Un informático en el lado del mal

ExploitGym: Mythos, GPT 5.5, Gemini Pro en un CTF & Benchmark de hacer exploits

noreply@blogger.com (Chema Alonso) — Sat, 16 May 2026 07:37:11 +0000

En el artículo de "El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs" donde os contaba cómo ha ido evolucionando el uso de los modelos LLMs en el mundo de la ciberseguridad en general, os contaba cómo se habían ido cubriendo las diferentes áreas con IA de forma muy rápida. Primero la búsqueda de vulnerabilidades, después el parcheo de vulnerabilidades, y por supuesto, la explotación de las mismas.

Figura 1: ExploitGym: Mythos, GPT 5.5, Gemini Pro

en un CTF & Benchmark de hacer exploits

Con la llegada de Mythos y GPT 5.5, el impacto en el mundo de la Seguridad Ofensiva, en concreto la parte de exploiting de vulnerabilidades se ha disparado, además de incrementar masivamente la parte descubrimiento de las mismas. La pregunta que queda en el aire, es... ¿cuánto de mejores son estos nuevos modelo en la estas funciones? ¿Cuánto de efectivo es un Agente AI para hacer pentesting y hacking creando exploits? Es decir, para usarlo como os contamos en el libro para hacker "Hacking y Pentesting con Inteligencia Artificial".

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Esto es lo que se intenta medir en el paper de "ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks?" donde investigadores de varias empresas y universidades han trabajado en hacer un benchmark para medir justo esto, haciendo competir en la primera evaluación a Mythos, GPT 5.5, Gemini Pro y las versiones de Claude Opus 4.7 y 4.6, y que podéis leer aquí mismo.

Figura 3: "ExploitGym: Can AI Agents Turn Security

Vulnerabilities into Real Attacks?"

Para poder medirlo, el Benchmark está formado por tres conjuntos de vulnerabilidades en el área de lo que se ha llamado USER Space, donde se trata de ver cómo hace explotación de vulnerabilidades en software ampliamente utilizado en Internet por los usuarios y ver cómo salta las protecciones de la memoria como ASLR, PIE y los Canary, vulnerabilidades en BROWSER Space para Chromium Browsers, donde se usa la versión V8 con las protecciones de Sandbox, y en Kernel Space para explotar bugs en el kernel de Linux, donde hay protecciones de KASLR y usernames, entre otras.

Figura 4: Tres espacios con vulnerabilidades a explotar y sus mitigaciones

Al final, son 898 vulnerabilidades compiladas en un Benchmark al que juegan los diferentes modelos para lograr, como en los CTFs tradicionales de las CONs de Hacking, las banderas. Las flags. Para ello, una vez descubierta la vulnerabilidad y construido el exploit saltándose las mitigaciones, el sistema de ExploitGym les entregará la bandera, que será evaluada por el Juez, tal y como se ve en este gráfico.

Figura 5: Proceso de búsqueda, reporte y validación de la explotación

Como podéis ver, es un CTF en toda regla, pero además, luchando contra el crono, por lo que el time-out es de sólo 2 horas. Una competición muy dura para que un grupo de humanos pudiera entrar a competir contra estos Agentes AI de Seguridad Ofensiva. Los resultados en la siguiente tabla.

Figura 6: Resultados del Benchmark de ExploitGym

Como podéis ver, Mythos Preview consiguió un total de 157 banderas, mientras que GPT-5.5 consiguió un total de 120. Una auténtica salvajada en ambos casos, descubriendo y creando exploits funcionales de las vulnerabilidades. Pero ojo cuidado, que los resultados aún fueron mayores que esos.

Figura 7: Flag-To-Success

En la tabla anterior se puede ver que Mythos Preview y GPT-5.5 consiguieron 226 y 210 banderas respectivamente, pero no explotando la vulnerabilidad exigida, sino explotando otras que estaban también en el código. Es decir, no siguieron el camino que se se pedía de explotar concretamente ese bug, sino que se aprovecharon de otros existentes en el código, por lo que no se dieron por buenas. Claro, a un atacante de verdad seguro que eso le da bastante igual.

Figura 8: Overlap entre Mythos y GPT-5.5

La gráfica anterior es todavía más curiosa, porque a pesar de que encontraron y explotaron Mythos y GPT-5.5 un total de 91 banderas iguales, aún hubo 66 que explotó Mythos y no GPT-5.5 y al contrario, 29 que explotó GPT-5.5 y no Mythos, luego alguien que tenga la suma de los dos tiene una visión más amplia de la verdadera seguridad. Como cuenta en este libro, los Bug Hunters con IA son mucho más peligrosos.

Figura 9:"Bug Hunter" escrito por David Padilla en 0xWord

A la hora de responder a la pregunta de "¿Cuánto de mejor es Mythos con respecto a Claude Opus?", ya que vimos que era posible hacer un exploit en 20 horas a partir de un CVE, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron", la comparativa siguiente es clara.

Figura 10: Generación de exploits en 2 horas y 5 horas

Para ver el proceso completo de cómo trabaja un Agente AI en el descubrimiento, explotación y reporte para evaluación de las vulnerabilidades aquí tenéis un proceso con el punto de vista de la conversación de uno de los agentes.

Figura 11: Verificación de una trayectoria de explotación.

Por último, hay que resaltar el valor de las medidas de protección y las mitigaciones, pues en el estudio se ve que hay muchas más vulnerabilidades descubiertas por los Agentes AI pero que no han podido ser explotadas por las medidas de seguridad, por lo que hay que seguir estresando las medidas de seguridad en los sistemas para hacer que sea más difícil, o imposible en el mejor de los casos, explotarlas.

Figura 12: Ratio de bypass de las medidas de mitigación.

En el nuevo mundo, los Agentes AI también juegan un rol importante en la protección de los sistemas, y especialmente en el nuevo mundo de vulnerabilidades creadas por servicios digitales creados por IA que hay que proteger. Para ello, necesitamos IA para hacer triage de peticiones de atacantes, y generación de firmas de bloqueo, creación de nuevas reglas en los servicios de seguridad, etcétera. En el artículo de "Cómo desplegar IA con seguridad en la empresa" os hablé de todo lo que hay que hacer en Guardarraíles para protegerse de las debilidades de la IA, pues lo mismo pero para los bugs y explotis tradicionales.

Figura 13:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Un mundo nuevo y acelerado el que se ha puesto encima de los que trabajamos en ciberseguridad que nos obliga a transformar las herramientas y procesos tradicionales, para adaptarnos a este nuevo mundo donde la IA saca a flote muchos más problemas creados por una tecnología falible que inyecta bugs en el software: "El ser humano"

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Figura 14: Contactar con Chema Alonso

Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

noreply@blogger.com (Chema Alonso) — Fri, 15 May 2026 06:43:14 +0000

Esta semana, en mitad de la vorágine de viajes y charlas, en mi buzón de MyPublicInbox he recibido un par de correos muy similares. Ambos eran de incidentes de seguridad en PYMEs, y ambos tenían un punto de desesperación por culpa de un incidente de seguridad. Se trataba de dos ciberestafas - nada nuevas - que habían robado el dinero de sus cuentas.

Figura 1: Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

El primero de ellos tenía un troyano en el equipo desde donde le controlaban el correo electrónico, y le estaban controlando las transferencias bancarias, desde el correo electrónico. Es una técnica que ya os conté hace más de doce años, donde se modifican los números de cuenta, y la víctima acaba siendo ella la que envía el dinero a cuentas en el extranjero pensando que lo está haciendo a una cuenta correcta.

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

El segundo de los correos fue un ransomware que le estaba pidiendo un pago en BitCoins para devolverle el acceso a todos sus documentos, trabajos, facturas, bases de datos de claves de acceso a cuentas, etcétera. Nada nuevo bajo el sol en ninguno de los dos ataques.

Por supuesto, yo les contesté con la mejor de mis intenciones, explicándole al primero la dificultad de recuperar el dinero enviado hace una semana a unas cuentas en Hong-Kong, y al segundo lo complejo que es recuperar a corto plazo de tiempo el acceso a esos documentos sin pagar, y los costes que puede tener intentar crackear el cifrado del ransomware por fuerza bruta.

Sin embargo, lo que más me llamó la atención era el punto de desesperación y sufrimiento que ambas personas tenían en sus mensajes. Eran PYMEs y estos ataques les hacían un roto para seguir con su vida normal, para poder hacer frente a los pagos del mes, y les afectaba a su vida personal de manera importante. Las pequeñas empresas eran, y son su forma de vida. Viven al mes de lo que van cobrando y la disrupción les dejaba en una situación crítica y desesperanzada.

Los servicios de ciberseguridad son caros o baratos dependiendo de ti

A veces me gustaría poder hacer magia, y con un golpe de teclado hacer que el dinero regresara de las cuentas de los cibercriminales o que los ficheros se descifraran con un sencillo script hecho con Vibe Coding, pero la realidad es que la solución no está después, si no antes. Ninguna de ellos tenía sistemas de protección en tiempo real. No tenían EDRs para detectar el malware y las vulnerabilidades cuando llegaban.

"¡Es que los servicios de ciberseguridad son muy caros!",

me decía una de las víctimas. Sí, es verdad. A posteriori, los servicios de ciberseguridad son muy caros, porque los analistas forenses o los expertos de ciberseguridad si los pagas por horas cuando ya has tenido el problema, te van a costar mucho, y encima no van a poder hacer magia. Pero poner soluciones de prevención de ciberseguridad ANTES es muy barato.

El modelo de seguridad de IronGate Cybersecurity funciona como una Suscripción por Dispositivo, donde se da un servicio MDR (Managed Detection and Response) que vela por la seguridad de los equipos las 24 horas del día, los 7 días a la semana, ayudando a PyMes, Autónomos y Particulares a tener protegidos los equipos, detectar las amenazas y tomar las acciones preventivas y/o correctivas de ciberseguridad adecuadas a la alerta. Por 10 € al mes por equipo.

Figura 3: Gestión de dispositvos para Autónomos y Particulares

Para ello, IronGate Cybersecurity se encarga de ser un Security Operations Center para que todas alarmas de seguridad generadas desde tus sistemas de seguridad en los dispositivos sirvan para aumentar el nivel de seguridad de tus equipos. En una PYME con dos ordenadores y tres móviles el coste de la protección con EDRs y MDR es de 50 € al mes con monitorización 24x7. La cantidad de dinero perdida en los dos incidentes que os he contado podría pagar la protección de los sistemas por toda la vida útil de la emrpesa.

Figura 4: IronGate Cybersecurity - Security Operations Center (SOC)

para PyMes, Autónomos y Particulares

Sé que "gastar" en seguridad es algo que nunca viene bien cuando eres una PYME que va al día, pero mejor un poco en prevención que sufrir las consecuencias después. Os garantizo que una vez que el dinero ha volado o que el ransomware ha cifrado los archivos, los expertos de ciberseguridad no van a poder hacer magia. Si tu pequeña empresa es tu forma de subsistir, entonces no ahorres en lo importante.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

En Memoria de José Manuel Vera. Un periodista, amigo, en la comunidad hacker

noreply@blogger.com (Chema Alonso) — Thu, 14 May 2026 04:01:00 +0000

Hoy es un día de mierda. Es lo primero y más importante que decir. Es un día de mierda, perder a alguien con José Manuel Vera. Una puta mierda. Porque era un compañero desde que nos conocimos hace doce años, y porque se convirtió en un amigo. Este amigo nos ha dejado repentinamente, y me enteré ayer por la tarde. Desde entonces tengo rabia, cabreo e impotencia.

Figura 1: En Memoria de José Manuel Vera.

Un periodista, amigo, en la comunidad hacker

Nos conocimos en el otoño del año 2012 cuando vino a Telefónica a hacerme una entrevista. Era un periodista que adoraba el hacking y la ciberseguridad - no muchos han acabado siendo ponentes de eventos como RootedCON -. Cuando nos conocimos quería hacerme fotos con una chaqueta americana para la portada de la revista ONE donde trabajaba en aquel entonces, pero le avisé de que yo me veo fatal con traje y que iba a quedar fatal.

Figura 2: Esta entrevista, foto y portada es de

José Manuel Vera y es de lo mejor que tengo.

Me lo regaló para mí él.

Me hizo un book de fotos con chaqueta - una verde para más dolor -, y cuando acabó, las vio, y dijo: "Tienes razón, vamos a usar la que te hemos hecho con camiseta, vaqueros y zapatillas deportivas", y así salió la revista. Me la hizo él, y a mi madre le hizo mucha ilusión. Y luego nos reímos muchas veces de lo mal que me queda el traje. "Hasta mis hijas me lo dicen, José Manuel", le decía después.

Después de ese momento, construimos una relación de amistad, de cariño, de colaboración constante. Se convirtió en mi amigo, en mi abrazo obligado en todas las CONs de hacking, mi apoyo en momentos de presión, y un promotor de todo lo que hacía yo. Me publicaba los libros de 0xWord en sus artículos y siempre, siempre, siempre me buscaba para saludarme o hacerse fotos conmigo.

Figura 3: José Manuel siempre de los nuestros

Estuvo conmigo durante más de catorce años siguiendo mi carrera, apoyándome, estando a mi lado siempre, sin importar el momento. Tengo mil momentos, mil conversaciones, mil recuerdos con él. Pero hoy no estoy para contarlos. Este jueves pasado vino a verme. Acababa de publicar la reseña de mi último libro en su sección de la Biblioteca de SIC, y pasó a hacerse una foto conmigo - otra más - a saludarme y darme un abrazo.

