Xibo y la exposición "verbose" de la API de gestión

Xibo es una de las plataformas de Digital Signage más conocidas y utilizadas en entornos donde la gestión centralizada de contenidos resulta crítica. Desde un único panel de control, es posible definir qué se proyecta en pantallas distribuidas por aeropuertos, centros comerciales o estaciones de transporte. El sistema ofrece una solución flexible, con versiones comerciales y también en modalidad Open Source, lo que ha favorecido su adopción en múltiples organizaciones a nivel internacional.

Figura 1: Xibo y la exposición "verbose" de la API de gestión

Desde la perspectiva de la seguridad, hay un aspecto especialmente relevante: la exposición pública de la documentación de la API del sistema, habitualmente accesible en el archivo swagger.json. Este recurso, diseñado para facilitar la integración y el trabajo de desarrolladores, describe de manera exhaustiva todos los endpoints disponibles, los parámetros que aceptan y las operaciones que permiten ejecutar.

Figura 2: Fichero swagger.json con la exposición de la API.

Lo que en un entorno de desarrollo representa una ventaja, en producción se convierte en un riesgo. Publicar la especificación de la API equivale a entregar un mapa completo de la superficie de ataque, reduciendo el esfuerzo de reconocimiento de cualquier adversario. No se trata de una simple fuga de información, sino de un manual detallado sobre cómo interactuar con el sistema, incluyendo operaciones críticas como importación y exportación de datos o conectores remotos.

Fase de descubrimiento

El primer paso para evaluar la magnitud del problema consiste en identificar instancias de Xibo expuestas en Internet haciendo un poco de Hacking con Buscadores. Para ello, basta con aprovechar que la página de inicio del CMS utiliza un título característico: “Xibo Digital Signage”

Figura 3: Libro de "Hacking con Buscadores: Google, Bing & Shodan + Robtex"

de Enrique Rando, publicado en 0xWord.

Mediante búsquedas específicas en Google (Google Dorks) es posible localizar rápidamente servidores que ejecutan Xibo. Por ejemplo: 

site:org intitle:"Xibo Digital Signage - Please Login"

Figura 4: Resultados de búsquedas con las URL de

sistemas Xibo accesibles desde Internet.

Estos operadores revelan instalaciones accesibles desde Internet que, en muchos casos, conservan configuraciones por defecto. A partir de aquí, un atacante podría comprobar si estas instancias publican también su documentación de API (/swagger.json, /swagger-ui/, /openapi.json). Esta fase de descubrimiento demuestra que no se trata de un caso aislado, sino de una práctica extendida que multiplica la superficie de exposición de un sistema en producción.

Descubrimiento de la documentación de la API

Una vez localizadas instancias de Xibo accesibles desde Internet, el siguiente paso en la auditoría consiste en comprobar si exponen públicamente la especificación de su API. Esta tarea resulta sencilla porque muchas instalaciones mantienen la documentación en rutas predecibles. Basta con probar accesos directos a:

https://[dominio]/swagger.json

o bien visitar:

https://[dominio]/swagger-ui/

https://[dominio]/openapi.json

para descubrir si el servidor devuelve la definición completa de la API en formato JSON o incluso una interfaz interactiva de Swagger. Desde el punto de vista de un auditor, o de un atacante, este paso representa un salto importante: se pasa de conocer únicamente que existe un CMS Xibo en la red, a disponer de un inventario detallado de todos los endpoints disponibles, sus métodos, parámetros y tipos de datos. En otras palabras, el sistema ofrece voluntariamente un mapa completo de su superficie de ataque.

Riesgos y escenarios de explotación

La exposición del fichero swagger.json en un entorno de producción abre la puerta a escenarios de explotación que, de otra manera, requerirían un esfuerzo mayor de reconocimiento. A continuación se presentan algunos de los riesgos más relevantes detectados en la especificación de Xibo:

• Exfiltración de información

Algunos endpoints permiten descargar conjuntos de datos completos en formato CSV como el siguiente ejemplo encontrado.

• GET /api/dataset/export/csv/{dataSetId}

En un escenario sin autenticación estricta o con permisos mal configurados, un atacante podría utilizar esta función para extraer información sensible de manera directa y silenciosa.

• Manipulación mediante cargas de ficheros

La API incorpora rutas de importación que aceptan ficheros de carga en formato CSV, como el siguiente localizado:

• POST /api/dataset/import/{dataSetId}

Si las validaciones son insuficientes, existe la posibilidad de introducir contenido malicioso, abusar del tamaño de los ficheros para provocar denegaciones de servicio o manipular la lógica de importación de datos para corromper el sistema.

• Server-Side Request Forgery (SSRF)

Algunos endpoints permiten enviar parámetros como uri, method, customHeaders o postData. En un backend sin controles, estos campos pueden usarse para forzar al servidor a realizar peticiones hacia recursos internos o servicios protegidos, generando un escenario de SSRF con implicaciones graves, como el acceso a metadatos de nube o la enumeración de sistemas internos.

Figura 5: Hacking Web Applications: Client-Side Attacks
de Enrique Rando en 0xWord

También es posible usarlo para actividades de Reconocimiento Avanzado, ya que incluso rutas aparentemente inocuas como /api/clock proporcionan valor para un atacante, ya que permiten confirmar disponibilidad, medir latencia y establecer un punto de control para sincronizar ataques automatizados.

