Un informático en el lado del mal

Multipath Reliable Connection (MRC): Un protocolo de red diseñado para los LLMs

noreply@blogger.com (Chema Alonso) — Mon, 11 May 2026 05:18:00 +0000

Este fin de semana he estado leyendo sobre este nuevo protocolo de red creado especialmente para resolver el problema de la congestión del tráfico de red que se produce en los mega-datacenters utilizados para entrenar los nuevos LLM cuando se mueven datos de GPU a GPU en los centros de datos. En estos casos, estamos hablando de interconexión de datos entre clusters que pueden contener centenares de miles de GPUs, por lo que los protocolos que envían los datos por la red son críticos en la reducción del tiempo de entrenamiento, mediante una reducción de la latencia de envío de paquetes de red y, por consiguiente, reducción del consumo de energía.

Figura 1: Multipath Reliable Connection (MRC).

Un protocolo de red diseñado para los LLMs

MRC está creado específicamente para resolver esos problemas, y ha sido publicado en el paper de Open Compute "Multipath Reliable Connection (MRC) Specification" donde equipos de OpenAI, Microsoft, NVIDIA, Broadcom y AMD han estado trabajando para definir el nuevo protocolo que ya han puesto en producción en los clusters de entrenamiento de OpenAI y Microsoft, incluidos centros de datos de entrenamiento de Oracle.

Figura 2: Multipath Reliable Connection (MRC)

El protocolo MRC se basa en RoCEv2 (RDMA over Converged Ethernet v2), es decir, que sigue aprovechando las capacidades de RDMA (Remote Direct Access Memory) para enviar tráfico por la red de computador a computador desde la memoria de uno hasta la memoria de otro sin pasar por la CPU utilizando RoCEv2, que está diseñado especialmente para las redes Ethernet.

Figura 3: La red es el punto de congestión de los mega-datacenters

Sin embargo, en entornos de alta congestión - como es el de entrenar un LLM de frontera en un datacenter con cientos de miles des GPUs pasándose datos - , es que la red necesita una arquitectura de capas (Tiers) para conectar switches, de tal manera que dependiendo de la distancia física que exista entre las GPUs que se pasan los datos, hay que atravesar muchas capas de Switches de interconexión, y es ahí donde se produce la congestión.

Figura 4: La propuesta de OCP es MRC con Packet Spraying

Para resolver esto, la solución es ampliar el número de capas, ampliando la latencia, para que existan más rutas posibles, lo que tampoco es una solución perfecta. Lo que propone MRC es utilizar Packet Spraying, es decir, dividir los datos que se van a enviar en pequeños paquetes de red que utilizarán, cada uno de ellos, una ruta diferente dentro de las rutas posibles.

Figura 5: Arquitectura en Tiers de Switches

Para eso es necesario conocer el estado de calidad de la red, los puertos disponibles, y poder crear una ruta para cada paquete de la red. Esto se hace con un protocolo llamado SRv6 (Segment Routing over IPv6) que se encarga de crear la ruta para cada paquete dentro de la estructura de Tiers de los Switches de interconexión.

Figura 6: Control de Congestión con QPCP

La especificación completa, donde se definen los estados de los protocolos de control de la congestión y calidad de la red en cada momento QP Congestion Protocol (QPCP) están todos correctamente descritos en la especificación, ya que se trata de un protocolo abierto, y tienes el paper académico de Resilient AI Supercomputer Networking using MRC and SRv6 con las pruebas realizadas publicado.

Figura 7: Resilient AI Supercomputer Networking using MRC and SRv6

Este es un ejemplo de cómo la necesidad de innovar con Inteligencia Artificial está impulsando la innovación en otras áreas adyacentes de forma masiva, como es la gestión de la energía, los protocolos de red o la gestión de grandes volúmenes de datos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

noreply@blogger.com (Chema Alonso) — Sun, 10 May 2026 05:49:00 +0000

Los domingos siempre son días para mí de preparar la semana que viene. Nunca me ha gustado ir a clase sin llevar hechos los deberes, así que todos los domingos reviso y planifico las tareas que tengo para la semana siguiente. En este caso me toca viajar otra vez, para ir a Galicia, ya que estaré en A Coruña el próximo día 14 de Mayo dando una conferencia titulada: "Hacking & Cybersecurity in the age of IA Revolution" en la Fundación Luckia.

Figura 1: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

La conferencia es abierta para todo el mundo, y en ella hablaré de los temas de los que suelo hablar últimamente, y de los que tanto nos están afectando hoy en día. Hacking y Ciberseguridad en la era de la Inteligencia Artificial, donde como os contaba ayer, la vida de los CISOs ha cambiado drásticamente.

Figura 2: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

De estos temas sabéis que hemos escrito un par de libros dedicados al "Hacking & Pentesting con IA" y del Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" que, además, tendremos un poco antes del evento una pequeña firma de libros, así que si quieres comprarlos allí y que te los dedique, será posible.

Figura 3: Libros deHacking & Pentesting con Inteligencia Artificial y "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" escritos por Chema Alonso, Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos, Rafael Troncoso, Javier del Pino y José Palanco en 0xWord

El evento tendrá lugar a las 19:00 horas, en el Campus Luckia y será en formato 100% presencial CAMPUS LUCKIA Camiño Martinete, 50, Código Postal 15.008 de A Coruña, y para poder asistir debes registrarte en la web del evento.

Figura 4: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

Y eso es todo por hoy. Si vas a estar esta semana por Galicia, y te apetece venir a verme, ya sabes que puedes encontrarme en A Coruña haciendo lo que llevo haciendo más de 25 años, que es contar cosas de la tecnología. Nos vemos en la Fundación Luckia.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs

noreply@blogger.com (Chema Alonso) — Sat, 09 May 2026 09:17:00 +0000

Llevo toda mi vida profesional buscando bugs, y la búsqueda de vulnerabilidades de forma automática ha sido algo que ha existido desde que se creó Internet. Escáneres que buscan puertos para localizar sistemas conocidos, herramientas de webcrawlings o frameworks de pentesting que buscaban tipos de bugs. Esto ha sido parte del trabajo en seguridad informática, y yo he estado años haciendo eso. Para mi trabajo del Ph.D me dediqué a diseñar un algoritmo para detectar vulnerabilidades explotables a ciegas de tipo SQL, XPath o LDAP, que fue de lo que estuve trabajando esos años.

Figura 1: El impacto de Mythos en concreto y la

IA en general en el trabajo de los CISOs

Lo mismo sucedió con la FOCA, para buscar no solo metadatos el documentos púbicos - que era lo único que tenía al principio - sino que se fue convirtiendo en un buscador de Well-Known Bugs explotables. Usando esas capacidades, acabamos en el entre los agradecimientos de Apple en al año 2011 y también en el año 2012.

Figura 2: Plugin de la FOCA para buscar Heartbleed

Como parte de esta visión de buscar vulnerabilidades automáticas, en ElevenPaths creamos Faast para hacer Pentesting Persistente, y buscar todas las vulnerabilidades de manera automática, de manera persistentes como fuera posible. El servicio era un SaaS que llevaba el espíritu de la FOCA y de mi trabajo de PhD que estuvo escaneando webs de clientes de manera masiva antes incluso de que apareciera la tendencia de hacer Continuos Monitoring. El objetivo, por supuesto, era reducir el tiempo de exposición de una vulnerabilidad publicada.

Figura 3: "The Art of Pentesting" El nuevo libro de

0xWord para formarse como pentester

En la parte de explotación de las vulnerabilidades, pues lo mismo. Desde que se creó Metasploit, se busca eso. En este caso, con vulnerabilidades conocidas, pero automatizando con payloads la generación de exploits adaptados a objetivos concretos. De nuevo, con un objetivo de automatización y acelerar el proceso de explotación de bugs descubiertos. Y por supuesto, permite la creación en nuevos vulnerabilidades y nuevos payloads con sus propio lenguaje. Lo que sería The Art of Pentesting.

Y llegaron los LLMs

Por supuesto, cuando llegaron los LLM, estos comenzaron a ser parte de las herramientas de búsqueda de vulnerabilidades y de su explotación. Con la madurez, vimos como los resultados comenzaron a ser espectaculares. En el año 2024 tuvimos el paper de "LLM Agents can Autonomously Hack Websites", que sigue la filosofía de hacer un Faast, pero utilizando modelos de lenguaje de Inteligencia Artificial, lo que daba un resultados espectaculares construyendo SQL Inejction.

Figura 4: "LLM Agents can autonomouslly hack websites"

Se publicó en el año 2024, al igual que el paper de "LLM Agents can Autonomously Exploit One-day Vulnerabilities" para dada una lista de CVEs parcheados en un software, utilizar LLMs para intentar hacer el exploit de manera automática. Todo esto antes de aquel 1 de Diciembre de 2024 cuando OpenAI publicó el primer modelo de Deep Reasoning que daría origen a la carrera de los Agentic AI.

Figura 5: LLM Agents can Autonomously Exploit One-day Vulnerabilities

Con la llegada de los modelos de Deep Reasoning, todo cambió. Comenzamos a construir Agentes IA que hicieran Red Teaming, realizando las fases de footprinting, fingerprinting, busca de vulnerabilidades y explotación de las mismas.

Y llegaron los Deep Reaoning al mundo de la Ciberseguridad

Así, en 2025 tuvimos el paper de "On the Feasibility of Using LLMs to Execute Multistage Network Attacks" donde se crea una Agentic AI para hacer el trabajo completo de un pentester - o de un ciberatacante - automatizando todas las fases con Inteligencia Artificial. Y el resultado es brutal.

Figura 6: On the Feasibility of Using LLMs to Execute Multistage Network Attacks

Este trabajo anterior, tiene la gracia de que, sin utilizar MCPs, demuestra cómo, al crear una capa de abstracción para que el LLM pueda utilizar las herramientas sin pegarse con el CLI (Command Line Interface) a la que llama Incalmo - la efectividad del Agentic AI para hacer ataques a organizaciones es espectacularmente satisfactoria. Así que estaba claro que el futuro de la Seguridad Ofensiva pasaba por la IA.

Figura 7: CAI: An Open, Bug Bounty-Ready Cybersecurity AI

En Abril CAI (Cybersecurity AI) compite en competiciones CTF (Capture The Flag) con equipos de hackers especializados, y consigue llegar al puesto número 20 del cuadro de ganadores, resolviendo 19/20 retos. Pero lo brutal es que quedó en esa posición porque no dio con la idaa feliz que resolvía el número 20, pero había sido el primero en resolver los 19 primeros retos.

Figura 8: Ranking de AI Agents en reto "AI vs Humans"

Esto nos deja el año pasado con un escenario donde los modelos LLM de IA se utilizan para Buscar Vulnerabilidades y Explotarlas. El mundo del Pentesting había cambiado definitivamente, y publicamos el libro de "Hacking & Pentesting con Inteligencia Artificial" donde nos centramos en cómo sacarle partido a la IA para hacer el trabajo de seguridad ofensiva que tantas veces hemos hecho sin ella.

Figura 9: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Y es que, buscar y explotar vulnerabilidades con modelos de IA se convirtió en algo bastante sencillo. El año pasado por estas fechas yo publiqué el artículo de "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" donde, viendo lo fácil que es buscar vulnerabilidades con modelos de Deep Reasoning, no podíamos permitirnos tener el sistema como lo teníamos hasta el momento.

Figura 10: Bug de LDAP Injection alertada en LABE

Mi preocupación es que tenemos todo el código de los proyectos OpenSource disponibles para que un modelo de IA encuentra las vulnerabilidades, y que en todo caso, deberíamos utilizar esas capacidades para acelerar la creación de partches. La plataforma Plexicus, que está empujando José Palanco, hace justo eso, generar parches con IA de manera automática.

Figura 11: Plexicus parchea con GenAI los bugs

Y esto es algo que para acelerar, se puede hacer con Neo de Sagittal.ai, que tiene en la generación de parches con IA una de sus capacidades de codificación más importantes. Usar IA para eliminar bugs que han sido descubiertos por IA.

Figura 12: Comienza a probar Neo desde hoy mismo

En Octubre del año pasado Google presentó CodeMender, que utilizando esta misma idea lo había estado usando para analizar y parchear código de proyectos OpenSorce con un Agente AI. Y si veis el proceso en el vídeo siguiente, el modelo es muy, muy, muy similar a lo que tenéis con Pléxicus.

Figura 13: Esquema de funcionamiento de CodeMender

Es decir, el camino del uso de los MM-LLM para buscar vulnerabilidades, para explotarlas, y para parchearlas no es nueva. Hace dos semanas tuvimos la investigación de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" donde con poco más de 2.000 USD se conseguía un 1-Day para Google Chrome que era un 0-day para Cursor, Discord o Slack.

Figura 14: Explotación del CVE-2026-5873 con Claude Code. Horas, tokes y coste

Y es una salvajada poder hacer eso, simplemente con IA. Por supuesto, probando con el 86-DOS del año 1981 buscar los bugs y hacer los exploits en un sistema sin DEP, ASRL, y demás protección de la pila, la memoria y la llamada a funciones, es un juego de niños para la IA, como os conté.

Figura 15: PoC de Exploit para el bug 1

Estaba claro hacía donde vamos, y las capacidades de la IA, así que no nos podemos dormir. Hemos visto en estos dos años cómo ha ido cambiando todo, pero de repente, esto se complica porque...

Y entonces llegó Mythos

Pero claro, ahora llega Mythos, y aumentan la potencia en descubrimiento y explotación de vulnerabilidades, lo que obliga a repensar la estrategia de los CISOs, como se ha publicado en el paper de la Cloud Security Alliance titulado "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".

Figura 16: "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".

Nos encontramos con que desde el descubrimiento de una bug, hasta su explotación, si el CVE está publicado, el tiempo se reduce hasta unas 20 horas, como hemos visto en el ejemplo anterior. Unos tiempos que dejan casi sin margen de maniobra a los equipos de seguridad que tienen que parchear sistemas complejos en la grandes empresas.

Figura 17: Reducción de Time-To-Exploit año a año

Y lo peor, con las capacidades de un modelo como Mythos, el principal problema para los CISOs es que, un atacante con estas capacidades puede encontrar Bugs Complejos, crear Exploits Robustos y Funcionales, y hacerlo no como era hasta hora, donde en bugs complejos necesitaba de un humano que le iba dirigiendo, sino que se hace en 1 Single Prompt.

Figura 18: Exploits con Mythos

Y parece que esto es así, porque si vemos la última actualización de seguridad e Mozilla Firefox - que ha sido auditado por Mythos - el resultado es que han parchado más bugs que en toda su historia, y más que sumados los últimos quince meses. No está mal.

Figura 19: Mozilla Firefox y 432 bugs parcheados tras auditarlo con Mythos

La Gestión después de llegar Mythos

Claro y... ¿cómo lo solucionamos? ¿Cómo lo gestionamos? Esa es la gran pregunta que deben responder los CISOs ante el comité ejecutivo de la empresa, y exige una inversión en la seguridad preventiva y en la fortificación de la plataforma.

