Un informático en el lado del mal

Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron

noreply@blogger.com (Chema Alonso) — Tue, 21 Apr 2026 05:01:00 +0000

Utilizar la Inteligencia Artificial para buscar vulnerabilidades es algo de lo que os he hablado en más de alguna ocasión. En el artículo de "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" os hablaba hace ya un años de que me extrañaba mucho que esto no fuera un parte fundamental de los repositorios de código. Y sobre explotar CVEs publicados sólo con la información pública, ya tuvimos en el año 2024 el paper de "LLM Agents can Autonomously Exploit One-day Vulnerabilities".

Figura 1: Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding

usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron

Esto, lógicamente, lleva a que la profesión de dedicarse al Bug Bounty haya cambiado, y empiece a ser imprescindible trabajar con los LLM tanto para la búsqueda como para la explotación, que es de lo que habla David Padilla en su libro de "Bug Hunter".

Figura 2:"Bug Hunter" escrito por David Padilla en 0xWord

Esto mismo es lo que ha hecho el investigador s1r1us con Google Chrome, para demostrar el riesgo que además esto tiene en las aplicaciones hechas con Electron, y que ha publicado en un artículo que debes leer "I Let Claude Opus Write a Chrome Exploit: The Next Model (Mythos?) Won't Need My Help?". El gran problema es que las aplicaciones hechas con Electron llevan embebidas versiones de Chrome completas, pero hay un gap entre la actualización y parcheo de vulnerabilidades de Google Chrome y las versiones que llevan aplicaciones súper populares hechas con Electron.

Figura 3: Versiones de Google Chrome en aplicaciones Electron

A día de hoy, estamos, tras la última actualización del 7 de Abril en Google Chrome 147, así que todos los bugs parcheados en esta última versión, aún están presentes en Cursor, Claude Desktop, Discord, Slack, etcétera. Así que... ¿por qué no, a partir de la publicación de los CVEs parcheados en Google Chrome usar Claude Opus (No Mythos) para intentar hacer el exploit de estas vulnerabilidades conocidas?

Figura 4: Lista de CVEs de criticidad alta parcheados en Google Chrome 147

Para ello, s1r1us estuvo enfocando a Claude Opus sobre distintos CVEs de los que no había exploit público, gastando tokens y dinero en ellos, hasta que encontró uno que el modelo descubrió cómo explotarlo, y con la ayuda del investigador - sólo con prompting - fue trabajando hasta que consiguió un código funcional que permitía ejecutar las primitivas de escritura y lectura dentro de la Sandbox de Google Chrome.

Figura 5: CVE explotado en el estudio

Por supuesto no es un 0-day, sino un 1-day o n-day, como quieras llamarlo, pero del que no existe un exploit público, por lo que sigue teniendo mucho valor en el mercado del bug bounty legítimo, pero como os podéis imaginar, también en el mercado negro.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

El siguiente fase hay que conseguir evadir la sandbox, y de esto no hay un CVE claro, pero el investigador hace una cosa maravillosa, que es irse a Chromium Tracker y buscar un reporte de existencia de este problema, y encontró el fallo descrito como: "V8 Sandbox Bypass: WasmCPT handle UAF by import dispatch table growth", un fallo conocido en la V8 Sandbox de Chromium.

Figura 7:"V8 Sandbox Bypass: WasmCPT handle UAF by import dispatch table growth"

Así que apuntó a Cloud Opus hacia él, y juntando las dos piezas fue capaz de conseguir construir un exploit totalmente funcional para un CVE público del que no había exploit conocido, y que tiene un valor espectacular para el equipo de seguridad de Google, para las empresas de seguridad ofensiva y, por supuesto para el black market.

Figura 8: Explotando el Sandbox

Por supuesto, los datos son los más interesantes, porque dejan ver el mundo hacia donde vamos, y que como podéis ver permite que con unas 20 horas de trabajo de "babysitter", y unos 2.000 USD en tokens se posible explotar un CVE conocido que está sin parchear en tooooooodas las aplicaciones Electron tan populares que tenemos hoy en día, con millones de instalaciones en todas las empresas y organizaciones que te puedas imaginar.

Figura 9: Coste en Tokens para hacer el exploit funcional

Estos exploits, se pagan en los Bug Bounties por unos 10.000 USD, así que sigue saliendo positivo en términos económicos el experimento, pero sobre todo pensando en la evolución de estos modelos. ¿Cómo será este mundo cuando se liberen modelos como Mythos? ¿Podremos permitirnos publicaciones de CVEs con tanta información pública?

Figura 10: Explotación del CVE-2026-5873 con Claude Code. Horas, tokes y coste

¿Serán sostenibles estos gaps entre los componentes y las aplicaciones que usan esos componentes? En la gráfica anterior tenéis un resumen de los días, las horas, los tokens y los costes invertidos en conseguir hacer este exploit. En el mundo de los exploits, estos costes son ridículos, y tener exploiters experimentados capaces de hacer estas cosas suele costar mucho más dinero. Mundo curioso al que vamos.

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

The Veracity Report: Cómo detectar las "Hallucinated Citations" en los Papers Académicos

noreply@blogger.com (Chema Alonso) — Mon, 20 Apr 2026 04:01:00 +0000

Como sabéis me gusta seguir la publicación de papers académicos que tienen que ver con los temas que me interesan, y esto que se cuenta aquí lo he sufrido en alguna ocasión. Me descargo un paper que habla de Jailbreak en LLMs, y de repente me referencia con una cita a un paper académico que tiene un título interesante y que no conozco, así que voy a buscarlo.... y el paper citado no existe. Existen los autores, pero cuando me voy a las páginas personales de los autores, dicho paper no está publicado. Es una cita generada con Inteligencia Artificial y es una alucinación.

Figura 1: The Veracity Report: Cómo detectar las "Hallucinated Citations"

en los Papers Académicos

Estas Hallucinated Citations son un problema que cada vez se está haciendo más grande, llegando a ratios que pueden ser muy altos, según cuenta la revista Nature. Algo que hay que empezar a controlar, ya que en un mundo de extrema rigurosidad como es el académico, esto significa un deterioro de la calidad de las fuentes, lo que no es correcto.

Un estudio sobre Hallucinated Citations

En el estudio que hicieron en el año 2025 con 4.000 papers académicos, encontraron que 65 de ellos tenían al menos una Hallucinated Citation, lo que significaría que en los más de 7 Millones de documentos publicados el año pasado podrían existir más de 110.000 documentos con Hallucinated Citations.

Figura 2: Hallucinated Citations

Si has hecho un doctorado, sabes el trabajo que exige. Cuando ya tienes el tema de uno de los papers, debes pasar por el proceso de publicarlo, y para ello este tiene que estar bien referenciado, no sólo con los documentos que hayas utilizado tú en su escritura, sino con los papers relevantes de los investigadores que han hecho aportes significativos a lo que estás estudiando tú. No tener las citas correctas significa que puede que te rechacen el paper en una publicación durante la Blind Revision por tus pares.

Figura 3: El estudio sobre las Hallucinated Citations en Nature

Como te puedes imaginar, el trabajo de citar correctamente es arduo, y es verdad que cuando tienes una línea de investigación, y has publicado ya dos o tres papers, hacer las referencias en los subsiguientes papers es mucho más rápido porque son compartidas en su gran mayoría. Pero si estas empezando, o si estás estudiando y publicando sobre un tema que va muy rápido con muchos aportes constantes - por ejemplo los temas de Hacking AI -, el número de papers que aparecen constantemente te obliga a trabajar en sus citas.

Figura 4:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Consecuencia de eso, es pedirle a la Inteligencia Artificial que te haga las referencias. Que busque en Internet los papers que habría que incluir, y que los ponga. Y ahí es donde llega la "Hallucinated Citation", que como se publica en el artículo de la revista Nature, hay que comenzar a poderle interés para que no siga creciendo.

Figura 5: The Veracity Report

Para ello, la empresa Grounded AI ha creado The Veracity Report, que es un Citation Checker para comprobar si un documento tiene Hallucinated Citations, tanto en el documento, como en el autor, como en el contenido.

Figura 6: Citas correctas en un paper académico

Hay que tener en cuenta que no se trata de poner citas y referencias, sino poner las relevantes para el trabajo de investigación que se está publicando, por lo que la herramienta que han propuesto verifica también la calidad de las mismas.

Figura 7: Hallucinated Citations en The Veracity Report

Su funcionamiento es muy sencillo, y contrasta las referencias frente a los documentos publicados en todos lo repositorios robustos, ofreciendo a los congresos y revistas científicas una forma de asegurarse de que la calidad de sus publicaciones sigue siendo buena, al menos respecto a las citas de los papers que aceptan en sus Call-For-Pappers.

Figura 8: Check de calidad de las citas

Para poder utilizar la herramienta hay que solicitar acceso a la plataforma para una demostración, pero puedes ver cómo funciona en este vídeo que te dejo por aquí, que se ve muy claro su funcionamiento y su utilidad.

Figura 9: Citation Verification Score

Como podemos ver, el uso de la Inteligencia Artificial se está metiendo en todas las disciplinas, y por tanto, controlar sus "weaknesses" es clave, como este caso con las Hallucinated Citations en los papers académicos.

Figura 10: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Es sólo un punto. Date otra oportunidad. No te desalinees.

noreply@blogger.com (Chema Alonso) — Sun, 19 Apr 2026 04:01:00 +0000

En la vida a veces salen cosas bien y a veces salen cosas mal. A veces te topas con gente que te apoya y otras veces te encuentras con gente que no te apoya, o incluso peor. A veces tomas decisiones correctas y otras tomas decisiones erróneas. A veces tienes un conflicto con alguien que te ataca. Otras te encuentras con personas que te apoyan. Todo parte de un ciclo que se va repitiendo muchas veces.

Figura 1: Es sólo un punto. Date otra oportunidad. No te desalinees

Esos días que pasan cosas buenas hay que poner las cosas en su justa medida y no dejar que la euforia te nuble la vista para no tomar una mala decisión basada en una percepción equivocada, pero los días que salen mal las cosas son días especiales para trabajar. Esos días puedes encontrarte que algo ha salido mal porque alguien te ha fallado, te la ha jugado, o has errado. Y al igual que hay que luchar contra la euforia, hay que luchar contra la emoción que cada uno de esos errores genere en uno. A veces es frustración, otras enfado e ira, otras pena o decepción, e incluso puede que genere rabia o sentimientos.

Conocer cuales son tus emociones ante esas situaciones es algo que yo intento reconocer, con mecanismos de detección, para contrarrestarlas con mecanismos de mitigación. No puedo dejar que ni una ni otra emoción me cambien la percepción y el foco. No podemos dejar que nos desalineen del objetivo en el que estamos centrados porque algo haya salido bien o mal en el camino.

Esto lo explicaba muy bien el maravilloso Roger Federer en su discurso en el acto de graduación de una universidad, donde él lo decía con "es sólo un punto". Ha salido bien, pero es sólo un punto, no hemos llegado a ningún sitio. Ha salido mal, pero aún no está perdido todo, es sólo un punto. Y es que la vida se trata de conseguir que por un margen pequeño los puntos buenos venzan a los puntos malos. Y no dejar que ni uno ni otro juego en contra de tu concentración y te desalineen de tu objetivo.

Figura 2: Roger Federer "It´s just a point"

Que alguien te quiera atacar o hacer daño y tú decidas que debes invertir tu valioso tiempo y energía en responderle, atacarle o comenzar una batalla es invertir tu más valioso tesoro en cosas que no están alineadas con tu objetivo. Que un éxito te haga olvidarte de que debes seguir trabajando con humildad, cada día, es dejar que tu ego te ciegue en lo que debes hacer para ganar el siguiente punto. Todos son sólo un punto, pero debes procesarlos y prepararte lo mejor para el siguiente.

Para eso, llevo años trabajando mensajes que me envío como "que sea esto lo peor que te pase", o "éste es el momento que marca la diferencia entre los que realmente quieren y los que dicen que quieren", "tampoco has hecho tanto, lo puedes hacer mejor", "ni un segundo en lamento, a por lo siguiente", frases que me ayudan a dejar atrás los puntos positivos - y no perder un momento demás en la celebración y la vanagloria -, y los puntos negativos - y no perder un minuto en emociones que me puedan desalinear de mi foco -. No recuerdo un día en el que no me haya dicho algo así a mí.

De eso salen mi demonio cabrón, o la aceptación de que en la vida mayormente hay inconvenientes e incomodidades más que problemas. Por eso el trabajo de protección contra la manipulación de terceros por miedos. Esta gestión de mis emociones es fundamental para poder focalizarme en todos los proyectos en los que me meto y disfruto haciendo. Controlar las emociones para que no se conviertan en un punto de desalineamiento de mis objetivos es un trabajo constante que me ayudan a tener disciplina en mi trabajo diario.

Y es muy importante. Tanto que, cuando escribí el artículo de "La formación para el nuevo "emperador" y la nueva "emperatriz"" donde os hablaba de las recomendaciones que yo le doy a Mi Hacker y Mi Survivor, una de ellas es la gestión de las emociones. Gestionar que las cosas salgan mal es mucho más sencillo si tú no estás de enemigo, y la quién pelea en contra tuya son tus emociones. Y gestionar el éxito es mucho más sencillo si tus emociones no te engañan. Al final, es solo un punto del juego, que es mucho más largo.

Figura: Rafa Nadal sobre gestionar el éxito y el fracaso

Dice Rafa Nadal que, además de gestionar el éxito y el fracaso, él se daba más oportunidades, así que después de cada fallo, en lugar de enfadarse y frustrarse, pensaba en cómo hacerlo mejor la siguiente vez. Confiar en uno mismo es darse más oportunidades. Dejar que las emociones negativas como la ira, la rabia o la frustración tomen control de tus actos, es no tener todo tu potencial al servicio de tus objetivos.

Figura 4: Date oportunidades

Esto, lo hablo mucho con mis hijas. Les cuento todas las veces que me salieron mal las cosas, todas las veces que erré y que conté en el discurso de graduación en la Universidad Carlos III. En todas esas ocasiones, cuando me habían salido mal las cosas, las emociones negativas intentaron adueñarse de mí. Luchar contra ellas y pensar en qué hacer desde la nueva situación teniendo en cuenta lo que había pasado, es parte de lo que me ayudó a hacerlas buenas.

No quiere decir que no hubiera ido bien o mejor si no hubiera fracaso, errado, o salido simplemente algo mal en el plan original, en el Plan A -, sino que pude hacer que el Plan B funcionara - o el Plan C o el D -, porque no perdí mi foco por un incidente negativo. Por supuesto, no tengo ni idea ya de cuál era el Plan A que tenía en mi cabeza a la edad de Mi Hacker o de Mi Survivor, porque vas bajando por la pista de la vida y te pasan cosas, encuentras nuevas rutas, gente en el camino, vas descubriendo mapa, y al final haces que el viaje sea divertido mientras te deslizas y caes por la pista.

Así que, a Mi Hacker y Mi Survivor intento transmitirles estas lecciones. Que hagan lo máximo para que el punto sea positivo, que no se digan mentiras en cuanto a lo que hacen bien o mal, y después, que si ha salido bien, piensen que sólo ha sido un punto y no permite relajarse ni un ápice, y si ha salido mal, que hay que trabajar para que el siguiente punto - sea cual sea el que toque o el que decidan que toca -, sea positivo.

Al final, la metáfora del tenis me encanta, porque mientras que no ha terminado el partido, no importa cómo vaya el marcador, puede ganar cualquiera. Así que puedes haber ganado todos los puntos menos el último, y tu oponente no haber ganado ninguno, pera aún puede ganarte. Y viceversa, mientras tengas oportunidades, tiempo y energía, puedes ganar el partido. Así que no dejes que los resultados anteriores te desalineen y te hagan perder el foco en tus objetivos.

