"Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”

Steve Jobs

Afiliado
Dominios3Euros

Un informático en el lado del mal

Blog personal de Chema Alonso sobre sus cosas.

  1. IA, Datos & GenAI en Hispam Digital Forum & Una entrevista en Cooperativa Ciencia

    El pasado 9 de Julio estuve en Chile, participando en el Hispam Digital Forum de Telefónica Tech & Movistar Empresas, donde di una charla sobre los Datos, la IA, y cómo gestionarlos en la empresa. La sesión no es nueva, ya la ha he impartido varias veces, pero aprovechando que había mucho CIO, CDO y CTO de grandes empresas, era el momento de hablar de eso.
    La charla la he subido a mi canal de Youtube, por si alguno que no lo haya visto aún quiere verla. Ya sabéis que en mi canal intento recopilar todos los vídeos de lo que he ido haciendo durante los últimos casi 20 años de los que tengo material en vídeo.


    Figura 2: IA, GenAI, Datos en la Empresa en el Hispam Digital Forum

    Después de la charla, concedí tres entrevistas a tres medios de comunicación, y una de ellas quedó grabada en vídeo, en la de Cooperativa Ciencia. Como hablamos de temas que tienen que ver con la educación, la innovación y la ciberseguridad, quedó curiosa.


    Figura 3: Entrevista a Chema Alonso en Coperativa
    Ciencia sobre Innovación y Ciberseguridad

    La he subido también al canal, pero puedes ver la entrevista completa en la web del medio. Así que para hoy, viernes de puente en muchos rincones de España, he subido estos dos vídeos para que si te apetece y tienes tiempo libre, los puedas ver. Y si no... a hacer cosas, como yo.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  2. SUNO: GenAI para "Crear" el Hit del Verano en Segundos

    Recuerdo hace mucho tiempo, cuando yo tenía mi Pentium II, que apareció un programa para hacer canciones de música electrónica. Tenías pistas, tenías samples, y podías jugar a ser un DJ fantástico que creaba canciones a golpe de arrastrar los samples a las pistas. Venía muy limitado, pero me lo pasé bien durante horas. Especialmente porque yo soy auténticamente negado para la música. Mi parte creativa está conectada con otras disciplinas que no son las notas, los acordes y los sonidos.
    Con la llegada de la GenAI, salió hace tiempo SUNO que es el equivalente a los modelos de difusión que usamos en imágenes y vídeos, pero llevados al mundo de la creación de canciones, para crear los nuevos temas del futuro, hechos por GenAI.

    Donde se pueden hacer cosas muy sencillas para jugar, o se pueden crear cosas espectaculares a golpe de Prompt Engineering para la música, y tienen una barbaridad de estilos ya disponibles para crear temas a golpe de 200 caracteres, que es lo que puedes poner en el Prompt.

    Figura 3: Estilos de SUNO. Si pinchas en uno de ellos te lleva
    a ejemplos de temas hechos en ese estilo y fliparás.

    Podéis sacaros una cuenta gratuita, y entrar solo a escuchar las Top Songs en forma de listas de lo más escuchado o por categorías, donde vas a descubrir auténticos temazos creados con GenAI que te van a gustar seguro. Yo me he puesto la lista de Rock - que soy un clasicón - y la verdad es que estoy disfrutando las canciones.

    Pero puedes jugar a crearte tu las canciones, con el Prompt que quieras. Yo le he pedido uno para jugar un rato, y he acabado pidiéndole que me hiciera una canción. Que nadie me hace canciones a mí... pues que me la haga la GenAI.

    Figura 5: Hazme una canción SUNO

    Y el temazo que ha construido en dos versiones ha sido espectacular, titulado "El hacker de la boina". La letra se la puedes dar, puedes modificar las partes de las canciones, etcétera, pero yo os he dejado la letra tal y como la construido. 

    Figura 6: Haciéndome unos "temazos" para mí,
    que nadie se quiere como uno mismo.

    Como podéis ver, es pura poesía bailando sobre notas al compás de melodía, que puede ser el tema del verano sin duda. Y hecho en cuestión de unos segundos, que es lo mejor de todo. Aquí va la Versión Electrónica.

    Figura 6: El hacker de la boina versión Electrónica

    Para que la podáis disfrutar os la he subido aquí, para que no os perdáis el hit del verano que he construido, sobre todo la parte del estribillo donde deja claro todo lo sexy que soy. Me la voy a poner de Ring-Tone. Aquí va la Versión Rock.

    Figura 7: El hacker de la boina versión Rock

    Por supuesto, puedes hacer también músicas ambientales e instrumentales que puedas utilizar en vídeos de demostraciones, en aplicaciones, en páginas webs, o en cualquiera de tus creaciones multimedia. Todo hecho por GenAI.

