"Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”

Steve Jobs

Afiliado
Dominios3Euros

Un informático en el lado del mal

Blog personal de Chema Alonso sobre sus cosas.
  1. El próximo 25 de Abril estaremos Iker Casillas y yo en la Universidad UNIR de Miami con un evento de jornada de mañana centrada en tecnología, donde hablaremos de Ciberseguridad e IA, y de SportTech con el acuerdo que tenemos entre Wayra y SportBoost para invertir en Startup Tecnológicas en este área.
    La sesión tendrá lugar en Miami, así que si estás en Estados Unidos por esa zona, estás más que invitado a pasarte. El programa del evento, es el siguiente, donde como podéis ver tendremos un debate al final, en el que se podrán hacer preguntas a los ponentes del panel, y antes habrá dos charlas de ciberseguridad, IA, y la seguridad y protección del tiempo con MyPublicnbox.
    Si quieres asistir a este evento de forma PRESENCIAL en Miami, y estar con Iker Casillas y conmigo allí, debes registrarte antes a través de este enlace. Estaremos en la Universidad UNIR de Miami, así que te esperamos por allí. El espacio está limitado, porque el auditorio no es muy grande, así que más vale que te des prisa en registrarte.
    Si no puedes venir presencialmente, pero quieres asistir ONLINE, entonces debes registrarte a través de este otro enlace, y aunque no estarás con nosotros, sí que podrás hacer preguntas y participar de todas las charlas en directo.
    Por último, para todos los asistentes al evento - tanto presencial como Online -, la UNIR entregará 500 Tempos de MyPublicInbox para que puedas utilizarlos en la plataforma y tener comunicación con Iker Casillas, conmigo, o con cualquier otro perfil público de la plataforma.

    Si estás por la zona de Miami, y tienes ganas de venir a vernos, es una oportunidad fantástica para que vengas a conocernos, que Iker Casillas y yo no damos muchos eventos presenciales por la zona, y que se dé esta situación otra vez, va a ser difícil. Y si te gusta el contenido y no estás por la zona, pues presencial es tu opción.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  2. MyPublicInbox es un servicio que funciona como SaaS en modo plataforma, y desde el primer día que nació no ha parado de crecer. Poco a poco, pero de forma sostenida, cada mes el número de usuarios, de mensajes, de Tempos, de perfiles públicos, de vídeo conferencias realizadas, de servicios consumidos por los perfiles de plataforma crece. Hace unos días os informamos de la integración del servicio de Reputación Online para Perfiles Públicos que hemos integrado con RepScan. Esto hace que nos animemos a seguir apostando por él, que además alcanzó el "Break Even" a finales del año 2023, lo que nos permite pensar en nuevas metas, y por eso, hemos embarcado en el proyecto a nuevos socios, como ayer se anunció en la web de MyPublicInbox.
    Se trataba de buscar profesionales destacados líderes en su disciplina que quisieran apostar e invertir en MyPublicInbox, con el objetivo de acelerar el crecimiento del mismo en diferentes sectores profesionales. Por eso es un placer darles la bienvenida a este maravilloso proyecto, que nos trae a gente con amplia experiencia en diferentes sectores como son la Educación, el Deporte, la Música, la Comunicación, el Sector Inmobiliario y el Turismo, la Medicina y la Banca

    Todos ellos son profesionales - e instituciones -, que representan una aceleración del proyecto a varios niveles, ahora justo cuando estamos creciendo en la expansión internacional del proyecto para comenzar a tener más enganches en otros países más allá de España, donde tenemos el mayor porcentaje de usuarios de la plataforma. Ellos son:

    • David Villa, ex-futbolista y actualmente Presidente de DV7 Group, con el que se promueven las escuelas de fútbol DV7 Academy, y el desarrollo de carreras profesionales y marketing con DV7 Management. También gestionan el C.F. Benidorm y otros proyectos relacionados con el fútbol en Nueva York, San Diego, Puerto Rico, República Dominicana, Tokio y Madrid. Como jugador de la Selección Española de Fútbol ha sido Campeón del Mundo en 2010 y de Europa en 2008. También marcó todos los goles que pude en Sporting de Gijón, Real Zaragoza, Valencia CF, FC Barcelona, Atlético de Madrid, Melbourne City, New York City FC y Vissel Kobe.
    • Iker CasillasCapitán de la Selección Española que levantó la Copa del Mundo de Fútbol del año 2010. Ha sido el portero y capitán del Real Madrid C.F. y jugó en el F.C. Porto. Actualmente es Adjunto al Director General en la Fundación Real Madrid, Founding Partner de SportBoost, empresa que invierte en Startups de tecnología y deporte e Icono de LaLiga. Cuenta con la Fundación Iker Casillas y es Embajador del Programa de  las  Naciones Unidas  para  el Desarrollo.
    • David Summers, músico, compositor y líder y cantante de Hombres G, que este año cumplen 40 años tocando. Junto con Rafa, Javi y Dani, forman el grupo español más exitoso en todo el mundo desde el año 1982. Probablemente, el autor de algunas de las canciones más escuchadas escritas en español de todos los tiempos.
    • Iker Jiménez, uno de los periodistas con más largo recorrido en radio, donde ganó tres premios Antena de Oro, y televisión con sus programas Cuarto Milenio y Horizonte, donde ganó el Premio Ondas, además de dedicarse a escribir libros y  hacer música. Es un apasionado del conocimiento en general y de la tecnología, donde ahora está profundamente inmerso en el mundo de la  Inteligencia Artificial.
    • Víctor Dorado, ejecutivo senior con amplia experiencia en puestos de alta dirección jurídica en diferentes sectores dentro de la industria bancaria (Banca Privada, Retail, Gestión de Activos, Financiación al Consumo). Apasionado por las nuevas tecnologías, las criptomonedas y la IA. Es Singularity University Alumni. Tiene experiencia trabajando como General Counsel (director global de asuntos jurídicos) con responsabilidad en más de 42 países de todo el mundo. Experiencia como Secretario del Consejo de Administración en diferentes instituciones bancarias y financieras. Actualmente es el Director Jurídico (y Vicesecretario General y Vicesecretario del Consejo) de Santander Consumer Finance (Santander Digital Consumer Bank), la mayor entidad de financiación al consumo de Europa con unos beneficios superiores a los 1.500 millones de euros en 2021.
    • Rafik DehniDr. especializado en rejuvenecimiento facial. Esculpir y armonizar es su gran pasión. Prudencia, elegancia y naturalidad, son los términos que definen su manera de entender y practicar su profesión, siempre buscando una mejora y no una transformación en el paciente. Su nombre es de los más buscados y demandados a nivel mundial y por sus manos pasan rostros muldialmente conocidos. El objetivo del DR. Rafik Dehni en cualquier tratamiento medico-estético, radica en mejorar al paciente manteniendo siempre la máxima naturalidad, proporción y armonía. Su lema es “Menos es más“. Clínicas: Madrid, Barcelona, Alicante,Paris, Dubái, Qatar.
    • Javier GarcíaMacías, socio fundador de la consultora Garmasa en el año 2000, dedicada a la consultoría especializada en el sector del Real Estate&Hospitality,  análisis estratégico de inversiones.  siendo su CEO actual. En el año 2011-2018 me incorporo a la cadena hotelera internacional Bluebay Hotels como Director de Expansion y Desarrollo del negocio, miembro del comité ejecutivo. Consejero del Málaga C.F. durante la etapa de gestión de Bluebay Hotels.  Socio de BTC (Best Tournament Company) dedicada al desarrollo de eventos deportivos y creadores de la School World Cup.
    • Iván González, socio fundador de Plain Concepts donde trabaja como General Manager en la oficina de Madrid.  Ha sido MVP (Most Valuable Professional) en IIS entre 2004 y 2010. Anteriormente trabajó como consultor en tecnologías Microsoft y responsable de IT en un grupo de empresas relacionadas con el sector inmobiliario y de la construcción, tarea que compaginó con labores como investigador dentro del laboratorio RNASA Lab // GIB de la Universidad de A Coruña, donde además ha impartido diversos cursos de formación relacionados con tecnologías Microsoft. Desde hace ya un tiempo colabora habitualmente con MSDN y TechNet como ponente tanto en las charlas para profesionales como en las distintas charlas para estudiantes celebradas en las universidades españolas. Mantiene con sus compañeros de Plain Concepts la comunidad Geeks.ms.
    El proyecto de MyPublicInbox ha cogido velocidad de crucero hace tiempo, y estamos ilusionados y con más energía que nunca para llevarlo a la siguiente fase de esta aventura. Si quieres conocer más de lo que puedes hacer a día de hoy con MyPublicInbox, te recomiendo el artículo de "10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público".

