS y entornos Kubernetes
• Automatización de pipelines seguros (CI/CD)
• Infraestructura como código (IaC)
• Seguridad en contenedores, microservicios y APIs

Múltiples Certificaciones incluidas: Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también a la de Administrador de Transformación Digital de Zscaler (ZDTA). Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler.

Figura 12: "Amazon Web Services (AWS):  Hardening deInfraestructuras Cloud Computing"de Abraham Romero en 0xWord.

Si vienes del mundo DevOps o eres desarrollador y quieres proteger lo que construyes, este máster es tu siguiente paso.

Un campus global, una comunidad real

En el Campus Internacional de Ciberseguridad no estás solo, estás rodeado de:

• Profesionales en activo que comparten contigo lo que hacen cada día.
• Alumnos que ya están trabajando en empresas punteras del sector.
• Eventos, ferias, oportunidades reales de networking y empleabilidad.
• Tutores que te guían durante todo el camino y te ayudan a especializarte.

Además, si necesitas hablar conmigo, en todos los Másters recibes Tempos y podrás usar MyPublicInbox para enviarme consultas, recibir feedback, conectarte conmigo y estar al día del sector.

Figura 13: Visualiza este vídeo de 1 minuto en MyPublicInbox

sobre los programas y gana 50 Tempos gratis.

Porque la formación no acaba en el aula. Pero puedes conocer más aún - y ganar 50 Tempos gratis de MyPublicInbox en el vídeo un minuto donde Sergio de los Santos, Fran Ramírez y otros profesores te cuentan en qué consiste la experiencia de estos programas.

Figura 14: Visualiza este vídeo de 1 minuto en MyPublicInbox

sobre los programas y gana 50 Tempos gratis.

La comunidad es parte esencial del aprendizaje. En la web del Campus Internacional de Ciberseguridad tienes todos los programas y podrás apuntarte a una Openclass gratuita. Ahí podrás hablar también con un asesor que te ayude a elegir el mejor plan de formación para ti.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tu WebSite con Smart Honeypots contra el WebScrapping usando AI Labyrinth de Cloudflare

En el mundo digital actual los creadores y propietarios de sitios web se están enfrentando a un adversario particularmente voraz: los rastreadores web de Inteligencia Artificial. Estos bots, diseñados para recopilar masivamente datos que alimentarán los modelos de lenguaje de las grandes empresas de IA, están devorando datos de Internet a un ritmo alarmante. Según datos recientes de Cloudflare, estos rastreadores generan más de 50.000 millones de solicitudes diarias a su red, representando casi el 1% de todo el tráfico web que procesan. 

Figura 1: Tu WebSite con Smart Honeypots contra el

WebScrapping usando AI Labyrinth de Cloudflare 

Estos nuevos rastreadores de IA tienen una tendencia a ignorar las reglas de etiqueta digital establecidas, el archivo robots.txt, que durante décadas ha servido como un cartel de "no pasar" respetado por los rastreadores web tradicionales, además de otras señales de opt-out, como metatags específicos que indican la prohibición de uso para entrenamiento de IA.

Figura 2: Peticiones de bots diarias en Cloudflare

En este contexto, no es simplemente un malentendido técnico, sino una decisión consciente de ignorar los deseos expresos de los creadores de contenido. Esta situación ha llevado a numerosas demandas legales contra empresas de IA por parte de creadores de contenido, desde periódicos hasta artistas visuales, alegando violaciones de derechos de autor.

Figura 3: Ejemplo de fichero robots.txt

Además, para los administradores de sitios Web, los procesos de Webscraping no autorizados aumentan los costos de hosting, ralentiza el rendimiento del sitio y, quizás lo más importante, permite que otras entidades se apropien de contenido original sin permiso para entrenar sus modelos comerciales de IA.

AI Labyrinth  

En este contexto, Cloudflare ha lanzado este mes de marzo una solución que pretende paliar estos daños: AI Labyrinth. Esta herramienta no bloquea a los rastreadores no autorizados (lo que simplemente les alertaría de que han sido detectados), sino que los invita a adentrarse en un laberinto interminable de contenido generado por IA—una trampa digital donde los bots pueden deambular eternamente, consumiendo sus recursos sin obtener nada de valor a cambio.