¡Saludos Malignos!

PD: Hoy he usado a Rafa Nadal y Roger Federer no por casualidad. El tenis me parece el deporte más difícil. Estás solo. Hasta que no entra el último punto todo puede pasar. Es un deporte donde hay que ser bueno físicamente, hay que ser bueno tácticamente, hay que ser bueno técnicamente, hay que tener fuerza mental, y ganar es muy difícil por todos los que compiten. "Sólo" hay que estar recibiendo en la posición correcta, correr hacia donde te la lanza el rival, decidir dónde la quieres poner, y hacer un gesto técnico en movimiento para que la pelota vaya donde tu quieres. Y moverte a la posición correcta para recibir el siguiente punto. Y hay que hacerlo una y otra vez durante horas....Brutal.

Autor: Chema Alonso (Contactar con Chema Alonso)

BuddyBeam: Plataforma de avatares fotorrealistas que atienden a tus clientes

noreply@blogger.com (Chema Alonso) — Sat, 18 Apr 2026 04:01:00 +0000

Llevo muchos años trabajando en tecnología. Siempre me ha gustado construir cosas, entender cómo funcionan por dentro y buscar la manera de que funcionen mejor. En algún momento esa curiosidad se juntó con la Inteligencia Artificial y empecé a hacerme una pregunta que ya no pude quitarme de la cabeza. ¿Y si pudiéramos crear personas virtuales capaces de mantener conversaciones reales, con expresiones faciales naturales, en cualquier idioma, en tiempo real? Y no hablo de chatbots con un muñeco animado. Hablo de algo que cuando lo ves por primera vez te hace dudar de si es una persona real o no. Así nació BuddyBeam.

Figura 1: BuddyBeam - Plataforma de avatares

fotorrealistas que atienden a tus clientes

Lo he construido desde cero, yo solo, desde Tarragona. Sin equipo, sin depender de APIs de terceros, sin atajos. Todo el stack tecnológico es mío: el reconocimiento de voz, la síntesis vocal, el motor de renderizado del avatar. ¿Por qué hacerlo así? Porque para ofrecer algo que de verdad marque la diferencia, necesitaba tener el control total de la experiencia.

¿Qué es BuddyBeam?

BuddyBeam crea avatares fotorrealistas con los que puedes hablar en tiempo real. Los ves, te escuchan, te entienden y te contestan con voz natural y expresiones faciales que acompañan lo que dicen. Y lo hacen en más de 20 idiomas de forma nativa, no traducidos: cada idioma suena como tiene que sonar, con su voz, su cadencia y su personalidad.

Figura 2: BuddyBeam

Pero esto no va solo de una cara que habla. Lo interesante es lo que hay detrás. El avatar está conectado al negocio del cliente. Puede contestar preguntas sobre servicios, guiar al usuario en una compra, recomendar productos, gestionar reservas o pasar la conversación a un humano si hace falta. En la práctica, es un comercial que no duerme, no se pone enfermo, habla todos los idiomas y atiende a todos los clientes a la vez. Funciona 24 horas, 7 días, sin colas y sin esperas.

Figura 3: Maya, de BuddyBeam

Si quieres verlo funcionando, entra en BuddyBeam y habla con Erik o Maia. Lo que ves ahí es exactamente lo que se puede meter en cualquier web, app o dispositivo.

¿Dónde se puede aplicar?

La tecnología de BuddyBeam vale para muchas cosas, pero todas tienen algo en común: ayudan a vender más, a retener mejor al cliente y a reducir costes operativos. Cualquier situación donde alguien necesita información o atención y un negocio quiere dársela de forma inmediata, personalizada y sin tener que contratar a más gente. Os cuento algunos ejemplos concretos:

Hoteles y hospitality

Llegas a un hotel después de un vuelo largo. Son las 2 de la madrugada, hay un recepcionista para todo el hotel, y tú quieres saber dónde puedes cenar algo, cómo va lo del spa o simplemente pedir una almohada extra. Con un avatar de BuddyBeam en una tablet en la habitación o accesible desde tu móvil con un QR Code, todo eso se resuelve al momento, en tu idioma, sin molestar a nadie.

Figura 4: BuddyBeam para Hoteles y Hospitality

Y aquí viene lo bueno para el hotel: ese mismo avatar puede recomendar un upgrade de habitación, sugerir el restaurante del hotel en vez de uno externo, o vender la sesión de spa que el huésped ni sabía que existía.

Figura 5: BuddyBeam para Hoteles y Hospitality

Todo de forma natural, dentro de la conversación. Es atención al cliente y canal de venta al mismo tiempo. La solución de BuddyBeam para hoteles está certificada por Thinktur, la Plataforma Tecnológica del Turismo de España. El avatar se conecta con los sistemas de gestión del hotel y le ofrece al huésped una experiencia de conserjería digital de verdad, conversacional, no un menú con botones.

Cualquier página web

Los chatbots de texto llevan años siendo lo habitual en atención al cliente online. Pero vamos a ser sinceros: casi nadie los usa a gusto. Son rígidos, fríos y muchas veces frustrantes. El resultado es que el visitante se va de tu web sin comprar, sin preguntar, sin dejar sus datos. BuddyBeam cambia eso completamente.

Un avatar fotorrealista metido en tu web que saluda, escucha y contesta como lo haría tu mejor comercial, pero sin horario, sin cansarse y en el idioma que hable tu cliente. El visitante se queda, pregunta, y convierte. Es la diferencia entre una web que informa y una web que vende.

Figura 6: BuddyBeam Care

Y esto vale para cualquier sector: una clínica dental que quiere resolver dudas y que el paciente reserve la cita ahí mismo, un e-commerce que quiere guiar la compra y reducir el abandono del carrito, un despacho de abogados que quiere filtrar y cualificar consultas antes de asignar un letrado, una inmobiliaria que quiere enseñar pisos disponibles y agendar visitas, una universidad que necesita atender a estudiantes internacionales y captar matrículas... el abanico es enorme.

Datacenters e infraestructura crítica

Los datacenters son un entorno donde la seguridad y el control lo son todo. Un avatar de BuddyBeam en recepción puede encargarse de identificar visitantes, verificar autorizaciones y explicar los procedimientos de acceso, todo en varios idiomas para equipos internacionales. Complementa al personal de seguridad sin sustituirlo.

Pero donde se pone realmente interesante es en el portal de cliente. Los clientes de un datacenter pueden entrar en su panel y hablar directamente con el avatar para crear cross connects, abrir tickets de inbound y outbound, solicitar smart hands, o consultar datos en tiempo real como la temperatura o el consumo de potencia de sus cages y cabinets.

En vez de navegar por menús o esperar a que alguien conteste un ticket, le dices al avatar lo que necesitas y él se encarga. Para el operador del datacenter eso significa menos tickets, menos llamadas al NOC, menos errores humanos y clientes más satisfechos que renuevan contratos.

Administración pública y servicios ciudadanos

Otro sitio donde esto tiene muchísimo sentido: los portales de administración pública. Un avatar que atiende al ciudadano a cualquier hora, en varios idiomas, guiando trámites, resolviendo dudas y quitando presión a los canales presenciales y telefónicos.

Figura 7: Demo de BuddyBeam en acción

Menos colas, menos llamadas, menos frustración. Y conectado a los sistemas de la administración para dar respuestas reales, no respuestas genéricas.

¿Por qué tecnología propia?

Hoy en día la mayoría de startups de IA son básicamente un wrapper de la API de otro. BuddyBeam va por otro camino. Todo el stack tecnológico (reconocimiento de voz, síntesis de voz, renderizado del avatar, lógica conversacional) lo he desarrollado yo y corre en mis propios servidores en España.

Figura 8: ¿Quieres probar BuddyBeam?

¿Por qué? Porque cuando dependes de la API de otro, no controlas la calidad, ni la latencia, ni el precio, ni la privacidad de los datos de tus clientes. Con infraestructura propia puedo garantizar tiempos de respuesta mínimos, control total sobre los datos y la posibilidad de personalizar cada detalle de la experiencia para cada cliente.

Y tener tecnología propia significa que no hay intermediarios. Si un cliente necesita una voz concreta, un comportamiento específico del avatar o una integración con su sistema, lo hago. No dependo de que un proveedor externo meta esa feature en su roadmap.

¿Qué viene ahora?

BuddyBeam está en fase de lanzamiento comercial. El producto está construido, probado y certificado. Ahora viene lo bueno: ponerlo en manos de empresas que quieran vender más, atender mejor y gastar menos. Si tienes una empresa y esto te ha picado la curiosidad, entra en buddybeam.app y pruébalo tú mismo. Habla con el avatar, hazle preguntas, ponlo a prueba. Y si te interesa ver cómo podría funcionar en tu caso, contacta conmigo.

Saludos,

Autor: Jorge Macías, Fundador de BuddyBeam

Contactar con Jorge Macias, Fundador de BuddyBeam

Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo

noreply@blogger.com (Chema Alonso) — Fri, 17 Apr 2026 04:01:00 +0000

El avance de la IA Generativa y Agéntica no es nada menos que espectacular y, casi indudablemente, la mayor y más rápida revolución tecnológica de la historia. Llevamos unos años oyendo la promesa de agentes autónomos y desarrolladores multiplicados por diez, sin embargo, cuando miras a un equipo de desarrollo de software en un entorno corporativo, los atascos aún son los de siempre. La realidad es que aunque las demos presentan unos escenarios idílicos, esta tecnología no está todavía al nivel al que se nos presenta.

Figura 1: Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo

Neo es el producto que hacemos en Sagittal AI, una empresa que no vende magia, sino que trata de maximizar el partido que se le puede sacar a la IA, aceptando sus limitaciones, y del cual hablé en esta conferencia que os dejo por aquí.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Pero hoy os quiero hablar de tres problemas concretos que, si has trabajado en equipos de desarrollo de software seguro que conoces bien. Vamos a verlos uno a uno.

Problema: La interfaz. De secretario/a del bot a delegar trabajo

El patrón actual te será familiar: abres el chat o el plugin del IDE, te conviertes en “prompt engineer”, le explicas al agente lo que quieres, le pegas medio ticket, añades fragmentos de código, corriges lo que ha entendido mal… y vuelta a empezar. El asistente de IA no está tanto a tu servicio como tú al suyo.

El problema es que con ese esquema no puedes delegar de verdad. Tienes que estar presente, pendiente del chat, confirmando el plan, cada paso, y desbloqueando al agente cuando se atasca, o reconduciendo cuando se pierde. El cuello de botella sigue siendo tu tiempo. Mientras el humano tenga que estar “en la sala” para que las cosas avancen, la productividad solo sube un poco, nunca un orden de magnitud. Algunos CLIs e IDEs han intentado introducir gestión de tareas en background pero, en la práctica, son difíciles de configurar y usar y casi nadie las adopta.

Figura 3: Neo funciona integrado en tus plataformas de ingeniería del software

Neo resuelve este problema de forma que la interacción entre IA y humano sea exactamente la misma que entre humano y humano. No hace falta una interfaz de usuario nueva. Si se trata de delegar, ya tenemos herramientas colaborativas para delegar y trabajar en equipo: Jira, GitHub, Azure DevOps, Confluence, Figma…

Figura 4: Tools con las que se integra Neo

A Neo se le asignan tareas como a cualquier miembro del equipo, se encarga de buscar contexto en tus tickets, documentos, código, crear la rama, implementar cambios, escribir pruebas, resolver el CI si falla, y actualizar el estado de las tareas según el "Way of Working" del equipo.

Figura 5: Pull request diagrams

Tú te vas a otra cosa y vuelves cuando hay PR lista para revisar, y lo haces en herramientas que llevan 15 años perfeccionando la UX para revisar código. ¿Que quieres iterar? Comentarios en la propia PR ¿Que no te gusta el resultado? Descarta la PR, y no has perdido ni el dinero ni el tiempo.

Problema: Seguridad. CVEs críticos y teatro de permisos

La mayoría de los desarrolladores trabajan en portátiles no plataformados y con permisos de administración. Los agentes que ejecutan corren con sus mismos permisos y las mismas credenciales que usan para acceder a repositorios, pipelines y entornos en la nube. Si alguien compromete el Agente IA o uno de sus conectores, no se queda en la máquina local: entra en la organización con la identidad del desarrollador.

Figura 6: Cosas que puede hacer Neo en tus equipos de ingeniería

Los MCPs y “tools” enchufados al Agente AI agravan aún más el tema. De repente el modelo puede hablar con bases de datos internas, paneles de administración o scripts de automatización. Cuando algo falla, lo que aparece publicado son CVEs de impacto alto o crítico, porque no estamos hablando de un pequeño leak, sino de ejecución remota, escaladas de privilegios o acceso directo a datos sensibles. Si no, respasa el libro de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Los fabricantes de estas herramientas tratan de mitigar el problema interrumpiendo al Agente IA para que el usuario confirme el uso de la herramienta o recurso, pero esto deja de hacer al agente independiente y al final se acaban ejecutando en un modo “sí a todo” que invalida la mitigación.

Neo parte de un planteamiento distinto. La configuración es gestionada por los equipos de IT y seguridad, no por cada desarrollador en su portátil. Sus permisos se acotan por integraciones y políticas corporativas, de forma parecida a cuando incorporas a un contractor externo. Además, no es un sistema en el que se considera al LLM inteligente y se le pone en un loop hasta que consiga su objetivo.

Figura 8: Fix vulnerabilities before they happen

En su lugar, Neo tiene una serie de flujos deterministas optimizados para tareas de software, lo cual permite meter validaciones en cada paso del flujo, y dar a cada paso exclusivamente el contexto que necesita. Siguen siendo LLMs y el determinismo nunca está garantizado, pero Neo consigue de esta manera una ejecución mucho más predecible.

Problema: Productividad. acelerar solo al programador no mueve la aguja

Si preguntas a los desarrolladores, la mayoría dice que con IA va más rápido. Pero cuando miras las métricas del equipo, ya sea tiempos de entrega, funcionalidades desplegadas, bugs resueltos, … parece que los datos no concuerdan con la experiencia individual.

Al mirar el ciclo completo de una funcionalidad, queda bastante claro lo que está pasando: alguien pide una funcionalidad, se redacta y refina la especificación, se espera a dependencias (diseño, traducciones, otros equipos), se asigna, se desarrolla, se revisa el código, se diseña el plan de pruebas, se ejecutan los tests, se corrigen fallos y, si todo va bien, se despliega.

Figura 9: Project Plan de Ingeniería del Software

El tiempo que el desarrollador pasa escribiendo código es sólo un tramo de esa cadena. Aunque reduzcas a la mitad este tiempo, las dependencias, revisiones, validaciones y esperas siguen igual. El lead time de la funcionalidad casi no se mueve.

Figura 10: Code and test plans in Azure DevOps

Neo está diseñado para este escenario. A Neo no le das un prompt de dos líneas y por el otro lado sale un producto terminado, porque a un miembro del equipo tampoco le pides algo así. Neo ayuda a todos los miembros del equipo en todas las fases del ciclo de vida, aportando un poco a cada uno, acortando cada espera, y automatizando cada tarea monótona.

Como todo esto ocurre en las mismas herramientas colaborativas que ya usas para medir, el impacto se ve en lead time, throughput y calidad, no solo en la sensación subjetiva.

Cómo probar Neo en tu empresa.

Neo no es una herramienta para un proyecto individual ni para un equipo pequeño. Para eso, hay otras herramientas mejores. Neo no es tan potente como el último agente del que hayas oído hablar esta semana trabajando en un problema de forma autónoma todo un fin de semana. Ninguna demo de Neo te va a dejar boquiabierto.