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  3. Hoy os traigo información del Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad". La Inteligencia Artificial está produciendo una disrupción en todas las industrias profesionales, y en el caso de la Ciberseguridad es clarísimo su impacto. Los que seguís mi blog, mis conferencias o simplemente la actualidad tecnológica, ya sabéis lo importante de la Inteligencia Artificial en la Ciberseguridad, tanto como la utilizan los atacantes como los equipos Blue Team, Red Team o Purple Team en las empresas. 
    Como este impacto es tan grande, la Universidad de Deusto el Doctor Pablo García Bringas (que además fue parte del tribunal de mi tesis doctoral y me vio sufrir)  y yo hemos diseñado un Programa de Formación de Inteligencia Artificial para Expertos en Ciberseguridad de un mes de duración, que permitiera a Estudiantes de Informática y a Profesionales de ciberseguridad hacer un "Upgrade" al mundo de la Inteligencia Artificial, y así hemos hecho. 
    La formación tendrá lugar durante el mes de MAYO de este año. Solo hay una edición este curso académico, y las plazas están limitadas. Los módulos que tiene la formación, de un total de 48 horas, están centrados en temas actualizados a día de hoy, que hemos clasificado en:
    • Coding for Hacking & AI
      • AI Tools & Frameworks, Python Models, ML, GAN & GenAI Algorithms
    • Cybersecurty Foundations
      • Offensive & Defensive Security, Bugs, Exploits, Pentest, threats & Red Team Workloads
    • AI Foundations
      • Machine Learning, Deep Learning, RL, Cognitive Services, GANs & GenAI
    • AI for Cybersecurity: Threat Hunting
      • ML & DL for TH, Cognitive Services for CyberSecurity, Biometry, Eye Gazing, Solutions
    • AI for CyberSecurity: DeepFakes
      • APT with DF Tech, Synthetic Humans, Human Biometry, AI for Anti-DF Tech
    • AI for Cybersecurity: Language Models
      • SLM/LLMs for Red Team, Testing, OSINT, Exploiting, Automating
    • Attack & Protect  LLM Apps & Services
      • GenAI Digital Services, RAG Architectures, OWASP Top 10, Jailbreak, Firewalling, Content-Safety
    • Adversarial Attacks on ML
      • ML Attacks, FSGM & FGSM, Open ML Security Project
    • Auditing & Pentesting AI
      • Tools & Frameworks, Explicability, Robustness, Effectiveness
    • Proyecto Final de IA & Ciberseguridad
    Como podéis ver, el contenido del Programa de Especialización es una pasada y lleva todo lo más actual de este mundo para hacer un "Boost" de conocimiento en todas las áreas de trabajo en las que confluyen la Inteligencia Artificial y la Ciberseguridad.

    Todas las clases se harán online por la tarde, pero hay tres actividades presenciales que tendrán lugar en la Universidad de Deusto en Bilbao a la que puedes asistir en presencial u online, y dará comienzo el próximo 6 de MAYO.
    Como podéis ver, yo estaré en varias actividades, como la presentación de proyectos, haré una conferencia presencial, estaré en la inauguración, y tendré una sesión de Q&A con los alumnos para responder dudas de la formación, o de orientación profesional en este mundo. Además, las clases las tendrás con muchos que seguro que ya conoces de mi equipo de Ideas Locas, y los proyectos, artículos, libros y charlas de los que vamos hablando por este blog.

    Como podéis ver están Pablo González, Fran Ramírez, Álvaro Núñez-Romero, Javier del Pino, Javier Álvarez Páramo, Pablo Saucedo de Miguel y el grandísimo Rafael Troncoso. Todos compañeros de viaje en este mundo de Machine Learning, DeepLearning, AI, GenAI, SecDevOps, Pentesting, Hacking & Ciberseguridad en general.


    Como complemento de la formación, además de las clases, la conferencia, la sesión de Q&A, los alumnos recibirán 5.000 Tempos para preguntar a los profesionales a través de MyPublicInbox después de que acabe el curso, y los libros de Ethical Haking y el de Machine Learning & Ciberseguridad de la editorial 0xWord.
    También tendrán un Test de Singularity Hackers para tener una evaluación de sus capacidades y compatibilidad con roles profesionales en ciberseguridad, una entrada para poder asistir a OpenExpo Europe 2024 que tendrá lugar en Madrid y Online el 13 de Junio, que estará dedicado a "The Power of GenAI" y que cuenta con Carlos Santana "aka" DotCSV como como Keynote del evento.

