Un informático en el lado del mal

Cómo optimizar el gasto en IA con arquitecturas clasificadas, orquestadas y/o destilación. El problema de la Predictibilidad de los Costes de la IA

noreply@blogger.com (Chema Alonso) — Sat, 23 May 2026 11:34:14 +0000

Llevo algo más de un año compartiendo con todos mis amigos en corto uno de los problemas que hoy en día comienza a ser un dolor de cabeza en muchas empresas, que es lo que yo llamo la "Predictibilidad de los costes de la IA". Una fuerza de empleados humanos te da una predictibilidad de costes con la que puedes hacer un presupuesto más o menos claro, pero con el uso indiscriminado de la IA y los límites en consumo de tokens, es difícil tener esa predictibilidad, y aprender a gestionar eso es una nueva disciplina en las organizaciones.

Figura 1: Cómo optimizar el gasto en IA con arquitecturas clasificadas, orquestadas y/o destilación. El problema de la Predictibilidad de los Costes de la IA.

Imagen: Nano Banana.

Es verdad que algo no es caro o barato simplemente por su coste, ya que puede ser que por el mismo coste tu fuerza laboral con IA esté entregando mucha más productividad en mucho menos tiempo, o puede pasar justo lo contrario, que estemos gastando el mismo budged en IA en la mitad de tiempo, pero estemos entregando dashboards y tools que son "nice-to-have" pero que no tengan un impacto real en el negocio. Las dos posibilidades existen, y será un éxito o no para la compañía, si esta es capaz de racionalizar, ya no tanto el consumo, sino el qué se quiere hacer con IA.

Figura 2:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Pero no estoy hoy para hablar de eso, que seguro que os hablaré en algún artículo ulterior, que también tengo mis reflexiones sobre cómo se está usando la IA en muchas empresas, sino sobre las soluciones tecnológicas de arquitectura que yo he estado discutiendo con clientes, y compañeros, para proponer soluciones de optimización de costes en el uso de la IA.

El planteamiento de partida es que tenemos una empresa que está haciendo un consumo útil de tokens de IA pero quiere optimizar el coste, pues bien, existen diferentes soluciones arquitecturas, que los ingenieros de software de tu empresa - incluso haciendo uso de IA - te pueden ayudar a construir, basadas en estas ideas. A ver qué os parecen.

Clasificiación Funcional: IA, ML o Algorítmica clásica

Esta es una decisión fundamental y muy clara desde el principio. Su base es tan sencilla como dado un servicio digital que hace uso de la IA, decidir cómo se debe construir cada funcionalidad y solución algorítima debe estar detrás es fundamental.

Responder a un "Hola" o realizar una operación sencilla como "suma 2+2" no requiere que te gastes tokens en modelos de frontera, al igual que elegir qué anuncio poner. Para ello, se deben analizar bien de qué manera se debe construir cada función de un servicio digital, y esto debes clasificarlo en varios niveles:

Tareas complejas de razonamiento: Aquellas que debes enviar a los modelos de Inteligencia Artificial y que van a marcar la diferencia en tu servicio.

Tareas complejas de conocimiento: Para estas funciones, los algoritmos de Machine Learning son una opción perfecta. Si tienes los datos, en lugar de enviarlos vía contexto usando un RAG o un Graph RAG, la alternativa puede ser entrenar tu ML y generar el conocimiento como parte de tu sistema. El coste es infinitamente menor si haces tu ML y, además, controlas tus datos.

Tareas de razonamiento sencillas: Aquellas que, aun requiriendo del uso de modelos de IA, pueden ser atendidas por SLMs, modelos LLM OpenSource, o simplemente más económicos.

Tareas Algorítmicas: Aquellas que puedes realizar co un algoritmo clásico determinista. Hemos estudiado muchos años los algoritmos de divide y vencerás, rectas de barrido, grafos, recursivos, la factorización de código, los patrones de diseño y las técnicas de optimización, como para pensar que ahora todo tiene que ser un LLM de frontera.

Figura 3: "Arquitectura de Seguridad y Patrones de Diseño"

El nuevo libro de 0xWord escrito por Elías Grande.

Estos algoritmos resuelven una gran mayoría de las soluciones, y por tanto deben ser siendo el grosso de tu sistema informático. Si no es así, entonces es que estás IA-diotizado y piensas que todo debe ser IA.

Estas arquitecturas son claves para una arquitectura optimizada. Usar IA no debe ser una moda, sino la aplicación de una tecnología nueva a solucionar un problema que no se puede solucionar mejor de otra forma. Y cuando decimos "mejor" hay que incluir los parámetros importantes para la compañía, como son el resultado, los costes, el tiempo, etcétera.

Orquestación y Enrutamiento de Modelos

Centrándonos en las tareas de razonamiento, dependiendo de la complejidad, estas podrán ser resueltas por uno o varios modelos diferentes. Llevándolo al absurdo, responder a un Prompt de "Hola" o a uno de "cuánto es dos más dos", o "cuantos días han pasado del 1 de Enero de 1990 al 23 de Marzo de 2026", por ejemplo, pueden hacerlo todos, o muchos modelos.

Normalmente, una arquitectura no optimizada elige el modelo pensando en la tarea de razonamiento más compleja, que puede ser respondida sólo por uno, o por pocos Modelos Frontera, con lo que tenemos un sistema que, por culpa de la tarea más compleja, genera unos sobre-costes en las tareas más sencillas a realizar, que probablemente sean más. Para eso, antes de conectar un servicio digital a un solo modelo y que tire, utiliza algún sistema que permita cambiar el modelo en cada petición, y que te permita clasificar a qué modelo vas a enviarlo.

Figura 4: Estimación de la distribución de enrutamiento

Esto no es nuevo, y lo hace hasta el propio OpenAI en su arquitectura de GPT, y todos los servicios digitales que han visto crecer sus tokens masivamente llegan aquí tarde o temprano. Así que, si vas a hacer un servicio digital, clasifica las tareas previamente, o hazlo con un Módulo de Enrutamiento que clasifique los Prompts en función de las peticiones en tu propio AI Gateway, para que puedas optimizar dónde enviar cada Prompt.

Prompt Shadowing

Para saber si puedes cambiar un modelo por otro más económico, una de las técnicas que debes utilizar es la de Prompt Shadowing. En este caso, cuando tu sistema digital envía a un Prompt con su contexto a un Modelo de Frontera, debes enviar esa misma tarea en paralelo al modelo más económico para poder compararlas y saber si lo está haciendo bien, suficiente bien, o mal.

Figura 5: AI Gateway - Control de Prompts enviados

Esta información te permitirá, adecuar las peticiones para que el modelo más económico las haga bien, probar diferentes modelos, detectar tareas que se pueden enviar al modelo más eficiente en costes, o pensar en una estrategia de Fine-Tuning o destilación para que el modelo más eficiente en costes tenga la calidad de las respuestas que necesitas.

Destilación de Conocimiento

Los modelos han aprendido, y aprenden, de los datos que se les dan. Tu sistema digital está proporcionando datos al Modelo de Frontera, pero éste también te proporciona datos, en forma de respuestas. Este conocimiento no debes perderlo nunca porque es tuyo y te puede servir para entrenar a un modelo más efectivo en costes que puedas correr en tu entorno con el conocimiento que has generado. A este proceso de Fine-Tuning con conocimiento generado a partir de las respuestas a Prompts de otro modelo se llama Destilación.

Figura 6: Destilación de Modelos

Para ello, si tienes todos los datos de Prompt + Contexto y la Respuesta más si es posible los Metadatos (Razonamiento, Memoria e Historial) puedes hacer un entrenamiento de un modelo OpenSource con este conocimiento. Esto lo puedes hacer con Prompt Shadowing a través de tu API Gateway, AI Gateway o el CASB, y Destilar en el modelo objetivo periódicamente el conocimiento obtenido del Modelo Frontera con Prompt Shadowing.

Figura 7: Por el AI Gateway pasan peticiones y respuestas,

puedes capturarlos con Workers de Cloudflare

Cuando el modelo objetivo más eficiente en costes haya aprendido a hacer las tareas igual de bien que el modelo frontera, entonces podrás cambiarlo. Por supuesto, este proceso no es fácil para un modelo completo generalista donde quieres destilar todo lo que sabe el Modelo Frontera de todas las áreas de conocimiento, pero cuando se trata de tu sistema, estas tareas suelen referirse a un único ámbito de conocimiento y con un número no-infinito de variaciones.

Sería como tener a un Senior de un Departamento enseñándole al Junior de ese Departamento cómo se hacen las tareas que tienen que ver con sus funciones. No le va a destilar conocimiento de Quantum-Mechanics, pero le va a enseñar a trabajar y razonar con los datos que maneja ese departamento y lo aprenderá perfectamente.

SaaS, Cloud u On-Prem

Pues todos, según tus costes. Los Modelos Frontera más potentes los vas a poder consumir normalmente solo en SaaS, pero si tienes un CASB, vas a poder hacer Prompt Shadowing para luego hacer un proceso de Fine-Tunning y Destilar el conocimiento en un modelo OpenSource que corras en tu propio IAS, o que corras en tu propia infraestructura.

Este tipo de soluciones, necesitan que desacoples tu servicio digital de tus modelos, y que tener flexibilidad para poder mover las APIs y los Prompts de uno a otro. Con esta filosofía se desarrolla la arquitectura de Cloudflare para AI Gateway. Tú puedes conocer tu API Gateway a los Guardarraíles, y estos al backend del servidor, que puede estar en Cloud u On-Prem en tu datacenter.

Figura 8: Controles en la conexión Aplicación - LLM

Luego, tu backend se conecta al Modelo Frontera vía CASB, o al modelo que quieras usando AI Gateway que te permite elegir el que quieras en cada Prompt. Esto te permite tener observabilidad de los Prompts y conectar todas la peticiones a múltiples modelos, con lo que podrías hacer Prompt Shadowing para Destilar y/o hace Fine-Tunning de un modelo que corras directamente en Cloudflare, o en tu propio servidor On-Prem conectado por un túnel a Cloudflare.

Figura 9: Servicio de CASB (Cloud Applications Service Broker) de Cloudflare

Con esta arquitectura, tu sistema te dará flexibilidad, no estarás "hand-cuffed" a las variaciones de precios que puedan surgir los paquetes empresariales de las compañías de IA que ofrecen Modelos Frontera y te asegurarás de tener siempre el conocimiento guardado en tus sistemas.

Orquestación de Agentes

Otra de las arquitecturas que puedes utilizar para reducir los costes, es decidir qué cosas vas a externalizar a agentes de terceros. En lugar de construirte toda la arquitectura, existe ya un mercado de Agentes AI que realizan tares con Prompts complejos.

Figura 10: Controles de seguridad para un MCP Server

Es el equivalente del uso de las APIs para acceder a funciones, pero delegando funciones de razonamiento complejas, y esto lo puedes hacer vía orquestación en el API Gateway o incluso en el MCP Server. Como es un tema chulo, le dedicaré otro artículo más adelante, porque este parece el futuro de la fuerza laboral de muchas empresas, y creo que merece la pena hablar de él en detalle.

Prompt Engineering

La última de las recomendaciones, lógicamente, tiene que ver con el Prompt Engineering. Hacer correctamente los Prompts, dirigir el razonamiento al camino más corto y eficiente de la respuesta. Dar el contexto adecuado y no más ni menos. Exigir las respuestas de manera clara y concisa, y un largo número de pequeños detalles, ayudan a reducir el número de tokens empleados en la respuesta y, por tanto, los costes.

Figura 11: Técnicas de optimización de Prompting 1

Esto es el equivalente al uso de índices correctamente, diseño de bases de datos siguiente las formas normales de Boyce-Codd, configuración de límites y memoria, uso de vistas o Cubos OLAP en el mundo de las bases de datos, pero llevado al mundo del Prompting y la los modelos LLM. Mucho por hacer aquí aún.

Figura 12: Técnicas de optimización de Prompting 2

Como podéis ver, basta con preguntarle a un modelo LLM por estas técnicas, y están bien documentadas hoy en día. Os he dejado las diez más importantes nada más, pero hay mucho juego por hacer aquí, porque no es lo mismo Prompting genérico, que Prompting para Desarrollo de Software, que para un sistema digital concreto.

Figura 13: Técnicas de optimización de Prompting 3

Por supuesto, esta es una disciplina muy novedosa, y las empresas están empezando a preocuparse por estos costes ahora, así que ir formándose en esta disciplina será igual de valioso a como lo fue el mundo del Tuning de Bases de Datos en mi época.

Figura 14: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Fire! Modern Combat Wargame con un homenaje a Arturo Pérez-Reverte en forma de miniatura

noreply@blogger.com (Chema Alonso) — Fri, 22 May 2026 04:01:00 +0000

Somos muchos los que admiramos el trabajo del maestro Arturo Pérez-Reverte, y entre ellos se cuenta también el artista Aleix Gordo, que, además de la pintura y las artes plásticas, es aficionado a los Wargames, donde ha trabajado para construir una maravilla llamada "Fire! Modern Combat", para todos los amantes de los juegos de tablero.

Figura 1: Fire! Modern Combat con un homenaje a Arturo Pérez-Reverte

Pero el juego es en sí un juego, y, como muchos aficionados a la noble pasión de las figuras, maquetas y dioramas, es una obra de arte en si mismo para disfrute de la visión y la imaginación.

Figura 2: Fire! Modern Combat

En él, Aleix Gordo quiso hacerle un homenaje al maestro y construyeron unas figuras que se hacen una a una, totalmente a mano, con esa imagen tan mítica que los más jóvenes recordamos de las intervenciones en "Territorio Comanche" cuando su vida era ser reportero de guerra.

Figura 3: Arturo Pérez-Reverte en Modern Combat hecho a mano

Esas figuras las comenzó a construir hace un par de años, y las primeras fueron, como no, para Don Arturo Pérez-Reverte, que las tiene en su poder, pero ahora, si quieres, puedes conseguirlas tú también, aunque son bajo pedido y se hacen una a una, que Aleix Gordo se ocupa de hacerlas con cario y detalle todas y cada una de ellas.

Figura 4: Enviado Especial + Pack muñecos hechos a mano

Además con la aparición del libro de Enviado Especial, puedes comprarte este libro y enviarlo para regalo junto con las figuras del equipo de reporteros, que no sólo está Don Arturo Pérez-Reverte, sino su compañero con la cámara de TVE al hombro, José Luis Márquez, que había que enfocarlo y encuadrarlo para que todos lo viéramos.

Figura 5: Contactar con Arturo Pérez-Reverte en MyPublicInbox

En el vídeo siguiente tienes un podcast con la presentación y la explicación del proceso completo, así como los detalles del juego y las figuras. Para que disfrutes un poco más de todo este juego y te metas de lleno.

Figura 6: Miniatura de Arturo-Pérez Reverte en Fire! Modern Combat Wargame

El juego, también ha sacado un Pelotón del Ejercito de Tierra de la Legión Española, recientemente, así que os lo dejo por aquí por si sois aficionados a las maquetas y os apetece tener este juego con esta maravilla de trabajo hecho a mano.

Figura 7: Pelotón Ejercito de Tierra Legión Española

para Fire! Modern Combat

Y si quieres contactar con Aleix Gordo, para pedirle cualquier cosa, o comentar con él cualquiera petición especial, puedes hacerlo a través de su buzón público en MyPublicInbox.

Figura 8: Contactar con Aleix Gordo

Nada más, que si eres aficionado a este arte, a estos juegos, y quieres apoyar a un artista que dedica el cariño y su pasión, pues aquí tienes uno de esos juguetes que tanto nos gustan a los "niños y niñas grandes".

Figura 9: Preventa de los reporteros de guerra de Fire!

No te lo he dicho, pero la preventa está abierta solo unos días... Pero espera, que aún ahí más. Esto es un juego, y los periodistas no pegan tiros - al menos en principio - pero igualmente lo ponen en riesgo. Su misión es hacer las crónicas y salir vivos, y eso tiene sus propias reglas.

Figura 10: Reglas para periodistas en Fire!

Así que, por primera vez en un juego de estas características, los reporteros tienen su propia expansión en el juego, y sus propias reglas para moverse por el tablero. Su propia misión. Su propio éxito y fracaso. Mola todo.

