Actividades desde hoy hasta el 31 de Diciembre

Seguro que habrá más cosas que no están en mi radar, pero en este artículo de hoy os dejo todas las que están en mi radar desde hoy hasta el final del año. Dentro de poco voy a cerrar por vacaciones el blog, así que no habrá ninguna entrada de eventos, conferencias, y demás hasta la semana que viene. Tomad nota por si alguna os interesa.

Figura 1: Actividades desde hoy hasta el 31 de Diciembre

10 de Diciembre: Curso de Hacking con Python [Online]

La primera de ellas es una cita para formarse a fondo estas navidades y comenzar el año con mejores habilidades. Este curso te proporciona los conocimientos necesarios a nivel conceptual y práctico para que puedas programar en Python para el desarrollo de auditorías de Ethical Hacking basadas en este lenguaje. Es un curso de 90 horas de duración sobre programación en Python pero orientado a personas que quieran enfocar su carrera profesional como pentesters. No es necesario tener conocimientos previos del lenguaje ni de programación.

Figura 2: Curso Online de Hacking con Python

Con este curso, podrás realizar, sin problemas, auditorías de seguridad con su correspondiente informe. Este curso se ha definido en un 75% de práctica y 25 % de teoría, lo que te facilitará mucho el aprendizaje y el aprovechamiento máximo de conocimientos. Tienes toda la info en la web del curso. Además, todos los alumnos recibirán el libro de Hacking con Python de 0xWord.

Figura 3: Libro de Hacking con Python

10 y 11 de Diciembre: XII Jornadas STIC CCN-CERT [Madrid] [Online]

El próximo 10 de diciembre tendrán lugar las XIII Jornadas STIC CCN-Cert, una cita fundamental en el mundo de la Ciberseguridad. En ellas participaran muchos de los profesionales del mundo de la seguridad de nuestro país, desde los que tienen un rol como CISO, hasta los que tienen posiciones de investigación o de auditor de seguridad. 

Figura 4: XIII Jornadas STIC CCN-CERT

En esta edición nuestro compañero CSA en ElevenPaths Deepak Daswani participa con una ponencia sobre seguridad e inseguridad de sistemas de mensajería. Tienes la información completa en la página web oficial, y si no puedes venir a Madrid, podrás seguir las ponencias principales por medio de Internet, así que toma nota de esta cita.

11 de Diciembre: OEAS Cyber Challenge [Chile]

Con el objetivo de explicar “Cómo ser hacker y no terminar loco preso o muerto”, que es el nombre de la ponencia de nuestro CSA en ElevenPaths el gran Gabriel Bergel, participará nuestro compañero en este evento que tendrá lugar  el próximo 11 de diciembre. Más información en la web de la la OEA.

11 de Diciembre: Acepto las condiciones [Madrid][Online]

He leído y acepto la política de privacidad se ha convertido en “la gran mentira” de nuestro tiempo. Todos hemos aceptado los términos sin leerlos o, al menos, sin acabar de comprenderlos del todo. Leer textos legales es complicado, aburrido y tedioso. Todos quisiéramos saber cuáles van a ser las consecuencias de aceptar una política de privacidad, descargar una app o contratar un servicio web en términos que podamos comprender. 

Figura 5: La gran mentira

Por este motivo presentamos Consent Commons, una iniciativa que nace de la necesidad de facilitar la comprensión y la transparencia de los documentos legales para las personas. A través de un sistema estándar de iconos ayudarán a las empresas a poner al cliente en el centro. Hacen que el sistema legal sea accesible para todos, independientemente de los antecedentes, la discapacidad o el nivel de educación, logrando así proteger a todos los usuarios.

12 de Diciembre: 8.8 NINE [Santiago de Chile]

En segundo intento tiene lugar 8dot8 en Chile. Con la participación de un plantel enorme de ponentes entre los que estarán nuestros compañeros Gabriel Berger (fundador), Pablo González y Fran Ramirez del equipo de Ideas Locas, Claudio Caracciolo, nuestro CSA leader en ElevenPaths  y Diego Espitia. Consulta más información en la página oficial.

Figura 6: 8dot8 NINE en Santiago de Chile

12 de Diciembre: Videojuegos, educación y Creatividad [Madrid][Online]

Los videojuegos pueden ser una poderosa herramienta educativa y creativa. Los más pequeños aprenden jugando de forma innata, desarrollando sus herramientas creativas en el proceso. En el futuro, la creatividad resultará imprescindible para el ejercicio profesional y para la construcción de la personalidad de los alumnos. 

Figura 7: Videojuegos, educación y creatividad

Para hablar sobre cómo el videojuego y el arte pueden ser extraordinarias armas para fomentar la educación crítica, reunimos en nuestro auditorio a Gonzalo Frasca, diseñador de videojuegos reconocido internacionalmente por sus trabajos en el campo de la educación; Alba G. Corral, artista visual, desarrolladora de código y docente, e Isabel Tallos, cofundadora del estudio de videojuegos Everguild. El encuentro estará moderado por Santiago Bustamante, director y presentador de ‘Fallo de sistema’, de Radio 3.