    Figura 8: Instrumentales para la música de tu web

    Así que nada, hoy que es fiesta, es un día perfecto para que juegues con la GenAI Musical y te pongas a hacer temas a la peña. Y si no tienes a quién hacerle una canción, siempre me la puedes hacer a mí, que seguro que me gusta que me dediquen canciones. Y si no, a los niños, que siempre les hace gracia estas cosas.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  3. BootCamp en Ciberseguridad con 4Geeks en Miami o en Full-Remote

    El próximo 5 de Agosto da comienzo la primera edición del BootCamp en Ciberseguridad de 4Geeks, donde durante 16 semanas se hace un entrenamiento en hacking, fortificación, y gestión de la ciberseguridad para preparar a personas desde cero, con el objetivo de meterlas en el mercado laboral.
    Dicho Campo de Entrenamiento da comienzo este 5 de Agosto, así que si es duro formarse desde cero en un BootCamp, aún más en el mes de pleno verano: Agosto. Pero si eres de los que quieres hackear tu futuro y de forma rápida, lo puedes hacer con este BootCamp en Ciberseguridad de 4Geeks tanto en Miami como en Full-Remote.
    El temario lo he revisado con mi equipo, y el profesor de esta primera edición será uno de los miembros de mi equipo de ciberseguridad (el gran Rubén Alonso a.k.a. Latro), que estará dirigiendo al equipo de profesores colaboradores del BootCamp en Ciberseguridad de 4Geeks.
    Es formación durará 16 semanas, o lo que es lo mismo, 4 meses, con tres clases semanales y tal y como puedes ver en la imagen de la Figura 2, los asistentes tendrán una sal de chat de MyPublicInbox donde estaré yo también por si tengo que responder alguna duda, recibirán 4 libros de 0xWord, y tendrán 2.000 Tempos de MyPublicInbox para consultas privadas con los profesores, conmigo, o con cualquier perfil público de la plataforma.

    Figura 4: BootCamp en Ciberseguridad de 4Geeks

    El temario, lo tienes disponible en la web del BootCamp en Ciberseguridad de 4Geeks y como ves toca temas de Administración, Hardening, Pentesting, Hacking, Privacidad, Ciberinteligencia, OSINT y certificaciones de ciberseguridad.
    Así que, si te quieres formar desde cero con un programa agresivo y rápido, es decir, por la vía rápida, tienes este verano este BootCamp en Ciberseguridad de 4Geeks que da inicio el día 5 de Agosto y que puedes cursar tanto de forma presencial en Miami como en Ful-Remote. Eso sí, va a ser para ponerte bien las pilas.
    Para cualquier duda de este programa, además de utilizar los formularios de la web del BootCamp en Ciberseguridad de 4Geeks, puedes contactar con Marco Gonzalo Gómez Pérez, que es uno de los fundadores de 4Geeks Academy España y te dirá qué es lo que te va a esperar allí.
    Y nada más, que este verano puedes elegir cuando descansar, y cuando formarte. O cuando hackear tu futuro profesional. Yo pienso hacer de las tres cosas un poco, ya os contaré cómo.....

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  4. SC VALL-E y VET Token: GenAI para clonación de Voces & Tokens Web3 en Blockchain

    Es casi imposible hoy en día estar actualizado con toda la información que aparece relacionada con el mundo de la Inteligencia Artificial, que se ha convertido en el foco principal de la investigación en tecnología, y por eso vemos avances a esta velocidad. Pero de vez en cuando aparece un paper o una nueva aplicación que causa cierto interés y revuelo.
    Pues justo éste es el caso de SC VALL-E (Style Controllable VALL-E), un nuevo sistema de síntesis de voz que ofrece unas características bastante innovadoras relacionadas con la forma en la cual interactuamos con el contenido de un audio, ofreciendo una precisión y flexibilidad nunca vista hasta ahora.

    La tecnología detrás de SC VALL-E

    SC VALL-E es una evolución del modelo VALL-E original, basado en un enfoque de modelado de lenguaje para la síntesis de texto a voz (TTS). Utiliza un modelo de lenguaje de códec neural entrenado con un gran conjunto de datos de habla en inglés y coreano, que incluye más de 21.000 horas de audio de 14.000 hablantes distintos.

    Figura 2: SC VALL-E: Style-Controllable Zero-Shot Text toSpeech Synthesizer

    La arquitectura de SC VALL-E tiene tres componentes principales:

    1. Incrustación de Texto y Cuantización de Audio: El texto se convierte en fonemas utilizando un conversor avanzado de grafema a fonema (KoG2Padvanced para coreano). El audio se cuantiza en tokens discretos mediante EnCodec, un modelo de códec de audio basado en redes neuronales.