Figura 11: Recursos - Scenarios

En la web, tienes además, en la Sección Recursos, las guías, los escenarios de campaña para descargar en PDF y ver cómo es el juego y cómo debes proceder, las armas, los pelotones, y misiones en África, Europa y Oriente Medio. Una pasada.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

FEDEX & Eurosender Portugal: La historia de un servicio "Fraudulento" que se convirtió en una pesadilla #Fedex #Eurosender

noreply@blogger.com (Chema Alonso) — Thu, 21 May 2026 04:02:00 +0000

Hoy os quiero contar una historia de mala gestión empresarial que hizo que FEDEX y su partner en Portugal llamado EUROSENDER nos metieran en un lío del que no hemos podido salir aún. Sin solución, con mala gestión en la preventa, en la gestión de las incidencias y en la toma de soluciones. Todo por no tener en el Siglo XXI un sistema que no permita hacer algo que es totalmente engañoso, que es emitir facturas por un servicio que no van a poder ejecutar, cobrar facturas por un servicio que no van a dar, y meter a los clientes en problemas.

Figura 1: FEDEX & Eurosender Portugal: La historia de un servicio

"Fraudulento" que se convirtió en una pesadilla #Fedex #Eurosender

Si FEDEX y EUROSENDER Portugal tuvieran un sistema informático que no permitiera emitir facturas por servicios que no van a poder ejecutar, los clientes no acabarían en este problema, pero sobre todo, no emitirían facturas engañosas.

Resumen sencillo

Dejadme que os lo explique, imagínate que tu vas a una empresa de envío de paquetes, y le dices que quieres enviar seis botellas de vino. El técnico de la empresa te dice que no hay ningún problema, que escribas lo que quieres enviar para hacerte la factura. Tú escribes exactamente lo que has dicho, que es que quieres enviar seis botellas de vino. Entonces el técnico de la empresa te hace una factura proforma después de leer lo que quieres donde te da el precio de venta de las seis botellas de vino. Pagas la factura y vienen, empaquetan las botellas, pones en la caja que es vino y te quedas tan contento porque el regalo de navidad que vas a hacer a tus compañeros va a gustarles.

Pues bien, resulta que luego la empresa te dice que no pueden enviar vino, que lo pone en sus términos y condiciones y que tienes que llevarte tu paquete. Pero claro, para poder llevarte tu paquete a casa tienes que pagar - además del transporte que ya has pagado -, un servicio de un “broker”, más 10 € por cada día que estén almacenando en la aduana las botellas que has enviado. Eso sí, además, no sabes ni te dicen cuándo es la fecha exacta en la que el paquete ha llegado.

Esa es la historia en la que un amigo y yo estamos metidos con la empresa FEDEX y su partner EUROSENDER Portugal, y que comparto con vosotros para que evitéis que os pasen estos problemas nunca, que son poco divertidos.

Esto que os he contado en resumen, os lo voy a contar ahora con fechas, facturas y conversaciones para que veáis como funcionan estas empresas, y por supuesto, para ver si consigo que me devuelvan mi paquete con mis botellas de vino, y ya que estamos, a ver si logro sensibilizar a algún ejecutivo de FEDEX o del regulador portugués para evitar que esto pueda volver a darse.

Enviar un regalo de vino a los compañeros de Londres

Todo comenzó el día de Reyes Magos, donde le pedí a mi compañero que me ayudara con ello. Yo había enviado varias botellas individuales desde España a Amsterdam, Bélgica y Alemania, y no había tenido ningún problema, pero para enviarlas desde Portugal a Reino Unido elegimos FEDEX y su empresa asociada EUROSENDER.

Primero llamamos por teléfono y nos dijeron que no había problema, que podían hacer el envío, que rellenáramos los datos por la web y ellos se encargaban de todo. De venir a recogerlo y entregarlo, con la GARANTIA FEDEX. Así que así hicimos. Rellenamos los datos y pusimos la cláusula, como se puede ver en esta imagen de la Factura Proforma del 6 de Enero “Sí, certificamos que la información es correcta”. Como se puede ver, pone claro en el concepto que es vino.

Figura 2: Factura Proforma

Nadie está engañando a nadie. Es un servicio que, si tiene algún problema para entrar en Reino Unido o para salir de Portugal, la empresa puede decirlo fácilmente. Pero si encima es que no envían esos productos, pues lo detectan y cancelan el pedido. Así de sencillo. Pero no, ellos revisaron la factura, y felices y contentos nos enviaron la Factura asociada para que le pagáramos el dinero.

Figura 3: Factura pagada por el servicio que referencia.

Como se puede ver en la Factura, ellos están facturando por enviar el Código de Referencia: 734836-26 para enviar, como se puede apreciar, de Portugal a Gran Bretaña. Es decir, están facturando por enviar el WINE desde PT a GB. Todo correcto, que es lo que queríamos hacer.

Comienza la pesadilla

Hasta cobrar por el servicio todo fueron facilidades. Pero el día 23 de Enero, más de dos semanas después, comenzó el peor servicio al cliente que he visto nunca, con un mensaje que decía que el paquete supuestamente iba a llegar a Portugal y teníamos que hacer un proceso de “Clearance” de la mercancía.

Figura 4: Mensaje de FedEx—que a la larga viene de Eurosender.

Como podéis ver, mi amigo recibe un mensaje en el que dice que la mercancía viene a Portugal, y que para sacarla que hay que pagar impuestos por meter alcohol en Portugal y costes de Gestión (Duties) y listo. En esa comunicación, ademas, nos dan la resolución de Reino Unido, donde como podéis ver pone que es VINO y que hay que devolverlo al origen.

Figura 5: UK Border Report de 22 de Enero

Es decir, que resulta que no se puede enviar vino sin hacer un proceso de exportación especial, incluso si es para regalo. Perfecto. Nadie nos había dicho nada, que es lo que esperamos de FEDEX, siendo líder mundial en envío de paquetes. Después de una semana sin tener todos los detalles claros, pido por favor que me expliquen el proceso paso por paso. Algo que deberían haber hecho antes de enviar el paquete en primera vez.

El peor servicio de soporte a clientes que he visto jamás: FEDEX Portugal

Como consecuencia de esto, nos dicen que tenemos que pagar, pero no nos aclaran cuanto. Y, sobre todo, no saben decirnos cuando la mercancía está en Portugal de vuelta. De hecho, la conversación es tan poco clara, que nosotros no sabemos si al pagar lo van a enviar a GB o no, pero tampoco sabemos si ha regresado o no, así que nos dicen que no está aquí.

Figura 6: 23 de Enero, la mercancía no está aquí.

Cuando decimos que no vamos a pagar si no clarificaban el proceso, para saber si es que lo van a enviar o no, nos amenazan con “devolverlo”. ¿A donde? Se supone que nosotros somos el lugar donde lo han devuelto, y lo que queremos es que nos den el paquete y olvidarnos de este problema.

Figura 7: Caos en el soporte. Una semana pidiendo claridad en el proceso.

Cuando le digo que no entiendo, que lo que me está diciendo no tiene ningún sentido, y que por favor, me explique que está pasando, me contesta muy borde que “parece que estoy muy interesado en saber todo el proceso”, y que falta solo la declaración, para hacer un proceso de Clearance y ya tendría mi paquete de vuelta.

Figura 8: Después de una semana, nos amenazan con devolver un paquete que no ha llegado aún a Portugal a donde se supone que nosotros queremos enviarlo. Sin sentido alguno.

Al final, hacemos la declaración que nos piden - que es un word firmado que dice que tiene vino y que no es una transacción comercial - , pensando que con eso íbamos a poder o bien enviarlo, o devolverlo, pero no iba a ser así de sencillo, como os podéis imaginar.

Figura 9: Declaración enviada el 29 de Enero

Después de eso, el 11 de Febrero le preguntamos a nuestra “Broker” de FEDEX, y nos dice, que no tiene ni idea de cuándo va a llegar nuestro paquete, después de que el 29 de Enero le enviáramos la declaración que nos pidió.

Figura 10: No forecast des nuestra FEDEX Clearance Broker-Associate

De repente, el día 19 de Febrero nos llega un mensaje de FEDEX UK que dice que el deadline para devolver la mercancía que ellos han enviado de GB a PT es el día 19 de Febrero, es decir, el día que recibimos el mensaje.

Figura 11: FedEx UK. Que lo devuelven a GB que es el destino. Sin sentido.

Pero lo más divertido, es que el día siguiente, el día 20 de Febrero, recibimos el mensaje de nuestra Broker de FEDEX diciéndonos que necesitamos contratar un Broker.

Figura 12: Necesitas un broker.

A lo que sorprendido le contesto que nosotros pensábamos que ella era nuestra Broker, como pone en la firma de todas las comunicaciones desde el minuto uno que hemos tenido con ella.

Figura 13: Yo pensé que tú eras nuestro broker.

Pero no, ella me dice que FEDEX no procesa esa mercancía, para la que nos han cobrado, y que es para lo único que contactamos con ellos. Para más sorpresa, esta persona además trabaja en el partner a veces nos contestaba desde EUROSENDER.

Figura 14: FEDEX PT & Eurosender PT

Así que nada, en lugar de un broker he contratado a una abogada, y estoy pidiendo que nos devuelvan el paquete y el dinero, para lo que nos han contestado, por un lado, que iban a intentar conseguirlo, y por el otro que no piensan devolvernos ni el paquete ni el dinero hasta que no contratemos un Broker.

Figura 15: El 28 de Abril, después de contratar un abogado.

Así que el paquete ahora debe estar esperando el Clearance de UK, para ver si entra o lo devuelven a su origen, que es Portugal, así que puede que esté viajando a la eternidad, entre Lisboa y Londres, por culpara de una falta de profesionalidad infinita y de un sistema de facturación engañoso que les permite cobrar por servicios que no van a hacer.

Figura 16: La culpa de todo la tiene este vino.

Os seguiré informando de esto, porque voy a seguir con esto hasta ver dónde da de sí, que como os imaginaréis, los 200 € que cuestan las botellas y el envío no es tan importante llegado este caos, sino saber si la ley permite a una empresa tener un sistema que factura por servicios que no va a ofrecer y cobrar por ello. Os seguiré contando.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

FEDEX & Eurosender Portugal: The Story of a "Fraudulent" Service that became a Nightmare #FEDEX #Eurosender

noreply@blogger.com (Chema Alonso) — Thu, 21 May 2026 04:01:00 +0000

Today I want to tell you a story of corporate mismanagement that caused FedEx and their partner in Portugal, called Eurosender, to drag us into a mess we haven't been able to get out of yet. No solution, poor management in pre-sales, poor handling of incidents, and poor decision-making. All of this because in the 21st century they don't have a system that prevents something completely missleaading: issuing invoices for a service they cannot execute, collecting payments for a service they won't provide, and getting clients into trouble.

Figure 1: FEDEX & Eurosender Portugal: The Story

of a "Fraudulent" Service that became a Nightmare

If FedEx and Eurosender Portugal had an information system that blocked the issuance of invoices for services they cannot carry out, customers wouldn't end up in this mess. But above all, they wouldn't be issuing misleading invoices.

Summary

Let me explain it to you. Imagine you go to a parcel shipping company and tell them you want to send six bottles of wine. The company's agent tells you there is absolutely no problem and asks you to write down exactly what you want to send so they can generate the invoice. You write exactly what you said: that you want to send six bottles of wine. Then, after reading what you want to ship, the agent creates a proforma invoice providing the retail price for sending those six bottles of wine. You pay the invoice, they come and pack the bottles, you write on the box that it contains wine, and you walk away happy because your colleagues are going to love the Christmas gift you are sending them.

Well, as it turns out, the company later tells you that they cannot ship wine, that it is stated in their terms and conditions, and that you have to pick up your package. But of course, to take your package back home, you have to pay—on top of the shipping costs you already paid—the fees of a customs broker, plus €10 for every day the bottles you sent are kept in storage at customs. To top it all off, you don't even know, nor will they tell you, the exact date the package arrived.

This is the story that a friend and I are currently caught up in with FedEx and their partner Eurosender, and I am sharing it with you so you can avoid ever running into these kinds of problems, which are anything but fun.

I've just given you the summary, but now I'm going to walk you through it with dates, invoices, and conversations so you can see how these companies operate—and, of course, to see if I can get my package with my wine bottles back. While I'm at it, let's see if I can raise awareness among some executives at FedEx or the Portuguese regulator to prevent this from happening again.

Sending wine to colleagues

It all started on Three Kings' Day (January 6th), when I asked my colleague to help me with this. I had previously shipped several individual bottles from Spain to Amsterdam, Belgium, and Germany without a single issue. However, to ship them from Portugal to the United Kingdom, we chose FedEx and their partner company, Eurosender.

First, we called them by phone, and they told us there was no problem, that they could handle the shipment, and that we just needed to fill out the details on the website and they would take care of everything—from pickup to delivery, backed by the FEDEX GUARANTEE. So, that's what we did. We filled out the details and accepted the terms, as you can see in this image of the Proforma Invoice from January 6th: "Yes, we certify that the information is correct." As you can clearly see, the description explicitly states it is wine.

Figure 2: Proforma Invoice.

Nobody is tricking anybody here. If there is an issue entering the UK or leaving Portugal, the company can easily flag it. Moreover, if they simply do not ship those types of products, they should detect it and cancel the order. It's that simple. But no, they reviewed the invoice, and happy as clam, they sent us the corresponding invoice for us to pay.

Figure 3: Payment invoice with reference code linked to the proforma invoice.

As you can see on the invoice, they are billing us to ship Reference Code: 734836-26, which, as shown, goes from Portugal to Great Britain. In other words, they are invoicing us to ship WINE from PT to GB. Everything seemed correct, which is exactly what we intended to do.

The nightmare began

Until they collected the money for the service, everything was smooth sailing. But on January 23rd, more than two weeks later, the worst customer service I have ever seen began with a message stating that the package was supposedly arriving back in Portugal and we needed to go through a customs clearance process for the goods.

Figure 4: Email received from FedEx—but which actually comes from Eurosender.

As you can see, my friend received a message stating that the goods are coming to Portugal, and that to get them out, we have to pay taxes for bringing alcohol into Portugal plus administrative costs (duties), and that’s it. In that same communication, they also provided us with the ruling from the United Kingdom, where, as you can see, it states it is WINE and must be returned to its origin.

Figure 5: UK Border Report from January 22nd.

In other words, it turns out you cannot ship wine without a special export process, even if it is a gift. Perfect. Nobody had told us anything, which is what we expected from FedEx, being a world leader in parcel delivery. After a week of not having the details entirely clear, I kindly asked them to explain the process to me step by step—something they should have done before shipping the package in the first place.

The Worst Customer Service Ever: FEDEX Portugal

As a result of this, they told us we had to pay, but they wouldn't clarify how much. And, above all, they couldn't tell us when the goods would actually be back in Portugal. In fact, the conversation was so vague that we didn't know if paying meant they would send it to GB or not, nor did we know if it had already returned. Then they told us it wasn't there yet.

Figure 6: On January 23rd, the goods were not here.

When we stated that we wouldn't pay until they clarified the process—just to know whether they were going to ship it or not—they threatened to "return it." Return it where? We are supposed to be the destination it's being returned to, and all we want is for them to give us our package and forget about this mess.

Figure 7: Chaos in customer support. One week asking

questions about the process with poor clarity.

When I told her that I didn't understand, that what she was saying made absolutely no sense, and asked her to please explain what was going on, she replied very rudely, saying that "it seems I am very interested in knowing the whole process," and that only the declaration was missing to proceed with the clearance process, after which I would finally get my package back.

Figure 8: After a week, they threaten to return a package that hasn't even arrived in

Portugal yet, which is where we supposedly want to send it. Utterly senseless.

In the end, we filled out the declaration they asked for—which was just a signed Word document stating it contains wine—thinking that with this, we would either be able to ship it or get it back. But it wasn't going to be that simple, as you can imagine.

Figure 9: We submit the declaration requested on January 29th.

After that, on February 11th, we asked our FedEx "Broker," and she told us she had no idea when our package would arrive, even though we had sent the requested declaration back on January 29th.

Figure 10: No forecast from our FEDEX Clearance Broker-Associate

Suddenly, on February 19th, we received a message from FedEx UK stating that the deadline to return the goods they shipped from GB to PT was February 19th—meaning, the very day we received the message.

Figure 11: FedEx UK.

But the funniest part is that the next day, February 20th, we received a message from our FedEx Broker telling us that we needed to hire a broker.

Figure 12: You need to hire a broker.

To which, thoroughly surprised, I replied that we thought she was our broker, as indicated in the signature of every single communication we had with her from minute one.

Figure 13: I thought you were our broker.

But no, she told me that FedEx does not process those goods—the very goods they charged us for, and the sole reason we contacted them in the first place. To make matters more surprising, this person also works for the partner company and sometimes replied to us from Eurosender.

Figure 14: FEDEX PT & Eurosender PT

So, modern problems require modern solutions: instead of a broker, I have hired a lawyer. I am demanding the return of both the package and the money. To this, they replied on one hand that they would try to get it done, and on the other, that they have no intention of returning either the package or the money until we hire an external broker.

