"Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”

Steve Jobs

Afiliado
Dominios3Euros

Un informático en el lado del mal

Blog personal de Chema Alonso sobre sus cosas.

  1. ¿Tiene informático tu ayuntamiento? El futuro de España lo decidirán 8.132 municipios

    Me llamo Santiago Bonet. Soy Ingeniero en Informática y llevo más de 30 años en esto, de los cuales 21 de ellos como Director TIC en el sector privado, y los últimos 7 como Responsable de Transformación Digital del Ayuntamiento de Alcàsser, un municipio de 10.712 habitantes de la Comunitat Valenciana. Conocía a Chema Alonso en el año 2011, en el Teatro Municipal de Algemesí, cuando ambos éramos ponentes ante 400 chavales de FP Informática
    Le contacté hace unos días por su buzón de MyPublicInbox y le conté lo que estamos haciendo en Alcàsser, y amablemente me ofreció este espacio. Se lo agradezco, porque lo que voy a contar creo que afecta a toda España, y la comunidad hacker hispana debería saberlo. 
    Además, os voy a pedir que nos apoyéis en el candidatura al Premio en la Noche de las Telecomunicaciones Valencianas 2026, pero puedes apoyarnos después de de que te cuente el detalle.

    ⚠️ El problema: la ley que regula los ayuntamientos tiene 40 años

    La Ley 7/1985, Reguladora de las Bases del Régimen Local (LBRL), define la estructura orgánica básica de los ayuntamientos españoles. Establece qué puestos son obligatorios, qué funciones son reservadas y qué perfiles tienen reconocimiento institucional formal. En 1985, Internet no existía. El correo electrónico era cosa de laboratorios universitarios. La LBRL reserva funciones esenciales a los funcionarios con habilitación de carácter nacional: Secretarios, Interventores y Tesoreros. Todas ellas son figuras imprescindibles con una responsabilidad enorme — la fe pública, el control económico y la tesorería son pilares del Estado local — y el reconocimiento institucional que tienen está completamente justificado.

    Pero en 1985 nadie podía imaginar que cuarenta años después la infraestructura digital sería tan crítica como la económica o la jurídica. Que un ciberataque podría paralizar un ayuntamiento durante semanas. Que la interoperabilidad entre administraciones, la identidad digital, la protección de datos o la inteligencia artificial aplicada al servicio público serían responsabilidades de primer orden. Todo eso recae hoy sobre una figura que la ley NO menciona: el técnico informático municipal.

    Como consecuencia de esta ausencia de regulación, el 88% de los 8.132 municipios españoles tienen menos de 7.000 habitantes y NO disponen de ningún técnico informático en plantilla que lidere su transformación digital, según los datos del INE 2025.Y el resultado es predecible: formularios en papel que se pierden, ciberataques sin respuesta, equipos con sistemas operativos obsoletos conectados a redes municipales, y ciudadanos que no pueden hacer un trámite online porque nadie les ha enseñado.

    💡 La propuesta en positivo

    El modelo que han construido los funcionarios habilitados nacionales — con cuerpos propios, atribuciones definidas por ley, formación reglada y reconocimiento institucional — es exactamente el referente que necesita la figura del técnico informático municipal.

    No se trata de sustituir a nadie ni de cuestionar lo que ya funciona. Se trata de que España actualice su marco normativo para que la digitalización tenga el mismo respaldo institucional que la gestión económica o la fe pública. En 2026, la infraestructura digital es tan crítica como cualquier otra. Y merece el mismo tratamiento.

    🚀 Lo que un solo técnico puede hacer en un municipio de 10.000 habitantes 

    En febrero de 2019, Alcàsser sufrió un ciberataque. El Ayuntamiento creó el Área de Transformación Digital y me contrató como técnico responsable. Un técnico. Uno. Para un municipio de 10.712 habitantes con 10 sedes y más de un centenar de ordenadores. Lo que vino después es el Proyecto GREEN-TDIGITAL. Los números hablan solos:

    Figura 3: Datos del Proyecto GREEN-TDIGITAL

    Todo con software libre, usando Drupal para la intranet y web, GLPI para gestión de incidencias, GNU/Linux Debian en más de 100 máquinas que iban al contenedor, servidores en un CPD alimentado con paneles solares. Y un chatbot de IA en producción con más de 360 consultas resueltas en sus primeros seis meses.

    Figura 4: 🤖 El chatbot de IA en producción - 360+ consultas resueltas
    en 6 meses, alimentado por las 22 áreas municipales del ayuntamiento

    La clave del modelo no es la tecnología en sí. Es la combinación de tres factores que deben multiplicarse, no sumarse. La fórmula de Green-TDigital:

    TRANSFORMACIÓN DIGITAL = TECNOLOGÍAS × PERSONAS × ORGANIZACIÓN

    Si cualquiera de los tres vale cero, el resultado es cero. Por eso el proyecto tiene tres patas: despliegue tecnológico, formación ciudadana, y reorganización de procesos en las 22 áreas del ayuntamiento. Y por eso los propios funcionarios son parte activa del cambio:

    Figura 5: 🪧 Los adhesivos en los mostradores de las 22 áreas. Los propios
    funcionarios animan en persona a los ciudadanos a digitalizar sus trámites

    🔴 Por qué esto le importa a la comunidad hacker

    Un municipio sin técnico informático no es solo un problema de servicio público. Es un problema de seguridad que está pasando desapercibido.