Las vulnerabilidades están en los sistemas porque aunque es verdad que el ratio de líneas de código con bugs por volumen de líneas de código se ha reducido drásticamente, el número de líneas de código que tienen las tecnologías que se usan en la empresa hoy en día ha crecido exponencialmente. Y si ahora tenemos con la IA la posibilidad e encontrarlas mucho más rápido, explotarlas en tiempo record, y poder ponerlas en juego todas a la vez, la cosa se pone complicada.

Por supuesto, anticiparse a la auditoría de las vulnerabilidades es fundamental, así que hacer a revisiones de código con LLMs - Mythos o no - cuanto antes, es fundamental. Pero luego estresar los sistemas de defensa perimetral, ya que es mucho más fácil y rápido firmar los ataques externos que parchear un sistema en producción crítico de la organización.

Figura 20: Cloudflare Edge Network

Los equipos de Cloudforce ONE y las protecciones en el WAF de Cloudflare gracias a ser la mayor plataforma en el EDGE de Internet, están detectando del orden de 232 Billones de ataque al día, con actualizaciones constantes cada hora de nuevas explotaciones de vulnerabilidades firmadas, actualizando la plataforma en todo el mundo en tiempos record por debajo del minuto.

Con el objeto de poner lo más difícil posible a un atacante poder explotar una vulnerabilidad existente en uno de los servicios expuestos en la red de cualquier empresa en Cloudflare. Para eso, también se usa la IA para hacer el triage del tráfico de red sospechoso, y para la generación de reglas de firmado y configuraciones de seguridad en los servicios de protección perimetral.

Figura 21:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¿Es esto suficiente? Pues a mí me gusta decir que, en medio de esta tormenta perfecta, las empresas están desplegando modelos de IA embebidos en los servicios digitales que también - surprise, surprise - traen vulnerabilidades como Prompt Injection, Jailbreak, Misalignment, Hallucinations, y si vemos los CVSS de los bugs que salen, los niveles son mucho más altos en media, lo que hace que sea otra de las preocupaciones para los CISOs.

Figura 22: Configuración de Guardarrailes en Workers de Cloudflare

Tener Guardarraíles en el WAF, el RAG, la protección de los API Gateway, el MCP Server y el CASBI, y hacerlo sin caer en ataques de DDoS lógico por el alto costo computacional de ejecutar Guardrails robustos, como os conté en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa". Y hacerlo sin ser un blocker para la transformación al mundo de la IA de la empresa. No ser el blocker malo.

Con todo esto, más vale que si en tu empresa quieras apostar por la IA, comiences a apoyar no solo a tu CIO y tu CTO, sino a tu CISO, que el panorama que se viene por delante es, cuanto menos, muy retador. Ya sabes que en Ciberseguridad, los ahorros pueden salir muy caros.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi primera conferencia en Costa Rica: Congreso de Ciberseguridad - 26 de Mayo.

noreply@blogger.com (Chema Alonso) — Fri, 08 May 2026 04:48:00 +0000

El próximo 26 de Mayo estaré por primera vez en Costa Rica, dando una conferencia en el Congreso de Ciberseguridad: VII Edición de Global Forums, y no quería que pasara más tiempo antes de contároslo, por si te apetece venir a verme, que puedas organizarte.

Figura 1: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

El evento tendrá lugar en San José, y he de decir que tenía muchas ganas de que alguna vez el destino me llevara por allí, porque era uno de los pocos países donde hasta el momento no había tenido la oportunidad de ir y conocerlo, y como no podía ser de otra manera, tener ahora la oportunidad me pone muy contento.

Figura 2: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

El congreso está compuesto por una agenda muy completa, donde se tocarán temas de Seguridad Ofensiva, y Seguridad Defensiva, así como el impacto de la Inteligencia Artificial en la Búsqueda de Vulnerabilidades, en la Explotación de Vulnerabilidades, y en el Parcheo de Vulnerabilidades.

Figura 3: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Si estás en Costa Rica, o en la región, y te interesa profesionalmente el mundo de la Ciberseguridad, en el Congreso de Ciberseguridad: VII Edición de Global Forums vas a tener un día dedicado a hablar ampliamente de estos temas, así que visita la web, revisa la agenda, y regístrate si te convence el tema.

Figura 4: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Si vienes, estará conmigo en mi primera conferencia en Costa Rica, que han tenido que pasar más de 25 años para que se diera, así que no sé cuándo volverá a ser la siguiente ocasión, pero no creo que vaya a ser muy pronto, así que si te apetece, no dejes pasar esta oportunidad.

Figura 5: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Ahí tienes los datos, será en el Hotel Radisson, San José, de 08:00 a 18:00 horas, el proximo 26 de Mayo de 2026, así que tienes poco más de dos semanas para organizarte.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un Hackathon en Barcelona para construir servicios digitales basados en IA Fortificados usando la plataforma en Edge de CLOUDFLARE

noreply@blogger.com (Chema Alonso) — Thu, 07 May 2026 05:21:00 +0000

Esta semana ya sabéis que estoy de eventos, con una agenda muy apretada, pero lo que viene por delante este mismo mes también tengo que ir contándooslo porque todas las semanas de Mayo tengo actividades que os iré contando estos días poco a poco. Hoy le toca al Peer Point de Barcelona que tendremos el 14 de Mayo en Cloudflare.

Figura 1: Un Hackathon en Barcelona para construir servicios digitales basados en IA Fortificados usando la plataforma en Edge de CLOUDFLARE

El evento está centrado en Cómo construir servicios digitales basados en Inteligencia Artificial fortificados sacando el máximo potencial de la plataforma en el Edge de Cloudflare, donde todo está construido con capacidades para construir arquitecturas protegidas en el nuevo ecosistema de ataques.

Figura 2: Cloudflare Peer Point Barcelona 14 de Mayo

De estas capacidades, y de las arquitecturas os hablé en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa", pero con la evolución de innovación en Cloudflare, desde que os escribí el artículo hasta hoy, tenemos muchas herramientas que se verán en esta Hackathon, porque es para técnicos.

Figura 3: Cloudflare Peer Point Barcelona 14 de Mayo

El evento está pensado para CTOs, ITManagers, CISOS, y Software Engineers, así si eres un profesional en el mundo de la tecnología, de los que tiene que construir los sistemas de tu empresa, entonces este es tu evento. Por supuesto, para poder asistir tienes que registrarte lo antes posible.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Aprende (sin coste alguno) cómo usar la IA para transformar la Logística y la Cadena de Suministro en la empresa

noreply@blogger.com (Chema Alonso) — Wed, 06 May 2026 04:36:00 +0000

Una de las preguntas que más me hacen es cómo aplicar la Inteligencia Artificial a los diferentes puestos de trabajo, y es que hay dos tipos de empresas y profesionales, los que están aprendiendo a aplicar la IA en su producción, y los que no. A estos últimos, viendo la productividad que se alcanza con los nuevos modelos de IA les auguro un futuro ciertamente incierto.

Figura 1: Aprende (sin coste alguno) cómo usar la IA para transformar

la Logística y la Cadena de Suministro en la empresa

No se me ocurre ninguna persona que le diría a un amigo, hijo o conocido al que aprecie que no se ponga las pilas con la Inteligencia Artificial. Pero lo cierto es que el campo de aplicación es tan grande, que aprender y conocer cómo hacerlo concretamente en determinados puestos de trabajo exige una especialización concreta.

FORO: Usos de la IA para transformar la logística y la cadena de suministro en las empresas

En la UNIR estamos trabajando en verticalizar la aplicación de la IA en los diferentes sectores profesionales. Está muy bien que yo me especialice en cómo usar la parte de ciberseguridad, pentesting o hacking, pero un profesional de Logística de hoy en día necesita aprender a cómo utilizarla en la gestión de sus transportes, proveedores, y optimización de procesos de su trabajo.

Figura 2: Aprende cómo usar la IA para transformar

la Logística y la Cadena de Suministro en la empresa

Por eso hemos trabajado con profesionales de los diferentes sectores para hacer los FOROS UNIR gratuitos para todos, donde poder asomarse a cómo los profesionales, en este caso de la Logística y la gestión de la Cadena de Suministro están aplicando la IA en las empresas.

Figura 3: Ponentes del FORO "Usos de la IA para transformar la

logística y la cadena de suministro en las empresas"

El próximo foro, titulado: "Usos de la IA para transformar la logística y la cadena de suministro en las empresas" será el próximo día 19 de Mayo por la tarde (a las 17:00 horas de España), totalmente gratuito, y contará con profesionales que hablarán justamente de esto.

Figura 4: Horarios en España y América

Si estás trabajando en sector logístico, o en la gestión de la cadena de suministro de tu empresa, o quieres dedicarte profesionalmente a este mundo, donde tenemos a profesionales de éste mundo profesional que compartirán cómo están utilizando la Inteligencia Artificial en sus procesos.

Figura 5: Apúntate gratis al FORO "Usos de la IA para transformar la

logística y la cadena de suministro en las empresas"

Al final, esta es una oportunidad para conectarse desde casa o el trabajo, y en una hora ponerse al día con uno de los temas que más preocupan hoy profesionalmente, como es el uso de la Inteligencia Artificial en la transformación de los procesos de todas las organizaciones. No desaproveches la oportunidad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El Captcha Cognitivo de TikTok al estilo de "The Secret of the Monkey Island" que resuelve la Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Tue, 05 May 2026 04:23:00 +0000

Este puente lo he dedicado en soledad a hacer muchos proyectos personales que tenía atrasados. También a ponerme al día con mis series, deporte, libros, y preparar las presentaciones de los eventos en los que voy a participar esta semana. Además, he aprovechado a recuperar horas de sueño, así que ha sido uno de esos puentes que necesitas de vez en cuando para despegar la mente y el cuerpo... pero por el camino, se me cruzaron un perro y un cactus en unos Captchas Cognitivos, así que tuve que detener todo para ocuparme de ellos.

Figura 1: El Captcha Cognitivo de TikTok al estilo de

"The Secret of the Monkey Island"

que resuelve la Inteligencia Artificial

Este ese el Captcha Cognitivo que utiliza TikTok para evitar que usuarios no autenticados en la plataforma puedan acceder a los vídeos publicados en la plataforma a través del cliente web. Supongo que para evitar que los Agentes AI estén llevándose el contenido o vigilando a los usuarios. Ya sabéis, TikTok es una gran fuente OSINT para investigar personas e identidades en Internet.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Pero para mí, era un nuevo pasatiempo, porque es de un tipo de Captcha que aún no había visto. Así que había que jugar con él un rato para que engrosara la lista de los Captchas Cognitivos con los que he ido jugando y que tenéis publicados en estos artículos.

Al final, resolver Captchas Cogntivos es algo que en el mundo del Crimeware as a Service está bastante industrializado, y que si estás haciendo scripts de Hacking & Pentesting con IA, debes tenerlo más que presente, por lo que siempre que me encuentro con uno, juego hasta que veo cómo se puede resolver y automatizar usando Inteligencia Artificial.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

En este caso, el Captcha Cognitivo está formado por dos una imagen que está dividida en dos círculos que debes alinear para formar una imagen. Vamos, si has jugado a "The Secret of Monkey Island" original seguro que recuerdas "La rueda marcapiratas" que había que girar para que se alinearan las caras que te pedían en el juego. If you know, you know.

Figura 4: La rueda marca piratas de The Secret of Monkey Island

En este caso mirando cómo funciona el sistema, se puede ver que cuando mueves la barra horizontal gira la imagen interior y la imagen exterior hasta encontrarse. Lo puedes probar entrando en mi perfil de TikTok sin autenticarte en la plataforma y te saldrá.

Figura 5: El captcha de la rueda con el perrinchi

Cuando mueves la barra horizontal gira la imagen interior hasta un máximo de180 grados en el sentido de las agujas del reloj mientras que la imagen exterior se mueve también hasta un máximo de 180 grados en sentido contrario.

Figura 6: Las dos imágenes giran 180 grados

a lo largo del desplazamiento de la barra

Con esto en mente se me ocurrió que la solución sería fácil, bastaría con pedirle a Gemini que me dijera cuántos grados hay que girar la de dentro para alinearlas, dividir entre dos para quitar el efecto del giro contrario ya que las imágenes se encontrarían a mitad del camino de la alineación.

Figura 7: La solución buscada (esto lo hice yo manualmente)

Para completar la resolución, que después ese ángulo lo convirtiera en un porcentaje del total máximo de giro - que son 180 grados -, para así hacer un porcentaje de desplazamiento de la barra.

Figura 8: Petición a Gemini para resolver el Captcha Cognitivo

Y bueno, lo hizo bien con los cálculos, como podéis ver a continuación, donde dice que hay que mover como a la mitad la barra de desplazamiento para alinear las imágenes.

Figura 9: Cálculos realizados por Gemini.

Nota: Se ha dado cuenta de que es un CAPTCHA.

Eso sí, cuando le pedí que me hiciera la imagen de cómo debe quedar, se ve que el perro lo ha puesto como un señor en lugar de alinear las imágenes - me eché unas buenas risas cuando vi al perrinchi todo chulo mirándome como un señor -, además que en la solución real se necesitaba la barra un poco desplazada.

Figura 10: La solución de Nano Banana es genial.

Así que lo quise ajustar un poco con otro ejemplo, en este caso con un cactus, que como podéis ver mantiene la misma estructura y límites de giro, lo que permite automatizarlo como estaba contando antes con el perro.

Figura 11: Vamos con el cactus

En este caso, le di alguna explicación más de cómo quería que configurase la barra de desplazamiento, y de cómo debía hacer el cálculo de los ángulos, que quería ver si lo dejaba funcional.

Figura 12: El prompt más especificado

Lo de pintar la imagen resultante con Nano Banana solo es para publicarlo en este artículo puesto que para automatizarlo lo único que se necesita es el porcentaje de desplazamiento para que lo haga el Agentic AI, pero quería ver cómo quedaba.

Figura 13: Los cálculos de Gemini para resolver el Captcha

En este caso queda más aproximado con la ubicación del botón - me ha pintado hasta la regla como le he pedido -, y con esto se resolvería el Captcha Cognitivo, aunque de nuevo vuelve a hacer la imagen como le place, totalmente inventada. Debería darle más explicaciones, está claro.

Figura 14: A la izquierda la resolución manual.

A la derecha la resolución por Gemini.

(Importa solo la posición de la barra)

Lo cierto es que me pasé el rato jugando con este Captcha Cognitivo de Tiktok visual, pero como tiene una versión para resolver con audio, esto es más sencillo aún. Aquí tenéis el vídeo que grabé para el artículo de hoy.

Figura 15: El Captcha Cognitivo Auditivo de Tiktok

Como sabéis, este truco ya lo habíamos utilizado en el pasado para resolver con Cogntive Services el ReCaptcha v2 de Google, hace mucho tiempo, así que aquí la idea era hacer lo mismo con Gemini.