Métodos tradicionales de protección y sus limitaciones

Antes de soluciones como AI Labyrinth, los sitios web han recurrido a métodos tradicionales para combatir el webscraping no autorizado, pero estos resultan ineficaces contra rastreadores de IA avanzados. El bloqueo de direcciones IP es una estrategia limitada, ya que los operadores de scraping pueden rotar direcciones o utilizar redes de proxies, lo que vuelve el proceso en una batalla interminable. 

Además, existe el riesgo de bloquear usuarios legítimos que comparten rangos de direcciones IP con los rastreadores. De manera similar, los CAPTCHAs, diseñados para diferenciar humanos de bots, generan fricción en la experiencia del usuario y han perdido efectividad con el avance de la IA, que ahora puede resolverlos con facilidad, como hemos visto en todos estos ejemplos:

• ReCaptchav2 de Google con Cognitive Services
• Captcha Cognitivo de Twitter (X) con GPT4-Vision & Gemini
• Captcha Cognitivo de Twitter (X) con Anthropic Claude 3.0 Opus
• Captcha Cognitivo de Twitter (X) con GPT-4o
• Captcha Cognitivo de Administración Pública con ChatGPT
• Captcha Cognitivo de la mano y la plancha en HBO max
• Captcha Story X: I am not a Robot, I am a GenAI Multimodal Agent
• Reto hacking con un Captcha Cognitivo para romper con GenAI
• Solución al Reto de Hacking de un Captcha Cognitivo Visual
• Anthropic Claude 3.5 Sonnet & Cognitive Captchas
• Captcha Cognitivo de HBO max de reconocer de sonidos con ML & GPT4-o
• LinkedIN + ChatGPT: El Captcha Cognitivo del Objeto Descolocado
• Captcha Cognitivo de Twitter / X de Sentar Personas Correctamente: Probando con ChatGPT & Gemini

Figura 4: Google Gemini acierta resolviendo el captcha cognitivo de Twitter/X

Otras estrategias como la limitación de tasa de consumo buscan restringir el número de solicitudes por dirección IP, pero los rastreadores pueden ajustar su velocidad para evadir los umbrales de detección. La ofuscación de contenido mediante JavaScript o formatos difíciles de extraer, aunque parece una solución viable, afecta negativamente el SEO y la accesibilidad. 

Peor aún, los rastreadores modernos pueden ejecutar JavaScript y procesar formatos complejos, superando estas barreras con el tiempo. En última instancia, el problema de estos enfoques es que alertan a los operadores de webscraping de que han sido detectados, lo que los lleva a modificar sus tácticas en un ciclo continuo de evasión y ajuste.

Este enfrentamiento perpetuo consume recursos y beneficia a las grandes empresas de IA con capacidad para sortear estas defensas. Por ello lo que hace Cloudflare plantea un enfoque diferente: en lugar de bloquear el acceso y advertir al adversario, lo desvía de manera imperceptible hacia rutas que parecen productivas pero resultan inútiles para sus propósitos.

Implementación técnica

El primer desafío técnico que enfrentó Cloudflare fue generar contenido convincente a escala, ya que producir contenido falso pero plausible en tiempo real para cada solicitud sospechosa podía consumir excesivos recursos y ralentizar la experiencia general; para abordar esto, Cloudflare emplea su servicio Workers AI con un modelo de código abierto que pre-genera un corpus diverso de contenido HTML sobre temas variados, como ciencias (biología, física o matemáticas), utilizando un enfoque donde primero se crean temas diversos y luego contenido específico y coherente para cada uno, logrando resultados factuales y técnicamente correctos, aunque irrelevantes para el sitio web protegido, en lugar de depender de una generación puramente aleatoria.

Posteriormente sanitizan el contenido pre-generado para eliminar vulnerabilidades XSS, lo almacena en R2 para servirlo rápidamente sin cargar los servidores de origen y lo integra en sitios protegidos mediante un proceso HTML personalizado que oculta enlaces al laberinto con CSS, usando metadirectivas para evitar indexación por buscadores y proteger el SEO; además, distingue usuarios legítimos de rastreadores sospechosos analizando patrones de navegación, velocidad, User-Agents y comportamientos a nivel de red, redirigiendo a estos últimos al laberinto antes de que lleguen al servidor, aliviando así la infraestructura del cliente.

