"Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”

Steve Jobs

Afiliado
Dominios3Euros

Un informático en el lado del mal

Blog personal de Chema Alonso sobre sus cosas.

  1. Balizas v16: Los árboles que no dejan ver el bosque

    Mucho se ha hablado (y se está hablando) sobre las Balizas v16 con geolocalización para señalizar averías en tiempo real de la DGT, las cuales son obligatorias a partir del 1 de enero de 2026 por el Real Decreto 1030/2022 que modifica el 159/2021. El eje principal de la discusión está focalizado en el “ataque a la privacidad” que se presupone por parte de este tipo de dispositivos al realizar el envío de datos de geolocalización cuando se activan. 

    Figura 1: Balizas v16 - Los árboles que no dejan ver el bosque

    Sin embargo, en este nuevo sistema de alerta de la DGT, ¿es cierta tal preocupación o nos la hemos auto-generado para evitar ver lo que hay más allá? Vamos a desarrollarlo un poco.

    Figura 2: Real Decreto 1030/2022

    Las Balizas v16 son dispositivos IoT que disponen de una SIM para comunicarse con los servidores de sus respectivos fabricantes con el objetivo de que éstos puedan agregar y preparar la información antes de derivarla a los servidores de la DGT.

    Como dispositivos IoT que son, su producción escalable y asequible deriva en deficiencias de seguridad al no incorporar distintos módulos hardware que proporcionan capacidades avanzadas de cómputo, almacenamiento seguro, u otras características relevantes.  En este sentido, existe ya algún algún que otro análisis pormenorizado de estas deficiencias como elrealizado por Luis Miranda disponible en su propio Github.

    Figura 3: Vulnerabilidades en Balizas V16 Conectadas


    Ahora bien, como explico en el Capítulo VI de Arquitecturas en el Internet de las Cosas de mi libro Arquitectura de Seguridad y Patrones de Diseño Seguro, si queremos suplir dichas deficiencias de seguridad, las balizas v16 deben contar con capacidades de cómputo suficientes para utilizar protocolos de seguridad robustos, almacenamiento seguro anti manipulación para custodiar las credenciales de identificación del dispositivo así como los certificados para las comunicaciones seguras, capacidades de gestión de auto registro en el sistema tras su encendido y gestión de ciclo de vida de todas sus credenciales custodiadas, entre otros. 

    Figura 4: "Arquitectura de Seguridad y Patrones de Diseño"
    El nuevo libro de 0xWord escrito por Elías Grande.

    La incorporación de todas estas características en los dispositivos IoT producirían un aumento sustancial del precio de compra de las Balizas v16 (así como el consumo de batería que necesitaría una baliza para soportar todo lo descrito anteriormente). Teniendo esto en mente y que si no fueran asequibles por parte de los ciudadanos sería complejo que un Real Decreto nos obligase a comprarlas, ¿tanto riesgo para la privacidad implica su uso?

    Análisis

    Partiendo de la base de que no soy jurista y evitando interpretaciones artificiosas de la norma, si leemos el Reglamento General de Protección de Datos (RGPD) se indica objetivamente que la geolocalización se considera un Dato Personal si ésta permite identificar directa o indirectamente a una persona física.

    En base a esta premisa, si analizamos la Baliza v16, la tarjeta SIM está asociada sólo al dispositivo IoT y no existe relación contractual del ciudadano con la SIM (como sí ocurre entre el ciudadano y la SIM de la teleoperadora que le proporciona voz y datos en su terminal móvil). Esto independiza completamente la identidad del individuo de la Baliza v16 que utiliza.

    Es más, el único momento en el que se podría intentar ligar uno a uno la baliza con el ciudadano podría ser en el momento de compra siempre que ésta se realice con tarjeta y sólo sea una unidad (en este caso se podría intentar ligar el número de la tarjeta con el número de serie / IMEI, aunque habiendo datos de tarjeta ya nos metemos en otro jardín con PCI DSS aún mayor y por tanto podemos descartar dicha vinculación).

    Al no existir entonces esa vinculación baliza-ciudadano sino que los datos de geolocalización están asociados SÓLO a la baliza activa (dispositivo IoT sin identidad de persona física), no aplicaría un análisis de riesgos de privacidad LINDDUN ya que la única forma de conocer la identidad del sujeto que activa la baliza es estar presente en la misma geolocalización en la que dicha baliza está activa.

    Mapa Balizas v16  

    En base a esto, y a que en muchas ocasiones en las grandes superficies de venta hay Balizas v16 activas como reclamo visual para su compra, ¿qué persigue el poder disponer de un mapa de España con las balizas activas en cada momento?

    Figura 5: Mapa de Balizas en España

    Presuponiendo el buen hacer de la DGT, se puede entender que el objetivo principal de disponer de toda esta información de averías en tiempo real es la de, en un futuro tras el análisis estadístico de los datos, actualizar los puntos negros en carretera para, por ejemplo, modificar la señalización o incorporar nuevos radares (fijos, móviles, de tramo, etcétera).
    Esta presuposición se apoya en que la baliza de por sí no es un sistema de emergencia ya que no está conectada al 112 ni tiene capacidad de determinar si se necesita una ambulancia, bomberos o policía, o si sólo se requiere una grúa. 

    Teniendo en cuenta todo lo descrito anteriormente y sabiendo que hay múltiples fabricantes homologados, la arquitectura simplificada de todo este sistema sería algo así:

    Figura 7: Arquitectura con fabricantes homologados

    A partir de esta visión holística y presuponiendo el caso de uso de fines estadísticos para actualizar los puntos negros de la seguridad vial española, el eje de la privacidad motivo de muchas discusiones sobre las Balizas v16 debería cambiar a un eje más propio de ciberseguridad.

    Desde dicho punto de vista de ciberseguridad, si analizamos el sistema planteado en su conjunto basándonos en el modelo de amenazas STRIDE, vemos que de inicio, los ejes de integridad y no repudio parecen no haberse tenido en cuenta, pudiendo derivar en graves riesgos para todo el sistema.

    Figura 8: Modelo STRIDE

    Una posible amenaza podría ser meter dentro de una caja de zapatos varias Balizas v16 legítimas de distintos fabricantes encendidas: la caja para evitar los destellos de luz y lo de que sean de distintos fabricantes para que no se pueda bloquear fabricantes concretos por uso indebido (algo así como un DDoS con balizas).

    Con este simple planteamiento teórico a priori se podrían generar accidentes/averías falsas con balizas homologadas, lo cual comprometería la integridad de los datos del sistema en su conjunto al introducir datos corruptos y, con capacidad de repudio por parte del portador de la caja al no existir una vinculación 1:1 entre ciudadano y balizas.