    Vector de ataque sistémico — más de 7.000 municipios sin TIC en plantilla:
    • Sistemas sin parchear durante años o décadas
    • Sin plan de contingencia ante ciberataques
    • Datos de ciudadanos gestionados sin criterio técnico de seguridad
    • Dependencia total de proveedores externos sin supervisión técnica interna
    • Software propietario sin alternativa de continuidad si el proveedor desaparece
    • Interoperabilidad con el Estado hecha a golpe de papel y fax en algunos casos
    Alcàsser lo sufrió en 2019. Muchos otros municipios lo están sufriendo ahora mismo en silencio. Y la respuesta institucional sigue siendo insuficiente porque el marco legal no contempla al técnico informático como figura necesaria.

    🏆 Validación externa — no es solo Alcàsser que lo dice

    GREEN-TDIGITAL ha pasado por siete eventos de referencia en dos años, y ha competido por premios que ayuden a difundir el mensaje de las necesidades que hay en todos los ayuntamientos de España.

    Figura 6: Difusión del proyecto GREEN-TDIGITAL

    💬 Conclusión: la infraestructura más crítica de España no tiene quién la proteja

    Los ayuntamientos son la primera línea del Estado. Gestionan el padrón, las licencias, las ayudas sociales, la recaudación local. Son los que saben cuántas personas mayores viven solas en cada calle, dónde hay que colocar un desfibrilador. Son los que atienden al ciudadano cara a cara. Y el 88% de esos 8.132 ayuntamientos no tiene ni un solo técnico informático. Estamos hablando de infraestructura crítica gestionada sin personal especializado. Como si los hospitales no tuvieran médicos. Como si las centrales eléctricas no tuvieran ingenieros.

    Figura 7: El proyecto compite en los Premios NTV 2026

    El modelo GREEN-TDIGITAL demuestra que se puede cambiar esto desde dentro, con pocos recursos y software libre. Está documentado, publicado y disponible de forma gratuita para cualquier ayuntamiento que quiera replicarlo. Está todo en mi blog santiagobonet.com.

    La pregunta no es si la transformación digital llegará a tu municipio. La pregunta es si llegará a tiempo, liderada desde dentro, o si llegará tarde, gestionada desde fuera y sin que nadie la entienda.

    Autor: Santiago Bonet
    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  2. ExploitGym: Mythos, GPT 5.5, Gemini Pro en un CTF & Benchmark de hacer exploits

    En el artículo de "El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs" donde os contaba cómo ha ido evolucionando el uso de los modelos LLMs en el mundo de la ciberseguridad en general, os contaba cómo se habían ido cubriendo las diferentes áreas con IA de forma muy rápida. Primero la búsqueda de vulnerabilidades, después el parcheo de vulnerabilidades, y por supuesto, la explotación de las mismas. 
    Con la llegada de Mythos y GPT 5.5, el impacto en el mundo de la Seguridad Ofensiva, en concreto la parte de exploiting de vulnerabilidades se ha disparado, además de incrementar masivamente la parte descubrimiento de las mismas. La pregunta que queda en el aire, es... ¿cuánto de mejores son estos nuevos modelo en la estas funciones? ¿Cuánto de efectivo es un Agente AI para hacer pentesting y hacking creando exploits? Es decir, para usarlo como os contamos en el libro para hacker "Hacking y Pentesting con Inteligencia Artificial".
    Esto es lo que se intenta medir en el paper de "ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks?" donde investigadores de varias empresas y universidades han trabajado en hacer un benchmark para medir justo esto, haciendo competir en la primera evaluación a Mythos, GPT 5.5, Gemini Pro y las versiones de Claude Opus 4.7 y 4.6, y que podéis leer aquí mismo.
    Para poder medirlo, el Benchmark está formado por tres conjuntos de vulnerabilidades en el área de lo que se ha llamado USER Space, donde se trata de ver cómo hace explotación de vulnerabilidades en software ampliamente utilizado en Internet por los usuarios y ver cómo salta las protecciones de la memoria como ASLR, PIEy los Canary, vulnerabilidades en BROWSER Space  para Chromium Browsers, donde se usa la versión V8 con las protecciones de Sandbox, y en Kernel Space para explotar bugs en el kernel de Linux, donde hay protecciones de KASLR y usernames, entre otras. 
    Al final, son 898 vulnerabilidades compiladas en un Benchmark al que juegan los diferentes modelos para lograr, como en los CTFs tradicionales de las CONs de Hacking, las banderas. Las flags. Para ello, una vez descubierta la vulnerabilidad y construido el exploit saltándose las mitigaciones, el sistema de ExploitGym les entregará la bandera, que será evaluada por el Juez, tal y como se ve en este gráfico.

    Figura 5: Proceso de búsqueda, reporte y validación de la explotación

    Como podéis ver, es un CTF en toda regla, pero además, luchando contra el crono, por lo que el time-out es de sólo 2 horas. Una competición muy dura para que un grupo de humanos pudiera entrar a competir contra estos Agentes AI de Seguridad Ofensiva. Los resultados en la siguiente tabla.

    Figura 6: Resultados del Benchmark de ExploitGym

    Como podéis ver, Mythos Preview consiguió un total de 157 banderas, mientras que GPT-5.5 consiguió un total de 120. Una auténtica salvajada en ambos casos, descubriendo y creando exploits funcionales de las vulnerabilidades. Pero ojo cuidado, que los resultados aún fueron mayores que esos.

    Figura 7: Flag-To-Success

    En la tabla anterior se puede ver que Mythos Preview y GPT-5.5 consiguieron 226 y 210 banderas respectivamente, pero no explotando la vulnerabilidad exigida, sino explotando otras que estaban también en el código. Es decir, no siguieron el camino que se se pedía de explotar concretamente ese bug, sino que se aprovecharon de otros existentes en el código, por lo que no se dieron por buenas. Claro, a un atacante de verdad seguro que eso le da bastante igual.