Figura 5: Protección contra AI Bots

 
Para los administradores de sitios web, usar AI Labyrinth es muy sencillo, activando una opción en el panel de control de Cloudflare, en la parte de gestión de bots. Por detrás, cuando un rastreador cae en el laberinto, se recogen datos sobre cómo actúa, los usa para entrenar sus modelos de aprendizaje automático y así afinar la detección de bots maliciosos, de modo que cada sitio protegido ayuda a mejorar la seguridad de los demás.

Figura 6: Activación de AI Labyrinth en Cloudflare

La arquitectura distribuida de Cloudflare permite que esta solución escale globalmente sin degradación del rendimiento. El contenido del laberinto se distribuye a través de su red global de centros de datos, garantizando tiempos de respuesta rápidos independientemente de la ubicación geográfica del rastreador. Esta capacidad de respuesta global es crucial para mantener la ilusión de un sitio web real, evitando que los rastreadores más sofisticados detecten que han sido redirigidos a un entorno controlado.

Conclusiones

Esta innovadora solución de Cloudflare sacude la dinámica entre creadores de contenido y empresas de IA que recolectan datos masivamente sin permiso. Al usar contenido generado por IA para confundir rastreadores, cuestiona la noción de que internet es un recurso gratuito para tomar datos a voluntad, y sus efectos podrían sentirse en varios frentes.

Obviamente las empresas de IA no se quedarán quietas, y probablemente desarrollen formas de detectar y evitar estos trucos, iniciando una especie de carrera tecnológica. Esto no es nuevo en ciberseguridad: estas competencias suelen traer avances para ambos lados, con ideas que luego se usan en otros campos.

Un saludo,

Autor: Javier del Pino, Investigador en Ideas Locas

Contactar con Javier del Pino Díaz en MyPublicInbox

Platform Engineering as a Service con Axebow: La encrucijada de la Nube y la ilusión del progreso.

Desde hace más de una década la industria tecnológica ha estado experimentado una evolución constante hacia la computación en la nube, impulsada por las promesas de escalabilidad, flexibilidad y eficiencia en costes. Evolución que ha ido acompañada por el surgimiento de una plétora de herramientas y plataformas, intencionalmente diseñadas para simplificar el desarrollo y la gestión de recursos en la nube. Pero... ¿hemos avanzado lo suficiente en la última década?.

Figura 1: Platform Engineering as a Service con Axebow.

La encrucijada de la Nube y la ilusión del progreso.

Si nos paramos a analizar la situuación actual, a pesar de estos avances, la complejidad fundamental de aprovisionar y gestionar recursos virtualizados sigue siendo prácticamente la misma. Hemos pasado de escribir scripts personalizados para orquestar nuestra infraestructura a utilizar herramientas más sofisticadas, como por ejemplo Terraform.

Paralelamente, y a un nivel superior, hemos introducido un mayor grado de automatizaciones con orquestadores de contenedores como Kubernetes. Sin duda hemos ido progresando, pero, ¿estamos significativamente mejor que hace diez años a la hora de simplificar la puesta a punto de servicios basados en software?

La Evolución de las Herramientas de Desarrollo Cloud

En los primeros días de la computación en la nube, desarrolladores y administradores de sistemas dependían en gran medida de scripts manuales para gestionar máquinas virtuales y otros recursos. Scripts de shell, Python y otras soluciones ad hoc fueron la norma (aún lo son en algunos casos). Estos scripts a menudo son específicos de la plataforma, carecen de estandarización y son difíciles de mantener. Lo que es peor, en muchos casos son scripts específicos para la puesta en producción de servicios concretos, por lo tanto no generalizables.

La llegada de la aproximación de Infraestructura como Código (IaC, en sus siglas en inglés) y sus herramientas (Terraform, CloudFormation, Ansible, ...), prometió poner orden en el caos. Estas herramientas permiten a los ingenieros definir configuraciones de infraestructura en código, versionarlas y desplegarlas de manera confiable en diferentes entornos. A primera vista, esto parece un avance significativo.

También hemos visto una proliferación de marcos y herramientas que intentan simplificar el desarrollo en la nube, introduciendo nuevas abstracciones que, por desgracia, conllevan curvas de aprendizaje importantes y muchas oportunidades para errar en su uso.

Figura 2: Docker: SecDevOps 2ª Edición de Fran Ramírez, Elias Grande

y Rafael Troncoso en 0xWord.