    2. Predicción de Tokens Cuantizados: Este componente incluye bloques autorregresivos (AR) y no autorregresivos (NAR). El bloque AR predice la longitud temporal de los tokens, mientras que el bloque NAR, que incorpora la innovadora red de estilo, permite el control de diversas características acústicas.

    3. Reconstrucción de Audio: Los tokens predichos se convierten de nuevo en formas de onda de audio utilizando un DeCodec pre-entrenado.

    Figura 3: Arquitectura SC VALL-E, los módulos con recuadro
    rojo son la arquitectura original de VALL-E

    El punto clave es la capacidad de control de estilo de SC VALL-E, que utiliza una matriz de incrustación de estilo y un vector de control. Esta configuración permite manipular aspectos como la emoción, la velocidad del habla, el tono y la intensidad de la voz. Y esto es un punto totalmente nuevo en este tipo de tecnología.

    Capacidades y aplicaciones

    Clonar voces ya sabemos que tiene serias implicaciones desde el punto de vista de la privacidad y la ciberseguridad, pero quiero comenzar con los puntos positivos. SC VALL-E puede clonar voces con una precisión asombrosa del 99% utilizando solo tres segundos de audio de muestra. Esto es más que una simple imitación, ya que el modelo permite un control de ajuste sobre diversos aspectos de la voz sintetizada (como hemos comentado antes):
    • Emociones: Puede transformar una voz neutral en feliz, triste o enojada.
    • Velocidad del habla: Permite ajustar la cadencia desde muy lenta hasta muy rápida.
    • Tono e intensidad: Ofrece control sobre la altura y el volumen de la voz.
    Estas capacidades abren un abanico de aplicaciones potenciales:
    • Producción de contenido personalizado (audiolibros, podcasts)
    • Localización de contenido manteniendo las voces originales
    • Creación de material educativo inmersivo
    • Desarrollo de asistentes de voz más naturales y expresivos
    • Aplicaciones de accesibilidad para personas con discapacidades del habla
    • Humanos Digitales
    Figura 4: Diagramas del espectrograma MEL cuando
    se activa el token de control de emociones.

    Los experimentos han demostrado que SC VALL-E supera a modelos anteriores como GST-Tacotron y VAE-Tacotron en términos de similitud con el hablante y naturalidad del habla. Aunque las métricas objetivas como WER (Word Error Rate), FVE (F0 Voiced Error) y F0GPE (F0 Gross Pitch Error) muestran resultados ligeramente inferiores a algunos modelos existentes, las evaluaciones subjetivas (CMOS y SMOS) indican una mayor calidad percibida y similitud con el hablante original.

    El ecosistema de los VET Tokens

    Y aquí viene otra de la parte original o innovadora dentro de la implementación de este nuevo SC VALL-E. Para impulsar el desarrollo y la adopción de SC VALL-E, se ha creado el VET Token, una criptomoneda diseñada específicamente para este ecosistema.

    Figura 5: Logo de la cripmoneda VET Token.

    Las características clave de este VET Token incluyen, dentro de su arquitectura de Tokenomics:
    • Utilidad en la plataforma: Será la moneda principal para transacciones dentro de la aplicación SC VALL-E.
    • Acceso a funcionalidades premium: Los poseedores de VET tendrán acceso exclusivo a características avanzadas.
    • Sistema de recompensas: Los usuarios podrán ganar tokens por utilizar y contribuir a la plataforma.
    • Potencial de gobernanza: Posibilidad futura de participación en decisiones de desarrollo
    Ya es posible obtener VET Tokens desde este enlace la web, donde podéis ver cómo se ha repartido la emisión de los mismos en su ICO.

    Figura 6: Obtención de web tokens desde la web de SC VALL-E

    Desafíos y consideraciones éticas

    Ahora sí, vamos a hablar un poco de los problemas éticos y de ciberseguridad, que son muchos. A pesar de su potencial revolucionario, SC VALL-E y tecnologías similares que ya conocemos, plantean importantes desafíos:
    • Privacidad: Aparecen preocupaciones sobre el uso no autorizado de la voz de una persona para cualquier tipo de fin.
    Los desarrolladores comentan que están implementando medidas de seguridad, como la verificación de identidad para el uso de voces en la plataforma, para mitigar estos riesgos. Si te interesa este tema de la ciberseguridad y la IA, en este libro de 0xWord tienes una primera aproximación a este apasionante mundo:

    Figura 7: Libro de Machine Learning aplicado a Ciberseguridad de
    Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

    Pero tampoco está de más tener o desarrollar aplicaciones que integren algoritmos de detección de posibles Deepfakes, como VerifAI, una solución que te permite detectar imágenes, vídeo y texto generado por IA y en el cual también estamos trabajando para integrar detección de voces clonadas. Puedes probarlo aquí: https://verifai.tu.com/

    Figura 8:  Servicio para detectar Deepfakes y Contenido generado por GenAI
    creado por Telefónica Innovación Digital

    Reflexión final

    SC VALL-E, respaldado por el ecosistema VET Token, representa un nuevo enfoque interesante en la tecnología de síntesis de voz y de la implementación de soluciones con IA en general. Combina la potencia del aprendizaje profundo con la flexibilidad del control de estilo, y esto abre nuevas posibilidades en la creación y manipulación de contenido de audio.