    Además los alumnos tendrán la posibilidad de convertir su buzón de MyPublicInbox en un Perfil Público para poder tener mayor visibilidad profesional en Internet.

    Registro al Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad"

    Y ahora la parte más importante, si quiere registrarte y asistir al programa, tienes muy poco tiempo, así que debes formalizar tu matrícula antes del 22 de Abril de 2024, y tienes toda la información de la documentación y el precio en la Web del Programa de Inteligencia Artificial para Expertos en Ciberseguridad de la Universidad de Deusto.
    Si eres estudiante de Grado de Informática o de Máster, si estás trabajando en Ciberseguridad, o si has terminado tus estudios de Informática, Telecomunicaciones, Matemáticas, Física o Ingeniería, y quieres dedicarte al mundo de la Ciberseguridad aplicando Inteligencia Artificial, entonces esta es tu oportunidad de formarte en lo último de lo último que estamos viendo hoy en día en nuestro mundo.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  4. Reconozco que cuando leí que había un - Exploitque afecta a un bugde Hardware similar a Meltdown, Spectre, Spectre_v1 y el reciente GhostRace que no era parcheable, miré a mi nuevo y flamante Macbook Book Pro M3 y pensé en si me lo cambiaba o no. Pero la verdad es que al final los bugs y exploits de hardware son algo en lo que estamos aún en la punta del témpano de hielo, como dice mi amigo. A este exploit se le llama GoFetch, y el resultado y la idea es espectacular.
    La idea se basa en explotar una funcionalidad que viene en los microprocesadores modernos llamada DMP (Data Memory-Dependent Prefetch), o lo que es lo mismo, cargar en la Cache del Microprocesadorlas direcciones de memoria que se van a acceder para acelerar la ejecución de los programas, haciendo que el dato esté disponible antes de que se utilice en el caché más rápida del equipo, la que se encuentra en el microprocesador.

    Figura 2: Mi flamante MacBook Pro M3 Pro es vulnerable
    a GoFetch, y aunque se ha publicado un workaround que ya he
    instalado, el fallo es "Unpatchable"

    Esta idea de prefecthing es algo que se utiliza en todas las disciplinas, y los vinisteis a la última charla de b, yo os conté como hicimos con Juan Antonio Calles un proyecto en el año 2008 de Prefetching Web Browsing, que visto esto, merece la pena que os cuente en un artículo a parte. En los microprocesadores también hay prefetching, y se llama DMP, pero no se sabe muy bien cómo funciona el algoritmo de predicción que tiene cada uno de los microprocesadores. 
    En el mes de Mayo de 2022 se publicó el trabajo de "Augury: Using data memory-dependent prefetchers to leak data at rest", donde explicaba básicamente un ataque bastante sencillo de entender, más difícil de implementar. La idea es tan sencilla como que si existe un módulo llamado DMP que, basado en los datos que acceden los programas, entonces existen direcciones de memoria predictivas almacenadas en la Caché-L1 del microprocesador que no ha sido invocada por nadie.

    Para ello, "sólo" hay que introducir un programa que lleve un patrón de accesos, que nos permita inferir qué va a cargar el DMP. Este imagen muestra que si nosotros accedemos a determinadas direcciones en memoria, entonces el DMP va a traer a la Caché-L1 del microprocesador los datos siguientes.
    El patrón es bastante sencillo, así que ya sabemos que están en los registros de la Cache-L1 datos concretos, por lo que podríamos extraer esos datos explorando qué hay en la caché. Para eso se hace un ataque de Side-Channel a los registros con un Time-Based, esto es así porque si un dato ha sido guardado en la Caché-L1 su tiempo de respuesta es menor que el resto, así que si un dato está en la Caché-L1 se podría saber qué hay ahí por los tiempos de respuesta, independientemente de que tengamos una respuesta negativa que no nos permita acceder al dato por seguridad. 
    Visto este trabajo de Augury, los investigadores han seguido esta misma línea, y han publicado el último artículo académico, llamado: "GoFetch: Breaking Constant-Time Cryptographic Implementations Using Data Memory-Dependent Prefetchers" donde han ido más lejos, y se han dedicado a hacer una implementación funcional de cómo sacar claves criptográficas del sistema operativo, accediendo a los datos mediante una manipulación del DPM de los M-Serie de Apple. Y es espectacular.
    Si se rompe la criptografía de un sistema operativo, se acabó con todo. Ya es como que no existiera ninguna seguridad de la información, de los datos, de los procesos, de todo. Por eso las claves criptográficas que utiliza el sistema operativo - cualquiera - son las más protegidas del sistema, y con GoFetch acabamos de ver cómo pueden ser extraídas con este ataque.


    En el artículo académico, los investigadores han seguido estudiando cómo funciona el DMP de los microprocesadores M-Serie de Apple, que lógicamente no tienen documentación publicada. El trabajo es un poco como el que vimos en la serie de Halt & Catch Fire, donde tenemos a gente jugando con el hardware a bajo nivel para sacar los datos. En este caso los investigadores han descubierto que el DMP se activa no solo con acceso mediante punteros a zonas de memoria, sino con otro montón de tipos de datos sintéticos que pueden ser inyectados artificialmente por un explotit.
    A partir de ese momento, se trataba ver de si era posible hacer un exploit funcional que pudiera extraer una clave criptográfica de un equipo Apple con un M-Serie, y el resultado lo tenéis en el siguiente vídeo que han publicado en la web de GoFetch.Fail donde tienes toda la información del proyecto.
    El exploit que han utilizado para hacer esta demo, inyectando un patrón que haga que el DMP cargue en los registros de la Caché-L1 del microprocesador las direcciones de la clave RSA lo tenéis en GitHub, para que veáis cómo hacen el patrón previo, y como exploran la caché con un ataque Time-Based
    El ataque es una maravilla, y los bugs de hardware una pesadilla para la seguridad de los sistemas operativos, porque además muchos de estos componentes son autenticas black box para programadores de sistemas operativos (por ejemplo kernels de Linux), así que poco pueden hacer antes de conocer el bug.


