"Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”

Steve Jobs

Afiliado
Dominios3Euros

Un informático en el lado del mal

Blog personal de Chema Alonso sobre sus cosas.

  1. OpenAI "Lockdown Mode" para luchar contra (la exfiltración de datos en ataques de) Prompt Injection

    Si llevas un tiempo en el mundo de la Ciberseguridad, y has seguido la evolución en los últimos tres años de las vulnerabilidades que más han afectado a los servicios digitales basados en Inteligencia Artificial, habrás visto que las técnicas de Prompt Injection para conseguir que siga instrucciones que no debería y comience a hacer mediante ataques de Jailbreak cosas que no debería hacer, y todas ellas completamente Misaligned con el Prompt original, son las tres más importantes debilidades de los modelos de frontera hoy en día.

    Figura 1: OpenAI "Lockdown Mode" para luchar contra el Prompt Injection
    (Cabecera en modo cómic hecha con Nano Banana a partir del título. Love it)

    Estas técnicas de Hacking IA han demostrado ser el gran talón de Aquiles en el despliegue seguro masivo y a escala de los Agentes IA masivamente. Dar acceso a un agente que vaya a llevar tu identidad y que tenga acceso a tus activos digitales es algo que, mientras existan estas vulnerabilidades por diseño, y mientras no estén lo suficientemente fortificadas, está haciendo que los Agentes AI que más proliferen sean los que están desconectados de la vida personal de cada uno. Y estos, siguen, acarreando riegos de seguridad. Hacen falta más medidas de seguridad en el diseño de estos modelos.
    Esta semana OpenAI ha introducido una nueva e importante función de seguridad a la que ha llamado  Lockdown Mode (Modo de Aislamiento) - que me recuerda a mi WordPress in Paranoid Mode -. Esta herramienta opcional está diseñada específicamente para proteger a usuarios y organizaciones frente a los riesgos de la exfiltración de datos provocada por ataques de Prompt Injection, fortificando todo el entorno de ejecución para evitar la conexión remota no autorizada cuando el modelo ha accedido a los datos.
    Las técnicas de Prompt Injection se explotan cuando atacantes esconden instrucciones maliciosas en páginas web o archivos externos. Si ChatGPT accede a ellos de forma legítima, el modelo puede ser manipulado y ser Desalineado de su Pormpt original para recolectar datos confidenciales del usuario y transmitirlos a servidores controlados por los atacantes usando diferentes técnicas basadas en navegar a URLs en Internet. Aquí tienes muchos ejemplos de estos ataques:
    El objetivo de Lockdown Modeno es evitar que la IA lea los Pompts Injection ocultos, sino actuar como una fortaleza digital que bloquee la fase final del ataque, es decir, las solicitudes de red salientes que harían posible el robo de la información recolectada. 

    Para lograr este blindaje (Lockdown), el sistema limita severamente la conectividad de la IA con la red y servicios externos de InternetAl activarlo, se restringen o deshabilitan drásticamente varias funciones avanzadas de ChatGPT como son:
    • Navegación web en vivo: Se suspende el acceso a Internet en tiempo real; las búsquedas se limitan estrictamente al contenido almacenado en caché. 
    • Deep Research y Modo Agente: Ambas herramientas quedan totalmente desactivadas para evitar que la IA navegue o ejecute tareas de forma autónoma.
    • Descargas e imágenes: Se prohíbe a ChatGPT descargar archivos externos automáticos para análisis y recuperar o mostrar imágenes de la web.
    • Conectividad en Canvas: El código generado dentro de Canvas no tiene permitido interactuar con Internet bajo ninguna circunstancia. 
    Esta función ya se está desplegando para usuarios de cuentas personales elegibles y planes ChatGPT Business, activándose directamente desde los ajustes de seguridad de la cuenta. Aunque este modo sacrifica parte de la versatilidad de la IA, ofrece un entorno mucho más controlado que para profesionales que priorizan la confidencialidad, y la seguridad, puede ser de utilidad.

    CISOs on the move

    Está claro que este tipo de herramientas de seguridad tendrán que ir apareciendo. El ecosistema de seguridad que muchas empresas han creado con una miriada de vendors especializados en diferentes soluciones de seguridad, no va a ser válido para lo que necesitan los servicios digitales basados en IA,todos lo sabemos.
    Así que los profesionales de ciberseguridad tenemos que tener muy presentes el impacto de la llegada de la IA a las manos de los creadores de los servicios digitales internos y las manos de los atacantes, porque la presión por el cambio y la evolución en el stack de seguridad va a ser espectacular... ¿la estás sintiendo ya? Pues va a ser aún más intensa, que aún la Inteligencia Artificial no está en la fase de desaceleración ni por asomo.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  2. Feria de Empleo en Ciberseguridad & Bug Summit con Hacking en Directo. 20 de Junio en Madrid (La Nave)

    El 20 de junio de 2026 lanzamos en La Nave (Madrid) la Feria de Empleo de Ciberseguridad + Bug Summit: el primer congreso de Bug Bountyy Hacking Ético de España. Un evento pensado para juntar en un mismo sitio y un mismo día a tres mundos que casi nunca coinciden: nuestra comunidad, los mejores Bug Hunters del país y las empresas top de España.

    Figura 1: Feria de Empleo Ciberseguridad & Bug Summit
    con hacking en directo. 20 de Junio en Madrid

    Lo hemos dividido en tres opciones para que elijas tu propia experiencia, ya que las actividades transcurren en paralelo y va a haber mucha oferta para elegir.

    Feria de Empleo — Entrada: GRATIS

    Queremos romper la barrera del currículum tradicional. Ven a conectar cara a cara con empresas que buscan talento real: desde perfiles emergentes hasta pentesters, analistas SOC, arquitectos cloud o gente de Red/Blue Team
    Sin filtros automáticos, sin formularios infinitos, sin esperar semanas a una respuesta que no llega. El sitio perfecto tanto si quieres impulsar tu carrera como si vas a dar tu primer salto al sector.

    Bug Summit — Entrada: 12 €

    Una jornada intensiva con 10ponencias exclusivas. Traemos a los referentes que están reportando las vulnerabilidades más críticas de España para que cuenten sus metodologías de bug bounty sin filtros. 