    Figura 9: Demo con Stable Diffusion + Talking Heads +
    + Voz Clonada + Lips Sync hecha en febrero de 2023

    A medida que la tecnología continúa evolucionando, podemos esperar interacciones cada vez más naturales y personalizadas con sistemas de IA. Pero, por otro lado, es importante tener en cuenta los desafíos éticos y de seguridad para garantizar un desarrollo responsable de esta tecnología y el impacto hacia las personas.
    El futuro de la síntesis de voz ha dado un salto más, y esto es sólo el principio. SC VALL-E y VET Token están ahora como un punto de referencia en esta revolución, pero seguiremos viendo nuevas implementaciones e ideas que mejorarán y perfeccionarán la síntesis de voz hasta niveles que nunca hemos imaginado.

    Happy Hacking Hackers!!

    Autor:

    Fran Ramírez(@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.

    Contactar con Fran Ramírez en MyPublicInbox

    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  5. DragonJAR Security Conference 2024

    Los días 26 y 27 de Septiembre tiene lugar en Colombia una nueva edición de DragonJAR Security Conference, donde este año voy a participar con una charla por Vídeo-Conferencia para todos los asistentes de este evento.
    La conferencia tendrá lugar en la ciudad de Bogotá, y nuestro amigo Jaime Andrés Restrepo, a.k.a. DragonJAR tendrá a los mandos todos los ponentes que vamos a estar participando en ella. Si quieres, colaborar, o proponerle cualquier colaboración a Jaime, puedes hacerlo a través de su buzón de MyPublicInbox.
    Él mismo te cuenta en este vídeo todo lo que puedes encontrarte en esta edición DragonJAR Security Conference 2024, donde hay más de 15 ponentes, charlas, talleres, retos, juegos, y mucho, mucho, mucho networking.


    Figura 3:DragonJAR Security Conference 2024

    Yo prepararé mi charla durante ese mes de Agosto, y espero que os guste cuando la imparta. Además, todos los asistentes recibirán 100 Tempos de MyPublicInbox solo por registrarse en al conferencia, así que reserva cuando antes tu plaza.
    Para registrarte, tienes en la web el formulario de registro y toda la información que requieras para formalizar en firme la reserva de tu plaza. Espero que os animéis, y nos vemos pronto por la DragonJAR Security Conference 2024, que yo voy a coger fuerzas este mes de Agosto, que os prometo que me lo he ganado. 
    Además, podrás conseguir nuestros libros. Para ello puedes entrar en la web de 0xWord en DragonJAR, y utilizar el botón de contactar para solicitar información de los libros del catálogo, los precios y las fechas de entrega. Esto lo puedes hacer también a través del servicio de conexión por WhatsApp que tiene la empresa anunciado en la web.
    Una vez que tengas el formulario, lo único que tienes que hacer es dejar tus datos de contacto y los libros en los que estás interesado, para lo que recibirás una respuesta del equipo de DragonJAR y podrás recogerlos en el evento de DragonJAR Security Conference 2024

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  6. Aprendizajes del Crowstrike BSOD: ¿Debes abandonar Windows?

    Supongo que muchos os habéis enterado ya del Blue Screen Of Death que ha provocado el EDR de Crowdstrike en todas las máquinas Windows. Supongo que algunos compañeros aún estáis arreglando máquinas o con los planes de contingencia de muchos de los servicios que han dejado de funcionar. Porque sí, ha sido una buena, y en mis grupos con colegas de profesión en otras empresas, se han pasado un viernes y un sábado divertido.

    Figura 1: Aprendizajes del Crowdstrike BSOD.
    ¿Debes abandonar Windows?

    Se pueden sacar muchos aprendizajes de este caso, y muchos de ellos acercando el ascua a su sardina. También he visto a muchos tecnicoless hablando con recetillas de "Windows malo", "Linux bueno", o "Mac Mejor", como si en GNU/Linux o en MacOs no funcionaran las cosas de manera similar y estuvieran ajenas a estas situaciones. Tecnicoless. Todos tienen su modo protegido, todos tienen sus programas que se han metido en modo protegido y la han liado parda y todos han tenido "Security Nightmares" alrededor de parches. 