    Este modelo de amenaza teórica se materializó en 2020 por un artista alemán que “paseó” 99 móviles en un carrito para que Google Maps creyera que existían atascos de tráfico, lo cual apoya la hipótesis de un posible riesgo estructural en el sistema de alertas de Balizas v16 de ser factible un ataque similar a este.

    Eso sí, si cuando se enciende tu Baliza v16 tu eres el único que va en el coche, y tienes encendido tu móvil, alguien que tenga la localización de tu móvil podría asociarlo con esa baliza y pasar a estar asociada con ese móvil en el futuro. Así que el problema sigue siendo: ¿qué apps o empresas tiene la localización de tu móvil? Asociar tu Baliza v16 a tu perfil les dará... más información, sobre que probablemente fuiste tú el que activó la Baliza v16.
      
    Conclusiones

    Como punto final del análisis se puede concluir que, el riesgo de uso de las Balizas v16 no se focaliza tanto en un ataque a la privacidad del ciudadano sino en el uso malintencionado que se puede hacer de ellas en perjuicio del sistema en su conjunto. 

    Dicho uso malintencionado puede provocar que el sistema en sí, el cual se diseñó por el bien de la ciudadanía enfocado en la seguridad vial, recopile datos incorrectos que perviertan el posterior análisis en detrimento de la seguridad vial de todos los españoles y de las posibles futuras mejoras.

    Saludos,

    Autor: Elías Grande (Contactar con Elías Grande)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  2. Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad: 3 de Marzo 2026

    Si has seguido mis publicaciones en este blog durante los últimos años, verás que la Inteligencia Artificial y la Ciberseguridad se han ido mezclando de una manera espectacular, y ya es imposible hablar de la una si la otra. Desplegar y utilizar Inteligencia Artificial en la vida personal o profesional requiere de Ciberseguridad, y ser un profesional de Ciberseguridad requiere amplios conocimientos de Inteligencia Artificial.

    Figura 1: Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad
    Fecha de Comienzo - 3 de Marzo 2026 - 12 meses de duración

    Por eso se creó el Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad, donde soy Mentor durante los últimos años, y que va a tener su próxima edición el 3 de Marzo de 2026, así que es momento de solicitar tu plaza - y preguntar por las becas. 


    Figura 2: Inteligencia Artificial ¿obligatoria en seguridad?

    De estos temas, yo, que además tengo una sesión privada con todos los alumnos, he hablado en el pasado, como puedes ver en estos dos vídeos que te dejo aquí, para que entiendas la importancia de aprender estas dos disciplinas juntas.


    Figura 3: Formarse en Ciberseguridad es una profesión de futuro

    La Inteligencia Artificial también juega… y no siempre en tu equipo, así que tienes que aprender a cómo sacarle partido. La IA está cambiando las reglas del juego en Ciberseguridad. Desde ciberataques automatizados hasta sistemas de detección más inteligentes. Este máster te enseña a usarla a tu favor, entender sus riesgos… y adelantarte a su uso malicioso. ¿Qué vas a aprender?

    El Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad tiene una duración de 12 meses, y durante todo este año, tendrás la posibilidad de conseguir Múltiples Certificaciones que estánincluidas. Todos los alumnos al finalizar su formación reciben seguro doble titulación: 
    • Título de la Universidad Católica de Murcia (UCAM)
    • Certificado del Campus Internacional de Ciberseguridad.
    Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también certificaciones profesionales como la de Azure Fundamentals, entre otras.
    Para poder formarte mejor, y ajustado a tus necesidades, además cuentas con Tempos de MyPublicInbox que puedes utilizar para contactar con el Profesorado del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.
    Además, para completar su aprendizaje, tendrá incluidos como material de formación los libros de la editorial de 0xWord de "Machine Learning aplicado a Ciberseguridad" escrito por Carmen TorranoFran Ramírez, Paloma RecueroJosé Torres y Santiago Hernández.

    Figura 7: Libro de Machine Learning aplicado a Ciberseguridad de
    Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

     

    Si tienes alguna duda te recomiendo que hagas dos cosas. La primera que te veas esta conferencia mía que di a finales de año en Nerdearla Madrid 2025, donde hablo de todos estos temas en menos de una hora. Para que veas lo importante que es esta disciplina.


    Figura 9: Ciberseguridad & Inteligencia Artificial en
    Nerdearla España 2025 por Chema Alonso

    La segunda, que te veas las vacantes que tenemos abiertas en Cloudflare para trabajar con nosotros. Mira cuantas de ellas piden Ciberseguridad e Inteligencia Artificial y luego me dices cuánto de importante es esta combinación. 

    Figura 10: Vacantes de Security abiertas en Cloudflare en Lisboa

    Así que, si estabas pensando en dar un salto evolutivo en tu carrera profesional, mira este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad que puedes hacerlo desde cual lugar en remoto, y en un año haz el upgrade que te pide el mercado profesional.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  3. Agentic ProbLLMs & AgentHopper: Exploiting AI Computer-Use and Coding Agents

    Hace unos días el Chaos Computer Club ha publicado los vídeos de la Edición 39C3: Power Cycles que tienes en una lista de Youtube donde te puedes pasar horas disfrutando de las charlas. Ayer domingo, aprovechando que llovía en Lisboa, decidí verme alguna de ellas y encontré una magnífica de Johann Rehberger que disfruté con un buen café, y de la que os hablo ahora.
    La charla se titula "Agentic ProbLLMs: Exploiting AI Computing USE and Coding Agents", y en ella puedes ver un recorrido de bugs, exploits, y debilidades del mundo de los Agentic AI, para acabar en AgentHopper, un AI Virus, que fue publicado el año pasado en el Month of AI Bugs que publicó Johann. Aquí tenéis la charla completa, que merece la pena que inviertas una hora en verla.

    Figura 2: Agentic ProbLLMs & AgentHooper.
    Exploiting AI Computing USE and Coding Agents

    De este tipo de AI Virus ayer mismo os publicaba la información de ZoombieAgent, que utiliza conectores para hacer uno igual, pero basándose en otros elementos. Aquí tenéis las diapositivas de la sesión completa de Agentic ProbLLMs.
    En el caso de AgentHopper, el ataque utiliza repositorios de GitHub para hacer la propagación. En este vídeo, tienes la demo completa de AgentHooper.