    Esto es una tendencia que vamos a seguir viendo, y no hace mucho os hablamos de cómo rompieron la seguridad del TPM con un ataque hardware en donde reside la seguridad del sistema BitLocker en Windows, y esto va a seguir. Mi recomendación es que conozcas y juegues mucho con el hardware, y si te mola, comienza jugando con Drones, Arduino o Raspberry Pi, que dan para mucho juego. Esto deseando ver cómo migran este ataque a iPhone e iOS. Clock is Ticking.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  5. Ya está abierto el periodo de matriculación de la próxima edición del Máster de Ciberseguridad 2024-2025 del Campus Internacional de Ciberseguridad que dará comienzo el próximo 10 de OCTUBRE de 2024 y terminará en JUNIO de 2025. Como sabéis yo participo como Mentor de los programas de Máster, colaborando también con 0xWordSingularity Hackers y MyPublicInbox

    Este programa en concreto del Máster de Ciberseguridad 2024-2025 lo dirige el gran Sergio de los Santos, y tiene un año de duración, con un programa amplío para enfocarte en todas las áreas del mundo de la ciberseguridad.

    En esta nueva edición del Máster de Ciberseguridad, que como he dicho dirige  Sergio de los Santos y que dará comienzo el 10 de Octubre de 2024, los alumnos tendrán un plantel de profesores de primer nivel, muchos de ellos han sido o son compañeros míos, entre los que están Carmen TorranoJuanjo SalvadorPablo San EmeterioJavier EspinosaJuan Antonio Gil o José Rodríguez, entre otros.
    Pero es que, además, participan con algunas Clases Magistrales en directo algunos de los mejores profesionales de este país, como son Vicente AguileraMiguel Ángel de CastroJosé Torres o el gran Pablo González, con los que podrás aprender sobre temas muy especializados. En total hay anunciadas ya siete sesiones de estos profesionales.

    Estos son solo algunos de los ponentes de las MasterClass

    El programa del curso, que puedes consultar en la web, tiene los siguientes módulos. Entre ellos, un Trabajo de Fin de Máster donde habrá alguno que propondré yo para los que quieran hacerlo. Como podéis ver, el programa es muy ambicioso, así que más vale que vengas con ganas de estudiar y aprender.
    Además, los alumnos recibirán como material de estudio libros de 0xWord como complemento de estudio. En concreto, el libro de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos, y el de "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.
    Por último, todos los alumnos tendrán una sala de conversaciones en MyPublicInbox con los profesores del programa de formación - y conmigo - y recibirán Tempos de MyPublicInbox por si quieren hacer consultas a profesionales.

    ¡Saludos Malignos!

    Autor: Chema Alonso (Contactar con Chema Alonso)  

  6. Uno de los proyectos de Ideas Locas que hicimos internamente en Telefónica Innovación Digital tiene que ver con la idea de controlar, cuando ChatGPT se hizo muy popular entre todos los empleados de las empresas, los datos que las personas enviaban al servicio, para que no se filtrasen datos privados de la compañía, o de personas que pudieran ser un riesgo de privacidad en el futuro.

    Figura 1: Codename: "Leak GuardIAn" para evitar filtraciones a ChatGPT

    Para ello, el utilizando la misma idea de tener un Plugin en el Navegador que interceptara las peticiones del dominio ChatGPT, creamos un servicio que analizaba el contenido del texto que se iba a enviar al LLM para ver si había algún dato que se quería monitorizar, bloquear o eliminar.

    Figura 2: Estructura del funcionamiento de LeakGuadIAN

    La idea era muy sencilla, y se puede aplicar a cualquier dominio. Se captura la petición, se envía a un backend controlado, se le pasan las reglas - que pueden ser incluso reglas hechas con SLM/LLM en backend o en frontend -, y se toma una acción.

    Figura 3: Análisis de texto de LeakGuardIAn para localizar Nombres

    Así, en los tres ejemplos que tenéis aquí podéis ver cómo se analiza el texto de las entradas para poder decidir si hay posible texto sensitivo, que es el que tenéis marcado en la imagen anterior como Nombres, en este caso de Localizaciones (Morado), Personas (Rosa)y Organizaciones (Verde).

    Figura 4: Enmascaramiento de Nombres

    En la imagen anterior LeakGuardIAn ha aplicado el borrado de Nombres de todo el texto para dejarlo totalmente anonimizado, que es la política que se ha aplicado a LeakGuardIAn en ese ejemplo concreto.

    Figura 5: Reescritura del texto sin nombres

    En la imagen anterior, se puede ver cómo el texto ha sido re-escrito sin poner ningún nombre propio en el contenido que se va a enviar a ChatGPT, que es lo que hace LeakGuardIAn. Solo revisar lo que se envía. Todo esto se define en un política que se configura en una consola de administración donde se configuran todas las reglas de detección y sus políticas de gestión de la información.

    Figura 6: Creando las políticas para LeakGuardIAn

    Se puede marcar para enmascarar (con asteriscos), eliminar, o directamente bloquear la petición a ChatGPT si es algo que no se desea que se envíe. Todos los prompts que se analizan y hacen saltar una regla quedan recogidos en la consola para poder analizarlos.

    Figura 7: Reglas en la [K]onsole de LeakGuardIAn

    En el siguiente vídeo podéis ver cómo se crea una regla para el dominio de ChatGPT, se hace una petición que se ve afectada por ella, y LeakGuardIAn le quita los datos personales. 

    Figura 8: LeakGuardIAn borrando datos sensibles

    En este otro, lo mismo, pero con un bloqueo de la petición, con lo que no se puede realizar ese envío de datos a ChatGPT, porque la política de gestión de la información lo prohibe.

    Figura 8: LeakGuardIAn bloqueando el envío datos sensibles

    Este proyecto fue solo una PoC para evaluar qué herramientas o política de gestión de la información podíamos utilizar ante la posible amenaza de filtración de información enviando datos a ChatGPT, algo que puede pasar en cualquier otro dominio, en WhatsApp, Google o vete tú a saber qué sitio, pero desde luego si son equipos corporativos puede ser una buena fuente de monitorización del comportamiento de los empleados siguiendo o no las políticas corporativas.

    Figura 9: Libro de Machine Learning aplicado a Ciberseguridad de
    Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

    Este proyecto lo conté dentro de la charla de la RootedCON 2024, como uno de los que hemos estado haciendo en el área de Ideas Locas, jugando con IA, con Machine Learning y con las tecnologías web, de lo que os hablaré en un post resumen. Pero para los que queráis hacer alguna prueba similar a este proyecto, hemos utilizado ReactJS, TransformersJS y Model Distlibert Base Multilingual Cased Name Entity Recognition de HuggingFace para hacer el análisis y detección de las filtraciones de nombres en la PoC.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  7. Un amigo me dijo que la velocidad del tiempo la percibimos como un porcentaje del tiempo que llevamos en esta vida. Es decir, que cuando tienes 10 años un día representa mucho más porcentaje de tu vida que cuando tienes 48 años. Esa supuestamente es la razón por la que un día cada vez parece que va durando menos, que los meses pasan corriendo y los años volando. Yo no sé si será cierto, pero sí que tengo mi propia forma de ver el paso del tiempo y de sentir constantemente la gravedad de su existencia.