14 de Diciembre: DevFest Málaga’19 [Málaga]

El 14 de diciembre llega este evento a la capital de la Costa del Sol de la mano de GDG Málaga (Google Developer Group). Nuestros expertos del Área de Innovación y Laboratorio de ElevenPaths, Sergio de los Santos, José Torres y Marcos Arjona, participan con sendas ponencias: “Innovación en ciberseguridad sin complejos desde Málaga” y “Diario de innovación, cuando el diseñador de malware te saca una sonrisa”. Información completa en la página web del evento.

Figura 8: 14 de Diciembre GDG Málaga

18 de Diciembre: Todopoderosos "John Landis" Parte 2 [Madrid][Online]

Vuelven los Todopoderosos a hablar de John Landis en nuestro auditorio. Porque aún hay que hablar de thriller. Porque no podían dejar en paz películas como ‘El Príncipe de Zamunda’, ‘Cuando llega la noche’, o ‘Tres Amigos’. Porque Rodrigo Cortés, Arturo González-Campos, y Juan Gómez-Jurado están deseando volver sobre ese director y, qué narices, porque para una vez que Javier Cansado se las ha visto todas hay que aprovecharlo. ¡No te pierdas #TPLandis volumen 2! 

Figura 9: Todopoderosos

19 de Diciembre: Movistar Team [Madrid] [Movistar +]

Este día llega un evento muy especial, ya que tendremos la presentación del equipo ciclista Movistar Team para la temporada que viene. Son 10 años ya rodando juntos, y desde luego yo voy a estar ahí para verlos y animarlos para la próxima temporada. Este acto es solo con invitación, pero podréis seguirlo en Movistar + que lo daremos por la televisión.

Figura 10: Presentación del Movistar Team 2020

 22 de Diciembre: Curso Profesional de Auditorías Móviles [Online]

Y para terminar, una formación para enfocar tu futuro, ya que tenemos el Curso Online de Auditorias Móviles [Online] Nuestros compañeros de The Security Sentinel dan comienzo a una de sus formaciones más demandadas hoy en día. Se trata de un curso orientado a la formación de profesionales con capacidades de hacer tanto una auditoría de seguridad de una aplicación móvil, como un análisis forense de un dispositivo completo. Tiene una duración de 120 horas y el temario completo lo tienes en la web del curso.

Figura 11: Curso Online de Auditorías Móviles

Además, como complemento a la formación del curso se entregará uno de los libros en los que he participado yo. Se trata el libro de Hacking iOS: iPhone & iPad 2ª Edición que toca muchos de los conceptos descritos en la formación centrados en el mundo Apple.

Figura 12: Libro Hacking iOS: iPhone & iPad 2ª Edición

Y esto es lo que os dejo de aquí a finalizar el año. Por lo demás, ya sabéis que el día 18 de Diciembre se estrena la última de Star Wars, que tienes Frozen II en cine y ya deberías haberla visto, y que tienes para el 31 de Diciembre la San Silvestre de Vallecas para la que ya deberías haberte apuntado. Y en la televisión, un montón de buenas series de superhéroes que no te debes perder.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi nueva vida como CDCO (Chief Digital Consumer Officer)

Hace tres años y medio, cuando me convirtieron en CDO de Telefónica, se montó un lío en los medios que me pilló totalmente por sorpresa. La dimensión de una empresa como Telefónica no se puede imaginar hasta que ves el impacto que tiene en la sociedad cualquiera de los cambios que se realizan en ella. Entonces, cuando me nombraron Chief Data Officer del grupo, escribí un artículo para explicar en qué consistía aquel cambio. Lo titulé "Mi nueva vida como Chief Data Officer" y hoy he querido hacer lo mismo para contaros las cosas que voy a hacer, y de las que seguro que os hablo mucho por mi blog.

Figura 1: Mi nueva vida como CDCO (Chief Digital Consumer Officer)

Como sabéis los que lleváis ya años por aquí, comencé en Telefónica en el año 2012, con el proyecto Talentum que era parte de Wayra. Allí estuve durante un año y tres meses trabajando con Gonzalo Martín-Villa en la parte de Innovación de Telefónica. Hasta que me reclamaron para otro proyecto. 

En aquel momento Telefónica quería acelerar la parte de Telefónica Digital y construir un negocio en diferentes sectores, como el IoT, la Ciberseguridad, el negocio de Cloud o los Servicios Financieros. Una apuesta valiente de Telefónica para transformar la función de la cuenta de resultados de la compañía. Y Telefónica pensó en mí para acelerar el negocio de Ciberseguridad. Así que me fui allí con mi equipo de Informática 64 y comenzamos a trabajar en ElevenPaths poco más de una veintena de personas, para poco ir construyendo el negocio de seguridad en el grupo Telefónica. 

En los inicios ElevenPaths nació dentro de Telefónica Digital como una unidad de Innovación, pero al año yo pedí llevarlo a negocio y meterlo en la unidad B2B de la casa, por entonces Business Solutions donde creció en todo el grupo de manera más rápida y llegando pronto al "Milestone" de los 100 M€ de P&S de ciberseguridad B2B en ElevenPaths antes de que me tocará dar el siguiente paso. Entonces ya me parecía una locura, pero comparado con el tamaño de Telefónica no es que sea muy grande.

