Cómo pasar del exploit automático de bugs hecho por IA a la detección de malware en nanosegundos con eBPF & Spectral Clustering

Un aviso a las 03:00. Sonaba la alerta en Grafana mientras la mitad del cluster roncaba en modo low-power. Nada extraordinario… hasta que el panel del IDS cambió de verde a rojo en menos de 200 ms. Veintisiete llamadas execve disparadas en ráfaga, seguidas del clásico combo mmap + mprotect que todo shellcode loader necesita para saltar de la página de datos a la de instrucciones.

Figura 1: Cómo pasar del exploit automático de bugs hecho por IA

a la detección de malware en nanosegundos con

eBPF & Spectral Clustering

Al revisar la traza eBPF vimos que los buffers escritos alcanzaban 7.3 bits/byte de entropía — signo inequívoco de ofuscación o compresión agresiva. La fingerprint no coincidía con ninguna firma YARA ni regla Falco. Aquello olía a malware de generación sintética, amasado por un LLM con exceso de temperatura.

Figura 2: Linux Exploiting en 0xWord

A las 03:00:27 el blue-team contuvo la amenaza: un bpf_lsm abortó el execve antes de que la burbuja llegara a task_struct. La incógnita era clara: ¿podemos repetir esa hazaña sin humanos desvelados?

El problema: ofensiva con esteroides de IA

La línea de producción de 0-days ya no es artesanal. Un agente autónomo basado en GPT-4 es capaz de explotar 87 % de vulnerabilidades one-day cuando se le da la descripción CVE, superando por paliza a escáneres clásicos y a modelos menores (0 %). Este mismo paper advierte que, sin descripción, la tasa baja al 7 %, pero la ventana entre la publicación del advisory y el parche sigue siendo mortal.

Figura 3: LLM Agents can Autonomously Exploit One-day Vulnerabilities

En el contexto del examen SLAE32, un experimento técnico publicado en 0xboku demostró cómo el shellcode polimórfico creado manualmente puede alterar hasta un 33 % de su estructura (de 108 a 144 bytes) usando registros MMX y modificaciones de instrucciones, manteniendo su funcionalidad para evadir detección. Este caso, aunque no involucra LLMs, ilustra cómo técnicas clásicas de ofuscación ya desafían firmas SHA 256 y patrones estáticos, obligando a adoptar detección basada en comportamiento o modelos de IA entrenados en entropía y anomalías de ejecución.

1.1 No basta con “parchear rapidito”

Incluso con un SLA de parches de 24 h las organizaciones quedan expuestas durante todo el ciclo virtual —release de exploit, write-up en blog, publicación del PoC—. Necesitamos detección y respuesta en tiempo real, preferiblemente antes de que los bytes maliciosos crucen la frontera usuario-kernel. 

La hipótesis: el kernel susurra en nanosegundos 

El Extended Berkeley Packet Filter (eBPF) es nuestra oreja en ring 0:

• Se carga como byte-code verificado; imposible desbordar el kernel.
• Engancha tracepoints/kprobes a cualquier syscall sin recompilar ni reiniciar.
• Copia eventos a espacio de usuario mediante ring buffer (cero copias).
• Overhead bajo: Alto rendimiento al trazar syscalls execve y mprotect en workloads OLTP.

Figura 4: Arquitectura de eBPF

2.1 Características que sí delatan a un loader

1. n-grams de syscalls (window=5): captura lógicas como open → read → mmap → mprotect → execve.
2. Entropía de payload: indica compresión/cifrado.
3. Δt entre syscalls: ciertos packers insertan “sleep-gaps” para evadir monitoreo.
4. Delta de privilegios: salto uid 1000 → 0 es red-flag.
5. Llamadas ptrace: frecuente en stagers que se inyectan en procesos confiables.

Los cinco valores se normalizan y forman un vector de 256 dimensiones que alimenta el algoritmo de Machine Learning.

Figura 5: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

El truco de magia: Spectral Clustering sin etiquetas

Mientras los IDS clásicos aprenden con datasets estáticos —y sufren cuando aparecen comportamientos inéditos— el Spectral Clustering trabaja a ciegas:

1. Construye una matriz de similitud S calculando distancia Jensen-Shannon entre histogramas de vectores (researchgate.net).
2. Obtiene el Laplaciano normalizado L = D⁻¹ᐟ² (D − S) D⁻¹ᐟ²
3. Extrae los k autovectores de menor autovalor y proyecta los puntos.
4. Aplica k-means en ese nuevo espacio.

Nota: investigamos Eigen-updates streaming, técnica que recalcula solo los autovectores afectados por un cambio local en S, logrando refrescar el modelo de 2- 3 ms sin reconstruir toda la matriz.

PoC I — portátil del blue team

Durante las pruebas iniciales quisimos demostrar que la detección basada en eBPF + Spectral Clustering cabe incluso en un laptop de respuesta rápida—el típico “equipo de guerra” que un analista lleva a un incidente.

• Tracepoint raw_syscalls:sys_enter: el programa eBPF cuenta todas las syscalls y las lanza a un ring buffer (overhead ≈ 0.7 % CPU) .

• Extractor en user-space: cada 500 ms levanta el histograma por PID y lo paddea a longitud constante.

• Cálculo de similitud: matriz RBF simetrizada + self-loops mínimos para garantizar conectividad.

• Spectral Clustering: con k = 2 → etiqueta “normal” vs “anómalo”; la decisión llega en ≈ 35 ms.

• Acción: si label == anomalía, lanzamos un hook LSM que cancela execve, e inmediatamente Grafana genera una alerta.

Figura 6: Pipeline de detección de anomalías in-kernel

con eBPF + Spectral Clustering (PoC I)

Qué aprendimos del portátil

• El ring buffer es clave: pasar a perf-event duplicaba la latencia.

• Padding + RBF: permite trabajar con huellas de procesos muy diversos (LibreOffice pesa > 300 syscalls/ventana; un curl apenas 18).

• El “modo laptop” es ideal para ofensiva inversa: llevas la detección in situ y cazas la amenaza antes de subir nada al SIEM.