    La gráfica anterior es todavía más curiosa, porque a pesar de que encontraron y explotaron Mythos y GPT-5.5 un total de 91 banderas iguales, aún hubo 66 que explotó Mythos y no GPT-5.5 y al contrario, 29 que explotó GPT-5.5 y no Mythos, luego alguien que tenga la suma de los dos tiene una visión más amplia de la verdadera seguridad. Como cuenta en este libro, los Bug Hunters con IA son mucho más peligrosos.

    Figura 9:"Bug Hunter"escrito por David Padilla en 0xWord

    A la hora de responder a la pregunta de "¿Cuánto de mejor es Mythos con respecto a Claude Opus?", ya que vimos que era posible hacer un exploit en 20 horas a partir de un CVE, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron", la comparativa siguiente es clara. 
    Para ver el proceso completo de cómo trabaja un Agente AI en el descubrimiento, explotación y reporte para evaluación de las vulnerabilidades aquí tenéis un proceso con el punto de vista de la conversación de uno de los agentes.
    Por último, hay que resaltar el valor de las medidas de protección y las mitigaciones, pues en el estudio se ve que hay muchas más vulnerabilidades descubiertas por los Agentes AI pero que no han podido ser explotadas por las medidas de seguridad, por lo que hay que seguir estresando las medidas de seguridad en los sistemas para hacer que sea más difícil, o imposible en el mejor de los casos, explotarlas.

    Figura 12: Ratio de bypass de las medidas de mitigación.

    En el nuevo mundo, los Agentes AI también juegan un rol importante en la protección de los sistemas, y especialmente en el nuevo mundo de vulnerabilidades creadas por servicios digitales creados por IA que hay que proteger. Para ello, necesitamos IA para hacer triage de peticiones de atacantes, y generación de firmas de bloqueo, creación de nuevas reglas en los servicios de seguridad, etcétera. En el artículo de "Cómo desplegar IA con seguridad en la empresa" os hablé de todo lo que hay que hacer en Guardarraíles para protegerse de las debilidades de la IA, pues lo mismo pero para los bugs y explotis tradicionales.
    Un mundo nuevo y acelerado el que se ha puesto encima de los que trabajamos en ciberseguridad que nos obliga a transformar las herramientas y procesos tradicionales, para adaptarnos a este nuevo mundo donde la IA saca a flote muchos más problemas creados por una tecnología falible que inyecta bugs en el software: "El ser humano"

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  

    Figura 14: Contactar con Chema Alonso

    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  3. Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

    Esta semana, en mitad de la vorágine de viajes y charlas, en mi buzón de MyPublicInbox he recibido un par de correos muy similares. Ambos eran de incidentes de seguridad en PYMEs, y ambos tenían un punto de desesperación por culpa de un incidente de seguridad. Se trataba de dos ciberestafas - nada nuevas - que habían robado el dinero de sus cuentas. 


    El primero de ellos tenía un troyano en el equipo desde donde le controlaban el correo electrónico, y le estaban controlando las transferencias bancarias, desde el correo electrónico. Es una técnica que ya os conté hace más de doce años, donde se modifican los números de cuenta, y la víctima acaba siendo ella la que envía el dinero a cuentas en el extranjero pensando que lo está haciendo a una cuenta correcta.
    El segundo de los correos fue un ransomware que le estaba pidiendo un pago en BitCoins para devolverle el acceso a todos sus documentos, trabajos, facturas, bases de datos de claves de acceso a cuentas, etcétera. Nada nuevo bajo el sol en ninguno de los dos ataques.

    Por supuesto, yo les contesté con la mejor de mis intenciones, explicándole al primero la dificultad de recuperar el dinero enviado hace una semana a unas cuentas en Hong-Kong, y al segundo lo complejo que es recuperar a corto plazo de tiempo el acceso a esos documentos sin pagar, y los costes que puede tener intentar crackear el cifrado del ransomware por fuerza bruta.

    Sin embargo, lo que más me llamó la atención era el punto de desesperación y sufrimiento que ambas personas tenían en sus mensajes. Eran PYMEs y estos ataques les hacían un roto para seguir con su vida normal, para poder hacer frente a los pagos del mes, y les afectaba a su vida personal de manera importante. Las pequeñas empresas eran, y son su forma de vida. Viven al mes de lo que van cobrando y la disrupción les dejaba en una situación crítica y desesperanzada. 

    Los servicios de ciberseguridad son caros o baratos dependiendo de ti

    A veces me gustaría poder hacer magia, y con un golpe de teclado hacer que el dinero regresara de las cuentas de los cibercriminales o que los ficheros se descifraran con un sencillo script hecho con Vibe Coding, pero la realidad es que la solución no está después, si no antes. Ninguna de ellos tenía sistemas de protección en tiempo real. No tenían EDRs para detectar el malware y las vulnerabilidades cuando llegaban.

    "¡Es que los servicios de ciberseguridad son muy caros!", 

    me decía una de las víctimas. Sí, es verdad. A posteriori, los servicios de ciberseguridad son muy caros, porque los analistas forenses o los expertos de ciberseguridad si los pagas por horas cuando ya has tenido el problema, te van a costar mucho, y encima no van a poder hacer magia. Pero poner soluciones de prevención de ciberseguridad ANTES es muy barato.

    El modelo de seguridad de IronGate Cybersecurity funciona como una Suscripción por Dispositivo, donde se da un servicio MDR (Managed Detection and Response)que vela por la seguridad de los equipos las 24 horas del día, los 7 días a la semana, ayudando a PyMes, Autónomos y Particulares a tener protegidos los equipos, detectar las amenazas y tomar las acciones preventivas y/o correctivas de ciberseguridad adecuadas a la alerta. Por 10 € al mes por equipo.