Kubernetes es un excelente ejemplo. Nació de la necesidad de facilitar la orquestación de contenedores, y ha tenido éxito hasta cierto punto. Pero para muchos desarrolladores, la transición a Kubernetes a menudo se siente como intercambiar un conjunto de complejidades (p.e., gestión de servidores) por otro (gestión de manifiestos, clústeres, políticas de red, etc...). El viejo dolor de cabeza de gestionar recursos ha sido reemplazado por nuevas complejidades en la gestión de objetos de Kubernetes.

La Persistencia de la Complejidad

Por lo tanto, a pesar de la adopción de herramientas como las ya expuestas, la complejidad asociada con el desarrollo en la nube no ha disminuido sustancialmente. Podemos enumerar algunas de sus razones:

1. Curvas de Aprendizaje nada despreciables: Herramientas como Terraform (o incluso Kubernetes) introducen sus propios lenguajes específicos de dominio (DSL) (interno, en el caso de Kubernetes, basado en YAML), y conceptos que sus usuarios deben aprender. Comprender las sutilezas de estos lenguajes puede ser tan desafiante como dominar un nuevo lenguaje de programación.

2. Características Específicas de la Plataforma: Aunque las herramientas de IaC intentan ser independientes de la plataforma, la realidad es que proveedores cloud como AWS, Azure, Google Cloud, etc... tienen servicios, configuraciones y peculiaridades únicas. Esto requiere un profundo conocimiento específico del proveedor cloud, lo que va en contra del objetivo de simplificación de las herramientas. Plataformas como Kubernetes tampoco se salvan de tratar con esta especificidad.

3. Servicios en la Nube en Evolución Constante: Los proveedores Cloud lanzan continuamente nuevos servicios y características. Mantenerse al día con estos cambios requiere aprendizaje constante y actualizaciones al código de infraestructura existente, añadiendo una carga adicional de mantenimiento.

4. Complejidad de los Sistemas Distribuidos: Los servicios basados en software son inherentemente aplicaciones distribuidas. Utilizan microservicios (posiblemente basados en contenedores), arquitecturas sin servidor o una combinación de ambas. Gestionar su ciclo de vida en la nube introduce capas adicionales de complejidad que las herramientas de IaC por sí solas no pueden abstraer (ni es su objetivo).

5. Gestión de Estado y Depuración: Manejar el estado de los recursos en la nube es una tarea no trivial. Herramientas como Terraform mantienen archivos de estado que pueden convertirse en fuentes de conflictos, llevando a problemas de despliegue difíciles de depurar.

Caso concreto I: Scripts de Terraform vs. Scripts Tradicionales

Consideremos la transición de scripts tradicionales a scripts de Terraform. Si bien Terraform proporciona una forma estructurada de definir recursos, los scripts pueden volverse extremadamente complejos en infraestructuras grandes. Módulos, variables y gráficos de dependencias intrincados pueden hacer que las configuraciones de Terraform sean tan difíciles de leer y mantener como los scripts que reemplazaron.

Además, errores en las configuraciones de Terraform pueden conducir a despliegues parciales o modificaciones no intencionadas de recursos, requiriendo una planificación cuidadosa y pruebas exhaustivas, prácticas que eran igualmente necesarias con los scripts tradicionales.

Caso concreto II: Kubernetes vs. Métodos de Implementación Tradicionales

Consideremos el auge de Kubernetes como la solución de facto para la orquestación de contenedores. Kubernetes promete simplificar la implementación, escalado y gestión de aplicaciones en contenedores. Sin embargo, esta simplificación aparente viene con su propio conjunto de complejidades.

• Configuraciones Complejas: Kubernetes utiliza archivos YAML para definir recursos como Pods, Servicios y Deployments. Estos archivos pueden volverse extremadamente detallados y difíciles de gestionar, especialmente en aplicaciones grandes con múltiples microservicios.

• Curva de Aprendizaje Pronunciada: Dominar Kubernetes requiere una comprensión profunda de conceptos como namespaces, ingress controllers, volúmenes persistentes y políticas de red. Esto puede ser abrumador para equipos que migran desde entornos tradicionales.

• Infraestructura Adicional: Para ejecutar Kubernetes, a menudo se necesita infraestructura adicional, como sistemas de almacenamiento distribuidos y soluciones de red avanzadas. Esto añade más capas que deben configurarse y mantenerse.