    Figura 1: Mi forma de medir el paso del tiempo y cuantificar el movimiento

    He de decir que yo a mis amigos les he dicho muchas veces que si mañana muero, que tengan claro que yo he vivido mi vida cómo he querido, que he aprovechado mis días en este mundo y que mi única preocupación es poder ayudar o acompañar a Mi Hacker y Mi Survivor en la jungla de la vida hasta verlas disfrutar su vida como ellas deseen. Por lo demás, se trata de divertirme y pasarlo bien día a día para mí. Hacer cosas que me gustan, y gastar el tiempo en todas esas tontunas que a mí me gustan.

    Y cada día me levanto, pienso en qué tengo hoy pensado para publicar en el blog, miro la fecha qué es, y empiezo a recordar cosas que he hecho en otros años en esta misma fecha. Recuerdo los años desde que impartí una charla, desde que comencé un proyecto, me pasó algo concreto o disfruté de una actividad concreta. Y de todos esos momentos, por supuesto, han pasado años, lustros e incluso varias décadas.

    El mes de Abril tiene muchas cosas en mi cabeza. Dentro del Sting 2 de mi año, recuerdo la canción de Joaquín Sabina de mis años de juventud, cuando fui a verlo tocar en Las Ventas en mis recién cumplidos veinte años, o cuando le puse el asiento al hoverboard y me pasé toda una mañana haciendo "ñññiiiiiaaaaaunnnn" a toda velocidad en mis pocos cuarentas. O el momento en mis tardíos treinta en el que tuvimos que firmar la transacción de venta de Informática 64 para constituir en este mismo, en mis tardíos treinta y muchos la constitución de ElevenPaths

    Así voy siendo consciente del paso del tiempo. Mirando qué pasó este mismo mes en años pasados. Y no lo hago solo como ejercicio de nostalgia, no penséis eso. Para mí es un ejercicio de examen y revisión de decisiones. Para saber qué he hecho bien, y qué no he hecho bien desde que pasó eso

    Recuerdo cómo eran mis sentimientos cuando estaba sentado en la grada del concierto de Joaquín Sabina. Conecto con aquel yo que no sabía aún qué iba a ser de él. Con mi chilaba, cantando canciones corta-venas como la de "Quién me ha robado el mes de Abril....", aún sin haber terminado mi Ingeniería Técnica en Informática de Sistemas, aún sin comenzar casi mi vida como profesional de los ordenadores. Cuando pienso en ello digo: "¡Vaya viaje!" Y me da buen rollo. Saber lo poquito que había vivido hasta ese momento, y lo que he podido vivir y aprender hasta este momento. Aquel Chema Alonso no lo sabía aún.

    Es el año 2008, principios de Abril, el fin de semana después de venir de mi primera charla en BlackHat Europe el 28 de Marzo de 2008. Había salido bien. Había tenido que vivir en Londres meses antes para poder prepararme el inglés. Aún no era padre. Tenía treinta y pocos. Informática 64 iba bien, yo había vuelto a la universidad a hacer mi Ingeniería Informática, y estaba haciendo el Máster para poder comenzar con el doctorado. Estaba muerto. Habían sido meses preparando aquella charla. Recuerdo que me senté en el sofá y pensé en el futuro. "¿Qué hacer ahora?" y tomé la decisión.... "Ahora a por DefCON". Iba a comenzar mi carrera internacional dando conferencias. Ese mismo año iría a DefCON. Hoy con la distancia sé que aquella charla fue muy importante para mi vida. Aquel fin de semana, después de venir de Amsterdam, tomé una decisión importante... que iba a cambiar mi vida. Y lo hizo para bien.

    El Abril del año 2009. Me han vuelto a seleccionar como ponente en BlackHat Europe. He ido a hablar de la FOCA, y la hemos liberado. La FOCA, un proyecto locura que iba a cambiar mi vida para siempre. Conecto con aquel yo de ese año y recuerdo los nervios. Las demos. Los nervios. "¿Gustaría la idea de hacer OSINT con Metadatos?" y después de esa primera charla, a DefCON para hacer famoso el slogan de "Fear the FOCA!". No tenía ni idea de que ese proyecto, con ese nombre, iba a ser tan importante en mi vida.

    Es el año 2012, 10 de Abril, y estamos anunciando el programa Talentum. Yo llevaba desde Febrero trabajando en él. pero no fue hasta ese 10 de Abril que no se hizo pública la convocatoria de becas. Era mi primero proyecto en Telefónica. En Enero se lo había enviado a revisar a gente muy cercana a mí - que me ayudaron a afinarlo y nunca he agradecido suficiente-, y me lo habían aprobado. Así que iba a comenzar con él. En esos momentos no sabía si iba a continuar en Telefónica. No me estaba acoplando bien. Pero Talentum comenzó, y fue solo el primer paso. En Abril del año siguiente, con un año más, iba a venir el siguiente movimiento.

    Me retraigo a mis treinta y ocho años, ya trabajando en Talentum en Telefónica, y después de anunciar en la RootedCON del 2013 que Informática 64 se iba a Telefónica, encontrarme entrando en el Oeste 3 con mis compañeros de Móstoles. Acompañado de mi "brodal", de Rodol, de Jandro, con Palako conectándose por Skype, Fran, Rocío, Rober, Pablo, Antonio, Tony, Ioseba, y el resto de los compañeros. Pensando..."¿Qué será de nosotros? ¿Has hecho lo correcto Chema? ¿Nos irá bien?" Sin saber qué nos íbamos a encontrar allí en ese Distrito Telefónica. Cargados de energía, de ganas, con nuestros portátiles y hábitos de "modo startup". Me meto en esos pantalones y pienso... "¡¡Uff!! ¡¡Cuántas noches sin dormir te quedaban por delante, Chema!!". Y no solo ElevenPaths, también nacía 0xWord. Dos proyectos en uno.

    Si me conecto con el Chema Alonso de los recién cumplidos cuarenta en el mes de Abril, la vida se volvió loca otra vez. Había entrado en el Comité Ejecutivo de Telefónica. Era el Chief Data Officer. Había dado la charla en un nuevo Mobile World Congress. Había tomado la decisión de dejar de ir a la Televisión para bajar mi exposición pública. Estaba pasando una etapa baja de ánimo y me refugié en el deporte. Correr. Bicicleta. Monopatín. Patinar. Nadar. Y Hoverboard.