PoC II — clúster K8s de producción

• DaemonSet carga el colector eBPF.

• Los vectores llegan por gRPC a un side-car que vive en el mismo node pool que OpenSearch, evitando saltos de red.

Figura 7: Arquitectura de telemetría y respuesta

en el clúster Kubernetes (PoC II)

• DaemonSet despliega el sensor en cada nodo (hostPID:true, privileged:true).

• Cilium exporta sus mapas eBPF (cilium/ebpf/v2) y nos evita duplicar sondas.

• Hubble Relay agrega eventos L4, que se fusionan con la matriz‐syscalls vía ID de contenedor.

Todos los dashboards viven en un Grafana-LOKI-Tempo stack; las alertas llegan a PagerDuty.

Correlación Hubble + syscalls — afinando el detector en microservicios ruidosos 

La tesis es sencilla, ya que los False Positives suelen aparecer cuando un microservicio legítimo realiza ráfagas inusuales de syscalls—por ejemplo, un side-car de logging que comprime registros antes de enviarlos.

Figura 8: Ensamblador X86: Teoría y Practica.

de Josué Acebedo Maldonado y Sheila A. Berta.

Si correlacionamos flujos L4/L7 de Hubble (la capa de observabilidad de Cilium) con la secuencia de syscalls del mismo container_id, obtenemos contexto de red que ayuda al modelo espectral a distinguir un backup ruidoso de un loader malicioso.

• Emparejar eventos: cada registro Hubble porta pod_uid y container_id. El extractor agrega esos campos al vector de 256 D.

• Nuevas features: dirección (ingress/egress), proto, bytes_sent y ratio packets/Δt.

• Reentrenar parcial (Eigen-update): cada 10 s para minimizar deriva.

Lecciones aprendidas

Después de estas pruebas, hemos visto como el  análisis no supervisado elimina la esclavitud de etiquetar muestras de malware. Además, el uso de eBPF permite hot-patch del sensor sin tener que reiniciar ni recompilar el kernel. En todo este proceso, el cuello de botella real es el cálculo completo de autovectores y el uso de Eigen-updates reduce la carga a la décima parte.

Figura 9: "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

Además, correlacionar capa de red (Hubble) con syscalls baja los falsos positivos en escenarios de microservicios ruidosos, lo que es muy beneficioso. Por último, en todo este proceso es muy importante la UX del analista, y tener un panel que combine “Top anomalous pods” con la llamada exacta a mprotect(PROT_EXEC) ahorra 10 min de búsqueda a las 03 : 00.

Como próximos pasos en este aprendizaje, vamos a trabajar en  extender el modelo para cubrir tráfico  de los niveles L4/L7 completos. Proceder a automatizar las acciones de mitigación vía Falco + ArgoCD y explorar distancia de Wasserstein sobre los histogramas, prometedora para diferenciación fina de malware polimórfico. Además, queremos probar despliegue desde el edge en IoT (ARM64) con micro-agentes eBPF.

Autor: José Acevedo Maldonado, autor del libro Ensamblador X86: Teoría y Practica.

Contactar con José Acevedo Maldonado (neomatrix)

Thanks for the ride! Los Proyectos de los equipos de Chema Alonso en Telefónica

Esta semana comienza una nueva etapa en mi vida profesional, donde estaré como Consejero de Ciberseguridad de Telefónica, y en el Consejo de Telefónica Tech, además de alguna cosa nueva más allá de Telefónica que ya os contaré a su tiempo, y mirando para atrás y leyendo muchos de los mensajes de los compañeros que he recibido, solo puedo deciros que gracias, y que el viaje ha sido apasionante. Sin vosotros no habría sido nada. 

Figura 1: Thanks for the ride!

He tenido la suerte de trabajar con miles y miles de personas en mis equipos, y no puedo estar más agradecido a todo el trabajo que habéis hecho durante tantos años en un entorno tan cambiante, y aunque ya os digo que es imposible recoger todo el viaje en un artículo - por muy largo que sea -, dejadme que os haga un recordatorio de los highlights de vuestros proyectos.

Talentum

Comencé el 1 de Febrero del 2012 con el programa Talentum. Un programa al que le puse el nombre en latín para que funcionara en todo el mundo. Fue un PDF enviado a finales de Enero a Telefónica con una idea para traer hackers a Telefónica con dos programas distintos. De allí llegaron las primeras hornadas de compañeros, y comencé a trabajar con un grupo muy reducido de personas. 

Figura 2: Talentums probando los primeros equipos en Wayra

Estuve llevando ese programa durante quince maravillosos meses, y me lo pasé genial. Y luego siguió volando... A día de hoy el programa sigue existiendo, con muchas mutaciones, y ha sido algo clave desde entonces en todas mis unidades, donde he ido destinando siempre presupuesto para tener a nuevos jóvenes en los equipos. 

Figura 3: Presentación de los proyectos de las becas Talentum

Ahí, el equipo era muy pequeño, Rosalía, Cristina, Javier Santiso, y disfrutamos de un intensidad llena de ilusión.

El equipo de ElevenPaths

En Abril del año 2013 comenzamos otra andadura diferente. Hacer de Telefónica la empresa líder en servicios de ciberseguridad construyendo desde Informática 64 y el Vertical de Seguridad. Era un reto imposible, pero nos pusimos día a día, paso a paso, y logramos definir un estrategia muy especial que nos funcionó: La escalerita, el farming, el hunting y Telemetry. Por el camino hubo que hacer muchas patentes de nuevos productos, alinear muchas áreas de la compañía, adquirir tecnologías y empresas que nos ayudaran a tener un mejor portfolio y una mejor llegada al mercado. 

En el año 2016 el trabajo de todos vosotros ya había hecho que Telefónica superase los 300 M de facturación en ciberseguridad - algo que nos parecía una auténtica locura -, pero siguieron subiendo y en 2018 casi alcanzamos los 400 - que nos quedamos a 2 - , hasta llegar a los más de 500M€ de facturación en 2019, que fue el último año antes de incorporarse en Telefónica Tech. Y luego aún lo hicisteis mejor aún.