Neo está específicamente diseñado para un entorno corporativo con equipos de entre 5 y 15 personas que siguen un proceso, ya sea ligero o pesado, coordinado en herramientas colaborativas y donde la especificación suele estar dispersa en varias herramientas y cambia constantemente.

Figura 11: Comienza a probar Neo desde hoy mismo

Puedes ver varias demos de Neo en acción para hacerte una mejor idea del concepto, y contactar con Sagittal AI para un piloto en tu empresa.

Un saludo,

Autor: José Palazón, CEO de Sagital.ai

Contactar con José Palazón

¿Qué se necesita para tener seguras las identidades digitales en la empresa?

noreply@blogger.com (Chema Alonso) — Thu, 16 Apr 2026 04:01:00 +0000

La semana pasada un amiguete y compañero de profesión me hizo esta pregunta: "¿Que necesitaría para tener seguras las identidades digitales en mi empresa?" ¿Necesitaríamos invertir más en Soluciones de Gobierno de la Identidad, de Gestión de Cuentas Privilegias, Control de Acceso, CIAM, Multifactor Authentication? ¿O sería conveniente que empezáramos a mirar soluciones de ISPM (Identity Security Posture Management) o ITDR (Identity Threat Detection and Response)?

Figura 1: ¿Qué se necesita para tener seguras

las identidades digitales en la empresa?

Una pregunta de muñeca rusa, donde una pregunta lleva a otra y a otro. Para responderle fácilmente, y comenzar la conversación con un poco más de contexto, la respondí cariñosamente que eso dependerá de los resultados de la Evaluación de Riesgos. Así que si ya tenía una duda, yo le acababa de meter un nivel más de complejidad, que hizo que se le quedara cara de sorprendida.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Hay que tener en cuenta que no en todas las organizaciones, los departamentos que gestionan la Seguridad de las Identidades Digitales, están integrados en el área de seguridad, y en muy pocos se realiza una evaluación de riesgos más o menos formal para concluir los controles a implementar en base a los riesgos identificados.

Riesgos de Seguridad de la Gestión de Identidades

Seguidamente la invite a reflexionar de manera una poco más profunda, y estuvimos comentando los escenarios riesgos principales que afectan a la Gestión de Identidades Digitales y que controles mitigantes en formato de soluciones de seguridad de la identidad sería conveniente implementar en base a los mismos:

Leavers: Casos frecuentes de personas que abandonan la compañía y cuyas cuentas de acceso a la organización no se desactivan a tiempo - o nunca- o usuarios que cambian de departamento y arrastran sus permisos de acceso a sistemas. En este caso deberíamos priorizar una herramienta de Gobierno de Identidades Digitales.

Cuentas Privilegiadas Sin Control: Administradores de sistemas o aplicaciones que mantienen el acceso privilegiado asignado de manera permanente y no se monitoriza / controla cómo usan sus privilegios. En este caso deberíamos priorizar la implementación de una solución que nos permita movernos a un escenario de Zero Standing Privileges (ZSP) y que asigne los permisos de administrador durante el tiempo que se necesiten para realizar la tarea administrativa y siguiendo el flujo de aprobación necesario.

Figura 3: Demostración de Robot de Tokens OAuth de identidades

También dependiendo del escenario podría ser conveniente implementar una solución que haga grabación e indexación de sesiones como las que aportar los Privileged Access Manager (PAM) tradicionales, aunque de manera generalista no es algo que, a mí personalmente, me guste del todo, ya que la telemetría que ofrecen hoy en día los End-Point Detection & Response (EDR) es suficiente en la mayoría de los casos para tener un tracking que nos permita identificar cómo los administradores utilizan sus permisos administrativos.

Acceso con una autenticación débil: Tanto a aplicativos como a servicios expuestos en Internet - e incluso que no están expuestos en Internet hoy en día 😊 -. En este caso los Identity Providers (IDP) que la mayoría de las empresas tienen, como pueden ser Azure AD o Google IDP, ya tiene capacidades más que suficiente para proveer una autenticación robusta, pero claro hay que configurarlos bien. Sin embargo, hoy en día una autenticación con usuario y contraseña + un Multi-Factor Authentication (MFA) compartido por SMS es algo que se nos queda un poquito cortito en cuanto a seguridad.

Figura 4: Las Yubikeys para gestión de Passkeys

Por lo tanto deberías abogar por implementar Passkeys en la medida de los posible, y ya de paso, quitamos a los usuarios el dolor de las passwords añadiendo unas políticas de acceso condicional que tengan una inteligencia mínima que haga que el sistema sea capaz de reaccionar frente amenazas del sistema de autenticación como puede ser cambios de ubicación imposibles o un usuario que se autentica con una parámetros que difieren bastante de sus comportamientos, tales como horarios y localizaciones de login.

Riesgos asociados con las identidades de Business Partners: Ya sean clientes, proveedores, o fabricantes, que consumen servicios digitales que provee la empresa. En este caso sería conveniente contar con un Customer Identity & Access Management (CIAM) que nos permita unificar la experiencia de usuario en su proceso de autenticación, aportando seguridad y reducción fricción, así como asegurar el cumplimiento a normativas que puedan ser aplicables como el Reglamento General de Protección de Datos (RGPD) y tunear la experiencia del usuario

Riesgo de Fraude debido a Conflictos de Segregación de Funciones: o dicho de otra de manera más sencilla con un par de ejemplos, que el mismo usuario tenga permisos para hacer las nóminas y liberar los pagos, o que el mismo usuario tenga permisos para crear solicitudes de pedidos de compras y aprobar la mismas.

En este caso necesitaremos una solución de estilo Government Risk & Compliance (GRC) que nos permita controlar conflictos de segregación de funciones, idealmente de manera proactiva, y que sea multi aplicación, es decir, que no se limite a los permisos de una sola aplicación, como el ERP. Esto es algo que algunas herramientas de Gobierno de Identidades proveen, y también, obviamente, existen soluciones dedicadas a mitigar este tipo de riesgos

No creo que sea necesario seguir con más ejemplos, entiendo que con estos cinco casos se ve bastante bien que los riesgos que se busquen proteger en la gestión de identidades deben priorizar la decisión sobre que tecnologías debes implantar. Como habéis visto, además, no he querido tirarme al barro del riesgo relacionado las Non-Human Identities - y las tecnologías de seguridad para las Non-Human Identities -o las Identidades de Agentes IA, ya que estos actúan en nombre del usuario, o con su propia identidad, por lo que se debe tener en cuenta que los mismos van a trabajar en base objetivos y no de manera determinista, por lo tanto sus permisos es fácil que necesiten cambiar mientras estás realizando una tarea.

Figura 5: Identidades NO Humanas (NHI "Non-Human Identities").

La Gestión de un Riesgo de Seguridad Emergente

Esto seguro que nos da para otro artículo dedicado, aunque si me gustaría mencionar que esto a día de hoy es un riesgo relevante real, principalmente para organizaciones mas avanzadas tecnológicamente hablando (por supuesto que llegará al resto). Esta es una categoría que aún está siendo construida - no olvidéis que el primer Agentic AI lo vimos en diciembre de 2024, con lo que llevamos menos de un año y medio con los agentes, y empresas como Cloudflare están construyendo arquitecturas de referencia para la gestión de la seguridad de estas identidades.

Figura 6: Arquitectura de MCP Security en Cloudflare

Como conclusión, me gustaría resaltar la importancia de definir un roadmap de trabajo dentro del Plan Director de Seguridad con todas las iniciativas relacionadas con la Seguridad de Identidades en base a los riesgos que necesitemos mitigar. Y por supuesto, que seamos conscientes de que la seguridad de la identidad digital en muchas ocasiones (cada más) es la única capa de defensa, por lo tanto debemos tomarnos muy en serio esta labor, e implementar las medidas de protección pertinentes hasta llevar el nivel de riesgo a ratios aceptables para nuestra organización. O atente a las consecuencias.

Saludos,

Autor: Samuel López Trenado, especialista en Gestión de Identidades Digitales

Contactar con Samuel López Trenado

Una entrevista en el Foco de Maria Zabay

noreply@blogger.com (Chema Alonso) — Wed, 15 Apr 2026 05:01:00 +0000

Hoy, que esta semana estoy de muchos viajes, os traigo por aquí la entrevista que me hizo Maria Zabay en su espacio de El Foco, por el que hemos pasado muchos como David Summers o Arturo Pérez-Reverte, y que por supuesto no podía faltar. En esta ocasión para hablar de Inteligencia Artificial y los retos para el trabajo, la sociedad, y los tiempos que vivimos hoy en día.

Figura 1: Una entrevista en el Foco de Maria Zabay

La entrevista me la hizo Maria Zabay, y sacamos el máximo provecho a los 40 minutos que teníamos, así que nos dio tiempo a hablar de muchas cosas. De Agentes AI, de Ciberseguridad, de la visión de Cloudflare, del trabajo hecho por la IA reemplazando a las personas, y de los problemas que podríamos tener si esta se volvía maliciosa o era vulnerada.

Figura 2: Contactar con María Zabay

Toda la entrevista la tenéis integra en Youtube, y os la dejo por aquí para que podáis verla, que seguro que si empiezas la terminas porque va muy rápida. Muchas preguntas, poco tiempo para contestar, que deja como resultado una entrevista con muchas cosas para pensar en ellas.

Figura 3: Maria Zabay entrevista a Chema Alonso en El Foco

Además, como podéis ver, es posible contactar con Maria Zabay por MyPublicInbox, y tenéis todas las entrevistas en sus vídeos de Youtube donde podéis perderos viendo a grandes entrevistados hablando de cosas con la misma intensidad y velocidad.

Figura 4: Vídeos de El Foco de Maria Zabay

Y nada más, que disfrutéis el día que yo voy de viaje para un evento en Zaragoza, así que me toca estar en otro "foco" hoy. Os deseo un gran día.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Arrogante: Bases de la 1ª Edición de los premios MIRA (10.000 €)

noreply@blogger.com (Chema Alonso) — Tue, 14 Apr 2026 05:01:00 +0000

Si te digo que, por grabar un vídeo con tu móvil, o cualquier otra cosa que se te ocurra... hay un premio en metálico de 10.000 €, ser entrevistado en uno de los pódcast más exitosos del momento y además, tener una nota de prensa que saldrá en los medios más importantes de España, dándote todo el protagonismo...

Figura 1: Arrogante - Bases de la 1ª Edición de los premios MIRA (10.000 €)

Y si además te digo que está abierto a cualquier persona mayor de 18 años, emprendedores, creativos, agencias, escritores, periodistas, etc...¿te animarías a ver de qué va? No te digo a participar, te digo simplemente a mirar.

MIRA.

Lo tienes muy fácil, los proyectos se presentarán a través de mi perfil de MyPublicInbox, pero antes, para tener toda la información.

En la vida, hay trenes que solo pasan una vez al año. Aprovéchate.

Bases de la 1ª Edición de los premios MIRA.

1- La fecha límite serán las 23:59h 21 de abril de 2026. Hora peninsular española.

2- La temática de este año será la lona que hay en Madrid, concretamente en la calle Alcalá.

Figura 2: Puedes ver la lona en directo en la calle Alcalá 77 de Madrid.

A la altura del número 77. No tienes que ir expresamente a verla.

3- Puedes hacer un vídeo, puedes ponerlo en grupos, puedes hacer un anuncio, puedes moverlo en tu email, puedes hablar con el párroco de tu pueblo y celebrar una boda, puedes hacer lo que te dé la gana.

4- Se valorará el impacto de tu campaña y la creatividad de la misma. Se valorará especialmente la ejecución y los resultados. Las ideas no valen de nada.

El elemento central este año es esa lona, a partir de ahí, haz lo que quieras.

Objetivo

El objetivo de la campaña, es lograr la mayor difusión y visibilidad posible.

¿Cómo se logra eso? Con creatividad y cojones. O cojonos. O cojonas.

IMPORTANTE: No ganará, necesariamente, la persona que logre mayor difusión, pues la creatividad se valorará a la misma altura que la visibilidad. Así que no te preocupes si no puedes llegar a mucha gente, puedes ganar igualmente.

5- Podrá participar cualquier persona mayor de 18 años, emprendedores, creativos, agencias, escritores, periodistas, etc…

Jurado

- Chema Alonso, VP de Cloudflare y Founder de MyPublicInbox.

- Pablo Ibáñez, “El hombre de Negro”, Artista y empresario.

- Isra Bravo, escritor y copywriter disléxico.

Figura 3: Libro "Arrogante" de Isra Bravo

Premios

- La campaña ganadora se llevará 10.000€ en metálico.

- Además, será el protagonista de un programa especial en el exitoso pódcast Escapando Palante, de Pablo Ibáñez, donde será entrevistado.

- Y difusión en prensa de toda España.

6- El premio podría quedar desierto, pero vamos, muy mal se tiene que dar para que alguien no haga algo decente y gane.

7- El elemento con el que tienes que crear la campaña de este año, es esta lona. E insistimos, sé creativo, sé valiente, sé.

8- Los trabajos se deben presentar en: https://mypublicinbox.com/IsraBravo

9- Todo lo recaudado se dona a Fundación Bobath. Para presentar el proyecto hay que pagar unos 5.000 Tempos (para poder escribir al perfil de arriba). Pues bien, va todo íntegro para Bobah.

Fecha límite de la campaña: 21 de abril a las 23:59h

Autor: Isra Bravo

Contactar con Isra Bravo

Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad: 4a Edición - 15 de Octubre 2026

noreply@blogger.com (Chema Alonso) — Mon, 13 Apr 2026 05:01:00 +0000

Si has seguido mis publicaciones en este blog durante los últimos años, o si has seguido las noticias del mundo en los últimos meses, verás que la Inteligencia Artificial y la Ciberseguridad se han ido mezclando de una manera espectacular, y ya es imposible hablar de la una sin la otra. Desplegar y utilizar Inteligencia Artificial en la vida personal o profesional requiere, más que nunca, de Ciberseguridad, y ser un profesional de Ciberseguridad requiere, más que nunca, amplios conocimientos de Inteligencia Artificial.

Figura 1: Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad

Fecha de Comienzo - 15 de Octubre 2026 - 12 meses de duración

Por eso se creó el Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad, que ya va a comenzar ya su 4a Edición, donde como sabíes soy el Mentor durante los últimos años, y que va a tener su próxima edición el 15 de Octubre de 2026, así que es momento de solicitar tu plaza - y preguntar por las becas.

Figura 2: Inteligencia Artificial ¿obligatoria en seguridad?

De este máster han salido proyectos como LLM-Guardian v3.0 "Sentinel" que hizo Juan Luis Cuenca Ramos, alumno del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad, y del que os he publicado un par de artículos para que veáis la calidad de cosas que se pueden hacer en esta formación. Él mismo contó su experiencia en un artículo titulado: "«No soy técnico»: Cómo un alumno del Campus conquistó el blog de Chema Alonso"

Figura 3: LLM-Guardian v3.0 "SENTINEL".

Monitorización Continua de LLMs Corporativos

De estos temas, yo, que además tengo una sesión privada con todos los alumnos, he hablado en el pasado, como puedes ver en estos dos vídeos que te dejo aquí, para que entiendas la importancia de aprender estas dos disciplinas juntas.

Figura 4: Formarse en Ciberseguridad es una profesión de futuro

La Inteligencia Artificial también juega… y no siempre en tu equipo, así que tienes que aprender a cómo sacarle partido. La IA está cambiando las reglas del juego en Ciberseguridad. Desde ciberataques automatizados hasta sistemas de detección más inteligentes. Este máster te enseña a usarla a tu favor, entender sus riesgos… y adelantarte a su uso malicioso. ¿Qué vas a aprender?