    Recuerdo ese Abril. Había pasado la presión del MWC y la RootedCON. Ya sabéis, había acabado mi Sting 1 del año, y me fui a jugar con el HoverBoard con asiento. "Ñiaaaaummmmm" iba diciendo en las curvas sentado en él y manejándolo con las palancas. Conecto con aquel Chema Alonso y estaba fuera de mi zona de confort. Sólo los momentos como esos de deporte y diversión me mantenían. Me estaba replanteando mi vida entera. Y no iba a ser fácil lo que me venía por delante. Cambios. Decisiones. Giros Profesionales. Cuando me acuerdo de aquel momento pienso en lo complejo que era el futuro y la de cosas que tendría que vivir después, paso a paso. Y sé que fue importante para construir la persona que soy hoy. Tenía que tocar fondo en mi reflexión para elegir la dirección adecuada.

    Es Abril, ya estoy en los mid-forties, y estoy preparando un viaje con mis amigos. Nos vamos a navegar en Junio por el Mediterráneo. Seis colegas encerrados en un barco durante una semana. Mi vida sigue siendo un caos de equilibrio inestable, pero que he conseguido estabilizar. Me estoy creando las rutinas de mi hoy. Tengo en la cabeza una idea muy loca que no me quito ni de día ni de noche. El correo electrónico y los canales de comunicación no son eficaces para las personas que tienen una imagen pública. Y hay mucho spam, mucho APT con phishing, mucho malware. Necesitamos una forma protegida para comunicarnos con ellos. Es el año 2019 y le estoy contando en el mes de Abril a mis colegas la idea de MyPublicInbox. Nos vamos en Junio de viaje, y durante ese viaje con MyPublicInbox en pleno trabajo.  El viaje marca el inicio de una nueva tradición, MyPublicInbox se convirtió en una realidad en Octubre de ese año, que antes había que programarlo.

    Y este mes de Abril, claro que estoy pensando en nuevas cosas. Cosas que os contaré en breve y que llevo trabajando meses. Llevo meses queriendo llevar algunos proyectos a Estados Unidos, y este mes comenzaremos con ello. Además, esta semana pasada hemos firmado otro cambio importante en uno de los proyectos. También es el mes en el que voy a Londres mañana mismo para ver otros proyectos. Todos ellos irán dejando un hueco en mi repaso de mi vida. Serán mi forma de contar el paso del tiempo en el futuro. Las muescas que iré dejando marcadas. 

    Al final, como uno va tejiendo su vida sobre un tapiz hecho con muchos años, el número de meses de Abril que ya he pasado me da para muchas batidas del mismo juego, el de vivir mi vida, y como os he dicho al principio, esa obsesión que tengo por beber la vida, no a sorbos, sino a borbotones, me deja muchas cicatrices en el cuerpo, el alma y el calendario. Es mi forma de medir el paso del tiempo y el movimiento.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  8. Ayer fue la entrega de los Premios Naciones del Consejo General de Colegios Profesionales de Ingeniería Informática, donde tuve el honor de recibir el Premio Divulgación Digitalpor esto que hago yo de escribir artículos, grabar vídeos, dar charlas, y contar las cosas que voy aprendiendo a todo aquel que quiere venir a escucharme.

    Figura 1: Premio Nacional de Divulgación del Consejo General de
    Colegios Profesionales de Ingeniería Informática. Gracias

    Así que el artículo de hoy es solo para dar las gracias a los compañeros de los Colegios Profesionales de Ingeniería Informática no sólo por el premio, sino por preocuparse de representar y defender a los Ingenieros Informáticos en todos los foros donde sea necesario.

    Figura 2: Premio Nacional de Divulgación del Consejo General de
    Colegios Profesionales de Ingeniería Informática. Gracias

    Fue un acto corto, pero sí que hubo la ocasión de hablar un par de minutos tras recibir el premio, y yo lo aproveché para hablar de tres cosas a colación con el premio y el lugar:

    1.- Divulgar por necesidad: En mi caso divulgar ha sido una necesidad. Primero porque era la forma en la que nosotros - desde nuestra querida Informática 64 - hacíamos el makerting de la compañía para que nos conocieran, así que en lugar de contar lo buenos que éramos, lo que hacíamos era divulgar contenido en conferencias y en este blog de El lado del mal

    En segundo lugar divulgábamos porque era nuestro trabajo, y nos encantaba dar formación, que es una de las formas más bonitas y cercanas de la divulgación.

    Figura 3: Contando estas tres cosas que os estoy contando ahora

    Y en último lugar, divulgar para "sobrevivir", porque en las empresas en las que hay que tomar decisiones tecnológicas, estas no se pueden tomar sin entender los detalles, así que hago muchas reuniones de divulgación internas para que sea más fácil debatir y tomas decisiones sobre el futuro de proyectos tecnológicos e innovación.

    2.- "Muy Técnico pero sé sumar con los dedos": Esta es una de las cosas que yo suelo decir muchas veces. Soy Ingeniero Informático, pero también "sé sumar con los dedos", gestionar proyectos, crear empresas, llevar equipos de personas. 
     
    Y si alguna vez te rechazan para un puesto de C-Levelpor ser "Muy técnico", entonces estás en una empresa en la que no debes estar, porque las empresas más exitosas de tecnología más importantes y valiosas del mundo han sido fundadas y son dirigidas por personas "muy técnicas que además saben sumar con los deditos".

    3.- Ingeniero es Ingeniero: Aprovechando que estábamos en la Real Academia de Ingeniería, aproveché para recordar que las carreras de Ingeniería Informática son carreras de Ingeniería, así que si para el resto de las Ingenierías hay reconocimiento de sus habilidades y reserva de actividad para puestos que hoy en día son de Informático - mayoritariamente -, entonces hay que repensar esas Reservas de Actividad para que tengan en cuenta a los Ingenieros Informáticos.