Figura 4: Security Innovation Day 2019

Por el camino, las proyectos Path1, Path2, Path3, Path4, Path5, los productos como Lath, Faast, Tacyt, Metashield, que ayudaron a tener tracción en el mercado, el trabajo con SealSign, Shaadow, el montaje del CyberSOC con los equipos de operaciones, Vamps, Cyberthreats, Sinfonier, Octopus y un largo trabajo día a día para seguir mantenido el pulso. Por supuesto, las mil y una alianzas que hicisteis, el trabajo de Telemetry para asegurar el Go-To-Market y un trabajo de Branding que llevó la marca ElevenPaths a todos los rincones. Los Security Innovation Day que se transformarían después en los eventos de LUCA de Innovación, los MWC, gracias a los equipos de marketing que os distéis unas curradas infinitas siempre.

Por supuesto, hubo que hacer mucha alianzas, y trabajar con muchos partners como FireEye, PaloAlto, Bluelive, LogTrust, Fortinet, Cico, SonicWall, ESET, etc,  que nos acompañaron en todo el camino. No me quiero olvidar tampoco de vosotros, los Chief Security Ambassadors, que fuisteis siempre amigos, compañeros, y la primera carta de presentación de lo que hacíamos. Por el camino quedaron mil Security Days, RSAs, Mobile World Congress, y un trabajo que hizo que ElevenPaths fuera valorado por más de 1.2 B, y fuera una de las partes fundamentales de nuestra querida Telefónica Tech que hoy tenemos.

Los equipos en CDO

En el año 2016 tocó formar nuevos equipos y tuve la suerte de trabajar con nuevos profesionales de otras áreas. Equipos de la Global Big Data Unit para crear el equipo interno de Chief Data Officer, las unidades de Air Street en Londres, los compañeros del Data Transparency Lab, pero también los equipos de Telefónica Ingeniería de Seguridad donde tuve la suerte de además ser consejero, el negocio de Advertisement, la empresa Axonix, montar LUCA a partir de SmartSteps y SmartDigits, Synergic Partners, y la "locura" de una Joint-Venture con China Unicon "SmartSteps Digital Group Ltd.". Y fue un viaje.

El negocio de Global Advertisement fue una de las responsabilidades y uno de los equipos de los que estar más satisfecho. Llegó a CDO el equipo en 2016, con un negocio generado el año anterior de 280M€ y yo solo tuve que acompañaros en el camino, para que lo llevarais vosotros, con un trabajo fantástico, hasta 480M€ en los cuatro años que estuvisteis en la unidad. Por el camino, hubo que gestionar la venta de Axonix, y los proyectos de transformación de MarkTech en las operaciones. Y yo solo tuve que aprender de vosotros, porque sabíais bien lo que teníamos que hacer.

Figura 5: LUCA - From BASIC DATA to BIG Data

En el equipo de LUCA, comenzar con una marca desde cero para crear una compañía a partir de SmartSteps, SmartDigits y la integración de Synergic Partners fue un reto, pero lo hicisteis. Al final de 2019 ya era una empresa que facturaba 21M€. Para ello hubo que crear muchos productos, hacer alianzas, participar en foros, construir las relaciones con los analistas, y al mismo tiempo, gestionar una JV en china, con operaciones legales multi-idioma que a la postre nos daría muchas alegrías, con la entrada de JD.com a principios de 2019 y la evolución posterior que llevo a que el valor de la compañía se multiplicara. 

Pero también tocó el trabajo más duro interno de construir los enablers para el futuro de los servicios digitales de Telefónica. La Cuarta Plataforma (que luego cambiariamos de nombre a Kernel), con la gestión de la identidad única, el modelo de datos, las APIs estandarizadas, el motor de lenguaje natural de Aura, el gestor de consentimientos para ser compliance con la llegada del nuevo GDPR y pasar todo a un entorno Cloud. 

Figura 6: Si visitas La Cabina puedes ver funcionando

la 4ª Plataforma en tiempo real en Telefónica de España.

Esta info es similar a la de Alemania, Brasil o UK, por ejemplo.

Todo eso sin parar nada, y seguir capeando las olas. Aquello, que parecía imposible, es un camino que lo fuisteis haciendo, día a día, API a API, dato a dato, hasta llegar a los números de diciembre de 2024, que tuve la suerte de presentar en el último Mobile World Congress, donde además me pude conecta en tiempo real a todas las plataformas. Aquí hubo que trabajar mucho con Microsoft, pero también con Amazon, Google o Meta. Cada acuerdo eran meses de trabajo, pero fueron saliendo, uno a uno, año a año.

Figura 7: Presentación MWC 2025. Digital Transformation & Open Gateway

También, además de ElevenPaths, LUCA, Global Advertisement, Axonix, Synergic Partners, Data Transparency Lab, Telefónica Air Street y Telefónica Ingeniería de Seguridad, durante los años de Chief Data Officer nos dio tiempo a innovar y lanzar proyectos de aún más innovadores, pensando en el futuro. Aura, fue uno de ellos, creando el motor NLP que el año pasado tenía 11 Millones de Usuarios y alcanzó las 400 Millones de Interacciones con usuarios, a través de los más de 30 canales en los que está disponible. Fueron muchas las integraciones que hubo que hacer con canales digitales, servicios, chats, plataformas de voz etcetera, en Contact Center, WhatsApp, mando vocal, apps móviles, webs, etc...en múltiples países.

Figura 8: Aura alcanzó 400 Millones de interacciones en 2024

El trabajo cuando haces proyectos nuevos, totalmente diferentes a lo que hace la industria, es siempre difícil, pero al final, controlar el interfaz natural de los clientes y no entregárselo a Alexa, Google Home, era el objetivo en aquellos momentos, así que solo había una opción. Hacerlo o hacerlo, y vosotros lo hicistéis. También cuando se evitaba dar el control del descodificador de televisión a Amazon o Google, y se siguió apostando por un desco hecho in-house. Así que decidimos darle más valor a ese desco, y le añadimos las Living Apps, para extender la funcionalidad. 