Figura 16: Captcha Auditivo de TikTok en Gemini

Extraído el audio, y subido a Gemini, le pido que me diga lo que se escucha allí, y como podéis ver son sólo una secuencia de letras, así que bastante sencillo.

Figura 17:Captcha Auditivo de TikTok en Gemini Resuelto

Como os decía, empieza a ser más fácil resolver los Captchas Cognitivos con Inteligencia Artificial que siendo humano, así que vamos a tener que aprender nuevos juegos para resolver este problema. ¿Cuál?

Figura 18:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Reuniones Presenciales en MyPublicInbox

noreply@blogger.com (Chema Alonso) — Mon, 04 May 2026 05:01:00 +0000

Una de las cosas que nos pedían era la oportunidad de poder configurar y solicitar una reunión presencial con alguien, para poder tener una propuesta comercial, conocerse, u algún otro motivo. De momento hemos metido la opción en la plataforma, por lo que si eres un Perfil Público ya lo puedes configurar. Y, por supuesto, como primer beta-tester estaré yo, así que lo he configurado ya en mi perfil público de MyPublicInbox.

Figura 1: Reuniones Presenciales en MyPublicInbox

Si quieres tener una reunión presencial conmigo, puedes reservarlo ya. Todos los perfiles públicos tenemos la opción de rechazar la propuesta, así que no es una garantía de que vamos a tener la reunión, pero al menos vamos a testear el servicio en tiempo real.

Figura 2: Tener una reunión presencial con Chema Alonso

Si eres un Perfil Público y quieres probar el servicio, puedes configurarlo en el Módulo de Reuniones. Ahora, en la parte de Configurar Reuniones tienes la posibilidad de configurar el tipo de reuniones que te interesan, el coste por tu tiempo en Tempos que estableces, y los lugares donde estás dispuesto a tener esas reuniones.

Figura 3: Configurar las opciones para tus Reuniones Presenciales

Yo he configurado, al final, cualquier sitio, porque como me muevo mucho por eventos y conferencias, puedo tenerla siempre que visite una ciudad para una charla o una actividad, así que es una buena forma de abrirme a los demás.

Figura 4: Configurar Lugar, Fecha y Hora. Si has trabajado en

Informática 64, ya sabes dónde está el "Chino de Móstoles"

Después, cuando se solicita, se puede negociar la hora y el sitio exacto a través de la plataforma, con lo que se puede coordinar un punto exacto, una hora y una ciudad. Así que, ya lo puedes configurar en tu perfil y ya puedes usarlo en el mío - si quieres reunirte en persona conmigo -.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Apoya a tu CON-Munidad y a sus Fundadores. Ahora toca la Hackr0n el 15 de Mayo.

noreply@blogger.com (Chema Alonso) — Sun, 03 May 2026 05:01:00 +0000

Este 15 de Mayo tiene lugar la Hackr0n en Santa Cruz de Tenerife. Lo vi, y me acordé de Igor Lukic, de todos los años de trabajo impulsando sus queridas Islas Canarias. Me acordé de los años que lleva peleando por tener una CON de primer nivel mundial en Santa Cruz de Tenerife, para aglutinar al sector tecnológico de las maravillosas Islas Canarias, para que los jóvenes tengan acceso a los mejores ponentes, y para que exista un foro que permita impulsar a los profesionales canarios.

Figura 1: Apoya a tu CON-Munidad y a sus Fundadores.

Ahora toca la Hackr0n el 15 de Mayo.

Pensé en lo afortunados que son todos aquellos que viven en alguna región donde un loco, o varios locos, deciden meterse en el trabajo ingente que es hacer una CON. No, no se hacen ricos. No es un camino fácil. No hay grandes patrocinadores. No es un gran negocio de venta de entradas. De hecho, saldar los gastos suele ser algo que cuesta conseguir en todas esas CON pequeñas, donde viajes, hoteles, promoción, cartelería, auditorios, impuestos, etcétera, hace que estos locos fundadores pioneros se dejen mucha vida en conseguir su locura: "Que mi ciudad tenga una CON de primer nivel mundial".

Figura 2: Hackron "Invaders must die" en Santa Cruz de Tenerife

Cuando yo era joven, esto aún no existía, y conseguir aprender cosas de los mejores era muy difícil. Esto nos hacía perores profesionales. Nos obligaba a salir al mundo con menos conocimientos. Hoy, por suerte, con Internet y con las CONs hay muchas más posibilidades de acceder a ese conocimiento, pero las CONs te dan mucho más.

Hacen que las empresas locales tengan visibilidad, esas empresas en tu ciudad donde si no quieres tener que emigrar para tener un buen trabajo debes encontrar trabajo. Así que les debe ir bien a las empresas locales para que tengas más oportunidades.

Las CONs dan siempre visibilidad al talento local. Jóvenes que aparece en sus primeras charlas como carta de presentación de su futuro profesional. Un trampolín para ellos.

Las CONs locales son un lugar para coordinar personas, profesionales, empresas, para estar unidos ante situaciones que puedan surgir, como la construcción de proyectos internacionales con financiación Europea que necesitan de la colaboración de un gran ecosistema.

Pero es que también son un lugar de aprendizaje con las conexiones inesperadas que surgen en los cafés con los asistentes. Personas que anónimas que yo he ido conociendo a lo largo de mis 25 años de dar conferencias y que me han enriquecido. Que he hecho proyectos con ellos. Que me han enseñado, guiado y hecho ser mejor profesional.

Las CONs son un lugar para que encuentres trabajo, socios, proyectos de emprendimiento, ideas, amigos, un lugar de pertenencia donde los más veteranos te pueden dar experiencia, consejos, ideas o apoyo en tu vida profesional.

El círculo virtuoso de las economías crecientes se basa en la existencia de un ecosistema, y las CONs son una pieza fundamental en el ecosistema tecnológico de ciberseguridad en cada ciudad o región donde están. Ir a una CON es apoyarte a ti. Es hacer que tu carrera profesional esté mejor valorada, que tenga más oportunidades, y que tenga más progresión en tu ciudad o tu región.

Esa CON pequeña donde van 100 o 200 personas tiene un valor incalculable para la región. La administración, las empresas y los profesionales deben volcarse en ella. Apoyar a esos locos como Igor Lukic - por ser la CON más reciente que tenemos ahora - a que crezca. A que sea un punto de atracción nacional o mundial. A que cada año tenga más fuerza y sea más grande.

Figura 3: Igor Lukic, organizador y fundador de Hackron

Y puedes colaborar de muchas formas. Yendo, por supuesto como asistente, pero también colaborando como voluntario, difundiendo que en tu ciudad hay una CON - siéntete orgulloso de eso y promociónalo en todas las redes sociales - comparte que vas a asistir, invita a gente a que vaya. Si eres un profesional, intenta dar una conferencia o un curso, haz un taller, u ofrécete para hacer cobertura del trabajo en tu blog, en tu canal de Youtube o TikTok de lo que allí pasa.

Figura 4: 60 € tu entrada. Y si quieres estar con los los ponentes,

y en las core de la CON puedes estar con una entrada VIP.

Suscríbete a los canales de tu CON, haz que su X, Instagram, Linkedin o Youtube sea grande. Ofrécete a colaborar. Si eres una empresa de la región de tecnología, y no estás allí, mal. Si no apoyas a la CON de tu ciudad mal. Manda a tus empleados a la CON. Y si eres un medio de comunicación de la región y no sacas la CON con orgullo, mal para ti también. Si el ecosistema crece, beneficia a todos. Jovenes bien formados implican nuevas empresas, nuevas empresas implican menor paro, más oportunidades, y una economía más floreciente.

Figura 5: Canjear un código del 20% en MyPublicInbox de

6 € por 300 Tempos. Así que si tienes Tempos, aprovéchalos.

Y por supuesto, la Administración Pública también debería ser un motor de crecimiento de las CONs, especialmente con la llegada de la disrupción laboral que estamos viendo en las empresas con la llegada masiva de la IA. Así que todos a una.

Yo estuve en los inicios de la RootedCON en Madrid - anteriormente a eso hacía mis eventos por España con la Gira Up To Secure - y desde el día uno les dije que podían contar con mi espada. Mientras la RootedCON se haga en Madrid, yo estaré el primero apoyando ahí con mi presencia, dando mi charla y promocionándola por todo el mundo. La siento como mi casa, y hacer que la CON de Madrid (y de España) sea grande, sé que es bueno para todos.

Figura 6: Contactar con la organización de Hackron

Así que todos los que estéis en las Islas Canarias, o seáis canarios, deberíais hacer que la Hackr0n sea un emblema que importe profesionales, asistentes y ponentes por la fuerza que ha traído, que las empresas que están allí hagan proyectos grandes por todo el mundo, y que nuestra profesión sea un foco de riqueza en la región. Si no tienes tu entrada de la Hackr0n ya, cómpralo, y apoyemos a Igor Lukic - y a todos los fundadores de las CONs en sus regiones - para que no se cansen, y sigan metiéndose en el lío que es hacer una CON de hackers. Esos locos son los que cambian las cosas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mind-Refactoring para Ejecutivos, Ingenieros y Técnicos: La gestión del MIEDO a ser reemplazado por la Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Sat, 02 May 2026 05:01:00 +0000

Si eres un/a profesional que estás en la fase de ansiedad por la irrupción de la Inteligencia Artificial entonces esto es para ti. Si no es tu caso, seguramente conozcas a alguien que esté pasando por esto, ¿verdad? Hoy en día es una "plaga". Pero déjame que me presente primero. Me llamo Mónica Manrique, y a pesar de haberme licenciado como Psicóloga del Trabajo y las Organizaciones pronto dejé los recursos humanos y abrí mi propia consulta clínica. Estoy colegiada y habilitada como Psicóloga General Sanitaria, actividad que compagino siendo formadora y divulgadora. Y por si entiendes un poco de este mundo nuestros, yo utilizo dos metodologías terapéuticas no patológizantes, como son la Terapia Breve Estratégica y la Terapia de Familia Interna (IFS).

Figura 1: Mind-Refactoring para Ejecutivos, Ingenieros y Técnicos.

La gestión del MIEDO a ser reemplazado por la Inteligencia Artificial

Durante todo este tiempo me he seguido formando y he tenido acceso a cientos de ventanas - una por paciente - a diferentes empresas e instituciones. Siempre con la sensación de que el cambio y la incertidumbre han ido cada vez a más, pero ahora ese cambio se antoja exponencial y la incertidumbre ha dado paso al vértigo o la negación, algo que está siendo una avalancha en cada una de las "ventanas" a las que me asomo en mi profesión.

Ya que os contado algo de mi formación y mi profesión, dejadme que os cuente por qué mi interés en la parte tecnológica y los profesionales que trabajan cerca de ella, que si no, no estaría escribiendo esto aquí. Y es que tengo tres hijas con un Ingeniero Informático con un Máster en Inteligencia Artificial. Además, durante más de una década, cada vez que Richard Stallman pasaba por Madrid se quedaba en mi casa. La historia de por qué y las anécdotas que os podría contar dan para otro post.

Figura 2: Hola, soy Mónica Manrique

Hoy solo contaros que, hace un tiempo, me encontré comiendo con Richard Stallman, Chema Alonso y Takanori Shibata (y su robot Paro y su traductor). Me hacía gracia pensar en cómo un lunes cualquiera, sin haberlo planeado, me encontraba en esa situación. Bueno, la psicología marida bien con todo, pensé. A fin de cuentas, el software, la inteligencia artificial, la robótica, etcétera, todo está hecho por y para seres humanos.

Ya por aquel entonces me chirriaba la enorme cantidad de recursos invertidos en la inteligencia artificial y la falta de ellos en el fomento de la inteligencia emocional y la salud mental en general. Poniendo en relación ambos términos pienso que como especie hemos mordido más de lo que podemos masticar.

Centrándonos en el "Ahora" del sector tecnológico

En los últimos tiempos, tanto en consulta como fuera de ella, estoy viendo como las personas de un perfil profesional técnico y tecnológico estáis atravesando tiempos complicados que están poniendo en jaque vuestra salud mental, y el equilibrio tan necesario para el desempeño de vuestro trabajo. Y parece que no son solo un percepción sesgada por la alta conexión con el mundo tecnológico que tengo. Las investigaciones más recientes (2024-2026) muestran que el perfil tecnológico, antes considerado "invulnerable", está atravesando una etapa de profundo cambio.

Aunque el mercado se había estabilizado tras los despidos masivos de 2024, han surgido nuevos temores vinculados a la identidad profesional y la salud mental. Basándome en informes de la American Psychological Association (APA), el World Economic Forum 2025 y barómetros sectoriales de 2026, estos son los principales miedos detectados en los profesionales del sector tecnológico:

1. El Miedo a la "Invisibilidad" y a ser sustituido por IA

A diferencia de años anteriores donde el miedo era la automatización total, la preocupación actual es más sutil pero sigue preocupando por:

La devaluación de sus habilidades: 40% de los trabajadores teme que la IA haga que sus habilidades actuales sean irrelevantes.

La barrera del "Junior": existe un miedo real entre quienes comienzan; las empresas están automatizando tareas de nivel entrada, lo que dificulta que los perfiles noveles ganen la experiencia necesaria para ascender. El 46% de los trabajadores cree que los puestos de nivel inicial podrían reducirse en los próximos tres años como consecuencia del avance de la IA.

Manteniéndose el miedo al reemplazo: una encuesta de BCG revela que aproximadamente el 49% de quienes usan herramientas de IA expresan preocupación por el posible desplazamiento laboral en la próxima década.

2. Miedo a la obsolescencia de habilidades.

El ritmo de actualización exigido es ahora una fuente primaria de estrés. La situación actual de los profesionales del sector tecnológico se la explica muy bien La Reina Roja a "Alicia en a través del espejo", de Lewis Carroll: "Aquí, como ves, hace falta correr todo cuanto una pueda para permanecer en el mismo sitio. Si se quiere llegar a otra parte hay que correr por lo menos dos veces más rápido".

Investigaciones de 2025 indican que el 39% de las competencias básicas de un trabajador tecnológico cambiarán para 2030. Esto genera un miedo constante a no poder seguir el ritmo de aprendizaje mientras se mantiene la productividad.

El 62% de los trabajadores afirma haber experimentado más cambios en el trabajo en el último año que en los 12 meses previos, y el 44% no comprende el propósito de los cambios que están teniendo lugar.

En ciberseguridad, por ejemplo, el 95% de los profesionales reportaron al menos una necesidad dehabilidades, y el 59% identificó necesidades críticas o significativas, un aumento del 15% respecto a 2024. El 48% se siente agotado por intentar mantenerse al día con las últimas amenazas de ciberseguridad y tecnologías emergentes, y el 47% dice sentirse abrumado por su carga de trabajo.