Hacía nada de eso, solo cinco días, desde que nos dimos ese abrazo, como siempre, sólo que ese sería a la postres nuestro último abrazo. Nuestra última foto. Y es una puta mierda, porque no puedo decir más que buenas palabras de él. Hoy estoy despidiendo a una buena persona, a un buen tío. Un tipo alegre, una persona cariñosa. Solo puedo enviar mi más sentido pésame a su familia, e intentar honrar la memoria de José Manuel con mi eterno aprecio, cariño y respeto por la persona que fue en vida. Te echaremos mucho tiempo de menos, compañero.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

La propuesta del Internet Protocol Version 8 (IPv8) para tener compatibilidad con IPv4 e ignorar IPv6

noreply@blogger.com (Chema Alonso) — Wed, 13 May 2026 05:01:00 +0000

Estamos en el proceso de migrar todo el tráfico IPv4 a IPv6 desde hace ya unos años, y la verdad es que poco a poco esto está creciendo, pero aún estamos lejos de llegar al objetivo de tener más tráfico IPv6 que tráfico IPv4 en las redes de todo el mundo. Sin embargo, existen algunas otras propuestas de cambios para IPv4 distintas a la de IPv6, y recientemente se ha publicado la propuesta hecha por James Thain de, en lugar de migrar a IPv6, hacerlo a IPv8, que es cuanto menos interesante.

Figura 1: La propuesta del Internet Protocol Version 8 (IPv8)

para tener compatibilidad con IPv4 e ignorar IPv6

La propuesta fue publicada hace menos de un mes, con una serie completa de documentos para definir los protocolos necesarios para pasar a IPv8, como serían los protocolos DHCP8, WHOIS8, y el conjunto mínimo de protocolos de gestión del enrutamiento de tráfico IPv8 en las redes de Internet de hoy en día.

Figura 2: Propuesta de Internet Protocol Version 8 (IPv8)

El objetivo principal de esta propuesta, como bien se explica a lo largo de todo el documento, que la verdad, es bastante sencillo de leer, consiste en mantener la compatibilidad hacia atrás con todo lo construido hasta el momento, haciendo un cambio muy pequeño, que es cambiar la dirección IPv4 por la dirección IPv8.

Figura 3: Paquete de dirección IPv8

La gran diferencia, como se puede ver en el paquete IPv8 es que se añaden las cabeceras ASN de 32 bits tanto a la dirección IP de origen, como a la dirección IP de destino, lo que permite a los protocolos de enrutamiento reenviar correctamente al ASN correspondiente el paquete correctamente.

Figura 4: Compatibilidad hacia atrás de IPv8 con IPv4

Al añadir el Autonomous System Number (ASN), marcado como r.r.r.r, en los cuatro primeros bytes, una dirección IPv8 sería la suma de la parte de ASN r.r.r.r más la parte de IPv4 clásica, a la que se llama en el documento como n.n.n.n.

Figura 5: Direcciones IPV8

Esto sería como tener 2 a la 32 veces el tamaño de direcciones IPv4 que tenemos hoy en día, y dejando la dirección 0.0.0.0.n.n.n.n como la red de IPv4 que tenemos en Internet funcionando ahora mismo.

Figura 6: r.r.r.r igual 0.0.0.0 sería el IPv4 de hoy en día.

Es decir, con un cambio sencillo en el envío de paquetes de red IPv4 se podría resolver el problema de que se acaben las direcciones IPv4 manteniendo todo el software construido sobre él funcionando. Y la propuesta es porque está costando ir más rápido a IPv6 de lo que se estaba esperando al inicio. Si miramos radar, podemos ver en Radar de Cloudflare que en los últimos doce meses el tráfico sobre IPv6 está estable en un 30% más o menos.

Figura 7: Trafico IPv4 vs. Tráfico IPv6 en Radar de Cloudflare

Claro, mantener la compatibilidad hacia atrás implica que sigan funcionando todos los ataque en redes de datos IPv4 que ya conocemos, además de todas sus medidas de seguridad. Es decir, se supone que el conocimiento que tenemos de estos protocolos debemos usarlos en hacerlos más seguros y no en migrarlos.

Figura 8: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

Los cambios que sí que habría que hacer son los relativos a la interconexión de redes, por lo que todos los protocolos de enrutamiento de tráfico y gestión de redes deberían cambiar a IPv8, como serían BGP8, OSPF8, WHOIS8, SNMP8, etcétera, que están definidos en sus correspondientes documentos.

Figura 9: Documentos para los protocolos de gestión de redes IPv8

Y por supuesto, crear los tipos de redes especiales con direccionamientos reservados, al igual que tenemos en IPv4 e IPv6, que están descritos con detalle en el documento de Internet Protocol Version 8 (IPv8) del que estamos hablando.

Figura 10: Tipos de redes en IPv8

El documento recoge también las direcciones especiales que deben existir en estas redes IPv8, donde los nodos de enrutamiento dentro de tráfico a través de los ASNs deben ser tenidos en cuenta de manera especial, así que en la definición de estándar están especificados.

Figura 11: Direcciones especiales en IPv8

En definitiva, me parece una propuesta súper bonita como trabajo técnico de arquitectura de redes. Me falta criterio tan pronto para decir si es una opción mejor que ir hacia IPv6 o no, pero desde luego mis felicitaciones a James Thain por este trabajo tan bonito que ha publicado. Así es la investigación y la innovación, proponer ideas concretas que puedan ser evaluadas y aprender de ellas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Foro Público de Ciberseguridad de Chema Alonso "old school" sobre lo que pasa cada día

noreply@blogger.com (Chema Alonso) — Tue, 12 May 2026 06:35:00 +0000

Todos los días, desde hace más de veinte años, leo todos los días mis noticias. No son de política o actualidad, que es algo de lo que estoy bastante desconectado, sino de Ciberseguridad, Hacking, Pentesting, Inteligencia Artificial, Papers de investigación, etcétera. Estos se quedan en mi RSS Reader, y algunas las paso a mis compañeros cuando creo que son muy relevantes. Pero la mayoría se quedan solo para mí.

Figura 1: Foro Público de Ciberseguridad de Chema Alonso

"old school" sobre lo que pasa cada día

No es que sean privadas, ni mucho menos, pero entre la avalancha de publicaciones que hay hoy en día en la red, muchas cosas se nos quedan por debajo del radar, así que intento que las fuentes que sigo, las noticas, que leo y las que comparto con mis compañeros sean las que me permitan estar al día de lo importante. Es mi selección personal.

Figura 1: Foro Público de Ciberseguridad de Chema Alonso

Como todos los días me siento en mi ordenador, y repaso también todos los grupos de chats, aparte del Foro de Quantum Security que ya tengo, he decidido abrir un Foro Público de Ciberseguridad de Chema Alonso con la ayuda de la UNIR.NET, para hablar de estos temas. Para compartir noticias, para compartir actividades profesionales, para debatir sobre estas cosas. Y será un foro "Old School" porque vigilará la Netiquette.

Figura 3: Unirse al Foro Público de Ciberseguridad de Chema Alonso

Eso sí, será un foro de lo que pase hoy. De actualidad, para debatir, compartir y enriquecernos todos con acceso a la información seleccionada de lo más relevante que suceda. Para participar, puedes hacerlo con tu cuenta de MyPublicInbox accediendo a la siguiente URL, y allí solicitar el acceso al Foro Público de Ciberseguridad de Chema Alonso, que aprobaré yo personalmente, que voy a ser el moderador.

Figura 4: Unirse al Foro Público de Ciberseguridad de Chema Alonso

Por supuesto, os agradeceré personalmente a todos los que vengáis a este Foro de Ciberseguridad de Chema Alonso el que colaboréis con noticias, con debates, y con el aporte que podáis al resto de la comunidad. Os espero todos los días por el foro.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Multipath Reliable Connection (MRC): Un protocolo de red diseñado para los LLMs

noreply@blogger.com (Chema Alonso) — Mon, 11 May 2026 05:18:00 +0000

Este fin de semana he estado leyendo sobre este nuevo protocolo de red creado especialmente para resolver el problema de la congestión del tráfico de red que se produce en los mega-datacenters utilizados para entrenar los nuevos LLM cuando se mueven datos de GPU a GPU en los centros de datos. En estos casos, estamos hablando de interconexión de datos entre clusters que pueden contener centenares de miles de GPUs, por lo que los protocolos que envían los datos por la red son críticos en la reducción del tiempo de entrenamiento, mediante una reducción de la latencia de envío de paquetes de red y, por consiguiente, reducción del consumo de energía.

Figura 1: Multipath Reliable Connection (MRC).

Un protocolo de red diseñado para los LLMs

MRC está creado específicamente para resolver esos problemas, y ha sido publicado en el paper de Open Compute "Multipath Reliable Connection (MRC) Specification" donde equipos de OpenAI, Microsoft, NVIDIA, Broadcom y AMD han estado trabajando para definir el nuevo protocolo que ya han puesto en producción en los clusters de entrenamiento de OpenAI y Microsoft, incluidos centros de datos de entrenamiento de Oracle.

Figura 2: Multipath Reliable Connection (MRC)

El protocolo MRC se basa en RoCEv2 (RDMA over Converged Ethernet v2), es decir, que sigue aprovechando las capacidades de RDMA (Remote Direct Access Memory) para enviar tráfico por la red de computador a computador desde la memoria de uno hasta la memoria de otro sin pasar por la CPU utilizando RoCEv2, que está diseñado especialmente para las redes Ethernet.

Figura 3: La red es el punto de congestión de los mega-datacenters

Sin embargo, en entornos de alta congestión - como es el de entrenar un LLM de frontera en un datacenter con cientos de miles des GPUs pasándose datos - , es que la red necesita una arquitectura de capas (Tiers) para conectar switches, de tal manera que dependiendo de la distancia física que exista entre las GPUs que se pasan los datos, hay que atravesar muchas capas de Switches de interconexión, y es ahí donde se produce la congestión.

Figura 4: La propuesta de OCP es MRC con Packet Spraying

Para resolver esto, la solución es ampliar el número de capas, ampliando la latencia, para que existan más rutas posibles, lo que tampoco es una solución perfecta. Lo que propone MRC es utilizar Packet Spraying, es decir, dividir los datos que se van a enviar en pequeños paquetes de red que utilizarán, cada uno de ellos, una ruta diferente dentro de las rutas posibles.

Figura 5: Arquitectura en Tiers de Switches

Para eso es necesario conocer el estado de calidad de la red, los puertos disponibles, y poder crear una ruta para cada paquete de la red. Esto se hace con un protocolo llamado SRv6 (Segment Routing over IPv6) que se encarga de crear la ruta para cada paquete dentro de la estructura de Tiers de los Switches de interconexión.

Figura 6: Control de Congestión con QPCP

La especificación completa, donde se definen los estados de los protocolos de control de la congestión y calidad de la red en cada momento QP Congestion Protocol (QPCP) están todos correctamente descritos en la especificación, ya que se trata de un protocolo abierto, y tienes el paper académico de Resilient AI Supercomputer Networking using MRC and SRv6 con las pruebas realizadas publicado.

Figura 7: Resilient AI Supercomputer Networking using MRC and SRv6

Este es un ejemplo de cómo la necesidad de innovar con Inteligencia Artificial está impulsando la innovación en otras áreas adyacentes de forma masiva, como es la gestión de la energía, los protocolos de red o la gestión de grandes volúmenes de datos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

noreply@blogger.com (Chema Alonso) — Sun, 10 May 2026 05:49:00 +0000

Los domingos siempre son días para mí de preparar la semana que viene. Nunca me ha gustado ir a clase sin llevar hechos los deberes, así que todos los domingos reviso y planifico las tareas que tengo para la semana siguiente. En este caso me toca viajar otra vez, para ir a Galicia, ya que estaré en A Coruña el próximo día 14 de Mayo dando una conferencia titulada: "Hacking & Cybersecurity in the age of IA Revolution" en la Fundación Luckia.

Figura 1: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

La conferencia es abierta para todo el mundo, y en ella hablaré de los temas de los que suelo hablar últimamente, y de los que tanto nos están afectando hoy en día. Hacking y Ciberseguridad en la era de la Inteligencia Artificial, donde como os contaba ayer, la vida de los CISOs ha cambiado drásticamente.

Figura 2: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

De estos temas sabéis que hemos escrito un par de libros dedicados al "Hacking & Pentesting con IA" y del Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" que, además, tendremos un poco antes del evento una pequeña firma de libros, así que si quieres comprarlos allí y que te los dedique, será posible.

Figura 3: Libros deHacking & Pentesting con Inteligencia Artificial y "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" escritos por Chema Alonso, Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos, Rafael Troncoso, Javier del Pino y José Palanco en 0xWord

El evento tendrá lugar a las 19:00 horas, en el Campus Luckia y será en formato 100% presencial CAMPUS LUCKIA Camiño Martinete, 50, Código Postal 15.008 de A Coruña, y para poder asistir debes registrarte en la web del evento.

Figura 4: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

Y eso es todo por hoy. Si vas a estar esta semana por Galicia, y te apetece venir a verme, ya sabes que puedes encontrarme en A Coruña haciendo lo que llevo haciendo más de 25 años, que es contar cosas de la tecnología. Nos vemos en la Fundación Luckia.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs

noreply@blogger.com (Chema Alonso) — Sat, 09 May 2026 09:17:00 +0000

Llevo toda mi vida profesional buscando bugs, y la búsqueda de vulnerabilidades de forma automática ha sido algo que ha existido desde que se creó Internet. Escáneres que buscan puertos para localizar sistemas conocidos, herramientas de webcrawlings o frameworks de pentesting que buscaban tipos de bugs. Esto ha sido parte del trabajo en seguridad informática, y yo he estado años haciendo eso. Para mi trabajo del Ph.D me dediqué a diseñar un algoritmo para detectar vulnerabilidades explotables a ciegas de tipo SQL, XPath o LDAP, que fue de lo que estuve trabajando esos años.