En el 2015, el grupo Telefónica quiso hacer un proyecto transformacional muy fuerte. Quería convertir la compañía en una empresa Data-Centric que pudiera tomar Data-Driven Decisions. Había que cambiar muchas cosas. Cultura, Infraestructuras, Productos, Servicios y formas de trabajar. Así que el Presidente se tomó en serio esta dura tarea y apadrinó bajo su ala la unidad CDO (Chief Data Officer) con la elección de Ian Small para tal responsabilidad. 

Yo comencé a ayudar a Ian Small con tal tarea, pero continué con mi labor de hacer crecer ElevenPaths en el sector B2B y en el sector B2C en aquel tiempo. Tenía la misión, como os conté en el artículo de la historia de LUCA & ElevenPaths, de hacer que Telefónica fuera uno de los grandes proveedores de Ciberseguridad, y quería estar con el ojo encima de ella hasta el último minuto, pero ya sabía que me iba a tocar la labor de convertirme en CDO y hacer ese hercúleo proyecto de transformación.

Figura 2: Tamaño de CDO en 2016. Diapo del All Hands de la unidad

Y llegó 2016, Mayo, y me nombraron CDO con una misión preciosa y a la vez compleja de ejecutar. Así que tocó centrarse en la transformación y crear la visión, la estrategia, las infraestructuras, los productos y los servicios para la 4ª Plataforma de Telefónica. Un trabajo apasionante y emocionante al mismo tiempo. Además, tenía la misión de construir una nueva unidad para ayudar a los clientes a hacer la misma transformación y construir LUCA, la unidad de BigData & AI que comenzamos a definir desde mi llegada a la rol de CDO.

Figura 3: Desde 2016 tocó ser el "Chairman" de ElevenPaths

En ese momento ElevenPaths iba ya como un tiro, y tuve que delegar las funciones de CEO en Pedro Pablo Pérez, que desde ese momento se convirtió en el dueño del timón de ElevenPaths mientras que yo me quedé con el rol de "Chairman" para estar solo asesorándole, haciendo una supervisión periódica y ayudándole en todas las locuras que se le fueron ocurriendo. Creedme que cuando nos juntamos Pedro Pablo y yo las charlas son una locura divertida de la que salen muchas cosas buenas. Que nos juntáramos en Telefónica ha sido uno los regalos que me ha dado esta casa.

Figura 4: El viaje de CDO de 4ª Plataforma a Living Apps
pasando por AURA, Movistar Home y Haac

Y comenzamos a andar, y definimos AURA sobre la 4ªPlataforma, y después Movistar Home, y luego Home as a Computer, y luego Conexión Segura, y los equipos de ingeniería hicieron la tecnología de SmartWiFi, y los equipos de Internal Use Cases hicieron los algoritmos del proyecto de Device Recommender llamado internamente "Phoenix", y el equipo de innovación nos trajo a la 4ª Plataforma los algoritmos de recomendación de contenidos de vídeo, hicimos el equipo de Ideas Locas para innovar en muchas áreas, y llegamos a las Living Apps... y sin darnos cuenta hicimos un montón de servicios B2C para nuestro Hogar Movistar basados en una ansia por innovar, arriesgar, y empujar al tecnología más allá de los límites para los que se pensó. 

Figura 5: Hogar Movistar

Llegado 2019, LUCA, que vino al mundo en Noviembre de 2016 ya había  duplicado los ingresos de BigData & AI para el grupo Telefónica, pero también había hecho crecer un 30% el negocio de Advertising que también está dentro de la unidad guiada por Elena Gil. Mientras, ElevenPaths, guiada por Pedro Pablo apunta ya en su plan estratégico no a varios cientos de millones de euros, sino a llegar a 1.000 millones en su roadmap a corto.

Figura 6: Living Apps desplegadas en la TV de Movistar+ en 800.000 hogares

Mientras, la 4ª plataforma ya está desplegada en 10 países, Aura en 9 de ellos y en más de 50 canales digitales, hay más de 60 soluciones desplegadas sobre la 4ª Plataforma, lanzamos las Living Apps en 800.000 hogares, Movistar Home sigue creciendo a buen ritmo en los hogares Movistar+ más tecnológicos, Conexión Segura se implantó en toda la planta de Telefónica de España, el proyecto de Network Tokenization está casi acabado, y nos hemos metido en un buen manojo de nuevos proyectos.

Figura 7: Unidad CDO en Abril de 2019

En total, aquel proyecto de CDO que comenzó con 279 empleados, se había convertido en una mega-unidad totalmente integrada en el negocio B2B de Seguridad y BigData & AI, en los servicios B2C de Telefónica y en las plataforma y sistemas internos de la casa. Ya no era una proyecto en incubación. Ya CDO se había convertido en core de negocio con una unidad de 622 empleados en ella, más todos los compañeros de las subsidiarias, y más los que se han ido incorporando durante este año que hemos estado en aceleración en seguridad.