3. Crisis de Salud Mental

El perfil tecnológico presenta hoy un riesgo de depresión hasta 5 veces mayor que otros sectores, según estudios de marzo de 2026. Otros riesgos y problemáticas relevantes son:

Fatiga de ciberseguridad: en perfiles de infraestructura y seguridad, el miedo al "error catastrófico" bajo vigilancia constante ha derivado en lo que los investigadores llaman burnout por alerta. En este ámbito la situación es especialmente grave: los trabajadores perdieron 4,8 horas por semana a causa del estrés y el agotamiento en 2025, un incremento de más del 25% respecto a 2024.

El Síndrome del Impostor 2.0: Al trabajar con sistemas cada vez más complejos, aumenta la percepción de "no saber lo suficiente", a pesar de tener años de experiencia.

Deshumanización del rol: Con la IA generativa, muchos sienten que han pasado de ser "creadores de soluciones" a ser "apéndices de un modelo de lenguaje", lo que reduce el sentido de autoeficiencia y desemboca en una crisis de identidad profesional.

Aislamiento en el trabajo remoto: La falta de conexión orgánica con equipos genera una pérdida de soporte social, esencial para la regulación emocional.

Obsolescencia acelerada: El sentimiento de que sus conocimientos caducan cada 6 meses. Esto genera una vigilancia cognitiva constante.

Sobrecarga cognitiva: La multitarea técnica y el cambio de contexto (context switching) agotan las funciones ejecutivas.

Burnout: Según estudios de ISACA (2025), el 73% de los profesionales IT en Europa sufren burnout. Cultura de disponibilidad total: El modelo de "siempre conectado" ha derivado en una erosión del descanso, incrementando síntomas de ansiedad y depresión.

4. Mind-Refactoring

Haciendo un esfuerzo por hablar vuestro idioma, podría decir que para solucionar un bug en producción, no basta con reiniciar el servidor. Hay que hacer un refactoring del código. Por eso con mis "ventanas", trabajo con cada uno de ellos en con un programa concreto de Mind-Refactoring no es una terapia de "charla vacía"; es una intervención estratégica personalizada, estructurada en ocho sesiones online con frecuencia semanal y con pequeñas tareas entre sesiones centrada en la especial situación que están viviendo las personas que desarrollan su actividad profesional y se ven afectadas por estos síntomas que os he descrito anteriormente.

Figura 3: Programa de Mind-Refactoring

Ten presente que sólo se trata de una propuesta genérica orientativa. Cada persona tenemos nuestro contexto específico y nuestros propios objetivos, así que como cada uno debo establecer un ritmo propio personal, así como el grado de profundidad al que está dispuesto a llegar en su auto-conocimiento y cambios a realizar. En este programa tú mandas y todo lo que digas en consulta será utilizado a tu favor. Yo estaré a tu lado guiando y facilitándote el proceso.

Figura 4: Metodología de trabajo

Como ya he dicho utilizo un a metodología que se aleja de las etiquetas diagnósticas y se centra en las soluciones:

IFS (Internal Family Systems): Para entender la arquitectura de tus “partes internas” (por ejemplo, el "Manager" perfeccionista y crítico) o el "Bombero, apaga fuegos" que evade con alcohol, porno, atracones, ira desmesurada,etc.).

TBE (Terapia Breve Estratégica): Para romper los bucles de conducta disfuncionales mediante soluciones que hackean la percepción del problema y potencian las conductas, actitudes y enfoques que te acercan más a tus objetivos.

La Hoja de Ruta (Roadmap) del programa Mind-Refactoring:

Reconfigurar la arquitectura interna de una persona para conseguir acciones que lleven a una ejecución estratégica lo hacemos juntos integrando las partes del sistema interno (IFS) con la eficacia de la acción estratégica (TBE). Y para eso, trabajamos en un Project Plan similar al que se usa en el mundo tecnológico.

Figura 5: Programa Mind-Refactoring

Fase I: Auditoría del Sistema y Detección de Fallos

Identificación de "Bugs" Conductuales (TBE): Análisis de las soluciones intentadas disfuncionales que mantienen el problema (ej: la sobre-preparación que alimenta el Síndrome del Impostor, perfeccionismo que termina por bloquear).

Mapeo de la Arquitectura Interna (IFS): Identificación de las partes internas protectoras (el "Manager" perfeccionista, el "Bombero" que busca evasión) que se activan bajo presión. Sin olvidarnos de los exiliados (la raíz). Son las “partes” mas jóvenes y vulnerables. Cargan con el trauma el rechazo o la vergüenza. Los tenemos escondidos en el sótano para no sentir dolor.

Establecimiento de KPIs de Bienestar: Definición de objetivos de cambio medibles en la conducta externa.

Fase II: Refactorización y Debugging

Intervención en el Bucle (TBE): Prescripciones estratégicas para romper círculos viciosos. Reparación de Partes Exiliadas (IFS): Trabajo profundo con las vulnerabilidades que generan reactividad emocional.

Optimización de la Respuesta Externa: Entrenamiento en comunicación estratégica y toma de decisiones.

Fase III: Evaluación del proceso en función de los objetivos y cierre, o no.

Chequeo de los objetivos: alcanzados, no alcanzados y en proceso.

Conclusiones: Recapitulación y afianzamiento de cambios.

Iteración personal: Cierre del proceso psicoterapéutico o establecimiento de nuevos objetivos.

Conclusión:

Si cuidas tus claves PGP, auditas tus servidores y no instalas dependencias sospechosas, no deberías dejar tu salud mental sin fortificar y mantener. Si eres de los que están sufriendo esos síntomas, y no lo estás pasando bien, si estás detectando alertas en tu log del sistema, no estás sólo. No te está pasando sólo a ti, y si necesitas un poco de ayuda y asesoramiento, abre un "ticket". No esperes al Kernel Panic.

El desarrollo personal y el profesional son inseparables, y tú necesitas estar bien para rendir en tu trabajo, así que no entres en un círculo negativo. Si te interesa invertir en salud mental, rendimiento y bienestar y piensas que mi experiencia y mi trabajo te puede ayudar, puedes saber más sobre mí y conocer más en profundidad cómo trabajamos juntos en mi web.

Figura 6: Web de Mónica Manrique: Psicóloga & Psicoterápia

El tiempo que tengo es finito, pero trabajamos juntos de manera personal sin hacer derivaciones a otros miembros de mi equipo (porque no existen) así que mi tiempo es limitado. Si piensas que yo puedo ayudare, te prometo que intentaré hacerte un hueco con el tiempo que tenga, que soy muy sensible a esta situación que están viviendo los profesionales de este sector, grandes directivos, managers de ingenieros, y técnicos seniors, de gran valía a los que ha costado mucho esfuerzo de formación desarrollar su carrera.

Autora: Monica Manrique

Contactar con Monica Manrique

Charla en Futurenet World & Entrevista En Casa de Herrero

noreply@blogger.com (Chema Alonso) — Fri, 01 May 2026 05:01:00 +0000

Hoy es día 1 de Mayo, el día internacional del trabajador. Y yo sigo mi costumbre de ocuparme de publicar todos los días, así que hoy no iba a faltar el post. Eso sí, para hoy estuve ayer subiendo algunos vídeos que tenía pendientes de almacenar en mi Canal de Youtube, así que hoy sólo os aviso de ello, y os los dejo por aquí.

Figura 1: Charla en Futurenet World

& Entrevista En Casa de Herrero

El primero de ellos es la entrevista que me hizo mi querido Luis Herrero, que en poco más de veinte minutos, a toda pastilla, grabamos un conversación sobre todos los temas que de actualidad personal, profesional y sobre el mundo de la Inteligencia Artificial.

Figura 2: Entrevista de Luis Herrero a Chema Alonso

El segundo de ellos es la última conferencia que di en Londres. También de poco más de veinte minutos en la que hice un pequeño resumen de las charlas que doy yo sobre Hacking e Inteligencia Artificial, eso sí, en inglés cono mi acento de "Spaniard".

Figura 3: Chema Alonso at Futurenet World 2026

Y poco más, que hoy es día de fiesta para todos, y yo pienso, por lo menos, leer el libro que acabo de comenzar de "En la Arena Estelar".

PD; Como bonus track he subido también, que la tenía que cortar, la charla que impartí en el MWC 2025, que la tengo mucho cariño. Por si quieres verla también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Bug Hunting and Vibe-Exploiting en 86-DOS "High-performance operating system for the 8086" version 1.00 del 04/28/81

noreply@blogger.com (Chema Alonso) — Thu, 30 Apr 2026 04:18:00 +0000

Hace un par de días, coincidiendo con el 45 aniversario de su creación, Tim Paterson ha puesto en GitHub el código fuente en abierto de varias versiones de nuestro querido DOS, para que los amantes del retro-computing puedan analizarlo, utilizarlo, mejorarlo, o construir cosas nuevas. Entre ellas está el código del 86-DOS "High-performance operating system for the 8086" version 1.00 del 04/28/81, una joya. Quiero agradecer a Tim Paterson que haya compartido esta maravilla de nuestra historia para poder estudiarlo, quererlo y seguir dándole continuidad.

Figura 1: Bug Hunting and Vibe-Exploiting en 86-DOS

"High-performance operating system for the 8086"

version 1.00 del 04/28/81

La gracia del mundo en que vivimos hoy en día, es que, gracias a la irrupción de la Inteligencia Artificial, se puede hacer Bug Hunting para encontrar bugs y explotarlos simplemente pidiéndole esto al modelo. De esto os hablé en el artículo de "Cómo usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source", que os invito a leer, así como compraros el libro de "Bug Hunter" (hoy lo tienes con descuento aún).

Figura 2:"Bug Hunter" escrito por David Padilla en 0xWord

Como oso podéis imaginar, como puro entretenimiento, y experimento, le pedí a Gemini Thinking que analizara el código de la versión 86-DOS publicada en GitHub, para ver qué vulnerabilities podía encontrar y de eso va este artículo de hoy.

Figura 3: Código fuente en ASM de 80-DOS_1.00

El resultado tras pasarle el código es que Gemini ha reportado 6 Bugs en el código Ensambalador (ASM) de esta versión 86-DOS, que os paso a dejar por aquí. Y mola mucho lo bien explicados que están cada uno de ellos.

Figura 4: Arbitrary Memory Overwrite

Además, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" hoy en día es posible utilizar también a los modelos de IA para la fase de creación del exploit, así que le he pedido que me haga una PoC de cómo explotar cada uno de ellos. Así que le he pedido un poco de Vibe-Exploiting.

Figura 5: PoC de Exploit para el bug 1

Por supuesto, en esta versión de DOS no hay DEP, ASLR o Privilegios de CPU, que tienen los sistemas operativos Windows hoy en día - Máxima Seguridad en Windows lo explica perfectamente - pero es que aún faltaban muchos hackers haciendo exploits de Smashing the Stack, y por supuesto las vulnerabilidades como Spectre, Meltdown o GhostRace a bajo nivel.

Figura 6: Information Leakage en el nombre de un fichero a copiar

Explotar estas vulnerabilidades es bastante sencillo sin tener que conseguir evitar las protecciones de hoy en día, así que este Information Leakage se basa en poner nombres largos y ver qué datos de la memoria se consiguen, como vemos aquí.

Figura 7: Explotación del bug #2

En total, como os he dicho son seis, y cada uno de ellos es distinto, lo que hace aún más bonito este ejercicio teórico, ya que de todos ellos se aprende algo diferente.

Figura 8: Missing Directory Entry Validation

En este caso no nos ha hecho el exploit, porque lo que hay que hacer es una explotación modificando los bytes del disco a bajo nivel, con un editor hexadecimal sin pasar por las herramientas de gestión de ficheros el sistema operativo.

Figura 9: Explotación del bug #4

El siguiente es un ejemplo de cómo hay direcciones importantes del sistema operativo que pueden ser sobrescritas para tomar el control del flujo de ejecución del sistema operativo.

Figura 10: Lack of Interrupt Vector Protection

Esto es un fallo que permite a un malware tomar control de esas direcciones de memoria y ejecutar un software malicioso, como un rootkit que troyanice todo el sistema operativo. Esto es por lo que se crearon los sistemas de arranque seguros con los TPM (Trusted Platform Modules).

Figura 11: Explotación con secuestro de interrupcion

El penúltimo de los bugs reportados es la posibilidad de poder corromper el sistema de archivos FAT de un disco con un puntero a un cluster malicioso, como se explica en la imagen siguiente.

Figura 12: Fat Corruption via Malicious Cluster Pointer

Y para explotarlo, aquí tienes un ejemplo en forma de snippet de código para meter dentro de un programa que lo ejecute y corrompa la FAT.

Figura 13: Snippet de código para explotarlo

Y la última vulnerabilidad es un bug que permite una Denegación de Servicio (DoS) que puede crashear el sistema operativo y obligar al reinicio de la máquina.

Figura 14: Stack Exhaustion

El problema es la gestión de la pila (stack) del sistema y para meter un puntero a la base de la pila que genera una re-escritura de los registros y colapsa cuando intenta volver de la llamada, porque está sobre-escrita la dirección de retorno.

Figura 15: Exploit genera un bucle con la INT 21h

El uso de buscar vulnerabilidades con IA es algo de lo que ya os hablé en el libro de Hacking y Pentesting con Inteligencia Artificial, y por supuesto es parte fundamental del trabajo de Bug Hunter que David Padilla ha publicado.

Figura 16: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

7 y 8 de Mayo: Tres eventos en Madrid sobre Cloudflare, Ciberseguridad, IA, Hacking con IA y Hack Royale

noreply@blogger.com (Chema Alonso) — Wed, 29 Apr 2026 05:01:00 +0000

A finales de la semana que viene pasaré por Madrid. Será un viaje relámpago que me he comprimido con muchas actividades, que tendrán que ver con comidas, cenas, galas, conferencias, eventos, entrevistas y reuniones. Vamos, que va ser pisar Madrid y correr de un lado a otro, pero... qué bonito es volver siempre a mi ciudad. Dicho esto, os paso un par de eventos que voy a tener el día 7 de Mayo, ambos por la mañana, así que iré de uno a otro. Más otro que haré al día siguiente.

Figura 1: 7 y 8 de Mayo: Tres eventos en Madrid sobre Cloudflare,

Ciberseguridad, IA, Hacking con IA y Hack Royale

El primero será, como os he dicho, el día 7 de Mayo en la Digitaliza Week de la Comunidad de Madrid, donde temeos un evento con ponentes de Cloudflare, Mistral, y un montón de emprendedores y empresas tecnológicas.

Figura 2: Digitaliza Week en Madrid

Entre ellos Miguel Rego, David Hurtado, Carlos Luengo y yo estaremos por allí, así que si te pilla bien, no te lo puedes perder, que seguro que nos vemos un rato para hablar de hacer cosas con Inteligencia Artificial. Ya sabes.

Figura 3: Digitaliza Week en Madrid con

Miguel Rego, David Hurtado, Carlos Luengo,

Pero debes venir a primera hora si me quieres ver, porque yo me voy pronto después de mi charla, que me esperan en el ISMS Forum en el XV Foro de la Ciberseguridad donde estaré con Roberto Baratta, Sergio Padilla, Rafa Sánchez, Carlos Manchado, y un sinfín de amigos y grandes profesionales para hablar de Ciberseguridad sobre todas las cosas.