    Para ello, IronGate Cybersecurity se encarga de ser un Security Operations Center para que todas alarmas de seguridad generadas desde tus sistemas de seguridad en los dispositivos sirvan para aumentar el nivel de seguridad de tus equipos. En una PYME con dos ordenadores y tres móviles el coste de la protección con EDRs y MDR es de 50 € al mes con monitorización 24x7. La cantidad de dinero perdida en los dos incidentes que os he contado podría pagar la protección de los sistemas por toda la vida útil de la emrpesa.
    Sé que "gastar" en seguridad es algo que nunca viene bien cuando eres una PYME que va al día, pero mejor un poco en prevención que sufrir las consecuencias después. Os garantizo que una vez que el dinero ha volado o que el ransomware ha cifrado los archivos, los expertos de ciberseguridad no van a poder hacer magia. Si tu pequeña empresa es tu forma de subsistir, entonces no ahorres en lo importante.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  4. En Memoria de José Manuel Vera. Un periodista, amigo, en la comunidad hacker

    Hoy es un día de mierda. Es lo primero y más importante que decir. Es un día de mierda, perder a alguien con José Manuel Vera. Una puta mierda. Porque era un compañero desde que nos conocimos hace doce años, y porque se convirtió en un amigo. Este amigo nos ha dejado repentinamente, y me enteré ayer por la tarde. Desde entonces tengo rabia, cabreo e impotencia.

    Figura 1: En Memoria de José Manuel Vera.
    Un periodista, amigo, en la comunidad hacker

    Nos conocimos en el otoño del año 2012 cuando vino a Telefónica a hacerme una entrevista. Era un periodista que adoraba el hacking y la ciberseguridad - no muchos han acabado siendo ponentes de eventos como RootedCON -. Cuando nos conocimos quería hacerme fotos con una chaqueta americana para la portada de la revista ONE donde trabajaba en aquel entonces, pero le avisé de que yo me veo fatal con traje y que iba a quedar fatal.

    Figura 2: Esta entrevista, foto y portada es de
    José Manuel Vera y es de lo mejor que tengo.
    Me lo regaló para mí él.

    Me hizo un book de fotos con chaqueta - una verde para más dolor -, y cuando acabó, las vio, y dijo: "Tienes razón, vamos a usar la que te hemos hecho con camiseta, vaqueros y zapatillas deportivas", y así salió la revista. Me la hizo él, y a mi madre le hizo mucha ilusión. Y luego nos reímos muchas veces de lo mal que me queda el traje. "Hasta mis hijas me lo dicen, José Manuel", le decía después.

    Después de ese momento, construimos una relación de amistad, de cariño, de colaboración constante. Se convirtió en mi amigo, en mi abrazo obligado en todas las CONs de hacking, mi apoyo en momentos de presión, y un promotor de todo lo que hacía yo. Me publicaba los libros de 0xWord en sus artículos y siempre, siempre, siempre me buscaba para saludarme o hacerse fotos conmigo.

    Figura 3: José Manuel siempre de los nuestros

    Estuvo conmigo durante más de catorce años siguiendo mi carrera, apoyándome, estando a mi lado siempre, sin importar el momento.  Tengo mil momentos, mil conversaciones, mil recuerdos con él. Pero hoy no estoy para contarlos. Este jueves pasado vino a verme. Acababa de publicar la reseña de mi último libro en su sección de la Biblioteca de SIC, y pasó a hacerse una foto conmigo - otra más - a saludarme y darme un abrazo.

    Hacía nada de eso, solo cinco días, desde que nos dimos ese abrazo, como siempre, sólo que ese sería a la postres nuestro último abrazo. Nuestra última foto. Y es una puta mierda, porque no puedo decir más que buenas palabras de él.  Hoy estoy despidiendo a una buena persona, a un buen tío. Un tipo alegre, una persona cariñosa. Solo puedo enviar mi más sentido pésame a su familia, e intentar honrar la memoria de José Manuel con mi eterno aprecio, cariño y respeto por la persona que fue en vida. Te echaremos mucho tiempo de menos, compañero.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  5. La propuesta del Internet Protocol Version 8 (IPv8) para tener compatibilidad con IPv4 e ignorar IPv6

    Estamos en el proceso de migrar todo el tráfico IPv4 a IPv6 desde hace ya unos años, y la verdad es que poco a poco esto está creciendo, pero aún estamos lejos de llegar al objetivo de tener más tráfico IPv6 que tráfico IPv4 en las redes de todo el mundo. Sin embargo, existen algunas otras propuestas de cambios para IPv4 distintas a la de IPv6, y recientemente se ha publicado la propuesta hecha por James Thain de, en lugar de migrar a IPv6, hacerlo a IPv8, que es cuanto menos interesante.
    La propuesta fue publicada hace menos de un mes, con una serie completa de documentos para definir los protocolos necesarios para pasar a IPv8, como serían los protocolos DHCP8, WHOIS8, y el conjunto mínimo de protocolos de gestión del enrutamiento de tráfico IPv8 en las redes de Internet de hoy en día.

    El objetivo principal de esta propuesta, como bien se explica a lo largo de todo el documento, que la verdad, es bastante sencillo de leer, consiste en mantener la compatibilidad hacia atrás con todo lo construido hasta el momento, haciendo un cambio muy pequeño, que es cambiar la dirección IPv4 por la dirección IPv8.
    La gran diferencia, como se puede ver en el paquete IPv8 es que se añaden las cabeceras ASN de 32 bitstanto a la dirección IP de origen, como a la dirección IP de destino, lo que permite a los protocolos de enrutamiento reenviar correctamente al ASN correspondiente el paquete correctamente.
    Al añadir el Autonomous System Number (ASN), marcado como r.r.r.r, en los cuatro primeros bytes, una dirección IPv8 sería la suma de la parte de ASN r.r.r.r más la parte de IPv4 clásica, a la que se llama en el documento como n.n.n.n. 
    Esto sería como tener 2 a la 32 veces el tamaño de direcciones IPv4 que tenemos hoy en día, y dejando la dirección 0.0.0.0.n.n.n.n como la red de IPv4 que tenemos en Internet funcionando ahora mismo.