Figura 1: El impacto de Mythos en concreto y la

IA en general en el trabajo de los CISOs

Lo mismo sucedió con la FOCA, para buscar no solo metadatos el documentos públicos - que era lo único que tenía al principio - sino que se fue convirtiendo en un buscador de Well-Known Bugs explotables. Usando esas capacidades, acabamos en el entre los agradecimientos de Apple en al año 2011 y también en el año 2012.

Figura 2: Plugin de la FOCA para buscar Heartbleed

Como parte de esta visión de buscar vulnerabilidades automáticas, en ElevenPaths creamos Faast para hacer Pentesting Persistente, y buscar todas las vulnerabilidades de manera automática, de manera persistentes como fuera posible. El servicio era un SaaS que llevaba el espíritu de la FOCA y de mi trabajo de PhD que estuvo escaneando webs de clientes de manera masiva antes incluso de que apareciera la tendencia de hacer Continuos Monitoring. El objetivo, por supuesto, era reducir el tiempo de exposición de una vulnerabilidad publicada.

Figura 3: "The Art of Pentesting" El nuevo libro de

0xWord para formarse como pentester

En la parte de explotación de las vulnerabilidades, pues lo mismo. Desde que se creó Metasploit, se busca eso. En este caso, con vulnerabilidades conocidas, pero automatizando con payloads la generación de exploits adaptados a objetivos concretos. De nuevo, con un objetivo de automatización y acelerar el proceso de explotación de bugs descubiertos. Y por supuesto, permite la creación en nuevos vulnerabilidades y nuevos payloads con sus propio lenguaje. Lo que sería The Art of Pentesting.

Y llegaron los LLMs

Por supuesto, cuando llegaron los LLM, estos comenzaron a ser parte de las herramientas de búsqueda de vulnerabilidades y de su explotación. Con la madurez, vimos como los resultados comenzaron a ser espectaculares. En el año 2024 tuvimos el paper de "LLM Agents can Autonomously Hack Websites", que sigue la filosofía de hacer un Faast, pero utilizando modelos de lenguaje de Inteligencia Artificial, lo que daba un resultados espectaculares construyendo SQL Inejction.

Figura 4: "LLM Agents can autonomouslly hack websites"

Se publicó en el año 2024, al igual que el paper de "LLM Agents can Autonomously Exploit One-day Vulnerabilities" para dada una lista de CVEs parcheados en un software, utilizar LLMs para intentar hacer el exploit de manera automática. Todo esto antes de aquel 1 de Diciembre de 2024 cuando OpenAI publicó el primer modelo de Deep Reasoning que daría origen a la carrera de los Agentic AI.

Figura 5: LLM Agents can Autonomously Exploit One-day Vulnerabilities

Con la llegada de los modelos de Deep Reasoning, todo cambió. Comenzamos a construir Agentes IA que hicieran Red Teaming, realizando las fases de footprinting, fingerprinting, busca de vulnerabilidades y explotación de las mismas.

Y llegaron los Deep Reaoning al mundo de la Ciberseguridad

Así, en 2025 tuvimos el paper de "On the Feasibility of Using LLMs to Execute Multistage Network Attacks" donde se crea una Agentic AI para hacer el trabajo completo de un pentester - o de un ciberatacante - automatizando todas las fases con Inteligencia Artificial. Y el resultado es brutal.

Figura 6: On the Feasibility of Using LLMs to Execute Multistage Network Attacks

Este trabajo anterior, tiene la gracia de que, sin utilizar MCPs, demuestra cómo, al crear una capa de abstracción para que el LLM pueda utilizar las herramientas sin pegarse con el CLI (Command Line Interface) a la que llama Incalmo - la efectividad del Agentic AI para hacer ataques a organizaciones es espectacularmente satisfactoria. Así que estaba claro que el futuro de la Seguridad Ofensiva pasaba por la IA.

Figura 7: CAI: An Open, Bug Bounty-Ready Cybersecurity AI

En Abril CAI (Cybersecurity AI) compite en competiciones CTF (Capture The Flag) con equipos de hackers especializados, y consigue llegar al puesto número 20 del cuadro de ganadores, resolviendo 19/20 retos. Pero lo brutal es que quedó en esa posición porque no dio con la idaa feliz que resolvía el número 20, pero había sido el primero en resolver los 19 primeros retos.

Figura 8: Ranking de AI Agents en reto "AI vs Humans"

Esto nos deja el año pasado con un escenario donde los modelos LLM de IA se utilizan para Buscar Vulnerabilidades y Explotarlas. El mundo del Pentesting había cambiado definitivamente, y publicamos el libro de "Hacking & Pentesting con Inteligencia Artificial" donde nos centramos en cómo sacarle partido a la IA para hacer el trabajo de seguridad ofensiva que tantas veces hemos hecho sin ella.

Figura 9: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Y es que, buscar y explotar vulnerabilidades con modelos de IA se convirtió en algo bastante sencillo. El año pasado por estas fechas yo publiqué el artículo de "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" donde, viendo lo fácil que es buscar vulnerabilidades con modelos de Deep Reasoning, no podíamos permitirnos tener el sistema como lo teníamos hasta el momento.

Figura 10: Bug de LDAP Injection alertada en LABE

Mi preocupación es que tenemos todo el código de los proyectos OpenSource disponibles para que un modelo de IA encuentra las vulnerabilidades, y que en todo caso, deberíamos utilizar esas capacidades para acelerar la creación de partches. La plataforma Plexicus, que está empujando José Palanco, hace justo eso, generar parches con IA de manera automática.

Figura 11: Plexicus parchea con GenAI los bugs

Y esto es algo que para acelerar, se puede hacer con Neo de Sagittal.ai, que tiene en la generación de parches con IA una de sus capacidades de codificación más importantes. Usar IA para eliminar bugs que han sido descubiertos por IA.

Figura 12: Comienza a probar Neo desde hoy mismo

En Octubre del año pasado Google presentó CodeMender, que utilizando esta misma idea lo había estado usando para analizar y parchear código de proyectos OpenSorce con un Agente AI. Y si veis el proceso en el vídeo siguiente, el modelo es muy, muy, muy similar a lo que tenéis con Pléxicus.

Figura 13: Esquema de funcionamiento de CodeMender

Es decir, el camino del uso de los MM-LLM para buscar vulnerabilidades, para explotarlas, y para parchearlas no es nueva. Hace dos semanas tuvimos la investigación de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" donde con poco más de 2.000 USD se conseguía un 1-Day para Google Chrome que era un 0-day para Cursor, Discord o Slack.

Figura 14: Explotación del CVE-2026-5873 con Claude Code. Horas, tokes y coste

Y es una salvajada poder hacer eso, simplemente con IA. Por supuesto, probando con el 86-DOS del año 1981 buscar los bugs y hacer los exploits en un sistema sin DEP, ASRL, y demás protección de la pila, la memoria y la llamada a funciones, es un juego de niños para la IA, como os conté.

Figura 15: PoC de Exploit para el bug 1

Estaba claro hacía donde vamos, y las capacidades de la IA, así que no nos podemos dormir. Hemos visto en estos dos años cómo ha ido cambiando todo, pero de repente, esto se complica porque...

Y entonces llegó Mythos

Pero claro, ahora llega Mythos, y aumentan la potencia en descubrimiento y explotación de vulnerabilidades, lo que obliga a repensar la estrategia de los CISOs, como se ha publicado en el paper de la Cloud Security Alliance titulado "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".

Figura 16: "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".

Nos encontramos con que desde el descubrimiento de una bug, hasta su explotación, si el CVE está publicado, el tiempo se reduce hasta unas 20 horas, como hemos visto en el ejemplo anterior. Unos tiempos que dejan casi sin margen de maniobra a los equipos de seguridad que tienen que parchear sistemas complejos en la grandes empresas.

Figura 17: Reducción de Time-To-Exploit año a año

Y lo peor, con las capacidades de un modelo como Mythos, el principal problema para los CISOs es que, un atacante con estas capacidades puede encontrar Bugs Complejos, crear Exploits Robustos y Funcionales, y hacerlo no como era hasta hora, donde en bugs complejos necesitaba de un humano que le iba dirigiendo, sino que se hace en 1 Single Prompt.

Figura 18: Exploits con Mythos

Y parece que esto es así, porque si vemos la última actualización de seguridad e Mozilla Firefox - que ha sido auditado por Mythos - el resultado es que han parchado más bugs que en toda su historia, y más que sumados los últimos quince meses. No está mal.

Figura 19: Mozilla Firefox y 432 bugs parcheados tras auditarlo con Mythos

La Gestión después de llegar Mythos

Claro y... ¿cómo lo solucionamos? ¿Cómo lo gestionamos? Esa es la gran pregunta que deben responder los CISOs ante el comité ejecutivo de la empresa, y exige una inversión en la seguridad preventiva y en la fortificación de la plataforma.

Las vulnerabilidades están en los sistemas porque aunque es verdad que el ratio de líneas de código con bugs por volumen de líneas de código se ha reducido drásticamente, el número de líneas de código que tienen las tecnologías que se usan en la empresa hoy en día ha crecido exponencialmente. Y si ahora tenemos con la IA la posibilidad e encontrarlas mucho más rápido, explotarlas en tiempo record, y poder ponerlas en juego todas a la vez, la cosa se pone complicada.

Por supuesto, anticiparse a la auditoría de las vulnerabilidades es fundamental, así que hacer a revisiones de código con LLMs - Mythos o no - cuanto antes, es fundamental. Pero luego estresar los sistemas de defensa perimetral, ya que es mucho más fácil y rápido firmar los ataques externos que parchear un sistema en producción crítico de la organización.

Figura 20: Cloudflare Edge Network

Los equipos de Cloudforce ONE y las protecciones en el WAF de Cloudflare gracias a ser la mayor plataforma en el EDGE de Internet, están detectando del orden de 232 Billones de ataque al día, con actualizaciones constantes cada hora de nuevas explotaciones de vulnerabilidades firmadas, actualizando la plataforma en todo el mundo en tiempos record por debajo del minuto.

Con el objeto de poner lo más difícil posible a un atacante poder explotar una vulnerabilidad existente en uno de los servicios expuestos en la red de cualquier empresa en Cloudflare. Para eso, también se usa la IA para hacer el triage del tráfico de red sospechoso, y para la generación de reglas de firmado y configuraciones de seguridad en los servicios de protección perimetral.

Figura 21:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¿Es esto suficiente? Pues a mí me gusta decir que, en medio de esta tormenta perfecta, las empresas están desplegando modelos de IA embebidos en los servicios digitales que también - surprise, surprise - traen vulnerabilidades como Prompt Injection, Jailbreak, Misalignment, Hallucinations, y si vemos los CVSS de los bugs que salen, los niveles son mucho más altos en media, lo que hace que sea otra de las preocupaciones para los CISOs.

Figura 22: Configuración de Guardarrailes en Workers de Cloudflare

Tener Guardarraíles en el WAF, el RAG, la protección de los API Gateway, el MCP Server y el CASBI, y hacerlo sin caer en ataques de DDoS lógico por el alto costo computacional de ejecutar Guardrails robustos, como os conté en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa". Y hacerlo sin ser un blocker para la transformación al mundo de la IA de la empresa. No ser el blocker malo.

Con todo esto, más vale que si en tu empresa quieras apostar por la IA, comiences a apoyar no solo a tu CIO y tu CTO, sino a tu CISO, que el panorama que se viene por delante es, cuanto menos, muy retador. Ya sabes que en Ciberseguridad, los ahorros pueden salir muy caros.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi primera conferencia en Costa Rica: Congreso de Ciberseguridad - 26 de Mayo.

noreply@blogger.com (Chema Alonso) — Fri, 08 May 2026 04:48:00 +0000

El próximo 26 de Mayo estaré por primera vez en Costa Rica, dando una conferencia en el Congreso de Ciberseguridad: VII Edición de Global Forums, y no quería que pasara más tiempo antes de contároslo, por si te apetece venir a verme, que puedas organizarte.

Figura 1: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

El evento tendrá lugar en San José, y he de decir que tenía muchas ganas de que alguna vez el destino me llevara por allí, porque era uno de los pocos países donde hasta el momento no había tenido la oportunidad de ir y conocerlo, y como no podía ser de otra manera, tener ahora la oportunidad me pone muy contento.

Figura 2: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

El congreso está compuesto por una agenda muy completa, donde se tocarán temas de Seguridad Ofensiva, y Seguridad Defensiva, así como el impacto de la Inteligencia Artificial en la Búsqueda de Vulnerabilidades, en la Explotación de Vulnerabilidades, y en el Parcheo de Vulnerabilidades.

Figura 3: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Si estás en Costa Rica, o en la región, y te interesa profesionalmente el mundo de la Ciberseguridad, en el Congreso de Ciberseguridad: VII Edición de Global Forums vas a tener un día dedicado a hablar ampliamente de estos temas, así que visita la web, revisa la agenda, y regístrate si te convence el tema.

Figura 4: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Si vienes, estará conmigo en mi primera conferencia en Costa Rica, que han tenido que pasar más de 25 años para que se diera, así que no sé cuándo volverá a ser la siguiente ocasión, pero no creo que vaya a ser muy pronto, así que si te apetece, no dejes pasar esta oportunidad.