    Aprendizajes del Crowdstrike BSOD: ¿Debo abandonar Windows?

    Os podría contar casos de todos los sistemas operativos, pero no se trata de eso, sino de que el mensaje y los aprendizajes de estos incidentes tengan que venir desde los expertos en tecnología, y no desde los tertulianos y aprovechados que se suben a cualquier trending topic de las redes social para ganar flowcon el populismo. Es un problema técnico del que tenemos que aprender cosas y mejorar cosas.
    Instalar cosas que corren en Ring0 siempre es un movida. En las máquinas GNU/Linux, gracias a esta posiblidad, aparecieron los Rootkits, que se migraron exitosamente a Windows y MacOs. Estos bichos malos implicaba que, para defenderte de ellos, había que restringir qué se puede instalar en Ring0, con programas de certificación para los fabricantes de drivers en nivel privilegiado que pudieran extender las funciones de protección en el equipo. Algunos drivers de red, de gestión de dispositivos, de seguridad, necesitan ese nivel de acceso a las funciones del sistema operativo.

    Figura 3: Libro de Hardening de Servidores GNU/Linux GOLD Edición
    (Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

    Uno de los certificados es la empresa Crowdstrike, que tiene un EDR (EndPoint Detection & Response) para detectar amenazas de seguridad capturando eventos del sistema operativo y la red y analizándolos en cloud, que desplegó una actualización de ese driver que "funcionaba en el ordenador del programador", pero que hace un acceso a una zona de memoria protegida con el nivel de privilegio de Ring0, lo que implica que no estén activas las protecciones de Ring3 que hubieran tumbado al programa y listo.
    Como estaba en Ring0, el sistema operativo, por seguridad y protección de la integridad de los datos, se detiene haciendo un Halt con un BSOD. El despliegue de este agente en Ring0, que se ocupa de detectar amenazas se convirtió en la gran amenaza a la continuidad de negocio, y ahora hay que entrar en planes de contingencia para recuperar todos los sistemas. Con cosas curiosas que nos hacen pensar.

    En primer lugar, como es un fallo con un driver defectuoso que se carga en el arranque, implica que los equipos no arrancan. Así que si quieres tomar control del equipo hay que empezar con arranques en "Safe Mode" del sistema operativo, lo que evita que se carguen drivers de terceros en el kernel. Después, se desinstala o actualiza, manualmente o con un script, el driver dichoso. Y una vez hecho esto ya podemos arrancar otra vez el equipo y tener acceso a la red, y a todas las funciones del sistema operativo.

    Con este panorama, hay que ver cómo hacer este proceso, que como os podéis imaginar no es desatendido y ni remoto, lo cual es una movida "big time", porque estamos en un mundo de equipos remotos, de máquinas virtuales, de portátiles con USBs restringidos, incluso físicamente, de equipos que no están mapeados, etcétera.  Y no muchas empresas están preparadas para responder.


    Figura 5: Cómo gestionar la Seguridad Informática de una empresa

    A mí me hizo reflexionar en esta situación sobre muchas cosas. La primera y más evidente es que los procesos de Quality Assurance en los despliegues de las nuevas versiones deben tener mucha más protección contra el error humano. Procesos de Deployment con DevSecOps en entornos de prueba y pre-producción, etcétera. Muy evidente, y es lo que marca la diferencia entre una empresa que quiere hacer productos y servicios digitales y otra que no.

    El segundo pensamiento fue, evidentemente, en el programa de certificación de estos drivers en Ring0 y lo que puede significar en el futuro. Los equipos de Microsoft de certificación habrán sentido en sus carnes la importancia de su rol, y los controles para garantizar que no llegué un software en mal estado a miles de millones de máquinas por mucho que esté creado por una empresa certificada, no han sido suficientes. Y esto va a obligar a fortalecer todos estos procesos. Y entender bien, bien, por qué ha pasado. Al final, todos estos fabricantes se convierten en una gigantesca "Supply Chain" de Windows que hay que controlar. Si se instala en Ring0, entones es parte del funcionamiento básico del sistema.
    Por otro lado, esto nos puede llevar a entornos como el de iOS, donde Apple se ha negado a dar acceso al nivel protegido de su iPhone o iPad a nadie. Imaginaos un mundo en el que tuviéramos este caso en iPhone, que no tiene para arrancar en modo a prueba de fallos y cargarle con un USB un parche. Hubiera sido un caos mundial espectacular. Así que es probable que vayamos a un mundo Ring0-less para la mayoría de los sistemas operativos, y donde las técnicas de Jailbreak sean una línea que se se desarrolle mucho más, donde los exploits a bajo nivel con instrucciones del microprocesador sean la siguiente línea de batalla, como hemos visto con GhostRace y los Speculative Use-After-Free Exploits.