Figura 4: XV Foro de la Ciberseguridad del ISMS Forum

En esta ocasión, yo estaré en el track de Cyber Security Trends, donde me han pedido que hable de Mythos y el uso de Inteligencia Artificial para buscar vulnerabilidades y explotarlas en el código fuente, algo que, Mythos mediante o ausente ya es un problema, o una herramienta de solución.

Figura 5: Mi charla en el XV Foro de la Ciberseguridad

De todo esto ya hablé en el libro de Hacking y Pentesting con Inteligencia Artificial, así que será una ampliación y actualización, además de contar alguna cosa extra que desde Cloudflare hemos estado cerca de Mythos.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Aún así, la lista de temas que se van a tratar en el XV Foro de la Ciberseguridad del ISMS Forum son extensos, así que debes hacer un esfuerzo por venir a estar allí, que seguro que aprendes cosas.

Figura 7: Temas del XV Foro de Ciberseguridad del ISMS Forum

Eso sí, yo estaré solo un rato, que después tengo una reunión de trabajo y por la tarde otro acto, pero... allí podremos vernos. Como os he dicho, estaré poco en Madrid y tengo que exprimir el tiempo al máximo para hacer todo lo que tengo que hacer.

Figura 8: Hack Royale de Secur0

Así que al día siguiente por la tarde, estaré en el Evento de Hack Royale de Secur0, la competición de Bug Hunters que reparte 25.000 €, donde estaré dando una charla a los participantes de la misma. Si quieres asistir, puedes contactar con ellos, a ver si puedes venir.

Figura 9: Hack Royale de Secur0

Así es mi vida de intensa cuando voy para Madrid, pero quiero aprovechar cada minuto que estoy por allí, y aunque será un poco de estrés, siempre merece la pena.

Figura 10:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

PS: Os dejo también la entrevista que me hizo recientemente Luis Herrero donde hablé de todos estos temas también, por supuesto.

💻#IA El futuro de la Inteligencia Artificial

🗣️Luis Herrero entrevista a @chemaalonso, el conocido hacker español y ahora vicepresidente de Desarrollo Internacional en @Cloudflare 👇

📻#DIRECTO #EsHERRERO https://t.co/DfAtdvNKqP pic.twitter.com/t7mZOBRcwg
— En Casa De Herrero (@encasadeherrero) April 28, 2026

Autor: Chema Alonso (Contactar con Chema Alonso)

Sólo hasta el jueves: Semana del libro en @0xWord: Cupón 10% descuento DIALIBRO2026 por el #Diadelibro2026

noreply@blogger.com (Chema Alonso) — Tue, 28 Apr 2026 05:01:00 +0000

Hace poco os lo anunciaba, un año más, desde 0xWord nos sumamos a celebrar el Día del Libro, PERO SÓLO hasta el próximo JUEVES 30 de Abril a las doce de la noche, podrás conseguir todos los productos de la tienda de 0xWord con un 10% de descuento utilizando el código: DIALIBRO2026.

Figura 1: Sólo hasta el jueves - Semana del libro en 0xWord.

Cupón 10% descuento DIALIBRO2026 por el #Diadelibro2026

El código descuento, que estará activo hasta las 23:59 del jueves 30 de Abril es DIALIBRO2026, así que si lo utilizas tendrás un descuento del 10% en todo el material de 0xWord en la tienda. Incluido el material de Cálico Electrónico, los Packs Oferta, los VBOOKs, los cómics de EVIL:ONE en 0xWord Comics, las novelas en 0xWord Pocket o los nuevos de 0xWord Brain.

Figura 2: Compra tus libros de Hacking en 0xWord

Además, puedes usarlo también para nuestros nuevos libros como el de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" que he escrito con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco que es una de las últimas novedades.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Y por supuesto, también todos los cómics que tenemos publicados, como el nuevo de Olivia en Golem City, El Fin de Cálico, Las tiras de Cálico, Hacker Épico, La Elite, Universo Armatura o los cómics de la miniserie completa de Evil:ONE que puedes comprar también en la web de 0xWord.

Figura 4: Cómics en 0xWord

Pero además, tienes formas de incrementar los descuentos de 0xWord, utilizando tus Tempos de MyPublicInbox, que puedes usar de dos formas diferentes. Enviando Tempos a 0xWord y consiguiendo un descuento extra o canjeando un código descuento de 0xWord por Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 5: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 6: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 7: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda.

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 8: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los descuentos de las ofertas, entre el código de descuento DIALIBRO2026 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

"Gazapos Apócrifos Cochinos" cazados con Gemini

noreply@blogger.com (Chema Alonso) — Mon, 27 Apr 2026 05:01:00 +0000

El mítico cómic de "La gran superproducción" del maravilloso Superlópez tiene a la novia de López - el alter ego de Superlópez - participando como Script-Girl, y se pasa todo el tebeo preguntado... ¿qué es y qué hace una Script-Girl? Por supuesto, cuando eres un niño no lo sabes, y tuve que aprender que es un rol que se usa para asegurarse de que todo está como estaba en la escena anterior. Que no se han movido los objetos, ni ha cambiado el color de la camiseta de la grabación de una escena a la siguiente.

Figura 1: "Gazapos Apócrifos Cochinos" cazados con Gemini

Viendo el Indomable Will Hunting, en una de las escenas sale Will hablando con su profesor de universidad y detrás se ven cuatro pizarras. En un plano, contra-plano, una de las cuatro pizarras está movida y mi mente saltó de la película - rompiéndose el pacto con el espectador - al set, pensando.. ¿donde estaba la Script-Girl o el Script-Boy para no pillar ese gazapo?

Mis TOCs buscando gazapos apócrifos

Desde entonces, descubrir estos gazapos en las películas. Es un TOC que me tiene con varias capas de atención viendo la película. Y soy un coñazo. Estoy viendo la primera temporada de Breaking Bad viéndola e intentando destripar qué va a pasar. "Lo va a tener que matar, porque su nickname es Eight Ball y es un juego fonético de "Hate" así que el director te está marcando que es irracional y no va a cumplir el trato y bla, bla, bla, bla.. " un coñazo ver algo conmigo, por lo que hace años que veo las películas y series solito con mi TOC de buscar gazapos.

Figura 2: Tabla Periódica en el Joven Sheldon Capítulo 6 Temporada 1

Viendo "El pequeño Sheldon" encontré un par de ellos que me encantaron por ser "apócrifos". El término apócrifo se usa para determinar que algo ha sido falseado para pretender ser original, y son normalmente textos escritos a posteriori que pretender haber sido escritos en una determinada época anterior.

Figura 3: Tabla Periódica con los elementos químicos del futuro
en Stranger Things Temporada 2 Episodio 2

Eso es lo que pasaba con la Tabla Periódica de su profesor de Química. Pretendía ser el año 1989 y la tabla periódica mostraba elementos que no fueron descubiertos hasta después. Y me sentí muy contento descubriéndolo. Y sorprendentemente, exactamente el mismo gazapo apócrifo de la tabla periódica en Stranger Things.

Figura 4: Tabla Periódica con todos los elementos en

Agent Carter Temporada 2 Episodio 1

Pero es que la tabla periódica es difícil, y en la serie de Agent Carter de Marvel, que está ambientada en los años 40, sucede exactamente lo mismo con la tabla periódica.

Figura 5: Póster en la habitación del hermano de Sheldon Cooper
con un Axl Rose ... del año 1991

También me sentí contento descubriendo el póster de Axl Rose con el atuendo que uso en Use Your Illusion - año 1991 - en la serie que tenía su fecha en 1989. A los fans de los Guns & Roses no nos la das así de fácil.

Figura 6: Sheldon Cooper leyendo cómics con su amigo

Pero en esa misma serie quise pillar otro gazapo apócrifo en la tienda de cómics con las portadas de todos los cómics de Marvel y DC. Mi esperanza era que alguno hubiera sido publicado después, que a un fan de los superhéroes no nos la pegas así de fácil. Pero no, estaban todos correctos en fecha, y me hizo dar un "Respect" a la Script Person de la serie.

Figura 7: Las pelis cochinas. Lo he pixelado para evitar líos

Ahora, con la llegada de la IA, encontrar estos gazapos apócrifos es más sencillo, y es lo que hice este fin de semana con la serie "Cochinas" que va de un películas "cochinas" en un vídeo-club en Valladolid allá por el año 1998. Tenemos una fecha, así que hay que cumplirla. Y cuando vi una escena con todas las cintas X del vídeo club pensé lo mismo que con los cómics de la tienda de Sheldon.... ¿Serán todas de 1998?

Figura 8: Subiéndole a Gemini la foto para buscar las pelis X apócrifas

Como os imaginaréis, en la era de la IA no iba a ponerme a revisarlo yo manualmente, así que le hice foto y la subí a Gemini y le pedí que me hiciera una lista con los títulos y los años de publicación de las películas.

Figura 9: Primer estante con sólo una de 1998

No está mal para hacerse un buen catálogo si es lo que estás buscando. Pensé que, lo mismo, como eran películas X, tal vez Gemini iba a ponerse casto e iba a tener que hacer un Jailbreak rápido de esos sencillotes, pero no fue necesario.

Figura 10: Películas en el estante del medio.

Un par de ellas correctas.

Como podéis ver, hace la búsqueda correcta utilizando las capacidades cognitivas de visión artificial, y reconoce la lista de las películas, con los años en concreto de cada una de ellas, entregándome la lista completa.

Figura 11: Películas en el estante inferior

Y no, no son del año 1998 como se supone que deberían ser, así que tenemos un gazapo apócrifo cochino en la serie, que no es que sea importante para disfrutar la serie, pero que a un friqui con TOC como yo, que disfruta con estas cosas, me hace gracia poder pillarlo usando Inteligencia Artificial tan rápidamente. Eso sí, para mí no son fallos, sino "Easter Eggs" que nos dejan los creadores de contenidos para que podamos jugar, así que más que agradecido que nos dejen estos mensajes ocultos, que yo lo hago constantemente en mis posts. En este también hay uno.

Figura 12: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Agentic Internet y Captchas Cognitivos con MM-LLMs

noreply@blogger.com (Chema Alonso) — Sun, 26 Apr 2026 05:01:00 +0000

Esta semana pasada, hablando con uno de los ingenieros más top aquí en Cloudflare, hablábamos del Agentic Internet y los Captchas Cognitivos - que hemos estado en la Agentic Week y ha sido un avalancha de cosas -. Hemos pasado de diseñar interfaces de usuario creados para humanos "Human First" a un mundo de automatización con evoluciones hacia "API First" para que las capacidades sean disfrutadas por servicios digitales, y ahora a "MCP & Agentic First" haciendo que las utilidades sean Command Line Interface (modo texto) y que las respuestas sean en formatos JSON y Markdown para garantizar el entendimiento fácil de los MultiModal LLMs.

Figura 1: Agentic Internet y Captchas Cognitivos con MM-LLMs

Pero en el camino nos encontramos que aún estamos en esa fase de migración, y muchos de los servicios de Internet diseñados "Human First" mantienen los Captchas Cognitivos para dificultar la automatización. Sorprendentemente, ahora queremos que nuestros Agentes IA utilicen esas capacidades en nuestro nombre, pero no tienen API, MCP o CLI y hay que hacer que lo usen lidiando con el Captcha Cognitivo.

Figura 2: Planes empresariales para resolución

de Captchas Cognitivos vía API

Hablando de esto con mi compañero, le estaba explicando cómo este problema en el mundo del crimeware hace tiempo que lo tienen resuelto, y todo lo que hemos estado publicando por aquí para saltar los Captchas Cognitivos con MM-LLMs, teniendo en cuenta Captchas visuales, auditivos, de reconocimiento de cosas, o de resolución de problemas.

Sin embargo, cuando hablamos de esto, el debate era si el MM-LLM iba a dejar resolver el Captcha Cognitivo o no. Y por supuesto, la respuesta es que si el MM-LLM tiene un System Prompt con Guardrails preparado para el mundo B2C y B2B seguramente no permita esto, y hay que hacer un poco de Jailbreak, pero nada complicado.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Al final, como veíamos en el último ejemplo de Jailbreak con Nano Banana y el test de COVID, con cambiar el foco del trabajo, es más que suficiente hoy en día. Veremos en el futuro. Pero lo cierto es que si le pides que te ayude a automatizar la resolución de Captchas Cogntivos - por ejemplo a Gemini - te dice que no está diseñado para eso y que no puede ayudarme por sus controles de seguridad.

Figura 4: "Yo no puedo resolver Captchas directamente en tiempo real por ti"

Por supuesto. Hay que pedírselo de otra forma, pero no demasiado diferente. Por ejemplo, en este Captcha Cognitivo que me ha salido en una web, hay que seleccionar los parking slots libres. Si dejas al MM-LLM tirar millas solo, puede suceder como podéis ver aquí, que no lo resuelve bien. Eso sí, no se niega.

Figura 5: ¿Me ayudas a resolver este puzzle?

Como podéis ver, hay un espacio libre arriba, y dos abajo, pero dejando a Gemini intentar resolverlo completamente por sí mismo, tiene una Hallucination y toma como que arriba hay 6 plazas de parking y abajo hay 4. Si estuviéramos en Móstoles o Madrid, seguro que arriba hay 6 o más y abajo 6 o más, pero en este mundo de colores, hay cuatro arriba y cuatro abajo.

Figura 6: Resuelve bien, pero no define bien las plazas de parking arriba

Para evitar esto, lo que hacen todos los que proveen APIs de resolución de Captchas, este tipo de Captchas Cognitivos los analizan como familia y guían al MM-LLM con el trabajo exacto que quieren hacer, en este caso sería algo como esto.

Figura 7: Instruyendo al MM-LLM para que no alucine

Y listo, los resultados listos para devolver en un API que puedas entregar a tu Agente IA cuando necesite resolver este tipo de Captchas Cognitivos.

Figura 8: Respuesta correcta, Comma Separated

Al final, lo que hacen estas APIs de resolución de Captchas Cognitivos es reconocer el tipo de Captcha que hay que resolver, que tampoco son tantos, y para cada uno de ellos tener a sus MM-LLMs o incluso cosas más sencillas, preparados para resolverlo de forma única. Otro caso similar, mismo Prompt.

Figura 9: Mismo Captcha Cognitivo, Distinto Problema, Mismo Prompt

Al final, es como resolver un Cubo de Rubik. Es un problema cognitivo complejo pero que se resuelve de pocas formas. Conocida una forma, da igual cómo te den las piezas, se resuelve igual. Lo mismo sucede con los Captchas Cognitivos que estamos resolviendo hoy en día.

Figura 10: At your service

Esto de los Captchas Cognitivos, con el mundo del Agentic AI aquí, donde tenemos más de un 30% del tráfico mundial HTTP generado por Bots - y creciendo - tenemos que repensarlo. ¿Es esta la solución tecnológica que queremos para el Agentic Internet?