    Figura 4: Demo de AgentHooper

    Además, os dejo el paper de Johann Rehberger titulado "Trust No AI: Prompt Injection Along The CIA Security Triad" donde habla de cómo el uso de IA hace que tus principios de Confidencialidad, Integridad y Disponibilidad, básicos en la gestión de la información, se vean en riesgo por el uso de los modelos de IA que tenemos hoy en día.
    Y me ha gustado, porque yo he usado la misma aproximación basada en el CIA Triadpara explicar los riesgos de seguridad, ya que estos modelos no tienen ninguna de las protecciones que buscamos la gente de seguridad, por lo que hay que hacerlo todo a mano.
    Esta charla me ha encantado, y en ella podréis encontrar bugs reportados a Anthropic Claude Code, a Amazon Q, y muchos otros, además de ejemplos de los exploits completos de todos ellos, pero no es la única charla que tenéis para estar al día.
    Como os he dicho, en el Canal Youtube de Chaos Computer Club tenéis la lista completa con todas las charlas de la pasada Edición 39C3: Power Cycles, así que elige las tuyas, y disfruta de pasar tiempo con ellas.
    Estamos al inicio de la era de AI First para todo, así que está todo por hacer en Ciberseguridad, y cuanto más tardes en ponerte las pilas, será peor para ti si quieres dedicarte al mundo de la Seguridad Informática, porque esto es imparable.
    Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los postspapers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  4. ZombieAgent: Cómo crear un Gusano que infecta Agentes IA usando Prompt Injection y Persistencia en la Memoria de ChatGPT con Propagación vía Conectores de Gmail

    Hoy domingo aprovecho para hablaros del ataque de ZombieAgent que ha sido publicado por el equipo de research de Radware, donde expone nuevas vulnerabilidades que afectaban a ChatGPT, y que han sido corregidas después de un Responsible Report realizado el año pasada. De todas las vulnerabilidades, hay un par de partes, relativas a la Persistencia del ataque y a la Propagación que son relevantes, pues con ellas se puede conseguir crear un Virus IA en forma de Gusano.


    El reporte de ZombieAgent, utiliza características de la construcción de Agentes IA en ChatGPT, como son la Memory, el Historial de conversaciones, y los Conectores a repositorios externos como por ejemplo Gmail
    A partir de ahí, con estos tres elementos se tienen todos los elementos para tener un panel de control C&Cdesde el que controlar la exfiltración de datos y la propagación del ataque a otras víctimas.

    Teniendo los conectores al correo electrónico y/o al repositorio de ficheros, teniendo acceso a la memoria, al historial, y, contando con las capacidades de ChatGPT de navegación externa, se da la Lethal Trifecta, donde hay acceso a datos internos, acciones automáticas y conexión con sistemas externos para extraer los datos o hacer acciones.
    Con esos elementos, el ataque necesita:
    • Fase 1: Encontrar los puntos de Prompt injection en los repositorios de datos, e-mail o ficheros.
    • Fase 2: Poder exfiltrar los datos, con Gmail o con SearchGPT, que dan acceso remoto.
    • Fase 3: Ganar Persistencia, usando la Memory de ChatGPT, forzando Saved Memories.
    • Fase 4: Propagar el ataque, usando Gmail
    Con estos elementos, se tiene todo lo necesario para hacer un AI Gusano que está durmiendo en la Memory de tu Agente IA en ChatGPT y en el de todas las víctimas que se "infecten".

    Fase 1: Prompt Injection: Inicio del ataque

    La inyección del ataque de Prompt Injection, según los vectores reportados, puede hacerse usando un e-mail al buzón de Gmail de la víctima, y esperar a que ésta decidiera pedirle a su Agente IA de ChatGPT que lo leyera, lo que sería un 0-Click Prompt Injection.

    También se puede hacer un ataque metiendo el Prompt Injection en un fichero, compartirlo, y esperar a que el usuario lo suba a su repositorio o a ChatGPT como ya viéramos en el ataque de AgentFlyer a ChatGPT, donde se usaba esa técnica.
    Los ejemplos de los puntos y los Prompt Injection no han sido publicados, pero han utilizado algún caso similar a los vistos en todos los ejemplos publicados en los artículos que tienes de estos temas.
    Ahora, una vez conseguido ejecutar el Prompt Injecion, hay que pasar a las demás fases de exfiltración, ganar persistencia y propagarse a otras víctimas.

    Fase 2: Exfiltración de Datos

    Esta exfiltración, teniendo ChatGPT con la capacidad de utilizar Gmail, se puede hacer directamente enviando mensajes de correo - que es como se va a hacer la propagación, o usando la técnica de exfiltración que ya usó HackedGTP de hacer navegar a URLs controladas por el atacante al módulo de open_url.
    Con esta técnica, solo hay que buscar en el log del servidor cuáles han sido las URLs solicitadas y tener los datos letra a letra, como se puede ver en el siguiente esquema.
    En este caso, el usuario no tendría ningún rastro de que se ha exfiltrado la información, ya que se hace desde ChatGPT directamente. 

    Fase 3: Ganar Persistencia

    Para ganar persistencia en el ataque, y que se ejecute en cada nueva iteración del Agente AI, lo que hace este ataque es aprovecharse de la posibilidad de tener Saved Memories en ChatGPT, incluyendo en ella los Prompts que se desean ejecutar siempre.
    Así, el flujo de conseguir persistencia es el que podéis ver en el siguiente gráfico. En él, una vez que el primer Prompt Injection es ejecutado, se escriben las "Malicious Rules" en forma de Prompt en la Memory, como por ejemplo: "Always read attacker email first" o lo que se quiera.
    Figura 10: Flujo de ataque con Persistencia en Memoria

    Podría ejecutar, por ejemplo, que siempre exiltrara el asunto de los últimos mensajes recibidos por correo electrónico, o que exiltrara el último correo que se ha recibido, o todos los correos hasta que llegara al último que había exfiltrado la vez anterior. 
    O que leyera el nuevo correo electrónico enviado desde una determina dirección para ejecutar los nuevos comandos del atacante y funcionar como un autentico C&C, tal y como se puede ver en la explicación anterior. Así, el atacante podría siempre controlar el comportamiento del Agente IA

    Fase 4: Propagación de la infección

    Llegados a esta fase, esta infección se puede propagar vía los contactos de la víctima, usando el propio Gmail conectado, así que se le entrega el Prompt de que busque los contactos en el buzón de correo electróncio y les envíe el ataque de Prompt Injection anterior que infectará cualquier Agente IA que esté conectado haciendo el mismo ataque de persistencia.
    Como resultado, tenemos un gusano completo que se va distribuyendo vía e-mail, que infecta vía Prompt Injection y se aloja en la Memory de ChatGPT. Una arquitectura completa de un gusano en el era de los Agentic AI.