    También estuve pensando que los grandes proveedores de cloud con infraestructuras IaaS jugaban un gran papel, porque seguro que se podría - en muchos entornos - hacer una deshabilitación desde la nube del driver malicioso. Un entorno de DevSecOps en Cloud ha permitido scriptar el arranque en Safe Mode, aplicar el hot-fix, y re-arrancar el servicio, así que los entornos bien afinados de DevSecOps sacando el máximo de Docker & Kubernetes, ha ayudado. También los entornos VDI en Cloud, lo que da mucho que pensar a cuánto de moderna es la arquitectura IT de tu compañía.
    Por supuesto, si tus servidores están en IaaS hay un Ring0 del que te tienes que preocupar, pero si tienes toda tu arquitectura tecnológica en PaaS y los servicios en SaaS, pues no hay Ring0 del que preocuparte tú, lo que debería pensarte si aquel Go-To-Cloud con Lift & Shift fue el más adecuado, o era necesario hacer re-ingeniería a Moderm Cloud Apps.

    Dicho esto, dentro de los planes de contingencia de tus entornos de Fail-Safe, debes tener todo preparado para que el bug esté en los procesos que corren en Ring0 - e incluso en el Kernel de los sistemas operativos base de tus servicios -, por lo que si tienes una copia completa de tu entorno preparada para tomar el relevo ante una caída como esta, más vale que tengas en mente este caso, porque si te actualizan al mismo tiempo el nodo activo con un bug como este en Ring0, y en el entorno pasivo tienes el mismo bug, pues has hecho un pan como dos tortas.

    En fin, muchos aprendizajes y buenos sobre todo lo que en tu empresa podría estar mejor, pero pensar que la solución es "¡pásate a GNU/Linux!" o "Yo uso Mac", y crees que con esto vas a estar libre de que te pase en el futuro... ¡enhorabuena, eres un Tecnicoless!. 

    PD: He dejado los libros de 0xWord relativos a la seguridad de los sistemas operativos y la charla de Cómo gestionar la Seguridad Informática de una empresa para que se los recomendéis a todos los Tecnicoless que opinen y den recomendaciones de este tema sin tener ni "·$·$%&%$& idea. Sólo a ellos.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  7. Último fin de semana del Código de Rebajas de Verano 2024 en 0xWord: Cupón VERANO2024 (más lo que tengas en Tempos)

    Aún sigue activo el código VERANO2024 en 0xWord, que  hasta las 23:59:59 del 21/07/2024 tiene un descuento que da un 10% de reducción de precio en todos los productos de la tienda de 0xWord.com. Es tan sencillo como incluir en el proceso de compra el código VERANO2024para obtener un 10%de rebaja en el precio, y además, como te cuento en este artículo, tienes también otras formas de conseguir más ahorros utilizando tus Tempos de MyPublicInbox.

    Figura 1: Último fin de semana del Código de
    Rebajas de Verano 2024 en  0xWord.com.
    Cupón 10% descuento: VERANO2024
    y descuentos con Tempos de MyPublicInbox

    El código descuento, ya está disponible, así que si lo utilizas tendrás un descuento del 10% en todo el material de 0xWord en la tienda. Incluido el merchandising de Cálico Electrónico, los Packs Ofertalos VBOOKs, los cómics de EVIL:ONE en 0xWord Comics, las novelas en 0xWord Pocket o los nuevos de 0xWord Brain.

    Figura 2: Compra tus libros de Hacking en 0xWord

    Pero además, tienes formas de incrementar los descuentos de 0xWord, utilizando tus Tempos de MyPublicInbox, que puedes usar de dos formas diferentes. Enviando Tempos a 0xWord y consiguiendo un descuento extra o canjeando un código descuento de 0xWord por Tempos de MyPublicInbox. Aquí te explico cómo se hace.

    Enviar tus Tempos a 0xWord y recibir el descuento

    La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

    Figura 3: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
    https://MyPublicInbox.com/0xWord

    Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

    Figura 4: Cuando lo agregues estará en tu agenda

    Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.


    No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

    Canjear 500 Tempos por un código descuento de 5 €

    La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

    Así que, si quieres conseguir nuestros libros durante este VERANO2024, entre el código de descuento VERANO2024 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barata. Y así apoyas este proyecto tan chulo que es 0xWord.com.

    ¡Saludos Malignos!