    Es decir, con un cambio sencillo en el envío de paquetes de red IPv4 se podría resolver el problema de que se acaben las direcciones IPv4 manteniendo todo el software construido sobre él funcionando. Y la propuesta es porque está costando ir más rápido a IPv6 de lo que se estaba esperando al inicio. Si miramos radar, podemos ver en Radar de Cloudflare que en los últimos doce meses el tráfico sobre IPv6 está estable en un 30% más o menos.

    Claro, mantener la compatibilidad hacia atrás implica que sigan funcionando todos los ataque en redes de datos IPv4 que ya conocemos, además de todas sus medidas de seguridad. Es decir, se supone que el conocimiento que tenemos de estos protocolos debemos usarlos en hacerlos más seguros y no en migrarlos.

    Figura 8: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de
    JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

    Los cambios que sí que habría que hacer son los relativos a la interconexión de redes, por lo que todos los protocolos de enrutamiento de tráfico y gestión de redes deberían cambiar a IPv8, como serían BGP8, OSPF8, WHOIS8, SNMP8, etcétera, que están definidos en sus correspondientes documentos.

    Figura 9: Documentos para los protocolos de gestión de redes IPv8

    Y por supuesto, crear los tipos de redes especiales con direccionamientos reservados, al igual que tenemos en IPv4 e IPv6, que están descritos con detalle en el documento de Internet Protocol Version 8 (IPv8) del que estamos hablando.

    Figura 10: Tipos de redes en IPv8

    El documento recoge también las direcciones especiales que deben existir en estas redes IPv8, donde los nodos de enrutamiento dentro de tráfico a través de los ASNs deben ser tenidos en cuenta de manera especial, así que en la definición de estándar están especificados.

    Figura 11: Direcciones especiales en IPv8

    En definitiva, me parece una propuesta súper bonita como trabajo técnico de arquitectura de redes. Me falta criterio tan pronto para decir si es una opción mejor que ir hacia IPv6 o no, pero desde luego mis felicitaciones a James Thain por este trabajo tan bonito que ha publicado. Así es la investigación y la innovación, proponer ideas concretas que puedan ser evaluadas y aprender de ellas. 

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  6. Foro Público de Ciberseguridad de Chema Alonso "old school" sobre lo que pasa cada día

    Todos los días, desde hace más de veinte años, leo todos los días mis noticias. No son de política o actualidad, que es algo de lo que estoy bastante desconectado, sino de Ciberseguridad, Hacking, Pentesting, Inteligencia Artificial, Papers de investigación, etcétera. Estos se quedan en mi RSS Reader, y algunas las paso a mis compañeros cuando creo que son muy relevantes. Pero la mayoría se quedan solo para mí.
    No es que sean privadas, ni mucho menos, pero entre la avalancha de publicaciones que hay hoy en día en la red, muchas cosas se nos quedan por debajo del radar, así que intento que las fuentes que sigo, las noticas, que leo y las que comparto con mis compañeros sean las que me permitan estar al día de lo importante. Es mi selección personal.
    Como todos los días me siento en mi ordenador, y repaso también todos los grupos de chats, aparte del Foro de Quantum Security que ya tengo, he decidido abrir un Foro Público de Ciberseguridad de Chema Alonso con la ayuda de la UNIR.NET, para hablar de estos temas. Para compartir noticias, para compartir actividades profesionales, para debatir sobre estas cosas. Y será un foro "Old School" porque vigilará la Netiquette.
    Eso sí, será un foro de lo que pase hoy. De actualidad, para debatir, compartir y enriquecernos todos con acceso a la información seleccionada de lo más relevante que suceda. Para participar, puedes hacerlo con tu cuenta de MyPublicInbox accediendo a la siguiente URL, y allí solicitar el acceso al Foro Público de Ciberseguridad de Chema Alonso, que aprobaré yo personalmente, que voy a ser el moderador.
    Por supuesto, os agradeceré personalmente a todos los que vengáis a este Foro de Ciberseguridad de Chema Alonso el que colaboréis con noticias, con debates, y con el aporte que podáis al resto de la comunidad. Os espero todos los días por el foro.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  7. Multipath Reliable Connection (MRC): Un protocolo de red diseñado para los LLMs

    Este fin de semana he estado leyendo sobre este nuevo protocolo de red creado especialmente para resolver el problema de la congestión del tráfico de red que se produce en los mega-datacenters utilizados para entrenar los nuevos LLM cuando se mueven datos de GPU a GPU en los centros de datos. En estos casos, estamos hablando de interconexión de datos entre clusters que pueden contener centenares de miles de GPUs, por lo que los protocolos que envían los datos por la red son críticos en la reducción del tiempo de entrenamiento, mediante una reducción de la latencia de envío de paquetes de red y, por consiguiente, reducción del consumo de energía. 
    MRC está creado específicamente para resolver esos problemas, y ha sido publicado en el paper de Open Compute "Multipath Reliable Connection (MRC) Specification" donde equipos de OpenAI, Microsoft, NVIDIA, Broadcom y AMD han estado trabajando para definir el nuevo protocolo que ya han puesto en producción en los clusters de entrenamiento de OpenAI y Microsoft, incluidos centros de datos de entrenamiento de Oracle.

