Un mundo en Ciberguerra: Tácticas de seguridad para sobrevivir en un mundo hiperconectado e hiperatacado

Como hicimos el año pasado, en 0xWord estamos acelerando para llevar las novedades a RootedCON 2025, por eso hoy tenemos la suerte de tener publicado un nuevo libro, en este caso "Ciberguerra: Tácticas de seguridad para vivir en un mundo hiperconectado" escrito por Luis Ocaña, con prologo de Juan Carlos Galindo, y que tenéis disponible para comprar desde hoy sábado.

Figura 1: "Ciberguerra: Tácticas de seguridad para vivir en un mundo hiperconectado"

El nuevo libro de 0xWord escrito por Luis Ocaña

con prólogo de Juan Carlos Galindo.

Este libro es de la línea 0xWord Brain, donde buscamos textos de divulgación de lectura amena, donde te puedas sumergir en la narración al mismo tiempo que aprendes cosas y se te invita a reflexionar. No es un libro de "ciberguerra" como tal, sino de cómo vivir en un mundo en Ciberguerra donde tú tienes que habitar. Qué tácticas de seguridad debes tener para sobrevivir en un mundo tan conectado, en el que el enemigo está en la puerta de tu casa o en tu mano.

Figura 2: "Ciberguerra: Tácticas de seguridad para vivir en un mundo hiperconectado"

El nuevo libro de 0xWord escrito por Luis Ocaña

con prólogo de Juan Carlos Galindo.

El libro lo ha escrito Luis Ocaña, que lleva 30 años en el mundo de la tecnología, y trabajando ahora en la fortificación de redes de empresas y administraciones públicas. Además colabora con Juan Carlos Galindo - autor del libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) - en su programa de radio con la sección de Conversaciones en Red, donde analizan el ciberespacio, la ciberguerra y la ciberseguridad en debates divulgativos.

Figura 3: Contactar con Luis Ocaña

En palabras que podéis leer en la sinopsis del libro, éste es un texto para ayudarte a movilizarte, tomar responsabilidad de tu seguridad y la de los tuyos en un mundo en ciberguerra. Más vale estar protegido y preparado, y con este libro el autor busca que tomes consciencia y te movilices.

 

¿Te imaginas un mundo donde cada clic podría ser una trampa y donde las redes no son sólo conexiones, sino campos d e batalla? Bienvenido a l universo de Ciberguerra, el manual que te convertirá en un autentico ninja de la ciberseguridad. 

 

Luis Ocaña Gómez, con su estilo cercano y directo, te lleva de la mano por las historias de hackeos más épicas, te enseña las tretas de los ciberdelincuentes y, lo mejor, te da las herramientas para que no seas su próxima víctima. Éste libro no es sólo un manual, es tu escudo, tu espada y tu GPS en la jungla digital.  

 

¿Quieres proteger tus datos, tu privacidad, tu intimidad y tu tranquilidad? "Ciberguerra" te enseña cómo hacerlo sin complicaciones ni tecnicismos. Además, entre historias de héroes digitales y villanos del teclado, descubrirás cómo puedes ser parte de la RESISTENCIA GLOBAL CONTRA EL CIBERCRIMEN. 

 

No te quedes fuera de juego en esta ciberguerra. Prepárate, protégete y ¡vence!

Con este libro, Luis Ocaña invita a los lectores a sumergirse en su visión única sobre el fascinante y complejo mundo de la ciberseguridad, ofreciendo herramientas prácticas y consejos para protegerse en un entorno digital cada vez más desafiante. Aquí tienes el índice completo:

Figura 4: Índice del libro "Ciberguerra: Tácticas de seguridad para

vivir en un mundo hiperconectado" El nuevo libro de 0xWord

escrito por Luis Ocaña con prólogo de Juan Carlos Galindo.

Así que, si quieres un libro para disfrutar, aprender, y concienciarte de cómo debes prepararte, ya tienes este texto disponible para que te lo puedas comprar, que como sabes es de la línea  0xWord BRAIN, donde tienes estos otros textos.

Figura 5: Libros de 0xWord BRAIN

Además, puedes usar tus Tempos de  MyPublicInbox. Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Ciberguerra: Tácticas de seguridad para vivir en un mundo hiperconectado" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. 