Figura 5: Programa del Máster Online de IA aplicada a Ciberseguridad

El Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad tiene una duración de 12 meses, y durante todo este año, tendrás la posibilidad de conseguir Múltiples Certificaciones que estánincluidas. Todos los alumnos al finalizar su formación reciben seguro doble titulación:

Título de la Universidad Católica de Murcia (UCAM)
Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también certificaciones profesionales como la de Azure Fundamentals, entre otras.

Figura 6: Profesores del Máster Online de Inteligencia Artificial Aplicada a la

Ciberseguridad en el Campus Internacional de Cibeseguridad,

Pablo González, Fran Ramírez, Pablo Saucedo, David García,

Rafael Troncoso, José Torres, entre otros.

Para poder formarte mejor, y ajustado a tus necesidades, además cuentas con Tempos de MyPublicInbox que puedes utilizar para contactar con el Profesorado del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.

Figura 7: Todos los alumnos del Máster Online de Inteligencia Artificial

Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad

endrán 2.000 Tempos de MyPublicInbox

Además, para completar su aprendizaje, tendrá incluidos como material de formación los libros de la editorial de 0xWord de "Machine Learning aplicado a Ciberseguridad" escrito por Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

Figura 8: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Además de nuestro último libro "Hacking & Pentesting con Inteligencia Artificial" escrito por Pablo González, Fran Ramírez, Rafael Troncoso, Javier del Pino y por mí, sobre el tema de este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.

Figura 9: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Si tienes alguna duda te recomiendo que hagas dos cosas. La primera que te veas esta conferencia mía que di a finales de año en Nerdearla Madrid 2025, donde hablo de todos estos temas en menos de una hora. Para que veas lo importante que es esta disciplina.

Figura 10: Ciberseguridad & Inteligencia Artificial enNerdearla España 2025 por Chema Alonso

La segunda, que te veas las vacantes que tenemos abiertas en Cloudflare para trabajar con nosotros. Mira cuantas de ellas piden Ciberseguridad e Inteligencia Artificial y luego me dices cuánto de importante es esta combinación.

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Así que, si estabas pensando en dar un salto evolutivo en tu carrera profesional, mira este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad que puedes hacerlo desde cual lugar en remoto, y en un año haz el upgrade que te pide el mercado profesional.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Captchas Cognitivos: Más fácil con IA que con ojos

noreply@blogger.com (Chema Alonso) — Sun, 12 Apr 2026 05:01:00 +0000

Ya os he contado muchas veces que los Catpchas Cogntivos se están convirtiendo en una molestia para el usuario más que en una protección real contra los ataques automatizados de los robots, porque cada vez es más sencillo resolverlos con Inteligencia Artificial que hacerlo siendo un humano con tus propias capacidades cognitivas.

Figura 1: Captchas Cognitivos - Más fácil con IA que con ojos

En el mundo del cibercrimen, donde tienen de todo para el crimeware as a service, entre otros servicios, cómo no, están los negocios de resolución de Captchas Cognitivos as a Service, que están sacando el máximo partido posible al mundo de la Inteligencia Artificial. Así que, si los malos pueden, tú también puedes sacarle partido a la IA para hacer cosas buenas.

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Yo he estado jugando con ellos, ya que los utilizan HBO Max, Linkedin, Twitter/X, etcétera, y os he ido dejando artículos para que pudierais ver cómo funcionan:

Pues bien, el otro día, un ReCaptcha de Google me pidió que resolviera en esta imagen - que aquí tienes ampliada - en qué recuadros hay motocicletas. Y ya no es que sean imágenes pequeñas o parciales, es que además están procesadas para hacerlas más confusas aún.

Figura 3: Las imágenes donde hay que buscar motocicletas

Ni me lo pensé. Fijaos que en la imagen de la izquierda de la fila del medio casi no se aprecia nada, y es casi un Test de Rorschach donde cada uno puede ver lo que quiera. Por cierto, hablando de Rorschach, si te gustó Watchmen y no te has leído Rorschach dibujado por Jorge Fornés, te estás perdiendo una obra de arte del cómic.

Figura 4: Rorschach de Jorge Fornés

Inciso a parte, resolver el Captcha Cognitivo de las motocicletas, a mí, que tengo que usar gafas para trabajar con el ordenador, me obligó a mirar y remirar, y aumentar la imagen. Así que pensé que esto me lo voy a tener que apañar con un Agente de IA para resolver mis captchas en local, y se lo pasé a Gemini a ver.

Figura 5: Pasado a Gemini para que lo resuelva él

Evidentemente, el resultado era el que esperaba. Es decir, que sin despeinarse lo resolvió mucho antes de lo que yo soy capaz de resolverlo, así que supongo que mejor que la media de los seres humanos que se vena confrontados contra este reto.

Figura 6: Gemini lo resuelve mejor que yo.

La reflexión es, si Google me pone el ReCaptcha, y Google me lo resuelve con Gemini, ¿¿por qué seguimos con esto?? Que al lado del botón del ReCaptcha haya un botón de "Resolver con Gemini" y listo, ¿no? Así todos muchos más contentos. Un CoPilot útil de verdad.

Figura 7: Resolver con Gemini y listo

Bueno, está claro que vamos a tener que repensar este tipo de tecnologías, que la necesidad inicial por la que fueron creados los Captchas Cognitivos está dejando de ser cubierta. Diferenciar a un humano de un bot con un Captcha Cognitivo ya NO es posible.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cloudflare Talks en Londres: The Intelligent Network, Connect on Tour & Futurenet World en Abril.

noreply@blogger.com (Chema Alonso) — Sat, 11 Apr 2026 05:01:00 +0000

Esta semana que viene, el día 15 de Abril, voy a estar en The Wave, en Zaragoza, dando una conferencia con Cloudflare y Nunsys, pero también subiré el día antes a Londres donde tenemos una semana de eventos con Cloudflare Connnect on Tour. Pero además también regresaré la semana de después, para participar en Futurenet. Viajes interesantes a la capital de UK que os dejo hoy por aquí.

Figura 1: Cloudflare Connnect on Tour.

Mi primera charla será en The Intelligent Network el día 14 de Abril, que es un evento sólo para un grupo de CXO y que tendrá lugar en Londres la próxima semana. No os puedo dejar más información, ya que el evento va solo por invitación, pero habrá en abierto otros. Pero del que sí os puedo dejar información es de Cloudflare Connect on Tour London 2026, que tendrá lugar el día 15 de Abril.

Figura 2: Cloudflare Connnect on Tour.

La lista de Speakers es de primera linea, con Stephanie Cohen, Chief Strategy Officer de Cloudflare, Grant Bourzikas, Chief Security Officer de Cloudflare, Ramy Houssaini Chief Cyber Solutions Officer Cloudflare o Tony Van den Berge, Geo Vice President, EMEA Cloudflare. Puedes registrarte en la web, pero date prisa que queda poco tiempo.

Figura 3: Regístrate al Cloudflare Connect on Tour London 2026

Después estos dos eventos, la tercera cita será en Futurenet World, que tendrá lugar a la semana siguiente, los días 21 y 22 de Abril, también en Londres, y donde yo estaré dando una charla el primer día, para hablar de "cómo fortificar despliegues de IA en la empresa".

Figura 4: Chema Alonso en Futurenet World

O sea, que si estás por Londres estos días, puede que te cruces conmigo "at random" por la city, y si vienes a alguna de las charlas, pues nos vemos seguro, que estaré trabajando en la ciudad "de los cielos grises".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

"Bug Hunter": Nuevo libro en 0xWord

noreply@blogger.com (Chema Alonso) — Fri, 10 Apr 2026 05:01:00 +0000

Otro día feliz, porque tenemos un nuevo libro en 0xWord, que sabéis que conseguir esto y mantener una editorial como la nuestra viva es siempre un reto. Así que, presentaros este nuevo libro de "Bug Hunter", escrito por David Padilla, alguien que sabe de esto, de ser un buscador de Bugs, que ha escrito este libro que sus más de 200 páginas te va a entretener y enseñar cómo hacer esto hoy en día con IA.

Figura 1: "Bug Hunter": Nuevo libro escrito por David Padilla en 0xWord

¿Alguna vez te has preguntado cómo es realmente reportar vulnerabilidades en empresas reconocidas a nivel mundial? ¿Te gustaría dar el paso y obtener reconocimiento descubriendo fallos? El Bug Bounty es una disciplina de seguridad ofensiva basada en recompensar a quienes identifican y reportan vulnerabilidades y justifican su impacto en activos de distintas compañías. Sin embargo, la realidad dista mucho del mito.

Figura 3:"Bug Hunter" escrito por David Padilla en 0xWord

Este libro ha sido desarrollado desde la experiencia de alguien - David Padilla - que empezó desde cero, con curiosidad y constancia, documentando cómo se descubren vulnerabilidades, cómo se entienden y cómo se reportan. No pretende vender la imagen de un “Bug Hunter” que gana miles de dólares, sino mostrar el proceso real: aprendizaje, errores, frustración y evolución de un usuario estándar.

Figura 4: Contactar con David Padilla Alvarado

A lo largo de sus páginas, se presenta una metodología técnica clara, combinada con casos reales, técnicas de explotación, enfoques prácticos y reflexiones sobre el presente y futuro del sector, incluyendo el papel de la Inteligencia Artificial en el Bug Bounty. El objetivo es tratar al lector como un igual: acompañarle desde sus primeros pasos hasta comprender cómo enfrentarse a un entorno complejo, exigente y altamente competitivo. Este no es sólo un libro sobre encontrar vulnerabilidades, sino sobre desarrollar una mentalidad.

Figura 5: Índice del libro "Bug Hunter" escrito por David Padilla en 0xWord

Como os podéis, está cargado de todo lo que llevamos años escribiendo por aquí. Por supuesto, es un complemento ideal para el libro de "Hacking & Pentesting con Inteligencia Artificial" que también podéis comprar hoy mismo. Así que, si quieres un libro para comenzarte a formar en el mundo de la Inteligencia Artificial aplicado a la Ciberseguridad, el Pentesting y el Hacking y el Bug Bounty, ya los tienes disponible para que te lo puedas comprar. Además, puedes usar tus Tempos de MyPublicInbox.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Bug Hunter" y que, además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar en tu Agenda el Perfil Público destinatario de la transferencia.

Figura 7: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 8: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 9: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda.

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 10: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 11: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un "Hardening Tip" de BBDD - de mi Lost & Found - contra las "Heavy Queries Malignas"

noreply@blogger.com (Chema Alonso) — Thu, 09 Apr 2026 04:39:00 +0000

Hace muchos años, cuando estaba trabajando en mi Ph.D en los Time-Based Blind SQL Injection using Heavy Queries, en uno de mis documentos de la universidad escribí sobre las técnicas de "hardening" para dificultar este tipo de ataques y lo tenía preparado en un post, pero lo fui dejando sin sacar, y un día me olvidé de publicarlo, hace unos quince años más o menos.

Figura 1: Un "Hardening Tip" de BBDD - de mi Lost & Found -

contra las "Heavy Queries Malignas"

Sin embargo, hablando sobre las capacidades de usar ChatGPT, Claude o Gemini para investigar en ciberseguridad, y lo fácil que hubiera sido construir las diferentes Heavy Queries para explotar un bug de SQL Injection usando una técnica Time-Based, me he acordado con él, y se lo he preguntado directamente a Gemini.

Figura 2: Whitepaper de "Time-Based Blind SQL Injection using Heavy Queries"

Por supuesto, de las técnicas de Time-Based Blind SQL Injection using Heavy Queries, hablé en el libro de "Hacking de Aplicaciones Web: SQL Injection", mientras que de las técnicas de LDAP & Blind LDAP Injection in Web Applications, y Connection String Parameter Pollution hablé en el libro de "Hacking Web Technologies".

Figura 3: Libro Hacking de Aplicaciones Web: SQL Injection
de Enrique Rando y Chema Alonso

Pero hoy en día, encontrar estas técnicas es tan fácil cómo preguntarle a los modelos, que ellos ya se han aprendido todos los papers, por ti, así que, preguntándole por ayuda para localizar si me han hecho un ataque a un aplicación web con un Microsoft Access 2003, obtienes rápidamente la información de sobre este ataque con Heavy Queries.

Figura 4: La tabla del sistema a explotar en Access 2003

Como podéis, ver, rápidamente nos hace el análisis de la tabla del sistema a explotar, y nos dice que la forma de explotarlo es usando Join de ella misma ene veces, tal y como explicamos en el paper, para lograr un volumen de datos tan grande que generar un delay medible.

Figura 5: El método para explotarlo

Y por último, nos da la inyección completa que se puede utilizar para hacer el Time-Based Blind SQL Injection Using Heavy Queries, lo que genera la explotación completa de la vulnerabilidad.

Figura 6: Inyección completa tipo Time-Based Blind SQL Injection using Heavy Queries

El resultado es que en un segundo puedes encontrar cómo hacerlo, y no ha habido que hacer ningún Jailbreak ni nada por el estilo, así que vamos a ver ahora la parte de fortificación de la que os he estado hablando.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si vamos ahora a las protecciones, primero hay que entender por qué sigue siendo importante tener protecciones contra esta forma de explotar la base de datos, generando una Heavy Query. Estas técnicas se pueden usar para hacer un DoS o para extraer información de la BD, especialmente en motores que no tienen funciones de tiempo, o en entornos bajo WAF que están filtrando las queries.

Figura 8: Por qué sigue siendo importante esto

Y aquí viene el Hardening "Tip" del pasado, que no saqué en ninguno de los blog posts que escribí sobre ello, que consiste en que una vez construida la consulta, se pueda comprobar que la consulta tiene un Time-Out acorde con el tipo de Query que se está lanzando.

Figura 9: Poner un límite de tiempo a las consultas SQL

Por supuesto, usar consultas parametrizadas, detectar el tipo de los datos que se inyectan en los parámetros y no construir consultas concatenando strings es la clave, pero que una aplicación pueda vulnerar el rendimiento de la aplicación y de la propia base de datos por no controlar los límites de consumo de recursos de una consulta SQL es fundamental.

Figura 10: Límite temporal a nivel de TRANSACCIÓN en PostgreSQL

Para ello, en los diferentes motores de Bases de Datos existen formas de controlar el máximo tiempo que se va a permitir en ejecución una consulta, que es de lo que estuve escribiendo hace quince años, pero aquí tenéis, preguntándole a Gemini, la fácil que es limitar estos tiempos.

Figura 11: Límites en MySQL versiones 5.7.8+

Por supuesto, si no hay SQL Injection, no hay necesidad de tener esto, pero lo cierto es que esta protección se puede añadir no sólo a nivel de aplicación, sino también a nivel de DBFirewall, a nivel de Driver de conexión, o incluso como hacíamos con los ataques a nivel de red haciendo un Network Packet Manipulation con un Man-in-the-middle.

Figura 12: En Transat-SQL a nivel de Server,

a nivel de Conexión y a nivel de Query

Hay que tener en cuenta que en una arquitectura de Zero-Trust, la base de datos no debe fiarse nunca de las aplicaciones, así que, al igual que hacíamos con el Paranoid Mode para evitar las manipulaciones en bases de datos por parte de ataques de SQL Injection, controlar el consumo descontrolado de recursos es fundamental.

Figura 13: Controles en Oracle a nivel de SESSION y con Perfiles

Al final, si eres responsable de una base de datos de alto rendimiento, con muchas aplicaciones colgando de ellas, limitar el consumo de recursos lo puedes hacer preventivamente - evitándolo con límites - o reactivo, viendo qué está comiéndose la memoria y la CPU de la base de datos.

