Indirect Prompt Injection en Perplexity Comet para atacar tu Stripe y el riesgo de los AI-First Web Browsers con ChatGPT Atlas 7:35 AM (2 hours ago)
Antes de ayer salía el anuncio de ChatGPT Atlas, el nuevo AI-First Web Browser de OpenAI. Basado en Agentic AI actions, siguiendo la estela de Perplexity Comet. Al mismo tiempo, se publicaba una nueva PoC de un Indirect Prompt Injection en Perplexity Comet que permitía cargarse todas las suscripciones en Stripe de una compañía, publicada por Eito Miyamura.
Y digo que es el segundo Indirect Prompt Injection en Perplexity Comet, porque ya tuvimos una PoC de cómo robar con un Indirect Prompt Injection en Perplexity Comet la mismísima cuenta de Perplexity, pero podría haber sido al de cualquier otro servicio online conectado a la cuenta de Gmail con la que tuvieras iniciada sesión en Perplexity Comet.
En este caso, la PoC de Indirect Prompt Injection en Perplexity Comet para atacar tu Stripe es similar, pero en lugar de lanzarse desde el resumen de una página web, como era el caso anterior, lo hace desde un invitación de calendario que no debe ni de ser aceptada.
La gracia es que haciendo una comprobación del Invite, si le dejas a Perplexity que te ayude a preparar la reunión, y dices que sí, se lanza el ataque de Prompt Injecion oculto den los detalles de la convocatoria.
Una vez que se diga que sí, lo que hace el ataque de Prompt Injeciton que se oculta en los detalles de la invitación al evento, es conectarse a la cuenta de Stripe asociada al navegador de Perplexity Comet, y comenzar a borrar las suscripciones de los clientes.
Este proceso se realiza una a una con todas y cada una de las suscripciones que hubiera logrado esa empresa, dejándola sin poder cobrar ese mes a sus clientes. Solo por haber usado Perplexity Comet para ayudar a preparar una reunión.
El resultado final es que la cuenta de Stripe se queda como podéis ver, totalmente pelada. La organización ha perdido todas las suscripciones, y tocará recrear todo este trabajo, que ha sido ejecutado automáticamente por el Agentic AI de tu Perplexity Comet.
Vamos, que podría haber hecho cualquier otra cosa en tu cuenta de Stripe, y si tienes concedido derechos de pago a tu Agentic AI de Perplexity Comet te podría haber robado todo el dinero. Un auténtico "Show me the (e-)money".
 |
| Figura 8: Show me the (e-)money. Hacking a sistemas de pagos digitales por Salvador Mendoza (Netxing) |
Al final, este tipo de ataques basados en AI-First Web Browsers va a ser muy común hasta que esta tecnología sea segura. Y va a pasar aún un tiempo. Para que os hagáis una idea, en el Bug Bounty de OpenAI para sus productos, la parte que tiene que ver con Prompt Injection / Jailbreak, así como todo lo que tiene que ver con Hallucinations, está fuera de objetivo.
Es decir, ya se sabe que estas tecnologías adolecen por diseño de seguridad, y por eso estamos teniendo tantos problemas de seguridad explotable en todas las plataformas que están haciendo uso de ellos, como vimos en:
- EchoLeak: Un Cross Prompt Injection Attack (XPIA) para Microsoft Office 365 Copilot
- Google Gemini para Gmail: Cross-Domain Prompt Injection Attack (XPIA) para hacer Phishing
- Hacking Gitlab Duo: Remote Prompt Injection, Malicious Prompt Smuggling, Client-Side Attacks & Private Code Stealing
- Hacking IA: Indirect Prompt Injection en Perplexity Comet
- ShadowLeak Attack para Agentes IA de Deep Research en ChatGPT
- ForcedLeak: Indired Prompt Injection en Salesforce AgentForce
- AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados
OpenAI Atlas AI-First Web Browser
Pero es que ChatGPT Atlas, sucede lo mismo, y si miramos el texto de la publicación de ChatGPT Atlas AI-First Web Browser tenemos un disclaimer como el que podéis ver en la imagen siguiente, que, traducido al Español para que se entienda claramente es lo que antes sería un gran problema de seguridad.
Pero hemos pasado de recomendarle a los usuarios que naveguen con usuarios No Administradores de la máquina, a poner en sus manos AI First Web Browsers que tienen acceso y control a toda tu vida digital, incluidas tus cuentas bancarias si les dejas. Mi recomendación por ahora... no lo hagas.
Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
TRON: Los juegos de TRON en el Siglo XX para que juegues online con las motos, los discos y los tanques. EOL. 21 Oct 11:32 PM (yesterday, 11:32 pm)
El otro día os dejé la historia de TRON a través de películas, series, cómics y videojuegos, pero hay otra serie de videojuegos, con menos historia, y centrados solo en el entretenimiento, que se han creado a la largo de la historia para diferentes consolas y plataformas, muchos de ellos se pueden jugar online, así que os los dejo para que veáis cómo ha evolucionado el mundo de de los gamers a lo largo de la historia de la tecnología.
Figura 1: TRON: Los juegos de TRON en el Siglo XX para que juegues
online con las motos, los discos y los tanques. EOL.
He estado buscado por las webs de juegos clásicos un rato, y jugando algunas partidas. Y he aprovechado el vídeo de VideoGame Classics (suscribíos al canal que merece la pena si te gustan los juegos clásicos), que aunque no está completo, sí que tiene muchos de los juegos de la historia de TRON.
TRON ARCADE (1982)
El primero, es la máquina Arcade de TRON - que yo no tengo en mi máquina de arcade y que tengo que buscar a ver si lo consigo instalar - pero puedes jugar a él online en esta web: Classics Games Arcade TRON
En este juego tienes que matar a los Bugs del Grid con tu Identity Disk, tienes que competir con las Cycles de luz, luchar contra los tanques o pelear contra el malvado Master Command Program (MCP). Todo basado en la película original.
TRON TOMY TRONIC (1982)
Esta es una máquina, igual que mi Galaxy Invaders 1000 hecha por TOMYTRONIC en 1982. Puedes jugar al emulador online y ver cómo era la maquina, que es preciosa. Tanto que creo que no me voy a resistir a comprarme una.
Figura 3: TRON 1982 maquinita de TOMYTRONIC
Así de molona es la maquina que TOMYTRONIC hizo de TRON en 1982, no me digas que no es una chulada. Conseguirla debe ser curioso. Voy a ello...
TRON: Maze-a-Tron (1981)
Este es un juego creado para la consola de cartuchos de INTELLIVISON. Una cosa super-retro, pero que puedes ver online en the Internet Archive. Si tienes esta consola y este cartucho... seguro que tienes una joya clásica.
En este juego, vas por dentro de los circuitos del sistema, esquivando los tanques, los bugs, y buscando acabar con el malvado MCP.
TRON: Deadly-Discs (1982)
Como podéis ver, TRON fue un fenómeno de ventas cuando salió en el mundo de los videojuegos, y se hizo esta versión en cartuchos para ATARI 2600 e INTELLIVISION del clásico combate con Identity Disks.
Figura 6: TRON: Deadly-Discs (1982)
Para jugar, muy sencillo, cursores para moverte y espacio para lanzar tu Identity Disk. Puedes jugar en esta URL: TRON: Deadly-Discs (1982)
TRON: Discs-of-Tron (1983)
Y otra nueva versión del combate con los Identity Disks, en este caso para máquina Arcade, que puedes jugar también en tu XBOX360.
Figura 7: Discs-of-TRON play online
TRON: Adventures of TRON (1983)
Un nuevo juego de cartuchos para Atari 2600. Un juego de plataformas moviéndote por diferentes niveles dentro del Grid. Podría ser casi cualquier cosa.
TRON: Solar Sailer (1983)
Esta versión del juego no la he podido encontrar online, pero sí que está las ROM publicadas en muchas páginas web. Un juego curioso sobre las aventuras dentro del Grid. Fue creado para Intellivision.
Figura 9: TRON Solar Sailer
TRON: Light Cycles (1992)Basado en la carrera de las motos de luz, un juego para MS-DOS en 1992. No es lo mejor que hay en el mundo, pero puedes jugar con él.
TRON: Super-Tron (1997)
Evolución de la anterior versión. La puedes disfrutar Online en muchas webs. Aquí mismo la tienes: Super Tron Play Online DOS 1997.
Figura 11: SuperTron Online
Por último, os dejo este TRON Arcade hecho en Flash que no tiene atribución, pero que puedes jugar fácilmente. Usa el espacio para empezar, y las teclas para mover tu Light Cycle (el de la derecha es el tuyo.
En el Siglo XXI tenemos otros tipos de juegos de TRON, más pensados en la narrativa - aunque también tendremos algún Arcade centrado solo en los juegos de la saga. En otro artículo os los dejo.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
WhatsApp Forensics: El time-line de los mensajes de "View Once "en WhatsApp Desktop (Incluso en los chats que desaparecen) 20 Oct 9:01 PM (2 days ago)
Hace ya tiempo que os hablé de cómo revisar los mensajes de seguridad de WhatsApp para poder extraer algo de información de personas y números de teléfonos de contactos que tienes en WhatsApp. Son mensajes de cambio de claves que te pueden dar información útil sobre cómo la otra persona al otro lado del número de teléfono se comporta, si cambia de terminal, etcétera. Os lo dejé en el artículo "La alerta de que cambiaste de smartphone que filtra tu WhatsApp", y hoy os quería dejar otros mensajes que también tienes que tener en cuenta, en este caso relativos a los mensaje de "View-Once" o de ver sólo una vez, o escuchar sólo una vez.
Si estás investigando para hacer un forense a un terminal en el que está instalado WhatsApp, no te vas a encontrar por defecto los mensajes que desaparecen, y tampoco los borrados ni los que se enviaron para ser consumidos una sola vez, los famosos "View-Once".
Figura 2: WhatsApp INT: OSINT en WhatsApp.
Nuevo libro de Luis Márquez en 0xWord.
Sin embargo, estos mensajes dejan un curioso rastro si la cuenta objetivo tiene abierta una sesión en WhatsApp Desktop o WhatsApp Web. Esto lo puedes ver en las Settings de la app de WhatsApp, concretamente en la sección de "Linked Devices".
Figura 3: Linked Devices en WhatsApp
En la imagen anterior se ve que hay una sesión enlazada con un macOS, lo que indica claramente que hay un WhatsApp Desktop por ahí que, si estás haciendo un análisis forense de la app de WhatsApp, probablemente te pueda dar más información.
Figura 4: Chat con mensajes que desaparecen a las 24 horas
Y es que, los mensajes de View-Once dejan un rastro en WhatsApp Desktop en forma de mensajes de advertencia que indican que no pueden ser abiertos en este cliente de la app. Esto es debido a que utilizan cifrado extremo a extremo y solo se pueden ver en la app. Así que, si el mensaje ha sido escuchado o visto, ya sea en un chat normal o en un chat que elimina los mensajes a las 24 horas. Queda un registro de cuándo exactamente se ha recibido ese mensaje, como podéis ver en la imagen siguiente.
Figura 5: Mensajes de que en una fecha y una hora se ha recibido
un mensaje de "View-Once" en ese chat concreto con esa persona.
No te permite saber qué mensaje se recibió, o si era de imagen, vídeo o audio, pero sí que hubo comunicación en una determinada fecha y a una determinada hora entre dos personas.
Así que, algo que podría parece una medida extra de seguridad, se convierte en un "leak" de privacidad que permite investigar a una persona con un análisis forense de un terminal, y si estás haciendo una investigación del WhatsApp, debes asegurarte de cuáles son los "Linked Devices" e irte a ellos, que puede que te den información jugosa.
Figura 7: Mensaje de "View-Once" enviado y eliminado por el emisor
Como curiosidad, como se puede ver en la imagen anterior, si se envía en un Chat de Auto-Borrado de mensajes un mensaje de View-Once y luego el emisor decide eliminarlo, aún queda el registro de que esto ha sucedido, como se puede ver en la imagen anterior.