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 7: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 8: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 9: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 10: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Arquitectura de Seguridad y Patrones de Diseño". El nuevo libro de 0xWord escrito por Elías Grande

Ya os he dicho lo contentos que nos ponemos cuando tenemos un nuevo libro en 0xWord que presentar, y tener el primero del año 2025 en Enero hace que sea un día feliz. Como digo muchas veces, cuesta mucho sacar adelante este proyecto editorial, y poder decir que hoy tenemos ya a la venta el nuevo ejemplar de "Arquitectura de Seguridad y Patrones de Diseño" escrito por Elías Grande, y en el que yo he tenido el placer de escribir el prólogo es por si un hito que tenemos que celebrar. 

Figura 1: "Arquitectura de Seguridad y Patrones de Diseño"

El nuevo libro de 0xWord escrito por Elías Grande

El libro, como os he dicho, lo ha escrito Elías Grande, del que he publicado muchos artículos a lo largo de los últimos años por aquí. Ha estado trabajando en mi equipo, es un ponente destacado en conferencias de seguridad, un trabajador de este mundo y autor ya de otro libro de seguridad. Un autentico profesional del mundo de la cibrerseguridad y voz autorizada.

Figura 2: Contactar con Elías Grande

Este libro es un manual de referencia para aquellos que quieren pasar a ser Arquitectos de Seguridad, y hacerlo siguiendo las normas de la Ingeniería de Seguridad. Para eso se analizan los diferentes Patrones de Diseño y cómo estos se aplican para diferentes tipos de servicios y entornos. Arquitecturas de seguridad para Microservicios, para servicios Web3 o para entornos IoT son tratados en el libro.

Figura 3: "Arquitectura de Seguridad y Patrones de Diseño"

El nuevo libro de 0xWord escrito por Elías Grande.

Para ello, Elías Grande va explicando uno a uno entornos concretos y los va diseñando desde un punto de vista de seguridad, como lo haría un Arquitecto de Seguridad, para no deteriorar el servicio pero dotar desde la ingeniería de la robustez necesaria para hacer que el servicio se pueda lanzar y operar de manera segura. 

Los activos más importantes para cualquier organización son sus usuarios y sus datos. Los usuarios son los que consumen los servicios ofrecidos por las aplicaciones de la organización, y son a través de estas aplicaciones por las que fluyen sus datos e información. Debido a esto, es sumamente relevante mejorar la comprensión y entendimiento, desde un punto de vista de seguridad, de las diferentes formas que pueden tomar estas aplicaciones en función de los modelos de negocio, casos de uso e infraestructura tecnológica disponible de cada organización. 

 

En este libro se abordan los diferentes tipos de arquitecturas software más extendidas a día de hoy a nivel industria como son: las arquitecturas orientadas a servicios, las arquitecturas orientadas a eventos, las arquitecturas de microservicios y las arquitecturas en el Internet de las Cosas. Para cada una de dichas arquitecturas, se analizan en detalle sus características así como sus patrones de diseño arquitecturales más relevantes, teniendo en cuenta los diferentes aspectos y componentes de seguridad a considerar al implementar cada uno de ellos. 

 

Este enfoque proporciona a las disciplinas de seguridad ofensiva y defensiva, de auditoría, y de diseño y desarrollo, el conocimiento y herramientas necesarias para aplicar por diseño la seguridad en las aplicaciones 

 

Estas son las palabras con las que Elías Grande describe este libro dedicado a aquellos que quieren dar un paso en su formación 360 de ciberseguridad y conocer cómo hacer para una aplicación o un servicios un Arquitectura de Seguridad utilizando Patrones de Diseño. Aquí tienes el índice completo:

Figura 4: Índice del libro "Arquitectura de Seguridad y Patrones de Diseño".

El nuevo libro de 0xWord escrito por Elías Grande.

Además, Elías Grande no es un escritor nuevo, ya que no sólo tienes todos su papers publicados en la red, sino que además ya fue co-autor del libro de Docker: SecDevOps (& DevSecOps) que va ya por la segunda edición.

Figura 5: Docker: SecDevOps 2ª Edición de Fran Ramírez, Elias Grande

y Rafael Troncoso en 0xWord.

Así que, si quieres un libro para formarte como Arquitecto de Seguridad, ya tienes este texto disponible para que te lo puedas comprar, y además, puedes usar tus Tempos de  MyPublicInbox. Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Arquitectura de Seguridad y Patrones de Diseño" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. 