    Nada de charlas genéricas: las técnicas reales de la gente que de verdad encuentra los bugs que importan. Entre los confirmados, Jorge Cerezo (zere), Alexandro Bindreiter (alexandrio) y Ángel Montés (n0xi0us), de HackerOne.

    Figura 4:"Bug Hunter"escrito por David Padilla en 0xWord

    Y aún quedan nombres por anunciar, todos ellos expertos en el mundo del Bug Hunter, así que no pierdas la oportunidad de venir a escucharlos. Esta es la agenda que hemos preparado para ese día.

    Figura 5: Agenda del Bug Summit

    Hacking en Vivo — Entrada: 50 €

    Para los que quieren mancharse las manos. Olvídate de los CTF preparados, vamos a auditar proyectos Open Source en vivo y en directo, de forma legal y controlada. Este es el plato fuerte para los perfiles más técnicos. Un entorno donde los participantes se medirán contra objetivos reales.

    VDPs Open Source, donde pondremos a prueba la seguridad de proyectos Open Source reales de forma legal y controlada. Demuestra tu nivel si ya tienes experiencia, o aprende la metodología en directo.  Y no te vas con las manos vacías, que habrá 5.000 € en premios. Recompensamos el talento y el impacto. Repartiremos una bolsa de 5.000 € entre loshackers que logren los hallazgos más críticos durante la jornada. Una oportunidad perfecta para rentabilizar tu conocimiento.

    Figura 6: Hacking en Vivo

    Consolida tu reputación (CVE): Al hackear software de código abierto, tus reportes de vulnerabilidades serán susceptibles de recibir un identificador CVE. La mejor forma de construir o potenciar tu prestigio internacional en la comunidad. Este será un escaparate técnico de tu talento en acción, que es tu mejor currículum. Por cada vulnerabilidad validada se generará un certificado. Las empresas presentes verán cómo piensas, cómo operas y cómo resuelves problemas en tiempo real.

    Figura 7: Consigue un 10% de descuento en MyPublicInbox

    Ya que conoces las tres experiencias, elige la tuya. O ven a por las tres si puedes multiplicarte y elegir qué partes quieres de cada una. Y para que te salga un poco más económico, tienes un 10% de descuento del precio de tu entrada por 50 Tempos de MyPublicInbox. No te pongas excusas y reserva tu plaza cuanto antes en la web de la Feria del Empleo de Ciberseguridad & Bug Summit

    Saludos,

    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  3. The items are back, but not a single word or apology from the company.

    No sabía si escribir esto o no, pero al final me he decido a hacerlo por responsabilidad. Ya os conté mi problema al enviar unas botellas de vino a mis colegas en Reino Unido con la empresa Eurosender que contratamos para ello. Después de recibir respuestas ignorando todas mis quejas y reclamaciones, me vi obligado a contratar una abogada - que me ayudó con la parte legal y regulatoria de manera excepcional -, dejando claro lo que la normativa en Europa dice al respecto de AVISAR y NO ACEPTAR, el envío de mercancías no autorizadas.

    Figura 1: The items are back, but not a single word or apology from the company.

    No os voy a contar toda la aventura otra vez con el sistema que no "Warn" ni "Refuse", y que al contrario factura por ellas, que ya os lo he contado en dos artículos. Después de pasar por más de 100 correos e intercambio de mensajes, y de denunciar a la organización de consumidores de Portugal, así como hacerlo públicamente, recibimos la semana pasada la devolución del dinero del envío, como podéis ver aquí.

    Figura 2: Eurosender devolvió el dinero

    Y por supuesto, nos devolvieron la mercancía tal y como yo demandaba en mis artículos, con lo que tengo las botellas para entregarlas yo manualmente a mis amigos, aunque después de tanto tiempo, lo mismo el vino se ha deteriorado, que no creo que hayan tenido cuidado de almacenarlo a la temperatura adecuada durante estos CINCO meses. A mis colegas les entregaré nuevas botellas, que como es vino que hago para mí y mis amigos, he encargado otra buena cantidad de ellas para repartir. 

    Figura 3: El paquete con la mercancía de regreso

    Pero el motivo de este mensaje no es celebrar que he conseguido mi dinero y las botellas. Ni mucho menos. Es para lamentarme por la poca responsabilidad al respecto, y la poca seriedad tratando a los clientes. Que os resumo aquí:

    1.- Servicio Digital deficiente no acorde a la regulación

    Por culpa de un servicio digital deficiente que no avisa, y acepta envíos que no puede realizar, unos clientes hemos estado CINCO meses de dolores de cabeza y preocupaciones. Por supuesto, el envío no se ha hecho, que era lo que yo quería desde el primer momento, para que mis colegas disfrutaran de un buen Juan Gil hispano como dios manda.

    2.- Desgaste emocional, personal y moral 

    Entre la lista de mensajes que recibí, cuando estaba reclamando y denunciando públicamente su comportamiento, tuve uno amenazador donde me dejaba claro que si seguía con mi actuación pública su departamento legal estaba preparado para denunciarme.

    Figura 4: Respuesta ante las reclamaciones públicas
     
    Y además, como podéis leer, esa era su posición final. Creo que este correo fue donde decidí seguir hasta el final, solo por esa postura tan amenazadora. Esta persona es la misma que contestó riéndose de la reclamación, como os conté en el artículo anterior.

    3.- Deterioro de la mercancia y Gastos extras

    Por supuesto, a parte del tiempo invertido en esto, he tenido que contratar servicios legales y he recibido una mercancía que si no se conserva correctamente, puede deteriorase, y como se dice en el argot del vino "picarse".

    Figura 5: El vino lleva 5 meses sin cuidado

    El vino está "vivo" y necesita temperatura y luz adecuadas. Estos meses ha sido enviado y almacenado en no sabemos qué condiciones. Os diré cómo está cuando lo abra.

    4.- Ninguna disculpa oficial por parte de la compañía

    La devolución del dinero del servicio, el pago de los gastos de aduana y almacenaje por su parte, y el envío de la mercancía de vuelta, es un claro reconocimiento de su responsabilidad, pero sin ninguna carta de disculpa por el trato recibido ni indemnización por los gastos extras en los que he tenido que incurrir, que han sido generados por su incapaz inicial de reconocer su error y su negativa respuesta ante mis reclamaciones.