    Autor: Chema Alonso (Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  8. Hacker & Developer in the Age of LLM Apps & Services [Updated]

    El pasado mes de Junio tuve el privilegio de dar la última charla de la DotNet 2024  de mis compañeros y amigos de Plain Concepts, y como está más orientada a desarrolladores, decidí actualizar la charla de Hacker & Developer in the Age of LLM Apps & Services añadiendo algunas de las novedades desde que diera esta misma charla a finales del año pasado.
    En esta charla intento presentar el impacto de los LLM Apps & Services en el mundo de la ciberseguridad desde dos perspectivas diferentes. La primera desde las nuevas vulnerabilidades y cómo le afectan, siguiendo el OWASP Top 10 para LLM Apps & Services del que ya os he hablado alguna vez, donde caen las técnicas de Prompt Injection, los bugs & hacks a plugins y las arquitecturas RAG, las técnicas de Jailbreak, o los leaks de privacidad.
    La segunda, desde la perspectiva de cómo utilizar LLMs Apps & Services para el mundo del hacking, del Red Team, o de cómo lo pueden utilizar los malos en esquemas de ataque. De esto os he hablado también en muchos artículos, y caen la resolución de los Captchas Cognitivos, el uso de LLMs para desinformación, Fake News, DeepFakes, la creación de exploits o la asistencia a la hora de recoger información.
    Todo esto que he ido publicando los últimos dos años lo he intentando condensar en esta charla de 45 minutos que he subido a mi canal Youtube, donde ya sabéis que intento compilar todo el material en formato vídeo de charlas, entrevistas, conferencias, y cosas varias que a lo largo de los años he ido haciendo.


    Figura 2: Hacker & Developer in the Age of LLM Apps & Services [Updated]

    Y poco más que decirte. Si te gusta este mundo, y ya sabes lo importante que es la Inteligencia Artificial en la Ciberseguridad, tanto para como la utilizan los atacantes, que como la utilizan los equipos Blue Team, Red Team o Purple Team en las empresas, hemos preparado ya la II Edición del Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad" que tendrá lugar en el mes de Noviembre de este año. Reserva ya tu plaza.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  9. Metaverso y Mundos Virtuales: Tecnologías, Retos y Oportunidades

    El Metaverso parece que se ha ido, pero la realidad es que no es tan así. Sigue construyéndose. No cómo un mundo tipo Ready Player One que algunos esperaban, sino como un crecimiento caótico donde se van añadiendo más piezas de este concepto que van cobrando vida propia. Apple lanza sus Vision Pro para entornos de realidad extendida, se siguen desarrollando los Humanos Digitales con modelos de GenAI, las experiencias VR/AR/XR siguen creciendo, y cada vez hay más gente conectados a los mundos virtuales de juegos.
    Todos son piezas de ese concepto mayor que es el Metaverso, pero está claro que aún tiene muchos retos por delante para llegar a la experiencia que todos vimos en la presentación donde vimos la estrategia de Meta de llevarnos a él. Pero por supuesto, los que estamos en innovación seguimos haciendo cosas en este concepto, porque creemos que las aproximaciones sucesivas nos van a ir a acercando a esos famosos mundos virtuales más sociales - que para mí es lo más lejano por ahora -.

    De todos esto, de las Tecnologías, de los Retos y de las Oportunidades con AR, VR, XR, y la aproximación al concepto del Metaverso trata el libro de la línea 0xWord Brain dedicada a ensayos que han escrito Carmen Jordá, José María Blanco y Sandra Vázquez que hemos puesto a la venta hoy mismo.

    SINOPSIS
     
     "¿Qué hace una persona como tú con un libro como este? Posiblemente has escuchado la palabra “Metaverso” en algún momento de su vida. Tal vez lo veías como algo futurista, improbable o como simple chascarrillo o forma de referirse a cualquier innovación digital.

    Pero la realidad es que este término del que, hasta hace cosa de unos dos años no habíamos oído ni hablar, genera más preguntas que respuestas, ¿qué es el Metaverso? ¿para qué sirve o servirá? ¿será seguro? Si estás leyendo esto es que hay algo del título que te ha inquietado y eso es algo que tienes en común con nosotros: la curiosidad por el futuro digital.

    No te preocupes, estás en el libro indicado, porque las mismas preguntas que te has estado haciendo nos las hemos hecho nosotros a lo largo de estas páginas. No sabemos si podremos dar respuesta a todas tus preguntas, por lo que no esperes encontrar aquí un tratado para hackers del universo, no ahondamos en el aspecto más técnico sobre el Metaverso aunque lo abordamos; los autores somos personas que compartimos muchas cosas, entre otras: la seguridad desde una visión muy humana con un foco tecnológico y siempre con la mirada puesta en el futuro. Y no un futuro cualquiera, uno que se basa en la ilusión, ¿te animas a acompañarnos?"