Reflexión final

El caso de la exposición del fichero swagger.json en Xibo constituye un ejemplo representativo de un problema recurrente en el ámbito de la seguridad: la confusión entre facilitar la integración y garantizar la protección en entornos de producción. La documentación automática de la API resulta una herramienta de gran utilidad durante el desarrollo, pero en un despliegue abierto al público se convierte en un vector de riesgo que simplifica de forma notable las tareas de reconocimiento y ataque.

La cuestión no radica en la validez de la tecnología empleada, sino en las decisiones de configuración y despliegue adoptadas. La frontera entre la usabilidad y la exposición es sumamente estrecha, y basta una omisión, como la publicación inadvertida de un fichero de especificación, para que dicha frontera se diluya. En este sentido, el caso de Xibo debe entenderse como una llamada de atención: la seguridad no debe ser un aspecto accesorio, sino un criterio rector en cada fase del ciclo de vida de un sistema.

Saludos,

Autor: Amador Aparicio,  escritor de los libros “Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun!” y "Hacking Web Technologies 2ª Edición"  y Miembro del Grupo de Investigación en Ingeniería de la Privacidad del Departamento de Informática de la Universidad de Valladolid.

 Contactar con Amador Aparicio en MyPublicInbox

Exprimir el Secure Edge: Webinars de Cloudflare en Directo durante Septiembre

El calendario de actividades de divulgación tecnológica es alto en Cloudflare, y una de estas actividades son los Webinars en directo. Cada mes puedes participar en nuevos seminarios que además incluyen las novedades de todo lo que se va publicando en el modelo de Innovación Continua que defiende y practica la compañía.

Figura 1: Exprimir el Secure Edge - Webinars de Cloudflare

en Directo durante Septiembre

Hoy os traigo la lista de los que están planificados para este mes de Septiembre, para que si tienes tiempo, puedas participar en alguno de ellos que si te interesa el mundo de las tecnologías de seguridad en el Edge y los sistemas de Zero Trust en arquitecturas de Secure Access Service Edge (SASE), seguro que lo vas a disfrutar.

Todos los Webinars en Septiembre

09: From Robotics to Remote Access: Implementing Zero Trust in an Era of Evolving Threats

"Retailers are juggling managing vast amounts of customer data, payment information, and supply chain networks across multiple locations and platforms, traditional perimeter-based security models are proving inadequate against sophisticated cyber threats.Join us for our webinar featuring Ocado Group's Technical Architect as he shares their real-world Zero Trust Network Access (ZTNA) deployment journey. 

Figura 2: From Robotics to Remote Access: Implementing

Zero Trust in an Era of Evolving Threats

From securing robotic warehouse systems and customer fulfilment platforms to protecting proprietary technology solutions and sophisticated automation, discover how Ocado Group implemented Zero Trust principles across their entire technology ecosystem."

10: 3 phases, 10 steps: Implementing a SASE architecture

"Cloudflare experts will walk you through a proven 10-step roadmap to successfully implement SASE across your organization. Drawing from real-world customer examples, we’ll explore how leading enterprises are scoping their Zero Trust projects, overcoming common roadblocks, and unlocking measurable improvements in agility and security."

Figura 3:  3 phases, 10 steps: Implementing a SASE architecture

10: Securing and scaling your cloud environment to support AI transformation

"Even the most innovative and well-built AI application won’t succeed if it lacks the right underlying cloud infrastructure. The right foundation enables strong data security, efficient connectivity between AI components, and cost-effective scale. The wrong one turns those same benefits into obstacles. This is doubly true for agentic AI, whose complexity introduces a whole new realm of security and scalability issues.

Figura 4: Securing and scaling your cloud environment to support AI transformation

How should organizations adapt their cloud environments to support AI scale and security — whether they have already made cloud investments, or are turning to the cloud for the first time? Forrester guest speaker Lee Sustar has extensive experience advising enterprises on exactly that question. Join our webinar to learn about: Common trends and challenges in how organizations make AI-focused cloud investments Lee’s advice for organizations tackling these challenges Cloudflare’s perspective on how a commodity cloud vs a connectivity cloud delivers competitive advantage with AI scaling."

17: Modernizing Security: Real World Stories of Zero Trust in Action

"Employees, applications, and infrastructure exist everywhere today – across regions, cloud environments, and hybrid work settings. To manage this sprawling attack surface, many organizations are modernizing security with Zero Trust best practices to reduce risk, simplify their architectures, and enable business agility.

Figura 5: Modernizing Security: Real World Stories of Zero Trust in Action

In this webinar series, Cloudflare spotlights customers making progress on that journey. Register now to join a conversation exploring successful real-world deployments, including:Priority use cases to get started and scale with Zero TrustCommon challenges and best practices to overcome themArchitectural strategies and technical capabilities, including roadmap previews."

18: Temporada alta de fin de año 2025: Maximiza ingresos y minimiza riesgos.

"¿Está tu infraestructura digital lista para afrontar la temporada alta de ventas de fin de año 2025 y el aumento de ciber-amenazas?Únete a nuestros expertos de Cloudflare para conocer cómo fortalecer la resiliencia digital de tu negocio durante la época más exigente del comercio minorista.Compartiremos estrategias prácticas para retailers que se están preparando para los picos de tráfico del Buen Fin, Black Friday, Cyber Monday y la temporada navideña, en un contexto donde las amenazas evolucionan constantemente: desde ransomware que impacta operaciones e inventarios, hasta ataques dirigidos a APIs o páginas de pago.En esta sesión de alto impacto te mostraremos cómo proteger tus ingresos, reducir riesgos y asegurar una experiencia de compra fluida durante tus días más críticos.