    5.- Una excepción no es una solución

    Que yo haya recibido la devolución del dinero y la mercancía, no quiere decir que todos los clientes que se hayan visto en la misma situación la hayan recibido. De hecho, lo más común es que la gente abandone para destrucción la mercancía cuando los costes legales - como es este caso - son más caros que la propia mercancía, permitiendo que una situación injusta sea pagada por los clientes que la sufren, mientras que los culpables de generar esa situación tienen el beneficio del cobro del servicio.

    La última parte de todo esto es una reflexión que nos lleva a una sociedad cada vez con más tensión. Que una persona consiga que se oigan sus derechos solo cuando se enfada, cuando toma acciones para defenderse, cuando hace una denuncia pública, legal y a la administración, hace que estemos incentivando la necesidad de quejarse, reclamar, y luchar, por parte de las personas.

    Así que, esta resolución, sin una sola palabra de reconocimiento y disculpa, más un plan de solución del problema tecnológico, además de todas las personas que no han visto resarcido sus mercancías y gastos por situaciones similares me deja un sabor amargo. No deberían pasar estas cosas.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  4. Hacking LLM-Assistants Just for Fun!

    En una de mis últimas visitas al sofá de mi amigo Palako tuvimos una de esas largas charlas que tenemos sobre hacking, desarrollo y el mundo de la Inteligencia Artificial. Él está hackeando el mundo del desarrollo con Sagittal.AI y su Neo, y yo acaba de publicar el libro de Hacking IA, así que hablamos de lo difícil que es desplegar con seguridad sistemas de IA basados en LLM Multi-Modales, y la construcción de guardarraíles para ellos.

    Figura 1: Hacking LLM-Assistants Just for Fun!

    Por supuesto, con el mundo de los Agentes IA, la cosa es aún más divertida, pero sobre todo hablábamos de que habíamos vuelto un poco al año 2.000 donde, lejos de ser el efecto 2.000 el gran peligro que se vaticinaba en los años 90, lo fue el SQL Injection y sus casi 20 años siendo el Top 1 de vulnerabilidades en el OWASP Top Ten de Web Applications - ahora está el número 5 .
    Y este regreso había sido por culpa de la construcción de modelos de IA con debilidades como el Prompt Injection, el Jailbreak, el Misalignment, los BIAS, y el Data Leakage por diseño. Y para probar nuestra tesis, buscamos algunos Asistentes Digitales hechos con IA, para ver cuán difícil era encontrar uno que se comiera casi todas esas vulnerabilidades en un despliegue. 

    Hacking with LLM-Assistant Just for Fun

    Por supuesto, hubo muchos candidatos que nos servían para el ejemplo, pero os dejo este de una gran empresa, donde, solo jugando, sin hacer nada malo, se pueden ver todas las dificultades de proteger estos LLMs.

    1.- Misalignment: "Desalineamiento"

    El primer ejemplo que queríamos era ver lo fácil o difícil que era sacarle de su "alineamiento". Ya sabes, "eres un experto en esto que vas a hacer esto".El asistente tenía clara su misión, que era dar información sobre los productos de la empresa en su web, para lo que tiene una serie de herramientas que puede utilizar para buscar datos. Pero desalinearle fue tan sencillo como utilizar el formato con el que queríamos que nos respondiera a la pregunta para conseguir que hiciera otra cosa. 

    Figura 3: De los dos cual es más caro

    Cada vez que le pedíamos algo que no tuviera que ver con el cometido para el que había sido creado decía que no podía ayudarnos, pero... si le pides algo que tiene que ver con su tema y luego le dices que si de dos opciones es la primera te conteste imprimiendo lo que tú quieras, el modelo se lo comía. ¿Que tiene que ver el texto que ha impreso con el cometido del asistente? Nada, el modelo está desalineado.

    2.- Client-Side Attack

    Una vez que lo podemos desalinear, ya lo podemos llevar para realizar diferentes ataques, así que... ¿por qué no hacer Client-Side Attacks manipulando la respuesta? Pues nada dicho y hecho. Hicimos respuestas "rickrolleando" con imágenes, o pintando HTML con las o enlaces controlados en las respuestas.

    Figura 4: Controlando el HTML

    Por supuesto, meter HTML no es suficiente, hay que meter ataques completos para hacer Click-Jacking, Cross-Site Scripting, Cross-Site Request Forguery,o HTML Injection en el DOM del navegador cliente, y ahí tuvimos que jugar "un poco más".


    A la hora de meter Javascript, el asistente hecho IA tiene una serie de guardarraíles bastante rudimentarios donde se filtran palabras claves, tanto en el Prompt de entrada, como en los resultados de salida. Pero no son iguales. Así que algunas palabras clave las protegía y otras no. Tendríamos que lidiar con ellos luego.

    3.- Jailbreak

    Una vez que lo puedes desalinear, la siguiente idea era hacerlo para que hiciera cosas prohibidas, como por ejemplo, convertirse en nuestra herramienta de darle recetas a la Thermomix. Bromas aparte, pedirle tareas que tenía prohibidas totalmente en su System Prompt.

    Figura 6: Ya tenemos las cookies, pero estas no son las que queremos

    Con la gracia de utilizar el modelo como Asistente de Propósito General, pensamos que podría ser una buena idea meterle tareas de desarrollo y ahorrar en tokens pidiéndole con el desalineamiento construido que nos hiciera código.

    Figura 7: Pidiéndole que desarrolle. A ahorrar tokens

    Por supuesto, ya pensamos en que alguien podría hacer un negocio de esto creando un API pública de propósito general que permitiera usar este desalineamiento para servir tareas as a service a aplicaciones encapsulándolas contra el asistente. Como hace el mundo del crimeware. Pero ya que teníamos esta capacidad... por qué no saber qué herramientas tenía configuradas en su System Prompt, o como MCP o Skills.