Figure 15: 28th of April after hiring a lawyer

So right now, the package must be waiting for UK clearance to see if it enters the country or gets sent back to its origin in Portugal. It might just be traveling for eternity between Lisbon and London, all due to an infinite lack of professionalism and a misleading invoicing system that allows them to charge for services they will never perform.

Figure 16: That´s the big issue of everything

I will keep you updated on this, because I am going to see this through to the very end. As you can imagine, the €200 that the bottles and shipping cost matter very little at this point in the chaos; what matters is knowing whether the law allows a company to have a system that bills and collects money for services it will not provide. I'll keep you posted.

Best Regards,

Autor: Chema Alonso (Contactar con Chema Alonso)

Invaders Must Die!: "Cheating" Space Invaders con Inteligencia Artificial para ganar en mi Spectrum

noreply@blogger.com (Chema Alonso) — Wed, 20 May 2026 02:48:27 +0000

Puede sonar exagerado, pero muchos caminos hacia la tecnología comenzaron con un mando en las manos. Los videojuegos de ordenador, antes de la llegada del mundo Plug & Play con las PlayStation o las Xbox, reinaban con la frustración y la dificultad de pasar de fases, entre otras cosas.

Figura 1: Invaders Must Die! "Cheating" Space Invaders con

Inteligencia Artificial para ganar en mi Spectrum

Nunca olvidaré mi primer "hack": quería jugar desesperadamente al "Maniac mansion 2, Day of the Tentacle" pero mi flamante 386SX con 2 MB de RAM no podía con semejante bestia, que necesitaba más memoria.

Figura 2: Maniac Mansion V2 Enhanced de 1989

Tocaba llamar a mi colega de infancia, que era un cerebrito.

"Edita el config.sys y teclea exactamente esto…y después esto en el himem.sys"

, me decía. Y de esto iba seguido mi eufórico grito de:

"¡FUNCIONA!"

Figura 3: Ejemplo de parte del proceso/llamada telefónica

durante los años 90, Tuning MSDOS…

Mi yo de 13 años aprendió la lección del famoso dicho sobre el conocimiento como herramienta de poder, o la versión descafeinada: conocer gente más lista que tú, una bendición que me permitía estirar ese 386 hasta donde podía…

Un gamer de niño en los 90

Mi obsesión por los videojuegos comienza en casa de mi tío en la antigua Yugoslavia, Belgrado, con las cintas de casete que cargaban lentamente algunos juegos míticos. El Space Invaders era uno de ellos, algo muy inusual en aquella época y en aquel país recién salido del comunismo. Esas primeras experiencias, donde no necesitaba un amigo o familiar para echar una partida, me hacían pensar lo inteligentes que eran los diseñadores, pero que siempre había "tácticas" que tú descubres jugando ese nivel imposible una y otra vez, perdiendo vidas, hasta que ya lo dominabas y entendías cómo estar un paso por delante.

Figura 4: Revista en papel "Hobby Consolas"

Siempre fui impaciente, detestaba tener que pasar algunas fases aburridas o hacer movimientos repetitivos. Bienvenidas las revistas HobbyConsolas, donde se publicaban "trucos" para tener vidas extra o superpoderes; bastaba repetir ciertas secuencias, ¡et voilà! Sin embargo, no siempre me podía permitir comprar la revista, o se agotaba, o el videojuego que tenía entre manos no disponía de "trucos". Tocaba… ¿jugar?

Warez, CheatCodes y Cracks

Tocaba descubrir sitios Warez donde grupos elitistas como CLASS, Razor1911, entre otros, tenían una escena donde además de "piratear" cualquier cosa también tenían una sección de cheat codes. Nuevamente descubrí la magia y el poder del conocimiento: bastaba con tener acceso a estos parches, aplicarlos en tu directorio del videojuego y tenías unos trucos que ni siquiera estaban "diseñados" por los creadores. Un ejemplo de la ingeniería inversa y sus capacidades, no sólo para saltarse las protecciones del acceso, sino también para acceder a estos privilegios que pocos tenían en aquella época.

Figura 5: Escena Warez activa con grupos de crackers,

reversers en la industria del gaming.

Veinte años más tarde sigo siendo impaciente y, aunque los videojuegos han dejado de motivarme como cuando era un niño, continúo pensando que jugar y divertirte con la tecnología son los pilares para conseguir superpoderes. De ahí nace mi apuesta personal con los Capture The Flag en congresos de ciberseguridad como Hackron, entre otros. Uno de los CTF de Hackron, el tablero del juego, una ciudad interactiva, cada flag del juego activa una interacción visual/sonora real sobre la ciudad.

Figura 6: El CTF de la Hackr0n sobre el mundo IoT en SmarCities

Diseñar retos, conectarlos con "cosas" y que según saques una flag haga una acción y provoque una emoción entre los jugadores es algo que siempre he considerado necesario para seguir motivando a las futuras promesas.

Figura 7: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Hablando con algunos colegas a los que les molan este tipo de acciones —que llevan su tiempo para montarse— resulta que el uso de LLMs en estas competiciones hace que no sean ni relevantes ni divertidas; en minutos muchas de las flags se resuelven. Al principio del artículo pensaba insultar a estos "jugadores", pero resulta que son como yo en mi época joven: impacientes, y quieren sacar el cheat code para ganar de otra manera.

Una IA para mi Spectrum

Me hice la pregunta, si yo tuviera una IA en los años 90, acaso no la usaría? Al final Chema Alonso hace muchas pruebas de VibeCoding para AMSTRAD, no hay por qué no hacerlo para un Spectrum como el de mis primeros días de gamer. Dicho y hecho, me fui a comprar una réplica de la SPECTRUM que cuesta solo 99€ para validar esta idea.

Figura 8: Replica Spectrum por 99€ e incluyendo una

réplica perfecta de la sensación de su mítico teclado

No iba a dejar escapar esta oportunidad. Arranque el sistema, reviví esa bestia de "consola" que con su lenguaje BASIC/Ensamblador ZX80 era capaz de sacar maravillas, entre ellas, por supuesto, el mítico Space Invaders, ese juego difícil de narices que para "sobrevivir" tendrías que ser de otro planeta… en esta ocasión una segunda parte que ni llegue a jugar.

Figura 9: Space Invaders

Descargué el fichero del juego en formato TZX para dárselo a Claude Opus, pidiéndole en el prompt:

"Modifícalo en binario y consigue vidas extras, con las chorradas que te hacen la vida más fácil, como tener el autodisparo ON, etcétera."

Figura 10: "Cheteando" el Space Invaders con Claude Opus en OpenCode

Claude Opus obedeció y, con algunos ajustes vía prompts, terminó cumpliendo con la misión. Mi siguiente prompt es donde hago lucir mi impaciencia:

"Debes vencer a toda costa y evitar que te maten, el Game Over no existe, debes estar por encima de todo en este juego."

Dicho y hecho, os dejo el resultado en el siguiente vídeo, para que veas qué bien funciona mi Spectrum y el Space Invaders "cheteado" con Claude Opus.

Figura 11: Playing Space Invaders hacked by IA in a Spectrum "Replica"

Puedes consultar en esta guía lo que Claude ha aplicado dentro del fichero: Guía Ingeniería Inversa Spectrum, que hemos subido a Slideshare.

Figura 12: Guía práctica de ingenieria inversa para modificar videojuegos ZX Spectrum

Más de treinta años después, esto terminará siendo parte de algún reto, de algún CTF enrevesado, pero sobre todo es la esencia de algo que me importa: aunque la incertidumbre sobre nuestra relevancia junto a la Inteligencia Artificial es real, quiero pensar que la creatividad visceral que poseemos los humanos sigue siendo imprescindible, y lo será durante muchos años más.

"Invaders must die".

Autor: Igor Lukic, organizador y fundador de Hackron

Contactar con Igor Lukic, organizador y fundador de Hackron

Asiste grátis al Taller de diseño digital con Inteligencia Artificial este 25 de Mayo Online

noreply@blogger.com (Chema Alonso) — Tue, 19 May 2026 03:13:49 +0000

Esta tarde a las 17:00 hora de España tenemos el taller gratuito de "Usos de la IA para transformar la logística y la cadena de suministro en las empresas" al cuál, si te das prisa aún puedes apuntarte, pero además, el próximo lunes tenemos el Taller de Diseño Digital con Inteligencia Artificial gratis y online para que puedas seguir formándote todo lo que puedas en el mundo de la IA, que tanto está transformando las profesiones y el mundo laboral. Así que aprovecha de esto que estamos haciendo en la UNIR.

Figura 1: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

No se me ocurre ninguna persona que le diría a un amigo, hijo o conocido al que aprecie que no se ponga las pilas con la Inteligencia Artificial. Pero lo cierto es que el campo de aplicación es tan grande, que aprender y conocer cómo hacerlo concretamente en determinados puestos de trabajo exige una especialización concreta.

FORO: Taller de diseño digital con Inteligencia Artificial

En la UNIR estamos trabajando en verticalizar la aplicación de la IA en los diferentes sectores profesionales. Está muy bien que yo me especialice en cómo usar la parte de ciberseguridad, pentesting o hacking, pero un profesional de Marketing, Comunicación, Diseño Gráfico o User-Experience de hoy en día necesita aprender a cómo utilizarla en la parte más creativa para el diseño, desde imágenes, a vídeos, pasando por creaciones musicales o composiciones completas de anuncios.

Figura 2: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

Por eso hemos trabajado con profesionales de los diferentes sectores para hacer los FOROS UNIR gratuitos para todos, donde poder asomarse a cómo los profesionales, en este caso el Taller de Diseño Digital con Inteligencia Artificial gratis y online.

Figura 3: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

El próximo foro, titulado: "Taller de Diseño Digital con Inteligencia Artificial" será el próximo día 25 de Mayo por la tarde (a las 17:00 horas de España), totalmente GRATUITO y ONLINE, y contará con profesionales que hablarán justamente de esto.

Figura 4: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

Si estás trabajando en sector logístico, o en la gestión de la cadena de suministro de tu empresa, o quieres dedicarte profesionalmente a este mundo, donde tenemos a profesionales de éste mundo profesional que compartirán cómo están utilizando la Inteligencia Artificial en sus procesos.

Figura 5: Asiste grátis al Taller de diseño digital

con Inteligencia Artificial este 25 de Mayo Online

Al final, esta es una oportunidad para conectarse desde casa o el trabajo, y en una hora ponerse al día con uno de los temas que más preocupan hoy profesionalmente, como es el Diseño Digital con Inteligencia Artificial. No desaproveches la oportunidad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

19 Edición del Máster Online en Ciberseguridad en el Campus de Ciberseguridad: Promoción 2026-2027 Abierto el Registro

noreply@blogger.com (Chema Alonso) — Mon, 18 May 2026 05:01:00 +0000

Parece que está lejos, pero dentro de nada estamos celebrando el verano, lo despedimos, y ya nos metemos en la próxima 19 Edición del Máster Online de Ciberseguridad 2026-2027 del Campus Internacional de Ciberseguridad que tendrá su inicio el próximo 8 de OCTUBRE de 2026 y terminará en 2027. Como sabéis yo participo como Mentor de los programas de Máster este año 2025-2026, colaborando también con 0xWord, Singularity Hackers y MyPublicInbox.

Figura 1: 19 Edición del Máster Online en Ciberseguridad en el

Campus de Ciberseguridad: Promoción 2025-2026 Abierto el Registro

Este programa en concreto del Máster de Ciberseguridad 2026-2027 lo dirige el gran Sergio de los Santos, y tiene un año de duración, con un programa amplío para enfocarte en todas las áreas del mundo de la ciberseguridad.

Figura 2: Mentor del Campus Internacional de Ciberseguridad

En esta nueva edición del Máster de Ciberseguridad, que como he dicho dirige Sergio de los Santos y que dará comienzo el 8 de Octubre 2026, los alumnos tendrán un plantel de profesores de primer nivel, muchos de ellos han sido o son compañeros míos, entre los que están Juanjo Salvador, Pablo San Emeterio, Fran Ramírez, Alejandro Vázquez, Gonzalo Álvarez Marañón, Pablo González, José Torres, Eduardo Sánchez, David García, Jesús Torres o José Rodríguez, entre otros.

Figura 3: Consulta todo el profesorado del Máster de Ciberseguridad

El programa del curso, que puedes consultar en la web, ha sufrido un actualización masiva para adaptarse al mundo de la Inteligencia Artificial, y tiene los siguientes módulos. Entre ellos, un Trabajo de Fin de Máster donde habrá alguno que propondré yo para los que quieran hacerlo. Como podéis ver, el programa es muy ambicioso, así que más vale que vengas con ganas de estudiar y aprender.

Figura 4: Programa del XII Máster de Ciberseguridad

Dentro de esta formación además, tendrás estas certificaciones asociadas a este Máster, como son:

Certificación del Campus Internacional de Ciberseguridad,
Certificación de Fundamentos de Linux por Linux Profesional Institute.

Además pueden optar a estas certificaciones durante la realización del programa:

Certified Cyber Security Professional (CCSP)
Administrador de Transformación Digital por Zscaler (ZDTA)
Certificación de Fundamentos de Python por el Python Institute.
Certificación de la Universidad UCAM de Murcia.

Además, los alumnos recibirán como material de estudio libros de 0xWord como complemento de estudio. En concreto, el libro de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos, y el de "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.

Figura 5: Libros de "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos,

y "Ethical Hacking: Teoría y practica para la realización de un pentesting" de Pablo González.

Por último, todos los alumnos tendrán una sala de conversaciones en MyPublicInbox con los profesores del programa de formación - y conmigo - y recibirán Tempos de MyPublicInbox por si quieren hacer consultas a profesionales.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

¿Tiene informático tu ayuntamiento? El futuro de España lo decidirán 8.132 municipios

noreply@blogger.com (Chema Alonso) — Sun, 17 May 2026 05:01:00 +0000

Me llamo Santiago Bonet. Soy Ingeniero en Informática y llevo más de 30 años en esto, de los cuales 21 de ellos como Director TIC en el sector privado, y los últimos 7 como Responsable de Transformación Digital del Ayuntamiento de Alcàsser, un municipio de 10.712 habitantes de la Comunitat Valenciana. Conocía a Chema Alonso en el año 2011, en el Teatro Municipal de Algemesí, cuando ambos éramos ponentes ante 400 chavales de FP Informática.

Figura 1: ¿Tiene informático tu ayuntamiento?

El futuro de España lo decidirán 8.132 municipios

Le contacté hace unos días por su buzón de MyPublicInbox y le conté lo que estamos haciendo en Alcàsser, y amablemente me ofreció este espacio. Se lo agradezco, porque lo que voy a contar creo que afecta a toda España, y la comunidad hacker hispana debería saberlo.

Figura 2: El proyecto compite en los Premios NTV 2026

Además, os voy a pedir que nos apoyéis en el candidatura al Premio en la Noche de las Telecomunicaciones Valencianas 2026, pero puedes apoyarnos después de de que te cuente el detalle.

⚠️ El problema: la ley que regula los ayuntamientos tiene 40 años

La Ley 7/1985, Reguladora de las Bases del Régimen Local (LBRL), define la estructura orgánica básica de los ayuntamientos españoles. Establece qué puestos son obligatorios, qué funciones son reservadas y qué perfiles tienen reconocimiento institucional formal. En 1985, Internet no existía. El correo electrónico era cosa de laboratorios universitarios. La LBRL reserva funciones esenciales a los funcionarios con habilitación de carácter nacional: Secretarios, Interventores y Tesoreros. Todas ellas son figuras imprescindibles con una responsabilidad enorme — la fe pública, el control económico y la tesorería son pilares del Estado local — y el reconocimiento institucional que tienen está completamente justificado.

Pero en 1985 nadie podía imaginar que cuarenta años después la infraestructura digital sería tan crítica como la económica o la jurídica. Que un ciberataque podría paralizar un ayuntamiento durante semanas. Que la interoperabilidad entre administraciones, la identidad digital, la protección de datos o la inteligencia artificial aplicada al servicio público serían responsabilidades de primer orden. Todo eso recae hoy sobre una figura que la ley NO menciona: el técnico informático municipal.

Como consecuencia de esta ausencia de regulación, el 88% de los 8.132 municipios españoles tienen menos de 7.000 habitantes y NO disponen de ningún técnico informático en plantilla que lidere su transformación digital, según los datos del INE 2025. Y el resultado es predecible: formularios en papel que se pierden, ciberataques sin respuesta, equipos con sistemas operativos obsoletos conectados a redes municipales, y ciudadanos que no pueden hacer un trámite online porque nadie les ha enseñado.