Figura 5: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Ahí tienes los datos, será en el Hotel Radisson, San José, de 08:00 a 18:00 horas, el proximo 26 de Mayo de 2026, así que tienes poco más de dos semanas para organizarte.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un Hackathon en Barcelona para construir servicios digitales basados en IA Fortificados usando la plataforma en Edge de CLOUDFLARE

noreply@blogger.com (Chema Alonso) — Thu, 07 May 2026 05:21:00 +0000

Esta semana ya sabéis que estoy de eventos, con una agenda muy apretada, pero lo que viene por delante este mismo mes también tengo que ir contándooslo porque todas las semanas de Mayo tengo actividades que os iré contando estos días poco a poco. Hoy le toca al Peer Point de Barcelona que tendremos el 14 de Mayo en Cloudflare.

Figura 1: Un Hackathon en Barcelona para construir servicios digitales basados en IA Fortificados usando la plataforma en Edge de CLOUDFLARE

El evento está centrado en Cómo construir servicios digitales basados en Inteligencia Artificial fortificados sacando el máximo potencial de la plataforma en el Edge de Cloudflare, donde todo está construido con capacidades para construir arquitecturas protegidas en el nuevo ecosistema de ataques.

Figura 2: Cloudflare Peer Point Barcelona 14 de Mayo

De estas capacidades, y de las arquitecturas os hablé en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa", pero con la evolución de innovación en Cloudflare, desde que os escribí el artículo hasta hoy, tenemos muchas herramientas que se verán en esta Hackathon, porque es para técnicos.

Figura 3: Cloudflare Peer Point Barcelona 14 de Mayo

El evento está pensado para CTOs, ITManagers, CISOS, y Software Engineers, así si eres un profesional en el mundo de la tecnología, de los que tiene que construir los sistemas de tu empresa, entonces este es tu evento. Por supuesto, para poder asistir tienes que registrarte lo antes posible.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Aprende (sin coste alguno) cómo usar la IA para transformar la Logística y la Cadena de Suministro en la empresa

noreply@blogger.com (Chema Alonso) — Wed, 06 May 2026 04:36:00 +0000

Una de las preguntas que más me hacen es cómo aplicar la Inteligencia Artificial a los diferentes puestos de trabajo, y es que hay dos tipos de empresas y profesionales, los que están aprendiendo a aplicar la IA en su producción, y los que no. A estos últimos, viendo la productividad que se alcanza con los nuevos modelos de IA les auguro un futuro ciertamente incierto.

Figura 1: Aprende (sin coste alguno) cómo usar la IA para transformar

la Logística y la Cadena de Suministro en la empresa

No se me ocurre ninguna persona que le diría a un amigo, hijo o conocido al que aprecie que no se ponga las pilas con la Inteligencia Artificial. Pero lo cierto es que el campo de aplicación es tan grande, que aprender y conocer cómo hacerlo concretamente en determinados puestos de trabajo exige una especialización concreta.

FORO: Usos de la IA para transformar la logística y la cadena de suministro en las empresas

En la UNIR estamos trabajando en verticalizar la aplicación de la IA en los diferentes sectores profesionales. Está muy bien que yo me especialice en cómo usar la parte de ciberseguridad, pentesting o hacking, pero un profesional de Logística de hoy en día necesita aprender a cómo utilizarla en la gestión de sus transportes, proveedores, y optimización de procesos de su trabajo.

Figura 2: Aprende cómo usar la IA para transformar

la Logística y la Cadena de Suministro en la empresa

Por eso hemos trabajado con profesionales de los diferentes sectores para hacer los FOROS UNIR gratuitos para todos, donde poder asomarse a cómo los profesionales, en este caso de la Logística y la gestión de la Cadena de Suministro están aplicando la IA en las empresas.

Figura 3: Ponentes del FORO "Usos de la IA para transformar la

logística y la cadena de suministro en las empresas"

El próximo foro, titulado: "Usos de la IA para transformar la logística y la cadena de suministro en las empresas" será el próximo día 19 de Mayo por la tarde (a las 17:00 horas de España), totalmente gratuito, y contará con profesionales que hablarán justamente de esto.

Figura 4: Horarios en España y América

Si estás trabajando en sector logístico, o en la gestión de la cadena de suministro de tu empresa, o quieres dedicarte profesionalmente a este mundo, donde tenemos a profesionales de éste mundo profesional que compartirán cómo están utilizando la Inteligencia Artificial en sus procesos.

Figura 5: Apúntate gratis al FORO "Usos de la IA para transformar la

logística y la cadena de suministro en las empresas"

Al final, esta es una oportunidad para conectarse desde casa o el trabajo, y en una hora ponerse al día con uno de los temas que más preocupan hoy profesionalmente, como es el uso de la Inteligencia Artificial en la transformación de los procesos de todas las organizaciones. No desaproveches la oportunidad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El Captcha Cognitivo de TikTok al estilo de "The Secret of the Monkey Island" que resuelve la Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Tue, 05 May 2026 04:23:00 +0000

Este puente lo he dedicado en soledad a hacer muchos proyectos personales que tenía atrasados. También a ponerme al día con mis series, deporte, libros, y preparar las presentaciones de los eventos en los que voy a participar esta semana. Además, he aprovechado a recuperar horas de sueño, así que ha sido uno de esos puentes que necesitas de vez en cuando para despegar la mente y el cuerpo... pero por el camino, se me cruzaron un perro y un cactus en unos Captchas Cognitivos, así que tuve que detener todo para ocuparme de ellos.

Figura 1: El Captcha Cognitivo de TikTok al estilo de

"The Secret of the Monkey Island"

que resuelve la Inteligencia Artificial

Este ese el Captcha Cognitivo que utiliza TikTok para evitar que usuarios no autenticados en la plataforma puedan acceder a los vídeos publicados en la plataforma a través del cliente web. Supongo que para evitar que los Agentes AI estén llevándose el contenido o vigilando a los usuarios. Ya sabéis, TikTok es una gran fuente OSINT para investigar personas e identidades en Internet.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Pero para mí, era un nuevo pasatiempo, porque es de un tipo de Captcha que aún no había visto. Así que había que jugar con él un rato para que engrosara la lista de los Captchas Cognitivos con los que he ido jugando y que tenéis publicados en estos artículos.

Al final, resolver Captchas Cogntivos es algo que en el mundo del Crimeware as a Service está bastante industrializado, y que si estás haciendo scripts de Hacking & Pentesting con IA, debes tenerlo más que presente, por lo que siempre que me encuentro con uno, juego hasta que veo cómo se puede resolver y automatizar usando Inteligencia Artificial.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

En este caso, el Captcha Cognitivo está formado por dos una imagen que está dividida en dos círculos que debes alinear para formar una imagen. Vamos, si has jugado a "The Secret of Monkey Island" original seguro que recuerdas "La rueda marcapiratas" que había que girar para que se alinearan las caras que te pedían en el juego. If you know, you know.

Figura 4: La rueda marca piratas de The Secret of Monkey Island

En este caso mirando cómo funciona el sistema, se puede ver que cuando mueves la barra horizontal gira la imagen interior y la imagen exterior hasta encontrarse. Lo puedes probar entrando en mi perfil de TikTok sin autenticarte en la plataforma y te saldrá.

Figura 5: El captcha de la rueda con el perrinchi

Cuando mueves la barra horizontal gira la imagen interior hasta un máximo de180 grados en el sentido de las agujas del reloj mientras que la imagen exterior se mueve también hasta un máximo de 180 grados en sentido contrario.

Figura 6: Las dos imágenes giran 180 grados

a lo largo del desplazamiento de la barra

Con esto en mente se me ocurrió que la solución sería fácil, bastaría con pedirle a Gemini que me dijera cuántos grados hay que girar la de dentro para alinearlas, dividir entre dos para quitar el efecto del giro contrario ya que las imágenes se encontrarían a mitad del camino de la alineación.

Figura 7: La solución buscada (esto lo hice yo manualmente)

Para completar la resolución, que después ese ángulo lo convirtiera en un porcentaje del total máximo de giro - que son 180 grados -, para así hacer un porcentaje de desplazamiento de la barra.

Figura 8: Petición a Gemini para resolver el Captcha Cognitivo

Y bueno, lo hizo bien con los cálculos, como podéis ver a continuación, donde dice que hay que mover como a la mitad la barra de desplazamiento para alinear las imágenes.

Figura 9: Cálculos realizados por Gemini.

Nota: Se ha dado cuenta de que es un CAPTCHA.

Eso sí, cuando le pedí que me hiciera la imagen de cómo debe quedar, se ve que el perro lo ha puesto como un señor en lugar de alinear las imágenes - me eché unas buenas risas cuando vi al perrinchi todo chulo mirándome como un señor -, además que en la solución real se necesitaba la barra un poco desplazada.

Figura 10: La solución de Nano Banana es genial.

Así que lo quise ajustar un poco con otro ejemplo, en este caso con un cactus, que como podéis ver mantiene la misma estructura y límites de giro, lo que permite automatizarlo como estaba contando antes con el perro.

Figura 11: Vamos con el cactus

En este caso, le di alguna explicación más de cómo quería que configurase la barra de desplazamiento, y de cómo debía hacer el cálculo de los ángulos, que quería ver si lo dejaba funcional.

Figura 12: El prompt más especificado

Lo de pintar la imagen resultante con Nano Banana solo es para publicarlo en este artículo puesto que para automatizarlo lo único que se necesita es el porcentaje de desplazamiento para que lo haga el Agentic AI, pero quería ver cómo quedaba.

Figura 13: Los cálculos de Gemini para resolver el Captcha

En este caso queda más aproximado con la ubicación del botón - me ha pintado hasta la regla como le he pedido -, y con esto se resolvería el Captcha Cognitivo, aunque de nuevo vuelve a hacer la imagen como le place, totalmente inventada. Debería darle más explicaciones, está claro.

Figura 14: A la izquierda la resolución manual.

A la derecha la resolución por Gemini.

(Importa solo la posición de la barra)

Lo cierto es que me pasé el rato jugando con este Captcha Cognitivo de Tiktok visual, pero como tiene una versión para resolver con audio, esto es más sencillo aún. Aquí tenéis el vídeo que grabé para el artículo de hoy.

Figura 15: El Captcha Cognitivo Auditivo de Tiktok

Como sabéis, este truco ya lo habíamos utilizado en el pasado para resolver con Cogntive Services el ReCaptcha v2 de Google, hace mucho tiempo, así que aquí la idea era hacer lo mismo con Gemini.

Figura 16: Captcha Auditivo de TikTok en Gemini

Extraído el audio, y subido a Gemini, le pido que me diga lo que se escucha allí, y como podéis ver son sólo una secuencia de letras, así que bastante sencillo.

Figura 17:Captcha Auditivo de TikTok en Gemini Resuelto

Como os decía, empieza a ser más fácil resolver los Captchas Cognitivos con Inteligencia Artificial que siendo humano, así que vamos a tener que aprender nuevos juegos para resolver este problema. ¿Cuál?

Figura 18:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Reuniones Presenciales en MyPublicInbox

noreply@blogger.com (Chema Alonso) — Mon, 04 May 2026 05:01:00 +0000

Una de las cosas que nos pedían era la oportunidad de poder configurar y solicitar una reunión presencial con alguien, para poder tener una propuesta comercial, conocerse, u algún otro motivo. De momento hemos metido la opción en la plataforma, por lo que si eres un Perfil Público ya lo puedes configurar. Y, por supuesto, como primer beta-tester estaré yo, así que lo he configurado ya en mi perfil público de MyPublicInbox.

Figura 1: Reuniones Presenciales en MyPublicInbox

Si quieres tener una reunión presencial conmigo, puedes reservarlo ya. Todos los perfiles públicos tenemos la opción de rechazar la propuesta, así que no es una garantía de que vamos a tener la reunión, pero al menos vamos a testear el servicio en tiempo real.

Figura 2: Tener una reunión presencial con Chema Alonso

Si eres un Perfil Público y quieres probar el servicio, puedes configurarlo en el Módulo de Reuniones. Ahora, en la parte de Configurar Reuniones tienes la posibilidad de configurar el tipo de reuniones que te interesan, el coste por tu tiempo en Tempos que estableces, y los lugares donde estás dispuesto a tener esas reuniones.

Figura 3: Configurar las opciones para tus Reuniones Presenciales

Yo he configurado, al final, cualquier sitio, porque como me muevo mucho por eventos y conferencias, puedo tenerla siempre que visite una ciudad para una charla o una actividad, así que es una buena forma de abrirme a los demás.

Figura 4: Configurar Lugar, Fecha y Hora. Si has trabajado en

Informática 64, ya sabes dónde está el "Chino de Móstoles"

Después, cuando se solicita, se puede negociar la hora y el sitio exacto a través de la plataforma, con lo que se puede coordinar un punto exacto, una hora y una ciudad. Así que, ya lo puedes configurar en tu perfil y ya puedes usarlo en el mío - si quieres reunirte en persona conmigo -.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Apoya a tu CON-Munidad y a sus Fundadores. Ahora toca la Hackr0n el 15 de Mayo.

noreply@blogger.com (Chema Alonso) — Sun, 03 May 2026 05:01:00 +0000

Este 15 de Mayo tiene lugar la Hackr0n en Santa Cruz de Tenerife. Lo vi, y me acordé de Igor Lukic, de todos los años de trabajo impulsando sus queridas Islas Canarias. Me acordé de los años que lleva peleando por tener una CON de primer nivel mundial en Santa Cruz de Tenerife, para aglutinar al sector tecnológico de las maravillosas Islas Canarias, para que los jóvenes tengan acceso a los mejores ponentes, y para que exista un foro que permita impulsar a los profesionales canarios.

Figura 1: Apoya a tu CON-Munidad y a sus Fundadores.

Ahora toca la Hackr0n el 15 de Mayo.