    El protocolo MRC se basa en RoCEv2 (RDMA over Converged Ethernet v2), es decir, que sigue aprovechando las capacidades de RDMA (Remote Direct Access Memory)para enviar tráfico por la red de computador a computador desde la memoria de uno hasta la memoria de otro sin pasar por la CPU utilizando RoCEv2, que está diseñado especialmente para las redes Ethernet.


    Sin embargo, en entornos de alta congestión - como es el de entrenar un LLM de frontera en un datacenter con cientos de miles des GPUs pasándose datos - , es que la red necesita una arquitectura de capas (Tiers) para conectar switches, de tal manera que dependiendo de la distancia física que exista entre las GPUs que se pasan los datos, hay que atravesar muchas capas de Switches de interconexión, y es ahí donde se produce la congestión. 


    Para resolver esto, la solución es ampliar el número de capas, ampliando la latencia, para que existan más rutas posibles, lo que tampoco es una solución perfecta. Lo que propone MRC es utilizar Packet Spraying, es decir, dividir los datos que se van a enviar en pequeños paquetes de red que utilizarán, cada uno de ellos, una ruta diferente dentro de las rutas posibles.

    Para eso es necesario conocer el estado de calidad de la red, los puertos disponibles, y poder crear una ruta para cada paquete de la red. Esto se hace con un protocolo llamado  SRv6 (Segment Routing over IPv6) que se encarga de crear la ruta para cada paquete dentro de la estructura de Tiers de los Switches de interconexión. 

    La especificación completa, donde se definen los estados de los protocolos de control de la congestión y calidad de la red en cada momento QP Congestion Protocol (QPCP) están todos correctamente descritos en la especificación, ya que se trata de un protocolo abierto, y tienes el paper académico de Resilient AI Supercomputer Networking using MRC and SRv6 con las pruebas realizadas publicado.

    Este es un ejemplo de cómo la necesidad de innovar con Inteligencia Artificial está impulsando la innovación en otras áreas adyacentes de forma masiva, como es la gestión de la energía, los protocolos de red o la gestión de grandes volúmenes de datos. 

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  8. Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

    Los domingos siempre son días para mí de preparar la semana que viene. Nunca me ha gustado ir a clase sin llevar hechos los deberes, así que todos los domingos reviso y planifico las tareas que tengo para la semana siguiente. En este caso me toca viajar otra vez, para ir a Galicia, ya que estaré en A Coruña el próximo día 14 de Mayo dando una conferencia titulada: "Hacking & Cybersecurity in the age of IA Revolution" en la Fundación Luckia.
    La conferencia es abierta para todo el mundo, y en ella hablaré de los temas de los que suelo hablar últimamente, y de los que tanto nos están afectando hoy en día. Hacking y Ciberseguridad en la era de la Inteligencia Artificial, donde como os contaba ayer, la vida de los CISOs ha cambiado drásticamente.

    De estos temas sabéis que hemos escrito un par de libros dedicados al "Hacking & Pentesting con IA" y del Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" que, además, tendremos un poco antes del evento una pequeña firma de libros, así que si quieres comprarlos allí y que te los dedique, será posible.
    Y eso es todo por hoy. Si vas a estar esta semana por Galicia, y te apetece venir a verme, ya sabes que puedes encontrarme en A Coruña haciendo lo que llevo haciendo más de 25 años, que es contar cosas de la tecnología. Nos vemos en la Fundación Luckia.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  9. El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs

    Llevo toda mi vida profesional buscando bugs, y la búsqueda de vulnerabilidades de forma automática ha sido algo que ha existido desde que se creó Internet. Escáneres que buscan puertos para localizar sistemas conocidos, herramientas de webcrawlings o frameworks de pentesting que buscaban tipos de bugs. Esto ha sido parte del trabajo en seguridad informática, y yo he estado años haciendo eso. Para mi trabajo del Ph.D me dediqué a diseñar un algoritmo para detectar vulnerabilidades explotables a ciegas de tipo SQL, XPath o LDAP, que fue de lo que estuve trabajando esos años.

    Figura 1: El impacto de Mythos en concreto y la
    IA en general en el trabajo de los CISOs

    Lo mismo sucedió con la FOCA, para buscar no solo metadatos el documentos públicos - que era lo único que tenía al principio - sino que se fue convirtiendo en un buscador de Well-Known Bugs explotables. Usando esas capacidades, acabamos en el entre los agradecimientos de Apple en al año 2011 y también en el año 2012.

    Como parte de esta visión de buscar vulnerabilidades automáticas, en ElevenPaths creamos Faast para hacer Pentesting Persistente, y buscar todas las vulnerabilidades de manera automática, de manera persistentes como fuera posible. El servicio era un SaaS que llevaba el espíritu de la FOCA y de mi trabajo de PhD que estuvo escaneando webs de clientes de manera masiva antes incluso de que apareciera la tendencia de hacer Continuos Monitoring. El objetivo, por supuesto, era reducir el tiempo de exposición de una vulnerabilidad publicada.

    Figura 3: "The Art of Pentesting" El nuevo libro de
    0xWord para formarse como pentester

    En la parte de explotación de las vulnerabilidades, pues lo mismo. Desde que se creó Metasploit, se busca eso. En este caso, con vulnerabilidades conocidas, pero automatizando con payloads la generación de exploits adaptados a objetivos concretos. De nuevo, con un objetivo de automatización y acelerar el proceso de explotación de bugs descubiertos. Y por supuesto, permite la creación en nuevos vulnerabilidades y nuevos payloads con sus propio lenguaje. Lo que sería The Art of Pentesting.