💡 La propuesta en positivo

El modelo que han construido los funcionarios habilitados nacionales — con cuerpos propios, atribuciones definidas por ley, formación reglada y reconocimiento institucional — es exactamente el referente que necesita la figura del técnico informático municipal.

No se trata de sustituir a nadie ni de cuestionar lo que ya funciona. Se trata de que España actualice su marco normativo para que la digitalización tenga el mismo respaldo institucional que la gestión económica o la fe pública. En 2026, la infraestructura digital es tan crítica como cualquier otra. Y merece el mismo tratamiento.

🚀 Lo que un solo técnico puede hacer en un municipio de 10.000 habitantes

En febrero de 2019, Alcàsser sufrió un ciberataque. El Ayuntamiento creó el Área de Transformación Digital y me contrató como técnico responsable. Un técnico. Uno. Para un municipio de 10.712 habitantes con 10 sedes y más de un centenar de ordenadores. Lo que vino después es el Proyecto GREEN-TDIGITAL. Los números hablan solos:

Figura 3: Datos del Proyecto GREEN-TDIGITAL

Todo con software libre, usando Drupal para la intranet y web, GLPI para gestión de incidencias, GNU/Linux Debian en más de 100 máquinas que iban al contenedor, servidores en un CPD alimentado con paneles solares. Y un chatbot de IA en producción con más de 360 consultas resueltas en sus primeros seis meses.

Figura 4: 🤖 El chatbot de IA en producción - 360+ consultas resueltas

en 6 meses, alimentado por las 22 áreas municipales del ayuntamiento

La clave del modelo no es la tecnología en sí. Es la combinación de tres factores que deben multiplicarse, no sumarse. La fórmula de Green-TDigital:

TRANSFORMACIÓN DIGITAL = TECNOLOGÍAS × PERSONAS × ORGANIZACIÓN

Si cualquiera de los tres vale cero, el resultado es cero. Por eso el proyecto tiene tres patas: despliegue tecnológico, formación ciudadana, y reorganización de procesos en las 22 áreas del ayuntamiento. Y por eso los propios funcionarios son parte activa del cambio:

Figura 5: 🪧 Los adhesivos en los mostradores de las 22 áreas. Los propios

funcionarios animan en persona a los ciudadanos a digitalizar sus trámites

🔴 Por qué esto le importa a la comunidad hacker

Un municipio sin técnico informático no es solo un problema de servicio público. Es un problema de seguridad que está pasando desapercibido.

Vector de ataque sistémico — más de 7.000 municipios sin TIC en plantilla:

Sistemas sin parchear durante años o décadas
Sin plan de contingencia ante ciberataques
Datos de ciudadanos gestionados sin criterio técnico de seguridad
Dependencia total de proveedores externos sin supervisión técnica interna
Software propietario sin alternativa de continuidad si el proveedor desaparece
Interoperabilidad con el Estado hecha a golpe de papel y fax en algunos casos

Alcàsser lo sufrió en 2019. Muchos otros municipios lo están sufriendo ahora mismo en silencio. Y la respuesta institucional sigue siendo insuficiente porque el marco legal no contempla al técnico informático como figura necesaria.

🏆 Validación externa — no es solo Alcàsser que lo dice

GREEN-TDIGITAL ha pasado por siete eventos de referencia en dos años, y ha competido por premios que ayuden a difundir el mensaje de las necesidades que hay en todos los ayuntamientos de España.

Figura 6: Difusión del proyecto GREEN-TDIGITAL

💬 Conclusión: la infraestructura más crítica de España no tiene quién la proteja

Los ayuntamientos son la primera línea del Estado. Gestionan el padrón, las licencias, las ayudas sociales, la recaudación local. Son los que saben cuántas personas mayores viven solas en cada calle, dónde hay que colocar un desfibrilador. Son los que atienden al ciudadano cara a cara. Y el 88% de esos 8.132 ayuntamientos no tiene ni un solo técnico informático. Estamos hablando de infraestructura crítica gestionada sin personal especializado. Como si los hospitales no tuvieran médicos. Como si las centrales eléctricas no tuvieran ingenieros.

Figura 7: El proyecto compite en los Premios NTV 2026

El modelo GREEN-TDIGITAL demuestra que se puede cambiar esto desde dentro, con pocos recursos y software libre. Está documentado, publicado y disponible de forma gratuita para cualquier ayuntamiento que quiera replicarlo. Está todo en mi blog santiagobonet.com.

La pregunta no es si la transformación digital llegará a tu municipio. La pregunta es si llegará a tiempo, liderada desde dentro, o si llegará tarde, gestionada desde fuera y sin que nadie la entienda.

Autor: Santiago Bonet

Contactar con Santiago Bonet

ExploitGym: Mythos, GPT 5.5, Gemini Pro en un CTF & Benchmark de hacer exploits

noreply@blogger.com (Chema Alonso) — Sat, 16 May 2026 07:37:11 +0000

En el artículo de "El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs" donde os contaba cómo ha ido evolucionando el uso de los modelos LLMs en el mundo de la ciberseguridad en general, os contaba cómo se habían ido cubriendo las diferentes áreas con IA de forma muy rápida. Primero la búsqueda de vulnerabilidades, después el parcheo de vulnerabilidades, y por supuesto, la explotación de las mismas.

Figura 1: ExploitGym: Mythos, GPT 5.5, Gemini Pro

en un CTF & Benchmark de hacer exploits

Con la llegada de Mythos y GPT 5.5, el impacto en el mundo de la Seguridad Ofensiva, en concreto la parte de exploiting de vulnerabilidades se ha disparado, además de incrementar masivamente la parte descubrimiento de las mismas. La pregunta que queda en el aire, es... ¿cuánto de mejores son estos nuevos modelo en la estas funciones? ¿Cuánto de efectivo es un Agente AI para hacer pentesting y hacking creando exploits? Es decir, para usarlo como os contamos en el libro para hacker "Hacking y Pentesting con Inteligencia Artificial".

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Esto es lo que se intenta medir en el paper de "ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks?" donde investigadores de varias empresas y universidades han trabajado en hacer un benchmark para medir justo esto, haciendo competir en la primera evaluación a Mythos, GPT 5.5, Gemini Pro y las versiones de Claude Opus 4.7 y 4.6, y que podéis leer aquí mismo.

Figura 3: "ExploitGym: Can AI Agents Turn Security

Vulnerabilities into Real Attacks?"

Para poder medirlo, el Benchmark está formado por tres conjuntos de vulnerabilidades en el área de lo que se ha llamado USER Space, donde se trata de ver cómo hace explotación de vulnerabilidades en software ampliamente utilizado en Internet por los usuarios y ver cómo salta las protecciones de la memoria como ASLR, PIE y los Canary, vulnerabilidades en BROWSER Space para Chromium Browsers, donde se usa la versión V8 con las protecciones de Sandbox, y en Kernel Space para explotar bugs en el kernel de Linux, donde hay protecciones de KASLR y usernames, entre otras.

Figura 4: Tres espacios con vulnerabilidades a explotar y sus mitigaciones

Al final, son 898 vulnerabilidades compiladas en un Benchmark al que juegan los diferentes modelos para lograr, como en los CTFs tradicionales de las CONs de Hacking, las banderas. Las flags. Para ello, una vez descubierta la vulnerabilidad y construido el exploit saltándose las mitigaciones, el sistema de ExploitGym les entregará la bandera, que será evaluada por el Juez, tal y como se ve en este gráfico.

Figura 5: Proceso de búsqueda, reporte y validación de la explotación

Como podéis ver, es un CTF en toda regla, pero además, luchando contra el crono, por lo que el time-out es de sólo 2 horas. Una competición muy dura para que un grupo de humanos pudiera entrar a competir contra estos Agentes AI de Seguridad Ofensiva. Los resultados en la siguiente tabla.

Figura 6: Resultados del Benchmark de ExploitGym

Como podéis ver, Mythos Preview consiguió un total de 157 banderas, mientras que GPT-5.5 consiguió un total de 120. Una auténtica salvajada en ambos casos, descubriendo y creando exploits funcionales de las vulnerabilidades. Pero ojo cuidado, que los resultados aún fueron mayores que esos.

Figura 7: Flag-To-Success

En la tabla anterior se puede ver que Mythos Preview y GPT-5.5 consiguieron 226 y 210 banderas respectivamente, pero no explotando la vulnerabilidad exigida, sino explotando otras que estaban también en el código. Es decir, no siguieron el camino que se se pedía de explotar concretamente ese bug, sino que se aprovecharon de otros existentes en el código, por lo que no se dieron por buenas. Claro, a un atacante de verdad seguro que eso le da bastante igual.

Figura 8: Overlap entre Mythos y GPT-5.5

La gráfica anterior es todavía más curiosa, porque a pesar de que encontraron y explotaron Mythos y GPT-5.5 un total de 91 banderas iguales, aún hubo 66 que explotó Mythos y no GPT-5.5 y al contrario, 29 que explotó GPT-5.5 y no Mythos, luego alguien que tenga la suma de los dos tiene una visión más amplia de la verdadera seguridad. Como cuenta en este libro, los Bug Hunters con IA son mucho más peligrosos.

Figura 9:"Bug Hunter" escrito por David Padilla en 0xWord

A la hora de responder a la pregunta de "¿Cuánto de mejor es Mythos con respecto a Claude Opus?", ya que vimos que era posible hacer un exploit en 20 horas a partir de un CVE, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron", la comparativa siguiente es clara.

Figura 10: Generación de exploits en 2 horas y 5 horas

Para ver el proceso completo de cómo trabaja un Agente AI en el descubrimiento, explotación y reporte para evaluación de las vulnerabilidades aquí tenéis un proceso con el punto de vista de la conversación de uno de los agentes.

Figura 11: Verificación de una trayectoria de explotación.

Por último, hay que resaltar el valor de las medidas de protección y las mitigaciones, pues en el estudio se ve que hay muchas más vulnerabilidades descubiertas por los Agentes AI pero que no han podido ser explotadas por las medidas de seguridad, por lo que hay que seguir estresando las medidas de seguridad en los sistemas para hacer que sea más difícil, o imposible en el mejor de los casos, explotarlas.

Figura 12: Ratio de bypass de las medidas de mitigación.

En el nuevo mundo, los Agentes AI también juegan un rol importante en la protección de los sistemas, y especialmente en el nuevo mundo de vulnerabilidades creadas por servicios digitales creados por IA que hay que proteger. Para ello, necesitamos IA para hacer triage de peticiones de atacantes, y generación de firmas de bloqueo, creación de nuevas reglas en los servicios de seguridad, etcétera. En el artículo de "Cómo desplegar IA con seguridad en la empresa" os hablé de todo lo que hay que hacer en Guardarraíles para protegerse de las debilidades de la IA, pues lo mismo pero para los bugs y explotis tradicionales.

Figura 13:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Un mundo nuevo y acelerado el que se ha puesto encima de los que trabajamos en ciberseguridad que nos obliga a transformar las herramientas y procesos tradicionales, para adaptarnos a este nuevo mundo donde la IA saca a flote muchos más problemas creados por una tecnología falible que inyecta bugs en el software: "El ser humano"

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Figura 14: Contactar con Chema Alonso

Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

noreply@blogger.com (Chema Alonso) — Fri, 15 May 2026 06:43:14 +0000

Esta semana, en mitad de la vorágine de viajes y charlas, en mi buzón de MyPublicInbox he recibido un par de correos muy similares. Ambos eran de incidentes de seguridad en PYMEs, y ambos tenían un punto de desesperación por culpa de un incidente de seguridad. Se trataba de dos ciberestafas - nada nuevas - que habían robado el dinero de sus cuentas.

Figura 1: Si tu PYME es tu modo de vida ... ¿por qué la pones en riesgo?

El primero de ellos tenía un troyano en el equipo desde donde le controlaban el correo electrónico, y le estaban controlando las transferencias bancarias, desde el correo electrónico. Es una técnica que ya os conté hace más de doce años, donde se modifican los números de cuenta, y la víctima acaba siendo ella la que envía el dinero a cuentas en el extranjero pensando que lo está haciendo a una cuenta correcta.

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

El segundo de los correos fue un ransomware que le estaba pidiendo un pago en BitCoins para devolverle el acceso a todos sus documentos, trabajos, facturas, bases de datos de claves de acceso a cuentas, etcétera. Nada nuevo bajo el sol en ninguno de los dos ataques.

Por supuesto, yo les contesté con la mejor de mis intenciones, explicándole al primero la dificultad de recuperar el dinero enviado hace una semana a unas cuentas en Hong-Kong, y al segundo lo complejo que es recuperar a corto plazo de tiempo el acceso a esos documentos sin pagar, y los costes que puede tener intentar crackear el cifrado del ransomware por fuerza bruta.

Sin embargo, lo que más me llamó la atención era el punto de desesperación y sufrimiento que ambas personas tenían en sus mensajes. Eran PYMEs y estos ataques les hacían un roto para seguir con su vida normal, para poder hacer frente a los pagos del mes, y les afectaba a su vida personal de manera importante. Las pequeñas empresas eran, y son su forma de vida. Viven al mes de lo que van cobrando y la disrupción les dejaba en una situación crítica y desesperanzada.

Los servicios de ciberseguridad son caros o baratos dependiendo de ti

A veces me gustaría poder hacer magia, y con un golpe de teclado hacer que el dinero regresara de las cuentas de los cibercriminales o que los ficheros se descifraran con un sencillo script hecho con Vibe Coding, pero la realidad es que la solución no está después, si no antes. Ninguna de ellos tenía sistemas de protección en tiempo real. No tenían EDRs para detectar el malware y las vulnerabilidades cuando llegaban.

"¡Es que los servicios de ciberseguridad son muy caros!",

me decía una de las víctimas. Sí, es verdad. A posteriori, los servicios de ciberseguridad son muy caros, porque los analistas forenses o los expertos de ciberseguridad si los pagas por horas cuando ya has tenido el problema, te van a costar mucho, y encima no van a poder hacer magia. Pero poner soluciones de prevención de ciberseguridad ANTES es muy barato.

El modelo de seguridad de IronGate Cybersecurity funciona como una Suscripción por Dispositivo, donde se da un servicio MDR (Managed Detection and Response) que vela por la seguridad de los equipos las 24 horas del día, los 7 días a la semana, ayudando a PyMes, Autónomos y Particulares a tener protegidos los equipos, detectar las amenazas y tomar las acciones preventivas y/o correctivas de ciberseguridad adecuadas a la alerta. Por 10 € al mes por equipo.

Figura 3: Gestión de dispositvos para Autónomos y Particulares

Para ello, IronGate Cybersecurity se encarga de ser un Security Operations Center para que todas alarmas de seguridad generadas desde tus sistemas de seguridad en los dispositivos sirvan para aumentar el nivel de seguridad de tus equipos. En una PYME con dos ordenadores y tres móviles el coste de la protección con EDRs y MDR es de 50 € al mes con monitorización 24x7. La cantidad de dinero perdida en los dos incidentes que os he contado podría pagar la protección de los sistemas por toda la vida útil de la emrpesa.

Figura 4: IronGate Cybersecurity - Security Operations Center (SOC)

para PyMes, Autónomos y Particulares

Sé que "gastar" en seguridad es algo que nunca viene bien cuando eres una PYME que va al día, pero mejor un poco en prevención que sufrir las consecuencias después. Os garantizo que una vez que el dinero ha volado o que el ransomware ha cifrado los archivos, los expertos de ciberseguridad no van a poder hacer magia. Si tu pequeña empresa es tu forma de subsistir, entonces no ahorres en lo importante.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

En Memoria de José Manuel Vera. Un periodista, amigo, en la comunidad hacker

noreply@blogger.com (Chema Alonso) — Thu, 14 May 2026 04:01:00 +0000

Hoy es un día de mierda. Es lo primero y más importante que decir. Es un día de mierda, perder a alguien con José Manuel Vera. Una puta mierda. Porque era un compañero desde que nos conocimos hace doce años, y porque se convirtió en un amigo. Este amigo nos ha dejado repentinamente, y me enteré ayer por la tarde. Desde entonces tengo rabia, cabreo e impotencia.

Figura 1: En Memoria de José Manuel Vera.

Un periodista, amigo, en la comunidad hacker

Nos conocimos en el otoño del año 2012 cuando vino a Telefónica a hacerme una entrevista. Era un periodista que adoraba el hacking y la ciberseguridad - no muchos han acabado siendo ponentes de eventos como RootedCON -. Cuando nos conocimos quería hacerme fotos con una chaqueta americana para la portada de la revista ONE donde trabajaba en aquel entonces, pero le avisé de que yo me veo fatal con traje y que iba a quedar fatal.

Figura 2: Esta entrevista, foto y portada es de

José Manuel Vera y es de lo mejor que tengo.