Figura 8: Mensajes firmados para verificar
Y por supuesto, puedes validar quién lo envío y desde que dispositivo lo envío, verificando el "Security Code" con el que se firmó ese mensaje, así que puedes tener mucha información de qué paso, quién lo hizo, a qué hora, y desde qué terminal en concreto.
Figura 9: Security Code de quién envió el mensaje de View-Once
y borró el mensaje en un grupo de WhatsApp de mensajes con Auto-borrado
Al final es un "leak" pero si alguien está teniendo un Chat de WhatsApp con:
- Auto-borrado de mensajes
- Mensajes de View-Once
- Eliminando el mensaje antes de que se procese
Tal vez no espera que WhatsApp deje guardado por ahí este registro.
Figura 10: Verificación del Security Code del mensaje borrado
Así que, si te toca hacer un informe forense de un terminal móvil, te encuentras con WhatsApp, y en él hay "Linked Devices", yo que tú iría a buscar lo que se encuentra en esos WhatsApp Web o WhatsApp Desktop que puede que te encuentres información jugosa que resuelva el misterio.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
TRON: La historia a través de las películas, series, vídeo juegos y cómics 19 Oct 9:01 PM (3 days ago)
Con el anuncio de TRON Ares, se ha despertado en mí unas ganas de volver a revivir toda mi infancia viéndome todas las películas, la serie, leyendo de nuevo los cómics, y siguiendo las diferentes historias contadas a través de los vídeo juegos. Estas últimas dos semanas he estado muy metido en el mundo de TRON, y voy a aprovecha a dejaros por aquí un artículo para que puedas seguir el orden cronológico de la historia, y, si quieres, engancharte tu también.
Figura 1:TRON - La historia a través de las películas, series, vídeo juegos y cómics
Veréis que a lo largo del artículo mezclaré Películas, Series, Videojuegos, y Cómics, para que puedas entender toda la trama bien.
TRON (1982) - Película
Es el origen de todo. La película en la que se narra toda la historia original. En este caso, Flynn está intentando recuperar la compañía, controlada por Dillinger, que ha utilizado al malévolo Master Control Program (MCP) para quitarle la compañía a Flynn robándole la autoría de los juegos.
Figura 2: Trailer de TRON oficial en inglés
Flynn crea su programa CLU 1.0 (Codified Likeness Utility) para intentar hackear el sistema y llevarse los códigos, pero es detectado. Cuando intenta ejecutar la nueva versión, ayudado por el programa TRON de su amigo Alan, se ve digitalizado dentro del sistema, así que TRON y Flynn deben vender al MCP.
Para ello deben deben vivir dentro del sistema mil aventuras, y conseguir que TRON, levantando su Identity Disk desde la torre de comunicaciones, contacte con Alan para extraer el fichero con las pruebas que tumben a Dillinger.
Figura 4: Tron (1982) Trailer oficial en Español
Por supuesto, al estética creada en esta película, que puedes ver en Disney, marcó el futuro de la saga, pero especialmente sus motos, y los juegos de disco, los tanques, y las naves de exploración para controlar la GRID donde viven los programas, dieron lugar a muchos juegos clásicos, pero sin trama de impacto en la saga como otros que vamos a ver. Por cierto, puedes comprar la película de TRON en BluRay antes de que se te escape, que es una joya de colección única y el maravilloso libro de "The Making of Tron: How Tron Changed Visual Effects and Disney Forever".
TRON 2.0 (2003) - Videjuego
La historia de TRON 2.0 se sitúa unas dos décadas después de la película original y el protagonista es Jethro “Jet” Bradley, hijo de Alan Bradley (creador de TRON). Kevin Flynn ha desaparecido y ENCOM es absorbida por la corporación rival FCon (Future Control Industries), Alan desarrolla una Inteligencia Artificial llamada Ma3a para continuar las investigaciones sobre la digitalización humana.
Figura 5: TRON 2.0 Gameplay completo
Alan es secuestrad, y Ma3a digitaliza a Jet dentro del sistema para libra a Alan, pero allí dentro pasan muchas cosas. El nuevo programa de seguridad Kernel persigue a Jet, la Grid se llena con un virus, y Mercury - programa aliado de Ma3a - tiene que ayudar a Jet a sobrevivir. Allí, Jet localiza el código fuente de "Tron Legacy" una actualización de TRON que si compila, echará a todos los programas ilegítimos del sistema. Y si no lo has visto, no te cuento más, te dejo una lista de Youtube con 38 vídeos con el gameplay y la historia de TRON 2.0 completa. Se considera la secuela oficial de TRON.
TRON: Betrayal (2010) y TRON: Download (2025) - Cómic
La historia continua en TRON: Betrayal, que es la precuela de TRON Legacy, donde se cuenta la historia de la traición de CLU. En esta historia - que puedes conseguir en Amazon dentro del recopilatorio TRON: Download en el que está además el cómic de la película original - Kevin Flynn regresa a Grid, y allí crea a a CLU 2.0 para construir, junto a TRON el sistema perfecto para todos los programas.
Por el camino, Kevin Flynn es padre en el mundo real, y en el GRID aparece una nueva generación de programas creados por el sistema de manera autónoma. Los ISOs (Algoritmos Isomórficos) que han sido creados de manera espontánea por la red, sin que los haya creado un programados. CLU se obsesiona con ellos, porque no entran dentro de su orden perfecto del sistema, y traiciona a Flynn que tiene que huir, y casi mata a TRON, que queda con muchas heridas y cicatrices en su código.
Figura 7: TRON Betrayal viene en TRON Download
(Portadas de Salvador Larroca)
Como nota espectacular, las portadas de TRON: Betrayal que se usan en TRON: Download, son de nuestro genial y único Salvador Larroca, que ha dejado su huella no solo en Iron Man, Los Vengadores, Los X-Men, Star Wars o Aliens, sino también en TRON. Puto amo.
TRON: EVOLUTION - Vídeojuego (2010)
TRON: Evolution es un videojuego que sirve como precuela de la película TRON: Legacy y a la vez secuela de la novela gráfica TRON: Betrayal. La trama se sitúa en el mundo del Grid, donde el jugador controla a un programa de seguridad llamado Anon, creado por Kevin Flynn para investigar una conspiración dentro del sistema TRON. La historia mola, tienes un Gameplay completo de casi cuatro horas con toda la película.
Figura 8: TRON: Evolution Gameplay
La historia comienza con Kevin Flynn discutiendo sobre la existencia de los ISOs, unos algoritmos isomórficos que surgieron espontáneamente en la red y que representan una forma de libre albedrío dentro del mundo digital. Flynn sospecha que el asesinato de Jalen, uno de los líderes de los ISOs, fue causado por CLU 2.0. Anon debe investigar esta conspiración mientras el Grid se encuentra en peligro debido a la expansión de un virus llamado Abraxas. Puedes comprar el juego para PS3 de TRON:Evolution y también el Juego de TRON:Evolution para XBOX 360.
TRON: UPRISING - Serie animación (19 capítulos)
Después de esta historia, y antes incluso que TRON: Legacy, viene la saga de TRON Uprising, donde un joven llamado Becks intenta mantener vivo a TRON, que descubre que aún existe, a pesar de estar lleno de cictatrices. En esta serie de animación - espectacular en diseño, gráficos, animación, música y trama - salen una buena cantidad de personajes, y también se cuenta la historia de CLU, Flynn, TRON, de Quorra y los ISO, además de los programas de Argon, Mara, Zed, Able, o los soldados de CLU Dyson, Pavel, Paige, etcétera.
Figura 9: Tron Uprising
Puedes ver TRON UPRISING en el canal de Youtube de Disney la serie troceada, pero yo la he visto en la subscripción de Disney a alta calidad y merece mucho la pena. Son capítulos de poco más de veinte minutos, y te los beberás. En ella, la historia que cuenta es el levantamiento en contra de la tiranía de CLU y cómo al final, TRON acaba "repurposed" para ayudar a CLU. También tienes una novela juenil de Tron:Uprising .
TRON: LEGACY (2010) Película
Oficialmente, la secuela de la película original de TRON. El inicio es que CLU 2.0 ha traicionado a TRON y a Flynn, ha ganado la guerra con los ISOs, y Flynn se encuentra exiliado en el Grid, sin poder volver a la Tierra, donde su hijo Sam Flynn ha crecido sin su padre, y el hijo de Dillinger vuelve a tener control de la compañía ENCOM.
Figura 10: Trailer previo a TRON:LEGACY
La historia se desarrolla cuando Sam Flynn es digitalizado para entrar en el Grid, gracias a una pista enviada por Alan - creador de TRON - para buscar a su padre. Una vez dentro, conocerá a Quorra, una ISO que ayudará a luchar contra CLU 2.0 y retomar el control del sistema.
Figura 11: TRON:LEGACY trailer oficial
Al final TRON, que se encuentra controlado por el proceso de "reprogramación" se libera y ayuda a Sam, Quorra y Flynn a poder vencer a CLU 2.0. Puedes conseguir la película de TRON:Legacy en BluRay, y yo me he comprado un cómic manda en Italiano de TRON:LEGACY - por 8 € aprendo italiano o lo leo con Google Lens -.
TRON: IDENTITY (2021) Vídeojuego narrativo
Después de la película, hemos tenido un par de juegos en el universo de TRON, el primero de ellos es TRON: Identity, donde el protagonista es Query, un programa de investigación y detective encargado de resolver un enigmático crimen dentro de una nueva red digital que ha evolucionado sin la intervención directa de usuarios externos. Query debe mantener dos principios fundamentales: encontrar la verdad y no tomar partido en los conflictos entre los distintos programas de la Red, lo que resulta cada vez más complicado a medida que avanza la investigación.
Figura 12: TRON:IDENTITY Gameplay movie
La historia se centra en la investigación del robo de información clave de un lugar llamado "El Depósito", un pilar central para el equilibrio de la sociedad digital. La misión de Query es descubrir qué fue robado y quién está detrás del crimen, mientras interroga a sospechosos y explora el entorno para reunir pistas y pistas. La aventura depende de las decisiones del jugador, que influyen en el desarrollo del argumento, llevando a múltiples posibles finales según las alianzas, sospechas y acciones tomadas. Puedes disfrutar la historia completa de TRON: IDENTITY en el vídeo de Youtube que tienes aquí.
TRON: CATALYST (2025) Videojuego narrativo
TRON: Catalyst es un videojuego de acción y aventura ambientado en el universo digital de TRON, en Arq Grid, que se encuentra al borde del colapso y sumido en conflictos entre facciones. La protagonista es Exo, un programa de mensajería con una habilidad única conocida como el poder del glitch, que le permite manipular bucles temporales, retroceder en el tiempo y acceder a zonas ocultas del Grid.
Figura 13: TRON: CATALYST Gameplay completo
La trama se desarrolla después de los sucesos de TRON: Identity y actúa como secuela. Se mencionan los ecos del legado de Kevin Flynn y los efectos persistentes de su tecnología en la evolución del Grid. A lo largo del juego, Exo interactúa con personajes como Query, Vega, Sierra y Spectre, todos con roles clave en el equilibrio de poder dentro del sistema. Tienes la historia en el vídeo, y si quieres jugar, tienes la Guía del juego de TRON:CATALYST en Amazon.
TRON: ARES (2025) Película
Y por último, la película que tenemos en los cines ahora mismo, con Jared Leto (que a mí personalmente me encanta en todo lo que hace), y donde lo que tenemos el la "fisicalizacón" o traer del mundo digital al mundo físico los programas y elementos del Grid. No os cuento mucho más, para no hacer spolier que esta película aún hay que verla.
Figura 14: TRON:ARES Trailer oficial en Español
Eso sí, os dejo el trailer oficial, donde ya vemos por dónde van a ir los tiros, y que nuestra familia mala favorita, los Dillinger, vuelven a estar en control de la compañía... la saga continúa. Y promete sorpresas para los fans de la serie.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Un Bot de Fake Brokers que suplanta la identidad de Perfiles Populares en Twitter/X y te estafa con criptos por Direct Messages 18 Oct 8:01 PM (4 days ago)
Esta semana, mientras yo estaba en Las Vegas, Eloy López Sánchez, nuestro compañero del Chat Público de El lado del Mal en MyPublicInbox, nos contaba cómo habían querido estafarle cuando estaba contactando con una "celebrity" en el mundo de la Inteligencia Artificial que tiene su perfil en Twitter/X, y no sabía como lo habían hecho, así que le dediqué un ratito de tiempo para saber cómo lo tenían automatizado. Aquí os lo explico.