Figura 14: Límites en Access 2003 y SQLite

Ya os conté muchas veces que en la universidad yo me especialicé en Bases de Datos, que me encantaban, y que mis primeros trabajos tuvieron que ver con Tuning de bases de datos Oracle y de aplicaciones que corrían sobre ellas, así que estas cosas las tenía muy presentes cuando comencé con el trabajo de Time-Based Blind SQL Injection Attacks using Heavy Queries.

Figura 15: Resumen de posibilidades

Esta es una buena práctica de seguridad, sobre todo si eres de los que gusta tener los entornos Hardened in Paranoid Mode, así que si no la conocías o no lo estás aplicando, a lo mejor encuentras un punto donde tener estos controles y evitas estos ataques.

Figura 16: Por qué es útil esto

Lo cierto, que es a lo que iba la conversación inicial, es que esto que dejé a medio escribir hace quince años como un post, tenía que actualizarlo para ver cómo se establecen los límites temporales en todas las bases de datos, y en todos los puntos posibles, pero gracias a la existencia de los LLMs hoy en día, ha sido tan fácil como pedirle a Gemini que me lo dé, por eso os lo he compartido hoy y he borrado una tarea del pasado que tenía en mi To-Do.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Los Gatos de la Suerte de Karla Frechilla

noreply@blogger.com (Chema Alonso) — Wed, 08 Apr 2026 05:01:00 +0000

Hoy os voy a hablar de Gatos de la Suerte. Ya sabéis, esos gatos que saludan moviendo la patita que seguro que habéis visto un millón de veces. Pero son los Gatos de la Suerte que pinta a mano la artista Karla Frechilla, y que podéis compraros para tener una joya de artesanía especial, o para hacer un regalo único a una persona especial en su día de cumpleaños. O cualquier día, que siempre es bonito regalar.

Figura 1: Los Gatos de la Suerte de Karla Frechilla

Como ya os conté ver, Karla Frechilla me hizo unos gatos especiales para mí, donde me podéis ver con orejas de gato y moviendo la mano con mi camiseta de DefCON molona que tanto uso, que os lo publiqué en mi cuenta de Instagram.

Figura 2: Gato de la Suerte de Chema Alonso

Pero Karla Frechilla es una artista prolija y creativa, que lleva años haciendo de todo, y en concreto ha hecho una cantidad enorme de Gatos de la Suerte de todos los tipos que te puedas imaginar, que puedes ver en su web en la sección de Fortuna Gatuna.

Figura 3: Gatos de Fortuna Gatuna de Karla Frechilla

Superhéroes, The Beatles, Star Wars, Aliens, Futbolistas, Personajes Famosos, e incluso uno personalizado para ti, para un amigo. Solo tienes que pedírselo, y puedes contactar con Karla Frechilla en su perfil de MyPublicInbox.

Figura 4: Contactar con Karla Frechilla

Además de todos estos gatos, ha hecho unos gatos de Cálico Electrónico que también molan todo. Estos son más pequeños. Pero tanto el mío, como los de Cálico Electrónico - uno o el pack de tres - los puedes comprar por 0xWord, que hay que ayudar a esta artista .

Figura 5: Los Gatos de la Suerte de Cálico Electrónico pintados a mano

Si quieres uno de los Gatos de la Suerte de Cálico Electrónico son de 5 cm de alto x 3,5 cm de ancho x 3,5 de fondo. Cada uno cuesta 30 € y el pack de 3 cuesta 90 €. Son bajo demanda, y Karla Frechilla los pinta uno a uno para vosotros.

Figura 6: Cada uno viene con su caja de protección

Gato de Cálico Electrónico individual

El mío es más grandote, que es de 17 cm de alto x 13 cm ancho x 10 cm fondo, y cuesta 84 €, que le lleva un curro enorme hacerlo.

Figura 7: Gato de la Suerte de Chema Alonso.

Te aconsejo que te veas todos los que ha hecho, que como verás hay de todo, así que seguro que encuentras un regalo chulo, especial, diferente, que nadie más le regalo a tu amigo, a tu pareja friki, a tu persona favorita. Y así apoyas a una artista.

Figura 8: Más Gatos de la Suerte de Karla Frechilla

Todos son únicos, todos están hechos a mano, y todos serán el regalo perfecto para que quedes como genial y hagas feliz a alguien que tendrá algo que no tienen nadie más.

Figura 9: Yo tengo mi colección completa ya :)

No me digas que no es un gran regalo el dar una obra de arte friki en forma de Gato de la Suerte de una artista como Karla Frechilla.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo resolver los Captchas Cognitivos Visuales y Auditivos de GitHub con Gemini (o cualquier MM-LLM) sin despeinarte

noreply@blogger.com (Chema Alonso) — Tue, 07 Apr 2026 05:01:00 +0000

Cuando empecé a jugar con los Captchas Cognitivos hace unos años estaba claro que los MM-LLMs iban a merendarte estos retos con una facilidad asombrosa, y esto es lo que ya sucede hoy en día. Este sábado, cuando estaba jugando con el Vibe Coding para Locomotive BASIC 1.0 de AMSTRAD CPC fui a recuperar la contraseña de mi cuenta de experimentos en GitHub, y de repente... me toca un Captcha Cognitivo.

Figura 1: Cómo resolver los Captchas Cognitivos Visuales y Auditivos

de GitHub con Gemini (o cualquier MM-LLM) sin despeinarte

El Captcha Cognitivo es de FunCaptcha, y por supuesto está dentro los atacados y explotados por el Crimeware. En estos servicios basados en generar Malware as as Service, puedes pedir exploits, scripts de ofuscación, de movimiento lateral, de búsqueda de datos sensibles en una post-explotación, o de generación de persistencia, y por supuesto de resolución de Captchas Cognitivos.

Figura 19: Planes empresariales para resolución

de Captchas Cognitivos vía API

Entre estos servicios, cómo no, los negocios de resolución de Captchas Cognitivos as a Service, que están sacando el máximo partido posible al mundo de la Inteligencia Artificial. Así que, si los malos pueden, tú también puedes sacarle partido a la IA para hacer cosas buenas.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

FunCaptcha utiliza retos Visuales Cogntivios para detectar a los humanos, y aunque al principio eran complejos de automatizar, desde la llegada de MM-LLMs ha sido un juego. Yo he estado jugando con ellos, ya que los utilizan HBO Max, Linkedin, Twitter/X, etcétera, y os he ido dejando artículos para que pudierais ver cómo funcionan:

En este caso, en el Formulario de Recuperación de Contraseñas de GitHub, que puedes probarlo para automatizar tu propia API, puedes ver que aparece el Captcha Cognitivo. Este puede ser visual o auditivo. En el visual, que es este primero, hay que alinear la orientación de dos objetos "extraños"

Figura 4: Captcha Cognitivo de FunCaptcha en GitHub

Para probarlo, subo una imagen inicialmente para ver qué tal analiza los dos objetos y su orientación, con la pregunta más sencilla posible. Nada de complicarse, a ver qué me contesta.

Figura 5: Preguntando si estás mirando hacia el mismo sitio?

Y la respuesta es de lo más elaborada, así que vamos a tener que decirle que se atenga a Sí o No para poder apificar esto sin desperdiciar muchos tokens, que no está la vida como para ir tirando tokens a lo loco por ahí.

Figura 6: Explicación larga para decir que lo puede hacer.

Pues nada, te haces un Agentic AI que recorte las imágenes, y le diga a Gemini que te diga si esos dos objetos están en la misma dirección. Si Sí, pues Submit, si No, pues nada, mover la flecha hacia un la derecha (comienza a la izquierda del todo siempre).

Figura 7: No están en la misma dirección, así que hay que mover la flecha

Cuando estén en la misma dirección, como este otro ejemplo, pues nada, habremos terminado y sólo hay que dar al botón de Submit. Algo que para un Agente IA de hoy en día no es nada difícil de realizar. Es por eso que en el mundo del Crimeware los MM-LLMs son tan importantes.

Figura 8: Cuando están orientados, pues Submit

Pero vamos ahora a la parte Auditiva. Es decir, a resolver el Captcha Cognitivo con los sonidos que nos ofrece el Formulario de Recuperación de Contraseñas de GitHub. Aquí, en este vídeo tenéis el audio completo de cómo funciona este reto de inteligencia auditiva.

Figura 9: Captcha Cogntivio Auditivo de FunCaptcha en GitHub

Usar el audio es algo que ya hemos estado viendo en otros artículos, y comenzamos hace mucho tiempo con ReCaptcha v2 de Google, porque esta es otra línea de investigación que permite conseguir el mismo objetivo por otros medios. A veces más costoso, a veces más fácil.

Hoy en día, con los MM-LLMs, es bastante sencillo, porque sólo he tenido que grabar el audio y subirlo a Gemini para obtener el resultado que deseaba.

Figura 10: Subiendo el audio a Gemini

Y el resultado lo tenemos a la primera, como podéis ver en la siguiente imagen, donde Gemini da la respuesta correcta. Pero como el Formulario de Recuperación de Contraseñas de GitHub está abierto, podéis probarlo vosotros mismos con diferentes imágenes y audios que os de.

Figura 11: Respuesta correcta. Submit.

Resolver los FunCaptcha, cada día es más sencillo, ya que cada vez funcionan mejor los MM-LLMs. En este ejemplo con Gemini se puede ver cómo a la primera resuelve el reto del Formulario de Recuperación de Contraseñas de GitHub.

Figura 12:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Máster en IA Aplicada & Optimización de Procesos Productivos

noreply@blogger.com (Chema Alonso) — Mon, 06 Apr 2026 05:01:00 +0000

El mundo cambió para no volver a lo que era antes. Lo estamos viendo constantemente. Las grandes empresas se están re-estructurando para meter en el corazón de su negocio la Inteligencia Artificial. Y esto está llevando a que muchos trabajadores estén siendo despedidos. También estamos viendo el nacimiento de muchísimas nuevas empresas con un número muy pequeño de empleados que están creciendo como la espuma. Todas ellas basadas en procesos de negocio hechos con Inteligencia Artificial. El mundo del trabajo, el emprendimiento y los puestos empresariales han cambiado.

Figura 1: Máster Universitario (30 créditos ECTS) en

IA Aplicada & Optimización de Procesos Productivos

Con ese principio se ha construido el Máster en IA Aplicada & Optimización de Procesos Productivos que se va a presentar el próximo Domingo 12 de Abril. Un Máster pensado para una nueva generación de profesionales y emprendedores que tienen claro que la Inteligencia Artificial tiene que ser parte del ADN de su trabajo.

Figura 2: Domingo 12 de Abril a 19:00 horas Presentación Oficial del

Máster en IA Aplicada & Optimización de Procesos Productivos

El mundo laboral anterior ya no existe, y si sales al mercado laboral o te lanzas a emprender y no tienes esto claro, entonces estás condenado a no salir airoso de donde te vas a meter. Se trata de que los asistentes de esta formación tengan las capacidades en IA que les permita ser de los más preparados en este nuevo "orden" laboral.

Figura 4: Domingo 12 de Abril a 19:00 horas Presentación Oficial del

Máster en IA Aplicada & Optimización de Procesos Productivos

El objetivo de este Máster en IA Aplicada & Optimización de Procesos Productivos, está orientado a manejar los modelos de Inteligencia Artificial desde el primer día de clase, a conocer cómo aplicar en workflows de negocio estás tecnologías, a construir Agentes IA que puedan ser parte de los organigramas empresariales o directamente tus compañeros y tu equipo de trabajo.

Figura 5: Domingo 12 de Abril a 19:00 horas Presentación Oficial del

Máster en IA Aplicada & Optimización de Procesos Productivos

La presentación de este Máster en IA Aplicada & Optimización de Procesos Productivos , que será online con clases en directo por profesionales del sector, como mi compañero David Hurtado de Microsoft, y un largo número de profesionales del sector focalizados en explicar la aplicación de IA en el Core de los negocios y la empresa.

Figura 6: David Hurtado, de Microsoft, será profesor del

Máster en IA Aplicada & Optimización de Procesos Productivos

Los contenidos de esta formación están pensados para aplicar la Inteligencia Artificial en el mundo del emprendimiento y la empleabilidad profesional. Con especial foco en competitividad profesional de los asistentes.

Módulo de IA aplicada a la inversión
Módulo de IA aplicada al emprendimiento
Módulo de IA aplicada a la carrera profesional/empleabilidad
Módulo de IA aplicada a marketing y creación de contenido
Módulo de IA aplicada a las finanzas

Supongo que si me sigues en mi blog o en mis redes sociales has visto que todas las semanas más de la mitad de los artículos que escribo están dedicados a la Inteligencia Artificial, y no es por casualidad. Yo soy de esos que ha estado aplicando masivamente la IA en mi día a día personal y profesional, para no perder un ápice de la productividad que nos exige este nuevo mundo, y voy a ser Mentor del Máster en IA Aplicada & Optimización de Procesos Productivos y podrás estar en contacto conmigo a través del "Chema Alonso´s Corner" que hemos creado en MyPublicInbox.

Figura 7: Un chat conectado conmigo para sacar el máximo provecho posible de tu

Máster en IA Aplicada & Optimización de Procesos Productivos

También habrá una sesión de Vídeo Conferencia en directo conmigo donde se hará un Q&A con todos los asistentes. Podrás preguntar, resolver dudas, preocupaciones o incertidumbres que tengas sobre este mundo. Así tendrás una sesión conmigo y un chat durante todo el Máster donde podrás debatir conmigo, con el resto de los alumnos, y con otros profesores, pero también acceder a noticias, tutoriales, artículos, y consejos para incrementar el impacto del tiempo que inviertas en formarte durante este Máster en IA Aplicada & Optimización de Procesos Productivos en tu vida personal y profesional.

Figura 8: Conexión al Chema Alonso´s Corner del

Máster en IA Aplicada & Optimización de Procesos Productivos

Todos los asitentes, además, tendrán 100 Tempos de MyPublicInbox para utilizarlos en la plataforma, para participar e interactuar con otros perfiles, pero sobre todo para usarlos en desarrollar su Perfil Público en MyPublicInbox y subir su exposición profesional a través de Internet.

Mensaje final

Los cambios siempre dan miedo. Este mundo va muy rápido. Si estás pensando eso de "debería aprender" es mejor que lo hagas de una vez por todas. Cuando más tardes, más complejo será el cambio, la adaptación, y más grande será el salto de aprendizaje que deberás hacer. Mi consejo... "Big Problems First", y convierte lidiar con esta vorágine de cambios en una oportunidad para ti. Si quieres más información, apúntate para ir el día 12 de Abril a las 19:00 horas (de España) a la presentación del Máster en IA Aplicada & Optimización de Procesos Productivos y decides luego.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Vibe Coding en BASIC para AMSTRAD CPC sale (un poco) más caro

noreply@blogger.com (Chema Alonso) — Sun, 05 Apr 2026 05:01:00 +0000

¿Qué otra cosa mejor que estar probando Vibe Coding en un sábado por la tarde en las oficinas de Cloudflare en Lisboa para comprobar cuánto de bueno es un modelo programando en BASIC? Sí, eso es lo que quería comprobar. Veréis, hace unos días publiqué el artículo de "Cuánto dinero cuesta hacerte el juego de Light-Cycles de TRON en Workers de Cloudflare usando IA" donde usaba como modelo LLM a Cloud Opus 4.5 para construir el juego de las motos de TRON en TypeScript y poderlo correr en Workers de Cloudflare, y el coste que tuvo hacer ese proyecto fue de 0.5 USD. Regalado.