Figura 9: Aura en Vivo Brasil en App & WhatsApp

Aquella locura de crear un espacio para ejecutar aplicaciones en el desco, hecha por un reducido equipo de innovación, nos permitió llevar experiencias como SmartWiFi, Conexión Segura, Mi Movistar, Movistar Cloud o Perplexity a todos los clientes de una manera rápida y sencilla. Los clientes no necesitan instalar apps, ni tener usuarios extras para gestionar las apps instaladas. Y esto hizo que el año pasado se alcanzaran ya los 10M de sesiones en esta plataforma. No está mal, para ser un proyecto que nació como una Idea Loca en su momento para llevar más experiencias a los clientes.

Figura 10: Mi Movistar, Movistar Cloud, Smart WiFi, Conexión Segura

Pero no fue el único, los equipos de innovación os dejasteis las noches, para hacer cosas aún más difíciles, como el proyecto de Movistar Tokens, o la "locura" de hacer un SmartDisplay como Movistar Home, con el objetivo de parar el hype de Alexa y Google Home en los hogares de nuestros clientes. Este proyecto, del que ya os hablé en otro artículo largo y tendido, fue además un ejemplo de trabajo a varias bandas, donde los equipos de fabricación de hardware en Global CTIO, los equipos comerciales en Telefónica, y los equipos de innovación en CDO tuvimos que pasar muchas noches sin dormir para sacarlo. Al final, lo sacasteis, se paró el hype, y se vendieron todos los dispositivos, hasta que decidimos que el mundo no se había puesto fácil para hacer hardware. Otra locura de innovación que aún seguimos usando miles de clientes.

Figura 11: Demo de HaC en tiempo real en el MWC 2025

Pero entre todos los proyectos de esos años - que son decenas y decenas de ellos - hay uno que fue especialmente importante para todos nosotros, por lo duro que fue, por lo que tuvisteis que trabajar, y por lo que sé que echasteis en él. HaaC "Home as a Computer", a.k.a. "Home advanced Connectivity" o "Agente Único". Había que meter un agente único en el router de SmartWiFi, y eso exigía normalizar los datos, crear las APIs, sustituir los agentes del router por uno nuevo creado sobre el firmware, crear las plataformas Cloud de Datos, meter Conexión Segura, que funcionaran los servicios de WiFi Calls, de Priorización de Tráfico, Gaming ON, en el hogar, y que se coordinara con las apps de SmartWiFi, donde metistéis en roadmap perfiles y control parental. Todo de una y en toda la planta.

Esta es una de las cosas que cuento. Fueron varios años de trabajo, con roll-outs de operaciones en planta masivas, porque las herramientas de administración remota de los Routers de SmartWiFi, las herramientas de Configuración y Optimización, debían ser funcionando. A los equipos de CTO, de SmartWiFi, de Conexión Segura, de Hardware en CTIO, etc... habría que daros una muesca más en el cinturón por este proyecto, que tuvo momentos de mucha tensión, retrasos en despliegues que nos quitaron la vida y el sueño, pero que nos dejó la satisfacción de haberlo hecho mientras seguía funcionando el servicio.

Figura 12: Los números de Vídeo, Apps, Aura, HAC, Kernel, SmartWifi,

Payment, Living Apps, Tokens, Innovation Services, etc...

Muchas veces s difícil explicar cómo encaja la foto de todos los servicios y plataformas de una compañía como Telefónica, pero cuando 33MM de API Calls en en Kernel (Cuarta Plataforma), o 578MM de registros de datos te das cuenta de la escala que tiene todo lo que montasteis durante estos años. Y a mí me da vértigo. Me pregunto muchas veces cómo sería la sensación de ser el que da al último botón antes de un nuevo rollout sabiendo que eso tiene que seguir funcionando.

Los equipos en Chief Digital Consumer Officer

En el año 2020, una vez que los equipos de ElevenPaths, LUCA, Telefónica Ingeniería de Seguridad y Global Advertisement - es decir, todo lo que generaba ingresos - se fueron a B2B y Telefónica Tech, tuve la suerte de trabajar con nuevos equipos. Con una situación muy diferente. Iba a ser el Chief Digital Consumer Officer, y por primera vez me tocaba la innovación de verdad, que hasta el momento era innovación solo en nuestro ámbito. Pero también me tocó trabajar con un montón de equipazos nuevos brutales. 

El equipo de Apps (Novum) que venía de Tuenti, el equipo de la Plataforma Global de Televisión, el equipo de Devices & Partnerships, el equipo de Servicios Financieros y la Plataforma Global de Pagos, el equipo de Core Innovation, y un montón de filiales que teníamos que gestionar. Telefónica Silicon Valley, Telefónica Ventures, Telefónica Alpha y Telefónica Alpha Health, los equipos de Telefónica Educación Digital en Perú, España y Brasil, con Miriadax, el Instituto Tecnológico Telefónica, Axismed en Brasil, Movistar Money en Colombia, Telefónica I+D, Telefónica Digital España y UK, Wayra con todos sus países, Terra en Brasil y México, y algún equipo más en Chile para la televisión y el mundo de la innovación. Un rol global tiene esta maravilla, que tienes la oportunidad de trabajar con profesionales de todo el mundo, y esto sólo lo puedes tener en empresas como Telefónica.

Y todo esto nos toca en medio de la pandemia... ¡wow!

Durante los primeros dos años hubo que tomar muchas decisiones y rápido, ya que el presupuesto ya no se sostenía con ingresos que generásemos, sino con asignación de budget, con lo que tomasteis muchas acciones de simplificación, integración, y parar cosas. Se vendió el Instituto Tecnológico Telefónica, y traspasamos Telefónica Educación Digital Perú, Terra México y Terra Brasil a otras unidades del grupo, vendimos Telefónica Alpha Health, e Integramos Telefónica Ventures y Telefónica Alfa dentro de Telefónica OpenInnovation, es decir, nuestra querida Wayra. Pero también hubo que cerrar operaciones en Chile, Brasil o Silicon Valley. 

Figura 13: O2 TV Germany, un proyecto que llevó años.