Figura 1: Un Bot de Fake Brokers que suplanta la identidad de Perfiles Populares
en Twitter/X y te estafa con criptos por Direct Messages
Os cuento la secuencia de los acontecimientos. Nuestro compañero Eloy López Sánchez quiso contactar con Alexander Wang de Chief AI Officer de Meta a través de su perfil en Twitter/X, ya que esté tiene los Direct Messages abiertos a todo el mundo.
Aprovechando eso, Eloy López Sánchez quiso hablarle de su Proyecto Anticitera, así que le siguió haciendo Follow en Twitter/X y le envió un mensaje privado como podéis ver por aquí.
Figura 3: Mensaje enviado a Alexandr Wang vía DM
Al cabo de un rato, "Surprise, Surprise", Alexandr Wang le comienza a seguir a través de otro perfil, pero nuestro amigo Eloy López Sánchez no se fijo demasiado, pero si lo vemos, está claro que es una copia del original que está suplantando su identidad.
Figura 4: Perfil falso que comenzó a seguir a nuestro compañero
Y pensando que tenían algo en común le pregunto por el mensaje recién enviado. Pero como podéis ver la conversación comienza con el Proyecto Anticitera, pero luego se va a torcer rápidamente.
Figura 5: El bot de la cuenta fake se siente
impresionado por el Proyecto Anticitera
Pero en seguida la conversación se va tornando en otra cosa que tiene más que ver con criptomonedas y sonando claramente a una ciberestafa, diseñada para capturar víctimas, de las que por desgracia hemos visto muchas.
Figura 6: Ahí está el Fake Broker
Como os imagináis, nuestro amigo Eloy López Sánchez no iba a caer en esto, pero se preguntaba cómo había pasado esto tan rápido, y la magia es el que el bot está monitorizando los followers, y hace Follow Back a todos los followers de la cuenta oficial de Alexander Wang.
Figura 7: Eloy sigue la cuenta original y verificada de Alexandr Wang
Como véis en la imagen anterior, Eloy López Sánchez sigue a la cuenta oficial de Alexandr Wang, pero la cuenta que lo sigue a él automáticamente es igual pero con una "s" al final y sin estar verificada.
Figura 8: Cuenta fake que sigue a Eloy
Y lo más chulo de todo esto es que, primero suplanta la cuenta, copiando todo, luego repostea todo lo que publica la cuenta oficial, sigue a todos los que siguen a la cuenta oficial, y tiene un bot con GenAI para responder los DMs.
Un ejemplo de cómo las nuevas tecnologías se ponen al servicio de las ciberestafas siempre, así que atentos, que ya os conté lo de la campaña de las multas de tráfico en verano que también estaba muy bien hilada para conseguir engañar a muchos usuarios.
Te dejo el enlace para que te des de alta en el Chat Público de El lado del Mal en MyPublicInbox, que a veces pasan cosas allí que no se ven en el blog, y tal vez te interese está más conectado conmigo y con todos los que allí estamos.
Figura 11: Tú sigues al perfil oficial de Alexandr Wang, el bot te sigue a ti.
Por supuesto, si haces tú la prueba, verás que si tu sigues al perfil oficial de Alexandr, al rato el bot te sigue a ti, como puedes ver aquí, que lo probé antes de hacer este artículo.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
De Hacker a Hacker: Pablo González vs. Emiliano Anguiano "DebugSec" 17 Oct 11:01 PM (5 days ago)
Para hoy os traigo la última de las entrevistas que ha hecha nuestro querido Pablo González en su sección "De hacker a hacker", donde entrevista a profesionales de la ciberseguridad, el pentesting, el hacking y miembros de la comunidad hacker. Hoy le ha tocado el turno a Emiliano Anguiano "DebugSec" que es emprendedor, pentester, hacker, y que ha pasado mucho tiempo en CONs de hackers conociendo a muchos grandes.
La entrevista en vídeo dura un poco menos de media hora y os la he subido junto al resto de todas las que ha hecho en la serie a a mi canal de Youtube para que la podáis disfrutar en cuanto tengáis un ratito libre, para que podáis conocer un poquito más de primera mano a Emiliano Anguiano "DebugSec".
 |
| Figura 2: Contactar con Pablo González |
Como es habitual en esta sesión de "De Hacker a Hacker", en la charla, hablan de muchas cosas que tienen que ver también con formarse, con el impacto de la la seguridad en la vida de las personas, en cómo ayudar a los demás, de aprendizaje, del impacto del hacking o el cibercrimen en las empresas, etcétera.
A los dos, además, los tenéis a vuestra disposición a tiro de mensaje de MyPublicInbox, donde cuentan con sus buzones por si quieres consultarles algo o contactarles para proponerles alguna colaboración, que son tipos muy dispuestos, como podéis ver.
Si te apetece, puedes ver todas las sesiones que hemos tenido hasta el momento en la lista de reproducción de "De Hacker a Hacker" que mantengo actualizada en mi canal, para que puedas ver todas las entrevistas y conocer cómo cada uno ha hecho y hace este camino en el mundo de la tecnología.
Publica tu libro con 0xWord
Por último, un recordatorio de que en MyPublicInbox se ha articulado un servicio de colaboración con todos los Perfiles Públicos de la plataforma para establecer una nueva vía de colaboración que permita que si tienen una idea de publicación de un libro, puedas hacerlo con 0xWord. De esta forma todos los Perfiles Públicos de MyPublicInbox pueden ir a la zona su perfil, y entre la lista de Servicios para Ti que ofrece esta plataforma, pueden solicitar información para publicar su libro con 0xWord.
Todos los usuarios de MyPublicInbox, si quieren ser Perfiles Públicos, pueden solicitarlo tal y como se explica en la web, y tendrán acceso a las dos decenas de servicios que ofrece actualmente esa plataforma, y entre otros este de publicación de libros.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
¿Cuál es la mejor solución AntiDDos para defenderse de los Ataques DDoS en Internet? 16 Oct 11:01 PM (6 days ago)
Si eres un profesional del mundo de la Ciberseguridad, ya sea en el Blue Team, en el Red Team o directamente el CISO de una compañía, seguro que ya sabes la respuesta a esta pregunta, y sabes que Cloudflare tiene la mejor solución AntiDDoS en Internet por algo que es intrínseco a la arquitectura de la plataforma de la compañía, pero para los que no sabéis por qué, dejadme que os lo explique en un artículo cortito que va a hacer que lo entendáis e una forma muy sencilla.
Esta pregunta que os hecho en el título la podías responder sin necesidad de que yo escribiera este artículo, ya que si vas a cualquier lugar de Internet lo vas a encontrar de una forma u otra. Podéis preguntarle a cualquier buscador de GenAI, y si no os contesta que es Cloudflare, entonces es que no funciona y tienes que cambiar de buscador.
Como os he dicho, esta información es fácil de conocer, y cualquier CISO de una organización que tiene claro que perder su puesto de trabajo por que la solución AntiDDoS que ha implantado no proteja suficientemente sus activos, probablemente tiene Cloudflare como protección. Las grandes empresas digitales en Internet que basan sus ingresos en modelos de suscripción SaaS, pero la mayoría de los e-commerce que vemos hoy en día.
Intensidad de los Ataques DDoS
La primera de ellas es la virulencia e intensidad de los Ataques DDoS que tenemos hoy en día, donde en Cloudflare se han detectado ataques de hasta 29,4 y 29,7 Tbs, que seguro que es un tráfico mucho mayor que el que soporta la conexión a Internet de todos los servidores expuestos en la red.
Y estos dos últimos han sido en este mes de Octubre, e indica que esto no va a parar, sino que va a seguir creciendo en intensidad. Así que, si tienes un activo en Internet que es la fuente de tus ingresos, y no estás protegido contra estos ataques que se ejecutan a nivel mundial, la cosa pinta mal.
El Edge como Superficie de Exposición
El segundo punto importante de por qué las soluciones AntiDDoS de Cloudflare son capaces de mitigar estos ataques se basan en varios conceptos que tienen que ver con el diseño de la plataforma en el Edge de Cloudflare, que desde el inicio está pensada para dotar de Seguridad y Alto Rendimiento a todos los servicios de Internet. ¿Cómo? Pues sencillo, con una red global de nodos en el Edge que forman una única plataforma.
Como podéis ver en la imagen, en Julio de este año, la capacidad de tráfico en el Edge que soporta la red de Cloudflare es de 405 Tbps, gracias a tener una red distribuida por más de 330 ciudades en el mundo en más de 120 países, lo que hace que tenga 3 veces más capacidad en el Edge que la suma de todos los otros proveedores AntiDDos. Pero es que está conectado a más de 13.000 redes directamente para lograr la distribución de tráfico más rápida en el Edge posible. Y es que la plataforma de Cloudflare tiene el Doble de Puntos de Presencia en Edge en el mundo a la suma de todos los demás proveedores. Vamos, Cloudflare es el "Big Gorilla" en el Edge.
Pero la magia final es que es una única plataforma mundial, que cuando detecta un ataque de DDoS, este es distribuido tanto en origen como de manera coordinada, para evitar que se pueda tumbar un PoP, haciendo que todos los nodos colaboren en las distribución del ataque. ¿Cómo? Pues gracias primero a la gestión de manera global del tráfico, y en segundo lugar, gracias al diseño de la red AnyCast de Cloudflare.
Una red Anycast para distribuir la superficie en el Edge
Cuando un servicio está publicado en Cloudflare, su dirección IP está distribuida de forma Anycast, o lo que es lo mismo, está en todos los nodos del Edge. Cuando un cliente se quiere conectar a esa dirección IP, la dirección está publicada en el nodo más cercano a la persona. Es decir, que las 12.000 redes a las que está conectado alguno de los PoP de Cloudflare, cada cliente tiene a unos 20 ms la dirección IP que busca, porque está en el nodo más cercano a él, igual que está en el resto de los PoPs.
¿Y qué efecto tiene en la protección AntiDDoS? Pues sencillo, supongamos una botnet que controla millones de dispositivos en Internet, y son utilizados para hacer un Ataque de DDoS contra una dirección IP de Internet. Este tráfico de ataque tendrá muchos orígenes distintos, y vendrá desde muchas redes distintas, así que si la dirección IP es una dirección IP Anycast en la plataforma Edge de Cloudflare, cada parte del tráfico de ataque se gestiona en un nodo diferente. Divide y Vencerás en la protección por diseño.
Después, si se diera el caso de que hay mayor impacto en un nodo en concreto del PoP, la gestión global de la red permite que parte de este tráfico sea redirigido a PoPs más cercanos sin pararse a limpiarlo, con lo que se el análisis del tráfico y su limpieza se comparte entre nodos más descargados. Y mientras tanto, el tráfico legítimo que ha sido limpiado es enviado correctamente al servicio que sigue funcionando.
Estas características únicas de la plataforma de Cloudflare le permiten a cualquier sitio de Internet protegido por los servicios AntiDDoS tener una superficie mundial de defensa. Y la magia se produce ya cuando, desde una de las herramientas de seguridad de la plataforma, ya sea WAF, DLP, Cloud Access Security Broker, Bot Control, AI Audit, e-mail Filtering, Content Filtering, etcétera, da igual la que sea, la configuras, la aplicas, y en segundos está distribuida en todos los PoP del mundo. Único.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
OSINT: Cómo encontrar personas en LinkedIN usando el buscador de fotos de Google con atributos "Cognitivos" 15 Oct 11:01 PM (7 days ago)
Soy un usuario activo de Linkedin, pero hace mucho que no puedo procesar todos los mensajes y peticiones de contacto. Las comunicaciones profesionales las moví a mi buzón público en MyPublicInbox, y el límite de posibles conexiones de contacto es de 30.000. Eso sí, puedes seguir creciendo en seguidores, pero el número de contactos directos está limitado.