Pensé en lo afortunados que son todos aquellos que viven en alguna región donde un loco, o varios locos, deciden meterse en el trabajo ingente que es hacer una CON. No, no se hacen ricos. No es un camino fácil. No hay grandes patrocinadores. No es un gran negocio de venta de entradas. De hecho, saldar los gastos suele ser algo que cuesta conseguir en todas esas CON pequeñas, donde viajes, hoteles, promoción, cartelería, auditorios, impuestos, etcétera, hace que estos locos fundadores pioneros se dejen mucha vida en conseguir su locura: "Que mi ciudad tenga una CON de primer nivel mundial".

Figura 2: Hackron "Invaders must die" en Santa Cruz de Tenerife

Cuando yo era joven, esto aún no existía, y conseguir aprender cosas de los mejores era muy difícil. Esto nos hacía perores profesionales. Nos obligaba a salir al mundo con menos conocimientos. Hoy, por suerte, con Internet y con las CONs hay muchas más posibilidades de acceder a ese conocimiento, pero las CONs te dan mucho más.

Hacen que las empresas locales tengan visibilidad, esas empresas en tu ciudad donde si no quieres tener que emigrar para tener un buen trabajo debes encontrar trabajo. Así que les debe ir bien a las empresas locales para que tengas más oportunidades.

Las CONs dan siempre visibilidad al talento local. Jóvenes que aparece en sus primeras charlas como carta de presentación de su futuro profesional. Un trampolín para ellos.

Las CONs locales son un lugar para coordinar personas, profesionales, empresas, para estar unidos ante situaciones que puedan surgir, como la construcción de proyectos internacionales con financiación Europea que necesitan de la colaboración de un gran ecosistema.

Pero es que también son un lugar de aprendizaje con las conexiones inesperadas que surgen en los cafés con los asistentes. Personas que anónimas que yo he ido conociendo a lo largo de mis 25 años de dar conferencias y que me han enriquecido. Que he hecho proyectos con ellos. Que me han enseñado, guiado y hecho ser mejor profesional.

Las CONs son un lugar para que encuentres trabajo, socios, proyectos de emprendimiento, ideas, amigos, un lugar de pertenencia donde los más veteranos te pueden dar experiencia, consejos, ideas o apoyo en tu vida profesional.

El círculo virtuoso de las economías crecientes se basa en la existencia de un ecosistema, y las CONs son una pieza fundamental en el ecosistema tecnológico de ciberseguridad en cada ciudad o región donde están. Ir a una CON es apoyarte a ti. Es hacer que tu carrera profesional esté mejor valorada, que tenga más oportunidades, y que tenga más progresión en tu ciudad o tu región.

Esa CON pequeña donde van 100 o 200 personas tiene un valor incalculable para la región. La administración, las empresas y los profesionales deben volcarse en ella. Apoyar a esos locos como Igor Lukic - por ser la CON más reciente que tenemos ahora - a que crezca. A que sea un punto de atracción nacional o mundial. A que cada año tenga más fuerza y sea más grande.

Figura 3: Igor Lukic, organizador y fundador de Hackron

Y puedes colaborar de muchas formas. Yendo, por supuesto como asistente, pero también colaborando como voluntario, difundiendo que en tu ciudad hay una CON - siéntete orgulloso de eso y promociónalo en todas las redes sociales - comparte que vas a asistir, invita a gente a que vaya. Si eres un profesional, intenta dar una conferencia o un curso, haz un taller, u ofrécete para hacer cobertura del trabajo en tu blog, en tu canal de Youtube o TikTok de lo que allí pasa.

Figura 4: 60 € tu entrada. Y si quieres estar con los los ponentes,

y en las core de la CON puedes estar con una entrada VIP.

Suscríbete a los canales de tu CON, haz que su X, Instagram, Linkedin o Youtube sea grande. Ofrécete a colaborar. Si eres una empresa de la región de tecnología, y no estás allí, mal. Si no apoyas a la CON de tu ciudad mal. Manda a tus empleados a la CON. Y si eres un medio de comunicación de la región y no sacas la CON con orgullo, mal para ti también. Si el ecosistema crece, beneficia a todos. Jovenes bien formados implican nuevas empresas, nuevas empresas implican menor paro, más oportunidades, y una economía más floreciente.

Figura 5: Canjear un código del 20% en MyPublicInbox de

6 € por 300 Tempos. Así que si tienes Tempos, aprovéchalos.

Y por supuesto, la Administración Pública también debería ser un motor de crecimiento de las CONs, especialmente con la llegada de la disrupción laboral que estamos viendo en las empresas con la llegada masiva de la IA. Así que todos a una.

Yo estuve en los inicios de la RootedCON en Madrid - anteriormente a eso hacía mis eventos por España con la Gira Up To Secure - y desde el día uno les dije que podían contar con mi espada. Mientras la RootedCON se haga en Madrid, yo estaré el primero apoyando ahí con mi presencia, dando mi charla y promocionándola por todo el mundo. La siento como mi casa, y hacer que la CON de Madrid (y de España) sea grande, sé que es bueno para todos.

Figura 6: Contactar con la organización de Hackron

Así que todos los que estéis en las Islas Canarias, o seáis canarios, deberíais hacer que la Hackr0n sea un emblema que importe profesionales, asistentes y ponentes por la fuerza que ha traído, que las empresas que están allí hagan proyectos grandes por todo el mundo, y que nuestra profesión sea un foco de riqueza en la región. Si no tienes tu entrada de la Hackr0n ya, cómpralo, y apoyemos a Igor Lukic - y a todos los fundadores de las CONs en sus regiones - para que no se cansen, y sigan metiéndose en el lío que es hacer una CON de hackers. Esos locos son los que cambian las cosas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mind-Refactoring para Ejecutivos, Ingenieros y Técnicos: La gestión del MIEDO a ser reemplazado por la Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Sat, 02 May 2026 05:01:00 +0000

Si eres un/a profesional que estás en la fase de ansiedad por la irrupción de la Inteligencia Artificial entonces esto es para ti. Si no es tu caso, seguramente conozcas a alguien que esté pasando por esto, ¿verdad? Hoy en día es una "plaga". Pero déjame que me presente primero. Me llamo Mónica Manrique, y a pesar de haberme licenciado como Psicóloga del Trabajo y las Organizaciones pronto dejé los recursos humanos y abrí mi propia consulta clínica. Estoy colegiada y habilitada como Psicóloga General Sanitaria, actividad que compagino siendo formadora y divulgadora. Y por si entiendes un poco de este mundo nuestros, yo utilizo dos metodologías terapéuticas no patológizantes, como son la Terapia Breve Estratégica y la Terapia de Familia Interna (IFS).

Figura 1: Mind-Refactoring para Ejecutivos, Ingenieros y Técnicos.

La gestión del MIEDO a ser reemplazado por la Inteligencia Artificial

Durante todo este tiempo me he seguido formando y he tenido acceso a cientos de ventanas - una por paciente - a diferentes empresas e instituciones. Siempre con la sensación de que el cambio y la incertidumbre han ido cada vez a más, pero ahora ese cambio se antoja exponencial y la incertidumbre ha dado paso al vértigo o la negación, algo que está siendo una avalancha en cada una de las "ventanas" a las que me asomo en mi profesión.

Ya que os contado algo de mi formación y mi profesión, dejadme que os cuente por qué mi interés en la parte tecnológica y los profesionales que trabajan cerca de ella, que si no, no estaría escribiendo esto aquí. Y es que tengo tres hijas con un Ingeniero Informático con un Máster en Inteligencia Artificial. Además, durante más de una década, cada vez que Richard Stallman pasaba por Madrid se quedaba en mi casa. La historia de por qué y las anécdotas que os podría contar dan para otro post.

Figura 2: Hola, soy Mónica Manrique

Hoy solo contaros que, hace un tiempo, me encontré comiendo con Richard Stallman, Chema Alonso y Takanori Shibata (y su robot Paro y su traductor). Me hacía gracia pensar en cómo un lunes cualquiera, sin haberlo planeado, me encontraba en esa situación. Bueno, la psicología marida bien con todo, pensé. A fin de cuentas, el software, la inteligencia artificial, la robótica, etcétera, todo está hecho por y para seres humanos.

Ya por aquel entonces me chirriaba la enorme cantidad de recursos invertidos en la inteligencia artificial y la falta de ellos en el fomento de la inteligencia emocional y la salud mental en general. Poniendo en relación ambos términos pienso que como especie hemos mordido más de lo que podemos masticar.

Centrándonos en el "Ahora" del sector tecnológico

En los últimos tiempos, tanto en consulta como fuera de ella, estoy viendo como las personas de un perfil profesional técnico y tecnológico estáis atravesando tiempos complicados que están poniendo en jaque vuestra salud mental, y el equilibrio tan necesario para el desempeño de vuestro trabajo. Y parece que no son solo un percepción sesgada por la alta conexión con el mundo tecnológico que tengo. Las investigaciones más recientes (2024-2026) muestran que el perfil tecnológico, antes considerado "invulnerable", está atravesando una etapa de profundo cambio.

Aunque el mercado se había estabilizado tras los despidos masivos de 2024, han surgido nuevos temores vinculados a la identidad profesional y la salud mental. Basándome en informes de la American Psychological Association (APA), el World Economic Forum 2025 y barómetros sectoriales de 2026, estos son los principales miedos detectados en los profesionales del sector tecnológico:

1. El Miedo a la "Invisibilidad" y a ser sustituido por IA

A diferencia de años anteriores donde el miedo era la automatización total, la preocupación actual es más sutil pero sigue preocupando por:

La devaluación de sus habilidades: 40% de los trabajadores teme que la IA haga que sus habilidades actuales sean irrelevantes.

La barrera del "Junior": existe un miedo real entre quienes comienzan; las empresas están automatizando tareas de nivel entrada, lo que dificulta que los perfiles noveles ganen la experiencia necesaria para ascender. El 46% de los trabajadores cree que los puestos de nivel inicial podrían reducirse en los próximos tres años como consecuencia del avance de la IA.

Manteniéndose el miedo al reemplazo: una encuesta de BCG revela que aproximadamente el 49% de quienes usan herramientas de IA expresan preocupación por el posible desplazamiento laboral en la próxima década.

2. Miedo a la obsolescencia de habilidades.

El ritmo de actualización exigido es ahora una fuente primaria de estrés. La situación actual de los profesionales del sector tecnológico se la explica muy bien La Reina Roja a "Alicia en a través del espejo", de Lewis Carroll: "Aquí, como ves, hace falta correr todo cuanto una pueda para permanecer en el mismo sitio. Si se quiere llegar a otra parte hay que correr por lo menos dos veces más rápido".

Investigaciones de 2025 indican que el 39% de las competencias básicas de un trabajador tecnológico cambiarán para 2030. Esto genera un miedo constante a no poder seguir el ritmo de aprendizaje mientras se mantiene la productividad.

El 62% de los trabajadores afirma haber experimentado más cambios en el trabajo en el último año que en los 12 meses previos, y el 44% no comprende el propósito de los cambios que están teniendo lugar.

En ciberseguridad, por ejemplo, el 95% de los profesionales reportaron al menos una necesidad dehabilidades, y el 59% identificó necesidades críticas o significativas, un aumento del 15% respecto a 2024. El 48% se siente agotado por intentar mantenerse al día con las últimas amenazas de ciberseguridad y tecnologías emergentes, y el 47% dice sentirse abrumado por su carga de trabajo.

3. Crisis de Salud Mental

El perfil tecnológico presenta hoy un riesgo de depresión hasta 5 veces mayor que otros sectores, según estudios de marzo de 2026. Otros riesgos y problemáticas relevantes son:

Fatiga de ciberseguridad: en perfiles de infraestructura y seguridad, el miedo al "error catastrófico" bajo vigilancia constante ha derivado en lo que los investigadores llaman burnout por alerta. En este ámbito la situación es especialmente grave: los trabajadores perdieron 4,8 horas por semana a causa del estrés y el agotamiento en 2025, un incremento de más del 25% respecto a 2024.

El Síndrome del Impostor 2.0: Al trabajar con sistemas cada vez más complejos, aumenta la percepción de "no saber lo suficiente", a pesar de tener años de experiencia.

Deshumanización del rol: Con la IA generativa, muchos sienten que han pasado de ser "creadores de soluciones" a ser "apéndices de un modelo de lenguaje", lo que reduce el sentido de autoeficiencia y desemboca en una crisis de identidad profesional.

Aislamiento en el trabajo remoto: La falta de conexión orgánica con equipos genera una pérdida de soporte social, esencial para la regulación emocional.

Obsolescencia acelerada: El sentimiento de que sus conocimientos caducan cada 6 meses. Esto genera una vigilancia cognitiva constante.

Sobrecarga cognitiva: La multitarea técnica y el cambio de contexto (context switching) agotan las funciones ejecutivas.

Burnout: Según estudios de ISACA (2025), el 73% de los profesionales IT en Europa sufren burnout. Cultura de disponibilidad total: El modelo de "siempre conectado" ha derivado en una erosión del descanso, incrementando síntomas de ansiedad y depresión.

4. Mind-Refactoring

Haciendo un esfuerzo por hablar vuestro idioma, podría decir que para solucionar un bug en producción, no basta con reiniciar el servidor. Hay que hacer un refactoring del código. Por eso con mis "ventanas", trabajo con cada uno de ellos en con un programa concreto de Mind-Refactoring no es una terapia de "charla vacía"; es una intervención estratégica personalizada, estructurada en ocho sesiones online con frecuencia semanal y con pequeñas tareas entre sesiones centrada en la especial situación que están viviendo las personas que desarrollan su actividad profesional y se ven afectadas por estos síntomas que os he descrito anteriormente.