Ahora con la nueva reorganización, el jefe me ha pedido que continúe con el ansia de transformación, innovación y creación de servicios digitales que hemos tenido estos casi 8 años que llevo en la casa, y me ha dado una responsabilidad un poco más grande, con una unidad un poco mayor que la que llevaba y los proyectos en incubación de CDO se han metido en el core de negocio. Se han hecho mayores. Han pasado de ser una inciativa en incubación que había que apadrinar a unos proyectos en el core de Telefónica.

Así que ahora me voy a ocupar principalmente de tres grandes bloques más una labor extra. 

1) Innovación en Telefónica. Esto implica innovación interna con el área de Product Innovation donde están los proyectos de Edge, de Gaming, de Internet para Todos - entre otros -, Network Tokenization, mi equipo de Ideas Locas, LEIA, Wayra, Open Future y el programa de becas de talento que tenía en CDO.

2) B2C Product & Services: Esto implica los productos y servicios que estamos desarrollando para los clientes de Telefónica. Y es una gran responsabilidad, ya que significa la mayor parte de los ingresos del grupo en todo el mundo. En este grupo estarán Home as a Computer, Living Apps, Movistar Home, Devices, Pricing, SmartWifi, Global Vídeo Platform, Movistar Car, Movistar Cloud, Financial Services y todos los productos y servicios nuevos que vayamos construyendo.

3) Digital Platforms: Por supuesto, nuestra querida 4ª Plataforma, Aura que es transversal a todos los productos, Novum como el end-point en dispositivos móviles, pero también todos los proyectos de transformación digital como el Contact-Center Cognitivo o la automatización de procesos entre otros.

Como se puede imaginar, no me voy a aburrir. Es un reto precioso el que tenemos por delante, y de una gran responsabilidad, pero a la vez me bulle la cabeza con cien mil ideas y cosas que bailan dentro de mi pizarra mental. Y quiero que comiencen los días ya para empezar a tope con ello.

Pero todavía tengo una tarea extra. Voy a seguir siendo el Chairman de ElevenPaths aunque ahora esté con los compañeros de B2B,  así que voy a seguir pasándome por los sitios de mis compañeros de Faast, Latch, Masapp, Tacyt, por el Lab de Innovación, para seguir haciendo lo mismo que hacía antes. Darles ideas, abrazos y asesorar y ayudar a Pedro Pablo como he hecho estos tres últimos años mientras que él ha sido el CEO y yo el "Chairman". Yo le asesoraba y ayudaba y él hacía que ElevenPaths creciera y creciera y creciera. Y por supuesto, como he hecho estos tres años, estar con ellos en todos los eventos Security Innovation Day de ElevenPaths. 

La otra unidad que se gradúa es LUCA. Que después de su crecimiento tiene que pasar con sus compañeras de viaje IoT, ElevenPaths y Cloud a la unidad de B2B (de la que viene antes ElevenPaths cuando era aún pequeñita). Ellos seguirán bajo Elena Gil llevando todos los productos y servicios de Big Data & AI, entre los que están SmartSteps, LUCA Comms, LUCA AI Wizzard, LUCA Suite, etc... Y ellos serán los encargados de comercializar las soluciones basadas en las Living Apps, así que seguiremos estando muy cerquita.

View this post on Instagram

En todas las reorganizaciones hay momentos de todo tipo. Yo he pasado por 3 en Telefónica durante los últimos 8 años y siempre son intensas. Rumores, compañeros que no siguen, tensión... pero también momentos de alegría, ilusión y ganas por comenzar un proyecto precioso. Tras haberme “graduado”, mi amigo Luis Prendes me vino a felicitar dando un abrazo calentito de esos que nos gustan a Olaf y a mí. Y a decirme que él va a ser mi escudo legal en la nueva unidad de CDCO. Este es el instante que se queda para el recuerdo. }:) https://www.elladodelmal.com/2019/11/mi-nueva-vida-como-cdco-chief-digital.html

A post shared by Chema Alonso (@chemaalonso) on Nov 30, 2019 at 6:30am PST

Dice mi compañero, amigo y guardaespaldas personal Enrique Blanco que hasta que no haga los 10 años en Telefónica sigo siendo un becario, pero la sensación que tengo ahora es de haberme graduado. Me han sacado de incubación y me han puesto como compañeros a los grandes ejecutivos de la compañía que bajo la tutela de nuestro Consejero Delegado Angel Vilá trabajamos por los revenues de la compañía.

Figura 9: Organigrama de La Nueva Telefónica

Me han puesto en primera línea de negocio con Mark Evans, Emilio Gayo, Christian Gevara, José Cerdán, Enrique Blanco, Guillermo Ansaldo, Markus Haas y Alfonso Gómez. Todos ellos, graduados con nota hace mucho tiempo y con las responsabilidades de Telefónica de España, VIVO, O2 Uk, O2 Ge, Telefónica Hispan, Telefónica Infra, el negocio B2B y la red y sistemas de todo el grupo. Ahora todos mis esfuerzos son para que la innovación, el negocio B2C, las plataformas digitales de transformación y yo mismo consigamos estar a su altura en esta nueva etapa en la que nos metemos.

Saludos Malignos!