Figura 6: Temporada alta de fin de año 2025: Maximiza ingresos y minimiza riesgos

Aprenderás cómo:Escalar sin fricción durante aumentos repentinos de visitas, donde cada segundo cuenta para convertirDefenderte de bots avanzados, ransomware y ataques DDoS que apuntan a los días de mayores ventasEvitar fraude digital, robo de datos de pago y abuso de APIs en plataformas de checkout, inventario y logísticaImplementar estrategias tecnológicas que prioricen al comprador real y aseguren la información del cliente."

30: How Cloudflare can coexist alongside Zscaler to fast-track your remote access project

"Are you worried about doubling down with the wrong security vendor? Maybe you are using one vendor (like Zscaler) for web inspections, but the thought of a full-scale SASE rollout seems overwhelming, complex, and disruptive. The good news is you can start modernizing remote access immediately, without those concerns.Join this webinar to discover how Cloudflare can strengthen and simplify security, while coexisting seamlessly alongside your web proxy from vendors like Zscaler.

Figura 7:  How Cloudflare can coexist alongside Zscaler

to fast-track your remote access project

In particular, our experts will show how to take advantage of clientless deployments of ZTNA, DNS filtering, and email security to improve your posture — all without installing additional software on devices.With demos, architectural walkthroughs, and real-world customer examples, you will learn:Use cases that deliver quick time-to-value with minimal disruptionStep-by-step technical guidance to run Cloudflare in parallel with Zscaler Recommendations on when a best-of-breed approach makes sense."

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Identidades NO Humanas (NHI "Non-Human Identities"): La Gestión de un Riesgo de Seguridad Emergente

Las Identidades No Humanas o Non Human identities (NHI) están últimamente en boca de todos los profesionales de la seguridad de la información y la ciberseguridad que centran su profesión en la gestión de Identidades Digitales. Es cierto que en este mundo Post-Covid, donde se produjo una proliferación del trabajo desde cualquier lugar, utilizando cualquier dispositivo (Anywhere and Anydevice) trajo asociado, en muchos casos, la eliminación del perímetro de red como capa de protección, al igual que las medidas de seguridad a nivel de puesto de trabajo.

Figura 1: Identidades NO Humanas (NHI "Non-Human Identities").

La Gestión de un Riesgo de Seguridad Emergente

Todo esto se produjo gracias a que se comenzó a fomentar que los usuarios se pudieran conectar desde cualquier dispositivo y desde cualquier ubicación. Ee esta manera la identidad, y más concretamente la seguridad en la identidad, pasa a ser el nuevo perímetro, la capa principal y, en muchas casos, única donde puedes poner medidas de seguridad ya que no hay control del dispositivo o la red de conexión desde la que el empleado se conecta.

La mayoría de las empresas entendieron muy pronto este desafío de seguridad y se pusieron manos a la obra implementando medidas de seguridad focalizadas en la protección de la identidad de los usuarios que consumían sus aplicaciones o servicios digitales, donde implementando un factor de autenticación robusto en la autenticación, como pueden ser los basados en Push notificaciones en dispositivos móviles, los basados en Biometría o incluso optando por Passkeys o Yubikeys para obtener una seguridad adicional y eliminar las passwords ya conseguías protegerte en gran medida.

Figura 2: Las Yubikeys

Adicionalmente, si esto lo combinabas con un sistema de “Unknown login location” simplemente geolocalizando la dirección IP pública desde la que los usuarios consumen los servicios digitales, y respondiendo con una verificación de la legitimidad cuando los usuarios intentan conectar de localizaciones que varían significativamente de las habituales, entonces ya estarías gestionando y controlando bastante bien el uso de las identidades digitales, al menos en lo que al proceso de autenticación se refiere.

Identidades No Humanas

Fenomenal, con lo que hemos explicado brevemente en la parte superior entendemos a grandes rasgos el paradigma de gestión las identidades digitales de los empleados (Humanos) que consumen los servicios digitales de nuestra organización. ¿Pero qué pasa con las Identidades No Humanas? O, mejor dicho, ¿Qué son las identidades no Humanas? ¿Por qué son importantes? ¿Hay algún motivo que nos haga pensar que el riesgo relacionado con las mismas está en aumento? 

Pues bien, a estas preguntas intentaremos darlas respuesta en este artículo y así clarificar igualmente si la gestión de las Identidades no Humanas (NHI) es simplemente una moda potenciada por los equipos marketing de los diferentes fabricantes de software de identidad que quieren subirse a este barco, o por el contrario es un riesgo emergente sobre el cual deberíamos empezar a actuar si aún no lo hemos hecho.

¿Qué son las Identidades No Humanas?

Empecemos explicando qué se entiende como una Identidad No Humana, donde de una manera muy simplista podemos definirla como toda aquella identidad que ejecuta una carga de trabajo y/o existe en un directorio de identidades pero que no está relacionado con una persona física (Humana). De esta manera, y desglosando un poco más, entendemos como Identidades No Humanas todas aquellas relacionadas con máquinas y dispositivos, como servidores, contenedores, estaciones de trabajo, dispositivos móviles, dispositivos de OT, dispositivos IOT, etcetera.