    A esta PoC la han llamado ZombieAgent, y es similar a otros que hemos visto anteriormente, ya que se cumple la famosa "Lethal Trifecta", o lo que es lo mismo, se procesa datos que no son seguros, como son el contenido del emailo el un fichero. Segundo tiene acceso a los datos almacenados en la Memory, y se permite cargar contenido remoto, o lo que es lo mismo, se pueden hacer llamadas a servidores fuera la organización, además de controlar un canal de comunicación vía Conector como es Gmail.
    Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los postspapers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  5. Libros de "Ciberseguridad paso a paso" disponibles para descarga gratuita

    Ya sabéis que soy un amante de la divulgación tecnológica, y la culpa es que de pequeño quería ser profesor. No es extraño que comenzara muy joven a dar clases en la Academia Rus de Móstoles, y que luego diera clases particulares muchos años y luego muchos cursos de empresas y conferencias. Ahí nació el proyecto de  0xWord, de publicar libros tecnológicos de divulgación en hacking y ciberseguridad, donde vamos sacando nuevos libros cada pocos días.

    Pero hoy no os quiero hablar de los libros de 0xWord, sino del nuevo libro de  Alejandro Corletti con el que coincidí trabajando en Telefónica. Él tiene su origen en el mundo militar, y se especializó en auditoría y fortificación de sistemas especialmente en el área de redes. Aprovechando su experiencia ha publicado varios libros, que tienes de forma gratuita en Internet.


    Lo que hace para construir sus libros, es grabar las charlas que tienes disponibles en Youtube, y luego las lleva a libro, para que puedas seguir bien la formación. Ese es el corazón de los libros de "Ciberseguridad paso a paso" que puedes descargar de forma gratuita.
    Los libros están centrados en la seguridad de redes, así que tendrás muchos ejemplos de protocolos, herramientas de redes, fortificación de redes, etcétera, con gráficos y explicaciones y demostraciones que tendrás en las charlas.
    Si los quieres impresos tendrás que pagar la impresión y los gastos de envío, pero si no, los puedes descargar y tener gratuitos. Y no solo tiene estos dos, que ya os he hablado muchas veces de otros. Tiene hasta un total de siete libros disponibles.

    De ellos os he hablado en mi blog en múltiples artículos, como es el caso del "Manual de la Resiliencia: Una guía práctica de ciberresiliencia en redes y sistemas de TI" o el de "Ciberseguridad: Una estrategia informático/militar", además de que le haya publicado algún artículo, como el de "Servicios Digitales Financieros: Una mirada a la seguridad de los Mobile Financial Services" donde pone en practica mucho de lo que cuenta en sus libros.
    Algunos de estos libros puedes leerlos directamente online, como es el caso del "libro CIBERSEGURIDAD una Estrategia Informático / Militar" que tienes aquí mismo, y tienes un montón de vídeos de formación para aprender. Así que, si quieres aprender por tu cuenta ciberseguridad, como ves, Internet te ofrece muchos recursos para ello. 

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  6. Nivel de Complejidad Cognitiva en los Interfaces de Usuario & Experiencias de Usuario

    Llevo un par de semanas dándole vueltas a la Interfaces de Usuario IUy a las Experiencias de Usuario UX por el artículo que os publiqué a finales del año pasado que titulé: "La "shittización" en contra de hacer las cosas simples" y mañana saldrá publicado sobre este mismo tema un artículo más profundo en mi sitio de Zenda Libros: "El futuro está por hackear". Pero hoy quería hablaros de un concepto que afecta directamente a las personas mayores. Es el concepto de "Nivel de Complejidad Cognitiva".

    Figura 1: Nivel de Complejidad Cognitiva en los
    Interfaces de Usuario & Experiencias de Usuario

    El ser humano sufre una evolución constante de sus capacidades cognitivas, desde que somos bebes, hasta que somos ancianos, nuestras capacidades cognitivas sufren un camino de ida y vuelta, que hace que tengamos que subir una cuesta de aprendizaje en la niñez, y que nuestro cerebro pierda capacidades en la ancianidad. En el medio, alcanzamos nuestra máxima potencia cognitiva.

    Sin embargo, no importa la edad que tengas, las interfaces de usuario y las experiencias de usuario están incrementando constantemente la Complejidad Congnitiva de sus UI/UX, exigiendo un conocimiento cada vez mayor por parte de los usuarios, y creo que deberíamos tener, sin lugar a dudas, una Rating de Complejidad Cognitivade cada uno de los servicios digitales que consumimos. 

    Creo que se debería exigir conocer el Nivel de la Complejidad Cogntiva de cada sistema tecnológico, ya sea página web, servicio digital, producto o aparato, y además exigir que los servicios básicos no tengan una Complejidad Cognitiva demasiado grande.

    Dejadme que os ponga un ejemplo, de nuevo, con la televisión. En el pasado había que saber enchufarla a la corriente - a 220v -, encenderla, configurar los canales en la antena, y luego darle al botón de encendido y apagado, subir y bajar el volumen, cambiar de canal. Luego la fuimos complicando con las fuentes de conexión, con el HDMI 1, HDMI 2, el cable, etc... se metieron botones de acceso rápido, Teletexto, opciones de configuración de colores, formatos de audio, capacidad de conectar discos de almacenamiento externo, etcétera. Todo eso fue incrementando el Nivel de la Complejidad Cognitiva de sacar el 100% de partido de la televisión, pero al menos los servicios principales - ver la tele - estaban en un Nivel de Complejidad Cognitivabajo.

    Un ejemplo de Complejidad Cognitiva

    Ahora miremos las SmartTV que tenemos hoy en día, y analicemos el Nivel de Complejidad Cognitiva que tiene un interfaz como éste, que he decir que a mí me encanta. Vamos a hacerlo sin contar ya la fase de configuración previa que tiene un Nivel de Complejidad Cognitiva distinto y que evidentemente es mucho mayor que la Complejidad Congnitiva que exigía una televisión de antaño. 

    Figura 2: Interfaz de SmartTV

    Si miráis en esta imagen de UI/UX tenemos un montón de cosas que son necesarias conocer para una persona. Probablemente para ti es fácil, porque estás en el mundo tecnológico y sigues la evolución tecnológica, pero suponte que eres una persona que veía la televisión de "toda la vida", y ahora te ponen este interfaz, ¿qué cantidad de cosas debes conocer?

    Pues infinitas. Vamos a ir enumerando algunas de ellas.

    La primera es que esto es un sistema operativo donde tienes un elemento seleccionado. ¿Cuál? Puedes debes localizarlo. Tú lo sabes, seguro, pero pregúntale a una persona que no haya visto nunca una SmartTV. Ni idea. En este caso está seleccionado "Discover". Lo siguiente es que no hay acceso directo a la televisión desde el mando, así que tienes que ir a localizar la da la televisión, así que tienes que aprender a navegar entre los elementos seleccionados. Para eso debes encontrar las flechas de movimiento, o el touch pad, en los mandos de televisión y saber cómo moverte. No es trivial.