Eventos para la Semana de Internet: Madrid, Málaga, Ecuador, Chile y Online

Hoy voy a pasarme a estar un rato con mis amigos de X1Red+Segura, y mi compañero Fran Ramírez - ya sabéis, uno de los locos que cuenta anécdotas de la historia de la informática y los hackers - estará en el VLC Tech Fest, pero ya tenemos una agenda de actividades grandes para la Semana de Internet.

Figura 1: Eventos para la Semana de Internet: Madrid, Málaga, Ecuador, Chile y Online

Entre otras cosas, recordad que tenemos la actividad de voluntariado de Ciberseguridad Al Cole que han organizado nuestros compañeros, pero os dejo la lista detallada  de eventos. Yo en concreto, estaré en Santiago de Chile dando una conferencia.

[10 de Mayo] X1Red+Segura [G][*]

[Ubicación] Madrid y Online

Aún no he hecho las diapositivas, pero voy a hablar un poco de las últimas cosas que he estado trabajando, entre ellas sobre mis cosas con las AI, la privacidad, el BigData, las Fake News, el FaceSwapping, el Sentiment Analysis, el GDPR, el Sesgo, y todo lo que llevo publicando - más o menos - en los últimos meses en el blog. Puedes ver la jornada en streaming aquí mismo. Mi charla es a las 10:30.

Figura 2: Sigue en directo X1Red+Segura

Después, yo estaré firmando unos libros de 0xWord  después de mi charla, para aquellos que quieran llevarse uno de nuestros libros y colaborar con este proyecto de editorial - como la cerveza - artesana. Más información en la web del evento.

[13 al 16 de Mayo]I-Com
[Ubicación] Málaga

El evento anual más importante del mundo entorno a Smart Data Marketing, el arte de aprovechar creativamente el valor de los datos para crear una ventaja competitiva en productos, experiencia de usuario y promoción. Tienes toda la información en la web del congreso que tiene lugar en Málaga.

Una cumbre en el que se reúnen expertos de todo el mundo, dando la bienvenida a líderes sénior, incluidos los CMO, los directores digitales, los CIO, los directores de datos y las CAO, entre los que participará también nuestro compañero el Dr. Richard Benjamins, Data & AI Ambassador de LUCA. Una jornada que brindará la oportunidad de explorar en un entorno confiable la vanguardia de este paradigma en el que se presentan más de 80 estudios de caso y fomentar la colaboración necesaria en estas áreas funcionales.

[14 de Mayo] Gala del Día de Internet [Madrid][G]
[Ubicación] Madrid y Online

La Gala de entrega de los Premios de Internet 2019 se celebrará en Madrid el 14 de mayo, martes, a las 12:00 horas en el Espacio de Fundación Telefónica. La Gala de entrega de los Premios de Internet es uno de los actos centrales del Día Mundial de Internet, #diadeinternet , y reúne a los mejores en Estrategia Digital, Campañas de comunicación on-line, Investigación y Emprendimiento y Marca personal en Redes Sociales en el universo Internet de habla hispana. 

Por su alfombra roja pasarán todos los invitados realizando el correspondiente posado, todos podrán fotografiarse en el photocall que da acceso al auditorio y compartir sus fotos en las redes sociales. La Gala será conducida por Macarena Berlin periodista española directora y presentadora de programas en La Ser (Los muchos libros) y en RTVE (+Cotas). Durante la Gala se darán a conocer los ganadores de cada una de las categorías de la presente edición. Más información en la web de la Gala del día de Internet.

[14 de Mayo] Semana de la Seguridad en Banco Estado
[Ubicación] Santiago de Chile

El martes 14 de mayo Gabriel Bergel participará en la semana de la ciberseguridad del Banco Estado con la ponencia titulada: "El arte del Engaño" que tendrá lugar en Chile.

[15 de Mayo] CIIA 2019 [*]
[Ubicación] Santiago de Chile

Este día estaré en Chile participando en un evento sobre Ciberseguridad para dar una charla en la que explicaré algunos de los ataques al correo electrónico y redes sociales que utilizan los cibercriminales para atacar empresas y particulares. Tenéis toda la información en la web del congreso.

Figura 3: CIIA 2019 Chile

[16 de Mayo] Curso Online de Hacking Experto
[Ubicación] Online

Este día da comienzo una nueva edición en The Security Sentinel del curso de orientación profesional más orientado al mundo laboral si quieres incorporarte al mercado de la seguridad informática y la ciberseguridad: Curso Online Hacking Ético Experto. Con 240 horas de formación, este curso te prepara para entrar en este sector de manera profesional.

Figura 4: Curso Online de Hacking Experto de The Security Sentinel

Este curso te proporciona los conocimientos necesarios a nivel conceptual y práctico para que puedas implementar en empresas y negocios, un sistema Integral de seguridad informática integral y perimetral, apoyados por el uso de Software Libre. Desarrollarás y adquirirás habilidades prácticas para la realización de auditorías de sistemas intrusivas, usando las técnicas de la Auditoria de T.I del tipo “Hacking Ético y/o Test de Penetración”. Conocerás los diferentes tipos de atacantes, así como a usar las diferentes técnicas y herramientas de intrusión utilizadas por los delincuentes informáticos para lograr violentar la seguridad de un sistema de información.