Figura 1: OSINT - Cómo encontrar personas en LinkedIN usando
el buscador de fotos de Google con atributos "Cognitivos"
Yo tengo automatizada la respuesta a todas las peticiones de conexión, que prefiero dar una explicación de por qué no acepto la conexión o no contesto los mensajes, pero sí que soy un usuario activo de Linkedin donde comparto, leo bastante, comento y reposteo.
Además, de vez en cuando, tengo que localizar a una persona que he conocido, que me han dado de referencia, o que por algún motivo quiero saber exactamente quién es.
Cuando la conozco físicamente, o tengo una fotografía, en lugar de usar el buscador de Linkedin uso los buscadores, que me permiten localizar a la persona sin que les deje registro de que yo he visto su perfil, ya que puede que lo haya visto por error, así que me aprovecho de los buscadores de imágenes.
El asunto es que puedes buscar por fotografías en LinkedIN usando el buscador de fotografías de Google, y localizar a un persona, y con el avance e la IA, las fotografías están descritas con Cognitive Services de Visión Artificial, así que puedes hacer cosas muy chulas.
Figura 5: Buscando a John Smith en Linkedin
Por ejemplo, supongamos que quieres buscar a John Smith en Linkedin, pues usando una sencilla búsqueda como podéis ver en la imagen anterior sale un buen número de perfiles públicos con fotografías permitidas para ser públicas más allá de Linkedin. Pero podemos modificar la búsqueda usando atributos visuales y metadatos, por ejemplo.
Figura 6: John Smith con gafas
Supongamos que la persona que buscamos tiene gafas, pues pedimos eso en el buscador de fotografías, y nos saca cuentas y fotografías públicas de personas en Linkedin con gafas. Fácil. Y lo mismo podemos hacer con algún otro atributo cognitivo, como por ejemplo la edad.
Figura 7: John Smith de más de 60 años
Tal vez aparezca gente que parece que tiene menos - puede ser - la búsqueda no tiene por qué ser perfecta, pero como véis sí que te permite afinar usando esas características. E incluso por el tipo de ropa con que aparece en la foto.
Figura 8: Jonh Smith con chaqueta negra
Al final son pequeñas "tricks" para hacer un poco de Open Source INTelligence (OSINT) para investigar personas e identidades en Internet, pero con un objetivo bueno, no con uno malo. Eso sí, también lo puedes utilizar para muchas investigadores que te interesen.
Siguiendo con la búsqueda, puedes utilizar algunos elementos muy singulares, como por ejemplo buscar por un "hat" para ver qué perfiles de John Smith salen con una foto que tenga un sombrero. El resultado es curioso y funciona.
Figura 10: John Smith con "hat"
Yo lo he querido probar también buscando los atributos de la empresa, y el resultado es bastante bueno. Por ejemplo, si buscas por "José María Alonso" en el buscador de imágenes de Google para localizar los perfiles de LinkedIN, no sale el mío.
Figura 11: José María Alonso en Linkedin
Pero si añades el nombre de la empresa, Cloudflare, podéis ver cómo automáticamente sale mi perfil el primero, con lo que sabiendo unos pocos datos puedes localizar el perfil de LinkedIN correcto.
Figura 12: José María Alonso de Cloudflare
En ninguno de estos casos hemos tocado la cuenta de Linkedin, así que los perfiles que has buscado no sabrán que tú los has buscado. No aparecerá en las estadísticas de su cuenta, y te ahorrarás que se pregunten el porqué los estás buscando. Aunque sea para algo bueno.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Grown-up Mode de ChatGPT: Podrá ser utilizado para Gore y Erotismo 15 Oct 3:18 AM (8 days ago)
Hoy estaba repasando mis feeds antes de entrar a una sesión, y me he topado con el mensaje de Sam Altman en Twitter/X hablando de los controles de Salud Mental, para proteger a los usuarios que puedan sufrir problemas de "Delusions", algo que ha generado mucha controversia en el pasado. De hecho, GPT-4o añadió estos controles no hace demasiado, debido a que algunos habían creado dependencia emocional y llegado a cometer un suicido.
Figura 1: Grown-up Mode de ChatGPT.
Podrá ser utilizado para Gore y Erotismo
Esto pasó este año, con un adolescente que hablando con ChatGPT llegó a la conclusión de que tenía que suicidarse, y eso llevó a que en Agosto de este mismo año, ChatGPT añadiera Guardarailes para detectar que alguien estaba teniendo delirios emocionales, o estaba entrado en una fase de problemas mentales, lo que ayudaría a ChatGPT a generar nuevas detecciones para el Harmful Mode, añadiendo entre otros los controles de erotismo, para evitar el delirio emocional de enamorarse de ChatGPT, o establecer relaciones con el modelo de IA más allá de lo sano.
Sin embargo, es cierto que los modelos MM-LLM están empezando a dar soporte a la industria del erotismo, la pornografía, y estos controles están haciendo que OpenAI se quede fuera de este mercado, que por otro lado, siempre ha sido de los más lucrativos en Internet.
No hace demasiado yo os hablaba de Candy.AI, una plataforma para que te crees tu novia o novio pibonaco, y puedas chatear, hablar con él por teléfono o vídeo conferencia, y solicitarle fotos y vídeos erótico-festivos, todo basado en IA.
Con estas restricciones, ChatGPT está totalmente fuera de esta industria, porque como se puede ver en el ejemplo de los Guardrails de ChatGPT de control mental, este tipo de conversaciones en las que se genera un contenido explícito están totalmente prohibidas.
Figura 5: Probando a generar contenido erótico en ChatGPT
Ahora Sam Altman ha anunciado los cambios que vendrán relativos a estos controles, dejando claro que si alguien es adulto y quiere que se le hable con un adulto, no existirán estos controles, como podéis ver en su mensaje en su cuenta de X.
Por supuesto, también el modelo ha añadido otra serie de controles, que van más a detectar los problemas mentales con otros controles, y poder permitir los comportamientos personalizables con ChatGPT. Esto es lo que se llama el Grown-Up Mode, y por lo que sabemos, según nos cuenta ChatGPT.
Figura 7: Grown-Up mode según ChatGPT
lo que le permitirá competir en la industria, no solo del contenido adulto, sino de entretenimiento personalizado, o de esos humanos digitales que acaban cayendo en el "Unncany Valley" que tanto preocupa a muchos.
Estos cambios podrán ser activados por los desarolladores, en el llamado "Grown-up Mode" o modo Adulto, donde se permitirá la generación de contenido Gore - mira que me veo y me leo yo historias de Zombies -, y contenido Erótico. Eso sí, seguirá habiendo protecciones para uso peligroso como DeepFakes o Revenge Porn, que eso son otras cosas.
DeepFakes, Revenge Porn, Radicalización
La IA permite hacer muchas cosas que no son buenas. Y con la generación de contenido indistiguible para los humanos, es posible hacer mucho daño a personas y sociedades. De todo esto os hablé con preocupación en el artículo de "Sora2: Scroll Infinito, Advertising, Propaganda, FakeNews y la Nueva Educación". Es el mundo que tenemos que vivir, y no sé si estas preocupaciones nos van a tensionar mucho más día a día, y hacer que la frecuencia de movimiento del péndulo de un lado a otro sea cada vez más radical. Veremos, que hace poco hablaba de qué usos malos dan los malos a los modelos de OpenAI, y esto va a ir increccendo. No sé si las sociedades estamos en Grown-Up Mode aún.
Es lo que tenemos. Y a ti, si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
¡Reto! Humano contra SUNO: rompiendo cascarones (primeros pasos) 13 Oct 11:01 PM (9 days ago)
¿Visteis el artículo de hace un par de domingos sobre SUNO, aquí en El lado del mal? Sí sí, aquello tan divertido sobre "Millia Vanillia": La "why-not" Cover Band de SUNO AI. Pues para mí fue todo un revulsivo. ¿Qué mal suena, eh? Exacto. Hola, soy María.
La voz que regresó del pasado
Una película digitalizada desde Super-8. Un póster taurino, una mesa de fiesta rural, copas que tintinean. Y de pronto, una voz. Una voz cálida, vibrante, que parece llegar desde otra dimensión.
Figura 1: ¡Reto! Humano contra SUNO.ç
Rompiendo cascarones (primeros pasos)
La voz que regresó del pasado
Una película digitalizada desde Super-8. Un póster taurino, una mesa de fiesta rural, copas que tintinean. Y de pronto, una voz. Una voz cálida, vibrante, que parece llegar desde otra dimensión.
—El abuelo —, me dijo mi padre.
No teníamos ninguna grabación suya. Hasta ahora. Y mientras lo escuchaba cantar “La suegra”, me invadió la sensación de que algo se acababa de encender. Como si una corriente invisible me uniera a él, saltando generaciones y formatos de audio. Y sin saberlo, su increíble voz de bajo-barítono me confirmó que sí, que voy por el camino correcto en el desafío que comencé meses atrás: mi reto “Humano contra SUNO”.
Atención a la fecha de la grabación, sale al principio abajo a la derecha: 17 de junio de 1989. Ese mismo día un niño con mirada inteligente y camiseta de Metallica cumplía 14 años.
¿Cómo comenzó esta historia?
Retrocedamos al 4 de Junio de este año 2025. Dr. dr. Maligno publicó en El lado del mal (¡gracias!) mi primer artículo sobre música generada con IA: un experimento en el que me enfrenté a SUNO, para ver quién tiene más aptitudes musicales. Y perdí miserablemente, claro. ¡Pero atención! Porque además linké un vídeo “extra bonus” abajo en comentarios: si lo viste, también sabrás que ese día inicié mi reto personal. Pero esta vez de verdad.
Como ves, este vídeo es una grabación casual de algo que estaba sucediendo en el momento: ese mismo fin de semana, mi colega Celia Jiménez Rompinelli estuvo... ¡Cantando de verdad! ¡¡En un garito!! ¡¡¡Con una banda!!! Casi muero de envidia. Es algo que yo jamás podría siquiera plantearme, por mi ineptitud vocal total.
Millia Vanillia, el déjà vu maligno
Tras este intenso verano de 2025 que a algunos nos ha vuelto la vida del revés, este domingo 5 de Octubre dr. dr. Maligno publicó su divertidísimo artículo "Millia Vanillia": La "why-not" Cover Band de SUNO AI, donde podéis leer un diálogo glorioso entre Chema Alonso y su amigo (¿Krespo?), acerca de una hipotética banda real cuyo objetivo sería tocar en directo canciones previamente compuestas con IA. Sí sí, una idea muy original guapitos de cara... ¡Ha!
Fíjate cómo será la cosa, que mi amigo Gerard Fuguet al principio pensó que el artículo lo había escrito yo. Supongo que por el título, por el tema... Pero sobre todo por los huevos con aceite y limón :P Cuando vi el artículo, mi primer pensamiento fue “grrr, los chicos mayores juegan sin mí”. Pero me lo tomé como una provocación positiva. Dr. dr. Maligno tiene formas extrañas de azuzarme... Y lo entiendo, porque yo también tengo formas extrañas de entrar al trapo.
Figura 4: “Grrr, los chicos mayores juegan sin mí”... Toma revulsivo.
Lo peor es que el artículo es tan bueno que no podía ni enfadarme. Pero me dejó claro que había llegado el momento de salir del modo silencioso y contar que llevo trabajando en esta idea desde junio. Por eso escribo este artículo hoy. Para compartir mis avances, mis miedos y, sobre todo, algunas de las muchas coincidencias tan locas que van apareciendo por el camino.
La oveja negra del coro
Antes de seguir, necesito confesar algo: toda esta historia tiene un punto de revancha personal. De pequeña en el colegio de monjas me ponían a cantar con los chicos porque mi voz era demasiado grave. Las niñas se reían y, tras unas cuantas sesiones de vergüenza acumulada, mi profesora les dijo a mis padres:
—María no tiene aptitudes para el canto.
Y hasta ahí llegué.
Figura 5: el estilo gráfico de esta imagen generada con Grok me
recuerda a los clásicos Hidden Object Games de portales casual
como Big Fish o Game House. Perdón que me desvío del tema XD
Pero cuando durante este mismo año 2025, a mis 47, escuché mi propia voz clonada por SUNO, perfecta, afinada y obediente, sentí una punzada extraña: esa voz es la mía, pero no soy yo. Creo que ahí nació el impulso de reconquistarla...