A estas hay que sumar todas las identidades relacionadas con cargas de trabajo de software, como cuentas de servicio, APIS, cuentas de conexión a Bases de Datos o Aplicaciones utilizadas por software, cuentas de ejecución de scripts, Robotic Process Automation (RPA), Chatbots, Agentes AI basados en LLMs., y un largo etcétera de cuentas que antes simplemente llamábamos "Cuentas de Servicios" y que ahora se están multiplicando por doquier, y empiezan a ser manejadas por modelos de Inteligencia Artificial o directamente Robots o Humanos Digitales, haciendo muchas más funciones y actividades que lo que haría un simple "servicio".

Por lo tanto, tenemos una gran variedad en cuanto a su tipología y que además se ha incrementado significativamente en los últimos años, donde hemos pasado de tener la sorprendente proporción de 1 Identidad Humana por cada 10 Identidades No Humanas, que era la figura que reportaban los analistas en 2020, a una proporción de 1 Identidad Humana por cada 50 Identidades No Humanas en 2025. Donde a día de hoy, incluso ciertos analistas consideran que la figura puede ser mayor y en algunos casos la proporciona se reporta como 1 Identidad Humana por cada 80 Identidades No Humanas.

Figura 3: Datos del "2025 Identity Security Landscape de CyberARK"

Tras observar la tendencia creciente en la proporción de Identidades Humanas versus Identidades No Humanas, y por lo tanto la necesidad de gestionar y proteger cada vez más identidades no humanas, procedamos dar respuesta a la segunda de nuestras preguntas.  

¿Por qué son importantes las Identidades No Humanas?

Son importantes porque en la mayoría de los casos tienen un nivel de privilegios alto y porque la gestión de las mismas no siempre es la ideal, pensemos simplemente si en algún caso tenemos una cuenta de servicio en nuestro directorio activo donde las credenciales llevan tiempo sin rotarse o si tenemos alguna API configurada para su acceso con un Clientid + Secret y si los mismos están o han podido estar "hardcodeados" en algún código, seguro que todos tenemos casos y estoo sin querer meternos en la gestión de los agente de IA que hacen uso de las tools mediante MCP Servers o escenarios más novedosos y de los que somos menos conscientes y por lo tanto tenemos menos sistemas protección, detección respuesta.

¿Está aumentando el riesgo asociado a las Identidades No Humanas?

Una vez hemos llegado a este punto estaremos en posición de determinar si el riesgo con la Identidades No Humanas está en aumento, donde teniendo en cuenta su incremento exponencial en las empresas y organizaciones, combinado con que en muchos casos la identidad es la única capa de seguridad que se dispone, que además estas NHI suelen privilegiadas, y que no se cuenta en la mayoría de los casos con herramientas o sistemas que permitan tener un monitorización y/o trazabilidad del uso y comportamientos de ellas, podemos fácilmente afirmar que las Identidades No Humanas y especialmente aquellas que tengan unos privilegios más altos, representan un botín más grande sin son comprometidas y son un objetivo claro y en aumento para cibercriminales.

Figura 4: Ciberataque contra Dropbox Sign en Incibe

Hoy en día ya se conocen públicamente graves incidentes de seguridad que de una manera u otra están relacionadas con la gestión - o errores en esta mejor dicho - de las Identidades No Humanas, como por ejemplo el incidente  de seguridad que sufrió Beyondtrust con la API Key que usaba para varios clientes en software de soporte remoto o el incidente de seguridad con el servicio Dropbox sign tras ser comprometida una cuenta de servicio y sobre el cual el propio Incibe hacía eco.

Conclusiones sobre Identidades No Humanas

Concluimos pues que la gestión de las Identidades No Humanas no es simplemente una moda. Es realmente es un riesgo de seguridad de emergente que muy probablemente ira apareciendo como un riesgo residual, con un riesgo residual cada más alto en los análisis de riesgos de todo tipo de compañías si no se empiezan a implementar controles mitigantes, donde la acciones que deberíamos empezar a plantearnos desde ya para las Identidades No Humanas deberían ser:

• Descubrir: Para poder gestionar o realizar cualquier otra acción primero debemos conocer nuestras identidades no humanas y esto no es una tarea sencilla

• Inventariar y clasificar: Debemos al menos ser capaces de asignar un propietario de cada identidad no humana, así como distinguir las privilegiadas de las no privilegiadas

• Gestionar el ciclo de vida: Por supuesto asegurando la terminación de las identidades no humanas que ya no son necesarias, la creación de nuevas identidades siguiendo las fases pertinentes de aprobación y con un propietario asignado, e idealmente realizando una revisión de privilegios o permisos de manera periódica, idealmente cada 6 meses

• Gestión de credenciales: Aquí deberíamos tener en cuenta el rotado de credenciales, el cifrado, el almacenamiento de la mismas en vaults de secretos cuando proceda, así como evitar que los secretos estén en repositorios de código o similar donde puedan ser accedidos sin mayores controles.

Una vez que tengamos estos cuatro puntos conseguidos o medio conseguidos, ya podríamos pensar en escenarios más avanzados como la detección de anomalías de uso de Identidades No Humanas o la protección en tiempo real de las mismas.