Figura 5: Manual de Pentesting con Powershell 2ª Edición

Con este curso, podrás realizar sin problemas auditorías de pentesting con su correspondiente informe profesional, además de conocer los métodos utilizados por los delincuentes cibernéticos para poder contrarrestar sus ataques. Este curso se ha definido con un 75% de práctica y un 25 % de teoría, lo que te facilitará mucho el aprendizaje y el aprovechamiento máximo de conocimientos. Orientar las auditorias intrusivas haciendo uso de las normas y buenas prácticas en seguridad de la información a nivel internacional. Aprender las técnicas de ataque y protección de las redes de datos y las aplicaciones web dinámicas. Además, todos los asistentes recibirán el libro de Pentesting con PowerShell de 0xWord 2ª Edición

[16 y 17 de Mayo] 9º Congreso Auditoría Interna
[Ubicación] Guayaquil (Ecuador)

El 16 de mayo dará comienzo la edición número 9 del Congreso Auditoría Interna Guayaquil que se celebra en Ecuador bajo el título " Fortaleciendo el control interno y la gestión de riesgos en las 3 líneas de la defensa". Enfocado para profesionales que realizan funciones de control financiero, gestión de riesgos, control interno, seguridad de la información, compliance, calidad y auditorías, nuestro CSA, Claudio Caracciolo, participará con la ponencia: "¿Qué debe conocer el auditor cuando hablan de innovación en seguridad?" el 16 de mayo. Programa completo aquí.

[17 de Mayo] Día de Internet
[Ubicación] Madrid

El Presidente del Senado y el Comité de Impulso del Día de Internet, formado por más de 50 colectivos sociales, convoca a los representantes del mundo político, empresarial, mediático, cultural y social al Debate plenario que celebraremos en el Senado, el Viernes 17 de mayo a las 12:30 horas, sobre “El impacto de los tecnología en los Objetivos para el Desarrollo Sostenible (ODS)”. Internet para conseguir los Objetivos de Desarrollo Sostenible. Toda la información en la web del acto.

El tema que el Comité de Impulso ha propuesto para esta edición del #diadeinternet en el Senado es revisar desde diferentes perspectivas como Internet puede contribuir a conseguir un planeta más sostenible a partir de los Objetivos para el Desarrollo Sostenible propuestos por Naciones Unidas. Para ello hemos convocado una mesa con representación de Partidos, Administración, Empresas y Sociedad civil para que nos expongan sus puntos de vista sobre este tema en un momento de cambio político en nuestro país en el que cada vez lo sostenible cobra mayor relevancia en nuestras vidas.

Y estos son los actos en los que vamos a participar de una forma u otra desde ElevenPaths, LUCA, Telefónica y 0xWord. Y ahora... a por el fin de semana.

Saludos Malignos!

CodeTalk for Devs de Joomla! in Paranoid Mode ya en vídeo #joomla

Como sabéis, hace no mucho tiempo Mateo González Fernández nos habló del proyecto de Jomla! in Paranoid Mode que había realizado como Trabajo de Fin de Grado en colaboración con nuestros compañeros de ElevenPaths y el equipo de Ideas Locas de nuestra unidad CDO en Telefónica. Dicho proyecto aplica los mismos conceptos que explicamos para WordPress in Paranoid Mode hace un tiempo, pero migrados al popular framework de Joomla!

Figura 1: CodeTalk for Devs de Joomla! in Paranoid Mode ya en vídeo #joomla

Para explicar el trabajo que había realizado, Mateo se animó a participar en una de nuestras sesiones de CodeTalks for Devs, donde explicamos a los "doers", es decir, a los ingenieros y programadores, cómo funcionan las entrañas de las tecnologías. El objetivo es que puedan aprender a hacerlo ellos mismos o modificar lo existente para adaptarlo a sus necesidades.

Figura 2: CodeTalk for Developers de Joomla! in Paranoid Mode

Con ese objetivo, Mateo hizo este CodeTalk for Developers de Joomla! in Paranoid Mode que ya puedes ver en Youtube. Así que, además del artículo donde explicaba cuáles eran las referencias y los conceptos fundamentales del proyecto de Joomla! in Paranoid Mode, ahora puedes acompañarlo con esta sesión en vídeo de 20 minutos.

Saludos Malignos!

WordPress Latch Enforcement: Cómo forzar el uso de Latch a todos los usuarios de WordPress

La seguridad de un sistema es tan fuerte como lo es en el eslabón más débil. Esta es una frase que seguro que muchos conocéis. En un proceso de fortificación de una plataforma tomar decisiones de cuándo una medida de seguridad no es optativo es fundamental. En este caso, el uso de un segundo factor de autenticación para gestionar la seguridad de las identidades, de forma obligatoria para todos, para conseguir la Máxima Seguridad en WordPress posible.

Figura 1: WordPres. Cómo forzar el uso de Latch a todos los usuarios. "Latch Enforcement"

En un artículo anterior os comentaba cómo se puede utilizar la característica de Lock on Request en Latch para forzar que se cierre automáticamente el Latch del usuario después de cada utilización, lo que evita que un usuario se deje el pestillo abierto "por error" u olvido. 