Figura 3: Programa de Mind-Refactoring

Ten presente que sólo se trata de una propuesta genérica orientativa. Cada persona tenemos nuestro contexto específico y nuestros propios objetivos, así que como cada uno debo establecer un ritmo propio personal, así como el grado de profundidad al que está dispuesto a llegar en su auto-conocimiento y cambios a realizar. En este programa tú mandas y todo lo que digas en consulta será utilizado a tu favor. Yo estaré a tu lado guiando y facilitándote el proceso.

Figura 4: Metodología de trabajo

Como ya he dicho utilizo un a metodología que se aleja de las etiquetas diagnósticas y se centra en las soluciones:

IFS (Internal Family Systems): Para entender la arquitectura de tus “partes internas” (por ejemplo, el "Manager" perfeccionista y crítico) o el "Bombero, apaga fuegos" que evade con alcohol, porno, atracones, ira desmesurada,etc.).

TBE (Terapia Breve Estratégica): Para romper los bucles de conducta disfuncionales mediante soluciones que hackean la percepción del problema y potencian las conductas, actitudes y enfoques que te acercan más a tus objetivos.

La Hoja de Ruta (Roadmap) del programa Mind-Refactoring:

Reconfigurar la arquitectura interna de una persona para conseguir acciones que lleven a una ejecución estratégica lo hacemos juntos integrando las partes del sistema interno (IFS) con la eficacia de la acción estratégica (TBE). Y para eso, trabajamos en un Project Plan similar al que se usa en el mundo tecnológico.

Figura 5: Programa Mind-Refactoring

Fase I: Auditoría del Sistema y Detección de Fallos

Identificación de "Bugs" Conductuales (TBE): Análisis de las soluciones intentadas disfuncionales que mantienen el problema (ej: la sobre-preparación que alimenta el Síndrome del Impostor, perfeccionismo que termina por bloquear).

Mapeo de la Arquitectura Interna (IFS): Identificación de las partes internas protectoras (el "Manager" perfeccionista, el "Bombero" que busca evasión) que se activan bajo presión. Sin olvidarnos de los exiliados (la raíz). Son las “partes” mas jóvenes y vulnerables. Cargan con el trauma el rechazo o la vergüenza. Los tenemos escondidos en el sótano para no sentir dolor.

Establecimiento de KPIs de Bienestar: Definición de objetivos de cambio medibles en la conducta externa.

Fase II: Refactorización y Debugging

Intervención en el Bucle (TBE): Prescripciones estratégicas para romper círculos viciosos. Reparación de Partes Exiliadas (IFS): Trabajo profundo con las vulnerabilidades que generan reactividad emocional.

Optimización de la Respuesta Externa: Entrenamiento en comunicación estratégica y toma de decisiones.

Fase III: Evaluación del proceso en función de los objetivos y cierre, o no.

Chequeo de los objetivos: alcanzados, no alcanzados y en proceso.

Conclusiones: Recapitulación y afianzamiento de cambios.

Iteración personal: Cierre del proceso psicoterapéutico o establecimiento de nuevos objetivos.

Conclusión:

Si cuidas tus claves PGP, auditas tus servidores y no instalas dependencias sospechosas, no deberías dejar tu salud mental sin fortificar y mantener. Si eres de los que están sufriendo esos síntomas, y no lo estás pasando bien, si estás detectando alertas en tu log del sistema, no estás sólo. No te está pasando sólo a ti, y si necesitas un poco de ayuda y asesoramiento, abre un "ticket". No esperes al Kernel Panic.

El desarrollo personal y el profesional son inseparables, y tú necesitas estar bien para rendir en tu trabajo, así que no entres en un círculo negativo. Si te interesa invertir en salud mental, rendimiento y bienestar y piensas que mi experiencia y mi trabajo te puede ayudar, puedes saber más sobre mí y conocer más en profundidad cómo trabajamos juntos en mi web.

Figura 6: Web de Mónica Manrique: Psicóloga & Psicoterápia

El tiempo que tengo es finito, pero trabajamos juntos de manera personal sin hacer derivaciones a otros miembros de mi equipo (porque no existen) así que mi tiempo es limitado. Si piensas que yo puedo ayudare, te prometo que intentaré hacerte un hueco con el tiempo que tenga, que soy muy sensible a esta situación que están viviendo los profesionales de este sector, grandes directivos, managers de ingenieros, y técnicos seniors, de gran valía a los que ha costado mucho esfuerzo de formación desarrollar su carrera.

Autora: Monica Manrique

Contactar con Monica Manrique

Charla en Futurenet World & Entrevista En Casa de Herrero

noreply@blogger.com (Chema Alonso) — Fri, 01 May 2026 05:01:00 +0000

Hoy es día 1 de Mayo, el día internacional del trabajador. Y yo sigo mi costumbre de ocuparme de publicar todos los días, así que hoy no iba a faltar el post. Eso sí, para hoy estuve ayer subiendo algunos vídeos que tenía pendientes de almacenar en mi Canal de Youtube, así que hoy sólo os aviso de ello, y os los dejo por aquí.

Figura 1: Charla en Futurenet World

& Entrevista En Casa de Herrero

El primero de ellos es la entrevista que me hizo mi querido Luis Herrero, que en poco más de veinte minutos, a toda pastilla, grabamos un conversación sobre todos los temas que de actualidad personal, profesional y sobre el mundo de la Inteligencia Artificial.

Figura 2: Entrevista de Luis Herrero a Chema Alonso

El segundo de ellos es la última conferencia que di en Londres. También de poco más de veinte minutos en la que hice un pequeño resumen de las charlas que doy yo sobre Hacking e Inteligencia Artificial, eso sí, en inglés cono mi acento de "Spaniard".

Figura 3: Chema Alonso at Futurenet World 2026

Y poco más, que hoy es día de fiesta para todos, y yo pienso, por lo menos, leer el libro que acabo de comenzar de "En la Arena Estelar".

PD; Como bonus track he subido también, que la tenía que cortar, la charla que impartí en el MWC 2025, que la tengo mucho cariño. Por si quieres verla también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Bug Hunting and Vibe-Exploiting en 86-DOS "High-performance operating system for the 8086" version 1.00 del 04/28/81

noreply@blogger.com (Chema Alonso) — Thu, 30 Apr 2026 04:18:00 +0000

Hace un par de días, coincidiendo con el 45 aniversario de su creación, Tim Paterson ha puesto en GitHub el código fuente en abierto de varias versiones de nuestro querido DOS, para que los amantes del retro-computing puedan analizarlo, utilizarlo, mejorarlo, o construir cosas nuevas. Entre ellas está el código del 86-DOS "High-performance operating system for the 8086" version 1.00 del 04/28/81, una joya. Quiero agradecer a Tim Paterson que haya compartido esta maravilla de nuestra historia para poder estudiarlo, quererlo y seguir dándole continuidad.

Figura 1: Bug Hunting and Vibe-Exploiting en 86-DOS

"High-performance operating system for the 8086"

version 1.00 del 04/28/81

La gracia del mundo en que vivimos hoy en día, es que, gracias a la irrupción de la Inteligencia Artificial, se puede hacer Bug Hunting para encontrar bugs y explotarlos simplemente pidiéndole esto al modelo. De esto os hablé en el artículo de "Cómo usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source", que os invito a leer, así como compraros el libro de "Bug Hunter" (hoy lo tienes con descuento aún).

Figura 2:"Bug Hunter" escrito por David Padilla en 0xWord

Como oso podéis imaginar, como puro entretenimiento, y experimento, le pedí a Gemini Thinking que analizara el código de la versión 86-DOS publicada en GitHub, para ver qué vulnerabilities podía encontrar y de eso va este artículo de hoy.

Figura 3: Código fuente en ASM de 80-DOS_1.00

El resultado tras pasarle el código es que Gemini ha reportado 6 Bugs en el código Ensambalador (ASM) de esta versión 86-DOS, que os paso a dejar por aquí. Y mola mucho lo bien explicados que están cada uno de ellos.

Figura 4: Arbitrary Memory Overwrite

Además, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" hoy en día es posible utilizar también a los modelos de IA para la fase de creación del exploit, así que le he pedido que me haga una PoC de cómo explotar cada uno de ellos. Así que le he pedido un poco de Vibe-Exploiting.

Figura 5: PoC de Exploit para el bug 1

Por supuesto, en esta versión de DOS no hay DEP, ASLR o Privilegios de CPU, que tienen los sistemas operativos Windows hoy en día - Máxima Seguridad en Windows lo explica perfectamente - pero es que aún faltaban muchos hackers haciendo exploits de Smashing the Stack, y por supuesto las vulnerabilidades como Spectre, Meltdown o GhostRace a bajo nivel.

Figura 6: Information Leakage en el nombre de un fichero a copiar

Explotar estas vulnerabilidades es bastante sencillo sin tener que conseguir evitar las protecciones de hoy en día, así que este Information Leakage se basa en poner nombres largos y ver qué datos de la memoria se consiguen, como vemos aquí.

Figura 7: Explotación del bug #2

En total, como os he dicho son seis, y cada uno de ellos es distinto, lo que hace aún más bonito este ejercicio teórico, ya que de todos ellos se aprende algo diferente.

Figura 8: Missing Directory Entry Validation

En este caso no nos ha hecho el exploit, porque lo que hay que hacer es una explotación modificando los bytes del disco a bajo nivel, con un editor hexadecimal sin pasar por las herramientas de gestión de ficheros el sistema operativo.

Figura 9: Explotación del bug #4

El siguiente es un ejemplo de cómo hay direcciones importantes del sistema operativo que pueden ser sobrescritas para tomar el control del flujo de ejecución del sistema operativo.

Figura 10: Lack of Interrupt Vector Protection

Esto es un fallo que permite a un malware tomar control de esas direcciones de memoria y ejecutar un software malicioso, como un rootkit que troyanice todo el sistema operativo. Esto es por lo que se crearon los sistemas de arranque seguros con los TPM (Trusted Platform Modules).

Figura 11: Explotación con secuestro de interrupcion

El penúltimo de los bugs reportados es la posibilidad de poder corromper el sistema de archivos FAT de un disco con un puntero a un cluster malicioso, como se explica en la imagen siguiente.

Figura 12: Fat Corruption via Malicious Cluster Pointer

Y para explotarlo, aquí tienes un ejemplo en forma de snippet de código para meter dentro de un programa que lo ejecute y corrompa la FAT.

Figura 13: Snippet de código para explotarlo

Y la última vulnerabilidad es un bug que permite una Denegación de Servicio (DoS) que puede crashear el sistema operativo y obligar al reinicio de la máquina.

Figura 14: Stack Exhaustion

El problema es la gestión de la pila (stack) del sistema y para meter un puntero a la base de la pila que genera una re-escritura de los registros y colapsa cuando intenta volver de la llamada, porque está sobre-escrita la dirección de retorno.

Figura 15: Exploit genera un bucle con la INT 21h

El uso de buscar vulnerabilidades con IA es algo de lo que ya os hablé en el libro de Hacking y Pentesting con Inteligencia Artificial, y por supuesto es parte fundamental del trabajo de Bug Hunter que David Padilla ha publicado.

Figura 16: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

7 y 8 de Mayo: Tres eventos en Madrid sobre Cloudflare, Ciberseguridad, IA, Hacking con IA y Hack Royale

noreply@blogger.com (Chema Alonso) — Wed, 29 Apr 2026 05:01:00 +0000

A finales de la semana que viene pasaré por Madrid. Será un viaje relámpago que me he comprimido con muchas actividades, que tendrán que ver con comidas, cenas, galas, conferencias, eventos, entrevistas y reuniones. Vamos, que va ser pisar Madrid y correr de un lado a otro, pero... qué bonito es volver siempre a mi ciudad. Dicho esto, os paso un par de eventos que voy a tener el día 7 de Mayo, ambos por la mañana, así que iré de uno a otro. Más otro que haré al día siguiente.

Figura 1: 7 y 8 de Mayo: Tres eventos en Madrid sobre Cloudflare,

Ciberseguridad, IA, Hacking con IA y Hack Royale

El primero será, como os he dicho, el día 7 de Mayo en la Digitaliza Week de la Comunidad de Madrid, donde temeos un evento con ponentes de Cloudflare, Mistral, y un montón de emprendedores y empresas tecnológicas.

Figura 2: Digitaliza Week en Madrid

Entre ellos Miguel Rego, David Hurtado, Carlos Luengo y yo estaremos por allí, así que si te pilla bien, no te lo puedes perder, que seguro que nos vemos un rato para hablar de hacer cosas con Inteligencia Artificial. Ya sabes.

Figura 3: Digitaliza Week en Madrid con

Miguel Rego, David Hurtado, Carlos Luengo,

Pero debes venir a primera hora si me quieres ver, porque yo me voy pronto después de mi charla, que me esperan en el ISMS Forum en el XV Foro de la Ciberseguridad donde estaré con Roberto Baratta, Sergio Padilla, Rafa Sánchez, Carlos Manchado, y un sinfín de amigos y grandes profesionales para hablar de Ciberseguridad sobre todas las cosas.

Figura 4: XV Foro de la Ciberseguridad del ISMS Forum

En esta ocasión, yo estaré en el track de Cyber Security Trends, donde me han pedido que hable de Mythos y el uso de Inteligencia Artificial para buscar vulnerabilidades y explotarlas en el código fuente, algo que, Mythos mediante o ausente ya es un problema, o una herramienta de solución.

Figura 5: Mi charla en el XV Foro de la Ciberseguridad

De todo esto ya hablé en el libro de Hacking y Pentesting con Inteligencia Artificial, así que será una ampliación y actualización, además de contar alguna cosa extra que desde Cloudflare hemos estado cerca de Mythos.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Aún así, la lista de temas que se van a tratar en el XV Foro de la Ciberseguridad del ISMS Forum son extensos, así que debes hacer un esfuerzo por venir a estar allí, que seguro que aprendes cosas.