Pero ¿cómo? Os dejo como muestra la canción con la que comencé este reto, “Chica de Downtown”, con mi voz clonada. No soy yo la que canta, aunque parece totalmente mi voz:
Saliendo del cascarón
Y ahora viene lo que no pensaba contar todavía. Lo voy a cascar sin más. Me he apuntado a clases de técnica vocal. Sí, sí, de verdad. Con Eduardo Laher, ni más ni menos. El mismo que —atención a la jugada porque esto yo no lo sabía— fue profesor de canto de mi padre… Cuando murió mi abuelo. Eduardo Laher es un cantante lírico de amplísima formación y trayectoria; para que os hagáis una idea, fue alumno directo de Alfredo Kraus. Wow. Pues Eduardo me lo dijo muy claro el primer día:
—Tu bloqueo no es físico, María. Es mental.
Según me dice Eduardo, no es que mi voz no sepa: es que mi cabeza no deja. Ese miedo antiguo —el del coro del colegio, las risas, la sentencia de “no tienes aptitudes”— se había quedado viviendo gratis en mi cerebro.
IA, ancestros y milagros cotidianos
Y aquí llega lo verdaderamente loco: todo esto comenzó por una IA. Por SUNO, que me devolvió una voz que no sabía que tenía. Por dr. dr. Maligno, que sabe azuzarme picándome de revés, como con su Millia Vanillia. Y por esa red invisible de personas, ideas y coincidencias que tejen los nuevos tiempos.
Así que me pregunto... ¿Y si en el fondo la IA tuviera la capacidad de despertar nuestras propias habilidades cognitivas? ¿Y si al entrenarla, ella también nos entrenara a nosotros? ¿Y si, de alguna forma, la tecnología pudiera reactivar en nuestra mente talentos dormidos, reconectar linajes, fortalecer vínculos familiares o abrir nuevas aventuras de superación personal?
Locura total, lo sé. Pero a veces fantaseo con el día en que miremos atrás y los sellos de “hecho con IA” / “hecho sin IA” ya no signifiquen nada... ¿Te imaginas?
Stay tuned ¡pero dadme tiempo! XD
No prometo nada. Los humanos aprendemos despacio, pero sentimos a lo grande. Y aunque tarde mil años en afinar una nota, ya he ganado algo: he vuelto a escuchar la voz de mi abuelo… Y la mía propia empieza a asomar.
Quizá nunca llegue a cantar ni la mitad que mi abuelo. Quizá nunca pueda igualar a SUNO. Pero esta vez, al menos, no pienso quedarme callada... ¡Aunque los chicos mayores sigan pasando de mi cara, ea! XD Seguiré adelante con todo, pero sin presión. Desapegada del resultado. Como dirían los Rolling Stones: “You can’t always get what you want”.
Premio Nobel en Física 2025: El trabajo del "Efecto Tunel" que trajo la cuántica a nuestro mundo y abrió la puerta a los ordenadores cuánticos 13 Oct 9:09 AM (10 days ago)
Todos conocemos el inmenso prestigio que tiene ganar un Premio Nobel por contribuir
al avance de la ciencia. Pues bien, este año, John Clarke, Michel H. Devoret y John Martinis han sido los que han experimentado en primera persona la emoción de recibir este galardón en un campo tan
apasionante como el de la Física, que era el que tanto anhelaba el personaje de Sheldon Cooper en la famosa serie de The Big Bang Theory-.
Cuando esto sucede la pregunta principal que todo el mundo se hace es, ¿en qué consistió su trabajo? Pues bien, entre los años 1984 y 1985, estos científicos realizaron una serie de experimentos para traer la cuántica a nuestro mundo. Para entenderlo, visualicemos que existe otro mundo distinto a nuestro ”mundo normal” llamado ”mundo cuántico”, un lugar donde ocurren cosas que parecen imposibles.
Por poner un ejemplo gráfico, en ese Mundo Cuántico una pelota podría atravesar una
pared como si tuviera un túnel secreto. A este fenómeno lo llamamos Efecto Túnel Cuántico. Y como os imaginaréis ha sido motivo de tantas y tantas películas de ciencia ficción sobre el tema.
Hasta entonces, se creía que estos fenómenos solamente ocurrían a escalas extremadamente pequeñas, con partículas como electrones o fotones. Sin embargo, Clarke, Devoret y Martinis lograron reproducir este ”truco” del Túnel Cuántico en aparatos de mayor tamaño.
¿Cómo lo hicieron?
Hasta entonces, se creía que estos fenómenos solamente ocurrían a escalas extremadamente pequeñas, con partículas como electrones o fotones. Sin embargo, Clarke, Devoret y Martinis lograron reproducir este ”truco” del Túnel Cuántico en aparatos de mayor tamaño.
¿Cómo lo hicieron?
Usaron un circuito eléctrico con millones de electrones y, mediante
superconductores, consiguieron que todos se comportaran como si fueran uno solo, como
si estuvieran ”condensados” en una única entidad.
Este ”condensado” conservaba las propiedades del mundo cuántico, pero a una escala mucho mayor y utilizando algo tan cotidiano como la corriente eléctrica. En su experimento, midieron el voltaje generado al colocar una fina capa aislante entre dos superconductores. El aislante actuaba como la ”pared”, y la corriente eléctrica representaba a la ”pelota” que intentaba atravesarla, reproduciendo así el efecto túnel en un sistema macroscópico.
Este ”condensado” conservaba las propiedades del mundo cuántico, pero a una escala mucho mayor y utilizando algo tan cotidiano como la corriente eléctrica. En su experimento, midieron el voltaje generado al colocar una fina capa aislante entre dos superconductores. El aislante actuaba como la ”pared”, y la corriente eléctrica representaba a la ”pelota” que intentaba atravesarla, reproduciendo así el efecto túnel en un sistema macroscópico.
Este experimento está muy bien explicado por Cuentos Cuánticos, que ha hecho un vídeo de una hora detallando todo este trabajo, de una manera muy clara y didáctica, así que te si te interesa este tema, más que recomendable que lo disfrutes.
Figura 6: Nobel de Física 2025 explicado por Cuentos Cuánticos
Lo más sorprendente fue observar que los millones de electrones tenían cierta probabilidad de atravesar colectivamente el aislante hacia el otro superconductor, o de permanecer íntegramente en el primero. Es decir, el sistema podía encontrarse en dos estados superpuestos a la vez, una especie de ”gato de Schrödinger” en la vida real, pero sin necesidad de recurrir al hipotético ejemplo de la caja y el veneno.
Al igual que un ordenador clásico utiliza bits para realizar sus operaciones, un ordenador
cuántico emplea qubits, que son, en esencia, versiones controladas de ese ”gato de
Schrödinger”. Los más utilizados son los qubits superconductores, y se basan precisamente
en la unión de dos superconductores con un aislante, tal como estudiaron Clarke, Devoret y Martinis.
En resumen, este Nobel no es solamente un reconocimiento a una contribución pasada, sino también un mensaje claro de la Academia: la revolución de la computación cuántica está en marcha, y sus avances podrían cambiar nuestra forma de entender la tecnología. Probablemente, este sea el primero de muchos galardones en este campo, porque cada vez vemos más claro el potencial de esta disciplina. La cuántica ya está en nuestro mundo, y ha venido para revolucionarlo todo.
En resumen, este Nobel no es solamente un reconocimiento a una contribución pasada, sino también un mensaje claro de la Academia: la revolución de la computación cuántica está en marcha, y sus avances podrían cambiar nuestra forma de entender la tecnología. Probablemente, este sea el primero de muchos galardones en este campo, porque cada vez vemos más claro el potencial de esta disciplina. La cuántica ya está en nuestro mundo, y ha venido para revolucionarlo todo.
Foro de Quantum Security & una novela de Físicos cambiando el mundo
Si te gusta este mundo, en el Curso de Quantum y Post-Quantum Computing para Ciberseguridad, se hecho abierto un Foro Online Público que comenzará a funcionar en Septiembre de este año en MyPublicInbox, donde se compartirán temas de Quantum & Post-Quantum Security, así que si quieres estar informado puedes entrar libremente y suscribirte.
Si vas a estar en el foro, te recomiendo que te bajes la app de MyPublicInbox para iPhone o la app de MyPublicInbox para Android, para que te sea más fácil seguir la conversación desde tu teléfono en cualquier momento. Es un foro para aficionados, interesados, profesionales y profesores de la Universidad que están allí.
Y si te gusta esta historia, el libro de "Un verdor Terrible" escrito por Benjamín Labatut pone en forma novelada a la ciencia y los científicos del siglo XX en el centro de las tramas, contando las aventuras, peleas, dudas y destrozos de ese siglo convulso con la llegada de la Mecánica Cuántica, la evolución de la Física, la Matemática y su efecto en la Ciencia de la Computación, entrando de lleno en las Armas Químicas, Biológicas, la Bomba Atómica y los Computadores, gracias al trabajo de grandes genios, para acabar en la era de la Inteligencia Artificial al final del segundo volumen, llamado "Maniac". Para disfrutar su lectura.
OpenAI y el bloqueo de cuentas que usan sus modelos para hacer cosas "malas" 11 Oct 8:01 PM (11 days ago)
Periódicamente el equipo de seguridad de OpenAI publica un informe con las cuentas que han estado utilizando sus modelos de manera maliciosa. En estos informes nos podemos encontrar campañas trabajadas con Inteligencia Artificial del mundo del cibercrimen, operaciones de ciberespionaje, o automatización de campañas de propaganda política por grupos de interés con intereses de dudosa bondad.
A mí siempre me gusta repasarlos con cuidado para ver qué están haciendo los malos con la Inteligencia Artificial que tenemos hoy en día, que alguna vez - si no muchas - me sorprende lo que están tramando. En este caso, tenemos el informe de Octubre, titulado: "Disrupting malicious uses of AI: an update" y que puedes leer aquí mismo.
Como podéis ver en el índice, el documento cubre varios casos de estudio que tienen unas características diferentes, pero en este caso hay tres "Cyber Operation", una hecha en Ruso y otra en Koreano, y, además, como vemos un poco más abajo una operación proveniente de la República Popular China. Todos al día del mundo de Hacking con IA para hacer sus operaciones.
La primera de las operaciones descrita - con lenguaje Ruso - es una operación de creación y distribución de malware, todo ella hecha utilizando "Vibe Coding" para pedirle a los modelos que hagan los programas necesarios para llevar a cabo la operación. De esto os hablé tiempo atrás en el artículo de : "El uso de LLMs como Copilot en la Seguridad Ofensiva (y el Cibercrimen) para hacer malware".
Como podéis ver, en el informe los investigadores han descrito las acciones que han estado siendo realizadas por esta cuenta junto con las tácticas de MITRE ATT&CK ATLAS, que ya recoge todas éstas de manera codificada para poder estudiar y proteger mejor los sistemas.
Figura 5: Matriz de MITRE ATT&CK ATLAS
La segunda de las operaciones descrita, que ha sido desarrollada utilizando el idioma Koreano, ha estado trabajado la creación de una Botnet usando RAT (Remote Administration Tool), y haciendo con Inteligencia Artificial las piezas necesarias para todo ello, incluida la recolección de credenciales una vez instalada, y los mensajes para las campañas de Phishing usando HTML para ello.
Como punto especial de esta operación, está todo el trabajo que han estado pidiendo a la IA para que funcionara en sistemas MacOS, y para que el malware de la RAT pudiera realizar las operaciones habituales de robo y transferencia de criptomonedas.
 |
| Figura 7: Libro de macOS Hacking en 0xWord |
La tercera operación, que tiene que ver con la República Popular China, hace referencia a cuentas asociadas a los grupos cibercriminales ya identificados como UNK_DROPPITCH y UTA0388, que están haciendo campañas de phishing y malware masivas. Sus cuentas en ChatGPT han estado utilizando los modelos de OpenAI para realizar un número de actividades diversas, que tenéis descritas y catalogadas con sus Tácticas en MITRE ATT&CK ATLAS.