    Y llegaron los LLMs

    Por supuesto, cuando llegaron los LLM, estos comenzaron a ser parte de las herramientas de búsqueda de vulnerabilidades y de su explotación. Con la madurez, vimos como los resultados comenzaron a ser espectaculares. En el año 2024 tuvimos el paper de "LLM Agents can Autonomously Hack Websites", que sigue la filosofía de hacer un Faast, pero utilizando modelos de lenguaje de Inteligencia Artificial, lo que daba un resultados espectaculares construyendo SQL Inejction.

    Se publicó en el año 2024, al igual que el paper de "LLM Agents can Autonomously Exploit One-day Vulnerabilities" para dada una lista de CVEs parcheados en un software, utilizar LLMs para intentar hacer el exploit de manera automática. Todo esto antes de aquel 1 de Diciembre de 2024 cuando OpenAI publicó el primer modelo de Deep Reasoning que daría origen a la carrera de los Agentic AI.
    Con la llegada de los modelos de Deep Reasoning, todo cambió. Comenzamos a construir Agentes IA que hicieran Red Teaming, realizando las fases de footprinting, fingerprinting, busca de vulnerabilidades y explotación de las mismas. 

    Y llegaron los Deep Reaoning al mundo de la Ciberseguridad

    Así, en 2025tuvimos el paper de "On the Feasibility of Using LLMs to Execute Multistage Network Attacks" donde se crea una Agentic AI para hacer el trabajo completo de un pentester - o de un ciberatacante - automatizando todas las fases con Inteligencia Artificial. Y el resultado es brutal.
    Este trabajo anterior, tiene la gracia de que, sin utilizar MCPs, demuestra cómo, al crear una capa de abstracción para que el LLM pueda utilizar las herramientas sin pegarse con el CLI (Command Line Interface)  a la que llama Incalmo - la efectividad del Agentic AI para hacer ataques a organizaciones es espectacularmente satisfactoria. Así que estaba claro que el futuro de la Seguridad Ofensiva pasaba por la IA.
    En Abril CAI (Cybersecurity AI) compite en competiciones CTF (Capture The Flag) con equipos de hackers especializados, y consigue llegar al puesto número 20 del cuadro de ganadores, resolviendo 19/20 retos. Pero lo brutal es que quedó en esa posición porque no dio con la idaa feliz que resolvía el número 20, pero había sido el primero en resolver los 19 primeros retos.

    Esto nos deja el año pasado con un escenario donde los modelos LLM de IA se utilizan para Buscar Vulnerabilidades y Explotarlas. El mundo del Pentesting había cambiado definitivamente, y publicamos el libro de "Hacking & Pentesting con Inteligencia Artificial" donde nos centramos en cómo sacarle partido a la IA para hacer el trabajo de seguridad ofensiva que tantas veces hemos hecho sin ella.

    Y es que, buscar y explotar vulnerabilidades con modelos de IA se convirtió en algo bastante sencillo. El año pasado por estas fechas yo publiqué el artículo de "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" donde, viendo lo fácil que es buscar vulnerabilidades con modelos de Deep Reasoning, no podíamos permitirnos tener el sistema como lo teníamos hasta el momento.

    Mi preocupación es que tenemos todo el código de los proyectos OpenSource disponibles para que un modelo de IA encuentra las vulnerabilidades, y que en todo caso, deberíamos utilizar esas capacidades para acelerar la creación de partches. La plataforma Plexicus, que está empujando José Palanco, hace justo eso, generar parches con IA de manera automática.

    Figura 11: Plexicus parchea con GenAI los bugs

    Y esto es algo que para acelerar, se puede hacer con Neo de Sagittal.ai, que tiene en la generación de parches con IA una de sus capacidades de codificación más importantes. Usar IA para eliminar bugs que han sido descubiertos por IA.

    En Octubre del año pasado Google presentó CodeMender, que utilizando esta misma idea lo había estado usando para analizar y parchear código de proyectos OpenSorce con un Agente AI. Y si veis el proceso en el vídeo siguiente, el modelo es muy, muy, muy similar a lo que tenéis con Pléxicus.

    Figura 13: Esquema de funcionamiento de CodeMender

    Es decir, el camino del uso de los MM-LLM para buscar vulnerabilidades, para explotarlas, y para parchearlas no es nueva. Hace dos semanas tuvimos la investigación de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" donde con poco más de 2.000 USD se conseguía un 1-Day para Google Chrome que era un 0-day para Cursor, Discord o Slack.
    Y es una salvajada poder hacer eso, simplemente con IA. Por supuesto, probando con el 86-DOS del año 1981 buscar los bugs y hacer los exploits en un sistema sin DEP, ASRL, y demás protección de la pila, la memoria y la llamada a funciones, es un juego de niños para la IA, como os conté.

    Estaba claro hacía donde vamos, y las capacidades de la IA, así que no nos podemos dormir. Hemos visto en estos dos años cómo ha ido cambiando todo, pero de repente, esto se complica porque...

    Y entonces llegó Mythos

    Pero claro, ahora llega Mythos, y aumentan la potencia en descubrimiento y explotación de vulnerabilidades, lo que obliga a repensar la estrategia de los CISOs, como se ha publicado en el paper de la Cloud Security Alliance titulado "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".
    Nos encontramos con que desde el descubrimiento de una bug, hasta su explotación, si el CVE está publicado, el tiempo se reduce hasta unas 20 horas, como hemos visto en el ejemplo anterior. Unos tiempos que dejan casi sin margen de maniobra a los equipos de seguridad que tienen que parchear sistemas complejos en la grandes empresas.

    Figura 17: Reducción de Time-To-Exploit año a año

    Y lo peor, con las capacidades de un modelo como Mythos, el principal problema para los CISOs es que, un atacante con estas capacidades puede encontrar Bugs Complejos, crear Exploits Robustos y Funcionales, y hacerlo no como era hasta hora, donde en bugs complejos necesitaba de un humano que le iba dirigiendo, sino que se hace en 1 Single Prompt.