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 7: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 8: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 9: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 10: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

(New) WordPress in Paranoid Mode!

Quizás recuerdes, ya hace algunos años, una PoC que hicimos sobre cómo proteger WordPress en modo paranoico donde, además de proteger el login del usuario con el plugin de Latch para Wordpress y hacer un hardening a Wordpress y a nivel del sistema operativo bloqueando el acceso SSH con el plugin de Latch para UNIX, se hacía una protección a nivel de base de datos con la creación de distintos triggers que permiten proteger las operaciones INSERT, UPDATE & DELETE.

Figura 1: (New) WordPress in Paranoid Mode!

Este trabajo se plasmó en diferentes conferencias dónde Chema Alonso habló sobre ello y la importancia que tiene el controlar, a través de un segundo factor de autorización, la modificación de los datos o de la información. En la charla “My Wordpress in Paranoid Mode”, Chema, hablaba de ello en Open Expo en el año 2016:


Figura 2: My WordPress in Paranoid Mode

Además, se puede seguir teniendo acceso al repositorio del año 2016 a través de su enlace en Github, aunque actualmente no es funcional debido a dependencias de alguna librería para MySQL. Esto supuso un reto para nosotros, ya que queríamos hacer que las dependencias desapareciesen. 

Figura 3: Máxima Seguridad en WordPress

En la nueva versión de Wordpress in Paranoid Mode se ha conseguido, ya que hemos creado una arquitectura dónde se mejora en rendimiento y ‘delays’ respecto a la prueba de concepto primera. Ya no dependemos de la red, por lo que la latencia es disminuida drásticamente.

Figura 4: (New) WordPress in Paranoid Mode!

Para los más técnicos, os dejamos un pequeño workshop, de los 11PathsTalks dónde os explicamos cómo funciona WordPress in Paranoid Mode!  En este workshop se habla a bajo nivel de la solución propuesta y de cómo cubre la necesidad de tener el control de la edición y modificación del dato. 

Figura 5:  Workshop de WordPress in Paranoid Mode!

Esto ya permitía crear diferentes esquemas de dobles autorizaciones o flujos de aprobaciones que permiten controlar cuándo y cómo se van a modificar los datos o bajo qué circunstancias, además de lo que ya podías hacer de proteger el Login de WordPress con Latch.

Figura 6: Integración de Latch para proteger el Login de WordPress

A modo de resumen y con el objetivo de mostrar las novedades os comentamos cómo funciona este (new) Wordpress in Paranoid Mode. Para proteger la base de datos, se crean tres operaciones en la aplicación de Tu Latch que permiten el control de diferente manera:

• Read-Only: Este es el modo más restrictivo de todos. Cuando el pestillo está puesto en el en modo solo lectura, ningún usuario puede hacer login en WordPress. Únicamente se permite la lectura, por lo que no es posible realizar cambios en la base de datos (insertar, actualizar o eliminar).

• Edition: En este modo se protege la edición (tabla wp_posts), por lo que no se permite la creación de nuevos posts, ni la edición, ni la eliminación.

• Administration: Este modo permite proteger la creación, actualización o eliminación de usuarios, ya que actúa para proteger la tabla wp-users.

Cuando se desencadena un trigger, se comprueba el estado de Latch para ver si se tiene permitida la operación. Esto implica realizar una llamada al servicio de Latch cada vez que un trigger salta.

Figura 7: Operaciones para WordPress in Paranoid Mode

Ahora, hemos creado una nueva revisión de esta PoC, donde se han incluido algunas mejoras para adaptarlo a los flujos de trabajo actuales y se han optimizado algunos apartados. El mayor cambio, optimizando tiempos de respuesta y mejorando la eficiencia en el manejo de datos.

• En lugar de realizar una petición al servicio de Latch cada vez que se activa el trigger, se ha implementado el uso de los WebHooks que ofrece Latch. Esto ha sido una mejora notable para solventar problemas de latencia y de rendimiento.

• El agente conoce el estado de los pestillos (y se actualizan a través del WebHook). Esto permite mejorar la rapidez de las consultas para ver si se tiene al acceso a la creación, modificación o eliminación de la tabla de WordPress que se está protegiendo.

• Se ha desarrollado una GUI que te va guiando por distintos pasos para la instalación del agente en local y en remoto.