Figura 1: Vibe Coding en BASIC para AMSTRAD

CPC sale (un poco) más caro

Pero, la pregunta que me rondaba era... ¿sería igual de barato hacerlo en lenguajes menos populares que Python o TypeScript? Ya me he pegado varias veces con el Vibe Coding, y supongo que muchos de vosotros habéis pasado por esa fase donde el código no funciona como quieres, da errores, o directamente una modificación te cuesta la vida. Así que en lenguajes menos "mainsteam" la cosa será peor. Esa era la pregunta con la que me puse a echar un rato ayer sábado.

Figura 2: El Light Cycles creado en TypeScript con Vibe Coding

Basta con preguntar en cualquier sitio y se ve que Claude programa mejor en Python, JavaScript, TypeScript, y frameworks para tecnologías web, que en el resto de los lenguajes, lo que hace que le cueste un poco más, ¿pero cuánto de más?

Figura 3: Con qué lenguajes programan mejor los modelos de Claude

Para hacer la prueba, quise hacer el mismo juego de Light-Cycles - no está mal como Benchmark - pero en BASIC, así que le pedí un Pormpt, que optimizado por Gemini, es éste que tenéis aquí. Así que, una vez Prompted, se supone que el resto es probar y ver resultados. Primero hice las pruebas con el propio Gemini, así, ligeras, a ver si el código funcionaba bien a la primera, y la verdad es que no hubo suerte.

Figura 4: Prompt par hacer el Light Cycles en AMSTRAD

Además de TypeScript, había hecho una versión pequeña del mismo juego de Tron Light-Cycles con Bash usando Gemini para mi MacOS y me lo había hecho bastante bien y de forma rápida, pero con BASIC le estaba costando.

View this post on Instagram
A post shared by Chema Alonso (@chemaalonso)

Además, cada prueba que quería hacer la tendía que hacer en el emulador, así que el proceso incluía la creación de un disco virtual, usando Amstrad DSK Filesystem Manager.

Figura 6: Amstrad DSK Filesystem Manager

La verdad es que la herramienta funciona de maravilla, pero hay que asegurarse de que el código que subas tenga el formato CRLF para que no se trunque, y que el formato del DSK que crees sea compatible con AMSTRAD, así que hay que hacerlos de, por ejemplo, 40 pistas, 9 sectores, y 512 bytes por sector. Una vez hecho esto, ya puedes subir el programa al disco, y descargarte una copia del fichero .DSK que luego vamos a poder meter en el emulador. El proceso no es complicado.

Figura 7: Los disquettes de AMSTRAD

Eso sí, por cada cambio que hagas tienes que repetirlo, así que si el Vibe Coding no funciona bien a la primera, pues hay que hacerlo muchas veces.

Figura 8: Probando, probando, probando en CPCBox

Esto nos lo sabemos ya de cuando con el equipo de Ideas Locas hicimos el BASIC 1.0 Copilot para AMSTRAD CPC 6128 que os conté hace un par de años en la RootedCON.

Figura 9: BASIC 1.0 Copilot para AMSTRAD CPC 6128

En mi caso, una vez construido el DSK, el emulador que utilicé fue el de CPCBox que está online, y puedes cargarle el DSK fácilmente. Además, esta versión la tienes con muchos juegos. Aquí os dejo un vídeo de cómo funciona con los juegos clásicos con los que estuve enredando un rato.

Figura 10: Emulador Online de AMSTRAD CPC 464/664/6128

También con juegos clásicos como el Bombjack o el Ikari Warriors

Pero volviendo a la prueba. Haces el código con OpenCode/Gemini/ChatGPT, generas el DSK usando Amstrad DSK Filesystem Manager y luego cargas el disco en CPCBOX. Una vez allí, CAT para ver el contenido del disco, LOAD para cargar el programa, y RUN para ejecutarlo. Y a jugar. El resultado completo lo tenéis aquí.

Figura 11: El resultado final. El Light-Cycles en BASIC

para el AMSTRAD CPC 464/664/6128

En este caso, después de que Gemini me fallara varias veces, decidí ir a por OpenCode y así podría comparar bien los precios que me costaba hacerlo funcionar. Y el proceso tomó su tiempo. Si os digo que me tiré un par de horas para hacerlo funcionara, os podéis hacer una idea.

Figura 12: Los costes después de 2 horas

Al final dejé algo bastante digno, como podéis ver en el código, pero si miramos los costes que me llevó hacerlo con OpenCode a través del AI Gateway de Cloudflare, podéis ver que en comparación con TypeScript, el coste fue mucho más alto.

Si he de ser justo, he de decir que también se lo puse difícil, porque Locomotive BASIC y para emuladores, no debe ser lo que más líneas de código tira y lo que más tokens consume. De hecho, creo que debería ser yo de los pocos que estuvieran con eso un sábado por la tarde.

Figura 13: OpenCode con Claude Opus 4.6 "sufriendo"

Eso sí, poder crear juegos para AMSTRAD CPC a golpe de Vibe Coding es mejor que tener que copiar los códigos de la MicroMania como hacíamos en la niñez, que os aseguro que eso sí que tomaba tiempo, hasta que lo tenías fino completo.

Figura 14:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Uno de esos días cualquiera

noreply@blogger.com (Chema Alonso) — Sat, 04 Apr 2026 05:01:00 +0000

Hoy es un día cualquiera. Vale, seguro que no para todos. No, no, no, no me malinterpretéis. No tiene nada que ver con el día que es hoy. Éste post lo podía haber escrito cualquier día y publicado cualquier día. Da igual que hoy sea hoy, es decir, el hoy de hoy. Este post está escrito pensando en cualquier hoy. En mañana, por ejemplo, aunque no sea hoy. Da igual el que hoy que sea. No sé si me he explicado bien. Se trata de que cualquier día puede ser un día cualquiera para el tema de lo que trata este artículo.

Figura 1: Uno de esos días cualquiera

Si ya he sido capaz de explicarme que hoy "podría" ser un día cualquiera, entonces puedo continuar con la reflexión de hoy. Del hoy de hoy, no del hoy cualquiera, sino del hoy de hoy, porque es hoy cuando publico el post que habla de un hoy cualquiera. Bien. Sigamos.

Estando que hoy podría ser un día cualquiera, pensad que hoy es ese día. Ese día que puede ser martes, o miércoles, o jueves, o viernes, sábado, domingo o incluso lunes. Un día que no es el aniversario de nada. Que no es el día que hay que anunciar algo espectacular. No es día que ha sucedido algo grande y relevante. O el día que hay algo súper novedoso en lo que haya estado trabajando. O tal vez sí, pero aún no lo puedo contar porque hay que guardar silencio hasta que se cumpla alguna etapa antes. Es un día más en la vida. Sin más. Un día cualquiera.

Esos días, cuando me siento delante del blog y pienso... "¿qué publico hoy?" a veces me quedo un poco con una sensación extraña. No he encontrado la motivación específica para publicar algo. No tengo algo que contaros que tenga que contaros por qué quiera contároslo. O tal vez simplemente no es el día que tengo marcado para contároslo. No hay una noticia especial de la que quiera hablaros. O ya os haya contado lo que os puedo contar de lo que os quiero contar. O puede que sea un día simplemente en el que la química de mi cuerpo me tenga en un estado de apatía o cansancio de esos que no ayudan. Esos días.

Esos días cualquiera son importantes.

Esos días son los que me lo ponen difícil. Son los días en los que tengo que trabajar. Los días en los que en lugar de salir las cosas solas hay que trabajar para que salgan. Son los días en los que la página en blanco te mira desafiante y te dice: "Hoy te puedo". Te sonríe con mala uva. A medias. Sin llegar a formar la sonrisa del todo. Y te dice: "Hoy no publicas el post". Sabe que el tiempo juega a su favor. Que tal vez tenga que hacer cosas. Viajes. Trabajos. Otros quehaceres. Esos días en que la página en blanco parece una losa más que una ligera cuartilla de A5 metida en mi vieja Olivetti.

Si has tenido alguna vez esa sensación, ya sabes que eso pasa "un día cualquiera". El que menos te lo esperas. El día menos pensado. Hoy mismo. O mañana tal vez. O quién sabe si el día siguiente. Pero rutinariamente, at random, acaba apareciendo en tu calendario. Esos días los conozco bien, porque he pasado muchos. Porque si crees que se escribe un blog durante veinte años sin encontrarte con muchos días como esos entonces es que no conoces el trabajo que es hacer algo así. Esos días son algunos de mis días duros. Cuando el diablo cabrón aparece para tener que lidiar con las excusitas.

Y he pensado mucho en esos días.

He pensado mucho en ellos porque sé que esos días son importantes. Son los días donde podría comenzar a dejarme vencer y poco a poco ir tirando la bomba ninja que un día lanzaré para irme sin hacer mucho ruido de Internet. Pero también tengo claro que esos días son los que me enseñan cosas. Son los días en los que tengo que esforzarme. En los que tengo que trabajar con oficio porque la cosa no está de cara. Son como los días en los que los navegantes tienen que pegarse contra el mar, no cuando es una bañera plana de tranquilidad. Esos días son los que importan para mí, porque sé que son los que me obligan a demostrarme cosas.

Los días buenos, donde todo va de cara, cuando el artículo es fácil, o está hecho, o hay algo evidente y fácil que contar, son días donde trabajo poco, disfruto mucho, y la cosa sale sola. Los días como ese día cualquiera, como hoy, son los días donde tengo que sacar algo de dentro de mí diferente. Donde tengo que tirar de obligación, de fuerza de voluntad para luchar contra el "no es tan importante que saques el post hoy", donde debo buscar dentro de mí por energía, motivación, inspiración, conocimiento, disciplina y experiencia. Donde los años aquellos cuando escribía a mano mis mini-libros o a máquina de escribir mis artículos de cine, deben demostrarme lo que han dejado en mí.

Esos días donde los años de lecturas infinitas deben ayudarme a conectar palabra tras palabra una narración que te tenga leyendo hasta aquí, y hasta el punto y final cuando me despido. Y es que esos días en los que al final sale el post, sin que tú lo sepas, para mí ha sido una lección que me ha enseñado que si quiero puedo, que si me pongo lo hago, que aunque parezca que no, puedo hacerlo. Son los días que forjan mi trabajo, quién soy, y lo que soy, más allá de lo que puedes ver muchas veces. Son los que me dicen a mí quién soy yo más allá de lo que pueda venirme reflejado externamente. Porque son los días que me dicen a mí cosas directamente desde dentro de mí.

Y esos días, salen otras cosas.

Que no siempre son lo que pensaba. Que no siempre son lo que tú esperas. Como las caras B de los singles. Como las últimas historias de un libro de relatos. Como los artículos de opinión o las cartas al director de los periódicos y revistas. Son artículos, posts, reflexiones, o como los quieras llamar, un tanto distintas. Son días que por fuerza de apretar y trabajar, sale algo que no estaba planificado, no estaba dentro de una de las plantillas de artículos que tengo estructuradas en mi cabeza para cada uno de los posts que publico. Son cosas diferentes. Distintas. Con algo diferente.

Con algo muy distinto.

A veces llevan palabras y formas de escribir que no utilizo habitualmente. A veces permean más de mí de lo que me gustaría. Otras veces cuentan secretos. Otras veces son solo mundos internos que viven en mí, reflexiones que sólo me cuento a mí, o narraciones extraordinarias que buscan jugar con la estética más que con la cinética. Son especiales en muchos aspectos para mí. Son pequeños cisnes negros en forma de post que si has leído muchos años este blog seguro que has localizado periódicamente. At random, que dicen.

Al final, esas perlas de diferencia, son como los lunares de colores en las pieles de los reptiles. Los colores rojos, marrones, amarillos y demás estridencias en el pelaje de otros animales que le dan consistencia a la forma completa de este blog. Y la suma de todos ellos son gotas de sudor, energía, trabajo, constancia, y cabezonería del que firma al final de los párrafos. Así que, esos días cualquieras le dan a este blog algo de esencia mía. Algo personal. Por eso son tan importantes.

Si tu tienes también esos días en tu trabajo, y te sirve de algo mi experiencia en primera persona, habrá sido un buen aprovechamiento del post que os publico en el día de hoy, un día cualquiera.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

The Wave 2026: ‘Hacking & Cybersecurity in the age of AI Revolution’ - 15 Abril en Zaragoza

noreply@blogger.com (Chema Alonso) — Fri, 03 Apr 2026 05:01:00 +0000

Los próximos días 14, 15 y 16 de Abril tendrá lugar en Zaragoza el Congreso The Wave 2026, con una amplia participación de empresas tecnológicas, ponentes de primer nivel, y exposiciones, y yo estaré para dar una ponencia el día 15 de Abril en el Planet Zero - que será el auditorio del Palacio de Congresos de Zaragoza - a las 11:50, de la mano de Nunsys y Cloudflare.

Figura 1: ‘Hacking & Cybersecurity in the age of AI Revolution’

The Wave 2026: 14, 15 y 16 de Abril en Zaragoza

Por supuesto hablaré de Ciberseguridad e Inteligencia Artificial en una charlad de media hora, así que si vas a estar por allí, recuerda, el día 15 a las 11:50 estoy en el auditorio Planet Zero, por si quieres pasarte a verme.

Figura 2: ‘Hacking & Cybersecurity in the age of AI Revolution’.

The Wave 2026 - 15 Abril en Zaragoza

Figura 3: Mi charla será el día 15 a las 11:50 con Nunsys en Planet Zero

Por supuesto, si te has leído el libro de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" seguro que te haces una idea de lo que voy a contar allí, pero... como siempre, estará actualizada hasta el último minuto, que en este mundo todo va muy deprisa.

Figura 4:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Ese mismo día, estará como cabeza de cartel cerrando el evento, el gran José María Álvarez-Pallete, que es un gran ponente y que, como siempre, dará una charla espectacular. Será a las 19:00 horas, para cerrar la jornada del día 15.

Figura 5: José María Álvarez-Pallete cierra el día 15 en The Wave.

Puedes contactar con José María Álvarez-Pallete en MyPublicInbox.

Pero además, el día 14 tenéis, entre muchos, a Paco Salcedo, Presidente de Microsoft España, y el día 16 a Jordi Wild - que tengo muchas ganas de conocerlo en persona -, y al viejo rockero de Alejandro Vesga, que estarán dentro de una lista de grandes ponentes. Nos vemos por Zaragoza.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo lograr el Check de Verified en LinkedIn con una Identidad Pública que no coincide con la Identidad Legal

noreply@blogger.com (Chema Alonso) — Thu, 02 Apr 2026 07:58:00 +0000

Durante los últimos años, las redes sociales han ido incorporando sistemas de verificación con el objetivo de reforzar la confianza entre los usuarios. Estos sistemas consisten en un mecanismo mediante el cual la plataforma confirma que la persona o entidad que gestiona una cuenta es realmente quien dice ser. La recompensa visible para el usuario es una insignia, un pequeño icono —el conocido check— que, para muchos, simboliza autenticidad y fiabilidad.

Figura 1: Cómo lograr el Check de Verified en LinkedIn con una

Identidad Pública que no coincide con la Identidad Legal

En el caso de LinkedIn, esta insignia de verificación pretende indicar que un perfil pertenece a una persona real y que la información presentada coincide con su identidad profesional, pero hay que entender que no tiene por qué ser la información legal. A través de estos distintivos, la plataforma busca generar un entorno más seguro, donde los usuarios puedan interactuar con confianza, evitando suplantaciones y facilitando la creación de redes profesionales legítimas. Además, el sistema permite verificar no solo la identidad, sino también documentación, garantizando que determinada información que aparece en el currículo de la persona es correcto.