Saludos,

Autor: Samuel López Trenado, especialista en Gestión de Identidades Digitales

Contactar con Samuel López Trenado

Webinars de Cloudflare en directo en Agosto: Edge Security, Threat Intelligence, Post-Quantum Cryptography & AI Security

Hoy viernes, quince de Agosto, donde supongo que casi todos estaréis de una forma un otra de vacaciones, os voy a dejar la referencia a seis webinars de tecnologías de Cloudflare que yo me he apuntado en mi agenda personal para aprender sobre cómo sacar el máximo partido de las capacidades de Secure Edge Computing para tener conectividad a través de los nodos del Edge, capacidades de seguridad desde el Edge o aceleración de aplicaciones

Figura 1: Webinars de Cloudflare en directo en Agosto. Edge Security,

Threat Intelligence, Post-Quantum Cryptography& AI Security

Son webinars todos ellos que se impartirán las próximas dos semanas de Agosto, a través de Internet y gratuitos y que hablan de Post-Quamtum Cryptography, de Threat Intelligence, de AI Security, AI Labirynth, Cloudflare Radar, del nuevo servicio de Pay Per Crawl o de Moderm Apps on the Edge. Os los dejo por si os encaja poder asistir, que yo voy a intentar asistir también a algunos de ellos, que ya sabéis que estoy en periodo de absorción y aprendizaje.

20 de Agosto: Building a multi-platform data strategy with Cloudflare R2 [Inglés]

Este webinar explica cómo utilizar Cloudflare R2, el servicio de Storage conectado al Edge para la construcción de aplicaciones con alto rendimiento en todo el mundo. Será por la tarde, a las 18:00 CEST, y el registro es totalmente gratuido.

Figura 2: Building a multi-platform data strategy with Clouflare R2

21 de Agosto: Protege tus Data Centers Frente a Ciberataques Actuales [Español]

El día siguiente, tenemos un webinar impartido por nuestra compañera Sandra Muñoz, Threat Advisor, Solutions Engineering en Cloudflare y que desde México impartirá este seminario para ver cómo proteger las conexiones de los Data Centers a Internet con las tecnologías de seguridad en el Edge.

Figura 3: Protege tus Data Centers frente a ciberataques actuales

Para asistir, lo único que debes hacer es registrarte y tener tu sitio guardado, y así le puedes preguntar a  nuestra compañera Sandra todo lo que necesites sobre las tecnologías de Cloudflare.

27 de Agosto: Future-Proof Your Digital Strategy in the AI Era [Inglés]

Este seminario está centrado en el mundo de la Inteligencia Artificial en los servicios digitales, y las herramientas de control y seguridad. Aquí el equipo hablará de AI Audit, para tener observabilidad de lo que hacen los AI Crawlers en tus assets de Internet, pero también del servicio de AI Labirynth y de AI Firewall, para proteger los MCPs de ataques y tener control para evitar abusos.

Figura 4: Future-Proof Your Digital Strategy in the AI Era

Todo esto, además con un análisis de la situación con Cloudflare Radar y el nuevo servicio de Pay Per Crawl que se ha lanzado hace poco en la compañía. Desde luego, un seminario más que necesario para los que trabajamos en ciberseguridad por todo lo que nos impacta el mundo de la IA.

28 de Agosto: Simplifying and Securing Developer Secrets for Modern Teams [Inglés]

Una sesión de seguridad sobre fortificación de sistemas, en este caso para gestionar a nivel corporativo API Keys, Certificados, Passwords, Tokens de Acceso con Cloudflare Secret Store. Será el mismo día que el anterior seminario.

Figura 5: Simplifying and Securing Developer Secrets for Moderm Teams

28 de Agosto: Securing Finance in the Quantum Age: A Post-Quantum Cryptography Blueprint [Inglés]

Aunque esté seminario está centrado en el vertical de finanzas, el tema es aplicable para todas las industrias. Se centra en hablar de la importancia de utilizar Post-Quantum Cryptography para preparar las apps y servicios digitales para el futuro. 

Figura 6: Securing Finance in the Quantum Age -

 A Post-Quantum Cryptography Blueprint

El seminario será en directo, así que si quieres preguntar cosas concretas sobre el mundo del PQC, este seminario es un sitio perfecto.

28 de Agosto: From Complexity to Simplicity: An Advanced Framework for Enterprise Network Modernization [Inglés]

Y el último webinar del mes de Agosto, sobre cómo utilizar las soluciones de gestión de conectividad usando la infraestructura de Egde Computing que tiene Cloudflare para gestionar aceleración de apps, conectividad por el borde y seguridad en un único punto de control. Este tipo de soluciones es perfecto para empresas deslocalizadas y/o con trabajadores remotos.

Figura 7: From Complexity to Simplicity - An Advanced

Framework for Enterprise Network Modernization

Y esto es todo por ahora, que ya os contaré los de Septiembre más adelante, pero si quieres conocer las tecnologías de Cloudflare para fortificar empresas desde la infraestructura de nodos de cómputo conectados en 125 países y 330 ciudades, estos son perfectos para ir comenzando poco a poco. 

Figura 8: Posiciones abiertas para trabajar en Cloudflare

Aprovecho para recordarte que la empresa está en pleno crecimiento, así que si quieres trabajar con nosotros, ya sabes que tienes las vacantes abiertas en la web: Posiciones abiertas para trabajar en Cloudflare. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Entrevista a Manuel S. Lemos: Hacking & Seguridad IA & OWASP GenAI Security Project

El mundo de la Inteligencia Artificial, y en concreto de la GenAI, ha traído un cambio brutal en el mundo empresarial, social y tecnológico. En concreto, los profesionales de Ciberseguridad hemos tenido que aprender nuevos conceptos, nuevas herramientas, nuevas metodologías de trabajo totalmente diferentes a cómo eran antes.