Figura 8: WordPress in Paranoid Mode Installer GUI

Para que la instalación se realice correctamente, hay algunos requisitos:

• Conexión con el motor de base de datos que contiene la base de datos de WordPress a proteger: Esta conexión debe hacerse con el usuario root. Esto es importante ya que se debe realizar la creación de la nueva base de datos que tendrá el estado de los pestillos por operación almacenados, así como la creación de un usuario para la gestión y consulta de esta tabla.

• Conexión con la aplicación de Latch: Se debe disponer de una cuenta de desarrollador de Latch para crear la aplicación y obtener su ID de aplicación y su secreto. De esta manera, el instalador creará las operaciones correspondientes (read-only, edition, administration) y las almacenará en la base de datos.

• Instalación del agente: El agente se ejecuta en segundo plano en una máquina con acceso desde internet y que será validado como el WebHook de la aplicación de Latch. Desde la GUI se puede instalar el agente en la máquina local o en una máquina remota a través de SSH. La máquina tiene que tener las siguientes dependencias instaladas: python3, python3-pip y gunicorn. Las pruebas de instalación de han ejecutado sobre la versión 3.12 de Python.

Tienes el nuevo código de WordPress in Paranoid Mode disponible en el repositorio de GitHub latch-plugin-wipm.

Figura 9: Instalación de WordPress in Paranoid Mode!

Justo en el vídeo de arriba te enseñamos funcionamiento del instalador, que como se puede ver es realmente sencillo y “friendly” para que lo puedas usar en tus fortificaciones de WordPress in Paranoid Mode! ... como debe de ser.

Figura 10: Tu Latch "Hack Your Innovation Contest".

Haz un PoC & Hack por 1.000 €

Por último, como sabéis, tenemos el Latch Hack Innovation Contest para que puedas hacer integraciones tan espectaculares como esta y ganarte un premio. En este artículo del blog puedes leer todos los detalles para que te lleves el premio: "Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €"

<->Saludos y...

Happy Coding!

Pablo González Pérez, escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de Telefónica Innovación Digital.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

Contactar con Álvaro Núñez-Romero

BootCamp en Ciberseguridad con 4Geeks en Full-Remote

El próximo 5 de Agosto da comienzo la primera edición del BootCamp en Ciberseguridad de 4Geeks, donde durante 16 semanas se hace un entrenamiento en hacking, fortificación, y gestión de la ciberseguridad para preparar a personas desde cero, con el objetivo de meterlas en el mercado laboral.

Figura 1: BootCamp en Ciberseguridad con 4Geeks en Full-Remote

Dicho Campo de Entrenamiento da comienzo este 5 de Agosto, así que si es duro formarse desde cero en un BootCamp, aún más en el mes de pleno verano: Agosto. Pero si eres de los que quieres hackear tu futuro y de forma rápida, lo puedes hacer con este BootCamp en Ciberseguridad de 4Geeks en Full-Remote.

Figura 2: BootCamp en Ciberseguridad de 4Geeks

El temario lo he revisado con mi equipo, y el profesor de esta primera edición será uno de los miembros de mi equipo de ciberseguridad (el gran Rubén Alonso a.k.a. Latro), que estará dirigiendo al equipo de profesores colaboradores del BootCamp en Ciberseguridad de 4Geeks.

Figura 3: Contactar con Rubén Alonso a.k.a Latro

Es formación durará 16 semanas, o lo que es lo mismo, 4 meses, con tres clases semanales y tal y como puedes ver en la imagen de la Figura 2, los asistentes tendrán una sal de chat de MyPublicInbox donde estaré yo también por si tengo que responder alguna duda, recibirán 4 libros de 0xWord, y tendrán 2.000 Tempos de MyPublicInbox para consultas privadas con los profesores, conmigo, o con cualquier perfil público de la plataforma.

Figura 4: BootCamp en Ciberseguridad de 4Geeks

El temario, lo tienes disponible en la web del BootCamp en Ciberseguridad de 4Geeks y como ves toca temas de Administración, Hardening, Pentesting, Hacking, Privacidad, Ciberinteligencia, OSINT y certificaciones de ciberseguridad.

Figura 5: Temario del BootCamp en Ciberseguridad de 4Geeks

Así que, si te quieres formar desde cero con un programa agresivo y rápido, es decir, por la vía rápida, tienes este verano este BootCamp en Ciberseguridad de 4Geeks que da inicio el día 5 de Agosto y que puedes cursar en Ful-Remote. Eso sí, va a ser para ponerte bien las pilas.