Me lo regaló para mí él.

Me hizo un book de fotos con chaqueta - una verde para más dolor -, y cuando acabó, las vio, y dijo: "Tienes razón, vamos a usar la que te hemos hecho con camiseta, vaqueros y zapatillas deportivas", y así salió la revista. Me la hizo él, y a mi madre le hizo mucha ilusión. Y luego nos reímos muchas veces de lo mal que me queda el traje. "Hasta mis hijas me lo dicen, José Manuel", le decía después.

Después de ese momento, construimos una relación de amistad, de cariño, de colaboración constante. Se convirtió en mi amigo, en mi abrazo obligado en todas las CONs de hacking, mi apoyo en momentos de presión, y un promotor de todo lo que hacía yo. Me publicaba los libros de 0xWord en sus artículos y siempre, siempre, siempre me buscaba para saludarme o hacerse fotos conmigo.

Figura 3: José Manuel siempre de los nuestros

Estuvo conmigo durante más de catorce años siguiendo mi carrera, apoyándome, estando a mi lado siempre, sin importar el momento. Tengo mil momentos, mil conversaciones, mil recuerdos con él. Pero hoy no estoy para contarlos. Este jueves pasado vino a verme. Acababa de publicar la reseña de mi último libro en su sección de la Biblioteca de SIC, y pasó a hacerse una foto conmigo - otra más - a saludarme y darme un abrazo.

Hacía nada de eso, solo cinco días, desde que nos dimos ese abrazo, como siempre, sólo que ese sería a la postres nuestro último abrazo. Nuestra última foto. Y es una puta mierda, porque no puedo decir más que buenas palabras de él. Hoy estoy despidiendo a una buena persona, a un buen tío. Un tipo alegre, una persona cariñosa. Solo puedo enviar mi más sentido pésame a su familia, e intentar honrar la memoria de José Manuel con mi eterno aprecio, cariño y respeto por la persona que fue en vida. Te echaremos mucho tiempo de menos, compañero.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

La propuesta del Internet Protocol Version 8 (IPv8) para tener compatibilidad con IPv4 e ignorar IPv6

noreply@blogger.com (Chema Alonso) — Wed, 13 May 2026 05:01:00 +0000

Estamos en el proceso de migrar todo el tráfico IPv4 a IPv6 desde hace ya unos años, y la verdad es que poco a poco esto está creciendo, pero aún estamos lejos de llegar al objetivo de tener más tráfico IPv6 que tráfico IPv4 en las redes de todo el mundo. Sin embargo, existen algunas otras propuestas de cambios para IPv4 distintas a la de IPv6, y recientemente se ha publicado la propuesta hecha por James Thain de, en lugar de migrar a IPv6, hacerlo a IPv8, que es cuanto menos interesante.

Figura 1: La propuesta del Internet Protocol Version 8 (IPv8)

para tener compatibilidad con IPv4 e ignorar IPv6

La propuesta fue publicada hace menos de un mes, con una serie completa de documentos para definir los protocolos necesarios para pasar a IPv8, como serían los protocolos DHCP8, WHOIS8, y el conjunto mínimo de protocolos de gestión del enrutamiento de tráfico IPv8 en las redes de Internet de hoy en día.

Figura 2: Propuesta de Internet Protocol Version 8 (IPv8)

El objetivo principal de esta propuesta, como bien se explica a lo largo de todo el documento, que la verdad, es bastante sencillo de leer, consiste en mantener la compatibilidad hacia atrás con todo lo construido hasta el momento, haciendo un cambio muy pequeño, que es cambiar la dirección IPv4 por la dirección IPv8.

Figura 3: Paquete de dirección IPv8

La gran diferencia, como se puede ver en el paquete IPv8 es que se añaden las cabeceras ASN de 32 bits tanto a la dirección IP de origen, como a la dirección IP de destino, lo que permite a los protocolos de enrutamiento reenviar correctamente al ASN correspondiente el paquete correctamente.

Figura 4: Compatibilidad hacia atrás de IPv8 con IPv4

Al añadir el Autonomous System Number (ASN), marcado como r.r.r.r, en los cuatro primeros bytes, una dirección IPv8 sería la suma de la parte de ASN r.r.r.r más la parte de IPv4 clásica, a la que se llama en el documento como n.n.n.n.

Figura 5: Direcciones IPV8

Esto sería como tener 2 a la 32 veces el tamaño de direcciones IPv4 que tenemos hoy en día, y dejando la dirección 0.0.0.0.n.n.n.n como la red de IPv4 que tenemos en Internet funcionando ahora mismo.

Figura 6: r.r.r.r igual 0.0.0.0 sería el IPv4 de hoy en día.

Es decir, con un cambio sencillo en el envío de paquetes de red IPv4 se podría resolver el problema de que se acaben las direcciones IPv4 manteniendo todo el software construido sobre él funcionando. Y la propuesta es porque está costando ir más rápido a IPv6 de lo que se estaba esperando al inicio. Si miramos radar, podemos ver en Radar de Cloudflare que en los últimos doce meses el tráfico sobre IPv6 está estable en un 30% más o menos.

Figura 7: Trafico IPv4 vs. Tráfico IPv6 en Radar de Cloudflare

Claro, mantener la compatibilidad hacia atrás implica que sigan funcionando todos los ataque en redes de datos IPv4 que ya conocemos, además de todas sus medidas de seguridad. Es decir, se supone que el conocimiento que tenemos de estos protocolos debemos usarlos en hacerlos más seguros y no en migrarlos.

Figura 8: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

Los cambios que sí que habría que hacer son los relativos a la interconexión de redes, por lo que todos los protocolos de enrutamiento de tráfico y gestión de redes deberían cambiar a IPv8, como serían BGP8, OSPF8, WHOIS8, SNMP8, etcétera, que están definidos en sus correspondientes documentos.

Figura 9: Documentos para los protocolos de gestión de redes IPv8

Y por supuesto, crear los tipos de redes especiales con direccionamientos reservados, al igual que tenemos en IPv4 e IPv6, que están descritos con detalle en el documento de Internet Protocol Version 8 (IPv8) del que estamos hablando.

Figura 10: Tipos de redes en IPv8

El documento recoge también las direcciones especiales que deben existir en estas redes IPv8, donde los nodos de enrutamiento dentro de tráfico a través de los ASNs deben ser tenidos en cuenta de manera especial, así que en la definición de estándar están especificados.

Figura 11: Direcciones especiales en IPv8

En definitiva, me parece una propuesta súper bonita como trabajo técnico de arquitectura de redes. Me falta criterio tan pronto para decir si es una opción mejor que ir hacia IPv6 o no, pero desde luego mis felicitaciones a James Thain por este trabajo tan bonito que ha publicado. Así es la investigación y la innovación, proponer ideas concretas que puedan ser evaluadas y aprender de ellas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Foro Público de Ciberseguridad de Chema Alonso "old school" sobre lo que pasa cada día

noreply@blogger.com (Chema Alonso) — Tue, 12 May 2026 06:35:00 +0000

Todos los días, desde hace más de veinte años, leo todos los días mis noticias. No son de política o actualidad, que es algo de lo que estoy bastante desconectado, sino de Ciberseguridad, Hacking, Pentesting, Inteligencia Artificial, Papers de investigación, etcétera. Estos se quedan en mi RSS Reader, y algunas las paso a mis compañeros cuando creo que son muy relevantes. Pero la mayoría se quedan solo para mí.

Figura 1: Foro Público de Ciberseguridad de Chema Alonso

"old school" sobre lo que pasa cada día

No es que sean privadas, ni mucho menos, pero entre la avalancha de publicaciones que hay hoy en día en la red, muchas cosas se nos quedan por debajo del radar, así que intento que las fuentes que sigo, las noticas, que leo y las que comparto con mis compañeros sean las que me permitan estar al día de lo importante. Es mi selección personal.

Figura 1: Foro Público de Ciberseguridad de Chema Alonso

Como todos los días me siento en mi ordenador, y repaso también todos los grupos de chats, aparte del Foro de Quantum Security que ya tengo, he decidido abrir un Foro Público de Ciberseguridad de Chema Alonso con la ayuda de la UNIR.NET, para hablar de estos temas. Para compartir noticias, para compartir actividades profesionales, para debatir sobre estas cosas. Y será un foro "Old School" porque vigilará la Netiquette.

Figura 3: Unirse al Foro Público de Ciberseguridad de Chema Alonso

Eso sí, será un foro de lo que pase hoy. De actualidad, para debatir, compartir y enriquecernos todos con acceso a la información seleccionada de lo más relevante que suceda. Para participar, puedes hacerlo con tu cuenta de MyPublicInbox accediendo a la siguiente URL, y allí solicitar el acceso al Foro Público de Ciberseguridad de Chema Alonso, que aprobaré yo personalmente, que voy a ser el moderador.

Figura 4: Unirse al Foro Público de Ciberseguridad de Chema Alonso

Por supuesto, os agradeceré personalmente a todos los que vengáis a este Foro de Ciberseguridad de Chema Alonso el que colaboréis con noticias, con debates, y con el aporte que podáis al resto de la comunidad. Os espero todos los días por el foro.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Multipath Reliable Connection (MRC): Un protocolo de red diseñado para los LLMs

noreply@blogger.com (Chema Alonso) — Mon, 11 May 2026 05:18:00 +0000

Este fin de semana he estado leyendo sobre este nuevo protocolo de red creado especialmente para resolver el problema de la congestión del tráfico de red que se produce en los mega-datacenters utilizados para entrenar los nuevos LLM cuando se mueven datos de GPU a GPU en los centros de datos. En estos casos, estamos hablando de interconexión de datos entre clusters que pueden contener centenares de miles de GPUs, por lo que los protocolos que envían los datos por la red son críticos en la reducción del tiempo de entrenamiento, mediante una reducción de la latencia de envío de paquetes de red y, por consiguiente, reducción del consumo de energía.

Figura 1: Multipath Reliable Connection (MRC).

Un protocolo de red diseñado para los LLMs

MRC está creado específicamente para resolver esos problemas, y ha sido publicado en el paper de Open Compute "Multipath Reliable Connection (MRC) Specification" donde equipos de OpenAI, Microsoft, NVIDIA, Broadcom y AMD han estado trabajando para definir el nuevo protocolo que ya han puesto en producción en los clusters de entrenamiento de OpenAI y Microsoft, incluidos centros de datos de entrenamiento de Oracle.

Figura 2: Multipath Reliable Connection (MRC)

El protocolo MRC se basa en RoCEv2 (RDMA over Converged Ethernet v2), es decir, que sigue aprovechando las capacidades de RDMA (Remote Direct Access Memory) para enviar tráfico por la red de computador a computador desde la memoria de uno hasta la memoria de otro sin pasar por la CPU utilizando RoCEv2, que está diseñado especialmente para las redes Ethernet.

Figura 3: La red es el punto de congestión de los mega-datacenters

Sin embargo, en entornos de alta congestión - como es el de entrenar un LLM de frontera en un datacenter con cientos de miles des GPUs pasándose datos - , es que la red necesita una arquitectura de capas (Tiers) para conectar switches, de tal manera que dependiendo de la distancia física que exista entre las GPUs que se pasan los datos, hay que atravesar muchas capas de Switches de interconexión, y es ahí donde se produce la congestión.

Figura 4: La propuesta de OCP es MRC con Packet Spraying

Para resolver esto, la solución es ampliar el número de capas, ampliando la latencia, para que existan más rutas posibles, lo que tampoco es una solución perfecta. Lo que propone MRC es utilizar Packet Spraying, es decir, dividir los datos que se van a enviar en pequeños paquetes de red que utilizarán, cada uno de ellos, una ruta diferente dentro de las rutas posibles.

Figura 5: Arquitectura en Tiers de Switches

Para eso es necesario conocer el estado de calidad de la red, los puertos disponibles, y poder crear una ruta para cada paquete de la red. Esto se hace con un protocolo llamado SRv6 (Segment Routing over IPv6) que se encarga de crear la ruta para cada paquete dentro de la estructura de Tiers de los Switches de interconexión.

Figura 6: Control de Congestión con QPCP

La especificación completa, donde se definen los estados de los protocolos de control de la congestión y calidad de la red en cada momento QP Congestion Protocol (QPCP) están todos correctamente descritos en la especificación, ya que se trata de un protocolo abierto, y tienes el paper académico de Resilient AI Supercomputer Networking using MRC and SRv6 con las pruebas realizadas publicado.

Figura 7: Resilient AI Supercomputer Networking using MRC and SRv6

Este es un ejemplo de cómo la necesidad de innovar con Inteligencia Artificial está impulsando la innovación en otras áreas adyacentes de forma masiva, como es la gestión de la energía, los protocolos de red o la gestión de grandes volúmenes de datos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

noreply@blogger.com (Chema Alonso) — Sun, 10 May 2026 05:49:00 +0000

Los domingos siempre son días para mí de preparar la semana que viene. Nunca me ha gustado ir a clase sin llevar hechos los deberes, así que todos los domingos reviso y planifico las tareas que tengo para la semana siguiente. En este caso me toca viajar otra vez, para ir a Galicia, ya que estaré en A Coruña el próximo día 14 de Mayo dando una conferencia titulada: "Hacking & Cybersecurity in the age of IA Revolution" en la Fundación Luckia.

Figura 1: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

La conferencia es abierta para todo el mundo, y en ella hablaré de los temas de los que suelo hablar últimamente, y de los que tanto nos están afectando hoy en día. Hacking y Ciberseguridad en la era de la Inteligencia Artificial, donde como os contaba ayer, la vida de los CISOs ha cambiado drásticamente.

Figura 2: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

De estos temas sabéis que hemos escrito un par de libros dedicados al "Hacking & Pentesting con IA" y del Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" que, además, tendremos un poco antes del evento una pequeña firma de libros, así que si quieres comprarlos allí y que te los dedique, será posible.

Figura 3: Libros deHacking & Pentesting con Inteligencia Artificial y "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" escritos por Chema Alonso, Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos, Rafael Troncoso, Javier del Pino y José Palanco en 0xWord

El evento tendrá lugar a las 19:00 horas, en el Campus Luckia y será en formato 100% presencial CAMPUS LUCKIA Camiño Martinete, 50, Código Postal 15.008 de A Coruña, y para poder asistir debes registrarte en la web del evento.

Figura 4: Mi Próxima Charla: A Coruña - Fundación Luckia - 14 de Mayo

Y eso es todo por hoy. Si vas a estar esta semana por Galicia, y te apetece venir a verme, ya sabes que puedes encontrarme en A Coruña haciendo lo que llevo haciendo más de 25 años, que es contar cosas de la tecnología. Nos vemos en la Fundación Luckia.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs

noreply@blogger.com (Chema Alonso) — Sat, 09 May 2026 09:17:00 +0000

Llevo toda mi vida profesional buscando bugs, y la búsqueda de vulnerabilidades de forma automática ha sido algo que ha existido desde que se creó Internet. Escáneres que buscan puertos para localizar sistemas conocidos, herramientas de webcrawlings o frameworks de pentesting que buscaban tipos de bugs. Esto ha sido parte del trabajo en seguridad informática, y yo he estado años haciendo eso. Para mi trabajo del Ph.D me dediqué a diseñar un algoritmo para detectar vulnerabilidades explotables a ciegas de tipo SQL, XPath o LDAP, que fue de lo que estuve trabajando esos años.

Figura 1: El impacto de Mythos en concreto y la

IA en general en el trabajo de los CISOs

Lo mismo sucedió con la FOCA, para buscar no solo metadatos el documentos públicos - que era lo único que tenía al principio - sino que se fue convirtiendo en un buscador de Well-Known Bugs explotables. Usando esas capacidades, acabamos en el entre los agradecimientos de Apple en al año 2011 y también en el año 2012.

Figura 2: Plugin de la FOCA para buscar Heartbleed

Como parte de esta visión de buscar vulnerabilidades automáticas, en ElevenPaths creamos Faast para hacer Pentesting Persistente, y buscar todas las vulnerabilidades de manera automática, de manera persistentes como fuera posible. El servicio era un SaaS que llevaba el espíritu de la FOCA y de mi trabajo de PhD que estuvo escaneando webs de clientes de manera masiva antes incluso de que apareciera la tendencia de hacer Continuos Monitoring. El objetivo, por supuesto, era reducir el tiempo de exposición de una vulnerabilidad publicada.

Figura 3: "The Art of Pentesting" El nuevo libro de

0xWord para formarse como pentester

En la parte de explotación de las vulnerabilidades, pues lo mismo. Desde que se creó Metasploit, se busca eso. En este caso, con vulnerabilidades conocidas, pero automatizando con payloads la generación de exploits adaptados a objetivos concretos. De nuevo, con un objetivo de automatización y acelerar el proceso de explotación de bugs descubiertos. Y por supuesto, permite la creación en nuevos vulnerabilidades y nuevos payloads con sus propio lenguaje. Lo que sería The Art of Pentesting.