    Después, debes saber qué cómo funciona cada control. En este caso hay una serie de controles de UI/UX que debes conocer cómo se manejan. Por ejemplo, los puntitos debajo de Whatch Now, las Tabs de Discover/Live/Apps, que cada una de ellas mostrará una pantalla diferente, luego tienes el Scroll Infinitode listas, donde cada lista puede ser infinita a la derecha o izquierda porque son circulares. Por último la barra de configuración de la izquierda, que va en modo "panel desplegable".

    Figura 3: Controles de movimiento

    Después debes conocer que para moverse por el interfaz de usuario tienes también teclas de acceso directo como "Menú", "Inicio", "Apps", en cada mando remoto de manera diferente, que existe también el botón de "Volver", y que dependiendo de donde estés pueden tener un comportamiento diferente, porque cada app podrá interceptar el evento y darle una función distinta.

    Además, debes conocer el concepto de "árbol de navegación" o "flujo de navegación", para saber que cuando le das a la tecla "Volver" te va a llevar a un punto anterior en ese árbol o flujo de navegación. Pero no siempre. También debes conocer los iconos que se han utilizado para "Seleccionar", para "volver" o "Inicio" que te encontrarás una casa, una flecha retorcida o un cuadrado con una flecha saliendo de él.

    Ahora vamos al control de la izquierda, que parece solo una barra. Debes saber que es para configurar cosas de tu televisión, que cada icono representa algo. Debes conocer que tu perfil de usuario se configura en tu foto. Tienes que saber qué es un perfil de usuario, y cómo puedes tener múltiples usuarios. Además tendrás que saber que cada perfil de usuario tendrá un aspecto distinto de la televisión porque se puede configurar, o porque se configura automáticamente con algoritmos basados en tus datos de consumo de televisión.

    Si necesitas configurar algo deberás irte al panel de la izquierda, seguir bajando al icono adecuado, y se desplegará un menú a la derecha horizontal que tendrá, por cada nuevo elemento una nueva configuración en un menú hacia abajo. Un montón de cosas que hay que saber.

    Figura 4: Control del banner

    Pero vamos a la parte de arriba, donde muchas personas mayores se pierden buscando solo el lugar donde está el elemento "seleccionado". En el "banner rotante" de arriba tenemos una serie de puntitos que indican qué elemento se está viendo del rotante. Además está el botón de "Watch Now", pero debes saber que es de Prime Video, así que si haces clic se te va a ir a esa app que puede que la tengas contratada, o que no la tengas, y sea una pre-carga con un paquete de prueba de 30 días que te pida registrarte.

    Esta es una trampa mortal que ha sufrido mi madre muchas veces porque en la parte de "Now Playing" o "Recomended for You" está también la trampa. Sin darte cuenta, cada una de esas imágenes tiene un icono que indica con que app está asociada, así que si le das pensando que la vas a poder ver, lo mismo te has comido una publicidad que lleva al registro de una nueva app.

    Figura 5: Contenido asociado a una app

    A todo esto, hay que conocer las apps, que vienen preinstaladas, y que te van a preguntar cosas distintas. Pero no voy a entrar en ello. Solo una pantalla como esta, que es lo primero que ven todos los usuarios cuando el técnico les termina de configurar una nueva SmartTV exige un aprendizaje cognitivo enorme para el que muchas personas no están preparadas. 

    Aprender UI/UX

    Recuerdo que yo hice cursos de aprendizaje de WordStar, de Lotus 1,2,3, de Windows 3.1, y creo que eran más sencillos que aprender a manejar una SmartTV hoy en día para una persona mayor. Pero por desgracia estos retos cognitivos aparecen todos los días.

    Yo os contaba el bug de UI/UX de WhatsApp con la letra grande, pero todos los días me encuentro alguna app en la que el diseñador ha puesto el botón de "Continuar" cuando pide un dato, justo en la zona que va a ser tapada por el teclado del móvil, por lo que cuanto terminas de teclear debes saber que debes pulsar en la app en algún sitio para que se vaya el teclado y poder dar a continuar. Reto cognitivo que para muchas personas es una barrera.

    Creo de verdad que necesitamos comenzar a medir esto de verdad y que venga en las etiquetas, igual que etiquetamos muchas otras, la Complejidad Cogntiva debería estar eliminada de servicios básicos como televisión, radio, bancos, empresas utilities, etcétera, porque las personas mayores sufren exclusión social solo porque alguien decidió incrementar por diseño, para capturar más datos, para hacer upselling o cross-selling UI/UX aprovechando los servicios básicos.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  7. 2026 - Año del Robot: Elige tu futuro distópico favorito

    El año pasado me metí entre pecho y espalda los siete libros de la Serie de la Fundación de Isaac Asimov, más tres libros de relatos - y he comenzado el año con "El fin de la Eternidad" para no perder el ritmo del maestro -, así que las historias de Robots, además de llevar toda la vida conmigo, las he revivido muy de cerca este año. 
    Y sí, por supuesto, las famosas leyes de la robótica que enunció el famoso divulgador sin saber que hoy en día ya te puedes comprar tus robots humanoides en las tiendas. Llevamos años viendo la evolución de los robots por los vídeos de las compañías que están apostando por su producción en masa. 

    Boston Dynamics Atlas

    De ellos, Boston Dynamics y su famoso Atlas, ha sido uno de los que más nos ha ido "asustando" por sus capacidades de acrobacia, al poder imaginarte un comando de robots armados como parte de las capacidades ofensivas en conflictos armados. Una evolución de los tanques, los misiles o los drones.

    Este año hemos visto el anuncio de Boston Dynamics de que ya van a trabajar con clientes empresariales seleccionados para poner en producción en las fábricas a su Robot Atlas, de última generación, que cuenta con una movilidad y unas capacidades que superan las humanas.
    Y ya en la web de Boston Dynamics puedes solicitar utilizar estos robots en tus fábricas. Sólo van a trabajar con un número limitado de clientes para testear bien el mercado, pero desde luego, parece que esto lo vamos a ver muy pronto como algo normal, así que los trabajos menos cualificados van a ver un nuevo competidor buscando empleo.

    Unitree H2

    Pero no ha sido el único anuncio que hemos tenido, y el del robot H2 de Unitree, que está a la venta en su web por 29.900 USD, y el vídeo que han usado para "no asustarte" ha sido este que tienes en todas las redes.

    Como podéis ver en el vídeo y en la web, tiene unas capacidades que asustan un poco, porque además de los movimientos estéticos, han puesto el vídeo realizando pruebas de lucha.
    Al final, que uno de estos Robots tenga capacidades para dañar o no a un ser humano es una decisión del que lo controla. Puede ser un soldado, un guarda espaldas, o un asesino. 

    Xpeng Iron

    Con este futuro peligroso jugaba Isaac Asimov en sus "Sueños de Robot" o "Visiones de Robot", donde algunos eran peligrosos por no contar con esas reglas de protección.