Figura 11: Datos de Bot Traffic en Radar de Cloudflare

Está claro que este mundo está cambiado muy rápidamente y que vamos a tener que transformar todas las piezas tecnológicas que tenemos en Internet, porque esta revolución de Agentic Internet es más grande y más profunda que las anteriores de Human Internet, Mobile Internet, Voz, VR o API First. Los Agentes IA están comiéndose el escenario, y puede que un par de años el tráfico humano solo sea entre una persona y sus agentes, veremos.

Figura 12: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Los equipos de ingeniería que hacen software con Neo tiene ingenieros extra

noreply@blogger.com (Chema Alonso) — Sat, 25 Apr 2026 05:01:00 +0000

Os he hablado varias veces de Neo de Sagittal.ai, pero hoy quería dejaros unos datos para que veáis como funciona como un miembro más haciendo tareas en la creación de software. Neo no está pensado para ayudarte a tirar lineas de código como un Copiloto. No, Neo está pensado para hacer tareas que se necesitan dentro de un equipo de desarrollo y resolver PR.

Figura 1: Los equipos de ingeniería que hacen software con Neo tiene ingenieros extra

Puede ser que esa tarea sea resolver un problema de diseño en Figma, o que haya que revisar la calidad de un parche, o puede ser que haya que resolver un issue reportado, es decir, mucho más que ayudarte como un Copilot a tirar líneas de código. Para que entendáis esto un poco mejor, os he dejado el artículo publicado de "Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo" y os dejo la conferencia que dio Palako sobre Neo, que puedes ver aquí mismo.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Es fácil, si te quedas a primera vista, confundir a Neo con un GitHub Copilot, o con un Claude Code o Llama Code, pero nada de eso. No es eso. Es un Agente IA de Ingeniería de Software para hacer tareas integrado en un equipo de desarrollo de tecnología. Por supuesto, si tiene que tirar líneas de código para resolver una PR lo hace, pero no sólo eso. Y por supuesto, tiene los mismos problemas que todos los modelos de IA tirando código.

Figura 3: IA falla, a veces es frustrante y a veces alucina

Esto sucede con todos los modelos de IA que generan código hoy en día. Todos tienen esos problemas. De hecho, no hay magia, Neo no es un Modelo de IA entrenado para tirar código. No, ni mucho menos. Neo se basa en todos los Modelos de IA entrenados para tirar código para hacer sus tareas. ¿Cómo te quedas? Pues lo mismo que los Agentes IA que hacen pentesting, que se basan en modelos entrenados.

Figura 4: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

No es magia, es que Neo es un Agente IA para trabajar en Ingeniería del Software haciendo tareas que hacen los ingenieros del software. Así que se asignan tareas, y algunas las hace bien, y otras las hace mal, com cualquier otro ingeniero.

Figura 5: Tareas abandonas (rechazadas) y aceptadas a Neo

Para que os hagáis una idea, en el equipo que desarrolla el core de Neo se usa.... Neo. Es decir, que se está construyendo Neo a sí mismo, pero si miramos las PR abandonadas y hechas por Neo podemos ver que más de la mitad no han sido hechas correctamente por Neo... ¿Eso significa que Neo no funciona? Eso significa que ha podido hacer casi la mitad de las tareas que se han asignado, que si lo comparas con el resto de miembros humanos es significativamente menor.

Figura 6: Pull Requests hechas por humanos

Si miramos, los humanos han resuelto más tareas, con un total de 207 y con sólo un 10% de abandonos. No está mal para el equipo. Es lo que sucede cuando tienes un grupo de buenos ingenieros currando en un proyecto de software. Pero entonces... ¿De qué vale Neo? Bueno, la magia es que si comparamos a Neo con cada uno de los desarrolladores del equipo lo que tenemos se ve de otra manera. ¿Qué te parece esta gráfica?

Figura 7: Neo es el mayor contribuidor al proyecto

Como podéis ver en esa gráfica, incluso con las tareas abandonadas, Neo hace el trabajo de PRs dos ingenieros de software en el equipo. Con sus problemas, con sus limitaciones, con su necesaria supervisión, pero gracias a tener a Neo, el equipo de ingeniería ve multiplicada su velocidad de ingeniería no solo en tirar líneas de código, sino en hacer PRs del proyecto que si no tendrán que hacer el resto de tus programadores humanos.

Figura 8: Consistencia de Neo a lo largo del tiempo

Pero no sólo eso, es que a medida que el equipo sabe cuáles son las PR que Neo puede hacer, o cada vez que se incrementan sus capacidades, su capacidad de hacer más y mejor PRs crece, de manera consistente, por lo que es un miembro más confiable del equipo.

Figura 9: Por qué Neo

Neo está específicamente diseñado para un entorno corporativo con equipos de entre 5 y 15 personas que siguen un proceso, ya sea ligero o pesado, coordinado en herramientas colaborativas y donde la especificación suele estar dispersa en varias herramientas y cambia constantemente. Y si es tu caso, deberías probarlo cuanto antes. Eso sí, sólo si eres de los que cree que meterse en líos de Deuda Cognitiva es algo a evitar.

Figura 10: Comienza a probar Neo desde hoy mismo

Puedes ver varias demos de Neo en acción para hacerte una mejor idea del concepto, y contactar con Sagittal AI para un piloto en tu empresa.

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Además si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un rato con Gabriel Merlo para hablar de Ciberseguridad e Inteligencia Artificial (y alguna cosa más)

noreply@blogger.com (Chema Alonso) — Fri, 24 Apr 2026 05:01:00 +0000

Hace tiempo me topé con el Canal Youtube de Gabriel Merlo y me encantó. Tiene una afición que yo comparto también y que consiste en leer papers académicos de tecnología - hoy en día casi todo de Inteligencia Artificial - y hablar de ellos en los vídeos que va publicando. Uno de ellos me gustó mucho y escribí un artículo sobre él.

Figura 1: Un rato con Gabriel Merlo para hablar de

Ciberseguridad e Inteligencia Artificial

(y alguna cosa más)

Hace unos meses me pidió una entrevista, y le pedí a mis compañeros que me autorizaran para poder estar con él. Ibamos a hablar de mis temas favoritos que son, como sabéis, la intersección entre la Inteligencia Artificial, la Ciberseguridad, el hacking y el pentesting, así que podía molar mucho.

Figura 2:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Apoyar a gente joven que hace un trabajo con tanta pasión y calidad es algo que me motiva mucho, así que hace un par de semanas, o quizá algo más que con tanta actividad se me mueven los días, nos juntamos un rato y grabamos una entrevista, que ha publicado ayer.

Figura 3: Entrevista de Gabriel Merlo a Chema Alonso

Yo te recomiendo que si te gusta el mundo de la tecnología en general, y el de Inteligencia Artificial en particular, eches un vistazo a los vídeos que va publicando este joven - aún estudiando en la universidad - que le pone cariño y cuidado a todo lo que publica.

Figura 4: Vídeos de Gabriel Merlo sobre Inteligencia Artificial

Si quieres apoyar a Gabriel Merlo, o proponerle algo, tienes la oportunidad de contactar con él en su buzón de MyPublicInbox, que todo lo que podamos apoyar a los que empiezan en este mundo de la divulgación tecnológica es bueno.

Figura 5: Contactar con Gabriel Merlo

Tener contenido de calidad para aprender tecnología e Inteligencia Artificial es algo que nos viene bien a todos, así que más que feliz de haber podido estar un rato con él, que hasta grabamos el vídeo a la dubis con nuestros móviles. Espero que os guste, que yo intenté estar relajado y contarle muchas cosas que no suelo contar.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Semana del libro en @0xWord: Cupón 10% descuento DIALIBRO2026 por el #Diadelibro2026

noreply@blogger.com (Chema Alonso) — Wed, 22 Apr 2026 23:01:00 +0000

Un años más, desde 0xWord nos sumamos a celebrar el Día del Libro, así que desde ya mismo, hasta el próximo jueves 30 de Abril a las doce de la noche, podrás conseguir todos los productos de la tienda de 0xWord con un 10% de descuento utilizando el código: DIALIBRO2026.

Figura 1: Semana del libro en 0xWord: Cupón 10% descuento

DIALIBRO2026 por el #Diadelibro2026

Figura 2: Compra tus libros de Hacking en 0xWord

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Figura 4: Cómics en 0xWord

Enviar tus Tempos a 0xWord y recibir el descuento

Figura 5: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda".
https://MyPublicInbox.com/0xWord

Figura 6: Cuando lo agregues estará en tu agenda

Figura 7: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda.

Canjear 500 Tempos por un código descuento de 5 €

Figura 8: Canjear Tempos por Códigos para libros de 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Jailbreaking Nano Banana Just for Fun & Laughs

noreply@blogger.com (Chema Alonso) — Wed, 22 Apr 2026 05:01:00 +0000

Siempre que voy a Londres reservo el mismo hotel, que no es otro que el sofá de mi colega, compañero, y amigo José Palazón, CTO y Founder de Sagittal AI, una de las startups con una de las mejores propuestas que he visto para utilizar la IA en la aceleración de los equipos de desarrollo manteniendo un control del conocimiento cognitivo del proyecto, porque Neo - su agente de IA - trabaja integrado en los equipos de desarrollo haciendo PRs.

Figura 1: Jailbreaking Nano Banana Just for Fun & Laughs

Porque me voy a dormir a un sofá desde hace años en lugar de irme a dormir a los hoteles que me ponen a disposición siempre que voy a Londres es tan sencilla como que pasar un rato más con un amigo en esta vida no tiene precio, y bien vale dormir en un sofá que ya es como mi cama. Esos ratos que pasamos juntos nos contamos nuestras aventuras, nuestros aprendizajes, y nuestros pensamientos sobre el mundo tecnológico que tenemos hoy en día.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Los dos hemos disfrutado y disfrutamos del hacking, así que siempre tenemos algo que contarnos y probar. Desde que estuvimos juntos dando charlas por la DefCon y la BlackHat, hasta nuestras aventuras por la HackON de Noruega. Son muchos los años que nos conocemos, y hemos tenido la suerte de trabajar juntos y hacer grande ElevenPaths durante una década, así que... al sofá a dormir cuando voy a Londres.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

En las últimas ocasiones el Hacking de IA ha sido nuestra conversación principal. Hablar de Jailbreak, de Prompt Injection, de Guardrails y Unalligment ha sido tema de conversación recurrente. Sobre todo lo fácil que es hacerlo hoy en día. Cómo en su día fue con el SQL Injection en las aplicaciones web, donde todo Internet estaba al alcance de una comilla, un espacio o un comentario puesto en el lugar adecuado.

Figura 4: Intentando hacer una imagen de COVID positivo para hacer una broma

Esta vez disfrutamos de jugar un rato con un Asistente Virtual basado en un LLM al que estuvimos "Jailbreakeando" un rato Just for fun and laughs, pero la historia que os vengo a contar aquí tiene que ver con Nano Banana y Gemini, y es la siguiente. La idea consistía en engañar a una persona para hacerle una broma trucando la imagen de un test de COVID con Nano Banana, pero este se negó porque saltó el Harmful Mode y no permitía hacer imágenes trucadas de dispositivos médicos, y bla, bla, bla...

Figura 5: Ni diciéndole que era para hacer una broma.

Qué aburrido que es Gemini, jopé.

Yo le dije que si no había probado el Knwoledge Oriente Prompting en Nano Banana, como había hecho yo con la imagen de Freddie Mercury. Pero no, él había probado algo parecido a la técnica de Crescendo, pidiéndole ayuda para hacer una presentación sobre el tema. En el Crescendo Jailbreak se le pide algo malo y luego se le pide que escriba sobre por qué está mal. En este caso, la petición no iba por una redacción, sino para hacer una imagen para unas diapositivas.

Figura 6: Nueva sesión y a decirle que es para un training.

Y como os podéis imaginar, como esto parece un poco más serio, pues el Harmful Mode de Gemini dio su beneplácito, como se puede ver en la imagen siguiente, y automáticamente puso a Nano Banana a trabajar en la imagen para las diapositivas del curso de formación. Anda que....

Figura 7: Gemini da su beneplácito y pone a currar a Nano Banana

El resultado lo tenéis en la imagen siguiente, donde ha puesto los dos tests juntos en la misma imagen. Uno negativo, otro positivo. Con este sencillo cambio de contexto, se hace el Jailbreak para hacer esta imagen de un dispositivo médico y no sé qué más cosas que decía por las que no hacerlo al principio.

Figura 8: El Las dos imágenes creadas

El resto, pues nada, recortar la imagen que quería desde el principio y enviarla para hacer la broma, que tenía su por qué, pero que no viene al caso para ester artículo.

Figura 9: La imagen del test SARS-CoV-2 Ag en positivo

Y listo. Pero la historia era que esto del Harmful Mode es un poco de broma. Que sea tan sencillo saltárselo llama la atención. Que haya que saltárselo hasta para hacer una broma llama la atención. Hay que saber hacer un Jailbreak para poder conseguir unas risas cuando hay diez mil apps para hacer esto mismo. Curioso. Pero... es lo que hay.

Figura 10: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron

noreply@blogger.com (Chema Alonso) — Tue, 21 Apr 2026 05:01:00 +0000

Utilizar la Inteligencia Artificial para buscar vulnerabilidades es algo de lo que os he hablado en más de alguna ocasión. En el artículo de "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" os hablaba hace ya un años de que me extrañaba mucho que esto no fuera un parte fundamental de los repositorios de código. Y sobre explotar CVEs publicados sólo con la información pública, ya tuvimos en el año 2024 el paper de "LLM Agents can Autonomously Exploit One-day Vulnerabilities".

Figura 1: Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding

usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron

Esto, lógicamente, lleva a que la profesión de dedicarse al Bug Bounty haya cambiado, y empiece a ser imprescindible trabajar con los LLM tanto para la búsqueda como para la explotación, que es de lo que habla David Padilla en su libro de "Bug Hunter".

Figura 2:"Bug Hunter" escrito por David Padilla en 0xWord

Esto mismo es lo que ha hecho el investigador s1r1us con Google Chrome, para demostrar el riesgo que además esto tiene en las aplicaciones hechas con Electron, y que ha publicado en un artículo que debes leer "I Let Claude Opus Write a Chrome Exploit: The Next Model (Mythos?) Won't Need My Help?". El gran problema es que las aplicaciones hechas con Electron llevan embebidas versiones de Chrome completas, pero hay un gap entre la actualización y parcheo de vulnerabilidades de Google Chrome y las versiones que llevan aplicaciones súper populares hechas con Electron.

Figura 3: Versiones de Google Chrome en aplicaciones Electron

A día de hoy, estamos, tras la última actualización del 7 de Abril en Google Chrome 147, así que todos los bugs parcheados en esta última versión, aún están presentes en Cursor, Claude Desktop, Discord, Slack, etcétera. Así que... ¿por qué no, a partir de la publicación de los CVEs parcheados en Google Chrome usar Claude Opus (No Mythos) para intentar hacer el exploit de estas vulnerabilidades conocidas?