    Figura 8: Show me your tools

    Y no sólo eso, si hay que programar, necesitamos saber cuál es el formato de las llamadas para hacerlo bien, y para saber qué capacidades completas tenemos con este asistente web IA tan servicial.

    4.- Data Leakage

    Como vamos a ver, en este caso las herramientas dan acceso a datos y bases de datos. Toda la información es pública, pero se podría volcar del tirón, y generar una filtración de cualquier dato que estuviera allí. No quisimos mirar mucho, porque como muestra valía.
    Figura 9: Formato y parámetros de las tools

    Como podéis ver, en este caso tenemos acceso a las tools y todo lo que se puede hacer. Si estas tools permiten acceder a bases de datos internas o a servicios de la red o el equipo local, pues eso que estaría ya a disposición. En este caso todas eran sobre datos y bases de datos del web site.

    Figura 10: Formato de llamada y parámetros de las tools

    Claro, acceder a todos los datos permite, con un solo Prompt hacer un ataque de denegación de servicio lógica de multiplicación, que se basa en la complejidad lógica del procesado.

    5.- Ataques de amplificación y DDoS Lógica

    Los ataques de amplificación son aquellos en los que con muy pocos datos de entrada se obtienen muchos datos - o cómputo - de respuesta. Esto permite que un cliente pequeño pueda hacer trabajar mucho a un servidor muy grande, y que con un ataque en paralelo pueda hacer que el servidor entre en Thrahshing o saturación. 

    Figura 11: Pidiéndole que me cuente un cuento de sci-fi

    Para ver si había algún límite le pedimos volcados de muchos datos, y creación de historias de amor o de sci-fi - que ya sabéis que estoy a tope con esto -, pero que fueran largas, para que tuviera que computar, y que devolvieran muchos datos.

    Figura 12: El cuento de sci-fi que nos devolvió

    Por supuesto, el resto de cosas que le puedes pedir depende de cada uno de vosotros, y automatizar cualquiera e estos ataques con una herramienta de IA pues es bastante sencillo hoy en día, así que dejar la puerta "entre-abierta" en cualquier sistema con IA puede ser muy peligroso.

    6.- ByPassing Guardarrailes

    Para terminar, que hicimos muchas pruebas, la última a la que jugamos fue a saltar los Guardarraíles, utilizando muchas pruebas para ello. Concatenando respuestas, escribiendo letra a letra, pero al final usé el truco de la Esteganografía con el cifrado Acróstico para pedirle que pintara palabras prohibidas en el HTML de la salida, como hicimos con las técnicas que presentamos en la RootedCON de 2025.
    Y por supuesto, el asistente AI  basado en un LLM, una vez desalineado, acepta de buen grado el juego. Es un modelo muy inteligente y sabe esteganografía y codificaciones con acrósticos.

    Figura 14: Y me lo metes en un enlace

    El resultado, no os lo dejo con la explotación final, que no se trata de ver el Client-Side, sino el bypass de las palabras prohibidas.

    Figura 15: Bypasseando el Guardrail con una codificación en acróstico

    Además, para quedar completo la prueba de los fallos, veis que hemos metido el enlace, pero tiene una Hallucination y nos mete una "E" en DocumentE, por lo que este ejemplo concreto - con la alucinación - no funciona, pero queda más gracioso aún.

    7.- Footprinting - Fingerprinting

    Ya que estamos, y para que no se alargue mucho más esto, además de pedir información de las tools, y también de su arquitectura, le pedimos su nombre, para saber con qué LLM estábamos jugando, y aquí está como se llama de verdad este asistente AI basado en un LLM.

    Figura 16: My name is "Gemini"

    Pues ya estaría el artículo, que como muestra de lo fácil qué es atacar sistemas con IA, y lo difícil que es hacer un despliegue seguro como no te lo tomes en serie, yo creo que es suficiente, que se pueden ver muchas cosas en muy poco tiempo.
    Si quieres aprender conmigo - al mismo tiempo que aprendo yo, ya sabes que me he decidido abrir un Foro Público de Ciberseguridad de Chema Alonso con la ayuda de la UNIR.NET, para hablar de estos temas. Para compartir noticias, para compartir actividades profesionales, para debatir sobre estas cosas. Y será un foro "Old School" porque vigilará la Netiquette.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  5. CONVEX 2026: 17 y 18 de Junio en Madrid

    Tradicionalmente he hablado en la DotNetConference de mis amigos de PlainConcepts, pero este año el equipo ha querido unir tres eventos, como es la referencia DotNetConference, el Singularity Tech Day y el Global Software Architecture Summit en uno solo, con varios tracks en paralelo, al que han llamado CONVEX, y que tendrá lugar durante los días 17 y 18 de Junio de este año en Kinépolis de Madrid.
    El evento comienza el día de mi cumpleaños - ya lo sabéis, lo dice mi Wikipedia - y las keynotes principales de los dos días las daremos mi querido compañero y amigo de mil y una batallas, David Carmona, que abrirá el día 17 mientras que yo aplaudo desde el público. A mí me toca abrir el segundo día, el 18 de Junio, para hablar de mis temas favoritos de Ciberseguridad (slash) hacking (with slash the) Inteligencia Artificial

    Pero después de las Keynotes, el evento se abre cada día en tres tracks en paralelo para que puedas asistir a las charlas que más te motiven, o te interesen. Entre los ponentes, pues una autentica maravilla, desde el gran Midudev, hasta Luis Fraile, pasando por Carlos Medible o Manuel Sánchez, pero echa un ojo a la agenda completa en la web.
    Además, este año, la organización va a entregar 100 Tempos a todos los asistentes al congreso. Y además, para poder conseguir tu entrada con un 40% de descuento, puedes conseguir un código en MyPublicInbox por 300 Tempos.
    Y si no me equivoco, salvo error u omisión, creo que este será mi último evento antes del verano en España.... (creo), pero si hay cambios, seguro que os lo cuento por aquí, como hago siempre. 