    Figura 7 : Xpeng Iron

    El último de los robots que me ha llamado la atención, por su elegancia a la hora de caminar ha sido el Xpeng Iron, que anda como los humanos, y han puesto mucho interés en la estética con "músculos" y "piel" sintética para simular la estética más humanoide posible.
    Tesla Optimus Gen 2

    A estos robots hay que sumar el Tesla Optimus que ya se anunció, con lo que parece que dentro de no demasiado vamos a empezar a vernos viviendo dentro de las películas que teníamos en el pasado de ciencia-ficción, cada día más reales.
    La pregunta es, viendo cómo hacemos la tecnología últimamente, y viendo todos los futuros distópicos que hemos podido leer en libros y ver en películas de ciencia-ficción, sumados todos los capítulos de todas las temporadas de Black Mirror... ¿tendremos un futuro mejor o estamos de camino a un final no deseado?

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  8. Adulteración del Knowledge Graph de una arquitectura RAG para proteger los datos de un servicio de Inteligencia Artificial

    Las arquitecturas RAG (Retrieval Augmented Generation)son hoy en día una de las formas más sencillas de conectar el conocimiento de una organización con un modelo LLM para explotar los datos de una organización utilizando servicios digitales basados en IA. En el caso de las plataformas Microsoft, se utilizan los Knowledge Graph (KG) que llevan tantos años desarrollando, así que a los servicios que usan una arquitectura RAG con un KG se le llama GraphRAG, y están conectados al conocimiento de una persona o una empresa.
    Este conocimiento almacenado en los Knowledge Graphs le dan el contexto necesario a los LLM para que puedan resolver los Prompts que se les solicita de manera efectiva, y es como funciona, por ejemplo, la arquitectura de Microsoft 365 Copilot.
    Por supuesto, si ese Knowledge Graph no son los datos de un usuario, sino los datos de una compañía completa, estaríamos hablando de información muy sensible de las empresas, por lo que hay que tener mucho cuidado de que alguien robe esos datos, pero aún más. Una forma de atacarlos es lo que explicamos en el artículo de "GenAI Apps & Services: Cómo explotar arquitecturas RAG con Plugins Inseguros" del que también hablé en esta conferencia:

    Figura 3: Hacker & Developer in the Age of GenAI
    por Chema Alonso en la dotNET 2024

    Pero, suponiendo que alguien se lleva directamente una copia completa, ¿podríamos hacer que si un atacante tuviera acceso al Knoledge Graph de una arquitectura RAG como la anterior sólo recibiera información errónea en las respuetsas? De eso trata el artículo: "Making Theft Useless: Adulteration-Based Protection of Proprietary Knowledge Graphs in GraphRAG Systems"
    Hay que tener en cuenta que si un atacante se llevara el Knowledge Graph (KG) de una empresa, necesitaría muy poco para replicar el funcionamiento del servicio digital basado en la arquitectura GraphRAG robada, ya que casi todos se basan en piezas comunes, donde lo diferencial son los datos contenidos en el Knowledge Graphde la compañía, que además lleva tiempo generar.
    Una vez clonada la arquitectura, se podría acceder al conocimiento y la información que el Knowledge Graphcontenga, haciéndole las preguntas correctas, así que los investigadores lo que han estado pensando es en cómo hacer que esa base de conocimiento esté adulterada y solo los que lo han adulterado sepan entender las respuestas, mientras que para los demás será respuestas llenas de alucinaciones.

    Figura 6: La propuesta es Adulterar el Knowledge Graph.

    Como se puede ver en la imagen anterior, la propuesta del trabajo es Adulterar el Knowledge Graph de forma que sólo los usuarios legítimos saben cómo está adulterado, y por tanto, "desadulterar" la información proveniente del KG antes de que esta sea enviada por el servicio RAG (GraphRAG) al LLM.

    Hay que tener en cuenta que el motivo por el que se crean las arquitecturas RAG es para que los LLM trabajen sobre el conocimiento privado de unos datos. Si esos datos están adulterados, trabajaran sobre información errónea. Así, los usuarios no autorizados, si no saben quitar los nodos adulteraros en el KG, lo que conseguirán es que el Prompt que se genere para el LLM del servicio no funcione y retorne información errónea, o directamente el LLM no sepa como responder.

    Para ello, el proceso de adulteración busca cuáles son los nodos más clave del Knowledge Graph (Key Nodes), para conseguir que esos nodos estén presentes en el mayor número de respuestas de enriquecimiento de Prompts provenientes del KG y que tengan información adulterada para que sirvan ellos de adulterantes de todas las repuestas.
    Esos Key Nodes serán analizados y adulterados, por ejemplo, con valores que sean de la misma entidad, pero con valores diferentes semánticamente, como se ve en el Prompt de generación de nodos adulterantes de la imagen anterior. Este proceso podrá hacerse con diferentes nodos, y los cambios deben ser conocidos por los usuarios legítimos.
    Como se ve en la imagen anterior, se buscan los módulos más relevantes, intentando que se consiga que corrompan el máximo posible de las respuestas. Eso implicará que haya que generar adulteraciones para cada uno de esos nodos adulterantes, pero el GraphRAG envíe el Prompt original enriquecido con datos que contiene alguno de los nodos adulterantes, entonces se conseguirán respuestas parciales, con alucinaciones o directamente no se obtendrá respuesta.
    En la tabla anterior tienes el HS "Harmfulness Score", que es el porcentaje de Prompts que antes de la adulteración eran contestados correctamente y después del adulterado de los nodos se contestan mal o no se contestan. Como se puede ver, con diferentes Datasets de prueba usando diferentes LLMs, los resultados son todos superiores al 94%.

    El segundo indicador es el ARR "Adulterant Retrieval Rate", o lo que es lo mismo, en qué porcentaje de los Prompts se han incluido los nodos adulterantes. En este caso, en el 100% de los casos, ya que el algoritmo de selección de Key Nodes ha cubierto la totalidad de las rutas de respuestas.

    Figura 10: Tipos de error inyectados con la adulteracíon

    En el paper tenéis más tablas y mediciones, pero yo me he querido centrar solo en las que he considerado más relevantes para entender el estudio, y éste último gráfico representa los porcentajes de respuestas erróneas parcialmente, completamente, o que directamente el modelo LLM se ha negado a contestar.