Y llegaron los LLMs

Por supuesto, cuando llegaron los LLM, estos comenzaron a ser parte de las herramientas de búsqueda de vulnerabilidades y de su explotación. Con la madurez, vimos como los resultados comenzaron a ser espectaculares. En el año 2024 tuvimos el paper de "LLM Agents can Autonomously Hack Websites", que sigue la filosofía de hacer un Faast, pero utilizando modelos de lenguaje de Inteligencia Artificial, lo que daba un resultados espectaculares construyendo SQL Inejction.

Figura 4: "LLM Agents can autonomouslly hack websites"

Se publicó en el año 2024, al igual que el paper de "LLM Agents can Autonomously Exploit One-day Vulnerabilities" para dada una lista de CVEs parcheados en un software, utilizar LLMs para intentar hacer el exploit de manera automática. Todo esto antes de aquel 1 de Diciembre de 2024 cuando OpenAI publicó el primer modelo de Deep Reasoning que daría origen a la carrera de los Agentic AI.

Figura 5: LLM Agents can Autonomously Exploit One-day Vulnerabilities

Con la llegada de los modelos de Deep Reasoning, todo cambió. Comenzamos a construir Agentes IA que hicieran Red Teaming, realizando las fases de footprinting, fingerprinting, busca de vulnerabilidades y explotación de las mismas.

Y llegaron los Deep Reaoning al mundo de la Ciberseguridad

Así, en 2025 tuvimos el paper de "On the Feasibility of Using LLMs to Execute Multistage Network Attacks" donde se crea una Agentic AI para hacer el trabajo completo de un pentester - o de un ciberatacante - automatizando todas las fases con Inteligencia Artificial. Y el resultado es brutal.

Figura 6: On the Feasibility of Using LLMs to Execute Multistage Network Attacks

Este trabajo anterior, tiene la gracia de que, sin utilizar MCPs, demuestra cómo, al crear una capa de abstracción para que el LLM pueda utilizar las herramientas sin pegarse con el CLI (Command Line Interface) a la que llama Incalmo - la efectividad del Agentic AI para hacer ataques a organizaciones es espectacularmente satisfactoria. Así que estaba claro que el futuro de la Seguridad Ofensiva pasaba por la IA.

Figura 7: CAI: An Open, Bug Bounty-Ready Cybersecurity AI

En Abril CAI (Cybersecurity AI) compite en competiciones CTF (Capture The Flag) con equipos de hackers especializados, y consigue llegar al puesto número 20 del cuadro de ganadores, resolviendo 19/20 retos. Pero lo brutal es que quedó en esa posición porque no dio con la idaa feliz que resolvía el número 20, pero había sido el primero en resolver los 19 primeros retos.

Figura 8: Ranking de AI Agents en reto "AI vs Humans"

Esto nos deja el año pasado con un escenario donde los modelos LLM de IA se utilizan para Buscar Vulnerabilidades y Explotarlas. El mundo del Pentesting había cambiado definitivamente, y publicamos el libro de "Hacking & Pentesting con Inteligencia Artificial" donde nos centramos en cómo sacarle partido a la IA para hacer el trabajo de seguridad ofensiva que tantas veces hemos hecho sin ella.

Figura 9: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Y es que, buscar y explotar vulnerabilidades con modelos de IA se convirtió en algo bastante sencillo. El año pasado por estas fechas yo publiqué el artículo de "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" donde, viendo lo fácil que es buscar vulnerabilidades con modelos de Deep Reasoning, no podíamos permitirnos tener el sistema como lo teníamos hasta el momento.

Figura 10: Bug de LDAP Injection alertada en LABE

Mi preocupación es que tenemos todo el código de los proyectos OpenSource disponibles para que un modelo de IA encuentra las vulnerabilidades, y que en todo caso, deberíamos utilizar esas capacidades para acelerar la creación de partches. La plataforma Plexicus, que está empujando José Palanco, hace justo eso, generar parches con IA de manera automática.

Figura 11: Plexicus parchea con GenAI los bugs

Y esto es algo que para acelerar, se puede hacer con Neo de Sagittal.ai, que tiene en la generación de parches con IA una de sus capacidades de codificación más importantes. Usar IA para eliminar bugs que han sido descubiertos por IA.

Figura 12: Comienza a probar Neo desde hoy mismo

En Octubre del año pasado Google presentó CodeMender, que utilizando esta misma idea lo había estado usando para analizar y parchear código de proyectos OpenSorce con un Agente AI. Y si veis el proceso en el vídeo siguiente, el modelo es muy, muy, muy similar a lo que tenéis con Pléxicus.

Figura 13: Esquema de funcionamiento de CodeMender

Es decir, el camino del uso de los MM-LLM para buscar vulnerabilidades, para explotarlas, y para parchearlas no es nueva. Hace dos semanas tuvimos la investigación de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" donde con poco más de 2.000 USD se conseguía un 1-Day para Google Chrome que era un 0-day para Cursor, Discord o Slack.

Figura 14: Explotación del CVE-2026-5873 con Claude Code. Horas, tokes y coste

Y es una salvajada poder hacer eso, simplemente con IA. Por supuesto, probando con el 86-DOS del año 1981 buscar los bugs y hacer los exploits en un sistema sin DEP, ASRL, y demás protección de la pila, la memoria y la llamada a funciones, es un juego de niños para la IA, como os conté.

Figura 15: PoC de Exploit para el bug 1

Estaba claro hacía donde vamos, y las capacidades de la IA, así que no nos podemos dormir. Hemos visto en estos dos años cómo ha ido cambiando todo, pero de repente, esto se complica porque...

Y entonces llegó Mythos

Pero claro, ahora llega Mythos, y aumentan la potencia en descubrimiento y explotación de vulnerabilidades, lo que obliga a repensar la estrategia de los CISOs, como se ha publicado en el paper de la Cloud Security Alliance titulado "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".

Figura 16: "The AI Vulnerability Storm: Building a Mythos-Ready Security Program".

Nos encontramos con que desde el descubrimiento de una bug, hasta su explotación, si el CVE está publicado, el tiempo se reduce hasta unas 20 horas, como hemos visto en el ejemplo anterior. Unos tiempos que dejan casi sin margen de maniobra a los equipos de seguridad que tienen que parchear sistemas complejos en la grandes empresas.

Figura 17: Reducción de Time-To-Exploit año a año

Y lo peor, con las capacidades de un modelo como Mythos, el principal problema para los CISOs es que, un atacante con estas capacidades puede encontrar Bugs Complejos, crear Exploits Robustos y Funcionales, y hacerlo no como era hasta hora, donde en bugs complejos necesitaba de un humano que le iba dirigiendo, sino que se hace en 1 Single Prompt.

Figura 18: Exploits con Mythos

Y parece que esto es así, porque si vemos la última actualización de seguridad e Mozilla Firefox - que ha sido auditado por Mythos - el resultado es que han parchado más bugs que en toda su historia, y más que sumados los últimos quince meses. No está mal.

Figura 19: Mozilla Firefox y 432 bugs parcheados tras auditarlo con Mythos

La Gestión después de llegar Mythos

Claro y... ¿cómo lo solucionamos? ¿Cómo lo gestionamos? Esa es la gran pregunta que deben responder los CISOs ante el comité ejecutivo de la empresa, y exige una inversión en la seguridad preventiva y en la fortificación de la plataforma.

Las vulnerabilidades están en los sistemas porque aunque es verdad que el ratio de líneas de código con bugs por volumen de líneas de código se ha reducido drásticamente, el número de líneas de código que tienen las tecnologías que se usan en la empresa hoy en día ha crecido exponencialmente. Y si ahora tenemos con la IA la posibilidad e encontrarlas mucho más rápido, explotarlas en tiempo record, y poder ponerlas en juego todas a la vez, la cosa se pone complicada.

Por supuesto, anticiparse a la auditoría de las vulnerabilidades es fundamental, así que hacer a revisiones de código con LLMs - Mythos o no - cuanto antes, es fundamental. Pero luego estresar los sistemas de defensa perimetral, ya que es mucho más fácil y rápido firmar los ataques externos que parchear un sistema en producción crítico de la organización.

Figura 20: Cloudflare Edge Network

Los equipos de Cloudforce ONE y las protecciones en el WAF de Cloudflare gracias a ser la mayor plataforma en el EDGE de Internet, están detectando del orden de 232 Billones de ataque al día, con actualizaciones constantes cada hora de nuevas explotaciones de vulnerabilidades firmadas, actualizando la plataforma en todo el mundo en tiempos record por debajo del minuto.

Con el objeto de poner lo más difícil posible a un atacante poder explotar una vulnerabilidad existente en uno de los servicios expuestos en la red de cualquier empresa en Cloudflare. Para eso, también se usa la IA para hacer el triage del tráfico de red sospechoso, y para la generación de reglas de firmado y configuraciones de seguridad en los servicios de protección perimetral.

Figura 21:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¿Es esto suficiente? Pues a mí me gusta decir que, en medio de esta tormenta perfecta, las empresas están desplegando modelos de IA embebidos en los servicios digitales que también - surprise, surprise - traen vulnerabilidades como Prompt Injection, Jailbreak, Misalignment, Hallucinations, y si vemos los CVSS de los bugs que salen, los niveles son mucho más altos en media, lo que hace que sea otra de las preocupaciones para los CISOs.

Figura 22: Configuración de Guardarrailes en Workers de Cloudflare

Tener Guardarraíles en el WAF, el RAG, la protección de los API Gateway, el MCP Server y el CASBI, y hacerlo sin caer en ataques de DDoS lógico por el alto costo computacional de ejecutar Guardrails robustos, como os conté en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa". Y hacerlo sin ser un blocker para la transformación al mundo de la IA de la empresa. No ser el blocker malo.

Con todo esto, más vale que si en tu empresa quieras apostar por la IA, comiences a apoyar no solo a tu CIO y tu CTO, sino a tu CISO, que el panorama que se viene por delante es, cuanto menos, muy retador. Ya sabes que en Ciberseguridad, los ahorros pueden salir muy caros.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mi primera conferencia en Costa Rica: Congreso de Ciberseguridad - 26 de Mayo.

noreply@blogger.com (Chema Alonso) — Fri, 08 May 2026 04:48:00 +0000

El próximo 26 de Mayo estaré por primera vez en Costa Rica, dando una conferencia en el Congreso de Ciberseguridad: VII Edición de Global Forums, y no quería que pasara más tiempo antes de contároslo, por si te apetece venir a verme, que puedas organizarte.

Figura 1: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

El evento tendrá lugar en San José, y he de decir que tenía muchas ganas de que alguna vez el destino me llevara por allí, porque era uno de los pocos países donde hasta el momento no había tenido la oportunidad de ir y conocerlo, y como no podía ser de otra manera, tener ahora la oportunidad me pone muy contento.

Figura 2: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

El congreso está compuesto por una agenda muy completa, donde se tocarán temas de Seguridad Ofensiva, y Seguridad Defensiva, así como el impacto de la Inteligencia Artificial en la Búsqueda de Vulnerabilidades, en la Explotación de Vulnerabilidades, y en el Parcheo de Vulnerabilidades.

Figura 3: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Si estás en Costa Rica, o en la región, y te interesa profesionalmente el mundo de la Ciberseguridad, en el Congreso de Ciberseguridad: VII Edición de Global Forums vas a tener un día dedicado a hablar ampliamente de estos temas, así que visita la web, revisa la agenda, y regístrate si te convence el tema.

Figura 4: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Si vienes, estará conmigo en mi primera conferencia en Costa Rica, que han tenido que pasar más de 25 años para que se diera, así que no sé cuándo volverá a ser la siguiente ocasión, pero no creo que vaya a ser muy pronto, así que si te apetece, no dejes pasar esta oportunidad.

Figura 5: Mi primera conferencia en Costa Rica.

Congreso de Ciberseguridad: VII Edición - 26 de Mayo.

Ahí tienes los datos, será en el Hotel Radisson, San José, de 08:00 a 18:00 horas, el proximo 26 de Mayo de 2026, así que tienes poco más de dos semanas para organizarte.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un Hackathon en Barcelona para construir servicios digitales basados en IA Fortificados usando la plataforma en Edge de CLOUDFLARE

noreply@blogger.com (Chema Alonso) — Thu, 07 May 2026 05:21:00 +0000

Esta semana ya sabéis que estoy de eventos, con una agenda muy apretada, pero lo que viene por delante este mismo mes también tengo que ir contándooslo porque todas las semanas de Mayo tengo actividades que os iré contando estos días poco a poco. Hoy le toca al Peer Point de Barcelona que tendremos el 14 de Mayo en Cloudflare.

Figura 1: Un Hackathon en Barcelona para construir servicios digitales basados en IA Fortificados usando la plataforma en Edge de CLOUDFLARE

El evento está centrado en Cómo construir servicios digitales basados en Inteligencia Artificial fortificados sacando el máximo potencial de la plataforma en el Edge de Cloudflare, donde todo está construido con capacidades para construir arquitecturas protegidas en el nuevo ecosistema de ataques.

Figura 2: Cloudflare Peer Point Barcelona 14 de Mayo

De estas capacidades, y de las arquitecturas os hablé en el artículo de "Cómo desplegar Inteligencia Artificial con seguridad en una empresa", pero con la evolución de innovación en Cloudflare, desde que os escribí el artículo hasta hoy, tenemos muchas herramientas que se verán en esta Hackathon, porque es para técnicos.

Figura 3: Cloudflare Peer Point Barcelona 14 de Mayo

El evento está pensado para CTOs, ITManagers, CISOS, y Software Engineers, así si eres un profesional en el mundo de la tecnología, de los que tiene que construir los sistemas de tu empresa, entonces este es tu evento. Por supuesto, para poder asistir tienes que registrarte lo antes posible.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Aprende (sin coste alguno) cómo usar la IA para transformar la Logística y la Cadena de Suministro en la empresa

noreply@blogger.com (Chema Alonso) — Wed, 06 May 2026 04:36:00 +0000

Una de las preguntas que más me hacen es cómo aplicar la Inteligencia Artificial a los diferentes puestos de trabajo, y es que hay dos tipos de empresas y profesionales, los que están aprendiendo a aplicar la IA en su producción, y los que no. A estos últimos, viendo la productividad que se alcanza con los nuevos modelos de IA les auguro un futuro ciertamente incierto.

Figura 1: Aprende (sin coste alguno) cómo usar la IA para transformar

la Logística y la Cadena de Suministro en la empresa

FORO: Usos de la IA para transformar la logística y la cadena de suministro en las empresas

En la UNIR estamos trabajando en verticalizar la aplicación de la IA en los diferentes sectores profesionales. Está muy bien que yo me especialice en cómo usar la parte de ciberseguridad, pentesting o hacking, pero un profesional de Logística de hoy en día necesita aprender a cómo utilizarla en la gestión de sus transportes, proveedores, y optimización de procesos de su trabajo.

Figura 2: Aprende cómo usar la IA para transformar

la Logística y la Cadena de Suministro en la empresa

Por eso hemos trabajado con profesionales de los diferentes sectores para hacer los FOROS UNIR gratuitos para todos, donde poder asomarse a cómo los profesionales, en este caso de la Logística y la gestión de la Cadena de Suministro están aplicando la IA en las empresas.

Figura 3: Ponentes del FORO "Usos de la IA para transformar la

logística y la cadena de suministro en las empresas"

El próximo foro, titulado: "Usos de la IA para transformar la logística y la cadena de suministro en las empresas" será el próximo día 19 de Mayo por la tarde (a las 17:00 horas de España), totalmente gratuito, y contará con profesionales que hablarán justamente de esto.

Figura 4: Horarios en España y América

Figura 5: Apúntate gratis al FORO "Usos de la IA para transformar la

logística y la cadena de suministro en las empresas"

Al final, esta es una oportunidad para conectarse desde casa o el trabajo, y en una hora ponerse al día con uno de los temas que más preocupan hoy profesionalmente, como es el uso de la Inteligencia Artificial en la transformación de los procesos de todas las organizaciones. No desaproveches la oportunidad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

El Captcha Cognitivo de TikTok al estilo de "The Secret of the Monkey Island" que resuelve la Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Tue, 05 May 2026 04:23:00 +0000

Este puente lo he dedicado en soledad a hacer muchos proyectos personales que tenía atrasados. También a ponerme al día con mis series, deporte, libros, y preparar las presentaciones de los eventos en los que voy a participar esta semana. Además, he aprovechado a recuperar horas de sueño, así que ha sido uno de esos puentes que necesitas de vez en cuando para despegar la mente y el cuerpo... pero por el camino, se me cruzaron un perro y un cactus en unos Captchas Cognitivos, así que tuve que detener todo para ocuparme de ellos.