Al mismo tiempo, nos metimos con dos de los proyectos más complejos y que más canas me ha dado de los años que he vivido en  Telefónica (todavía me acuerdo del día en que me convencisteis para ello): Desplegar la plataforma de vídeo en Alemania e integrar la plataforma de televisión de España con la global para hacer una única plataforma en todo el mundo Telefónica. Yo creo que me hicisteis mucho más viejo con estos proyectos, de los que una vez en ejecución me siento muy orgulloso de lo "locos" que sois al meteros en estas transformaciones.

Como éra poco lo que teníamos.... Open Gateway y Telefónica Innovación Digital

En el año 2022 nos cambiaron un poco el rol, y fuimos la unidad de Chief Digital Officer, sin embargo no fue muy significativo, porque los proyectos internos tenían su dinámica de trabajo, con su día a día en todos ellos para avanzar a toda velocidad el roadmap de Novum, la Tele, SmartWiFi, Kernel, etc, etc, etc.. y Wayra estaba funcionando bien, con un valor de cartera de las inversiones de más de un centenar de millones de €, generando fit con el grupo, y con unos ingresos que garantizaban su sostenibilidad y futuro, por lo que estar como presidente de esta compañía era algo divertido y que no me hizo la vida peor. 

Además, estar cerca de las startups, de los Fondos de Inversión, de los emprendedores, apostar por empresas invirtiendo en ellas, y aprender de todos vosotros sobre cómo hacer un buen análisis fue algo que no me dio dolores de cabeza, sino al contrario, muchas alegrías. Pudimos entrar en empresas como Perplexity, Airalo o Bit2Me, que son solo una muestra pequeñita de lo molón de este trabajo.

Figura 14: OpenGateway en el mundo

Pero de repente llegaron dos nuevos proyectos que teníamos que hacer. Uno de ellos, OpenGateway, nada más y nada menos que coordinar la industria para APIficar todas las capacidades Telco en un standard único que nos permitiera ir al mercado de los developers a través de canales digitales. Y eso implicaba mucho curro. Por otro lado, integrar todas las jurídicas dentro de una sola: Telefónica Innovación Digital. El reto era mayúsculo porque además había que hacer que esta jurídica fuera sostenible presupuestariamente, haciendo que la facturación de los proyectos, servicios y productos que fuéramos ejecutando tuvieran su ingreso asociado. 

Figura 15: Telefónica Very Strong en media y Leader en innovación

Y había que seguir probando cosas, como los proyectos de AR&XR, los mundos virtuales en Movistar Experiencia Inmersiva trabajando con Meta, trabajando con los equipos de la web del centenario de Telefónica que recibido un premio, ayudando e impulsando con la RAE el proyecto LEIA, haciendo proyectos de productos y serviciso de innovación que pudieran ser "ready to die", donde testeamos cosas que no estaban haciendo las unidades de negocios con una marca no comercial, para ver cómo la gente usa las tecnologías.

Figura 16: Lanzamiento de la red Hellium en Telefónica México

Integraciones con pasarelas de criptomonedas, e-commerce con sostenibilidad medioambiental, servicios de detección de Deepfakes, etc... . Proyectos tan "locos" como  el de la integración de las redes móviles en las redes Hellium basadas en web3 lanzadas en México después de la inversión que hicimos en Border desde Wayra. O como los sistemas de cifrado post-cuántico para cifrar las comunicaciones con las redes IoT o de alta seguridad en proyectos de defensa. Proyectos despliegue de capacidades de GenAI en la compañía. 

Figura 17: Descarga el libro "El poder de las conexiones. Una historia de Innovación"

Contar todos me llevaría muchas, muchas, muchas páginas, pero ese el trabajo de Innovación que los equipos llevan haciendo desde el siglo pasado, como quedo publicado, con artículos de los grandes Enrique Blanco, Julio Linares, e históricos de la casa, en el libro de la historia de la innovación de Telefónica que se puede descargar todo el mundo desde la web. Buscar siempre los límites y hacer cosas. Muchas cosas pequeñas, grandes, atrevidas, exitosas y fallidas, que ha permitido que al final la industria os reconozca el trabajo como líderes en innovación en el sector. Y haciendo que dentro de todo lo que es Telefónica, destaque sobre todos su esfuerzo constante por la innovación, algo que está en el corazón de toda la compañía.

Figura 18: Índices de Telefónica en las diferentes categorías

Estos dos años, el trabajo que habéis hecho los equipos legales, comerciales, de control financiero, de recursos humanos, etcétera, en la construcción de esta empresa ha sido impresionando. Firmar la cuentas del año pasado en este mes de Abril de esta compañía, viendo el trabajo que hay detrás, es algo que me llevo en el recuerdo, y os lo quiero agradecer, porque sé lo que ha sido hacer esto.

Casi de 5.000 días y 5.000 noches

Durante estos años, trabajar con todos y cada uno de los compañeros de Telefónica ha sido una experiencia única. Pero también con los partners, con los proveedores, con los clientes, y con la industria. Han sido casi 5.000 días de mi vida en esta compañía, a la que voy a seguir ligado como Consejero de Ciberseguridad de Telefónica, y en el Consejo de Telefónica Tech desde donde intentaré seguir haciendo lo mejor que sé que la empresa sea mejor. He tenido la suerte de disfrutar de proyectos maravillosos, que eran un reto intelectual y operacional, hemos tenido aciertos y he tenido fallos, algunas cosas nos han salido espectaculares, otras no tanto, pero sobre todo hemos hecho cosas juntos. 

Muchas cosas. Negocio, Innovación, Transformación Interna. Me habéis enseñado todos los días cosas nuevas, me habéis demostrado por qué los equipos de Telefónica han hecho que esta empresa sea la que es, que sea reconocida en el mundo como una de las empresas líderes, y no me cabe la menor duda de que seguirá siéndolo, porque aún estáis ahí. Las personas van y vienen, muchos de los compañeros que han estado conmigo en este viaje ya no están, pero el espíritu, la cultura, el ADN sigue dentro, y los que estáis sabréis hacer que la empresa sea aún más grande.