Figura 6: BootCamp en Ciberseguridad con 4Geeks  en Full-Remote

Para cualquier duda de este programa, además de utilizar los formularios de la web del BootCamp en Ciberseguridad de 4Geeks, puedes contactar con Marco Gonzalo Gómez Pérez, que es uno de los fundadores de 4Geeks Academy España y te dirá qué es lo que te va a esperar allí.

Figura 7: Contactar con Marco Gonzalo Gómez Pérez

co-founder de 4Geeks Academy

Y nada más, que este verano puedes elegir cuando descansar, y cuando formarte. O cuando hackear tu futuro profesional. Yo pienso hacer de las tres cosas un poco, ya os contaré cómo.....

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

IPv6 Council Madrid 2024: Una charla sobre despliegue, seguridad y hacking en redes IPv6

Durante la pasada OpenExpo Europe 2024, donde cómo podéis ver sucedieron muchas cosas, como la presentación del libro de Hacking Web3: [New] Challenge Acepted! o la mesa de debate con INCIBE sobre el programa de capacitación en ciberseguridad para empresas, también participé en el IPv6 Council MeetUp que este año se realizó dentro de OpenExpo Europe 2024, y donde estuve con Carlos Ralli, Fran Gómez, o Rafa Sánchez, entre otros ponentes.

Figura 1: IPv6 Council Madrid 2024 - Una charla sobre

despliegue, seguridad y hacking en redes IPv6

La verdad es que estuvo todo superbien organizado y he de felicitar a estos tres compañeros de muchas batallas por su trabajo en empujar IPv6 en el mundo de la empresa, donde además ellos en primera persona llevan muchos años trabajando.

Figura 2: Contactar con Carlos Ralli Ucendo

Si quieres colaborar con ellos, puedes contactar con Carlos Ralli, Fran Gómez, o Rafa Sánchez, que todos ellos tiene su buzón en MyPublicinbox, y así ser parte de este movimiento que intenta empujar el uso de IPv6 para mejorar la seguridad de las redes que tenemos hoy en día.

Figura 3: [2024] Chema Alonso en el IPV6 Council

La sesión de preguntas y respuestas no está grabada entera, pero uno de los asistentes la grabó, y la he subido a mi canal youtube en dos formatos. El que tienes arriba por si la quieres ver la televisión en un monitor "horizontal", y el que te dejo al final del artículo por si la quieres ver en "vertical".

Figura 4: Contactar con Fran Gómez

Como os podéis imaginar, hablamos de este libro que escribimos para los que se adentran en este mundo del hacking y auditoría de redes IPv4 e IPv6 - que a veces se hace menos común para muchos jóvenes pentesters - y que va ya por la 4ª Edición.

Figura 5: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

El libro lo lanzamos inicialmente en Informática 64, y lo hemos ido actualizando periódicamente en 0xWord. Tiene mucho de ataques en redes IPv4, pero explica también lardo y detallado el funcionamiento de IPv6, que sigue siendo uno de los talones de Aquiles de muchos jóvenes que vienen a entrevistas de trabajo. Cuando les pido que me expliquen cómo se hace un ataque de man in the middle en IPv6 no todos están sueltos para explicarme las diferentes alternativas.

Figura 6: Índice del libro "Ataques en redes de datos IPv4&IPv6 (4ª Edición)" 

Aquí tienes el índice del libro de Ataques en redes de datos IPv4&IPv6 (4ª Edición), que además tiene 100 Tempos gratuitos en todas las compras que puedes utilizar para consultar dudas a través de MyPublicInbox, donde estamos Pablo González y yo. En esta edición he hecho un pequeño prólogo, y lo mejor es que los ataques de man in the middle siguen estando tan de actualidad como siempre, que aún seguimos jugando con el Network Packet Manipulation en muchos entornos...

Figura 7: Contactar con Rafa Sánchez

Por último, os dejo la grabación original en vertical, por si quieres ver la en un terminal móvil, aunque esto no es muy Generación X, pero si eres de la siguiente, todo tuyo.

Figura 8: [2024] Chema Alonso en el IPV6 Council [vertical]

Y eso es todo por hoy domingo que, recordad, hay un partido esta noche entre España e Inglaterra que sólo puede acabar de una manera posible...(esperamos).