Figura 1: Entrevista a Manuel S. Lemos. 

Hacking & Seguridad IA & OWASP GenAI Security Project

Un de los proyectos que más impacto están teniendo en este cambio dentro de nuestra profesión es el OWASP GenAI Security Project, que ha desarrollado la guía de OWASP Top 10 for LLM Applications, además de una visión 360º de la seguridad, con herramientas para Blue Team y para Red Team.

Figura 2: OWASP GenAI Security Project

Uno de los profesionales que lleva años metido en este mundo, y que colabora como contribuidor de estos proyectos es Manuel Salvador Lemos Foncubierta, que además es CTO de Sincrolab, donde utilizan IA generativa para personalizar tratamientos neuropsicológicos, y está lanzando el proyecto de BeHumansX, una nueva startup enfocada en ayudar a organizaciones a integrar IA de forma segura, humana y responsable, con foco en Humanos Sintéticos y Ciberseguridad. 

Figura 3: Contactar con Manuel S. Lemos

Como estos temas son de total actualidad, y a mí me interesan muchísimo - ya lo sabéis si leéis este blog - le he hecho esta entrevista donde como veréis nos cuenta muchas cosas interesantes si te interesa este tema para hacer cosas. Aquí os la dejo, y si queréis contactar con él, ya sabéis que tiene su buzón en MyPublicInbox: Contactar con Manuel S. Lemos 

1.- Manuel, la primera pregunta es para los pentesters… ¿cómo utilizas tú la IA para hacer hacking?

En mi caso, más que usar la IA para hacer hacking, lo que hago es auditar sistemas que usan IA, que es otro mundo completamente distinto. Cuando una empresa mete un LLM en producción, suele asumir que es "inteligente" y, por tanto, "seguro". Pero no. Todo lo contrario.

Mi trabajo está en romper esa ilusión de seguridad, buscando cosas como prompt injection, data leakage por entrenamiento mal controlado, o fallos de diseño en arquitecturas tipo RAG o agentes autónomos. Me he encontrado con sistemas que, con una frase bien puesta, te devuelven información sensible, o modelos que puedes convencer para que se comporten de forma completamente opuesta a lo que esperan sus creadores.

Auditar IA no va solo de ver qué hace el modelo, sino de entender cómo y por qué responde lo que responde. Es un pentesting más lingüístico, más semántico, pero igual de peligroso.

2.- ¿Qué problemas de seguridad te has encontrado en servicios y aplicaciones diseñadas con GenAI o con LLMs?

El primero y más frecuente: subestimar el input del usuario. Muchos sistemas permiten que el usuario introduzca instrucciones dentro de una conversación sin hacer sanitization ni validación de contexto, y eso abre la puerta a todo tipo de ataques por prompt injection.

También he visto casos de fugas de información aprendida, sobre todo en modelos que seguían entrenando con inputs reales sin anonimizar. Hay sistemas conversacionales que, si los aprietas un poco, te sueltan nombres, correos o incluso respuestas que vienen de otros usuarios.

Otro clásico es usar un LLM como intermediario en una arquitectura, confiando en que “hará lo correcto”, cuando en realidad puede ser manipulado si no se le da suficiente contexto o si se usa mal el memory window.

3.- Con la llegada de los Agentic AI… ¿cuáles van a ser los principales problemas de seguridad que tú ves?

El problema no es que un agente autónomo tenga malas intenciones. Es que optimiza lo que le dices, no lo que querías decir. Si le dices que consiga usuarios, puede acabar scrapeando la web entera, haciendo spam o incluso aprovechando vulnerabilidades si eso le acerca al objetivo.

Además, los agentes tienen algo muy peligroso: persistencia y autonomía multistep. Pueden planificar, ejecutar y adaptarse, todo sin que tú intervengas. Si uno de estos falla o es manipulado, no es solo un fallo de lógica: puede convertirse en una amenaza activa dentro de tu infraestructura.

Y lo peor: muchos no tienen ni trazabilidad, ni control de permisos, ni aislamiento. Así que sí, los Agentic AI son una revolución… pero también un terreno muy delicado en seguridad.

4.- Llevas desde el principio haciendo Prompt Engineering… ¿cuáles son tus Prompts favoritos para hacer hacking o pentesting?

Me gusta usar prompts que cambian el rol del modelo, como:

“Eres un auditor experto en ciberseguridad ofensiva. Tu tarea es analizar este código o arquitectura en busca de fallos críticos.”

O este otro, para simular ataques:

“Simula que eres un atacante con acceso limitado a este sistema. ¿Qué pasos tomarías para escalar privilegios o extraer datos?”

También juego mucho con prompts encadenados que generan análisis, luego documentación técnica y finalmente recomendaciones automatizadas. Sirve para acelerar mucho las auditorías, sobre todo las iniciales.

5.- Con la eclosión de la IA, hemos visto de todo… ¿qué herramientas o plataformas son un “must” para ti ahora mismo?

Ahora mismo tengo varios “indispensables” que uso a diario, dependiendo del tipo de proyecto:

• Ollama: para correr modelos en local con una facilidad brutal. Es perfecta para hacer pruebas rápidas sin depender de servicios externos ni exponer datos sensibles. Ideal cuando necesitas prototipar o trabajar offline con control total del entorno.