    El índice completo del libro os lo he subido, como suelo hacer, a mi canal de SlideShare, donde puedes ver que tiene más de 250 páginas en los que toca muchas de las preguntas que seguro que te estás haciendo sobre el Metaverso y los Mundos Virtuales.


    Figura 5: Índice del libro de 0xWord Brain
    "Metaverso y Mundos Virtuales: Tecnologías, Retos y Oportunidades"
    escrito por Sandra Vázquez José María Blanco y Carmen Jordá

    Si estás en un departamento de innovación, o si tienes una idea en el mundo de la VR/AR/XR, seguro que te ayuda a entender y conceptualizar qué tecnologías son las que conforman este conglomerado de piezas para construir esa visión de Metaverso y Mundos Virtuales, así como las preguntas, y dudas que tiene muchas de las personas con las que vas a interactuar.
    Y seguro que estas de aquí son muchas de ellas, que se tratan todas en este texto que intenta explicarte lo que tienes que saber para entender mucho mejor todo este mundo de oportunidades y retos, que se está construyendo alrededor del Metaverso.
    Así que, si quieres un libro para este verano , ya tienes este texto disponible para que te lo puedas comprar, aún incluso puedes usar el código descuento VERANO2024 con un 10% de descuento hasta el domingo, y además, puedes usar tus Tempos de  MyPublicInbox.

    Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

    Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Metaverso y Mundos Virtuales: Tecnologías, Retos y Oportunidades" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox

    Aquí te explico cómo se hace. La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

    Figura 8: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
    https://MyPublicInbox.com/0xWord

    Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

    Figura 9: Cuando lo agregues estará en tu agenda

    Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.


    No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

    Canjear 500 Tempos por un código descuento de 5 €

    La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

    Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

    Ser escritor de libros de 0xWord

    Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.
    Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

    ¡Saludos Malignos!

    Autor: Chema Alonso (Contactar con Chema Alonso)  

    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

  10. Siempre al Oeste: Un VídeoPodcast de Zenda Libros para disfrutar este verano.

    Para encontrar el tesoro de Rackham el Rojo decía el Profesor Tornasol que había que ir "Siempre al Oeste". Y es una buena metáfora para conseguir las cosas en la vida. Tener un camino claro y seguirlo de forma decidida. 

    Te llevará hasta el deseado tesoro. Y así se llama el Vídeo-Podcast que publican en Zenda Libros para entrevistar a personas de lo más interesantes. Con los que puedes colaborar poniéndote en contacto con ellos a través de su buzón público en MyPublicInbox.
    Entre la lista de los entrevistados de este podcast puedes encontrarte al gran David Summers, Arturo González-Campos, Juan Gómez-Jurado, Karina Sainz Borgo, Ángel Martín, y un largo etcétera de personalidades relevantes.
    Como ya os he adelantado, yo pasé por el estudio, y estuvimos una hora hablando de cosas, para terminar hablando de un libro, elegido por mí, que pasó a formar parte de la librería de Siempre al Oeste, y que en mi caso no fue otro que "Un mundo feliz" de Aldoux Husley, del que ya he escrito muchas veces.


    Figura 4: Chema Alonso en "Siempre al Oeste" con Jesús Fernández Úbeda y Anais Simón

    Todas las entrevistas están disponibles hoy en día en la Living App de Zenda Libros que podéis disfrutar en Movistar+, por lo que tienes todo este contenido disponible para ti. Además, también lo tienes en el canal Youtube de Zenda Libros.
    A los mandos de las entrevistas están el gran Jeosm, María José Solano, Edu Galán o Jesús Fernández Úbeda, que es el que estuvo conmigo en mi visita a esta serie de ilustres charlas sobre cosas, y sobre libros, por supuesto.

    Si eres de los que consumen podcasts y vídeo podcasts, entonces tienes un buen material para poder entretenerte, disfrutar y aprender durante este verano, que merece la pena. Más que recomendado.
    Y si quieres colaborar con este podcast, puedes ponerte en contacto con Jeosm en su buzón de MyPublicInbox, que te atenderá encantado.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


    Sigue Un informático en el lado del mal RSS 0xWord - Contacta con Chema Alonso en MyPublicInbox.com

¿Quien nos patrocina?

Nadie :-( , de vez en cuando tú haces clic en algún banner de publicidad. :-)

Acceso

¿ Quienes participan ?

Somos un grupos amantes de la tecnología y sobretodo de la programación de Vigo (Galicia).

Te gustaría participar , encantados contar con contigo y nuevas ideas.

Registrarte aquí y envía un formulario alguno de los contactos indicandole en que quieres participar y que ideas tienes.

Mas info

Sobre Nosotros