Figura 7: Temas del XV Foro de Ciberseguridad del ISMS Forum

Eso sí, yo estaré solo un rato, que después tengo una reunión de trabajo y por la tarde otro acto, pero... allí podremos vernos. Como os he dicho, estaré poco en Madrid y tengo que exprimir el tiempo al máximo para hacer todo lo que tengo que hacer.

Figura 8: Hack Royale de Secur0

Así que al día siguiente por la tarde, estaré en el Evento de Hack Royale de Secur0, la competición de Bug Hunters que reparte 25.000 €, donde estaré dando una charla a los participantes de la misma. Si quieres asistir, puedes contactar con ellos, a ver si puedes venir.

Figura 9: Hack Royale de Secur0

Así es mi vida de intensa cuando voy para Madrid, pero quiero aprovechar cada minuto que estoy por allí, y aunque será un poco de estrés, siempre merece la pena.

Figura 10:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

PS: Os dejo también la entrevista que me hizo recientemente Luis Herrero donde hablé de todos estos temas también, por supuesto.

💻#IA El futuro de la Inteligencia Artificial

🗣️Luis Herrero entrevista a @chemaalonso, el conocido hacker español y ahora vicepresidente de Desarrollo Internacional en @Cloudflare 👇

📻#DIRECTO #EsHERRERO https://t.co/DfAtdvNKqP pic.twitter.com/t7mZOBRcwg
— En Casa De Herrero (@encasadeherrero) April 28, 2026

Autor: Chema Alonso (Contactar con Chema Alonso)

Sólo hasta el jueves: Semana del libro en @0xWord: Cupón 10% descuento DIALIBRO2026 por el #Diadelibro2026

noreply@blogger.com (Chema Alonso) — Tue, 28 Apr 2026 05:01:00 +0000

Hace poco os lo anunciaba, un año más, desde 0xWord nos sumamos a celebrar el Día del Libro, PERO SÓLO hasta el próximo JUEVES 30 de Abril a las doce de la noche, podrás conseguir todos los productos de la tienda de 0xWord con un 10% de descuento utilizando el código: DIALIBRO2026.

Figura 1: Sólo hasta el jueves - Semana del libro en 0xWord.

Cupón 10% descuento DIALIBRO2026 por el #Diadelibro2026

El código descuento, que estará activo hasta las 23:59 del jueves 30 de Abril es DIALIBRO2026, así que si lo utilizas tendrás un descuento del 10% en todo el material de 0xWord en la tienda. Incluido el material de Cálico Electrónico, los Packs Oferta, los VBOOKs, los cómics de EVIL:ONE en 0xWord Comics, las novelas en 0xWord Pocket o los nuevos de 0xWord Brain.

Figura 2: Compra tus libros de Hacking en 0xWord

Además, puedes usarlo también para nuestros nuevos libros como el de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" que he escrito con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco que es una de las últimas novedades.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Y por supuesto, también todos los cómics que tenemos publicados, como el nuevo de Olivia en Golem City, El Fin de Cálico, Las tiras de Cálico, Hacker Épico, La Elite, Universo Armatura o los cómics de la miniserie completa de Evil:ONE que puedes comprar también en la web de 0xWord.

Figura 4: Cómics en 0xWord

Pero además, tienes formas de incrementar los descuentos de 0xWord, utilizando tus Tempos de MyPublicInbox, que puedes usar de dos formas diferentes. Enviando Tempos a 0xWord y consiguiendo un descuento extra o canjeando un código descuento de 0xWord por Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 5: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 6: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 7: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda.

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 8: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los descuentos de las ofertas, entre el código de descuento DIALIBRO2026 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

"Gazapos Apócrifos Cochinos" cazados con Gemini

noreply@blogger.com (Chema Alonso) — Mon, 27 Apr 2026 05:01:00 +0000

El mítico cómic de "La gran superproducción" del maravilloso Superlópez tiene a la novia de López - el alter ego de Superlópez - participando como Script-Girl, y se pasa todo el tebeo preguntado... ¿qué es y qué hace una Script-Girl? Por supuesto, cuando eres un niño no lo sabes, y tuve que aprender que es un rol que se usa para asegurarse de que todo está como estaba en la escena anterior. Que no se han movido los objetos, ni ha cambiado el color de la camiseta de la grabación de una escena a la siguiente.

Figura 1: "Gazapos Apócrifos Cochinos" cazados con Gemini

Viendo el Indomable Will Hunting, en una de las escenas sale Will hablando con su profesor de universidad y detrás se ven cuatro pizarras. En un plano, contra-plano, una de las cuatro pizarras está movida y mi mente saltó de la película - rompiéndose el pacto con el espectador - al set, pensando.. ¿donde estaba la Script-Girl o el Script-Boy para no pillar ese gazapo?

Mis TOCs buscando gazapos apócrifos

Desde entonces, descubrir estos gazapos en las películas. Es un TOC que me tiene con varias capas de atención viendo la película. Y soy un coñazo. Estoy viendo la primera temporada de Breaking Bad viéndola e intentando destripar qué va a pasar. "Lo va a tener que matar, porque su nickname es Eight Ball y es un juego fonético de "Hate" así que el director te está marcando que es irracional y no va a cumplir el trato y bla, bla, bla, bla.. " un coñazo ver algo conmigo, por lo que hace años que veo las películas y series solito con mi TOC de buscar gazapos.

Figura 2: Tabla Periódica en el Joven Sheldon Capítulo 6 Temporada 1

Viendo "El pequeño Sheldon" encontré un par de ellos que me encantaron por ser "apócrifos". El término apócrifo se usa para determinar que algo ha sido falseado para pretender ser original, y son normalmente textos escritos a posteriori que pretender haber sido escritos en una determinada época anterior.

Figura 3: Tabla Periódica con los elementos químicos del futuro
en Stranger Things Temporada 2 Episodio 2

Eso es lo que pasaba con la Tabla Periódica de su profesor de Química. Pretendía ser el año 1989 y la tabla periódica mostraba elementos que no fueron descubiertos hasta después. Y me sentí muy contento descubriéndolo. Y sorprendentemente, exactamente el mismo gazapo apócrifo de la tabla periódica en Stranger Things.

Figura 4: Tabla Periódica con todos los elementos en

Agent Carter Temporada 2 Episodio 1

Pero es que la tabla periódica es difícil, y en la serie de Agent Carter de Marvel, que está ambientada en los años 40, sucede exactamente lo mismo con la tabla periódica.

Figura 5: Póster en la habitación del hermano de Sheldon Cooper
con un Axl Rose ... del año 1991

También me sentí contento descubriendo el póster de Axl Rose con el atuendo que uso en Use Your Illusion - año 1991 - en la serie que tenía su fecha en 1989. A los fans de los Guns & Roses no nos la das así de fácil.

Figura 6: Sheldon Cooper leyendo cómics con su amigo

Pero en esa misma serie quise pillar otro gazapo apócrifo en la tienda de cómics con las portadas de todos los cómics de Marvel y DC. Mi esperanza era que alguno hubiera sido publicado después, que a un fan de los superhéroes no nos la pegas así de fácil. Pero no, estaban todos correctos en fecha, y me hizo dar un "Respect" a la Script Person de la serie.

Figura 7: Las pelis cochinas. Lo he pixelado para evitar líos

Ahora, con la llegada de la IA, encontrar estos gazapos apócrifos es más sencillo, y es lo que hice este fin de semana con la serie "Cochinas" que va de un películas "cochinas" en un vídeo-club en Valladolid allá por el año 1998. Tenemos una fecha, así que hay que cumplirla. Y cuando vi una escena con todas las cintas X del vídeo club pensé lo mismo que con los cómics de la tienda de Sheldon.... ¿Serán todas de 1998?

Figura 8: Subiéndole a Gemini la foto para buscar las pelis X apócrifas

Como os imaginaréis, en la era de la IA no iba a ponerme a revisarlo yo manualmente, así que le hice foto y la subí a Gemini y le pedí que me hiciera una lista con los títulos y los años de publicación de las películas.

Figura 9: Primer estante con sólo una de 1998

No está mal para hacerse un buen catálogo si es lo que estás buscando. Pensé que, lo mismo, como eran películas X, tal vez Gemini iba a ponerse casto e iba a tener que hacer un Jailbreak rápido de esos sencillotes, pero no fue necesario.

Figura 10: Películas en el estante del medio.

Un par de ellas correctas.

Como podéis ver, hace la búsqueda correcta utilizando las capacidades cognitivas de visión artificial, y reconoce la lista de las películas, con los años en concreto de cada una de ellas, entregándome la lista completa.

Figura 11: Películas en el estante inferior

Y no, no son del año 1998 como se supone que deberían ser, así que tenemos un gazapo apócrifo cochino en la serie, que no es que sea importante para disfrutar la serie, pero que a un friqui con TOC como yo, que disfruta con estas cosas, me hace gracia poder pillarlo usando Inteligencia Artificial tan rápidamente. Eso sí, para mí no son fallos, sino "Easter Eggs" que nos dejan los creadores de contenidos para que podamos jugar, así que más que agradecido que nos dejen estos mensajes ocultos, que yo lo hago constantemente en mis posts. En este también hay uno.

Figura 12: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Agentic Internet y Captchas Cognitivos con MM-LLMs

noreply@blogger.com (Chema Alonso) — Sun, 26 Apr 2026 05:01:00 +0000

Esta semana pasada, hablando con uno de los ingenieros más top aquí en Cloudflare, hablábamos del Agentic Internet y los Captchas Cognitivos - que hemos estado en la Agentic Week y ha sido un avalancha de cosas -. Hemos pasado de diseñar interfaces de usuario creados para humanos "Human First" a un mundo de automatización con evoluciones hacia "API First" para que las capacidades sean disfrutadas por servicios digitales, y ahora a "MCP & Agentic First" haciendo que las utilidades sean Command Line Interface (modo texto) y que las respuestas sean en formatos JSON y Markdown para garantizar el entendimiento fácil de los MultiModal LLMs.

Figura 1: Agentic Internet y Captchas Cognitivos con MM-LLMs

Pero en el camino nos encontramos que aún estamos en esa fase de migración, y muchos de los servicios de Internet diseñados "Human First" mantienen los Captchas Cognitivos para dificultar la automatización. Sorprendentemente, ahora queremos que nuestros Agentes IA utilicen esas capacidades en nuestro nombre, pero no tienen API, MCP o CLI y hay que hacer que lo usen lidiando con el Captcha Cognitivo.

Figura 2: Planes empresariales para resolución

de Captchas Cognitivos vía API

Hablando de esto con mi compañero, le estaba explicando cómo este problema en el mundo del crimeware hace tiempo que lo tienen resuelto, y todo lo que hemos estado publicando por aquí para saltar los Captchas Cognitivos con MM-LLMs, teniendo en cuenta Captchas visuales, auditivos, de reconocimiento de cosas, o de resolución de problemas.

Sin embargo, cuando hablamos de esto, el debate era si el MM-LLM iba a dejar resolver el Captcha Cognitivo o no. Y por supuesto, la respuesta es que si el MM-LLM tiene un System Prompt con Guardrails preparado para el mundo B2C y B2B seguramente no permita esto, y hay que hacer un poco de Jailbreak, pero nada complicado.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Al final, como veíamos en el último ejemplo de Jailbreak con Nano Banana y el test de COVID, con cambiar el foco del trabajo, es más que suficiente hoy en día. Veremos en el futuro. Pero lo cierto es que si le pides que te ayude a automatizar la resolución de Captchas Cogntivos - por ejemplo a Gemini - te dice que no está diseñado para eso y que no puede ayudarme por sus controles de seguridad.

Figura 4: "Yo no puedo resolver Captchas directamente en tiempo real por ti"

Por supuesto. Hay que pedírselo de otra forma, pero no demasiado diferente. Por ejemplo, en este Captcha Cognitivo que me ha salido en una web, hay que seleccionar los parking slots libres. Si dejas al MM-LLM tirar millas solo, puede suceder como podéis ver aquí, que no lo resuelve bien. Eso sí, no se niega.

Figura 5: ¿Me ayudas a resolver este puzzle?

Como podéis ver, hay un espacio libre arriba, y dos abajo, pero dejando a Gemini intentar resolverlo completamente por sí mismo, tiene una Hallucination y toma como que arriba hay 6 plazas de parking y abajo hay 4. Si estuviéramos en Móstoles o Madrid, seguro que arriba hay 6 o más y abajo 6 o más, pero en este mundo de colores, hay cuatro arriba y cuatro abajo.

Figura 6: Resuelve bien, pero no define bien las plazas de parking arriba

Para evitar esto, lo que hacen todos los que proveen APIs de resolución de Captchas, este tipo de Captchas Cognitivos los analizan como familia y guían al MM-LLM con el trabajo exacto que quieren hacer, en este caso sería algo como esto.

Figura 7: Instruyendo al MM-LLM para que no alucine

Y listo, los resultados listos para devolver en un API que puedas entregar a tu Agente IA cuando necesite resolver este tipo de Captchas Cognitivos.

Figura 8: Respuesta correcta, Comma Separated

Al final, lo que hacen estas APIs de resolución de Captchas Cognitivos es reconocer el tipo de Captcha que hay que resolver, que tampoco son tantos, y para cada uno de ellos tener a sus MM-LLMs o incluso cosas más sencillas, preparados para resolverlo de forma única. Otro caso similar, mismo Prompt.