Figura 2: Ejemplo de WordPress con Latch Lock on Request

Hoy os quería dejar un truco para forzar el uso de Latch en todos los usuarios de tu WordPress. Es decir, que si un usuario no tiene activado Latch en WordPress, no pueda continuar utilizando su cuenta dentro del sistema. 

Figura 3: Configurar Latch en WordPress en 10 minutos

Para ello, la primera fase es configurar Latch en WordPress en 10 minutos como se puede ver en este vídeo de la Figura 3. Luego, a configurar el forzado de Latch en todas las páginas de WordPress.

Latch Enforcement

Para forzar el uso de Latch, basta con bloquear al usuario dentro de la página del perfil y que no pueda salir de ella hasta que no se haya configurado Latch. El método es tan sencillo como comprobar en todas las páginas de WordPress al inicio si en la tabla en MySQL donde se encuentran los Latch_IDs, si este usuario hay algún valor o el valor es nulo.

Figura 4: Código para forzar el redirect a la página de pareo de Latch

Si el valor es NULL, entonces el usuario es redirigido a la página del perfil /wp-users/profile.php, hasta que finalmente se configure una cuenta de Latch para proteger su identidad. En el siguiente vídeo lo podéis ver funcionando.

Figura 5: WordPress Latch Enforcemente

Al final, forzando el uso de Latch en todas la cuentas y aplicando el Lock on Request, es más difícil que te roben las cuentas de tus usuarios, ya que todos los usuarios están obligados a tener un 2FA y todos los Latch están cerrados.

Saludos Malignos!

Conferencias, charlas, debates, eventos y actividades para la semana del 24 al 30 de Abril

Para la semana que viene, estos son las actividades en las que desde ElevenPaths, Luca D3 y 0xWord participamos. Además, os dejo algunas otras actividades que merece la pena que tengáis en cuenta por si os interesa participar en alguna de ellas. Esta es la selección que os he hecho, además de dejaros los eventos en los que estaré yo.

Figura 1: Actividades para la semana del 24 al 30 Abril

En mi caso, yo estaré el Lunes 24 por la tarde en una entrevista en Onda Cero en el programa de la periodista Julia Otero llamado "Julia en la Onda". Como sabéis, se puede escuchar online por todo el mundo vía la web de Onda Cero.

El martes 25 participaré en Securmática 2017 en Madrid, como representación de ElevenPaths y Telefónica. Será el primer día, a las 10:20 de la mañana del primer día de un congreso de los más consolidados en este país para CSOs, CISOs y CIOs, que en esta edición tendrá una duración de tres días. El registro para asistir a este evento, el programa completo, y la información de la ubicación concreta, la tenéis en la web del congreso.

Figura 2: Web del congreso Securmática 2017 

El miércoles, el equipo de LUCA Data-Driven Decisions participará en el evento de CartoDB, una de las startups en las que Telefónica, a través del fondo Kivo Ventures del que forma parte, ha invertido. Yo daré la KeyNote hablando el tema que sigue estando de moda, los insighs que se obtienen de la localización.  La información completa del evento y el registro lo tienes en la siguiente web.

Figura 3: Carto Locations Summit en Madrid

Esto es todo en lo que yo participaré directamente, pero también hay otras actividades en las que participan mis compañeros. La primera de ellas será la tercera edición del evento de Risk, Fraud & Collections Management que tendrá lugar en Madrid. Ahí participarán nuestros compañeros de LUCA para hablar de nuestras soluciones basadas en Big Data.

Figura 4: Risk, Fraud & Collections Management en Madrid

Y por la tarde, un  webinar gratuito que impartirá también el equipo de LUCA-D3 sobre "Disrupting Mobile Advertising with data-driven solutions". Un seminario que será impartido en inglés y que explicará cómo sacarle partido a los insighs generados con técnicas de Big Data & Programatic Advertising. Como sabéis, dentro de la unidad de LUCA tenemos varias empresas para generar tecnología a este respecto, como son Axonix y la reciente adquisición de la compañía Statiq.

Figura 5: Webinar gratuito "Disrupting Mobile Advertising with data-driven solutions"

También la semana que viene continúa el OWASP Latam Tour 2017, con paradas en Chile, El Salvador, Guatemala, Argentina y Venezuela. En estos eventos podrás aprender, compartir y participar en una comunidad muy activa en seguridad. Aquí tienes el calendario de los eventos de esta semana para esta gira.

Figura 6: OWASP Latam Tour 2017

Otra cita interesante para esta semana tendrá lugar el día 24 en Madrid, un meetup del Club .NET Spain que se centrará en programar bots con Microsoft Bot Framework y utilizar algunos de los Cognitive Services de Azure, así que si tienes tiempo y te apetece aprender, puedes pasarte por allí. Te dará una visión más clara de cómo construimos Aura.

Figura 7: Meetup en Madrid sobre Bots y Servicios Congnitivos

Y la última que os dejo tiene que ver con un interesante debate que puede surgir justo con el tema de los bots, los robots y la inteligencia artificial en general, que tendrá lugar en la Facultad de Ciencias Sociales y Económicas de la UIC en Barcelona: "¿Un robot te puede sustituir en el trabajo?"