Figura 4: Lista de CVEs de criticidad alta parcheados en Google Chrome 147

Para ello, s1r1us estuvo enfocando a Claude Opus sobre distintos CVEs de los que no había exploit público, gastando tokens y dinero en ellos, hasta que encontró uno que el modelo descubrió cómo explotarlo, y con la ayuda del investigador - sólo con prompting - fue trabajando hasta que consiguió un código funcional que permitía ejecutar las primitivas de escritura y lectura dentro de la Sandbox de Google Chrome.

Figura 5: CVE explotado en el estudio

Por supuesto no es un 0-day, sino un 1-day o n-day, como quieras llamarlo, pero del que no existe un exploit público, por lo que sigue teniendo mucho valor en el mercado del bug bounty legítimo, pero como os podéis imaginar, también en el mercado negro.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

El siguiente fase hay que conseguir evadir la sandbox, y de esto no hay un CVE claro, pero el investigador hace una cosa maravillosa, que es irse a Chromium Tracker y buscar un reporte de existencia de este problema, y encontró el fallo descrito como: "V8 Sandbox Bypass: WasmCPT handle UAF by import dispatch table growth", un fallo conocido en la V8 Sandbox de Chromium.

Figura 7:"V8 Sandbox Bypass: WasmCPT handle UAF by import dispatch table growth"

Así que apuntó a Claude Opus hacia él, y juntando las dos piezas fue capaz de conseguir construir un exploit totalmente funcional para un CVE público del que no había exploit conocido, y que tiene un valor espectacular para el equipo de seguridad de Google, para las empresas de seguridad ofensiva y, por supuesto para el black market.

Figura 8: Explotando el Sandbox

Por supuesto, los datos son los más interesantes, porque dejan ver el mundo hacia donde vamos, y que como podéis ver permite que con unas 20 horas de trabajo de "babysitter", y unos 2.000 USD en tokens se posible explotar un CVE conocido que está sin parchear en tooooooodas las aplicaciones Electron tan populares que tenemos hoy en día, con millones de instalaciones en todas las empresas y organizaciones que te puedas imaginar.

Figura 9: Coste en Tokens para hacer el exploit funcional

Estos exploits, se pagan en los Bug Bounties por unos 10.000 USD, así que sigue saliendo positivo en términos económicos el experimento, pero sobre todo pensando en la evolución de estos modelos. ¿Cómo será este mundo cuando se liberen modelos como Mythos? ¿Podremos permitirnos publicaciones de CVEs con tanta información pública?

Figura 10: Explotación del CVE-2026-5873 con Claude Code. Horas, tokes y coste

¿Serán sostenibles estos gaps entre los componentes y las aplicaciones que usan esos componentes? En la gráfica anterior tenéis un resumen de los días, las horas, los tokens y los costes invertidos en conseguir hacer este exploit. En el mundo de los exploits, estos costes son ridículos, y tener exploiters experimentados capaces de hacer estas cosas suele costar mucho más dinero. Mundo curioso al que vamos.

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

The Veracity Report: Cómo detectar las "Hallucinated Citations" en los Papers Académicos

noreply@blogger.com (Chema Alonso) — Mon, 20 Apr 2026 04:01:00 +0000

Como sabéis me gusta seguir la publicación de papers académicos que tienen que ver con los temas que me interesan, y esto que se cuenta aquí lo he sufrido en alguna ocasión. Me descargo un paper que habla de Jailbreak en LLMs, y de repente me referencia con una cita a un paper académico que tiene un título interesante y que no conozco, así que voy a buscarlo.... y el paper citado no existe. Existen los autores, pero cuando me voy a las páginas personales de los autores, dicho paper no está publicado. Es una cita generada con Inteligencia Artificial y es una alucinación.

Figura 1: The Veracity Report: Cómo detectar las "Hallucinated Citations"

en los Papers Académicos

Estas Hallucinated Citations son un problema que cada vez se está haciendo más grande, llegando a ratios que pueden ser muy altos, según cuenta la revista Nature. Algo que hay que empezar a controlar, ya que en un mundo de extrema rigurosidad como es el académico, esto significa un deterioro de la calidad de las fuentes, lo que no es correcto.

Un estudio sobre Hallucinated Citations

En el estudio que hicieron en el año 2025 con 4.000 papers académicos, encontraron que 65 de ellos tenían al menos una Hallucinated Citation, lo que significaría que en los más de 7 Millones de documentos publicados el año pasado podrían existir más de 110.000 documentos con Hallucinated Citations.

Figura 2: Hallucinated Citations

Si has hecho un doctorado, sabes el trabajo que exige. Cuando ya tienes el tema de uno de los papers, debes pasar por el proceso de publicarlo, y para ello este tiene que estar bien referenciado, no sólo con los documentos que hayas utilizado tú en su escritura, sino con los papers relevantes de los investigadores que han hecho aportes significativos a lo que estás estudiando tú. No tener las citas correctas significa que puede que te rechacen el paper en una publicación durante la Blind Revision por tus pares.

Figura 3: El estudio sobre las Hallucinated Citations en Nature

Como te puedes imaginar, el trabajo de citar correctamente es arduo, y es verdad que cuando tienes una línea de investigación, y has publicado ya dos o tres papers, hacer las referencias en los subsiguientes papers es mucho más rápido porque son compartidas en su gran mayoría. Pero si estas empezando, o si estás estudiando y publicando sobre un tema que va muy rápido con muchos aportes constantes - por ejemplo los temas de Hacking AI -, el número de papers que aparecen constantemente te obliga a trabajar en sus citas.

Figura 4:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Consecuencia de eso, es pedirle a la Inteligencia Artificial que te haga las referencias. Que busque en Internet los papers que habría que incluir, y que los ponga. Y ahí es donde llega la "Hallucinated Citation", que como se publica en el artículo de la revista Nature, hay que comenzar a poderle interés para que no siga creciendo.

Figura 5: The Veracity Report

Para ello, la empresa Grounded AI ha creado The Veracity Report, que es un Citation Checker para comprobar si un documento tiene Hallucinated Citations, tanto en el documento, como en el autor, como en el contenido.

Figura 6: Citas correctas en un paper académico

Hay que tener en cuenta que no se trata de poner citas y referencias, sino poner las relevantes para el trabajo de investigación que se está publicando, por lo que la herramienta que han propuesto verifica también la calidad de las mismas.

Figura 7: Hallucinated Citations en The Veracity Report

Su funcionamiento es muy sencillo, y contrasta las referencias frente a los documentos publicados en todos lo repositorios robustos, ofreciendo a los congresos y revistas científicas una forma de asegurarse de que la calidad de sus publicaciones sigue siendo buena, al menos respecto a las citas de los papers que aceptan en sus Call-For-Pappers.

Figura 8: Check de calidad de las citas

Para poder utilizar la herramienta hay que solicitar acceso a la plataforma para una demostración, pero puedes ver cómo funciona en este vídeo que te dejo por aquí, que se ve muy claro su funcionamiento y su utilidad.

Figura 9: Citation Verification Score

Como podemos ver, el uso de la Inteligencia Artificial se está metiendo en todas las disciplinas, y por tanto, controlar sus "weaknesses" es clave, como este caso con las Hallucinated Citations en los papers académicos.

Figura 10: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Es sólo un punto. Date otra oportunidad. No te desalinees.

noreply@blogger.com (Chema Alonso) — Sun, 19 Apr 2026 04:01:00 +0000

En la vida a veces salen cosas bien y a veces salen cosas mal. A veces te topas con gente que te apoya y otras veces te encuentras con gente que no te apoya, o incluso peor. A veces tomas decisiones correctas y otras tomas decisiones erróneas. A veces tienes un conflicto con alguien que te ataca. Otras te encuentras con personas que te apoyan. Todo parte de un ciclo que se va repitiendo muchas veces.

Figura 1: Es sólo un punto. Date otra oportunidad. No te desalinees

Esos días que pasan cosas buenas hay que poner las cosas en su justa medida y no dejar que la euforia te nuble la vista para no tomar una mala decisión basada en una percepción equivocada, pero los días que salen mal las cosas son días especiales para trabajar. Esos días puedes encontrarte que algo ha salido mal porque alguien te ha fallado, te la ha jugado, o has errado. Y al igual que hay que luchar contra la euforia, hay que luchar contra la emoción que cada uno de esos errores genere en uno. A veces es frustración, otras enfado e ira, otras pena o decepción, e incluso puede que genere rabia o sentimientos.

Conocer cuales son tus emociones ante esas situaciones es algo que yo intento reconocer, con mecanismos de detección, para contrarrestarlas con mecanismos de mitigación. No puedo dejar que ni una ni otra emoción me cambien la percepción y el foco. No podemos dejar que nos desalineen del objetivo en el que estamos centrados porque algo haya salido bien o mal en el camino.

Esto lo explicaba muy bien el maravilloso Roger Federer en su discurso en el acto de graduación de una universidad, donde él lo decía con "es sólo un punto". Ha salido bien, pero es sólo un punto, no hemos llegado a ningún sitio. Ha salido mal, pero aún no está perdido todo, es sólo un punto. Y es que la vida se trata de conseguir que por un margen pequeño los puntos buenos venzan a los puntos malos. Y no dejar que ni uno ni otro juego en contra de tu concentración y te desalineen de tu objetivo.

Figura 2: Roger Federer "It´s just a point"

Que alguien te quiera atacar o hacer daño y tú decidas que debes invertir tu valioso tiempo y energía en responderle, atacarle o comenzar una batalla es invertir tu más valioso tesoro en cosas que no están alineadas con tu objetivo. Que un éxito te haga olvidarte de que debes seguir trabajando con humildad, cada día, es dejar que tu ego te ciegue en lo que debes hacer para ganar el siguiente punto. Todos son sólo un punto, pero debes procesarlos y prepararte lo mejor para el siguiente.

Para eso, llevo años trabajando mensajes que me envío como "que sea esto lo peor que te pase", o "éste es el momento que marca la diferencia entre los que realmente quieren y los que dicen que quieren", "tampoco has hecho tanto, lo puedes hacer mejor", "ni un segundo en lamento, a por lo siguiente", frases que me ayudan a dejar atrás los puntos positivos - y no perder un momento demás en la celebración y la vanagloria -, y los puntos negativos - y no perder un minuto en emociones que me puedan desalinear de mi foco -. No recuerdo un día en el que no me haya dicho algo así a mí.

De eso salen mi demonio cabrón, o la aceptación de que en la vida mayormente hay inconvenientes e incomodidades más que problemas. Por eso el trabajo de protección contra la manipulación de terceros por miedos. Esta gestión de mis emociones es fundamental para poder focalizarme en todos los proyectos en los que me meto y disfruto haciendo. Controlar las emociones para que no se conviertan en un punto de desalineamiento de mis objetivos es un trabajo constante que me ayudan a tener disciplina en mi trabajo diario.

Y es muy importante. Tanto que, cuando escribí el artículo de "La formación para el nuevo "emperador" y la nueva "emperatriz"" donde os hablaba de las recomendaciones que yo le doy a Mi Hacker y Mi Survivor, una de ellas es la gestión de las emociones. Gestionar que las cosas salgan mal es mucho más sencillo si tú no estás de enemigo, y la quién pelea en contra tuya son tus emociones. Y gestionar el éxito es mucho más sencillo si tus emociones no te engañan. Al final, es solo un punto del juego, que es mucho más largo.

Figura: Rafa Nadal sobre gestionar el éxito y el fracaso

Dice Rafa Nadal que, además de gestionar el éxito y el fracaso, él se daba más oportunidades, así que después de cada fallo, en lugar de enfadarse y frustrarse, pensaba en cómo hacerlo mejor la siguiente vez. Confiar en uno mismo es darse más oportunidades. Dejar que las emociones negativas como la ira, la rabia o la frustración tomen control de tus actos, es no tener todo tu potencial al servicio de tus objetivos.

Figura 4: Date oportunidades

Esto, lo hablo mucho con mis hijas. Les cuento todas las veces que me salieron mal las cosas, todas las veces que erré y que conté en el discurso de graduación en la Universidad Carlos III. En todas esas ocasiones, cuando me habían salido mal las cosas, las emociones negativas intentaron adueñarse de mí. Luchar contra ellas y pensar en qué hacer desde la nueva situación teniendo en cuenta lo que había pasado, es parte de lo que me ayudó a hacerlas buenas.

No quiere decir que no hubiera ido bien o mejor si no hubiera fracaso, errado, o salido simplemente algo mal en el plan original, en el Plan A -, sino que pude hacer que el Plan B funcionara - o el Plan C o el D -, porque no perdí mi foco por un incidente negativo. Por supuesto, no tengo ni idea ya de cuál era el Plan A que tenía en mi cabeza a la edad de Mi Hacker o de Mi Survivor, porque vas bajando por la pista de la vida y te pasan cosas, encuentras nuevas rutas, gente en el camino, vas descubriendo mapa, y al final haces que el viaje sea divertido mientras te deslizas y caes por la pista.

Así que, a Mi Hacker y Mi Survivor intento transmitirles estas lecciones. Que hagan lo máximo para que el punto sea positivo, que no se digan mentiras en cuanto a lo que hacen bien o mal, y después, que si ha salido bien, piensen que sólo ha sido un punto y no permite relajarse ni un ápice, y si ha salido mal, que hay que trabajar para que el siguiente punto - sea cual sea el que toque o el que decidan que toca -, sea positivo.

Al final, la metáfora del tenis me encanta, porque mientras que no ha terminado el partido, no importa cómo vaya el marcador, puede ganar cualquiera. Así que puedes haber ganado todos los puntos menos el último, y tu oponente no haber ganado ninguno, pera aún puede ganarte. Y viceversa, mientras tengas oportunidades, tiempo y energía, puedes ganar el partido. Así que no dejes que los resultados anteriores te desalineen y te hagan perder el foco en tus objetivos.

¡Saludos Malignos!

PD: Hoy he usado a Rafa Nadal y Roger Federer no por casualidad. El tenis me parece el deporte más difícil. Estás solo. Hasta que no entra el último punto todo puede pasar. Es un deporte donde hay que ser bueno físicamente, hay que ser bueno tácticamente, hay que ser bueno técnicamente, hay que tener fuerza mental, y ganar es muy difícil por todos los que compiten. "Sólo" hay que estar recibiendo en la posición correcta, correr hacia donde te la lanza el rival, decidir dónde la quieres poner, y hacer un gesto técnico en movimiento para que la pelota vaya donde tu quieres. Y moverte a la posición correcta para recibir el siguiente punto. Y hay que hacerlo una y otra vez durante horas....Brutal.