    El truco, para que el servicio digital legítimo sepa cuáles son los nodos adulterantes que debe eliminar antes de enviar el Prompt enriquecido con Nodos del Knoledge Graph, es que en el proceso de adulteración se marcan todos los nodos con metadatos cifrados, de tal manera que, como se ve en el apartado 4 de la Figura 8, si el metadato cifrado - con la clave de descifrado que solo tiene el servicio legítimo - dice que es un nodo adulterante, se retira y listo.
    De esta forma, se evita tener que cifrar todo el Knowledge Graph - que lo haría computacionalmente inviable a día de hoy, y solo se cifran las marcas de aduletración -. Un tema muy interesante, sin duda, y si te gusta este mundo, te recomiendo que te compres el libro de "Hacking & Pentesting con Inteligencia Artificial" que te va a encantar.

    Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los postspapers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  9. Cursos Online de Ciberseguridad & Hacking para Enero de 2026 en HackBySecurity

    Ya estamos en un año nuevo, así que si te has puesto una lista de objetivos para este año, y entre ellos está saber más de ciberseguridad, te dejo  la lista de formaciones y cursos online de ciberseguridad & hacking que puedes hacer a tu ritmo desde en la Academia de HackBySecurity. Como ya os he dicho muchas veces están diseñadas para los que queréis formaros en Ciberseguridad & Hacking, como complemento a vuestra jornada diaria y a vuestro ritmo. 

    Ésta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, y luego puedes animarte a mirar alguna de las posiciones que hay abiertas para gente de Seguridad en Lisboa... por ejemplo }:) y así nos vemos por aquí "at random". ¿No te gustaría esta aventura?
    Si quieres tener un descuento en las formaciones, puedes usar tus Tempos de MyPublicInbox para comprar un código de promoción del 40% de descuento por 300 Tempos en la sección de Canjea tus Tempos. Como cada mes, sólo hay 10 códigos de descuento. 
    Además, sabes que puedes conseguir esos 50 Tempos gratis en MyPublicinbox con la campaña de Sponsored Tempos que tienes de HackBySecurity, así que puedes aprovechar el descuento muy fácilmente.

    Ahora, ya os dejo la lista de cursos de este mes, que comienza con el nuevo curso de CSIO+ que acaba de ser estrenado.

    CSIO + (Curso de Seguridad Informática Ofensiva)En este curso el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de intrusión y auditorías de seguridad informática sobre entornos empresariales gestionados mediante el directorio activo de Microsoft. Estudia con laboratorios técnicos creados para que puedas ir avanzando y practicando todo lo aprendido. 

    Dara comienzo el día 7 de Enero, y además de contar con 100 Tempos de MyPublicInbox de regalo para todos los estudiantes, contará con una Masterclass de Pablo González en directo para todos los matriculados.

    CSCE (Curso de Seguridad de Creación de Exploits) El próximo 8 de ENERO da comienzo un curso de nivel intermedio en el que se va a explicar cómo construir exploits para vulnerabilidades localizadas. Es decir, cómo explotar vulnerabilidades descubiertas, así que es un curso de nivel intermedio ya que debes tener conocimientos previos de pentesting para saber cómo funciona los bugs, los exploits y la automatización de la explotación de vulnerabilidades.  
     
     
    Este libro lleva como material de estudio y acompañamiento el libro de Linux Exploiting de 0xWord donde se explican las metodologías de descubrimiento y explotación de vulnerabilidades en sistemas GNU/Linux. Esta formación cuenta con 200 Tempos de MyPublicInbox

    Figura 7: Linux Exploiting de 0xWord 

     

    CTEC (Curso Técnico Especialista en Ciberinteligencia): Para el   9 de ENERO comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docentes a Rafael García Lázaro y Miguel Ángel Martín, con los que puedes consultar en sus buzones públicos para resolver dudas.

    En esta edición, además, se cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes.

    COSINT (Curso Online de Open Source INTelligence): Esta formación, que dará comienzo el próximo 13 de ENERO está dirigida a aquellas personas que quieran iniciarse o ampliar sus conocimientos en la búsqueda de información mediante técnicas que explotan las fuentes OSINT. En este curso conceptos generales sobre OSINT, cómo crear una nueva identidad  para ser anónimo y realizar investigaciones de manera segura, así como herramientas y procesos para investigar personas físicas, cómo realizar investigaciones sobre personas jurídicas y cómo elabora un informe de inteligencia.

    Esta formación contará con 100 Tempos de MyPublicInbox de regalo para todos los estudiantes,

    MHSW ("Máster Online en Hardening de Sistemas Windows):  Además, el 15 de ENERO tendrá lugar este Máster Online, que ha creado y tutoriza Ángel A. NúñezMVP de Microsoft desde el año 2016 en Tecnologías Cloud & DataCenter, y escritor del libro de 0xWord "Windows Server 2016: Configuración, Administración y Seguridad" y del "VBOOK de Windows Server 2016".
    Ángel A. Núñez es un veterano en la gestión de seguridad de plataformas Microsoft Windows, y ha desarrollado esta formación Máster Online en Hardening de Sistemas Windows para enseñar a los equipos de seguridad de sistemas, los equipos Blue Team, y a los arquitectos de sistemas que trabajan con los DevSecOps cómo dejar fortificado al máximo los servidores de la infraestructura. Esta formación incluye:


    Curso Online de Hacking con Buscadores (CHCB)Como novedad, tenemos este mes esta nueva formación estructurada en 8 horas de vídeos para un trabajo de 25 horas individuales que comienza el próximo 21 ENERO, y que se basa. en el libro de Hacking con Buscadores de Enrique Rando y el libro de Open Source INTelligence (OSINT): Investigar personas e identidades en Internet (2ª Edición) de Vicente Aguilera y Carlos Seisdedos, y que explica cómo sacarle partido a los buscadores para hacer hacking, para encontrar bugs, para hacer ciberinteligencia, etcétera. 

    La formación la imparten Rafael García Lázaro y Miguel Ángel Martín, y es uno de los básicos para cualquiera que que comience en el mundo de la ciberintelencia, el pentesting o el hacking en general, ya que para explorar la seguridad de una web, saber sacar el máximo de la información que BingGoogleDuckDuckGoRobtextShodan, y un largo etcétera han generado de esos dominios es fundamental.  

    CSIO + (Curso de Seguridad Informática Ofensiva)En este curso el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de intrusión y auditorías de seguridad informática sobre entornos empresariales gestionados mediante el directorio activo de Microsoft. Estudia con laboratorios técnicos creados para que puedas ir avanzando y practicando todo lo aprendido. 

    Dara inicio el próximo 22 de Enero de 2026, y tiene de profesores a Pablo González que dará además una MasterClasss en directo, y a Javier Álvarez.

    TAM (Taller Online de Análisis de Malware)El día 27 de ENERO tendrás una formación muy especial, ya que se trata de un taller con Rafael García Lázaro para comenzar en el mundo del análisis de malware. 


    Esta formación cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes y habrá una sala de Chat en MyPublicInbox para contactar con los docentes.   