• Herramientas Complementarias Necesarias: La gestión efectiva de un clúster de Kubernetes a menudo requiere herramientas adicionales como Helm para la gestión de paquetes, Prometheus para monitorización y Grafana para visualización, cada una con sus propias complejidades. No sólo esto, configurar un clúster Kubernetes para dotarlo de funciones básicas (ie. ingress, networking, ...) requiere tener que elegir de entre un nutrido elenco de soluciones, cada una con sus pros y sus cons, así como sus propias complejidades de configuración y gestión.

• Depuración y Resolución de Problemas: Cuando algo sale mal en Kubernetes, identificar y resolver el problema puede ser significativamente más difícil debido a la naturaleza distribuida y dinámica del sistema.

En comparación con los métodos de implementación tradicionales, donde las aplicaciones se despliegan en servidores físicos o máquinas virtuales con configuraciones más estáticas, Kubernetes introduce un nivel de abstracción que, si bien es poderoso, también puede ser difícil de manejar sin la experiencia adecuada.

El Problema Subyacente

En el fondo, el problema es la complejidad inherente de los entornos en la nube. Las herramientas sólo pueden abstraer la complejidad hasta cierto punto. Mientras los servicios en la nube sigan siendo tan diversos y complejos como lo son, gestionarlos requerirá un esfuerzo y conocimiento significativos.

La consecuencia es que es necesario un buen grado de especialización para gestionar buena parte de las tareas de gestión de recursos que es preciso tener en cuenta no sólo a la hora de poner servicios en producción, sino también durante el proceso de desarrollo del software, creando un buen número de ineficiencias.

¿Qué Necesitamos Cambiar?

Para responder a esta pregunta, debemos clarificar cuales son (o deberían ser) nuestros objetivos. La IaC y sus herramientas tienen como objetivos simplificar (¿?) el proceso de aprovisionamiento de recursos y servicios en la nube. Sin embargo, podemos argumentar que esto no es realmente el objetivo último. El objetivo último debería ser doble:

1. Por una parte habilitar a los equipos de desarrollo el acceso transparente a aquellos recursos virtualizados que necesitan para apoyar su proceso de desarrollo.

2. Por otra parte, permitir la gestión ágil del ciclo de vida de los servicios basados en el software producido por esos equipos de desarrollo.

Es nuestro punto de vista que atender dichos objetivos sólo va a ser posible elevando el nivel de las abstracciones manejadas por desarrolladores y gestores de servicios de modo que la gestión de los recursos virtualizados se transparente gracias a la automatización que esos niveles de abstracción permiten.

Figura 3: Axebow permite que los developers se focalicen

en el código y no en la infraestructura.

Esta aproximación no es novedosa. Baste ver la evolución de los sistemas operativos modernos: el desarrollador no se preocupa de la gestión de los recursos existentes en el ordenador. Confía en el sistema operativo subyacente, y todos los actores que operan por encima del sistema operativo manejan un conjunto de abstracciones simples y a la vez potentes que les permiten ignorar totalmente la gestión de los recursos necesarios para las tareas de cómputo soportadas.

Figura 4: Con Axebow, los Developers no necesitan preocuparse

de la infraestructura, y los equipos de operaciones crean

infraestructura como servicio independiente de Cloud Provider.

Esta es también la dirección tomada por sistemas que, como Kubernetes, introducen un alto grado de automatización, aunque en este caso a un precio de complejidad que, en nuestra opinión, genera sus propios problemas.

Figura 5: Los equipos de DevSecOps pueden proveer infraestructura

como servicio a los developers independiente de Cloud Provider,

reduciendo complejidad y ahorrando costes en la gestión de entornos

de desarrollos, pruebas y producción, usando Axebow.

En conclusión, para lograr un progreso significativo, debemos poner el foco en la simplificación de las plataformas que ponemos a disposición de los equipos de desarrollo. La complejidad debe residir en la implementación de la plataforma, no en su uso, como frecuentemente sucede hoy en día. Solo cuando logremos que el acceso a la tecnología de la nube sea tan transparente como el acceso a la electricidad podremos constatar la dimensión de un auténtico progreso.