Sólo puedo daros las gracias. A vosotros, a los que habéis estado en todos esos centenares de proyectos (los que he citado y los que no que no me caben todos), a todos los que habéis estado en esas empresas que han formado parte del equipo, a todos los que habéis estado en cualquier rincón de Telefónica trabajando en apoyar a estos proyectos y empresas. Sois vosotros los que habéis hecho posible que se hagan esos proyectos durante esos años. Y por el camino, habéis hecho que para mí sea un viaje maravilloso. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Revisión de Innovación: Telefónica on the forefront

El pasado 20 de Marzo de 2025, es decir, el jueves pasado, Global Data, una firma de analistas independientes ha publicado dos informes que hablan del trabajo de los equipos de innovación de las empresas europeas de la industria de las telecomunicaciones, y entre ellos, por supuesto está el trabajo de los equipos de innovación de Telefónica.

Figura 1: Revisión de Innovación - Telefónica on the forefront

El primer informe, que es "Competitor Comparision" habla de las cuatro grandes empresas de telecomunicaciones europeas, a diferentes niveles de análisis, como son el portfolio de productos, la visión estratégica, el go to market, el servicio y la operación, y entre ellos está la innovación.

Figura 2: Global Data Competitor Comparison

Quería centrarme en esta parte, la innovación, donde miles de personas llevan años trabajando para hacer las plataformas de servicios digitales, para construir un proyecto que está transformando la industria como es OpenGateway, para construir un modelo de datos único que da soporte al grupo, para llevar SmartWiFi, Conexión Segura , o la plataforma de televisión global tiene a clientes en todo el mundo. Y quería hacerlo, porque en este informe se reconoce su trabajo, así como una apuesta por la innovación constante, arriesgándose a hacer cosas disruptivas.

Figura 3: Telefónica Very Strong en media y Leader en innovación

El informe sitúa a la innovación de Telefónica como líder en este apartado, donde proyectos que empezaron como una locura para hacer nuevas experiencias "beyond TV" con partners en las Living Apps o con el objetivo meter procesamiento NLP en los servicios digitales, mando vocal, o canales como WhtasApp a través de Aura, o las apuestas más disruptivas en Web3 y en experiencias XR.

Figura 4: Telefónica rating "leader" en innovación

Además, destaca el trabajo de innovación abierta que hace Wayra, la empresa que ha logrado que las startups en las que invierte generen 1 Billón € a través de Telefónica. Es decir, llevando sus servicios a Telefónica o clientes de Telefónica. Una locura de números, que parecían imposibles hace años.

Figura 5: Telefónica rating "leader" en innovación

Comparando todos los aspectos de Telefónica, los analistas de esta firma sitúan a nuestra casa como Very Strong, pero me hace especial ilusión ver que destaca la parte de Innovación sobre el resto, porque hay miles y miles de personas que llevan más de una década trabajando en transformar la empresa.

Figura 6: Índices de Telefónica en las diferentes categorías

Es mucho el trabajo que estos años han hecho los equipos de ElevenPaths, LUCA, Cuarta Plataforma (4ª Plataforma), Kernel, HaC, SmartWiFi, Novum, Global TV Platform, Financial Services, Web3, Telefónica I+D, Tuenti, Wayra, Telefónica Digital, Telefónica Innovación Digital, Research, Discovery, Ideas Locas, etcétera. 

Son centenares de proyectos lanzados en estos años, que hoy forman parte del stack tecnológico digital de los servicios internos y externos que dan soporte al negocio. Y es grato ver cómo son reconocidos por los expertos que analizan en profundidad nuestra industria y nuestro trabajo todos los días, que ellos sí que están cerca de lo que hacemos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Telefónica, ¡cómo no te voy a querer!

Sabía que un día u otro iba a escribir este texto. Algo que he dicho a mis compañeros siempre es que los ejecutivos de Telefónica tenemos la obligación de entregar nuestras responsabilidades en la casa en mejores condiciones a las manos del siguiente ejecutivo, porque esta empresa es mucho más grande que ninguno de nosotros. Es de todos y de ninguno. Sólo cuidamos de las responsabilidades que nos asignan por un tiempo.

Figura 1: Telefónica, ¡cómo no te voy a querer!

Yo entré en ella en el año 2012 para crear un programa que tenía como objetivo traer hackers & developers a Telefónica. Lo llamé Talentum y disfruté durante quince meses de aquella aventura con la que me divertí, viajé, y aprendí de grandes personas al tiempo que conocía Telefónica. Disfruté de ese trabajo hasta que me dieron otra responsabilidad y pasé Talentum a otros compañeros.

Me dieron entonces la responsabilidad de hacer que Telefónica fuera líder en servicios de ciberseguridad para empresas. Os prometo que así me lo pidieron. Esta gran casa adquirió nuestra querida empresa Informática 64, en la trabajaba con mi familia y mis amigos, y aquel grupo de personas comenzamos a construir ElevenPaths, para desarrollar el negocio de ciberseguridad. Hicimos productos, tecnologías, patentes, servicios, acuerdos con partners, inversiones en startups, compra de compañías y tecnologías, hasta que, en el año 2019, cuando el negocio de ciberseguridad ya era más de 500M€ Telefónica me asignó otras responsabilidades e ElevenPaths pasó a formar parte de nuestra querida y enorme Telefónica Tech.

En el año 2016 me dieron la responsabilidad de ser el Chief Data Officer, para sustituir al CDO anterior, y tuve el honor de entrar en el Comité Ejecutivo de Telefónica. Con 40 años. Para ser el más joven. Algo que se lo he recordado a mis compañeros durante estos años con cierto humor, que los zascas y los abrazos entre nosotros no han faltado nunca, además de los debates intensos para hacer mejor las cosas.

En esa responsabilidad tenía que implementar la estrategia Data-Centric de la compañía, construir las tecnologías, y migrar los servicios digitales a estas nuevas arquitecturas mientras el negocio seguía funcionando. Fue un trabajo ingente, maravilloso, apasionante, que hoy en día es el corazón de todo lo que construimos, y que tuve el orgullo de enseñar en la presentación que impartí en el Mobile World Congress de este año.