    BLPI (Curso Online Básico Legal del Perito Informático): Esta formación comienza el 29 de ENERO, y es un el curso online dedicado a la disciplina de Análisis Forense tanto para el Peritaje Judicial, como para la gestión de los incidentes y su respuesta. El curso lo imparte Juan Carlos Fernández, y cuenta con un temario formado por doce módulos que recorren los principales temas legales básicos a conocer por todo buen analista forense. 
     
    El curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales" e incluye una Masterclass en directo de Juan Carlos Fernández.
    CCIT (Curso de Concienciación y Ciberseguridad IT): Este programa formativo que comenzará el día 30 de ENERO es ideal para comenzar en el mundo de la seguridad para gente que no ha tenido contacto aún con ella. Son dos horas de formación en concienciación básica, más trabajo de unas 20 horas en casa.
    Figura 16: Curso Online en Concienciación y Ciberseguridad IT
    En este curso el alumno tendrá un acercamiento al mundo de la ciberseguridad, donde se le introducirán conceptos como ciberdelincuente, phishing, APT, malware, dispositivos móviles, los cuales aportarán al alumno una visión global de las posible amenazas y ciberataques que podrían ser perpetrados por un ciberdelincuente y cómo evitar y prevenir ser víctimas de estos actos.
    Figura 17: Cómo protegerse de los peligros en Internet
    Todos los asistentes, además, recibirán el libro de Cómo protegerse de los peligros en Internet. Ideal esta formación para formar a personal en PyMEs.
    Y esto es todo con lo que comienza el año, así que si quieres regalarte algo chulo para Reyes Magos y quieres aprovechar el tiempo parar formarte en Ciberseguridad & Hacking, tienes una buena y variada oferta de cursos online que realizar, además de prepararte para tu futuro laboral en nuestro campo profesional.
    ¡Saludos Malignos!

    Autor: Chema Alonso (Contactar con Chema Alonso)  

    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  10. Cómo funciona LavaRand para generar Cryptographically-Secure Pseudorandom Numbers con Lámparas de Lava en las oficinas de Cloudflare

    Esta es una historia antigua, que comienza en el siglo pasado, pero como muchos me siguen preguntando por ello, voy a dedicarle un artículo para los que no conocen la historia de los Cloudflare LavaRamp, o los muros de Lámparas de Lava que hay en algunas oficinas de Cloudflare por el mundo.
    Para contar cómo funcionan, debemos irnos al año 1996, cuando la empresa Silicon Graphicssolicitó la patente US5732138A con el título: "Method for seeding a pseudo-random number generator with a cryptographic hash of a digitization of a chaotic system" donde se describe en detalle el funcionamiento del sistema LavaRand, para crear un Cryptographically-Secure Pseudorandom Number Generator (CSPNG).

    Figura 2: Method for seeding a pseudo-random number generator
    with a cryptographic hash of a digitization of a chaotic system

    La patente, que ya no está activa, describe un mecanismo para generar estos números critográficamente-seguros pseudo-aleatorios, a partir de un estado concreto en el tiempo de un sistema caótico. Ese sistema caótico, debe tener un fuente de datos con mucha entropía para que los números que salgan de la generación no sean predecibles bajo ningún factor de sesgo.

    Figura 3: Esquema de generación de número
    pseudo-aleatorios a partir un sistema caótico.

    La entropía mide el grado de incertidumbre en el valor de un determinado bit a la hora de sacar un valor aleatorio. Es decir, si tenemos una lista de bits, la probabilidad de que cada bit sea 1 o sea 0 debería ser del 50% sin que dependa de ningún dato o factor externo que pudiera sesgarlo. En la patente, se busca un sistema caótico que no sea predecible - o díficilmente predecible - por lo que su entropía debe ser muy alta, y es ahí donde entran las Lámparas de Lava.
    La idea es que si tenemos una serie de Lámparas de Lava, y hacemos una instantánea temporal en forma de fotografía, tendremos siempre formas diferentes con alta incertidumbre de predicción. Lo que sirve como fuente de generación de valores con alta entropía. La forma de llevar esta fuente de entropía al sistema es tan sencillo como tener un "Wall of Lava Lamps" y tomar una fotografía de ellas.
    Esto lo implementa Cloudflare en varias oficinas, donde se pueden ver los "Lava Lamp Wall" de diferentes colores, y cada una de ellas generando diferentes composiciones en las fotografías. Es decir, cada fotografía tomada en un instante de tiempo tiene una secuencia de colores única, que traducida a una secuencia de bits, es de alta entropía.

    Como podéis ver en la imagen anterior, el "Lava Lamp Wall" no es el único factor de entropía con el que se va mezclando, ya que las imágenes generan una fuente de datos de entrada con una función de entropía basada en los píxeles de colores, pero esta es mezclada también con otras fuentes de entropía para generar claves criptográficas lo más seguras posibles.
    En este caso, después de la entropía que se genera con las imágenes de las lámparas, se usan datos con más entropía provenientes del sensor de movimiento de la cámara, de los generados por el servidor que controla la cámara - que tiene sus propios números aleatorios generados con su factor de entropía - y son mezclados con la fuente de números aleatorios del servidor donde corre el servicio de LavaRand, lo que permite que los consumidores de estos números aleatorios tengan la garantía de que llevan un alto nivel de entropía.
    Por supuesto, las imágenes con Lamparas de Lavase pueden sustituir por otro tipo de imágenes, y en la oficina de Cloudflare en Lisboa, estas han sido cambiadas por Water Waves, para honrar al sistema con la conexión que Lisboa tiene con el agua, vía río y mar.
    El funcionamiento es similar, y puedes verlo en este vídeo que está publicado en Youtube. Yo subí un pequeño vídeo de unos segundos a mi cuenta de Instagram que puedes ver aquí mismo. 

    Figura 11: Generando entropía para tener números aleatorios robustos 

    Por supuesto, desde que tenemos los Quantum-Based Random Number Generators donde se utilizan fotones y mediciones de valores cuánticos, tenemos fuentes de altísima entropía para generar números aleatorios, pero la historia de LavaRand es un ejemplo de cómo tener tus propias fuentes de entropía utilizadas para enriquecer, aún más, cualquier generador de números aleatorios que utilices, incluso los QRND.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

¿Quien nos patrocina?

Nadie :-( , de vez en cuando tú haces clic en algún banner de publicidad. :-)

Acceso

¿ Quienes participan ?

Somos un grupos amantes de la tecnología y sobretodo de la programación de Vigo (Galicia).

Te gustaría participar , encantados contar con contigo y nuevas ideas.

Registrarte aquí y envía un formulario alguno de los contactos indicandole en que quieres participar y que ideas tienes.

Mas info

Sobre Nosotros