Figura 1: El Captcha Cognitivo de TikTok al estilo de

"The Secret of the Monkey Island"

que resuelve la Inteligencia Artificial

Este ese el Captcha Cognitivo que utiliza TikTok para evitar que usuarios no autenticados en la plataforma puedan acceder a los vídeos publicados en la plataforma a través del cliente web. Supongo que para evitar que los Agentes AI estén llevándose el contenido o vigilando a los usuarios. Ya sabéis, TikTok es una gran fuente OSINT para investigar personas e identidades en Internet.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Pero para mí, era un nuevo pasatiempo, porque es de un tipo de Captcha que aún no había visto. Así que había que jugar con él un rato para que engrosara la lista de los Captchas Cognitivos con los que he ido jugando y que tenéis publicados en estos artículos.

Al final, resolver Captchas Cogntivos es algo que en el mundo del Crimeware as a Service está bastante industrializado, y que si estás haciendo scripts de Hacking & Pentesting con IA, debes tenerlo más que presente, por lo que siempre que me encuentro con uno, juego hasta que veo cómo se puede resolver y automatizar usando Inteligencia Artificial.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

En este caso, el Captcha Cognitivo está formado por dos una imagen que está dividida en dos círculos que debes alinear para formar una imagen. Vamos, si has jugado a "The Secret of Monkey Island" original seguro que recuerdas "La rueda marcapiratas" que había que girar para que se alinearan las caras que te pedían en el juego. If you know, you know.

Figura 4: La rueda marca piratas de The Secret of Monkey Island

En este caso mirando cómo funciona el sistema, se puede ver que cuando mueves la barra horizontal gira la imagen interior y la imagen exterior hasta encontrarse. Lo puedes probar entrando en mi perfil de TikTok sin autenticarte en la plataforma y te saldrá.

Figura 5: El captcha de la rueda con el perrinchi

Cuando mueves la barra horizontal gira la imagen interior hasta un máximo de180 grados en el sentido de las agujas del reloj mientras que la imagen exterior se mueve también hasta un máximo de 180 grados en sentido contrario.

Figura 6: Las dos imágenes giran 180 grados

a lo largo del desplazamiento de la barra

Con esto en mente se me ocurrió que la solución sería fácil, bastaría con pedirle a Gemini que me dijera cuántos grados hay que girar la de dentro para alinearlas, dividir entre dos para quitar el efecto del giro contrario ya que las imágenes se encontrarían a mitad del camino de la alineación.

Figura 7: La solución buscada (esto lo hice yo manualmente)

Para completar la resolución, que después ese ángulo lo convirtiera en un porcentaje del total máximo de giro - que son 180 grados -, para así hacer un porcentaje de desplazamiento de la barra.

Figura 8: Petición a Gemini para resolver el Captcha Cognitivo

Y bueno, lo hizo bien con los cálculos, como podéis ver a continuación, donde dice que hay que mover como a la mitad la barra de desplazamiento para alinear las imágenes.

Figura 9: Cálculos realizados por Gemini.

Nota: Se ha dado cuenta de que es un CAPTCHA.

Eso sí, cuando le pedí que me hiciera la imagen de cómo debe quedar, se ve que el perro lo ha puesto como un señor en lugar de alinear las imágenes - me eché unas buenas risas cuando vi al perrinchi todo chulo mirándome como un señor -, además que en la solución real se necesitaba la barra un poco desplazada.

Figura 10: La solución de Nano Banana es genial.

Así que lo quise ajustar un poco con otro ejemplo, en este caso con un cactus, que como podéis ver mantiene la misma estructura y límites de giro, lo que permite automatizarlo como estaba contando antes con el perro.

Figura 11: Vamos con el cactus

En este caso, le di alguna explicación más de cómo quería que configurase la barra de desplazamiento, y de cómo debía hacer el cálculo de los ángulos, que quería ver si lo dejaba funcional.

Figura 12: El prompt más especificado

Lo de pintar la imagen resultante con Nano Banana solo es para publicarlo en este artículo puesto que para automatizarlo lo único que se necesita es el porcentaje de desplazamiento para que lo haga el Agentic AI, pero quería ver cómo quedaba.

Figura 13: Los cálculos de Gemini para resolver el Captcha

En este caso queda más aproximado con la ubicación del botón - me ha pintado hasta la regla como le he pedido -, y con esto se resolvería el Captcha Cognitivo, aunque de nuevo vuelve a hacer la imagen como le place, totalmente inventada. Debería darle más explicaciones, está claro.

Figura 14: A la izquierda la resolución manual.

A la derecha la resolución por Gemini.

(Importa solo la posición de la barra)

Lo cierto es que me pasé el rato jugando con este Captcha Cognitivo de Tiktok visual, pero como tiene una versión para resolver con audio, esto es más sencillo aún. Aquí tenéis el vídeo que grabé para el artículo de hoy.

Figura 15: El Captcha Cognitivo Auditivo de Tiktok

Como sabéis, este truco ya lo habíamos utilizado en el pasado para resolver con Cogntive Services el ReCaptcha v2 de Google, hace mucho tiempo, así que aquí la idea era hacer lo mismo con Gemini.

Figura 16: Captcha Auditivo de TikTok en Gemini

Extraído el audio, y subido a Gemini, le pido que me diga lo que se escucha allí, y como podéis ver son sólo una secuencia de letras, así que bastante sencillo.

Figura 17:Captcha Auditivo de TikTok en Gemini Resuelto

Como os decía, empieza a ser más fácil resolver los Captchas Cognitivos con Inteligencia Artificial que siendo humano, así que vamos a tener que aprender nuevos juegos para resolver este problema. ¿Cuál?

Figura 18:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Reuniones Presenciales en MyPublicInbox

noreply@blogger.com (Chema Alonso) — Mon, 04 May 2026 05:01:00 +0000

Una de las cosas que nos pedían era la oportunidad de poder configurar y solicitar una reunión presencial con alguien, para poder tener una propuesta comercial, conocerse, u algún otro motivo. De momento hemos metido la opción en la plataforma, por lo que si eres un Perfil Público ya lo puedes configurar. Y, por supuesto, como primer beta-tester estaré yo, así que lo he configurado ya en mi perfil público de MyPublicInbox.

Figura 1: Reuniones Presenciales en MyPublicInbox

Si quieres tener una reunión presencial conmigo, puedes reservarlo ya. Todos los perfiles públicos tenemos la opción de rechazar la propuesta, así que no es una garantía de que vamos a tener la reunión, pero al menos vamos a testear el servicio en tiempo real.

Figura 2: Tener una reunión presencial con Chema Alonso

Si eres un Perfil Público y quieres probar el servicio, puedes configurarlo en el Módulo de Reuniones. Ahora, en la parte de Configurar Reuniones tienes la posibilidad de configurar el tipo de reuniones que te interesan, el coste por tu tiempo en Tempos que estableces, y los lugares donde estás dispuesto a tener esas reuniones.

Figura 3: Configurar las opciones para tus Reuniones Presenciales

Yo he configurado, al final, cualquier sitio, porque como me muevo mucho por eventos y conferencias, puedo tenerla siempre que visite una ciudad para una charla o una actividad, así que es una buena forma de abrirme a los demás.

Figura 4: Configurar Lugar, Fecha y Hora. Si has trabajado en

Informática 64, ya sabes dónde está el "Chino de Móstoles"

Después, cuando se solicita, se puede negociar la hora y el sitio exacto a través de la plataforma, con lo que se puede coordinar un punto exacto, una hora y una ciudad. Así que, ya lo puedes configurar en tu perfil y ya puedes usarlo en el mío - si quieres reunirte en persona conmigo -.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Apoya a tu CON-Munidad y a sus Fundadores. Ahora toca la Hackr0n el 15 de Mayo.

noreply@blogger.com (Chema Alonso) — Sun, 03 May 2026 05:01:00 +0000

Este 15 de Mayo tiene lugar la Hackr0n en Santa Cruz de Tenerife. Lo vi, y me acordé de Igor Lukic, de todos los años de trabajo impulsando sus queridas Islas Canarias. Me acordé de los años que lleva peleando por tener una CON de primer nivel mundial en Santa Cruz de Tenerife, para aglutinar al sector tecnológico de las maravillosas Islas Canarias, para que los jóvenes tengan acceso a los mejores ponentes, y para que exista un foro que permita impulsar a los profesionales canarios.

Figura 1: Apoya a tu CON-Munidad y a sus Fundadores.

Ahora toca la Hackr0n el 15 de Mayo.

Pensé en lo afortunados que son todos aquellos que viven en alguna región donde un loco, o varios locos, deciden meterse en el trabajo ingente que es hacer una CON. No, no se hacen ricos. No es un camino fácil. No hay grandes patrocinadores. No es un gran negocio de venta de entradas. De hecho, saldar los gastos suele ser algo que cuesta conseguir en todas esas CON pequeñas, donde viajes, hoteles, promoción, cartelería, auditorios, impuestos, etcétera, hace que estos locos fundadores pioneros se dejen mucha vida en conseguir su locura: "Que mi ciudad tenga una CON de primer nivel mundial".

Figura 2: Hackron "Invaders must die" en Santa Cruz de Tenerife

Cuando yo era joven, esto aún no existía, y conseguir aprender cosas de los mejores era muy difícil. Esto nos hacía perores profesionales. Nos obligaba a salir al mundo con menos conocimientos. Hoy, por suerte, con Internet y con las CONs hay muchas más posibilidades de acceder a ese conocimiento, pero las CONs te dan mucho más.

Hacen que las empresas locales tengan visibilidad, esas empresas en tu ciudad donde si no quieres tener que emigrar para tener un buen trabajo debes encontrar trabajo. Así que les debe ir bien a las empresas locales para que tengas más oportunidades.

Las CONs dan siempre visibilidad al talento local. Jóvenes que aparece en sus primeras charlas como carta de presentación de su futuro profesional. Un trampolín para ellos.

Las CONs locales son un lugar para coordinar personas, profesionales, empresas, para estar unidos ante situaciones que puedan surgir, como la construcción de proyectos internacionales con financiación Europea que necesitan de la colaboración de un gran ecosistema.

Pero es que también son un lugar de aprendizaje con las conexiones inesperadas que surgen en los cafés con los asistentes. Personas que anónimas que yo he ido conociendo a lo largo de mis 25 años de dar conferencias y que me han enriquecido. Que he hecho proyectos con ellos. Que me han enseñado, guiado y hecho ser mejor profesional.

Las CONs son un lugar para que encuentres trabajo, socios, proyectos de emprendimiento, ideas, amigos, un lugar de pertenencia donde los más veteranos te pueden dar experiencia, consejos, ideas o apoyo en tu vida profesional.

El círculo virtuoso de las economías crecientes se basa en la existencia de un ecosistema, y las CONs son una pieza fundamental en el ecosistema tecnológico de ciberseguridad en cada ciudad o región donde están. Ir a una CON es apoyarte a ti. Es hacer que tu carrera profesional esté mejor valorada, que tenga más oportunidades, y que tenga más progresión en tu ciudad o tu región.

Esa CON pequeña donde van 100 o 200 personas tiene un valor incalculable para la región. La administración, las empresas y los profesionales deben volcarse en ella. Apoyar a esos locos como Igor Lukic - por ser la CON más reciente que tenemos ahora - a que crezca. A que sea un punto de atracción nacional o mundial. A que cada año tenga más fuerza y sea más grande.

Figura 3: Igor Lukic, organizador y fundador de Hackron

Y puedes colaborar de muchas formas. Yendo, por supuesto como asistente, pero también colaborando como voluntario, difundiendo que en tu ciudad hay una CON - siéntete orgulloso de eso y promociónalo en todas las redes sociales - comparte que vas a asistir, invita a gente a que vaya. Si eres un profesional, intenta dar una conferencia o un curso, haz un taller, u ofrécete para hacer cobertura del trabajo en tu blog, en tu canal de Youtube o TikTok de lo que allí pasa.

Figura 4: 60 € tu entrada. Y si quieres estar con los los ponentes,

y en las core de la CON puedes estar con una entrada VIP.

Suscríbete a los canales de tu CON, haz que su X, Instagram, Linkedin o Youtube sea grande. Ofrécete a colaborar. Si eres una empresa de la región de tecnología, y no estás allí, mal. Si no apoyas a la CON de tu ciudad mal. Manda a tus empleados a la CON. Y si eres un medio de comunicación de la región y no sacas la CON con orgullo, mal para ti también. Si el ecosistema crece, beneficia a todos. Jovenes bien formados implican nuevas empresas, nuevas empresas implican menor paro, más oportunidades, y una economía más floreciente.

Figura 5: Canjear un código del 20% en MyPublicInbox de

6 € por 300 Tempos. Así que si tienes Tempos, aprovéchalos.

Y por supuesto, la Administración Pública también debería ser un motor de crecimiento de las CONs, especialmente con la llegada de la disrupción laboral que estamos viendo en las empresas con la llegada masiva de la IA. Así que todos a una.

Yo estuve en los inicios de la RootedCON en Madrid - anteriormente a eso hacía mis eventos por España con la Gira Up To Secure - y desde el día uno les dije que podían contar con mi espada. Mientras la RootedCON se haga en Madrid, yo estaré el primero apoyando ahí con mi presencia, dando mi charla y promocionándola por todo el mundo. La siento como mi casa, y hacer que la CON de Madrid (y de España) sea grande, sé que es bueno para todos.

Figura 6: Contactar con la organización de Hackron

Así que todos los que estéis en las Islas Canarias, o seáis canarios, deberíais hacer que la Hackr0n sea un emblema que importe profesionales, asistentes y ponentes por la fuerza que ha traído, que las empresas que están allí hagan proyectos grandes por todo el mundo, y que nuestra profesión sea un foco de riqueza en la región. Si no tienes tu entrada de la Hackr0n ya, cómpralo, y apoyemos a Igor Lukic - y a todos los fundadores de las CONs en sus regiones - para que no se cansen, y sigan metiéndose en el lío que es hacer una CON de hackers. Esos locos son los que cambian las cosas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Mind-Refactoring para Ejecutivos, Ingenieros y Técnicos: La gestión del MIEDO a ser reemplazado por la Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Sat, 02 May 2026 05:01:00 +0000

Si eres un/a profesional que estás en la fase de ansiedad por la irrupción de la Inteligencia Artificial entonces esto es para ti. Si no es tu caso, seguramente conozcas a alguien que esté pasando por esto, ¿verdad? Hoy en día es una "plaga". Pero déjame que me presente primero. Me llamo Mónica Manrique, y a pesar de haberme licenciado como Psicóloga del Trabajo y las Organizaciones pronto dejé los recursos humanos y abrí mi propia consulta clínica. Estoy colegiada y habilitada como Psicóloga General Sanitaria, actividad que compagino siendo formadora y divulgadora. Y por si entiendes un poco de este mundo nuestros, yo utilizo dos metodologías terapéuticas no patológizantes, como son la Terapia Breve Estratégica y la Terapia de Familia Interna (IFS).

Figura 1: Mind-Refactoring para Ejecutivos, Ingenieros y Técnicos.

La gestión del MIEDO a ser reemplazado por la Inteligencia Artificial

Durante todo este tiempo me he seguido formando y he tenido acceso a cientos de ventanas - una por paciente - a diferentes empresas e instituciones. Siempre con la sensación de que el cambio y la incertidumbre han ido cada vez a más, pero ahora ese cambio se antoja exponencial y la incertidumbre ha dado paso al vértigo o la negación, algo que está siendo una avalancha en cada una de las "ventanas" a las que me asomo en mi profesión.

Ya que os contado algo de mi formación y mi profesión, dejadme que os cuente por qué mi interés en la parte tecnológica y los profesionales que trabajan cerca de ella, que si no, no estaría escribiendo esto aquí. Y es que tengo tres hijas con un Ingeniero Informático con un Máster en Inteligencia Artificial. Además, durante más de una década, cada vez que Richard Stallman pasaba por Madrid se quedaba en mi casa. La historia de por qué y las anécdotas que os podría contar dan para otro post.

Figura 2: Hola, soy Mónica Manrique

Hoy solo contaros que, hace un tiempo, me encontré comiendo con Richard Stallman, Chema Alonso y Takanori Shibata (y su robot Paro y su traductor). Me hacía gracia pensar en cómo un lunes cualquiera, sin haberlo planeado, me encontraba en esa situación. Bueno, la psicología marida bien con todo, pensé. A fin de cuentas, el software, la inteligencia artificial, la robótica, etcétera, todo está hecho por y para seres humanos.