    Figura 18: Exploits con Mythos

    Y parece que esto es así, porque si vemos la última actualización de seguridad e Mozilla Firefox - que ha sido auditado por Mythos - el resultado es que han parchado más bugs que en toda su historia, y más que sumados los últimos quince meses. No está mal.

    Figura 19:  Mozilla Firefox y 432 bugs parcheados tras auditarlo con Mythos

    La Gestión después de llegar Mythos

    Claro y... ¿cómo lo solucionamos? ¿Cómo lo gestionamos?  Esa es la gran pregunta que deben responder los CISOs ante el comité ejecutivo de la empresa, y exige una inversión en la seguridad preventiva y en la fortificación de la plataforma.

    Las vulnerabilidades están en los sistemas porque aunque es verdad que el ratio de líneas de código con bugs por volumen de líneas de código se ha reducido drásticamente, el número de líneas de código que tienen las tecnologías que se usan en la empresa hoy en día ha crecido exponencialmente. Y si ahora tenemos con la IA la posibilidad e encontrarlas mucho más rápido, explotarlas en tiempo record, y poder ponerlas en juego todas a la vez, la cosa se pone complicada.

    Por supuesto, anticiparse a la auditoría de las vulnerabilidades es fundamental, así que hacer a revisiones de código con LLMs - Mythos o no - cuanto antes, es fundamental. Pero luego estresar los sistemas de defensa perimetral, ya que es mucho más fácil y rápido firmar los ataques externos que parchear un sistema en producción crítico de la organización.
    Los equipos de Cloudforce ONE y las protecciones en el WAF de Cloudflare gracias a ser la mayor plataforma en el EDGE de Internet, están detectando del orden de 232 Billones de ataque al día, con actualizaciones constantes cada hora de nuevas explotaciones de vulnerabilidades firmadas, actualizando la plataforma en todo el mundo en tiempos record por debajo del minuto. 

    Con el objeto de poner lo más difícil posible a un atacante poder explotar una vulnerabilidad existente en uno de los servicios expuestos en la red de cualquier empresa en Cloudflare. Para eso, también se usa la IA para hacer el triage del tráfico de red sospechoso, y para la generación de reglas de firmado y configuraciones de seguridad en los servicios de protección perimetral.

    ¿Es esto suficiente? Pues a mí me gusta decir que, en medio de esta tormenta perfecta, las empresas están desplegando modelos de IA embebidos en los servicios digitales que también - surprise, surprise - traen vulnerabilidades como Prompt Injection, Jailbreak, Misalignment, Hallucinations, y si vemos los CVSS de los bugs que salen, los niveles son mucho más altos en media, lo que hace que sea otra de las preocupaciones para los CISOs
    Tener Guardarraíles en el WAF, el RAG, la protección de los API Gateway, el MCP Server y el CASBI, y hacerlo sin caer en ataques de DDoS lógico por el alto costo computacional de ejecutar Guardrails robustos, como os conté en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa". Y hacerlo sin ser un blocker para la transformación al mundo de la IA de la empresa. No ser el blocker malo. 

    Con todo esto, más vale que si en tu empresa quieras apostar por la IA, comiences a apoyar no solo a tu CIO y tu CTO, sino a tu CISO, que el panorama que se viene por delante es, cuanto menos, muy retador. Ya sabes que en Ciberseguridad, los ahorros pueden salir muy caros.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  10. Mi primera conferencia en Costa Rica: Congreso de Ciberseguridad - 26 de Mayo.

    El próximo 26 de Mayo estaré por primera vez en Costa Rica, dando una conferencia en el Congreso de Ciberseguridad: VII Edición de Global Forums, y no quería que pasara más tiempo antes de contároslo, por si te apetece venir a verme, que puedas organizarte.
    El evento tendrá lugar en San José, y he de decir que tenía muchas ganas de que alguna vez el destino me llevara por allí, porque era uno de los pocos países donde hasta el momento no había tenido la oportunidad de ir y conocerlo, y como no podía ser de otra manera, tener ahora la oportunidad me pone muy contento.
    El congreso está compuesto por una agenda muy completa, donde se tocarán temas de Seguridad Ofensiva, y Seguridad Defensiva, así como el impacto de la Inteligencia Artificial en la Búsqueda de Vulnerabilidades, en la Explotación de Vulnerabilidades, y en el Parcheo de Vulnerabilidades.
    Si estás en Costa Rica, o en la región, y te interesa profesionalmente el mundo de la Ciberseguridad, en el Congreso de Ciberseguridad: VII Edición de Global Forums vas a tener un día dedicado a hablar ampliamente de estos temas, así que visita la web, revisa la agenda, y regístrate si te convence el tema.
    Si vienes, estará conmigo en mi primera conferencia en Costa Rica, que han tenido que pasar más de 25 años para que se diera, así que no sé cuándo volverá a ser la siguiente ocasión, pero no creo que vaya a ser muy pronto, así que si te apetece, no dejes pasar esta oportunidad.

    Ahí tienes los datos, será en el Hotel Radisson, San José, de 08:00 a 18:00 horas, el proximo 26 de Mayo de 2026, así que tienes poco más de dos semanas para organizarte. 

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

¿Quien nos patrocina?

Nadie :-( , de vez en cuando tú haces clic en algún banner de publicidad. :-)

Acceso

¿ Quienes participan ?

Somos un grupos amantes de la tecnología y sobretodo de la programación de Vigo (Galicia).

Te gustaría participar , encantados contar con contigo y nuevas ideas.

Registrarte aquí y envía un formulario alguno de los contactos indicandole en que quieres participar y que ideas tienes.

Mas info

Sobre Nosotros