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  6. La Orden Ejecutiva de la Casa Blanca para promover Innovación en IA Avanzada y Seguridad para protegerse de, y con, la IA

    Ayer antes de irme a la cama me topé con la publicación de la Presidential Executive Order del 2 de Junio que publicaba la Casa Blanca de Estados Unidos para "Promoting Advanced Artificial Intelligence Innovation and Security", donde se insta a los principales organismo del gobierno de los EEUU a tomar en el plazo de un mes medidas para Mejorar la Innovación en IA Avanzada y en Seguridad, algo que a todo el mundo empresarial tiene muy preocupado últimamente.
    Ya he hablado mucho de esto, pero básicamente el Impacto de la IA en la Ciberseguridad de una organización, sea esta una Infraestructura Crítica, una Empresa o un Organismo del Gobierno, se puede catalogar en varios puntos fundamentales, que son los que ha intentando reflejar esta orden que podéis leer completamente.

    1.- La IA inyecta nuevos problemas de seguridad

    De esto he hablado muchas veces, y hasta hemos publicado el libro de "Hacking AI", donde se tratan todos los problemas de seguridad de los que nos debemos preocupar si se utilizan sistemas con modelos de IA. Desde los BIAS, hasta las Hallucinations, pasando por el Poisoning de datos y de modelos, los problemas de Jailbreak, la vulnerabilidad a las técnicas de Prompt Injection, y el Desalineamiento de los modelos, que fuerzan los atacantes.
    Todos estos problemas de seguridad no deben frenar el desarrollo y el uso de la IA, pero sí que exigen desarrollo de planes de contención robustos basados en Guardarrailes, y el despliegue seguro de IA... que no es tan sencillo. 

    En la Executive Order, en el primer punto de la misma podemos leer lo que tenéis arriba, y es que las capacidades de IA hacen a la nación más fuerte, pero también introducen nuevas consideraciones de seguridad que hay que tomar en cuenta, para lo que se insta a hacer muchas cosas.

    2.- Securizar IA y usar IA para Securizar

    En la Sección 2 de la Executive Order, donde se insta a todos los departamentos a tomar precauciones, toca tes puntos muy relevantes, a saber:


    El primero de ellos es el que todos conocemos, y es que un adversario con IA es un adversario mucho más peligroso hoy en día. Tanto en el uso de Agentes IA de Seguridad Ofensiva, como en la búsqueda y explotación de vulnerabilidades. 
    Agentes de Seguridad Ofensiva de gran efectividad y modelos como Mythos, son ya una realidad presente que hace que las soluciones de seguridad hasta el momento se queden insuficientes.

    3.- Buscar bugs con IA y Parchearlos con IA

    El segundo de ellos es que hay que que utilizar herramientas de seguridad basadas en IA, es decir, el uso de Agentic SOC, uso de IA para detectar ataques e, incluso, utilizar IA para parchear sistemas, como el caso de Plexicus, que está empujando José Palanco, del que tanto os he hablado ya, que permite parchear en caliente y gestionar las vulnerabilidades de una organización de manera automática utilizando IA.

    Figura 7: Plexicus parchea con IA los bugs descubiertos

    El tercero de los problemas es permitir el acceso a nuevas herramientas de seguridad que puedan resolver los nuevos problemas de seguridad que introducen los sistemas que utilizan IA. Hace un par de días os hablaba del Despliegue de Agentes AI con políticas de Zero-Trust y la cantidad de nuevas herramientas que son necesarias para proteger, medianamente, un entorno de Agentic AI en una organización.
    Además, para poder hacer este trabajo, hay que realizar, como hace todo buen CISO, una nueva auditoría buscando vulnerabilidades en todos los sistemas utilizando herramientas de AI - tipo Mythos -para buscar esas vulnerabilidades, y parchearlas lo antes posible. 

    4.- Auditoría de los Modelos de Frontera 

    La última parte de la orden tiene que ver directamente con los Modelos de Frontera de IA que se van a utilizar con todo este proyecto, donde se insta a que se haga un Benchmarking de auditoría completo para saber cuáles son los modelos que, en función de las necesidades anteriormente descritas cumplen o no cumplen los requisitos que se les demandan.
    Como podéis ver, habla en todo momento de Secure Frontier Model, porque son conocidas las debilidades y por tanto hay que poner en valor su robustez, y el despliegue seguro que se haga de los mismos con guardarraíles para tener entornos securizados.

    Los plazos

    Lo más llamativo, son los plazos. Se habla de 30 días y 60 días en todas las aciones demandadas, lo que muestra y evidencia el nivel de preocupación que el gobierno de los Estados Unidos tiene con el impacto de la IA en la Seguridad Nacional a todos los niveles. Os dejo esta charla de finales del año pasado - pre- Mythos -.


    Figura 10: Inteligencia Artificial y Ciberseguridad

    La pregunta que me surge es ¿haremos lo mismo en Europa pronto? ¿Lo haremos en todas las empresas en Europa pronto? Como se suele decir. "Clock is ticking".

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  7. Senior fellow advisor en el Máster de IA de Jon Hernández en Big School

    Hace tiempo colaboré con Jon Hernández en un podcast sobre cómo sería el futuro de la IA en el mundo laboral y profesional, lógicamente con mis intereses personales en la parte de ciberseguridad y hacking, y la verdad es que quedó muy chulo, y me lo pasé muy bien trabajando con él.

    La grabación del podcast la puedes ver en su canal Youtube - que aún no he hecho backup en mi canal -, y puedes ver de todas las cosas que hablamos hace un año, y así ves de todo lo que hablábamos, y te darás cuenta que todo sigue de máxima actualidad.


    Figura 2: Chema Alonso y Jon Hernández

    Ahora voy a tener la oportunidad de trabajar con Jon Hernández otra vez, en Máster de Inteligencia Artificial que tienen en Big School, donde voy a colaborar como Senior Fellow Advisor en algunos programas, dando alguna sesión.
    La formación da su inicio en tres días, así que no es que os quede mucho tiempo para pensaros si queréis apuntaros, pero sí que quería contároslo, que ya sabéis que me gusta contar todo lo que voy haciendo en mi blog.
    En este programa yo hablaré de la parte de Ciberseguridad e Inteligencia Artificial, que aunque es una formación para conocer en profundidad las tecnologías de IA y cómo aplicarla en el mundo empresarial, yo tengo que sentar algunas bases de los riesgos y protecciones.