    Y poco más, aprovecho el artículo de hoy para agradecer una vez más al Consejo General de Colegios Profesionales de Ingeniería Informática por hacerme este honor, que no hay nada más bonito que tus propios compañeros de profesión te den un reconocimiento como éste. Gracias.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  9. Estamos aún en la versión alpha del servicio, pero hemos abierto el Análisis de Reputación Online para los Perfiles Públicos de MyPublicInbox, gracias a una colaboración con la empresa RepScan, así que si tienes tu cuenta en nuestra plataforma ya puedes utilizarlo.
    El Índice de Reputación Online es un cálculo que se hace en función de las apariciones en referencias de Internet, y un análisis de sentimiento de todas y cada una de ellas, para saber ti la aparición de tu cuenta es Negativa, Neutra o Positiva. Para calcular el tuyo, puedes entrar en tu cuenta de MyPublicInbox e ir a la sección de Mi Impacto en Internet, y seleccionar la opción de Reputación Online.
    En esa parte tienes cuatro opciones diferentes ahora mismo, que son Dar Feedback, Eliminar Datos, Análisis Básico de Reputación e Historial de Informes. La primera de ellas Dar Feedback, como os podéis imaginar es para que nos ayudéis a mejorar con lo que vayáis descubriendo que podemos mejorar en el servicio, que estamos siempre intentando sacar minutos al día para añadir mejoras.
    En la parte de Análisis Básico de Reputación, tenemos la opción de Solicitar un Análisis Básico de Reputación, o de Ver detalle del servicio, para que te hagas una idea de en qué consiste. En la opción de la derecha, tenemos acceso al Historial de Informes que hayas generado, pues puedes solicitar un análisis cuando quieras, teniendo en cuenta los cambios que se hayan producido desde el último análisis.
     
    En la parte de Ver Detalle vas a ver un ejemplo de en qué consiste ese Análisis Básico de Reputación, que como podéis ver a continuación, es una lista de todas las referencias encontradas con una valoración de sentimiento Neutro, Positivo o Negativo, y un valor de variación sobre el valor inicial, que es 0.0.
    Ahora os voy a explicar cómo es el proceso paso a paso para que puedas realizar un Análisis Básico de Reputación Online en MyPublicInbox. Aquí va.

    Solicitar un Análisis de Reputación Online

    En la opción de Solicitar vamos a pedir al servicio que haga un análisis de reputación online con la información que tenemos configurado en nuestro perfil de MyPublicInbox. Para poder solicitar este análisis es necesario en esta fase del lanzamiento del servicio, primero ser Perfil Público de MyPublicInbox, y tener rellena toda la información de tu cuenta. 


    Si tienes un usuario de MyPublicInbox, y quieres ser Perfil Público, puedes hacer uso del asistente que te guiará en el proceso para que puedas solicitar tu verificación. No necesitas ser una "startlet" de las redes, sólo tener un interés en tener una exposición a Internet con un buzón público para establecer canales de comunicación profesional, eficaz y protegiendo tu tiempo, a través de MyPublicInbox. Y si quieres, luego te ayudamos desde MyPublicInbox a crezcas en relevancia en las redes. 

    En segundo lugar, este servicio es gratuito para todos los Perfiles Públicos una vez al mes durante el periodo de lanzamiento del servicio, tal y como se puede ver en la imagen anterior. Si quieres lanzar más de una vez el análisis, entonces este servicio tiene un coste de 800 Tempos, para sufragar los gastos.
    Por último tienes que tener un poco de paciencia, porque el Análisis Básico de Reputación Online tarda aproximadamente unas 24 horas, así que si vas al Historial de Informes antes de que esté disponible verás que no hay ningún informe disponible.
    Si vuelves a solicitar un informe, el servicio de dará un mensaje explicándote que tienes un análisis en curso, y que debes esperar a que se termine para poder solicitar otro. Así que, un poco de paciencia.
    Cuando esté por fin terminado, entonces lo tendrás disponible en el Historial de Informes, y ahí podrás darle al botón de ver para poder analizar todos los enlaces que ha descubierto, el sentimiento de cada uno de ellos, y el índice que se ha obtenido.
    En el informe tenemos el botón para visualizar el reporte online, o para bajarnos un resumen en PDF. Aquí vamos a verlo online.

    En la imagen anterior tenéis el informe que me he hecho yo, donde podéis observar que ha analizado un total de 348 enlaces, con información Neutra, Positiva y Negativa, generando un valor de 0.37, debido a los positivos menos los negativos. Los negativos, por supuesto, como los exámenes tipo test restan.

    Si quieres ver la posibilidad de eliminar algún contenido o datos, puedes dar al botón de Eliminar Datos, y enviar la URL del sitio con algo de contexto de lo que te gustaría borrar, para que el equipo lo analice con calma y te pueda dar una respuesta de si es posible y cómo sería el proceso.

    Análisis Avanzado de Reputación Online


    El índice va cambiando con el tiempo informe a informe, así que en todos los cálculos se tiene en cuenta la fecha de realización del informe, para que sepas cuándo puedes volver a pedir otro, y puedas ver cómo tus acciones van evolucionando, y para saber cómo, estamos trabajando en la evolución del servicio con un Análisis Avanzado de Reputación Online.

    Aún no está disponible, pero estamos trabajando ya en tener primero el servicio de Análisis Básico de Reputación Online para todos los usuarios de MyPublicInbox - como matices -, y luego el servicio de Análisis Avanzado de Reputación Online, que es un informe en profundidad que toma más o menos una semana, con revisión en detalle. Del que ya os hablaré en su debido momento.

    Por último, si deseas impulsar tu Impacto en Internet, tienes la opción de Solicitar un Plan de Medios, para que el equipo te ayude a tener presencia en medios digitales con artículos, entrevistas, participaciones, etcétera, que generen un impacto de tu trabajo y tu perfil en la red.
    Este Servicio de Análisis de Reputación Online, construido con la colaboración de RepScan, es un ejemplo más de todas las cosas que puedes hacer con tu cuenta de MyPublicInbox si eres un Perfil Publico. Si quieres saber más, en este artículo te dejé 10 maneras de sacarle el jugo a tu cuenta de MyPublicInbox si eres un Perfil Público para que explotes toda su potencia.

    ¡Saludos Malignos!

    Autor: Chema Alonso(Contactar con Chema Alonso)  


  10. Una vez pasada la Semana Santa del año 2024 os dejo como cada principio de mes la lista de formaciones y cursos online que puedes hacer a tu ritmo desde en la Academia de HackBySecurity. Como ya os he dicho muchas veces están diseñadas para los que queréis formaros en Seguridad informática & Hacking, como complemento a vuestra jornada diaria y a vuestro ritmo, con acompañamiento de tutores y MasterClasses. Además, el día 18 de Abril se estrenará la nueva versión de la Living App de HackBySecurity con nuevos contenidos, pero ya te hablaremos de ella.