Autor: Chema Alonso (Contactar con Chema Alonso)

BuddyBeam: Plataforma de avatares fotorrealistas que atienden a tus clientes

noreply@blogger.com (Chema Alonso) — Sat, 18 Apr 2026 04:01:00 +0000

Llevo muchos años trabajando en tecnología. Siempre me ha gustado construir cosas, entender cómo funcionan por dentro y buscar la manera de que funcionen mejor. En algún momento esa curiosidad se juntó con la Inteligencia Artificial y empecé a hacerme una pregunta que ya no pude quitarme de la cabeza. ¿Y si pudiéramos crear personas virtuales capaces de mantener conversaciones reales, con expresiones faciales naturales, en cualquier idioma, en tiempo real? Y no hablo de chatbots con un muñeco animado. Hablo de algo que cuando lo ves por primera vez te hace dudar de si es una persona real o no. Así nació BuddyBeam.

Figura 1: BuddyBeam - Plataforma de avatares

fotorrealistas que atienden a tus clientes

Lo he construido desde cero, yo solo, desde Tarragona. Sin equipo, sin depender de APIs de terceros, sin atajos. Todo el stack tecnológico es mío: el reconocimiento de voz, la síntesis vocal, el motor de renderizado del avatar. ¿Por qué hacerlo así? Porque para ofrecer algo que de verdad marque la diferencia, necesitaba tener el control total de la experiencia.

¿Qué es BuddyBeam?

BuddyBeam crea avatares fotorrealistas con los que puedes hablar en tiempo real. Los ves, te escuchan, te entienden y te contestan con voz natural y expresiones faciales que acompañan lo que dicen. Y lo hacen en más de 20 idiomas de forma nativa, no traducidos: cada idioma suena como tiene que sonar, con su voz, su cadencia y su personalidad.

Figura 2: BuddyBeam

Pero esto no va solo de una cara que habla. Lo interesante es lo que hay detrás. El avatar está conectado al negocio del cliente. Puede contestar preguntas sobre servicios, guiar al usuario en una compra, recomendar productos, gestionar reservas o pasar la conversación a un humano si hace falta. En la práctica, es un comercial que no duerme, no se pone enfermo, habla todos los idiomas y atiende a todos los clientes a la vez. Funciona 24 horas, 7 días, sin colas y sin esperas.

Figura 3: Maya, de BuddyBeam

Si quieres verlo funcionando, entra en BuddyBeam y habla con Erik o Maia. Lo que ves ahí es exactamente lo que se puede meter en cualquier web, app o dispositivo.

¿Dónde se puede aplicar?

La tecnología de BuddyBeam vale para muchas cosas, pero todas tienen algo en común: ayudan a vender más, a retener mejor al cliente y a reducir costes operativos. Cualquier situación donde alguien necesita información o atención y un negocio quiere dársela de forma inmediata, personalizada y sin tener que contratar a más gente. Os cuento algunos ejemplos concretos:

Hoteles y hospitality

Llegas a un hotel después de un vuelo largo. Son las 2 de la madrugada, hay un recepcionista para todo el hotel, y tú quieres saber dónde puedes cenar algo, cómo va lo del spa o simplemente pedir una almohada extra. Con un avatar de BuddyBeam en una tablet en la habitación o accesible desde tu móvil con un QR Code, todo eso se resuelve al momento, en tu idioma, sin molestar a nadie.

Figura 4: BuddyBeam para Hoteles y Hospitality

Y aquí viene lo bueno para el hotel: ese mismo avatar puede recomendar un upgrade de habitación, sugerir el restaurante del hotel en vez de uno externo, o vender la sesión de spa que el huésped ni sabía que existía.

Figura 5: BuddyBeam para Hoteles y Hospitality

Todo de forma natural, dentro de la conversación. Es atención al cliente y canal de venta al mismo tiempo. La solución de BuddyBeam para hoteles está certificada por Thinktur, la Plataforma Tecnológica del Turismo de España. El avatar se conecta con los sistemas de gestión del hotel y le ofrece al huésped una experiencia de conserjería digital de verdad, conversacional, no un menú con botones.

Cualquier página web

Los chatbots de texto llevan años siendo lo habitual en atención al cliente online. Pero vamos a ser sinceros: casi nadie los usa a gusto. Son rígidos, fríos y muchas veces frustrantes. El resultado es que el visitante se va de tu web sin comprar, sin preguntar, sin dejar sus datos. BuddyBeam cambia eso completamente.

Un avatar fotorrealista metido en tu web que saluda, escucha y contesta como lo haría tu mejor comercial, pero sin horario, sin cansarse y en el idioma que hable tu cliente. El visitante se queda, pregunta, y convierte. Es la diferencia entre una web que informa y una web que vende.

Figura 6: BuddyBeam Care

Y esto vale para cualquier sector: una clínica dental que quiere resolver dudas y que el paciente reserve la cita ahí mismo, un e-commerce que quiere guiar la compra y reducir el abandono del carrito, un despacho de abogados que quiere filtrar y cualificar consultas antes de asignar un letrado, una inmobiliaria que quiere enseñar pisos disponibles y agendar visitas, una universidad que necesita atender a estudiantes internacionales y captar matrículas... el abanico es enorme.

Datacenters e infraestructura crítica

Los datacenters son un entorno donde la seguridad y el control lo son todo. Un avatar de BuddyBeam en recepción puede encargarse de identificar visitantes, verificar autorizaciones y explicar los procedimientos de acceso, todo en varios idiomas para equipos internacionales. Complementa al personal de seguridad sin sustituirlo.

Pero donde se pone realmente interesante es en el portal de cliente. Los clientes de un datacenter pueden entrar en su panel y hablar directamente con el avatar para crear cross connects, abrir tickets de inbound y outbound, solicitar smart hands, o consultar datos en tiempo real como la temperatura o el consumo de potencia de sus cages y cabinets.

En vez de navegar por menús o esperar a que alguien conteste un ticket, le dices al avatar lo que necesitas y él se encarga. Para el operador del datacenter eso significa menos tickets, menos llamadas al NOC, menos errores humanos y clientes más satisfechos que renuevan contratos.

Administración pública y servicios ciudadanos

Otro sitio donde esto tiene muchísimo sentido: los portales de administración pública. Un avatar que atiende al ciudadano a cualquier hora, en varios idiomas, guiando trámites, resolviendo dudas y quitando presión a los canales presenciales y telefónicos.

Figura 7: Demo de BuddyBeam en acción

Menos colas, menos llamadas, menos frustración. Y conectado a los sistemas de la administración para dar respuestas reales, no respuestas genéricas.

¿Por qué tecnología propia?

Hoy en día la mayoría de startups de IA son básicamente un wrapper de la API de otro. BuddyBeam va por otro camino. Todo el stack tecnológico (reconocimiento de voz, síntesis de voz, renderizado del avatar, lógica conversacional) lo he desarrollado yo y corre en mis propios servidores en España.

Figura 8: ¿Quieres probar BuddyBeam?

¿Por qué? Porque cuando dependes de la API de otro, no controlas la calidad, ni la latencia, ni el precio, ni la privacidad de los datos de tus clientes. Con infraestructura propia puedo garantizar tiempos de respuesta mínimos, control total sobre los datos y la posibilidad de personalizar cada detalle de la experiencia para cada cliente.

Y tener tecnología propia significa que no hay intermediarios. Si un cliente necesita una voz concreta, un comportamiento específico del avatar o una integración con su sistema, lo hago. No dependo de que un proveedor externo meta esa feature en su roadmap.

¿Qué viene ahora?

BuddyBeam está en fase de lanzamiento comercial. El producto está construido, probado y certificado. Ahora viene lo bueno: ponerlo en manos de empresas que quieran vender más, atender mejor y gastar menos. Si tienes una empresa y esto te ha picado la curiosidad, entra en buddybeam.app y pruébalo tú mismo. Habla con el avatar, hazle preguntas, ponlo a prueba. Y si te interesa ver cómo podría funcionar en tu caso, contacta conmigo.

Saludos,

Autor: Jorge Macías, Fundador de BuddyBeam

Contactar con Jorge Macias, Fundador de BuddyBeam

Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo

noreply@blogger.com (Chema Alonso) — Fri, 17 Apr 2026 04:01:00 +0000

El avance de la IA Generativa y Agéntica no es nada menos que espectacular y, casi indudablemente, la mayor y más rápida revolución tecnológica de la historia. Llevamos unos años oyendo la promesa de agentes autónomos y desarrolladores multiplicados por diez, sin embargo, cuando miras a un equipo de desarrollo de software en un entorno corporativo, los atascos aún son los de siempre. La realidad es que aunque las demos presentan unos escenarios idílicos, esta tecnología no está todavía al nivel al que se nos presenta.

Figura 1: Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo

Neo es el producto que hacemos en Sagittal AI, una empresa que no vende magia, sino que trata de maximizar el partido que se le puede sacar a la IA, aceptando sus limitaciones, y del cual hablé en esta conferencia que os dejo por aquí.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Pero hoy os quiero hablar de tres problemas concretos que, si has trabajado en equipos de desarrollo de software seguro que conoces bien. Vamos a verlos uno a uno.

Problema: La interfaz. De secretario/a del bot a delegar trabajo

El patrón actual te será familiar: abres el chat o el plugin del IDE, te conviertes en “prompt engineer”, le explicas al agente lo que quieres, le pegas medio ticket, añades fragmentos de código, corriges lo que ha entendido mal… y vuelta a empezar. El asistente de IA no está tanto a tu servicio como tú al suyo.

El problema es que con ese esquema no puedes delegar de verdad. Tienes que estar presente, pendiente del chat, confirmando el plan, cada paso, y desbloqueando al agente cuando se atasca, o reconduciendo cuando se pierde. El cuello de botella sigue siendo tu tiempo. Mientras el humano tenga que estar “en la sala” para que las cosas avancen, la productividad solo sube un poco, nunca un orden de magnitud. Algunos CLIs e IDEs han intentado introducir gestión de tareas en background pero, en la práctica, son difíciles de configurar y usar y casi nadie las adopta.

Figura 3: Neo funciona integrado en tus plataformas de ingeniería del software

Neo resuelve este problema de forma que la interacción entre IA y humano sea exactamente la misma que entre humano y humano. No hace falta una interfaz de usuario nueva. Si se trata de delegar, ya tenemos herramientas colaborativas para delegar y trabajar en equipo: Jira, GitHub, Azure DevOps, Confluence, Figma…

Figura 4: Tools con las que se integra Neo

A Neo se le asignan tareas como a cualquier miembro del equipo, se encarga de buscar contexto en tus tickets, documentos, código, crear la rama, implementar cambios, escribir pruebas, resolver el CI si falla, y actualizar el estado de las tareas según el "Way of Working" del equipo.

Figura 5: Pull request diagrams

Tú te vas a otra cosa y vuelves cuando hay PR lista para revisar, y lo haces en herramientas que llevan 15 años perfeccionando la UX para revisar código. ¿Que quieres iterar? Comentarios en la propia PR ¿Que no te gusta el resultado? Descarta la PR, y no has perdido ni el dinero ni el tiempo.

Problema: Seguridad. CVEs críticos y teatro de permisos

La mayoría de los desarrolladores trabajan en portátiles no plataformados y con permisos de administración. Los agentes que ejecutan corren con sus mismos permisos y las mismas credenciales que usan para acceder a repositorios, pipelines y entornos en la nube. Si alguien compromete el Agente IA o uno de sus conectores, no se queda en la máquina local: entra en la organización con la identidad del desarrollador.

Figura 6: Cosas que puede hacer Neo en tus equipos de ingeniería

Los MCPs y “tools” enchufados al Agente AI agravan aún más el tema. De repente el modelo puede hablar con bases de datos internas, paneles de administración o scripts de automatización. Cuando algo falla, lo que aparece publicado son CVEs de impacto alto o crítico, porque no estamos hablando de un pequeño leak, sino de ejecución remota, escaladas de privilegios o acceso directo a datos sensibles. Si no, respasa el libro de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Los fabricantes de estas herramientas tratan de mitigar el problema interrumpiendo al Agente IA para que el usuario confirme el uso de la herramienta o recurso, pero esto deja de hacer al agente independiente y al final se acaban ejecutando en un modo “sí a todo” que invalida la mitigación.

Neo parte de un planteamiento distinto. La configuración es gestionada por los equipos de IT y seguridad, no por cada desarrollador en su portátil. Sus permisos se acotan por integraciones y políticas corporativas, de forma parecida a cuando incorporas a un contractor externo. Además, no es un sistema en el que se considera al LLM inteligente y se le pone en un loop hasta que consiga su objetivo.

Figura 8: Fix vulnerabilities before they happen

En su lugar, Neo tiene una serie de flujos deterministas optimizados para tareas de software, lo cual permite meter validaciones en cada paso del flujo, y dar a cada paso exclusivamente el contexto que necesita. Siguen siendo LLMs y el determinismo nunca está garantizado, pero Neo consigue de esta manera una ejecución mucho más predecible.

Problema: Productividad. acelerar solo al programador no mueve la aguja

Si preguntas a los desarrolladores, la mayoría dice que con IA va más rápido. Pero cuando miras las métricas del equipo, ya sea tiempos de entrega, funcionalidades desplegadas, bugs resueltos, … parece que los datos no concuerdan con la experiencia individual.

Al mirar el ciclo completo de una funcionalidad, queda bastante claro lo que está pasando: alguien pide una funcionalidad, se redacta y refina la especificación, se espera a dependencias (diseño, traducciones, otros equipos), se asigna, se desarrolla, se revisa el código, se diseña el plan de pruebas, se ejecutan los tests, se corrigen fallos y, si todo va bien, se despliega.

Figura 9: Project Plan de Ingeniería del Software

El tiempo que el desarrollador pasa escribiendo código es sólo un tramo de esa cadena. Aunque reduzcas a la mitad este tiempo, las dependencias, revisiones, validaciones y esperas siguen igual. El lead time de la funcionalidad casi no se mueve.

Figura 10: Code and test plans in Azure DevOps

Neo está diseñado para este escenario. A Neo no le das un prompt de dos líneas y por el otro lado sale un producto terminado, porque a un miembro del equipo tampoco le pides algo así. Neo ayuda a todos los miembros del equipo en todas las fases del ciclo de vida, aportando un poco a cada uno, acortando cada espera, y automatizando cada tarea monótona.

Como todo esto ocurre en las mismas herramientas colaborativas que ya usas para medir, el impacto se ve en lead time, throughput y calidad, no solo en la sensación subjetiva.

Cómo probar Neo en tu empresa.

Neo no es una herramienta para un proyecto individual ni para un equipo pequeño. Para eso, hay otras herramientas mejores. Neo no es tan potente como el último agente del que hayas oído hablar esta semana trabajando en un problema de forma autónoma todo un fin de semana. Ninguna demo de Neo te va a dejar boquiabierto.

Neo está específicamente diseñado para un entorno corporativo con equipos de entre 5 y 15 personas que siguen un proceso, ya sea ligero o pesado, coordinado en herramientas colaborativas y donde la especificación suele estar dispersa en varias herramientas y cambia constantemente.

Figura 11: Comienza a probar Neo desde hoy mismo

Puedes ver varias demos de Neo en acción para hacerte una mejor idea del concepto, y contactar con Sagittal AI para un piloto en tu empresa.

Un saludo,

Autor: José Palazón, CEO de Sagital.ai

Contactar con José Palazón