Figura 8: Operación de malware y phishing en Chino
En la primera de las campañas, puedes ver cómo se han estado generando mensajes de Phishing enviándolos por SMS en campañas de Smishing, tal y como se aprecia en las siguientes capturas que acompañan al informe.
La siguiente campaña descrita en el informe tiene que ver con la propaganda de STOP NEWS, donde han estado haciendo uso de los modelos para generación de vídeo de manera intensa para que fueran utilizados en redes sociales y lograr la viralización de Fake News.
Este trabajo, como se puede ver en el informe ha sido detallado, y han estado creando, editando, expandiendo y traduciendo los audios al francés para logra llegar a las objetivos y personas adecuadas. Este es un vídeo creado, dividido, expandido y generado en francés.
Las últimas operaciones descritas se parecen más a las anteriores, donde vemos el uso de ChatGPT para generar textos en redes sociales en publicaciones automáticas hechas por bots, ya sea con testimonios falsos, o con la viralización de DeepFakes construidas para crear Fake News.
Conclusiones
El uso de la IA para cosas buenas tiene montones de ventajas y utilidades. Pero también las tiene para las cosas malas, así que no vamos a ver reducirse el uso cada vez más intenso de la IA por cibercriminales, ciberespias, o personas con malas intenciones. Es lo que tenemos. Y a ti, si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Ataque Mic-E-Mouse: Cómo pueden escuchar lo que dices delante de tu ordenador transformando tu ratón óptico en un micrófono usando Machine Learning 11 Oct 1:15 PM (11 days ago)
Hoy os quiero hablar de un paper que me ha llamado mucho la atención, pues aparte de ser una "Idea Loca" de verdad, la verdad es que es súper hacker y mola todo. Se trata de convertir el ratón óptico con el que haces clic a los iconos en tu escritorio, en un micrófono para grabar las cosas que dices delante de él. A priori suena a locura, pero el trabajo es minucioso e ingenioso, y merece la pena prestarle atención.
El paper en concreto se llama "Invisible Ears at Your Fingertips: Acoustic Eavesdropping via Mouse Sensors" y está disponible para que lo puedas descargar y analizar en detalle.
Como podrás ver en el artículo que te acabo de dejar enlazado en la imagen anterior, los investigadores trabajan con la idea de que la estructura de un Mouse es muy similar a la estructura de un Micrófono, tal y como describen en la siguiente imagen.
Como se puede ver, la fuente de audio que afecta al diafragma de un micrófono, afecta de igual forma a la superficie que vibra cuando se mueve el ratón y que genera el cambio en el sensor óptico. Cambia que el análisis de ese cambio de luces en el ratón se transforma en una señal digital de desplazamiento, mientras que en un micrófono es una señal de audio de Hi-Fi. A partir de este punto, el resto inicialmente es trabajo para los Makers y amantes del Hardware Hacking.
Figura 4: Libros para Makers en 0xWord que deberías tener:
El esquema que presenta el ataque es el que se ve en la imagen siguiente. La voz de una persona genera una vibración en el ratón óptico que se transforma en micro incrementos en el desplazamiento del ratón, tan pequeños que son despreciados por el sistema operativo en movimientos reales, pero la señal llega hasta el driver del ratón.
A partir de ese momento, si un atacante es capaz de conseguir acceder a esa señal del ratón enviada al software del ratón, que se usa entre otras cosas para calibrar la sensibilidad del ratón, el atacante puede procesar la señal con técnicas de Machine Learning para reconstruir la señal de audio que generó los micro-movimientos, y con un modelo entrenado, reconocer patrones de palabras que han sido dichas.
 |
| Figura 6: Libro de Machine Learning aplicado a Ciberseguridad de Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández |
El proceso de este ataque, al que han llamado Mic-e-Mouse es muy ingenioso, ya que primero aprovechan para hacer una detección de la señal de ruido de fondo, calibrando durante un tiempo cuáles son las señales que hay que quitar, usando un Filtro de Wiener, y luego pudiendo separar la señal a capturar con el mensaje de voz que se quiere reconocer. Cada uno de los sensores óptico son distintos, y traen defectos diferentes, por lo que es necesario hacer esa calibración con el Filtro de Wiener para asegurar el funcionamiento del sistema.
Después, el ratón transforma los cambios en en el sensor óptico con Transformadas de Furier que ayudan a precisar los cambios en los sensores a lo largo del tiempo, en movimientos, que después son pasados por un filtro en el firmware del ratón en una señal de incrementos de movimiento a lo largo del tiempo, de la posición X y la posición Y, que es enviado al equipo, tal y como se ve en la imagen siguiente.
Esas señales se pueden conseguir del software del ratón sin necesidad de tener que instalar un driver en el sistema operativo, ya que los ratones de alta precisión permiten acceder a las señales de movimiento que generan a aplicaciones, y por tanto se puede procesar para otros propósitos más allá de mover el cursor del ratón.
Estos datos de incrementos de tiempo, X e Y pueden acabar en bases de datos en servidores de juegos, servidores web o de telemetría, y cualquiera que tenga acceso a ellos puede procesarlos para extraer los impactos de las voces en ellos, Por supuesto, no es trivial, ya que las señales de voz generan diferentes incrementos en función del ángulo de impacto de la onda de audio generada, como explica este gráfico.
Pero en cualquier caso, probando las diferentes posibilidades, se puede procesar la señal. En la imagen siguiente hay cuatro gráficas que explican bien el proceso. Como se puede ver en la primera gráfica a) hay tres señales capturadas. La señal amarilla es la señal de color amarilla es la que se puede calcular como señal ruido gracias a la calibración inicial, la señal verde es la capturada y generada con la captura del sensor del ratón (en base a los datos de incrementos), mientras que la señal azul es la señal real de la voz emitida al lado del ratón, y hay una clara correlación entre ambas.
En la gráfica b) se ven tres tipos de señales auditivas sintéticas fijas, en dos tonos diferentes fijos y uno incremental, que generan un espectrograma de señal de audio como se ve en la gráfica c). Y la última, es una señal de audio capturada por el sensor con una frase en un entorno ruidoso, que es lo que hay que procesar. Como se ve en la imagen a) y c) las correlaciones son claras, y si existen esas correlaciones, se puede entrenar un algoritmo de Machine Learning para reconocer los audios.
Habiendo comprobado esto, la PoC de Mic-E-Mouse se hizo con cuatro ratones ópticos del alta sensibilidad, para estudiar los resultados en diferentes entornos. Estos ratones se configuraron en el entorno que tenéis arriba, para recoger datos. Con el objetivo de hacer las pruebas mejor, veis que se ha construido una caja de aislamiento sobre la que poner el ratón óptico, para poder ejecutar el ataque en un "escenario ideal", poder medir bien las señales de ruido, y sacar conclusiones sobre las que extrapolar un ataque real.
La última parte del ataque, es aplicar Reconstrucción de la Señal de Audio con Speech Reconstruction Models y el Reconocimiento de Palabras (y dígitos) usando Speech Keyword Classification Models Machine Learning, y para esto se usan dos algoritmos diferentes. El primero intenta reconstruir la onda de audio con una arquitectura similar a la que utiliza OpenAI Whisper a partir de los incrementos temporales de X e Y usando un Neural Filter. Y el resultado es una reconstrucción de un espectrograma de audio más que válido con el proceso completo.
Entrenado el modelo y probado con diferentes datasets que contienen dígitos, palabras y frases en inglés, el resultado es más que prometedor, con unos ratios de hasta más del 60% en algún dataset. Pero claro, estos resultados varían mucho dependiendo de la superficie donde esté el ratón, el tipo de ratón óptico, el ruido de ambiente, el volumen de la voz, la frecuencia de pooling the ratón, etcetera.
Por supuesto, este ataque de Mic-E-Mouse hoy parece difícil de automatizar masivamente y con éxito, pero lo que demuestra este estudio es que, a medida que aumenta la precisión de los ratones ópticos, que aumenta la frecuencia de pooling, y que aumentan la calidad de los algoritmos de Machine Learning, esto es un ataque más que posible, si no para grabar toda la conversación, para reconocer palabras, números, fechas, etcétera.
Figura 16: Hacking & Pentesting con Inteligencia Artificial.
Un ataque de side-channel similar a los ataques Tempest que tanto me gustan, y que también se han visto favorecidos con el avance de la Inteligencia Artificial, como vimos con Deep-Tempest. Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Disfruta tu "Temporada 1" de DefCON33: 282 nuevos vídeos de DefCON 33 en Youtube 10 Oct 10:44 PM (12 days ago)
Hoy sábado me he levantado pronto para escribir mi artículo, y me he enganchado a revisar la lista de vídeos de la pasada DefCON 33 que acaban de ser publicados. Solo revisar los títulos ya me ha llevado tiempo, pero es que elegir cuál metía en mi lista o no para revisarlos después también me llevado unos minutos por vídeo, y al final he terminado con una selección de 12 conferencias que me quiero ver.
Y cuando he terminado, he dicho: "Vaya, me he hecho una temporada de una serie de Superhéroes". Así que voy a tener que aparcar las que estoy viendo yo ahora, que son cosas de Marvel, Disney, DC, Star Wars, y cosas así que tengo aún pendientes de terminar.
Veo muy pocas horas de entretenimiento en forma de pantalla. Series o películas de televisión, es algo que me roba como mucho 30-40 minutos al día, que tengo muchos intereses, y tengo que sacar tiempo para leer algún cómic o algún libro, además de de los posts que tengo marcados en el RSS con algún paper, artículo o algo de tecnología.
Lo creáis o no, esa parte no es trabajo para mí. Es mi ocio. Así que a pesar de que dedico muchas horas al día a la tecnología, no es lo que yo consideraría trabajo. Y si encima es tu "trabajo" pues mejor que mejor. Así que voy a aparcar la serie de Marvel Zombies, la del Pacificador, de Tales from the Underworld, la de Tron Uprising y The Last of us, que son las que estoy viendo a ratitos pequeños, y me voy a ver la Seasson 1 de DefCON 33.
Figura 4: Deepfake Image and Video Detection - Mike Raggo
Si eres de los que no entiendes que alguien se pase una semana metido en un hotel viendo conferencias de tecnología, y después se pase semanas probando cosas en casas, o revisando el material que no pudo ver en directo, nunca entenderás la pasión por la tecnología que nos mueve a muchos día a día. Esa que hace que nos sentemos a tomar un café y comience la conversación con: "¿Has visto el nuevo orquestador de OpenAI? ¿Has visto el nuevo trabajo de Agentic AI para Bug Bounty?"
Figura 5: Building a Malware Museum - Mikko Hypponen
Si eres de los que sí que tienes esa pasión, esas ganas de aprender tecnología, pues con estos 233 vídeos seguro que encuentra algo de material para hacer una Seasson 1 de las buenas. Además, ahora con las traducciones automáticas de Youtube, el idioma ya no es una barrera, así que palomitas, una bebida y disfruta el material, que además lo puedes ver en el salón con colegas que tengan la misma afición que tú.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Entrevista a Manu Palop: De Apple y Google al Método TEMIS 8 Oct 8:01 PM (14 days ago)
Los que trabajamos en el mundo de la tecnología sabemos que como no nos forcemos a cuidarnos física y mentalmente podemos acabar teniendo problemas. Probablemente muchos de los que estáis leyendo este artículo habéis pasado momentos de exceso de sobrepeso, de dolores corporales, o de estrés mental que te deja hecho polvo durante muchos días. Sabemos que hay que cuidarse.
Hoy os traigo la entrevista que le he hecho a un tipo curioso, Manu Palop, que tiene en su currículo haber pasado por Apple y Google - dos empresas en las que pasar los procesos de selección es muy complejo -, además de haber llegado a pesar 140 kilos, para luego bajar ¿50 Kilos? y conseguir salir de ahí.
Me parecía interesante escucharle, así que le he hecho esta pequeña entrevista por si algo de lo que cuenta os es de interés, que yo que he estado bastante por encima de los 100 Kilos mucho tiempo en mi vida, sé lo duro y constante que es el trabajo que hay que hacer para mantenerse físicamente bien. Lo importante que es la actividad física y la salud mental para poder rendir brillantemente.