     Ésta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, para que luego, si te parece bien, te vengas a trabajar a nuestras ofertas de empleo  en Telefónica después. Además, si quieres tener un descuento en ellos,  puedes usar tus Tempos de MyPublicInbox para comprar un código de promoción del 10% o 20% de descuento por 50  o 100 Tempos en la sección de Canjea tus Tempos. Solo hay 10 códigos de cada uno de ellos.
    Además, sabes que puedes conseguir esos 50 Tempos gratis en MyPublicinbox con la campaña de Sponsored Tempos que tienes de HackBySecurity, así que puedes aprovechar el descuento muy fácilmente.

    Y ahora, la lista de cursos online que tienes en HackBySecurity para este mes de ABRIL 2024. Aquí tienes a los que puedes apuntarte para formarte online a tu ritmo en cibeseguridad, hacking y seguridad informática.

    CSCE (Curso de Seguridad de Creación de Exploits) El próximo 8 de ABRIL da comienzo un curso de nivel intermedio en el que se va a explicar cómo construir exploits para vulnerabilidades localizadas. Es decir, cómo explotar vulnerabilidades descubiertas, así que es un curso de nivel intermedio ya que debes tener conocimientos previos de pentesting para saber cómo funciona los bugs, los exploits y la automatización de la explotación de vulnerabilidades. 
     
    Este libro lleva como material de estudio y acompañamiento el libro de Linux Exploiting de 0xWord donde se explican las metodologías de descubrimiento y explotación de vulnerabilidades en sistemas GNU/Linux.

    Figura 5: Linux Exploiting de 0xWord 

    Esta formación cuenta con 200 Tempos de MyPublicInbox. Además,  el 9 de Abril habrá una Masterclass a las 16:30 para alumnos del CSIO de Pablo González titulada "Ataques de redes básicos".

     - Curso Online de Hacking con Buscadores (CHCB)Como novedad, tenemos este mes esta nueva formación estructurada en 8 horas de vídeos para un trabajo de 25 horas individuales que comienza el próximo 11 de ABRIL, y que se basa. en el libro de Hacking con Buscadores de Enrique Rando y el libro de Open Source INTelligence (OSINT): Investigar personas e identidades en Internet (2ª Edición) de Vicente Aguilera y Carlos Seisdedos, y que explica cómo sacarle partido a los buscadores para hacer hacking, para encontrar bugs, para hacer ciberinteligencia, etcétera. 

    La formación la imparten Rafael García Lázaro y Miguel Ángel Martín, y es uno de los básicos para cualquiera que que comience en el mundo de la ciberintelencia, el pentesting o el hacking en general, ya que para explorar la seguridad de una web, saber sacar el máximo de la información que BingGoogleDuckDuckGoRobtextShodan, y un largo etcétera han generado de esos dominios es fundamental. Además, el 11 de abril a las 17:00 h Masterclass en directo de Juan Carlos Fernández titulada “Estudio jurisprudencia sobre valor probatorio de evidencias digitales”.  

    COSINT (Curso Online de Open Source INTelligence): Esta formación, que dará comienzo el próximo 15 de ABRIL está dirigida a aquellas personas que quieran iniciarse o ampliar sus conocimientos en la búsqueda de información mediante técnicas que explotan las fuentes OSINT. En este curso conceptos generales sobre OSINT, cómo crear una nueva identidad  para ser anónimo y realizar investigaciones de manera segura, así como herramientas y procesos para investigar personas físicas, cómo realizar investigaciones sobre personas jurídicas y cómo elabora un informe de inteligencia.
     
    Esta formación la imparte Ana Isabel Corral, y cuenta además con una masterclass en directo, 200 Tempos de MyPublicInbox, y se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. Además, el 17 de Abril habrá una Masterclass titulada "OSINT y Ciberinteligencia en la cultura POP" en directo para los alumnos del curso COSINT impartida por Ana Isabel Corral.

     CTEC (Curso Técnico Especialista en Ciberinteligencia): El día 22 de ABRIL comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docente a Rafael García Lázaro, con el que puedes consultar en su buzón público para resolver dudas.

    Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. 

    En esta formación se entregan 200 Tempos de MyPublicInbox que recibirán todos los asistentes por haber hecho este curso. 

    CSIO (Curso de Seguridad Informática Ofensiva): En este curso online de seguridad informática ofensiva que comienza el 25 de ABRIL el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.  

    Además, el alumno tendrá como complemento del mismo una de las dos opciones siguientes, que puede elegir. Podrá tener el libro de Metasploit para Pentesters Gold Edition o el VBOOK de Ethical Hacking de 0xWord

    Figura 11: Metasploit para Pentesters Gold Edition  

    Este Curso Online de Seguridad Informática Ofensiva en HackBySecurity es una de las mejores opciones si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación, y tiene como docentes a Rafael García  y a Pablo González, con los módulos de Python y Bash, que además puedes conocer mejor en la entrevista que le han hecho donde habla de muchas cosas de este mundo. 

    Figura 12: VBook Ethical Hacking de Pablo González en 0xWord  

    Y para completar la formación, contarás con 200 Tempos de MyPublicInbox que recibirán todos los asistentes. 

    MHSW ("Máster Online en Hardening de Sistemas Windows):  Además, el 29 de ABRIL tendrá lugar este Máster Online, que ha creado y tutoriza Ángel A. NúñezMVP de Microsoft desde el año 2016 en Tecnologías Cloud & DataCenter, y escritor del libro de 0xWord "Windows Server 2016: Configuración, Administración y Seguridad" y del "VBOOK de Windows Server 2016".
    Ángel A. Núñez es un veterano en la gestión de seguridad de plataformas Microsoft Windows, y ha desarrollado esta formación Máster Online en Hardening de Sistemas Windows para enseñar a los equipos de seguridad de sistemas, los equipos Blue Team, y a los arquitectos de sistemas que trabajan con los DevSecOps cómo dejar fortificado al máximo los servidores de la infraestructura. Esta formación incluye:

    Además, como adelanto de lo que vendrá os dejo dos referencias: El próximo 6 de Mayo habrá un  BOOTCAMP Telepresencial de IA: “Aprende a innovar en tu trabajo” impartido por Raúl Soriano y Daniel Alías y para el 26 de Octubre tendremos una nueva edición de la HBSCON. Ves reservando fechas. Y esto es todo lo que tienes para este mes de ABRIL, así que si quieres aprovechar el tiempo y formarte en Ciberseguridad & Hacking a tu ritmo, tienes una buena y variada oferta de cursos online que realizar.

    ¡Saludos Malignos!

    Autor: Chema Alonso (Contactar con Chema Alonso)