Figura 2: Open Collaboration to Innovate Together

También ese año me dieron la responsabilidad de construir LUCA, para ofrecer servicios de datos para empresas. Y en 2019, tres años después, pase esa responsabilidad y se integró también dentro de Telefónica Tech, con algo más de 22M€ de ingresos a cierre ese año. Una experiencia donde debía tratar con clientes B2B para ayudarles a hacer el mismo viaje de datos que estábamos haciendo nosotros.

Durante ese periodo tuve también la responsabilidad del negocio de advertising a nivel global, con empresas en UK y Alemania, más una Joint-Venture en China que tuve que gestionar desde mi puesto en Madrid. Como os podéis imaginar fue un aprendizaje de vida a todos los niveles: tecnología “at scale”, B2B con ElevenPaths y LUCA, y gestión de empresas internacionales.

En el año 2019 tocó cambiar. Me asignaron nuevas responsabilidades, y me quitaron otras. Tuve que gestionar la transición de una veintena de empresas por todo el mundo, como Terra, Tuenti, Telefónica Educación Digital, Axismed, Media Networks, Telefónica Slilicon Valley, Telefónica Open Innovation, Telefónica Ventures, Telefónica Alpha, Telefónica Alpha Health, Telefónica I+D, el Instituto Tecnológico Telefónica, y Telefónica Digital, con varias multinacionales entre ellas. Un reto de consolidación para crear Telefónica Innovación Digital y Wayra. Dos empresas que crecen en positivo creando tecnología y haciendo innovación.

Al mismo tiempo que pasaba las responsabilidades de ElevenPaths y LUCA, también me tocaban las responsabilidades de las plataformas de servicios digitales. La plataforma de apps móviles que venía de Tuenti, la plataforma de SmartWiFi, la plataforma de Vídeo, la pasarela de pagos, y los equipos de innovación, de donde sacamos casi todo.

Durante estos años el aprendizaje ha sido continuo, no sólo en la parte tecnológica, y en la toma de decisiones en posiciones ejecutivas, sino también en los consejos, donde tengo la suerte de haberme sentado como Consejero de Telefónica de España, Consejero de Telefónica Tech, miembro del Consejo Asesor de Ciberseguridad de Telefónica, Consejero de Telefónica Ingeniera y Seguridad, Presidente del Consejo de Wayra y del Comité de Inversiones.

Pero todo esto no hubiera tenido sentido sin las personas que han estado a mi lado. Los compañeros que han estado haciendo tecnología conmigo codo con codo. Desde la Cuarta Plataforma hoy Kernel, hasta OpenGateway, pasando por la WiFi, la Televisión, los productos de innovación puros, y los que menos se ven y soportan que funcione lo demás.

Ahora me toca pasar el testigo de CDO, nueve años después, a un compañero y amigo que tendrá la obligación de cuidar esta responsabilidad para hacer Telefónica más grande y mejor, hasta que él pase la responsabilidad al siguiente. Telefónica es algo precioso que cuidamos muchos a lo largo del tiempo.


Figura 3: Telefónica, ¡cómo no te voy a querer!

Yo ahora estaré trabajando con y para él durante un tiempo para hacer la transición completa de todos los detalles, equipos, objetivos, responsabilidades, y luego con algún otro rol que aún estamos terminando de definir, que lo más importante es cuidar de Telefónica Innovación Digital y Wayra

Telefónica, cómo no te voy a querer.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El viaje de la Transformación Digital de Telefónica con la Innovación: De la 4P a OpenGateway

Ayer tuve el honor de abrir el Ágora de Telefónica para hablar de la transformación digital de Telefónica que desde la innovación hemos hecho estos años. Es una historia posterior a los proyectos de Talentum, de ElevenPaths, LUCA, y es verdad que no me dio tiempo a hablar tampoco de Telefónica Innovación Digital y Wayra, pero sí pude repasar todo lo que tiene que ver con la transformación digital, desde el nacimiento de Kernel Codename: "4ª Plataforma", hasta el estado actual de OpenGateway.

Figura 1: El viaje de la Transformación Digital de Telefónica

con la Innovación: De la 4P a OpenGateway

Si realmente quieres saber todo lo que se ha hecho en estos años, tienes aquí el vídeo. Son 40 minutos, más o menos, y está al principio. De momento os dejo la grabación completa del Ágora, pero con un poco de tiempo la cortaré y la pondré en mi canal de Youtube.

Figura 2: Open Collaboration to Innovate Together

En esta charla verás en funcionamiento la 4ª Plataforma en todos los países, los datos, las APIs, los servicios digitales de Televisión, SmartWifi, Conexión Segura, las aplicaciones de clientes, los productos de innovación, con números, etcétera.

No se vayan todavía...

Como hoy tengo dos charlas en el 4YFN, actualizaré este post más adelante, para dejaros más detalles de todo lo que conté en la charla, desgranado, pero os dejo estos artículos que cuentan también detalles que no me dieron a explicar ampliamente por cuestiones de tiempo. 

- "Login with your Phone Number" o cómo innovar a nivel de toda una industria con OpenGateway

- Tres historias de hacer tecnología como herramienta estratégica de la empresa

Si regresas al post esta tarde, o mañana, irás viendo más detalles e información ampliada, que hoy voy justo de tiempo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Login with your Phone Number" o cómo innovar a nivel de toda una industria con OpenGateway

Hoy estamos en los ensayos todo el equipo de Telefónica preparando las charlas y presentaciones. Yo aún tengo que rematar las presentaciones, que es al final el último detalle antes de llegar al momento de contarlo. Pero antes de todo esto, se han estado acelerando los trabajos, que en nuestra unidad hacemos tecnología, y son muchos meses antes lo que llevamos trabajando en proyectos. 

Figura 1: "Login with your Phone Number" o

cómo innovar a nivel de toda una industria

con Open Gateway

De algunos de los que voy a hablar mañana ya hemos contado información pública, como la integración de OpenGateway con Google para hacer "Login with Phone Number", o algunos otros que han salido como el lanzamiento OpenGateway en UK o el proyecto con Microsoft para acelerar la adopción de OpenGateway, y por eso os voy a dejar algo de info hoy para que no se mezcle con el ruido de mañana.