Sin embargo, esta lógica presenta un matiz a conocer. La verificación no siempre vincula de manera técnica y directa la identidad visible del perfil con la identidad que se ha validado internamente. Algo que hay que entender si te dedicas a la investigación de identidades en Internet. Es decir, un usuario podría mostrarse como verificado gracias al check, pero no existir una correspondencia completa entre los datos de la persona que aparece en el perfil y aquella que ha pasado el proceso de validación.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

La insignia ofrece cierta seguridad y confianza, pero no asegura la correspondencia absoluta entre la identidad verificada y la visible, por lo que debes conocer su funcionamiento correctamente para entender sus límites. En LinkedIn, un perfil verificado transmite una idea muy concreta, detrás de ese nombre hay una identidad confirmada, pero podría darse el caso que no fuera exactamente la visible, que es lo que la mayoría de usuarios interpreta sin pensarlo demasiado.

o que vas a ver a continuación no muestra una intrusión, ni una toma de cuenta, ni una vulnerabilidad técnica clásica. Muestra algo distinto, un flujo de verificación para reforzar la autenticidad del perfil, pero que deja que la identidad visible de una cuenta sea distinta de la identidad legal acreditada. Esto, si lo conoces, no tiene por qué ser malo. Muchas personas tienen nombres públicos que no son los que están en sus identidades legales, como Moxie Marlinkspike o Chema Alonso, pero aún así se puede verificar que son ellos. Moxie Marlinsspike protagonizo en un evento una anécdota que se hizo famosa cuando le pedían un ID con su nombre en un evento, y el dijo simplemente: "Google me", para que la persona que le registraba supiera que él era Moxie Marlinspike, - una identidad creada por él mismo - incluso si su identidad legal era otra.

Dicho de otra forma, el sistema comprueba que hay una persona real detrás - que ha hecho el proceso de Know Your Custormer -, pero el usuario final puede seguir sin saber quién es realmente esa persona . Cuando una insignia de verificación deja de responder a la pregunta “quién está detrás” y pasa a responder sólo a “hay alguien detrás”, el modelo de confianza debe ser otro. Es cierto que, si hay algún problema, la plataforma que ha verificado a esa cuenta, sabe quién está detrás de ella. Es decir, la identidad legal del que controla esa cuenta.

Lo curioso es que, de acuerdo con el flujo operativo descrito, ante una discrepancia, LinkedIn propone una salvaguarda consistente en mostrar el nombre oficial como complemento público en el perfil. Incluso llega a mostrar una vista previa en la que el alias, la insignia de verificación y el nombre legal aparecen conjuntamente, reforzando la transparencia y autenticidad del perfil.

Sin embargo, esto no parece la mejor idea para perfiles que tienen una identidad pública bien reconocida que prefieren conservar la privacidad de su identidad legal. Como vamos a ver en esta demostración, aunque la intención declarada por LinkedIn en la ayuda es mostrar la identidad legal, el resultado operativo final, y el resultado finalmente visible demuestra que se puede ocultar la identidad legal, divergente con la identidad pública.

Figura 3: Según la ayuda de Linkedin, el nombre legal entre paréntisis,

y el nombre público destacado.

La prueba de concepto que sigue documenta precisamente eso. Cómo un perfil con un nombre divergente puede atravesar el proceso de verificación documental y biométrica, llegar hasta la fase en la que LinkedIn reconoce la discrepancia - y aunque promete transparencia -, terminar finalmente con la insignia añadida sin que se muestre tu identidad legal. Aunque hay discrepancia, la identidad legal no queda visible como complemento en el perfil. No se trata de una hipótesis. Se trata de una secuencia reproducida, documentada y observable. Vamos al grano.

1. Preparación de la cuenta y estado inicial

Qué se quiere demostrar con esta prueba de concepto:

Se parte de una cuenta con un nombre de perfil divergente respecto del nombre del documento.
El proceso de verificación documental y biométrica se completa correctamente.
LinkedIn detecta la discrepancia y ofrece una salvaguarda de transparencia.
La vista previa muestra que el nombre oficial aparecería entre paréntesis.
El resultado final observado es un perfil verificado con alias y sin nombre complementario visible.

La cuenta utilizada en la prueba muestra un nombre de perfil divergente, "El lado del mal", y en ese momento todavía no dispone de ninguna verificación añadida.

Figura 4: Estado inicial de la cuenta: nombre de perfil divergente

y ausencia de verificación previa.

Este punto es importante porque fija el estado previo. El alias visible, cuenta operativa y cero insignias activas.

2. Verificación documental y biométrica

El flujo de Persona valida la identidad de la persona real detrás de la cuenta. El material gráfico permite ver que el proceso pasa por el escaneo físico del documento, la comprobación biométrica y la validación final de identidad.

Figura 5: Secuencia resumida del proceso de "Know Your Customer".

Escaneo del documento, verificación biométrica y validación positiva de identidad.

Para evitar exponer datos innecesarios, en esta versión se han omitido capturas donde aparecen campos documentales completos.

3. LinkedIn detecta la discrepancia y propone una salvaguarda

Una vez verificada la identidad real, LinkedIn no añade todavía la insignia. En ese punto aparece un mensaje explícito: el nombre del ID no coincide con el nombre del perfil y, como alternativa para poder verificar la identidad, se ofrece mostrar el nombre del documento oficial como complementario en el perfil.

Figura 6: Aviso de discrepancia de nombre y activación

de la salvaguarda propuesta por LinkedIn.

4. La propia plataforma enseña el resultado esperado

La siguiente pantalla es decisiva porque ya no es una interpretación del investigador. Es la propia plataforma la que muestra una vista previa de cómo debería quedar el perfil si se acepta la opción propuesta: alias visible, insignia de verificación y nombre oficial entre paréntesis como complemento público.

Figura 7: Vista previa del comportamiento esperado. El nombre oficial

aparece como complemento visible junto al alias.

5. Resultado final observado

Tras completar el flujo, la verificación queda añadida al perfil. No obstante, el resultado visible no coincide con la vista previa anterior, el perfil termina mostrando la insignia de verificación sobre el alias, pero sin el nombre oficial complementario que LinkedIn había presentado como mecanismo de transparencia.

Figura 8: Comparativa directa entre el resultado que LinkedIn

promete y el resultado finalmente observado en el perfil.

6. Interpretación técnica de la evidencia mostrada

La imagen documenta el estado final de la prueba de concepto y concentra, en una sola vista, el núcleo del fallo de lógica observado en el flujo de verificación de LinkedIn. Desde el punto de vista técnico, lo que se aprecia es la coexistencia de tres elementos que no deberían convivir de esta forma si la salvaguarda de transparencia se aplicara correctamente, según la ayuda de la plataforma.

Un nombre de perfil arbitrario o alias visible
Una insignia de verificación de identidad activa
La ausencia del nombre legal complementario que el propio flujo promete mostrar cuando detecta discrepancia entre identidad acreditada e identidad mostrada.

Figura 9: Resultado obtenido BYPASS Business Logic Error

/ Broken Identity Binding

Esto permite inferir que el proceso de validación documental y biométrica ha finalizado con éxito - se ha hecho el KYC, el backend ha marcado la cuenta como verificada y tiene la documentación almacenada, pero que la capa de representación pública del perfil no está materializando de forma efectiva el mecanismo de unión entre identidad legal e identidad pública, que es algo que debes tener en cuenta.

Dicho de manera más precisa, la plataforma resuelve correctamente la pregunta “existe una persona real detrás de esta cuenta y sabemos quién es”, pero “la identidad pública que se muestra al resto de usuarios no tiene por qué ser la identidad legal que ha sido acreditada”.

Lo que se muestra no es una simple anomalía visual o un problema cosmético. Lo que refleja es una posible desincronización entre el estado de verificación concedido y la política de exposición del atributo de identidad complementaria descrito en la ayuda de Linkedin. En otras palabras, el sistema concede el distintivo sin hacer cumplir de manera consistente la condición de transparencia que él mismo presenta como alternativa cuando existe un desajuste de nombres, pero que por otro lado permite a las identidades públicas mantener la privacidad de sus identidades legales.

A nivel de lógica de negocio, esto encaja con un escenario de Broken Identity Binding, la identidad legal validada existe, pero no queda correctamente enlazada con la identidad pública consumida por terceros. El resultado práctico es que el usuario que observa el perfil recibe una señal de autenticidad fuerte, pero que si carece del contexto mínimo necesario para interpretar correctamente qué ha sido verificado y bajo qué identidad, podría llevarle a confusión o error.

7. Implicación de seguridad y abuso potencial de esta evidencia

En un sistema de verificación bien ligado, la insignia debería actuar como un atributo de confianza contextualizado. Es decir, no solo debería indicar que el proceso de validación ha sido superado, también debería permitir interpretar correctamente qué identidad ha quedado acreditada frente al resto de usuarios. Cuando esa unión falla, el distintivo conserva su fuerza visual, pero pierde precisión semántica. Es decir, podría parecer que la identidad legal es la que se ve públicamente es la misma - porque no aparece entre paréntesis otro nombre), sin ser así.

Eso abre la puerta a varios escenarios a tener en cuenta. Lógicamente, hay que pensar en la suplantación creíble con validación, ya que un actor podría construir un perfil con un alias, una identidad visual cuidada o incluso una identidad coincidente con la de un tercero, completar la verificación con su propia documentación legítima y terminar mostrando públicamente una cuenta que transmite autenticidad sin revelar el contexto real de la verificación. Para el observador externo, la insignia refuerza la apariencia, para el atacante, reduce el riesgo de ser detectado y aumenta credibilidad. Para limitar la suplantación de personas conocidas, por supuesto, Linkedin tiene los mecanismos de denuncia de suplantaciones, y por eso las empresas monitorizan las identidades de sus ejecutivos en la red para detectar estos posibles casos.

Hay que añadir que, además, en caso de que esta identidad fuera parte de un delito que se investigara, la plataforma podría entregar la documentación que usó la persona en el proceso de KYC, pero para engaños individuales a personas a través de redes sociales, podría dar a la identidad un halo de ser lo que se ve, cuando realmente es otra persona.

En este caso, el objetivo ya no es parecer una persona concreta, sino parecer una entidad fiable. Nombres como “Security Team”, “Compliance Department” o cualquier otra formulación institucional adquieren más potencia cuando van acompañados de una verificación activa. El problema no es solo el alias, también que el distintivo puede ser interpretado por la víctima como una validación indirecta del rol, del contexto o de la autoridad del emisor. Para ello hay que entender que las verificaciones pueden verificar también la documentación, pero puede ser que alguien verifique su identidad con este proceso, pero no verifique sus aptitudes, por lo que podría ser mintiendo en sus títulos y acreditaciones.

Cuando una plataforma proyecta una señal fuerte de autenticidad, terceros pueden usarla como referencia adicional en procesos de evaluación, contacto profesional, validación de antecedentes o interpretación pericial informal. Hay que entender bien los límites de la verificación, y si la identidad visible no queda unida con transparencia a la identidad legal acreditada - lo que podría ser una opción de privacidad - , y los que consumen estos límites no lo conocen, la plataforma introduce sin quererlo ruido precisamente en el punto donde debería reducirlo.

En otras palabras, el problema no está en que LinkedIn permita usar identidades públicas o alias. El problema aparece cuando el distintivo de verificación sigue actuando como una señal fuerte de identidad legal - tal y como dice en su ayuda - sin que el usuario pueda interpretarlo correctamente. Es decir, si la Verificación permite el uso de Identidades Públicas con privacidad de Identidades Legales, no debería decir que si hay discrepancia entre ellas mostrará las dos en la Verificación y luego que se pueda evitar eso.

Saludos,

Autor: Catalin Barsan Apostolescu

Contactar con Catalin Barsan Apostolescu

Cortical Labs CL1: Ordenadores con Redes Neuronales Biológicas para ejecutar algoritmos de Inteligencia

noreply@blogger.com (Chema Alonso) — Wed, 01 Apr 2026 04:01:00 +0000

No podía no escribir sobre esta noticia - a pesar de ser hoy el April's Fool -, pero el día a día es el que es. El caso es que quería hablaros del ordenador CL1 de Cortical Labs, que no es solo un avance tecnológico, ya que es el nacimiento de una nueva categoría tecnológica, lo que se denomina como "Inteligencia Biológica Sintética (SBI)". Mientras que la IA convencional intenta imitar el cerebro mediante silicio y matemáticas, el ordenador CL1 utiliza el componente original: Neuronas humanas vivas.

Figura 1: Cortical Labs CL1: Ordenadores con Redes Neuronales Biológicas

para ejecutar algoritmos de Inteligencia. Que pueden jugar a juegos

como el DOOM o ser usados en Cloud.

Fue lanzado comercialmente en 2025, como el primer ordenador biológico del mundo, capaz de ejecutar código directamente sobre tejido vivo, y hoy en día podemos ver jugar al mítico juego del Doom del que ya hemos hablado tantas veces.

Figura 2: Doom corriendo sobre el CL1

Ya hemos visto ejecutar DOOM desde el DNS, desde el Excel o bases de datos, en un emulador de MS-DOS para iPhone, y ahora lo tenéis en este vídeo anterior lo tienes corriendo sobre un ordenador de neuronas vivas.

El Core del CL1: "Wetware" y Silicio + BiOSP

A diferencia de un procesador tradicional, el núcleo del CL1 es un híbrido, y cuesta unos 35.000 USD por unidad. Contiene aproximadamente 800,000 neuronas cultivadas a partir de células madre humanas, las cuales crecen directamente sobre un chip de silicio equipado con una matriz de electrodos de alta densidad. El chip actúa como un puente y traduce los datos digitales en impulsos eléctricos que las neuronas pueden "sentir" y, a su vez, capta las señales eléctricas de las neuronas para convertirlas en comandos digitales.

Figura 3: Equipo CL1 de Cortical Labs

Para que este "procesador vivo" funcione, el CL1 incluye un sistema de microfluídica que suministra nutrientes, elimina desechos y regula la temperatura y los gases (CO₂, O₂), manteniendo a las células sanas hasta por seis meses. Esto, lo tenéis explicado en el siguiente vídeo publicado de Cortical Labs.

Figura 4: Brain Cells playing Doom

Para interactuar con esta amalgama de biología y metal, Cortical Labs ha desarrollado el Biological Intelligence Operating System (biOS). Este software permite a los desarrolladores desplegar código que estimula áreas específicas del cultivo neuronal, recibir respuestas en tiempo real y entrenar a las neuronas mediante bucles de retroalimentación basados en el "Principio de Energía Libre", donde las células modifican sus conexiones para hacer su entorno más predecible.

Un ejemplo famoso de esta capacidad fue el predecesor del CL1, el DishBrain, que aprendió a jugar al videojuego Pong en menos de cinco minutos, superando en velocidad de aprendizaje inicial a muchas IAs digitales.

Figura 5: En el año 2022, se presentaba el concepto con la

ejecución del mítico Pong como podéis leer en el paper

Y ahora, como no, ya con el CL1 se ha demostrado que estas neuronas pueden realizar tareas más complejas, como jugar al clásico Doom.

¿Por qué biocomputación?

El CL1 no busca reemplazar a las GPUs, sino ofrecer ventajas donde el silicio flaquea, como es la eficiencia energética. Para que os hagáis una idea, un rack entero de unidades CL1 consume menos de 1 kW, una fracción minúscula de lo que requiere un centro de datos de IA para tareas de aprendizaje similares. Así, hoy en día, Cortical Labs tiene una Cloud de CL1 y es un servicio que se puede utilizar para desplegar software.

Figura 6: Cortical Cloud

Además, las neuronas biológicas son expertas en generalizar con muy pocos datos, algo que a los modelos de lenguaje actuales les cuesta horrores, por lo que son perfectas en Aprendizaje Adaptativo. Por último, para la investigación médica es un entorno perfecto, porque permite probar fármacos y estudiar enfermedades neurodegenerativas en neuronas humanas reales de forma ética, reduciendo la necesidad de experimentación con animales. Y sólo por eso, ya mola mucho.