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: Dos (o alguno más) "tips" de Privacidad y Seguridad para dificultar la vida a los (muy) malos

Hoy os quiero dejar un par de detalles de privacidad y seguridad en WhatsApp, que si los conoces genial, pero que si no los conoces te pueden ayudar. A ti y a los mayores, porque uno es para dificultar - que no limitar - la estafa de "Mamá, he perdido el móvil" usando llamadas con Voces Clonadas.

Figura 1: WhatsApp: Dos (o alguno más) "tips" de Privacidad y Seguridad

para dificultar la vida a los (muy) malos

Como sabéis, le damos mucha caña a la privacidad, la seguridad, los leaks y las weaknesses de WhatsApp, de las que os hablo muchas veces por el blog, y de las que incluso publicó un libro nuestro compañero Luis Márquez, titualdo "WhatsApp INT(elligence): OSINT en WhatsApp" en la editorial 0xWord.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

La primera de las opciones de privacidad está para reducir la superficie de exposición de WhatsApp a la hora de recibir llamadas por esta app. Ya os hablé de esto hace tiempo con Telegram, donde cualquiera que conociera tu "userid" podría hacerte de llamadas de voz, pero en el caso de WhatsApp es un poco similar, y mi recomendación es evitarlo.

Figura 3: Entra en Privacidad -> Llamadas y ahí podrás bloquear

las llamadas que no sean de contactos de la agenda.

Esta es una opción que, a los mayores que les quieran hacer la estafa de "Mamá, he perdido el móvil", les va a dificultar hacerlo, porque no van a poder llamar. Así que si se lo bloqueas a tus mayores, mejor que mejor. Que les llamen sólo las personas que estén en sus contactos.

Figura 4: Bloquea las llamadas de "no contactos"

El uso de voces clonadas se está empezando a usar masivamente, y en breve va a ser tan fácil, que lo vamos a ver casi cotidianamente, así que entra en Privacidad -> Llamadas y bloquea las que no sean de contactos de la agenda. Con esta opción, además te quitas los dialers automáticos y los que hayan comprado tu número de teléfono en plataformas de venta de datos.

Figura 5: Para evitar que se te desbloquee un contacto con un

Desbloquéame de WhatsApp con un grupo creado por un intermediario

configura que solo tus contactos te pueden agregar a grupos.

Esta opción de que no te llamen aquellos que no sean contactos, existe también para que no te agreguen a grupos de WhatsApp aquellos que no sean contactos, que permitía hacer el desbloqueo automático de cuentas bloqueadas usando un servicio intermedio, como fue nuestra PoC de "Desloquéame WhatsApp"

Figura 6: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Por último, dos configuraciones sencillas de privacidad para que averigüen donde estás por un enlace, algo que se ha utilizado muchas veces. Esto se ha logrado por medio de diferentes técnicas, de las que he hablado en el blog muchas veces:

• Conocer tu dirección IP por el preview de un enlace de WhatsApp
• Conocer tu dirección IP por hacer clic en un link (ejemplo de una canción de Spotify)
• Conocer tu dirección IP por hacer clic en un status de WhatsApp

En todos estos casos se puede conocer aproximadamente dónde te encuentras, y por eso en las opciones de Privacidad -> Avanzado, puedes deshabilitar esto ocultando las previsualizaciones y utilizando los servidores de WhatsApp como intermediarios.

Figura 7: Ocultar tu dirección IP en WhatsApp

De todas estas cosas yo he hablado muchas veces, y tienes la charla de WhatsApp Intelligence (WhatsINT) : Jugando con leaks, y el artículo de "¿Cuánto acierta tu dirección IP dónde vives o dónde estás?" para que tengas más información de todo esto.

Figura 8: WhatsApp Intelligence (WhatsINT): Jugando con Leaks

Por último, un par de notas más. Si quieres ver cómo un atacante puede automatizar todas estas estafas y ataques, te recomiendo el vídeo de la charla de (Web)ScrAPIficar & Weaponizar WhatsApp, y como segundo y último punto me encantaría que WhatsApp (y Telegram) permitiera también que no te enviaran menajes aquellas personas que no están en tus contactos.

Figura 9: (Web)ScrAPIficar & Weaponizar WhatsApp.

Y esto es todo lo que os quería contar hoy, unos pequeños tips de privacidad y seguridad, así como un refresco de cómo WhatsApp es una forma muy eficiente de atacar a las personas y a los empleados de las empresas. Tenlo presente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)