Figura 2: Lanzamiento de OpenGateway en UK

Como sabéis, OpenGateway es una iniciativa de la GSMA que esta transformando nuestra industria de telecomunicaciones. Es un proyecto maravilloso que necesita de cooperación internacional, de alineamientos de puesta en producción en múltiples operadores, y de cambios tecnológicos en las infraestructuras de todas las empresas de telecomunicaciones. Tuvimos el debate en el año 2022 y en el año 2023 anunciamos la firma de un acuerdo las primeras "Telcos", en aquel momento apenas diez, que comenzamos a trabajar no sólo en estar "ready" nosotros, sino de ir subiendo al proyecto a más países y más compañías.

Figura 3: OpenGateway en el mundo

Esta semana la GSMA ha anunciado uno de los mercados más importantes, como es el mercado de UK, pero la expansión de este proyecto por todo el mundo ha sido brutal, y ya son más de 280 empresas de telecomunicaciones las que estamos ofreciendo APIs CAMARA de la Linux Foundation estandarizadas en 28 mercados. Lo que supone más del 80 % del mercado. No os olvidéis que el tamaño de esta industria no tiene comparación con casi ningún servicio digital. Son 12 Billones de conexiones móviles las que tenemos hoy en día en nuestras redes - con identificadores únicos federados por todo el mundo - y sólo en 5G, Europa ha alcanzado a finales de 2024 la cifra de 200 Millones de conexiones. Y al mismo tiempo lo APIficamos, para que no nos aburramos.

Figura 4: Si visitas La Cabina puedes ver funcionando

la 4ª Plataforma en tiempo real en Telefónica de España.

Esta info es similar a la de Alemania, Brasil o UK, por ejemplo.

Nosotros, que comenzamos nuestro camino hace tiempo, tenemos todo en nuestro Kernel, donde servimos todas las APIs de servicios digitales, y por supuesto las de OpenGateway. El año pasado fueron 33Billones de API-Calls que se ejecutaron sobre nuestras redes y sistemas, donde - como somos "API first" y "One-Line of Code" - tenemos 184 de nuestras capacidades, así que este año hemos estado haciendo muchas cosas, con muchos clientes, que si eres de los que te informas en los canales correctos habrás podido ver ya, pero que os voy a ir contando, que son parte de mis charlas de esta semana.

Kernel como plataforma OG en Microsoft Azure

Como nuestro Kernel - antiguamente llamado 4ª Plataforma - es algo que tienen que tener todas las empresas que deseen publicar APIs de servicios digitales, con Microsoft anunciamos una co-inversión para crear un equipo de innovación con ingenieros para llevar nuestro Kernel al marketplace de Azure y que cualquier empresa lo pueda utilizar en sus sistemas. 

Figura 5: Telefónica y Microsoft amplían su colaboración para acelerar la adopción de Open Gateway en la industria a través del uso de Kernel

Para ello, vamos a migrar nuestro Kernel - que está en continua evolución - a las nuevas capacidades de Data Fabric de Microsoft, y ponerlo a disposición para que cualquier empresa lo pueda licenciar y usar en sus sistemas. Una "4P-as-a-Product". Con esto, cualquier empresa que quiera servir APIs OpenGateway lo va a poder hacer en Microsoft Azure fácilmente.

Login with Phone Number en Google Firebase

También hemos trabajo con los equipos de Google para poner las APIs de OpenGateway en sus componentes de desarrollo, y en concreto hemos puesto la capacidad de usar el API CAMARA de Number Verification en Google Firebase para que cualquier usuario pueda hacer "Login with your Phone Number" y sacar el máximo poder esa plataforma de identidad de 12 Billones por todo el mundo. Al final, en todos los servicios digitales o se usa el número de teléfono como "Login" o como forma de "Recuperar contraseña", así que el API de OpenGateway de Number Verification es para no pensárselo.

Figura 6: "Benefits for users, developers, and CSPs alike"

Al final, entre enviar un SMS/WhatsApp/Telegram/e-mail con un OTP para hacer login o para recuperar la contraseña, y no tener que enviarlo porque se usa el API de OpenGateway de Number Verification hay un salto enorme en varios aspectos. Uno de ellos, por supuesto, en seguridad, ya que no hay interacción humana que pueda ser engañado para dar el OTP a alguien, pero también en usabilidad, como dice el equipo de Google.

Cabify: O cómo hacer mejor sus servicios con OpenGateway

Por eso, los equipos de servicios digitales potentes están trabajando con nosotros desde hace tiempo para integrarlo en modo "One single line of code" en sus servicios. Uno de ellos es Cabify, que va a estar dando una charla el martes de cómo lo han integrado con el código delante, y que yo voy a contar mañana. Pero lo más importante es la experiencia. 

Figura 7: En el Talent Arena y la DevCON

Fijaos cómo cambia entre usar un SMS-OTP o con OpenGateway, en el vídeo siguiente. Hemos hecho la comparativa con SMS-OTP, pero es lo mismo con WhatsAPP-OTP o Telegram-OTP o e-mail OTP. Con el API de OpenGateway de Number Verification la experiencia es más segura, y más suave, o como se suele decir, más "Seamless". 

Figura 8: Experiencia Cabify con y sin OpenGateway

De todo esto, y de algunos anuncios más os voy a hablar mañana, que son muchos ya los clientes de OpenGateway que están en producción, y muchas más cosas que tenemos en innovación para el futuro - que es nuestro trabajo -. 

Conclusión

Es increible todo lo que hay que hacer en el mundo digital para conseguir algo tan mágico como "Login with your Phone Number". Hay que coordinar una industria entera para que en todo el mundo haya una única identidad federada. Hay que coordinar una industria entera para decidir estándares de interconexión y llamadas de APIs. Y hay que hacer mucha tecnología en tu empresa para poder servirlo con "One-Line of Code". Y estar en esto desde el principio es de lo más feliz que puede hacer a alguien como yo que ama la tecnología.  Si volviera a nacer, me dedicaría a lo mismo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)