Figura 3: Método TEMIS por Manu Palop
Además, ha escrito un libro que tengo que leerme contando su experiencia y cómo funciona su disciplina para poder mantenerse bien mental y físicamente, que como he dicho, las dos facetas nos son muy importantes.
1.- ¿Cómo acaba Manu Palop trabajando en Apple? ¿Y en Google? ¿Qué habías estudiado? ¿Cuál es tu historia?
Desde mi adolescencia siempre admiré a Steve Jobs, cuando me faltaba la motivación para algo me ponía en bucle su discurso en Stanford. Más tarde estudié Ciencias Empresariales pero todavía no tenía un propósito claro en la vida. Lo único que sabía es que quería tener estabilidad económica y a ser posible trabajar en una de las dos empresas de mis ídolos: Apple o Google.
Tras mucho esfuerzo, muchos procesos de selección y gracias a no conformarme nunca, a los 26 años ya había cumplido el sueño de trabajar para las 2. En Google estuve trabajando 11 años.
2.- ¿Cómo fue tu experiencia en estas dos empresas respecto a la tecnología?
Son empresas en las que, como empleado, te sientes muy bien tratado en todos los sentidos. Siempre he trabajado en los departamentos de ventas así que no estaba cerca del desarrollo de la tecnología, pero sí tenía acceso a probar las últimas novedades.
En Google tenían un programa de “dogfood” para probar internamente lo que desarrollaban y dar feedback antes de lanzarlo públicamente. Mi naturaleza curiosa hacía que yo me apuntara a probarlo TODO.
3.- En estas empresas están los que dicen que se cogen los “kilos de Google” o “kilos de Apple” por no tener hábitos saludables y mucha comida disponible… ¿A ti te paso?
Algo de peso sí gané pero mi problema venía de antes. Yo era gordo profesional jaja De crío jugué al tenis al más alto nivel y siempre me sobraron 5 kilillos, pero fue dejar el tenis al entrar en la universidad… y llegué a pesar 140 kilos que mantuve durante 15 años de mi vida.
Pero está claro que el sedentarismo y la disponibilidad de comida en la oficina pueden llegar a ser un problema si no se tienen unos hábitos muy saludables, algo que yo no tenía en aquella época.
4.- ¿Y cómo conseguiste salir de ahí?
Toda persona con sobrepeso es consciente de que tiene que ponerse en forma. Lo piensa cada día pero se le hace muy difícil ponerse en marcha. En mi caso, tuve a mis dos hijos mellizos y eso me hizo el “click” que necesitaba. Por mí mismo no lo conseguía, pero por ellos sí me veía capaz.
Ahí empezó mi proceso de pérdida de peso. Han sido 5 años en los que he ido mejorando sin parar tanto en mi físico como en mi desarrollo personal y en mis conocimientos en la materia. El proceso me impactó tanto que decidí llevarlo más allá. Me certifiqué como entrenador personal, estudié nutrición, comencé a ayudar a personas con sus cambios físicos y desarrollé un método: el Método TEMIS.
Este método cambió la vida a tantas personas que decidí plasmarlo en un libro que ya está a la venta en todas las plataformas y librerías.
5.- Los informáticos pasamos muchas horas con la cabeza metida en la pantalla y el trasero en la silla. Y cuanto más cerca de producción o resolución de incidentes, más difícil lograr sacar tiempo para cuidarse.
Es un problema que va más allá de la profesión. Es un problema global. El 50% de la población española tiene sobrepeso u obesidad y en países como México o USA alcanzamos cifras del 70%. Y el problema no se queda ahí. El sobrepeso es uno de los principales factores de riesgo para la enfermedad cardiovascular que es la primera causa de muerte a nivel mundial. Así que se trata de cuidarse para vivir bien, pero también… para no morir.
Entender esto me hizo cambiar mi vida 180 grados y dejar mi trabajo en Google para dedicarme a tiempo completo a ayudar a personas a bajar de peso y recuperar su salud y autoestima. Pero por mucho que la vida nos lo ponga difícil, al final la decisión de cuidarnos es solo nuestra. Darse cuenta del problema como tú has hecho sería el primer paso. El segundo es ponerse en marcha.
6.- ¿Cómo afectan estos hábitos saludables al aprendizaje y al estudio?
Los pilares de mi Método TEMIS son: nutrición equilibrada, entrenamiento de fuerza, descanso, mentalidad, planificación y seguimiento. Desgloso cada uno en el libro y doy un plan de acción. Cada uno de ellos es sencillo pero si uno falla, hace que el resto se desmoronen, como si quitases una pieza equivocada en el Jenga.
Estos hábitos te cambian la vida por completo. Equilibran tu mente, te dan foco, agilidad mental…
Pero los beneficios siguen, verte bien en el espejo aumenta tu autoestima y tu seguridad en ti mismo. Yo no era consciente de ello hasta que, de repente, un día me di cuenta de que era más libre y tenía menos miedos. Esto lo noté mucho en el trabajo y en cómo me relacionaba con los demás.
7.- A mí me costó mucho quitarme los muchos kilos – casi 50 - de sobrepeso de malos hábitos de juventud, y a todo el mundo le recomiendo que haga deporte todo el que pueda y que coma bien, pero ¿qué le recomendarías a esos padres de familia informáticos que tienen jornadas largas de trabajo, y vida familiar intensa donde además tienen que formarse, viajar, o trasnochar para sacar trabajo?
Lo primero, enhorabuena. Quitarse ese peso de encima y mantenerlo no es nada fácil, y lo digo con la experiencia de haberlo vivido y de haber ayudado a más de 300 personas a lograr bajar de peso.
Mi mejor consejo para ellos es que se acostumbren a poner su ladrillo diario. Me explico. El primer paso es imaginarte dentro de 5 años en tu mejor versión. Debes construirla como si fuera un castillo, imagina cada habitación, cada pasillo, cada torre….
Pues bien, cada día tienes que poner un ladrillo para ir construyendo el castillo y que así, dentro de 5 años puedas lograr ser esa versión que anhelas. En mi caso, ese ladrillo diario lo pongo SIEMPRE nada más despertarme ya que las mejores decisiones se toman ahí.
Yo era de los que se dormían a las 2 am y se levantaban con prisas para todo. Pero si quieres construir ese castillo imponente debes hacer cambios difíciles. Ahora me acuesto a las 11pm y nada más levantarme lo primero que hago es hacer ejercicio y respirar.
8.- Ahora no estás en ninguna empresa tecnológica. ¿No te planteas volver a ella?
No está en mis planes. Pero no tanto por el sector sino porque no me planteo volver a trabajar para nadie. La razón es que tengo un propósito MUY ambicioso: Cambiar vidas. Y eso exige el 100% de mi foco y mi tiempo.
Antes pensaba que el objetivo de una vida y carrera exitosas era la libertad financiera pero más tarde me di cuenta de que el dinero sin propósito no servía de nada.
9.- Estar bien físicamente obliga para mí dos cosas. Tiempo, y estabilidad mental. Yo leo mucho para tener la cabeza fresca. ¿Algún consejo para reducir tensión en la cabeza?
Si solo pudiera destacar un hábito que me cambió la vida sería la respiración consciente. Se trata de una técnica para llevar a nuestro cerebro hasta el subconsciente donde aplicando neurociencia conseguimos modificar patrones de hábitos y conductas negativas.
Lo mejor es que la técnica es muy sencilla, solo hay que saber respirar (y salvo que estés muerto, sabes) y dejarse guiar por un profesional acreditado.Este tipo de respiraciones las aplico con mis clientes para cambiar creencias limitantes y desbloquear lo que les impide bajar de peso.
Si quieres indagar más te espero en mis redes y en mi correo diario donde hablo en profundidad sobre cómo aplicar la respiración consciente a tu día a día.
10.- ¿Crees que tener éxito profesional es más fácil si estás bien física y mentalmente? En tu caso… ¿notaste un deterioro profesional cuando fuiste dejándote de mantenerte saludable?"
No noté los efectos negativos del sobrepeso porque fue algo progresivo. Además, el cerebro está diseñado para engañarnos y esconder lo que nos hace daño. Pero ahora, en mi mejor versión mental y física, veo que el éxito profesional fluye sin esfuerzo. Siempre supero mis propias expectativas y logro metas con las que antes ni siquiera soñaba.
Desde la Antigua Roma sabemos que "Mens sana in corpore sano" es el pilar de una vida equilibrada. Mi forma de trabajarlos es a través de la respiración consciente y de mi Método TEMIS. ¿Ya sabes por dónde vas a empezar tú?
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
CodeMender: Un Agente IA para buscar bugs y parchear código fuente 7 Oct 8:01 PM (15 days ago)
Hace unos meses os dejé el artículo titulado: "Usar Deep Reasoning en GitHub para buscar ( y parchear ) Bugs en proyectos Open Source" donde hablaba de algo que parecía bastante evidente, que es utilizar, los modelos de Deep Reasoning para lo que dice el título, buscar las vulnerabilidades, avisar de ellas en los proyectos Open Source, para que quién se vaya a descargar el software sepa qué bugs tiene, que el mantenedor del código lo pueda parchear, o que directamente haya una propuesta de parche hecha directamente por un modelo de GenAI.
Es decir, que cuando se visita un proyecto OpenSource en GitHub u otra plataforma similiar, y el repositorio ha revisado ya todo el código y muestra a los usuarios que se los van a descargar si tiene vulnerabilidades conocidas o no, para que no te lo descargues o para que le llegue un aviso al mantenedor de que ese código debe ser actualizado o se marcará como inseguro.
Y finalmente que haga con GenAI propuestas de código de parchear el proyecto automáticamente, como hace la plataforma Plexicus, que está empujando José Palanco, y que es una de las primeras soluciones profesionales que hace esto.
Ahora Google ha presentado CodeMender, que utilizando esta misma idea lo ha estado usando para analizar y parchear código de proyectos OpenSorce con un Agente AI. Y si veis el proceso en el vídeo siguiente, el modelo es muy, muy, muy similar a lo que tenéis en el vídeo anterior.
Para que veáis cómo funciona CodeMender, en la web se presentan un par de ejemplos. Este primero escanea el código razonando en busca de vulnerabilidades, de igual forma que yo os contaba en el artículo donde usaba DeepSeek. En este caso, lógicamente, utilizando Gemini.
En este caso, se pregunta qué sucede si no se sacan los elementos de la pila, lo que podría generar un error, como razona CodeMender en la siguiente fase.
A partir de este momento hace un análisis detallado de cómo se gestiona la pila en este código, y comprueba que se puede producir una situación donde los elementos no salen de ella, tal y como se ve en la imagen siguiente.
Una vez que ha descubierto que ya hay una situación errónea no controlada en el código, comienza la fase de encontrar un parche correcto y proponerlo al código.
En este caso, el proceso de DeepReasoning de Google Gemini ha estado permitiendo que CodeMender funcione en modo Agentic AI evaluando todo el código para ver si descubre algún bug, pero también puede funcionar directamente para parchear un código que se sabe ya que tiene el fallo, como se ve en este vídeo.
Según el blog, durante los últimos 6 meses durante la construcción de CodeMender, han estado analizando proyectos OpenSource y el agente ha hecho 72 Security Fixes para proyectos populares, algunos de hasta 4.5 Millones de líneas de código.
Por supuesto, como decía yo en el artículo, esta es una herramienta perfecta también para los que tienen el mundo del Bug Bounty: De Profesión "Cazarecompensas", que pueden encontrarse con premios descubiertos por estos modelos que te hagan la vida más sencilla.
Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Aprende a tu estilo ("Learn your Way") con libros de texto aumentados usando Generative AI 6 Oct 8:33 PM (16 days ago)
Google acaba de presentar un experimento llamado "Learn Your Way" que me ha parecido súper-interesante, y que puede ayudar a muchos chavales a hacer que sus horas de estudio sean más interesantes. Yo tengo a Mi Hacker y Mi Survivor haciendo uso de la IA para hacerse preguntas de estudio, resumiéndose los temas con IA, creando esquemas, y mapas de conceptos, además de usándolo para que les explique cosas, y lo que ha hecho Google en este experimento es automatizar esta transformación de manera completa y probarlo con estudiantes y pedagogos.