Figura 7: Código para Doom en CL1 "Doom-Neuron"

Todavía quedan muchas dudas en el proyecto, e incluso hay que ver cuanto de aporte tienen las neuronas biológicas en los resultados que se han visto. Los costes aún son altos, y el mantenimiento también, pero es un área de investigación preciosa que, si te gusta la tecnología, es imposible que no te mole. Además, tienes el juego para ver cómo se hacen las interconexiones.

Figura 8: Gemini ayudándome a hacer el código para el CL1

(el código viene después, pero lo he cortado, no era importante aquí)

Como curiosidad, le he preguntado a Gemini si me puede ayudar a hacer el código para entrenar el CL1 para jugar al Light Cycles de Tron, y sin que lo haya podido probar, me ha explicado cómo hacerlo. Así que... tal vez lo haga como experimento. Y ya, si te gusta la Ciencia Ficción, cuando se consigan que estas redes neuronales vivas sean de millones, que duren años, ¿estaremos cerca de crear algún cerebro sintético como los que sirven para construir a los Replicantes en Blade Runner?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

noreply@blogger.com (Chema Alonso) — Tue, 31 Mar 2026 05:01:00 +0000

Esta semana se ha publicado la entrevista que me hizo mi querido compañero João Tomé, con el que comparto oficina en Cloudflare Lisboa, para hablar de todo un poco y de nada en concreto. O lo que es lo mismo, un poco de mi vida, el mundo del hacking, la ciberseguridad, el mundo de la inteligencia artificial, y todas esas cosas de las que siempre nos gusta charlar.

Figura 1: This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

En la entrevista, que se hizo para el sitio web de This Week in NET, donde puedes ver todas las actividades alrededor de Cloudflare, también cuento anécdotas de esas que suelo contar a mis amigos en cenas, comidas y reuniones más reducidas.

Figura 2: This Week in NET

Algunas de esas anécdotas, como la de cuándo cené con Steve Wozniak y Kevin Mitnick, donde le conté el "bug" de DirtyTooth y la respuesta inicial de Apple, es alguna de las que ha salido en las redes sociales publicadas, pero estuvimos hablando casi una hora.

AI agents are now ranking among the top hacking teams in the world.

Hacker and Cloudflare VP Chema Alonso explains why — and what comes next.

Full episode + subscribe →https://t.co/k7dbUqVuPR pic.twitter.com/hnY6JpisIt
— Cloudflare (@Cloudflare) March 27, 2026

La charla completa la tenéis en el siguiente vídeo que está subido a Youtube, donde la tenéis completa. Son casi cincuenta minutos, así que si tienes tiempo y te apetece te la puedes ver completamente. También cuento en ella cómo comencé, o los inicios dando charlas en mi carrera.

Figura 4: This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

Todas las entrevistas que el gran João Tomé ha hecho, con grandes profesionales y compañeros, además de súper clases en el mundo de la tecnología, las tenéis en el Canal Youtube de Cloudflare al que tenéis que suscribiros ahora mismo.

Figura 5: Canal Youtube de Cloudflare

Y si quieres consumir el contenido en podcasts, RSS, o en una emisión continua mientras que estás trabajando, el equipo de comunicación creó Cloudflare TV, donde tenéis acceso a todo el contenido en todos los formatos y en todos los canales. Para que no te quejes.

Figura 6: Cloudflare TV

Y si lo que quieres es suscribirte por e-mail, en tu buzón de correo para tener el aviso regular de las novedades, entonces lo tienes fácil con la suscripción a la Newsletter de This Week in NET.

Figura 7: Suscripción a la Newsletter de This Week in NET

Espero que os entretenga, pero además que las charlas que oigáis más allá de la mía, os inspiren, os eduquen, os preparen mentalmente para el mundo que tenemos por delante, que es, sobre todo, un futuro lleno de cambios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

FrontierMath: Inteligencia Artificial resolviendo problemas de matemáticas aún no resueltos.

noreply@blogger.com (Chema Alonso) — Mon, 30 Mar 2026 05:01:00 +0000

La organización de Epoch AI es un centro de investigación que está dedicado a monitorizar el avance de la Inteligencia Artificial en la ciencia, y en especial, de la matemática, donde tienen un Benchmark para monitorizar el resultado de los modelos LLM de frontera en la resolución de problemas matemáticos.

Figura 1: FrontierMath: Inteligencia Artificial resolviendo

problemas de matemáticas aún no resueltos.

Además del Benchmark FrontierMath, del que hablaré un poco al final de este artículo, tienen una sección donde recopilan problemas de matemáticas que aún no han sido resueltos. Conjeturas aún por descubrir su respuesta, donde actualmente tienen un total de 15 problemas.

Figura 2: FrontierMath

Estos problemas los tienen catalogados por dificultad de resolución, donde los propios matemáticos que los proponen indican el nivel de dificultad, y cuanto creen que los humanos podrían resolverlo. Así, estos son catalogados en niveles de dificultad.

Figura 3: Quince retos no resueltos por humanos

De ellos, de los "Moderadamente Interesantes", donde hay cuatro - ninguno de ellos resueltos por humanos - hay uno de ellos que acaba de ser resuelto por la Inteligencia Artificial. Este reto que ha sido resuelto, el matemático que lo planteo no lo pudo resolver en el año 2019 cuando se le ocurrió.

Figura 4: Retos Moderadamente Interesantes

El enunciado del problema de "Ramsey-Style Problem on Hypergraphs", por si queréis intentarlo vosotros antes de leer la solución, lo tenéis publicado aquí, igual que el resto de los problemas abiertos. Para que te entretengas en tus ratos libres.

Figura 5: "Ramsey-Style Problem on Hypergraphs"

El problema de "Ramsey-Style Problem on Hypergraphs" es el que ha sido resuelto por los modelos de Inteligencia Artificial, en las últimas versiones de los modelos de frontera que tenéis aquí en la tabla, donde GPT-5.4 Pro, GPT-5.4 (xhigh), Gemini 3.1 Pro y Claude Opus 4.6 (max) han sido los únicos capaces de resolver este problema.

Figura 6: Modelos que han resuelto el problema aún no resuelto

Es un paso pequeño, porque se esperaba que este problema, si lo hubieran intentado resolver matemáticos de nivel, lo hubieran podido sacar seguro en unos meses - según dice el matemático que lo planteó -, pero lo cierto es que la IA lo ha resuelto rápidamente, con este Prompt, donde se le describe el problema.

A hypergraph (V, H) is said to contain a partition of size n if there is some D ⊆ V and P ⊆ H such that |D| = n and every member of D is contained in exactly one member of P. Define H(n) to be the largest integer k such that there is a hypergraph (V, H) with |V| = k having no isolated vertices and containing no partitions of size greater than n.

It is known that H(n) ≥ k_n, where k_n is defined recursively by the formula k_1 = 1 and k_n = ⌊n/2⌋ + k_⌊n/2⌋ + k_⌊(n+1)/2⌋.

Your task is to improve this lower bound by a constant factor, i.e. show that H(n) ≥ c*k_n for some c > 1. It is acceptable if this improvement does not work for small n, but it must already be "in effect" for n=15. You must demonstrate this improvement by providing an algorithm that takes n as input and produces a hypergraph witnessing H(n) ≥ c * k_n.

Please provide an algorithm that takes n as input and outputs the witness hypergraph as a string where vertices are labeled, 1, ..., |V|, and edges are denoted with curly braces. Example: {1,2,3},{2,4},{3,4,5},{1,5}

Solution format:
* Write a Python script defining a function `solution(n: int) -> str`.
* Do not include any code at the file level. You may include a `main` block for testing, but it will not be executed by the verifier.
* For n ≤ 100, the algorithm must complete within 10 minutes when run on a typical laptop.

Y con este Prompt, el modelo ha resuelto el problema y ha publicado un artículo donde ofrece la explicación matemática y la demostración de por qué está resuelto, como podéis ver aquí. Perdonadme que no me meta en la parte matemática, que ya me parece demasiado para un artículo que estoy escribiendo en domingo.

Figura 7: El paper que resuelve la conjetura que estaba sin resolver aún

Lo cierto es que, además de esta competición, el Benchmark FrontierMath está retando a los modelos de frontera con problemas con cuatro niveles de dificultad, donde miden la exactitud en la resolución. Estos problemas no son nada fáciles, especialmente el nivel Tier-4 donde hay 50 problemas muy complejos.

Figura 8: El Tier 4 tiene 50 problemas extremadamente difíciles

Y la clasificación en este nivel, de los diferentes modelos, muestra que aún queda espacio de mejora, pero al mismo tiempo muestran lo rápido que están mejorando, versión tras versión, estos modelos, buscando superar a todos los matemáticos de la tierra en un futuro que no parece demasiado lejano.

Figura 9: Clasificación en el Tier-4 de los problemas

Recordad que estos modelos sufren de problemas aún sin resolver, como vimos en el Benchmark de la ORCA donde los decimales, la aplicación de la fórmula correcta, o la transformación de medidas sigue siendo un reto en determinadas situaciones.

Figura 10: Evolución de los modelos y resultados de las pruebas de Tier-4

Por supuesto, para el mundo del hacking y el pentesting donde se utiliza ya IA, que esta es otra buena disciplina donde hay que resolver problemas, la mejora continua de estos modelos hace que caba vez sean más eficientes a la hora de realizar una penetración en un sistema. Así que hay que seguir apostando por ellos.

Figura 11: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Una charla en Lisboa, una entrevista en RNE y fotos en Spatial con iPhone

noreply@blogger.com (Chema Alonso) — Sun, 29 Mar 2026 07:16:00 +0000

Para hoy domingo, aprovecho para dejaros rápidamente tres cosas rápidas, dos de ellas porque a mí me gusta conservar todas las charlas y entrevistas que voy haciendo en mi canal de Youtube, y la última porque me ha hecho gracia un update de iPhone en las Photos usando GenAI para crear fotos en formato Spatial, que como no lo conocía ni Mi Survivor ni Mi Hacker, entonces es que aún no es muy conocido.

Figura 1: Una charla en Lisboa, una entrevista

en RNE y fotos en Spatial con iPhone

Lo primero que os dejo es la primera conferencia que impartí para Cloudflare el año pasado, durante el mes de Octubre de 2025 en el Patio Galé, de Lisboa. Para hablar de IA y Ciberseguridad en Atlantic Convergence 2025, nada nuevo de lo que no os haya hablado ya por aquí, pero que para mí fue especial.

Figura 2: Conferencia en Atlantic Convergence 2025

Este segundo vídeo es realmente sólo una entrevista en audio para RNE Radio5 que hice hace poco con Daniel Hernández Baldí. Unos minutos hablando de actualidad y hecha durante este mes de Marzo, así que tiene muy poco tiempo.

Figura 3: Entrevista de Daniel Hernández Baldí a Chema Alonso en RNE - Radio5

El último vídeo que os dejo es sólo cómo funcionan las Spatial Photos en iPhone e iOS, que lo descubrí por casualidad, y me hizo gracia. Se trata de convertir las fotos usando GenAI en imágenes "vivas" en 3D. Ya sabéis que iPhone metió las "Live Photos" grabando unos segundos hace ya mucho tiempo, pues bien, ahora ha metido estas "Spatial Photos" que se crean a partir de cualquier fotografía.

Figura 4: Haciendo Spatial Photo de la foto de RootedCON

El funcionamiento es sencillo. Basta con que le des al cubo que aparece encima a la derecha de cualquier fotografía, iOS lo procesa con GenAI, y saca una nueva fotografía que reacciona a los movimientos del acelerómetro y el giroscopio para permitirte ver la foto en 3D desde diferentes puntos de vista.

Figura 5: La foto del Gato Maligno en formato Spatial

Es un 3D muy pequeño, pero es gracioso verlo. Os he hecho unos vídeos para que se vea funcionando. Nada más. Así que os dejo hoy domingo que hay que disfrutar el día. Que hagáis muchas cosas divertidas en vuestra vida.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Doom over DNS: O cómo guardar, descargar y ejecutar Doom desde el DNS (de Cloudflare)

noreply@blogger.com (Chema Alonso) — Sat, 28 Mar 2026 05:16:00 +0000

Almacenar ficheros en los sitios menos pensados no es algo nuevo. Hace años que ya teníamos DNSFS, donde se utilizaba el DNS para almacenar ficheros, y nosotros en el equipo de Ideas Locas creamos un almacenamiento infinito a mi Macintosh utilizando una Raspberry Pi, Python & Google Photos, lo que nos permitía tener la posibilidad de descargar cualquier juego desde la nube y ejecutarlo.

Figura 1: Doom over DNS: O cómo guardar, descargar y

ejecutar Doom desde el DNS (de Cloudflare)

Estos días se ha publicado Doom over DNS, así que he ido a ver cómo lo han hecho, y la verdad es que es bastante sencillo, pero mezclar Doom siempre en la ecuación genera mucho interés.

View this post on Instagram

Aquí andamos, trabajando un rato. Os prometo que esto es parte de una investigación }:) Prince of Persia Rulez!!

A post shared by Chema Alonso (@chemaalonso) on Oct 2, 2019 at 1:39am PDT

Cuando había que probar el emulador de MS-DOS para iPhone, mi primera prueba fue con DOOM, por supuesto, ya hace poco os hablé de otro caso donde construían versiones Doom-Like para DuckDB, CedarDB e incluso Excel, que es que los fans de esta joya son muchos.

Figura 3: Doom over DNS

Ahora el "hack" era utilizar registros TXT de los DNS - en este caso de Cloudlare - para guardar un port de Doom a C#, aprovechar la distribución mundial de baja latencia en Edge que ofrece el DNS más rápido y más seguro de Internet - ya sabéis que es 1.1.1.1 de Cloudflare -, y ejecutarlo con una simple llamada.

Figura 4: Cloudflare DNS el más rápido y seguro de Internet

Para ello, tienes el proyecto de Doom over DNS en GitHub, y te puedes bajar todos los scripts que necesitas, escritos en PowerShell, con el contenido del juego que se va subir a 1964 registros TXT del DNS de tu dominio, para tener el código que hay que descargar completo.

Figura 5: Doom over DNS en GitHub

Los comandos para compilar el juego a bytecodes y poderlo subir al DNS de Cloudflare son los siguientes tres que tienes aquí. Y te va a ir a toda "mecha" y cifrado en PQC si usas el cliente WARP de Cloudflare en tu conexión de Internet.

Figura 6: Build the Game, Load Cloudflare Credentials, Upload to DNS

Una vez que lo tengas subido, pues ya es tan fácil como pedir la ejecución con otro script, también en PowerShell que tiene varias opciones para que lo puedas ejecutar bajo demanda.

Figura 7: Ejecución desde PowerShell de Doom over DNS

Esta idea de usar PowerShell para descargar y ejecutar cosas también es la que se usa en iBombShell de la que hemos hablamos muchas veces por aquí. Así que se podría hacer una mezcla de registros TXT del DNS para almacenar los payloads de iBombShell.

Figura 8: Arrancando Doom over DNS

Si quieres saber cómo funciona, pues descárgate el código desde el GitHub de Doom over DNS y pruébalo. Y, si quieres, adáptalo para hacer lo mismo con el juego que quieras. ¿Quién se anima a hacer uno para ejecutar el Light-Cycles de Tron?

Figura 9: Comprar libro de "Pentesting con PowerShell Silver Edition"

de Pablo González en 0xWord.

Otra opción chula podría hacer el porting a TypeScript y subirlo a los Workers de Cloudflare, como hicimos con el Arkanoid, ¿no? Vamos, que es muy sencillo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)