Figura 6: Prueba sin coste Axebow durante Octubre y Noviembre

Es lo que se ha pretendido con Axebow simplificar el proceso de despliegue reduciendo la complejidad existente y descrita. Podéis probar el servicio SIN COSTE durante ellos meses de octubre y noviembre.

Saludos,

Autor: José Bernabeu-Auban

Contactar con José Bernabeu-Auban

(Tu) Quantum Drop: Almacena en Cloud y Comparte ficheros con algoritmos de Criptografía Post Cuántica (PQC)

A finales del mes de Julio, sabiendo que venían las versiones finales de los algoritmos del NIST de Criptografía Post Cuántica (Post-Quantum Cryptography), sacamos la beta privada de otro de los proyectos de innovación que llevamos en Tu.Com y que tiene que ver con la Computación Cuántica, llamado Quantum Drop.

Figura 1: Quantum Drop: Almacena en Cloud y Comparte

ficheros con algoritmos de Criptografía Post Cuántica (PQC)

Quantum Drop es un servicio que pretende sacar el máximo de los algoritmos de PQC para el almacenamiento de documentos en entornos Cloud Computing y la compartición de los archivos de manera segura... incluso ante la posible llegada de los Ordenadores Cuánticos.

Figura 2: NIST PQC Time-Line

Como sabéis, el gobierno de los Estados Unidos, a finales del año 2022 lanzó el Quantum Computing Cybersecurity Preparedness Act, para que se haga un plan de seguridad que proteja los sistemas del gobierno de los Estados Unidos ante la eventual llegada de los Ordenadores Cuánticos, que destrozarán los algoritmos de cifrado actuales. 

Figura 3: Quantum Computing Cybersecurity Preparedness Act

Esto, no sólo lo está haciendo el gobierno de Estados Unidos, y las empresas también estamos trabajando en ello. Llevamos años con la aplicación del cifrado cuántico a las comunicaciones, y con proyectos de detección de software y protocolos inseguros a los ordenadores cuánticos, para tener información sobre qué hay que cambiar a algoritmos Post-Quantum Encryption (PQC), a sistemas de Quantum Key Distribution (QKD), o dónde empezar a aplicar los Quantum Random Number Generator (QRNG).

Figura 5: PoC de cifrado cuántico con QKD de Telefónica

De hecho, los compañeros de Telefónica Tech están haciendo este tipo de proyectos ya para muchas empresas en todo el mundo que no quieren esperar a que les alcance la ola de una eventual llegada de Ordenadores Cuánticos sin una estrategia clara de qué está en riesgo, y cuál es el plan para cambiar todo. 

Figura 6: Áreas de investigación en Quantum

Technology en Telefónica Innovación Digital

Y por supuesto, desde el área de innovación de Telefónica Innovación Digital llevamos tiempo trabajando en herramientas y soluciones, una de ellas Qunatum Drop. Que además nosotros tenemos la suerte de tener cerca a Ignacio Cirac, uno de los grandes en este mundo.

Figura 7: Ignacio Cirac dando un conferencia sobre Quantum Technology

Internamente para nosotros tenía otros nombres código, y eran varios proyectos en paralelo que se han convertido en Quantum Drop, donde un fichero se sincroniza con la nube utilizando comunicaciones con algoritmos PQE, se almacena cifrado con PQE, y se comparte con destinatario utilizando intercambio de claves de cifrado.

Figura 8: Beta de Quantum Drop

Ahora el proyecto esta en beta privada, y buscamos Beta Testers que quieran ser parte del equipo que dé feedback de mejora sobre la solución, así que si quieres apuntarte puedes hacerlo desde ya en la web de Quantum Drop en la web de Tu.com.

Figura 9: Ser beta tester de Quantum Drop

Sabemos que le queda un poco a los Ordenadores Cuánticos, pero de ahora en adelante verás como todos los productos que lancemos en Tu.Com y en Telefónica, van a llevar la revisión cuántica, para asegurarnos de que estamos construyendo tecnología que poco a poco esté preparada para convivir con un mundo de computación cuántica que llevamos esperando un tiempo, pero para la que aún no nos hemos preparado del todo.

Figura 10: Ser beta tester de Quantum Drop

Si quieres comenzar a conocer estas tecnologías y cómo se aplican al mundo digital que tenemos, apúntate a la beta privada de Quantum Drop... y a las próximas que vayamos lanzando, que verás que habrá muchas más.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)