    Como podéis ver, hay una lista de ponentes en este programa enorme, y además profesionales que vienen a contar sus experiencias desde diferentes carreras profesionales a compartir cómo usan la Inteligencia Artificial en su día a día.
    Además, para todos los asistentes del programa de Big School del Máster de IA tendremos un chat en MyPublicInbox para consulta de dudas de que tengan que ver con la parte de Ciberseguridad & IA de la que yo daré mi sesión, así que si vas a estar aquí, podremos estar en contacto.
    Si os digo que todas las semanas me toca dedicar más de ocho o diez horas de lectura y aprendizaje de cosas nuevas que tienen que ver con Inteligencia Artificial debido a la velocidad que va esto, seguro que me entendéis, porque estamos todos igual, así que este participar como Senior Fellow Advisoraquí en este programa me ayuda a poner orden en ese aprendizaje y "destilar" lo leído y aprendido en conocimiento accionable, que es lo que todos necesitamos.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  8. Despliegue Zero-Trust para Agentes IA

    Estos días estamos aún con la resaca de la nueva versión de Anthropic Claude Opus 4.8 que trae mejoras incrementales en el funcionamiento de este modelo de frontera, pero hoy quería hablaros de la publicación de Zero-Trust for AI Agents, que puedes leer en la web, y descargarte en un documento que resume todas las protecciones que tienes que aplicar.
    Tras la lectura del mismo, la sensación que me da es que es aplicar todas las protecciones que tenemos hoy en día, pero aún está lejos de resolver todos los problemas de seguridad y fortificación que son necesarios para un modelo de Agentes IA completamente autónomos que tienen accesos a datos, sistemas, y herramientas dentro de una organización, y que por diseño tienes las debilidades de BIAS, Hallucinations, Data Leakage, Jailbreak, Prompt Injection y Misalignment con la que los responsables de ciberseguridad deben lidiar. 

    Sin embrago, es una lista de recomendaciones de todo lo que se debe hacer para, con las herramientas que tenemos hoy en día, proteger al máximo "que se pueda" el ecosistema de Agentes IA, y sobre todo, para limitar el impacto que puede tener la explotación de estas vulnerabilidades en los Agentes IA de tu organización. 

    Despliegue Zero-Trust para Agentes IA

    Para ello, el despliegue y la configuración de los agentes se basa en los principios del Zero-Trust, aceptando que no se puede confiar en ninguna pieza de la cadena - ni datos, ni herramientas, ni sistemas,  -, que hay que asumir que todo puede estar vulnerado en algún momento, y que hay que, por tanto, diseñar todo con el menor privilegio posible.

    Figura 3: Blast Radius

    De hecho, utiliza para sus recomendaciones dos conceptos que, aun no siendo nuevos, quizá la terminología pueda llevar a confusión, que son Blast Radius, y Least Agency. El primero de ellos es del "Radio de Impacto" o en el caso de de un explosión por vulneración del Agente IA, qué puede llegar a verse afectado - para conocer el impacto de una brecha en un determinado Agente IA -, y el de Least Agency, que es lo mismo que darle al Agente IA el menor de los privilegios posible en todos los sistemas que necesite para la ejecución de su rol, que en el caso de los Agentes IA puede ser un conjunto de cuentas, herramientas, accesos, ámbitos, que definen todas las cosas que podría hacer dentro de la empresa.

    Figura 4: Least Agency

    A partir de ese momento, hay que aplicar todas las posibilidades de fortificación por capas, analizando primeramente todos los riesgos que tenemos, que el documento cataloga en una arquitectura que, bajo mi punto de vista, no recoge todas las posibilidades de ataque, ni todos los riesgos existentes, pero al menos da un punto de partida.
    El documento recoge como riesgos las técnicas de Prompt Injection - Directas o Indirectas -, es decir, por medio de un usuario malicioso que quiere desalinear el modelo directamente, o por haber leído un dato inseguro que quiere hacer lo propio. También reconoce como riesgo el uso de herramientas maliciosas en por medio de una manipulación de las mismas o de los MCP Servers conectados, que es otra amenaza que hemos visto explotada en ataques.
    En la parte de Identidad, el problema de las "Non-Human Identities" de las que hemos hablado varias veces, donde hay que controlar las cuentas, y los privilegios de cada una de las identidades que le permitimos utilizar a dicho Agente IA, para que todas tengan un "Scope" bien definido y controlado.
    Una de las partes más complejas de asegurar dentro de un ecosistema de Agentes IA, es lo que aquí llaman la "Supply Chain", pero que no es más que entender que en un entrono multi-agente, y multi-modelo, cualquier pieza puede ser maliciosa, por lo que podemos tener Agentes IA con Modelos Envenenados o Agentes IA que han sido comprometidos, vía envenenamiento de su Memoria, Contexto o RAG, lo que hace que no te puedas fiar de ninguna llamada o colaboración. 
    Figura 8: RAG Poisoning