• vLLM: si vas a escalar, es clave. Ofrece un rendimiento altísimo para servir modelos grandes, y su eficiencia en token throughput marca la diferencia. Me ha salvado en más de un despliegue cuando se busca latencia mínima y concurrencia real.

• LangChain: sigue siendo el estándar para orquestar flujos conversacionales complejos. Lo uso sobre todo cuando necesito combinar memoria, herramientas externas, funciones y control de flujo entre agentes. Tiene mucho hype, pero sigue cumpliendo.

• Flowise: para mí es el no-code backend de LangChain. Lo uso muchísimo para montar demos visuales o validar rápidamente pipelines RAG. Lo bueno es que puedes prototipar en minutos y luego convertirlo en algo serio.

• N8N: imprescindible cuando necesitas automatización entre sistemas. Lo estoy usando cada vez más en integraciones entre LLMs y CRMs, dashboards, APIs internas… y ahora con los nodos de IA que tiene, es casi una navaja suiza.

• LangWatch: esta herramienta debería ser obligatoria en cualquier entorno de producción. Te permite hacer observabilidad real de lo que hace un modelo: qué responde, por qué lo hizo, qué inputs llegaron, etcétera. Sin eso, estás a ciegas en producción.

• CodeGPT: para desarrollo asistido con IA, sigue siendo mi copiloto de confianza. Me gusta porque es ligero, funciona bien en entornos locales, y puedes configurarlo según tu stack y estilo. Lo uso especialmente para generar tests y refactorizar.

Y por supuesto, el proyecto OWASP Top 10 for LLMs, que es obligatorio leer para cualquier técnico que trabaje con IA.

6.- ¿Estás ahora en algún proyecto personal relacionado con Inteligencia Artificial?

Sí, estoy con BeHumansX, una startup que acabo de lanzar centrada en integrar IA en organizaciones de forma ética y segura. Uno de nuestros enfoques es crear Humanos Sintéticos, asistentes conversacionales con identidad propia, personalizados, seguros y trazables. La otra línea es ciberseguridad aplicada a sistemas IA, desde auditorías hasta gobernanza.

También sigo en Sincrolab, donde usamos IA generativa para personalizar entrenamientos cognitivos en pacientes con TDAH, daño cerebral o Alzheimer. Es un reto porque ahí la IA no puede fallar: no estás optimizando clics, estás afectando vidas.

Y por último, hago consultorias y formación a startups para que consigan las mejores practicas a la hora de construir y monetizar un producto realizado con IA y que la organización se convierta en una “AI-First”

7.- Ahora estás colaborando en OWASP… ¿qué proyectos deberían seguir quienes se interesen por la IA y la ciberseguridad?

Lo principal es el OWASP Top 10 for LLM Applications, que recopila los principales riesgos de seguridad en entornos basados en modelos de lenguaje. Es una lectura imprescindible.

Figura 4: OWASP Top 10 for LLM Applications

También recomiendo seguir de cerca iniciativas como el Prompt Injection Database o el naciente AI Exploits Framework, que están documentando casos reales de ataques y fallos en modelos de IA.

8.- ¿La IA nos va a llevar a un futuro mejor o al fin de la humanidad estilo Hollywood?

La IA es una tecnología amplificadora. Si se usa mal, puede acelerar desigualdades, vigilancia o manipulación masiva. Pero si se usa bien, puede democratizar el acceso al conocimiento, la salud y la creatividad.

El problema no es la IA, sino quién la entrena (o manda a entrenar), con qué datos y con qué objetivos. Si solo la dominan unos pocos, ya sabes cómo acaba la historia. Y por eso son tan fan de los modelos open.

9.- La Primera Guerra Mundial fue de gases y trincheras. La Segunda, de tanques y bombas. ¿Será la Tercera la de la IA?

Ya lo es. Pero es una guerra invisible. No hay trincheras, hay timelines. No hay bombas, hay deepfakes, campañas de desinformación, bots y manipulación algorítmica. Lo peligroso es que muchos ni siquiera saben que están en medio de ese conflicto.

10.- Para acabar con algo positivo… ¿tendremos un mundo más seguro o más inseguro con la IA?

A corto plazo, más inseguro. Toda tecnología nueva desestabiliza al principio. Pero si evolucionamos la defensa con la misma rapidez —o más— que la ofensiva, podemos llegar a un punto donde los sistemas sean más robustos, más resilientes y más éticos.

El reto es construir IA gobernada, trazable y explicable. Si lo conseguimos, será una de las mayores herramientas de seguridad (y en general) de nuestra era.

11.- ¿Cuál ha sido el fallo más inesperado que has encontrado en un sistema con IA?

Una plataforma de atención al cliente con un LLM fine-tuneado con conversaciones reales. El problema es que no se anonimizaron bien los datos y el modelo, bajo ciertas preguntas, acababa devolviendo fragmentos de otras conversaciones… con nombres, correos y hasta IBANs. Era como un data leak en diferido, pero generado. De lo más peligroso que he visto.

A muchas empresas les interesa subirse al carro de la IA, pero no saben por dónde empezar. Cuando te toca acompañar a equipos técnicos o directivos en ese proceso… ¿por dónde sueles empezar tú?

Lo primero es escuchar. No todas las empresas necesitan un chatbot ni un copiloto; muchas veces tienen problemas más estructurales: datos desordenados, procesos manuales o decisiones que se toman sin trazabilidad. La IA puede ayudar, pero no es magia.