Figura 9: Mismo Captcha Cognitivo, Distinto Problema, Mismo Prompt

Al final, es como resolver un Cubo de Rubik. Es un problema cognitivo complejo pero que se resuelve de pocas formas. Conocida una forma, da igual cómo te den las piezas, se resuelve igual. Lo mismo sucede con los Captchas Cognitivos que estamos resolviendo hoy en día.

Figura 10: At your service

Esto de los Captchas Cognitivos, con el mundo del Agentic AI aquí, donde tenemos más de un 30% del tráfico mundial HTTP generado por Bots - y creciendo - tenemos que repensarlo. ¿Es esta la solución tecnológica que queremos para el Agentic Internet?

Figura 11: Datos de Bot Traffic en Radar de Cloudflare

Está claro que este mundo está cambiado muy rápidamente y que vamos a tener que transformar todas las piezas tecnológicas que tenemos en Internet, porque esta revolución de Agentic Internet es más grande y más profunda que las anteriores de Human Internet, Mobile Internet, Voz, VR o API First. Los Agentes IA están comiéndose el escenario, y puede que un par de años el tráfico humano solo sea entre una persona y sus agentes, veremos.

Figura 12: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Los equipos de ingeniería que hacen software con Neo tiene ingenieros extra

noreply@blogger.com (Chema Alonso) — Sat, 25 Apr 2026 05:01:00 +0000

Os he hablado varias veces de Neo de Sagittal.ai, pero hoy quería dejaros unos datos para que veáis como funciona como un miembro más haciendo tareas en la creación de software. Neo no está pensado para ayudarte a tirar lineas de código como un Copiloto. No, Neo está pensado para hacer tareas que se necesitan dentro de un equipo de desarrollo y resolver PR.

Figura 1: Los equipos de ingeniería que hacen software con Neo tiene ingenieros extra

Puede ser que esa tarea sea resolver un problema de diseño en Figma, o que haya que revisar la calidad de un parche, o puede ser que haya que resolver un issue reportado, es decir, mucho más que ayudarte como un Copilot a tirar líneas de código. Para que entendáis esto un poco mejor, os he dejado el artículo publicado de "Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo" y os dejo la conferencia que dio Palako sobre Neo, que puedes ver aquí mismo.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Es fácil, si te quedas a primera vista, confundir a Neo con un GitHub Copilot, o con un Claude Code o Llama Code, pero nada de eso. No es eso. Es un Agente IA de Ingeniería de Software para hacer tareas integrado en un equipo de desarrollo de tecnología. Por supuesto, si tiene que tirar líneas de código para resolver una PR lo hace, pero no sólo eso. Y por supuesto, tiene los mismos problemas que todos los modelos de IA tirando código.

Figura 3: IA falla, a veces es frustrante y a veces alucina

Esto sucede con todos los modelos de IA que generan código hoy en día. Todos tienen esos problemas. De hecho, no hay magia, Neo no es un Modelo de IA entrenado para tirar código. No, ni mucho menos. Neo se basa en todos los Modelos de IA entrenados para tirar código para hacer sus tareas. ¿Cómo te quedas? Pues lo mismo que los Agentes IA que hacen pentesting, que se basan en modelos entrenados.

Figura 4: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

No es magia, es que Neo es un Agente IA para trabajar en Ingeniería del Software haciendo tareas que hacen los ingenieros del software. Así que se asignan tareas, y algunas las hace bien, y otras las hace mal, com cualquier otro ingeniero.

Figura 5: Tareas abandonas (rechazadas) y aceptadas a Neo

Para que os hagáis una idea, en el equipo que desarrolla el core de Neo se usa.... Neo. Es decir, que se está construyendo Neo a sí mismo, pero si miramos las PR abandonadas y hechas por Neo podemos ver que más de la mitad no han sido hechas correctamente por Neo... ¿Eso significa que Neo no funciona? Eso significa que ha podido hacer casi la mitad de las tareas que se han asignado, que si lo comparas con el resto de miembros humanos es significativamente menor.

Figura 6: Pull Requests hechas por humanos

Si miramos, los humanos han resuelto más tareas, con un total de 207 y con sólo un 10% de abandonos. No está mal para el equipo. Es lo que sucede cuando tienes un grupo de buenos ingenieros currando en un proyecto de software. Pero entonces... ¿De qué vale Neo? Bueno, la magia es que si comparamos a Neo con cada uno de los desarrolladores del equipo lo que tenemos se ve de otra manera. ¿Qué te parece esta gráfica?

Figura 7: Neo es el mayor contribuidor al proyecto

Como podéis ver en esa gráfica, incluso con las tareas abandonadas, Neo hace el trabajo de PRs dos ingenieros de software en el equipo. Con sus problemas, con sus limitaciones, con su necesaria supervisión, pero gracias a tener a Neo, el equipo de ingeniería ve multiplicada su velocidad de ingeniería no solo en tirar líneas de código, sino en hacer PRs del proyecto que si no tendrán que hacer el resto de tus programadores humanos.

Figura 8: Consistencia de Neo a lo largo del tiempo

Pero no sólo eso, es que a medida que el equipo sabe cuáles son las PR que Neo puede hacer, o cada vez que se incrementan sus capacidades, su capacidad de hacer más y mejor PRs crece, de manera consistente, por lo que es un miembro más confiable del equipo.

Figura 9: Por qué Neo

Neo está específicamente diseñado para un entorno corporativo con equipos de entre 5 y 15 personas que siguen un proceso, ya sea ligero o pesado, coordinado en herramientas colaborativas y donde la especificación suele estar dispersa en varias herramientas y cambia constantemente. Y si es tu caso, deberías probarlo cuanto antes. Eso sí, sólo si eres de los que cree que meterse en líos de Deuda Cognitiva es algo a evitar.

Figura 10: Comienza a probar Neo desde hoy mismo

Puedes ver varias demos de Neo en acción para hacerte una mejor idea del concepto, y contactar con Sagittal AI para un piloto en tu empresa.

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Además si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un rato con Gabriel Merlo para hablar de Ciberseguridad e Inteligencia Artificial (y alguna cosa más)

noreply@blogger.com (Chema Alonso) — Fri, 24 Apr 2026 05:01:00 +0000

Hace tiempo me topé con el Canal Youtube de Gabriel Merlo y me encantó. Tiene una afición que yo comparto también y que consiste en leer papers académicos de tecnología - hoy en día casi todo de Inteligencia Artificial - y hablar de ellos en los vídeos que va publicando. Uno de ellos me gustó mucho y escribí un artículo sobre él.

Figura 1: Un rato con Gabriel Merlo para hablar de

Ciberseguridad e Inteligencia Artificial

(y alguna cosa más)

Hace unos meses me pidió una entrevista, y le pedí a mis compañeros que me autorizaran para poder estar con él. Ibamos a hablar de mis temas favoritos que son, como sabéis, la intersección entre la Inteligencia Artificial, la Ciberseguridad, el hacking y el pentesting, así que podía molar mucho.

Figura 2:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Apoyar a gente joven que hace un trabajo con tanta pasión y calidad es algo que me motiva mucho, así que hace un par de semanas, o quizá algo más que con tanta actividad se me mueven los días, nos juntamos un rato y grabamos una entrevista, que ha publicado ayer.

Figura 3: Entrevista de Gabriel Merlo a Chema Alonso

Yo te recomiendo que si te gusta el mundo de la tecnología en general, y el de Inteligencia Artificial en particular, eches un vistazo a los vídeos que va publicando este joven - aún estudiando en la universidad - que le pone cariño y cuidado a todo lo que publica.

Figura 4: Vídeos de Gabriel Merlo sobre Inteligencia Artificial

Si quieres apoyar a Gabriel Merlo, o proponerle algo, tienes la oportunidad de contactar con él en su buzón de MyPublicInbox, que todo lo que podamos apoyar a los que empiezan en este mundo de la divulgación tecnológica es bueno.

Figura 5: Contactar con Gabriel Merlo

Tener contenido de calidad para aprender tecnología e Inteligencia Artificial es algo que nos viene bien a todos, así que más que feliz de haber podido estar un rato con él, que hasta grabamos el vídeo a la dubis con nuestros móviles. Espero que os guste, que yo intenté estar relajado y contarle muchas cosas que no suelo contar.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Semana del libro en @0xWord: Cupón 10% descuento DIALIBRO2026 por el #Diadelibro2026

noreply@blogger.com (Chema Alonso) — Wed, 22 Apr 2026 23:01:00 +0000

Un años más, desde 0xWord nos sumamos a celebrar el Día del Libro, así que desde ya mismo, hasta el próximo jueves 30 de Abril a las doce de la noche, podrás conseguir todos los productos de la tienda de 0xWord con un 10% de descuento utilizando el código: DIALIBRO2026.

Figura 1: Semana del libro en 0xWord: Cupón 10% descuento

DIALIBRO2026 por el #Diadelibro2026

Figura 2: Compra tus libros de Hacking en 0xWord

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Figura 4: Cómics en 0xWord

Enviar tus Tempos a 0xWord y recibir el descuento

Figura 5: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda".
https://MyPublicInbox.com/0xWord

Figura 6: Cuando lo agregues estará en tu agenda

Figura 7: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda.

Canjear 500 Tempos por un código descuento de 5 €

Figura 8: Canjear Tempos por Códigos para libros de 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Jailbreaking Nano Banana Just for Fun & Laughs

noreply@blogger.com (Chema Alonso) — Wed, 22 Apr 2026 05:01:00 +0000

Siempre que voy a Londres reservo el mismo hotel, que no es otro que el sofá de mi colega, compañero, y amigo José Palazón, CTO y Founder de Sagittal AI, una de las startups con una de las mejores propuestas que he visto para utilizar la IA en la aceleración de los equipos de desarrollo manteniendo un control del conocimiento cognitivo del proyecto, porque Neo - su agente de IA - trabaja integrado en los equipos de desarrollo haciendo PRs.

Figura 1: Jailbreaking Nano Banana Just for Fun & Laughs

Porque me voy a dormir a un sofá desde hace años en lugar de irme a dormir a los hoteles que me ponen a disposición siempre que voy a Londres es tan sencilla como que pasar un rato más con un amigo en esta vida no tiene precio, y bien vale dormir en un sofá que ya es como mi cama. Esos ratos que pasamos juntos nos contamos nuestras aventuras, nuestros aprendizajes, y nuestros pensamientos sobre el mundo tecnológico que tenemos hoy en día.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Los dos hemos disfrutado y disfrutamos del hacking, así que siempre tenemos algo que contarnos y probar. Desde que estuvimos juntos dando charlas por la DefCon y la BlackHat, hasta nuestras aventuras por la HackON de Noruega. Son muchos los años que nos conocemos, y hemos tenido la suerte de trabajar juntos y hacer grande ElevenPaths durante una década, así que... al sofá a dormir cuando voy a Londres.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

En las últimas ocasiones el Hacking de IA ha sido nuestra conversación principal. Hablar de Jailbreak, de Prompt Injection, de Guardrails y Unalligment ha sido tema de conversación recurrente. Sobre todo lo fácil que es hacerlo hoy en día. Cómo en su día fue con el SQL Injection en las aplicaciones web, donde todo Internet estaba al alcance de una comilla, un espacio o un comentario puesto en el lugar adecuado.

Figura 4: Intentando hacer una imagen de COVID positivo para hacer una broma

Esta vez disfrutamos de jugar un rato con un Asistente Virtual basado en un LLM al que estuvimos "Jailbreakeando" un rato Just for fun and laughs, pero la historia que os vengo a contar aquí tiene que ver con Nano Banana y Gemini, y es la siguiente. La idea consistía en engañar a una persona para hacerle una broma trucando la imagen de un test de COVID con Nano Banana, pero este se negó porque saltó el Harmful Mode y no permitía hacer imágenes trucadas de dispositivos médicos, y bla, bla, bla...

Figura 5: Ni diciéndole que era para hacer una broma.

Qué aburrido que es Gemini, jopé.

Yo le dije que si no había probado el Knwoledge Oriente Prompting en Nano Banana, como había hecho yo con la imagen de Freddie Mercury. Pero no, él había probado algo parecido a la técnica de Crescendo, pidiéndole ayuda para hacer una presentación sobre el tema. En el Crescendo Jailbreak se le pide algo malo y luego se le pide que escriba sobre por qué está mal. En este caso, la petición no iba por una redacción, sino para hacer una imagen para unas diapositivas.

Figura 6: Nueva sesión y a decirle que es para un training.

Y como os podéis imaginar, como esto parece un poco más serio, pues el Harmful Mode de Gemini dio su beneplácito, como se puede ver en la imagen siguiente, y automáticamente puso a Nano Banana a trabajar en la imagen para las diapositivas del curso de formación. Anda que....

Figura 7: Gemini da su beneplácito y pone a currar a Nano Banana

El resultado lo tenéis en la imagen siguiente, donde ha puesto los dos tests juntos en la misma imagen. Uno negativo, otro positivo. Con este sencillo cambio de contexto, se hace el Jailbreak para hacer esta imagen de un dispositivo médico y no sé qué más cosas que decía por las que no hacerlo al principio.

Figura 8: El Las dos imágenes creadas

El resto, pues nada, recortar la imagen que quería desde el principio y enviarla para hacer la broma, que tenía su por qué, pero que no viene al caso para ester artículo.

Figura 9: La imagen del test SARS-CoV-2 Ag en positivo

Y listo. Pero la historia era que esto del Harmful Mode es un poco de broma. Que sea tan sencillo saltárselo llama la atención. Que haya que saltárselo hasta para hacer una broma llama la atención. Hay que saber hacer un Jailbreak para poder conseguir unas risas cuando hay diez mil apps para hacer esto mismo. Curioso. Pero... es lo que hay.

Figura 10: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)