    El Prompt, las APIs, los Datos de tu RAG, el Contexto, o la colaboración con otros Agentes IA debe hacerse en un entorno Zero-Trust. A partir de este análisis, hay que aplicar una serie de herramientas y soluciones para desplegar AI con seguridad en la empresa. De esto yo os hablé en un artículo anterior, y llevado a los Agentes IA con "Non Human Identities", las propuestas de fortificación que recoge el documento se dividen en diferentes niveles, y diferentes tipos de organizaciones. Esta es la lista:
    • Agent identity verification: Darle una identidad única a cada Agente IA, basada en credenciales robustas, certificados digitales e incluso usando sistemas de protección de credenciales tipo HSM o TPMs para evitar el robo de credenciales.
    • Service Authentication:Verificación robusta de los servicios de la organización, de las identidades de los Agentes IA. No basta con que tengan identidad y credenciales, tienen que ser verificadas extremo a extremo en todos los servicios de la organización.
    • Observability and auditing:Registros y análisis de comportamiento. Esta es una pieza fundamental que muchas organizaciones no están atacando. Saber qué están haciendo y cómo lo están haciendo en todo momento para tener información basada en su comportamiento. 
    • Behavioral monitoring and response:Sobre los datos de registro, y las trazas de comportamiento, hay que tener herramientas de monitorización que detecten las anomalías de funcionamiento, y por supuesto, tener herramientas de respuesta automática.
    • Input validation and output controls:Guardarraíles para detectar BIAS, DLP, Hallucinations, Poisinoing Attacks, Jailbreak Attacks, Prompt Injection, Misalingments, etcétera. Esto exige un trabajo de ajuste fino en el diseño de cada Agente IA de una organización.
    • Integrity a nd recovery: Fortificación del entorno de configuración de cada uno de los Agentes IA, sistemas de rollback para acciones erróneas o peligrosas que un Agente IA haya podido realizar, y herramientas y sistemas de gobernanza de los Agentes IA. Ahí es nada.
    Analizando esto, si eres de los que trabajas en Ciberseguridad, podrás ver que es un "stack" completo y nuevo de herramientas de fortificación, control, auditoría, observabilidad, gestión, que hay que desplegar completamente en la empresa, y que probablemente muchas organizaciones no tienen en los presupuestos, pero que los CISOs deben incorporar cuanto antes para que se puedan comenzar a trabajar de manera "más o menos" controlada en el mundo de los Agentes IA en los equipos de la compañía.
    Como os podéis imaginar, este solo es una de las patas donde los CISOs deben estresar sus políticas y sistemas, ya que son despliegues completos para gestionar la seguridad de los Agentes IA, pero con la llegada de Mythos y los Agentes IA para ataques, los CISOs deben estresar las medidas y herramientas de seguridad para pensar en Agentes IA enemigos como adversarios, y eso demanda también nuevas inversions debido a la efectividad en la búsqueda de vulnerabilidades y explotación de las mismas por parte de Agentes IA ofensivos.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  9. Cómo crear con Víbe Coding código ASM para AMSTRAD CPC 6128. Por si te animas a "sufrir" conmigo el Retro Vibe-Coding.

    No, no se me había olvidado postear, ni iba a dejar de lado al "demonio cabrón", solo es que me ha tomado mucho más tiempo de lo que pensaba. Estos días atrás se me ocurrió la idea de hacerme con Vibe-Coding, o mejor dicho, con SPEC-Coding, una serie de utilidades y herramientas a bajo nivel para el AMSTRAD CPC 6128. Quería hacerlas en lenguaje ensamblador para tener más posibilidades de controlar el equipo, y al mismo tiempo más velocidad de ejecución que los programas interpretados por BASIC.

    Figura 1: Cómo crear con Víbe Coding código ASM para AMSTRAD CPC 6128.
    Por si te animas a "sufrir" conmigo el Retro Vibe-Coding.

    Como idea inicial parecía muy sencilla, pero no ha sido así. Ya os dije que cuando estuve probando a hacerme el juego de Light-Cycles de Tron tuve que pelear bastante. Me dio bastantes errores y costó sacarlo adelante, pero después de varias horas, el programa salió. Eso sí, con un poco más de coste que saldría con los lenguajes más comunes como Python, o Rust, o Javascript

    En este caso, viendo el tamaño del MS-DOS de 1981 del que os hablé hace poco, quería trabajarlo en ASM, y comenzar con hacer un Diskcopy a bajo nivel, que era una herramienta que todos los amantes del AMSTRAD CPC6128 teníamos siempre a mano. La idea es sencilla, se trataba de construir un analizador de disquetes, y un duplicador que no falle incluso si un sector está defectuoso, añadiendo re-intentos, copiado a bajo nivel, y además incluso, con IA, generar reparaciones de sectores.  Pero primero, con poder duplicar un disquete me daba por satisfecho.

    Creando un proceso para hacer Vibe-Coding/Spec-Coding en ASM Z80 para AMSTRAD CPC

    Pues no ha sido fácil. Un autentico dolor. Tanto que, después de más de treinta intentos he tenido todos los problemas de especificaciones que pudierais imaginar. Conseguir que se quedará centrado en ASM para el Z80 de AMSTRAD CPC no ha sido fácil, en cada dos o tres iteraciones añadía funciones en ensamblador de otros microprocesadores.  Tampoco ha sido fácil que cuando escribía el código se ciñera al AMSTRAD, y de repente los cargadores los llevaba al BASIC de Sinclair e incluso de Spectrum, haciendo que la compilación fuera un dolor. 
    He estado tentado de leerme los fantásticos tutoriales de Chubiakumas que son una pasada y hacérmelo yo a mano como antaño. Al final, después de varias horas probando una y otra cosa, he conseguido que me funcione bien el proceso, aunque el código aún lo tengo al 1% de lo que quiero construir. Pero si te animas a probarlo tú, y quieres sufrir un rato conmigo, te lo dejo por aquí.

    1.- El Prompt para pedir el código

    No he utilizado ningún sistema de Spec-Coding todavía, así que sólo conseguir un programa Stand-Alone usando Gemini 3.5 Thinking y DeepSeek v3 DeepThink me ha dado bastantes problemas. Al final, he utilizado un Prompt que acote bien que el código se genere para ese entorno concreto.

    Eres un experto programador en Z80 para el ordenador Amstrad CPC6128.
    Necesito que generes código ensamblador (Z80) que cumpla estrictamente con las siguientes reglas:

    1. **Solo instrucciones estándar Z80** (no usar códigos de operación no documentados ni instrucciones de terceros).
    2. **El código debe ejecutarse sin fallos en un Amstrad CPC6128 real** (o emulador fiable como WinAPE, JavaCPC, Caprice).
    3. **El programa debe arrancar en ORG &4000**
    4. **No debe asumir nada sobre el estado previo del sistema** (inicializar todo lo necesario: modo de pantalla, colores, interrupciones, etc.).
    5. **Uso del firmware** – se permite, pero solo llamadas bien documentadas (por ejemplo SCR_SET_MODE &BC0E, TXT_OUTPUT &BB5A, etc.). Si se usa acceso directo a hardware (VRAM, puertos), debe ser correcto para el CPC.
    6. **Gestión de errores** – el programa no debe colgar el sistema. Si termina, debe retornar limpiamente (RET) o quedar en un bucle seguro.
    7. **Comentarios claros** – cada sección debe explicar qué hace en relación al hardware del CPC (pantalla, memoria de vídeo en &C000, etc.).
    8. **Ejemplos de código** – si se pide una tarea concreta (por ejemplo, mostrar texto centrado, dibujar gráficos, leer teclado), el código debe ser autocontenido y funcionar al cargarlo con LOAD y ejecutarlo con CALL &4000.