Figura 8: ¿Un robot te puede sustituir en el trabajo?

Además, de todo esto, mañana es el día del libro y habrá un Código de Descuento para los libros de 0xWord que publicaré mañana. Aprovéchalo que solo durará 24 horas.

Saludos Malignos!

Hacking Google reCaptcha with Google Voice Recognition... and Google Chrome in a Google ChromeBook

Con el eslogan ‘Easy for People. Hard for Bots’, Google introdujo reCaptcha (tras su compra) como uno de sus servicios con el fin de evitar la automatización del envió de formularios (registros, soporte…). Siendo a día de hoy uno de los captchas más extendidos por la web, su versión 2 ha sido uno de los más complejos y difíciles de atacar con éxito. Es por ello que desde ElevenPaths, y aprovechando nuestra ya clásica jornada de Equinox (nuestro Hackathon interno de 24h), nos propusimos al menos investigar, y porque no, resolver automáticamente reCaptcha.

Figura 1: Hacking Google reCapthca with Google Voice Recognition
... and Google Chrome in a Google ChromeBook

Aunque 24 horas no parecen muchas, la investigación acabo en una automatización completa de la resolución de este servicio, aunque con una tasa de acierto no demasiado grande. Para ello nos basamos en la característica de accesibilidad del servicio, con el que el reto visual desaparece y presenta un nuevo reto auditivo, es decir, mediante audio, se pronuncian cinco dígitos (en inglés) con voces de diferentes personas y múltiples dialectos. Y ya que Google ofrece un servicio de reconocimiento de voz… ¿Por qué no utilizarlo?

Figura 2: Opción de verificar por audio de dígitos en ReCaptcha

La automatización no fue sencilla ni mucho menos, ya que pudimos comprobar algunas y deducir otras medidas de seguridad que Google emplea en reCaptcha:

• La detección de clicks simulados mediante herramientas o frameworks de navegador. 

• Pausas de diferente duración entre la pronunciación de los dígitos, incluso con velocidades distintas. 

• La velocidad en la introducción de la solución y su verificación.

Para enfrentarnos a la problemática, optamos por una solución cliente-servidor, siendo el cliente un plugin del propio Google Chrome, y un servicio REST encargado de descargar el audio, enviárselo al servicio de reconocimiento de Google, y además de esto, simular los clicks de ratón y la pulsación de teclas utilizando llamadas nativas del sistema operativo.

Figura 3: Hacking Google reCaptcha with Google Voice Recognition
... and Google Chrome in a Google ChromeBook

Una de las ventajas del servicio de reconocimiento es que permite especificar palabras como sugerencias para la detección, y en este caso facilitaba la tarea, ya que, indicando los dígitos del cero al nueve la tasa de aciertos es bastante elevada. Aun así, y para mejorar esta tasa de aciertos, aplicamos diferentes tratamientos de audio, como por ejemplo igualar la duración de los silencios o reducir su velocidad.

Resultados obtenidos

Una vez el sistema funcionaba, y tras aplicar ciertas mejoras en el cliente para detectar la posición del objeto reCaptcha en la web independientemente de la posición del navegador, tomamos muestras del comportamiento de la solución.

Figura 4: Resultados de las pruebas realizadas

Tras 1172 pruebas, 328 fueron resueltas directamente (el primer click lo considera “humano”), y de las 844 restantes el 92% fueron resueltas automáticamente mediante el desafío de audio. Lo más interesante de esto, es que a pesar de que la muestra de audio del desafío sean 5 dígitos, reCaptcha lo considera válido únicamente con 3 de ellos correctos. Es por ello que la tasa de acierto sea tan alta, y probablemente un ejemplo más de usabilidad frente a seguridad.

El paper que no se publicó a tiempo

Han pasado unos 5 meses desde ese Equinox, en el que estuvimos depurando y mejorando la solución, a la vez que escribíamos un paper para presentarlo en varios congresos de seguridad. Este fue el paper que redactamos hace unos meses, pero... ..finalmente, no será posible presentarlo ya que hace aproximadamente 15 días hicieron una publicación con la misma idea, y por lo visto Google ha tomado cartas en el asunto mejorando el desafío de audio. Más información en esta publicación.

Figura 5: Breaking Google's ReCaptcha v2 using.. .Google

Sin embargo, como una de las ideas de implementación - que hicimos como una extensión de Google Chrome que íbamos a correr en un Google ChromeBook para que fuera más redondo todo - decidimos que quedaría chulo si nuestro entrañable Clippy iba explicando paso a paso todo el proceso... y aquí está el vídeo que grabamos en su momento como PoC saltándonos reCaptcha en El lado del mal.

Figura 6: El vídeo de la PoC con la ayuda de Clippy

Al final, lo que tiene la investigación es que el primero que lo publica es el primero que lo publica. Nosotros tardamos mucho en sacarlo y ya será tarde, pero... nos lo pasamos genial haciendo el trabajo, así que continuaremos con el mismo espíritu de hacer algo chulo en el próximo Equinox. Os seguiremos contando.

Autores: Óscar Bralo, Álvaro Nuñez-Romero & Ioseba Palop @ElevenPaths