Ya por aquel entonces me chirriaba la enorme cantidad de recursos invertidos en la inteligencia artificial y la falta de ellos en el fomento de la inteligencia emocional y la salud mental en general. Poniendo en relación ambos términos pienso que como especie hemos mordido más de lo que podemos masticar.

Centrándonos en el "Ahora" del sector tecnológico

En los últimos tiempos, tanto en consulta como fuera de ella, estoy viendo como las personas de un perfil profesional técnico y tecnológico estáis atravesando tiempos complicados que están poniendo en jaque vuestra salud mental, y el equilibrio tan necesario para el desempeño de vuestro trabajo. Y parece que no son solo un percepción sesgada por la alta conexión con el mundo tecnológico que tengo. Las investigaciones más recientes (2024-2026) muestran que el perfil tecnológico, antes considerado "invulnerable", está atravesando una etapa de profundo cambio.

Aunque el mercado se había estabilizado tras los despidos masivos de 2024, han surgido nuevos temores vinculados a la identidad profesional y la salud mental. Basándome en informes de la American Psychological Association (APA), el World Economic Forum 2025 y barómetros sectoriales de 2026, estos son los principales miedos detectados en los profesionales del sector tecnológico:

1. El Miedo a la "Invisibilidad" y a ser sustituido por IA

A diferencia de años anteriores donde el miedo era la automatización total, la preocupación actual es más sutil pero sigue preocupando por:

La devaluación de sus habilidades: 40% de los trabajadores teme que la IA haga que sus habilidades actuales sean irrelevantes.

La barrera del "Junior": existe un miedo real entre quienes comienzan; las empresas están automatizando tareas de nivel entrada, lo que dificulta que los perfiles noveles ganen la experiencia necesaria para ascender. El 46% de los trabajadores cree que los puestos de nivel inicial podrían reducirse en los próximos tres años como consecuencia del avance de la IA.

Manteniéndose el miedo al reemplazo: una encuesta de BCG revela que aproximadamente el 49% de quienes usan herramientas de IA expresan preocupación por el posible desplazamiento laboral en la próxima década.

2. Miedo a la obsolescencia de habilidades.

El ritmo de actualización exigido es ahora una fuente primaria de estrés. La situación actual de los profesionales del sector tecnológico se la explica muy bien La Reina Roja a "Alicia en a través del espejo", de Lewis Carroll: "Aquí, como ves, hace falta correr todo cuanto una pueda para permanecer en el mismo sitio. Si se quiere llegar a otra parte hay que correr por lo menos dos veces más rápido".

Investigaciones de 2025 indican que el 39% de las competencias básicas de un trabajador tecnológico cambiarán para 2030. Esto genera un miedo constante a no poder seguir el ritmo de aprendizaje mientras se mantiene la productividad.

El 62% de los trabajadores afirma haber experimentado más cambios en el trabajo en el último año que en los 12 meses previos, y el 44% no comprende el propósito de los cambios que están teniendo lugar.

En ciberseguridad, por ejemplo, el 95% de los profesionales reportaron al menos una necesidad dehabilidades, y el 59% identificó necesidades críticas o significativas, un aumento del 15% respecto a 2024. El 48% se siente agotado por intentar mantenerse al día con las últimas amenazas de ciberseguridad y tecnologías emergentes, y el 47% dice sentirse abrumado por su carga de trabajo.

3. Crisis de Salud Mental

El perfil tecnológico presenta hoy un riesgo de depresión hasta 5 veces mayor que otros sectores, según estudios de marzo de 2026. Otros riesgos y problemáticas relevantes son:

Fatiga de ciberseguridad: en perfiles de infraestructura y seguridad, el miedo al "error catastrófico" bajo vigilancia constante ha derivado en lo que los investigadores llaman burnout por alerta. En este ámbito la situación es especialmente grave: los trabajadores perdieron 4,8 horas por semana a causa del estrés y el agotamiento en 2025, un incremento de más del 25% respecto a 2024.

El Síndrome del Impostor 2.0: Al trabajar con sistemas cada vez más complejos, aumenta la percepción de "no saber lo suficiente", a pesar de tener años de experiencia.

Deshumanización del rol: Con la IA generativa, muchos sienten que han pasado de ser "creadores de soluciones" a ser "apéndices de un modelo de lenguaje", lo que reduce el sentido de autoeficiencia y desemboca en una crisis de identidad profesional.

Aislamiento en el trabajo remoto: La falta de conexión orgánica con equipos genera una pérdida de soporte social, esencial para la regulación emocional.

Obsolescencia acelerada: El sentimiento de que sus conocimientos caducan cada 6 meses. Esto genera una vigilancia cognitiva constante.

Sobrecarga cognitiva: La multitarea técnica y el cambio de contexto (context switching) agotan las funciones ejecutivas.

Burnout: Según estudios de ISACA (2025), el 73% de los profesionales IT en Europa sufren burnout. Cultura de disponibilidad total: El modelo de "siempre conectado" ha derivado en una erosión del descanso, incrementando síntomas de ansiedad y depresión.

4. Mind-Refactoring

Haciendo un esfuerzo por hablar vuestro idioma, podría decir que para solucionar un bug en producción, no basta con reiniciar el servidor. Hay que hacer un refactoring del código. Por eso con mis "ventanas", trabajo con cada uno de ellos en con un programa concreto de Mind-Refactoring no es una terapia de "charla vacía"; es una intervención estratégica personalizada, estructurada en ocho sesiones online con frecuencia semanal y con pequeñas tareas entre sesiones centrada en la especial situación que están viviendo las personas que desarrollan su actividad profesional y se ven afectadas por estos síntomas que os he descrito anteriormente.

Figura 3: Programa de Mind-Refactoring

Ten presente que sólo se trata de una propuesta genérica orientativa. Cada persona tenemos nuestro contexto específico y nuestros propios objetivos, así que como cada uno debo establecer un ritmo propio personal, así como el grado de profundidad al que está dispuesto a llegar en su auto-conocimiento y cambios a realizar. En este programa tú mandas y todo lo que digas en consulta será utilizado a tu favor. Yo estaré a tu lado guiando y facilitándote el proceso.

Figura 4: Metodología de trabajo

Como ya he dicho utilizo un a metodología que se aleja de las etiquetas diagnósticas y se centra en las soluciones:

IFS (Internal Family Systems): Para entender la arquitectura de tus “partes internas” (por ejemplo, el "Manager" perfeccionista y crítico) o el "Bombero, apaga fuegos" que evade con alcohol, porno, atracones, ira desmesurada,etc.).

TBE (Terapia Breve Estratégica): Para romper los bucles de conducta disfuncionales mediante soluciones que hackean la percepción del problema y potencian las conductas, actitudes y enfoques que te acercan más a tus objetivos.

La Hoja de Ruta (Roadmap) del programa Mind-Refactoring:

Reconfigurar la arquitectura interna de una persona para conseguir acciones que lleven a una ejecución estratégica lo hacemos juntos integrando las partes del sistema interno (IFS) con la eficacia de la acción estratégica (TBE). Y para eso, trabajamos en un Project Plan similar al que se usa en el mundo tecnológico.

Figura 5: Programa Mind-Refactoring

Fase I: Auditoría del Sistema y Detección de Fallos

Identificación de "Bugs" Conductuales (TBE): Análisis de las soluciones intentadas disfuncionales que mantienen el problema (ej: la sobre-preparación que alimenta el Síndrome del Impostor, perfeccionismo que termina por bloquear).

Mapeo de la Arquitectura Interna (IFS): Identificación de las partes internas protectoras (el "Manager" perfeccionista, el "Bombero" que busca evasión) que se activan bajo presión. Sin olvidarnos de los exiliados (la raíz). Son las “partes” mas jóvenes y vulnerables. Cargan con el trauma el rechazo o la vergüenza. Los tenemos escondidos en el sótano para no sentir dolor.

Establecimiento de KPIs de Bienestar: Definición de objetivos de cambio medibles en la conducta externa.

Fase II: Refactorización y Debugging

Intervención en el Bucle (TBE): Prescripciones estratégicas para romper círculos viciosos. Reparación de Partes Exiliadas (IFS): Trabajo profundo con las vulnerabilidades que generan reactividad emocional.

Optimización de la Respuesta Externa: Entrenamiento en comunicación estratégica y toma de decisiones.

Fase III: Evaluación del proceso en función de los objetivos y cierre, o no.

Chequeo de los objetivos: alcanzados, no alcanzados y en proceso.

Conclusiones: Recapitulación y afianzamiento de cambios.

Iteración personal: Cierre del proceso psicoterapéutico o establecimiento de nuevos objetivos.

Conclusión:

Si cuidas tus claves PGP, auditas tus servidores y no instalas dependencias sospechosas, no deberías dejar tu salud mental sin fortificar y mantener. Si eres de los que están sufriendo esos síntomas, y no lo estás pasando bien, si estás detectando alertas en tu log del sistema, no estás sólo. No te está pasando sólo a ti, y si necesitas un poco de ayuda y asesoramiento, abre un "ticket". No esperes al Kernel Panic.

El desarrollo personal y el profesional son inseparables, y tú necesitas estar bien para rendir en tu trabajo, así que no entres en un círculo negativo. Si te interesa invertir en salud mental, rendimiento y bienestar y piensas que mi experiencia y mi trabajo te puede ayudar, puedes saber más sobre mí y conocer más en profundidad cómo trabajamos juntos en mi web.

Figura 6: Web de Mónica Manrique: Psicóloga & Psicoterápia

El tiempo que tengo es finito, pero trabajamos juntos de manera personal sin hacer derivaciones a otros miembros de mi equipo (porque no existen) así que mi tiempo es limitado. Si piensas que yo puedo ayudare, te prometo que intentaré hacerte un hueco con el tiempo que tenga, que soy muy sensible a esta situación que están viviendo los profesionales de este sector, grandes directivos, managers de ingenieros, y técnicos seniors, de gran valía a los que ha costado mucho esfuerzo de formación desarrollar su carrera.

Autora: Monica Manrique

Contactar con Monica Manrique

Charla en Futurenet World & Entrevista En Casa de Herrero

noreply@blogger.com (Chema Alonso) — Fri, 01 May 2026 05:01:00 +0000

Hoy es día 1 de Mayo, el día internacional del trabajador. Y yo sigo mi costumbre de ocuparme de publicar todos los días, así que hoy no iba a faltar el post. Eso sí, para hoy estuve ayer subiendo algunos vídeos que tenía pendientes de almacenar en mi Canal de Youtube, así que hoy sólo os aviso de ello, y os los dejo por aquí.

Figura 1: Charla en Futurenet World

& Entrevista En Casa de Herrero

El primero de ellos es la entrevista que me hizo mi querido Luis Herrero, que en poco más de veinte minutos, a toda pastilla, grabamos un conversación sobre todos los temas que de actualidad personal, profesional y sobre el mundo de la Inteligencia Artificial.

Figura 2: Entrevista de Luis Herrero a Chema Alonso

El segundo de ellos es la última conferencia que di en Londres. También de poco más de veinte minutos en la que hice un pequeño resumen de las charlas que doy yo sobre Hacking e Inteligencia Artificial, eso sí, en inglés cono mi acento de "Spaniard".

Figura 3: Chema Alonso at Futurenet World 2026

Y poco más, que hoy es día de fiesta para todos, y yo pienso, por lo menos, leer el libro que acabo de comenzar de "En la Arena Estelar".

PD; Como bonus track he subido también, que la tenía que cortar, la charla que impartí en el MWC 2025, que la tengo mucho cariño. Por si quieres verla también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Bug Hunting and Vibe-Exploiting en 86-DOS "High-performance operating system for the 8086" version 1.00 del 04/28/81

noreply@blogger.com (Chema Alonso) — Thu, 30 Apr 2026 04:18:00 +0000

Hace un par de días, coincidiendo con el 45 aniversario de su creación, Tim Paterson ha puesto en GitHub el código fuente en abierto de varias versiones de nuestro querido DOS, para que los amantes del retro-computing puedan analizarlo, utilizarlo, mejorarlo, o construir cosas nuevas. Entre ellas está el código del 86-DOS "High-performance operating system for the 8086" version 1.00 del 04/28/81, una joya. Quiero agradecer a Tim Paterson que haya compartido esta maravilla de nuestra historia para poder estudiarlo, quererlo y seguir dándole continuidad.

Figura 1: Bug Hunting and Vibe-Exploiting en 86-DOS

"High-performance operating system for the 8086"

version 1.00 del 04/28/81

La gracia del mundo en que vivimos hoy en día, es que, gracias a la irrupción de la Inteligencia Artificial, se puede hacer Bug Hunting para encontrar bugs y explotarlos simplemente pidiéndole esto al modelo. De esto os hablé en el artículo de "Cómo usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source", que os invito a leer, así como compraros el libro de "Bug Hunter" (hoy lo tienes con descuento aún).

Figura 2:"Bug Hunter" escrito por David Padilla en 0xWord

Como oso podéis imaginar, como puro entretenimiento, y experimento, le pedí a Gemini Thinking que analizara el código de la versión 86-DOS publicada en GitHub, para ver qué vulnerabilities podía encontrar y de eso va este artículo de hoy.

Figura 3: Código fuente en ASM de 80-DOS_1.00

El resultado tras pasarle el código es que Gemini ha reportado 6 Bugs en el código Ensambalador (ASM) de esta versión 86-DOS, que os paso a dejar por aquí. Y mola mucho lo bien explicados que están cada uno de ellos.

Figura 4: Arbitrary Memory Overwrite

Además, como os conté en el artículo de "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron" hoy en día es posible utilizar también a los modelos de IA para la fase de creación del exploit, así que le he pedido que me haga una PoC de cómo explotar cada uno de ellos. Así que le he pedido un poco de Vibe-Exploiting.

Figura 5: PoC de Exploit para el bug 1

Por supuesto, en esta versión de DOS no hay DEP, ASLR o Privilegios de CPU, que tienen los sistemas operativos Windows hoy en día - Máxima Seguridad en Windows lo explica perfectamente - pero es que aún faltaban muchos hackers haciendo exploits de Smashing the Stack, y por supuesto las vulnerabilidades como Spectre, Meltdown o GhostRace a bajo nivel.

Figura 6: Information Leakage en el nombre de un fichero a copiar

Explotar estas vulnerabilidades es bastante sencillo sin tener que conseguir evitar las protecciones de hoy en día, así que este Information Leakage se basa en poner nombres largos y ver qué datos de la memoria se consiguen, como vemos aquí.

Figura 7: Explotación del bug #2

En total, como os he dicho son seis, y cada uno de ellos es distinto, lo que hace aún más bonito este ejercicio teórico, ya que de todos ellos se aprende algo diferente.

Figura 8: Missing Directory Entry Validation

En este caso no nos ha hecho el exploit, porque lo que hay que hacer es una explotación modificando los bytes del disco a bajo nivel, con un editor hexadecimal sin pasar por las herramientas de gestión de ficheros el sistema operativo.

Figura 9: Explotación del bug #4

El siguiente es un ejemplo de cómo hay direcciones importantes del sistema operativo que pueden ser sobrescritas para tomar el control del flujo de ejecución del sistema operativo.

Figura 10: Lack of Interrupt Vector Protection

Esto es un fallo que permite a un malware tomar control de esas direcciones de memoria y ejecutar un software malicioso, como un rootkit que troyanice todo el sistema operativo. Esto es por lo que se crearon los sistemas de arranque seguros con los TPM (Trusted Platform Modules).

Figura 11: Explotación con secuestro de interrupcion

El penúltimo de los bugs reportados es la posibilidad de poder corromper el sistema de archivos FAT de un disco con un puntero a un cluster malicioso, como se explica en la imagen siguiente.

Figura 12: Fat Corruption via Malicious Cluster Pointer

Y para explotarlo, aquí tienes un ejemplo en forma de snippet de código para meter dentro de un programa que lo ejecute y corrompa la FAT.

Figura 13: Snippet de código para explotarlo

Y la última vulnerabilidad es un bug que permite una Denegación de Servicio (DoS) que puede crashear el sistema operativo y obligar al reinicio de la máquina.

Figura 14: Stack Exhaustion

El problema es la gestión de la pila (stack) del sistema y para meter un puntero a la base de la pila que genera una re-escritura de los registros y colapsa cuando intenta volver de la llamada, porque está sobre-escrita la dirección de retorno.

Figura 15: Exploit genera un bucle con la INT 21h

El uso de buscar vulnerabilidades con IA es algo de lo que ya os hablé en el libro de Hacking y Pentesting con Inteligencia Artificial, y por supuesto es parte fundamental del trabajo de Bug Hunter que David Padilla ha publicado.

Figura 16: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)