    Antes de escribir el código, comprueba mentalmente:
    - Las direcciones de firmware son correctas para el CPC6128.
    - La memoria de vídeo en modo 1 es de 16000 bytes, desde &C000 hasta &amd;FE7F.
    - El tamaño de la pila es suficiente.
    - No se desborda la VRAM (escribir más allá de &FE7F corrompe el sistema).

    [TAREA A REALIZAR]

    No es un Prompt "perfecto", pero es el que mejores resultados me ha dado en todo el proceso para conseguir que no se me fuera a otros equipos, a otros lenguajes o a otros ensambladores.

    2.- Compilación con pasmo

    Hay otras alternativas, pero una vez tenía el código ASM generado por Gemini o por DeepSeek, lo he compilado con pasmo en formato BIN usando la cabecera AMSDOS, tal y como podéis ver en la siguiente captura. Nada complicada esta parte.
    Pasmo lo puedes descargar desde la web del proyecto. Yo me he descargado la última versión, la he instalado y ha funcionado a la perfección en mi MacOS última versión, así que no debería darte ningún problema en ningún sitio.
    De este proceso te deberá salir el código .BIN de tu programa, que es lo que deberemos llevar al disquete en la fase siguiente.

    3.- Creación del disquete

    Esta es una fase sencilla, ya que puedes hacer la creación de un disco virtual, usando Amstrad DSK Filesystem Manager. Para ello, crea primero un disquete con "New Disk Image" y luego el código .BIN que tienes que tener comprimido como FICHERO.BIN.ZIP lo arrastras a la parte de arriba a la derecha donde pone "Import to DSK".

    Cuando tengas el fichero en la lista de archivos de tu DSK, entonces puedes descargarlo con Download DSK file y tendrás tu disquete virtual listo para utilizar en tu emulador.

    4.- CPCBOX

    Como ya os conté en el otro artículo, yo utilizo CPCBOX para probar estas cosas, así que solo tienes que arrancar el emulador, y seleccionar la imagen de tu disquete virtual en la disquetera, como puedes ver en la captura siguiente.
    Una vez cargado, puedes ver el contenido desde tu AMSTRAD usando CAT - como siempre -, y ver todos tus ficheros y pruebas ahí listados.
    En mi caso, como podéis ver, he estado haciendo bastantes pruebas, y muchas han fallado, pero bueno, al final casi he conseguido tener un método de trabajo que funcione. Para cargar el programa, pidiéndole que cargue el programa a partir de la dirección &4000 (puedes probar a partir de la &1000 que es también típica para códigos binarios en AMSTRAD CPC), pues debes cargarlo en memoria.
    Para eso, reservamos memoria, cargamos el binario y mandamos el contador de programa del AMSTRAD a la dirección de carga del código BIN que hemos cargado. Si este no funciona bien, y no hace el RET en el código final, el resultado será que se te cuelga el equipo y hay que apagar y encender. 
    Esto es otro tipo de equipo al que tenemos hoy en día con la memoria protegida y arquitecturas preemptivas. Aquí el programa puede quedarse con el flujo de programa.

    Conclusión

    La gracia de todo este proceso, para mí, era poder programar en AMSTRAD CPC haciendo uso del ASM del Z80 porque este era el lenguaje más potente y la forma de hacer los juegos más bonitos de este equipo, pero por desgracia el Vibe-Coding (Spec-Coding) para el Z80 de AMSTRAD CPC aún no está muy logrado, así que hay que remar mucho. Veremos en siguientes versiones, u otros modelos. Si lo pruebas en algún modelo o versión que te funcione a la primera... ¡házmelo saber!

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  10. Un rato con mi amigo José Manuel Alarcón de CampusMVP

    Llevábamos muchos meses esperando el rato para poder estar juntos y charlar un poco sobre tecnología, sobre Inteligencia Artificial, sobre Ciberseguridad, y sobre todo de nuestras batallitas juntos en la vida. Por fin, hace un par de semanas, coincidiendo con mi paso por Galicia, reservé un ratito en la agenda para sentarme con mi amigo José Manuel Alarcón, de Campus MVP, para charlar un rato.

    La charla ha sido publicado hace unas horas, así que hoy sábado, aprovechando que aún estoy de viaje por las Américas, os voy a dejar publicada la sesión. Este será el post del sábado, pero lo adelanto un poco, para apoyar en su difusión a mi compañero, con el que puedes contactar por su buzón de MyPublicInbox
    En el vídeo, de poco más de una hora de duración, hablamos un poco de casi todo, que es lo que pasa cuando juntas a dos veteranos de este mundo que tienen muchas aventuras comunes, y otras paralelas, pero que han vivido por experiencias similares, así que la conversación hablará de qué deben hacer los programadores, qué estudiar, cómo va el mundo de la IA en la empresa, y qué se cuece en ciberseguridad con Mythos... y esas cosas.


    Figura 4: Una charla entre José Manuel Alarcón y Chema Alonso

    Para la portada hizo este montaje con IA, que me ha parecido gracioso, pero yo he preferido poner de cabecera del artículo un momento de la conversación. Y si quieres tener más charla de esta, pues apúntate al Foro de Ciberseguridad que llevo en MyPublicInbox, que hablo de cosas que tienen que ver con IA, Ciberseguridad y similares también.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Únete al foro de Ciberseguridad de Chema Alonso en MyPublicInbox Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

¿Quien nos patrocina?

Nadie :-( , de vez en cuando tú haces clic en algún banner de publicidad. :-)

Acceso

¿ Quienes participan ?

Somos un grupos amantes de la tecnología y sobretodo de la programación de Vigo (Galicia).

Te gustaría participar , encantados contar con contigo y nuevas ideas.

Registrarte aquí y envía un formulario alguno de los contactos indicandole en que quieres participar y que ideas tienes.

Mas info

Sobre Nosotros