Suelo empezar por detectar qué parte del proceso aporta más valor si se automatiza o potencia con IA. A veces es algo tan sencillo como clasificar tickets, otras es rediseñar cómo toman decisiones usando información en tiempo real.

Y algo importante: formar a los equipos desde el principio. No sirve de nada montar un modelo espectacular si nadie sabe usarlo o interpretarlo. Por eso trabajo mucho en acompañar tanto a perfiles técnicos como a negocio, para que entiendan lo que están usando, sus límites, y sobre todo, sus riesgos.

La clave no es implementar IA, sino hacerla sostenible y útil en el día a día.

PD: Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cloudflare Radar: Open (Security & Network) Data para CERTs & CSIRTs

La empresa Cloudflare tiene disponible para todos los equipos de seguridad, especialmente para los CERTs y los CSIRTs, el servicio Cloudflare RADAR de datos abiertos sobre lo que está pasando en su red y en sus servicios de seguridad, y te permite tener una visión de lo que está pasando en la seguridad de Internet desde sus servicios, lo que complementa la información que tengas desde otras fuentes de datos. Al final, la colaboración y la compartición de datos entre los equipos de ciberseguridad es fundamental para protegernos entre todos.

Figura 1: Cloudflare Radar - Open (Security & Network)

Data para CERTs & CSIRTs

Los servicios de ciberseguridad de Cloudflare ofrecen protección para los activos que las empresas tienen en Internet, que van desde proteger los sitios web o sus plataformas de e-commerce expuestos en la red frente a ataques de DDOS, hasta proteger el e-mail, pasando por WAFs, protección contra interceptación de conexiones de red, protección de servicios de DNS, protección contra técnicas de WebScrapping como vimos con AI Labirynth, o los más modernos servicios de monitorización y protección de servicios digitales basados en arquitecturas de Inteligencia Artificial.

Figura 2: Servicios de Seguridad de Cloudflare

Si te interesa este mundo del las fuentes abiertas de datos, o quieres tener información de seguridad desde un punto de vista privilegiado, Cloudflare Radar te puede ayudar a completar tus dashboards de OSINT para tus servicios de CERT o para tus investigaciones en un CSIRT.

Figura 3: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Toda esta información puede ser consumida vía API, mediante un Dashboard web/mobile, o mediante el uso de un Asistente AI al que se le puede preguntar por datos concretos, informes, e información en las bases de datos de Cloudflare Radar.

Figura 4: Consola de Cloudflare Radar

En este panel tienes datos de todos esos servicios, procesados, filtrados, destilados y disponibilizados para que puedas interactuar con ellos y sacar detalles que puedan ayudarte en tu trabajo en ciberseguridad, o entender mejor qué está pasando o qué va a pasar.

Figura 5: GPTBot lidera los escaneos recientes como USER-Agent

Como los datos de Cloudflare están centrados en Ciberseguridad, y debido a que muchos de ellos proceden de sus servicios de protección, el curado de los datos está orientado a ello, por lo que se pueden obtener datos de ataques, informes de incidentes recientes, estadísticas de dominios atacadas, bots maliciosos, etcétera.

Figura 6: Informe de un Phishing de ayer mismo

(aún activo a día de hoy)

Todos los datos están procesados, pero están los detalles disponibles, por lo que si ves este informe de Phishing de ayer mismo, puedes ver incluso los ficheros de la web que se han descargado, y absolutamente todos los datos disponibles.

Figura 7: Detalles del incidente de Phishing

La información completa y detallada de la API la tienes en la web para Devevelopers de Cloudflare, donde por ejemplo tienes APIs para tener datos de anuncios de BGP - uno de los ataques Nation State que hemos visto en el pasado - que pueden alterar la seguridad de las redes a nivel de conexión. 

Figura 8: Descripción de las APIs de BGP en

el portal de developers de Cloudflare

Esa información, también la puedes analizar directamente desde la consola de Cloud Radar, y ver si todo está como debe, si hay una actividad maliciosa o si se ha producido un Hijacking de una determinada ruta de interconexión de redes que pueda ser un riesgo, o que explique cómo se ha producido un ataque.

Figura 9: Información de las rutas BGP las últimas 48 horas

Los datos también dan información sobre el DNS, o los incidentes detectados por los productos de seguridad de e-mail security (recordad que sigue siendo el principal vector de ataque en las empresas), teniendo datos en tiempo real de cuando una campaña de ataque ha comenzado.

Figura 10: Información de E-mail Security en Cloudflare Radar

Y datos de dominos más peligrosos, cabeceras de seguridad de cada mensaje, y datos de las protecciones SPF, DKIM y DMARC de estos mensajes, para detectar las debilidades que los atacantes están explotando en sus campañas.

Figura 11: Los TLDs más vistos en los sistemas que originan más ataques

Y si además del Dashboard de Cloudflare Radar o de las APIs de Cloudflare Radar quieres encontrar algo usando lenguaje natural, puedes usar el Asistente AI que tienes disponibles, donde puedes interactuar con él para aprender todo lo que necesites de los datos disponibles.

Figura 12: Asistente AI de Cloudflare Radar

Al final, es una fuente de información que tienes disponible para utilizar en cualquier momento, y si te gusta este mundo, merece la pena que entres en Cloudflare Radar y mires todos datos que tienes disponibles, listos para utilizar en tus sistemas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)