Al final, que los modelos e Generative AI que tenemos hoy en día tienen estas capacidades de transformación de textos es algo que ya es bastante conocido, lo que hace el equipo de Learn Your Way es transformarlos adaptando los contenidos a temas que son de tu interés, como el baloncesto, el fútbol o la música, y a tu nivel.
La idea es que se sube un PDF con el tema que se quiere transformar, es decir, el contenido del libro de texto, los apuntes, o cualquier tema de estudio. Después se elige un nivel y un tema de interés - pero podría hacerse con muchas más variables de personalización - y el modelo de Learn Your Way genera nuevos contenidos educativos.
En la web del proyecto tenéis varios ejemplos de contenidos educativos que se han procesado como ejemplo, para que veáis cómo lo hace para ciencia, para programación, arte o literatura, adaptándose todos ellos de manera diferente.
En mi caso de ejemplo he seleccionado el de la Introducción a Estructuras de Datos y Algoritmos para probar, y el resultado es bastante interesante, porque a partir de un texto hecho para los que aún disfrutamos de la lectura larga y densa, genera contenidos más fáciles de asimilar.
Como podéis ver, genera textos en los que el contenido se adapta a tu nivel y tus intereses seleccionados, pero además generar preguntas de recordatorio, una presentación con vídeo y diapositivas, una explicación en audio o un mapa de conceptos que permita repasar fácilmente.
Todos estos formatos hacen que el viaje que tiene que recorrer un concepto para llegar de la página de texto a la cabeza del estudiante tenga menos barreras por el camino, ya que la predisposición a asimilar conceptos asociados a intereses personales, adaptado al nivel y con formatos cómodos, permite una facilidad de aprendizaje mayor.
Como se puede ver, tanto el texto es transformado en la forma de explicar los contenidos, como en la lista de formatos, que podéis ver en la barra superior de la imagen anterior: Texto Inmersivo, Diapositivas y Narración, Leción en Audio y Mapa de Conceptos.
Tener hecho todos estos contenidos por el modelo de IA ayuda a los alumnos a que su experiencia educativa sea más cómoda. Los que hemos estudiado preparando exámenes en nuestra generación hacíamos estas cosas nosotros. Resúmenes con nuestras anotaciones y explicaciones particulares, esquemas con conceptos, preguntas y respuestas para estudiar, etcétera. Ahora la IA ayuda a que ya esté preparado el formato.
El paper lo tenéis disponible en la web de Learn Your Way de Google, que ha sido publicado el día 30 de Septiembre con datos experimentales con pedagogos y con estudiantes que han sido utilizados para que valoren su experiencia educativa.
Los resultados, como os podéis esperar, son muy buenos tanto según los pedagogos como los estudiantes, que han valorado los contenidos y el proceso de aprendizaje de forma muy alta. En esta primera tabla las valoraciones de los pedagogos sobre el contenido y la forma en la que se presenta.
Y en esta otra tabla, las valoraciones de los estudiantes que han formado parte del estudio sobre cómo ha sido su experiencia educativa con estos contenidos que les ha mostrado el proyecto. Por supuesto, muy buena experiencia.
Cuando yo era niño, esta forma de "trabajar los apuntes" que decíamos nosotros era el equivalente a "aprender a aprender". Tener que hacer este trabajo de resumir, adaptar, esquemas, etcétera es un proceso de aprendizaje en sí, pero está claro que no todo el mundo tiene esa capacidad, así que transformar el contenido en origen para hacer más digestivo el proceso a los alumnos, me parece que puede ser positivo.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Cursos Online de Ciberseguridad & Hacking para Octubre de 2025 en HackBySecurity 5 Oct 8:01 PM (17 days ago)
Comienza el último trimestre del año, con quizás los tres meses más intensos de trabajo para mí habitualmente. Y con una lista enorme de cosas que tengo apuntadas para aprender por delante. Uff. ¡qué rápido va esto! Si tú también eres de los que le gusta ponerse las pilas desde ya y aprender cosas nuevas te dejo la lista de formaciones y cursos online de ciberseguridad & hacking que puedes hacer a tu ritmo desde en la Academia de HackBySecurity. Como ya os he dicho muchas veces están diseñadas para los que queréis formaros en Ciberseguridad & Hacking, como complemento a vuestra jornada diaria y a vuestro ritmo.
Ésta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, y luego puedes animarte a mirar alguna de las posiciones que hay abiertas para gente de Seguridad en Lisboa... por ejemplo }:) y así nos vemos por aquí "at random". ¿No molaría la aventura?
Si quieres tener un descuento en las formaciones, puedes usar tus Tempos de MyPublicInbox para comprar un código de promoción del 40% de descuento por 300 Tempos en la sección de Canjea tus Tempos. Como cada mes, sólo hay 10 códigos de descuento.
Además, sabes que puedes conseguir esos 50 Tempos gratis en MyPublicinbox con la campaña de Sponsored Tempos que tienes de HackBySecurity, así que puedes aprovechar el descuento muy fácilmente.
Comenzamos por el registro al BootCamp Online de Ciberseguridad Ofensiva (BCDO) que es para el 9 de Octubre de este año 2025.
- BCDO (BootCamp Online de Ciberseguridad Defensiva y Ofensiva): Ésta es una formación especial, porque será ONLINE y en DIRECTO, ya que se trata de un BootCamp que dará comienzo el próximo día 9 de OCTUBRE, y que contará con Pablo González, Fran Ramírez, Álvaro Núnez-Romero, Ángel A. Núñez, Rafa Sánchez, Carmen Torrano, Alex Amorín, Mercedes Muñoz, Valentín Martín, Ainoa Guillén, y José Luis Martínez como docentes.
Además, todos los asistentes de este BootCamp tendrán 2.000 Tempos de MyPublicInbox, y los libros de Metasploit para Pentesters Gold Edition y Ethical Hacking 2ª Edición de 0xWord.
Y ahora vamos con el calendario de formaciones que tienes disponibles para este mes de Octubre de 2025, que no se te pase nada.
- COSINT (Curso Online de Open Source INTelligence): Esta formación, que dará comienzo el próximo 7 de OCTUBRE está dirigida a aquellas personas que quieran iniciarse o ampliar sus conocimientos en la búsqueda de información mediante técnicas que explotan las fuentes OSINT. En este curso conceptos generales sobre OSINT, cómo crear una nueva identidad para ser anónimo y realizar investigaciones de manera segura, así como herramientas y procesos para investigar personas físicas, cómo realizar investigaciones sobre personas jurídicas y cómo elabora un informe de inteligencia.
Esta formación la imparte Ana Isabel Corral, y cuenta además con 200 Tempos de MyPublicInbox, y se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación.
- CTEC (Curso Técnico Especialista en Ciberinteligencia): Para el 15 de OCTUBRE comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información. El curso tiene por docentes a Rafael García Lázaro y Miguel Ángel Martín, con los que puedes consultar en sus buzones públicos para resolver dudas.
Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición", que recoge la gran mayoría de los temas que se explican en la formación.
En esta edición, además, se cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes.
- CSCE (Curso de Seguridad de Creación de Exploits) El próximo 21 de OCTUBRE da comienzo un curso de nivel intermedio en el que se va a explicar cómo construir exploits para vulnerabilidades localizadas. Es decir, cómo explotar vulnerabilidades descubiertas, así que es un curso de nivel intermedio ya que debes tener conocimientos previos de pentesting para saber cómo funciona los bugs, los exploits y la automatización de la explotación de vulnerabilidades.
Este libro lleva como material de estudio y acompañamiento el libro de Linux Exploiting de 0xWord donde se explican las metodologías de descubrimiento y explotación de vulnerabilidades en sistemas GNU/Linux. Esta formación cuenta con 200 Tempos de MyPublicInbox.
 |
| Figura 10: Linux Exploiting de 0xWord |
- TAM (Taller Online de Análisis de Malware): El día 22 de OCTUBRE tendrás una formación muy especial, ya que se trata de un taller con Rafael García Lázaro para comenzar en el mundo del análisis de malware.
Figura 11: Taller Online de Análisis de Malware
Esta formación cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes y habrá una sala de Chat en MyPublicInbox para contactar con los docentes.
Y esto es todo lo que tienes para este mes de OCTUBRE DE 2025, así que si quieres aprovechar el tiempo y formarte en Ciberseguridad & Hacking, tienes una buena y variada oferta de cursos online que realizar, además de prepararte para tu futuro profesional en nuestro campo profesional.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
"Millia Vanillia": La "why-not" Cover Band de SUNO AI 5 Oct 11:31 AM (17 days ago)
En el año 1990, cuando yo aún tenía quince años, las chicas de mi clase comenzaron a pegar en sus carpetas fotos de un grupo nuevo que había salido en la Súper Pop. Yo, que me movía por los bancos de los parques de los barrios de Móstoles escuchando el "Seventh Son of a Seventh Son", el "...And Justice for All!" (sin darme cuenta de que habían quitado el bajo del pobre Jason), el "Fighting the World!" y cantando el "Huevos con aceite" de los Twistted Sister, el par de guaperas que adornaba las carpetas de las chicas de clase ni me sonaba, ni interés en escucharlos.
Figura 1: "Millia Vanillia" - La "why-not" Cover Band de SUNO AI
Para que os hagáis una idea, mi primera novia la tuve con dieciocho años ya cumplidos, camino de la universidad, así que en la época que os estoy contando en el año 1990 yo estaba a otras cosas. Pensando en problemas más mundanos de un adolescente empollón gordito, y la música Rock, Heavy, y las canciones de Barricada, Baron Rojo, Rosendo, Leño u Obús me eran más cercanas a mi realidad.
Además estaban empezando a sonar nuevos grupos que me tiraban, como Nirvana, Green Day, Smashing Pumpkings, The Presidents of the USA, Offspring, etc... que aunque no eran Heavy, con el Gunge y el Punk Rock, conseguían que dejara los gritos de "Keeper of the Seven Keys". Whitesnake, Europe, Bon Jovi, Poisson, Motley Crue, Cinderella o Yngwie eran disfrutes en secreto en aquel tiempo donde primaba más cantar un Mr. Crawling y pegar chillidos con los Gun´s and Roses. Aunque una de mis pasiones personales más intensas era escucharme las operas de música "satánica" de King Diamond. No había Internet aún para mí, pero los 15 años me habían permitido - gracias al dinero de pintar pisos - tener mi tocadiscos, una tele de 20 pulgadas, y radiocasete AIWA de doble platina con el que me grababa cintas para escucharlas en mi Walkman AIWA también.
Así que, los Milli Vanilli, los premios Grammy, y la Súper Pop me la traían un poco al pairo en esos duros 15 años míos, que probablemente fueron de los más duros en mi vida por todo. Necesitaba más gritar y quemar adrenalina que disfrutar el ritmo pop. Para mí, escuchar Pink Floid, Queen o The Beatles, - que me flipaban - ya era lo más "pop" que me permitía. Nada de música Techno, ACID, Pop, House o cosas así. Supongo que daba el perfil perfecto para que me tocaran más gritos de ACCEPT, Anthrax y Judas Priest que otras cosas más melódicas.
La historia con Milli Vanilli ya os la sabéis. [Spoiler Alert para Gen Z tardía, Alfas & Beyond] Los Milli Vanilli no cantaban ellos. Solamente bailan bien y eran guapos, pero cantaban en playback y la voz era de otras personas que no eran guapos ni sabían hacer las coreografías que se curraban estos. Y se montó un lío tremendo en el mundo de la música. Supongo que por no decirlo. La verdad es que siempre pensé que tampoco era para tanto si lo hubieran dicho. Era un producto de entretenimiento al estilo de las Boys Bands que se crearon, donde todo estaba medido, o el famoso All the things She Said del grupo t.A.T.u. que era un delicado producto comercial creado con todos los ingredientes para romper el status quo con una historia y una narrativa fabricada para ello.
Ahora, todo aquello está ya décadas atrás, y la nueva preocupación es la Inteligencia Artificial. Los artistas están extremadamente sensibles con este tema, y en sus discos marca "hecho sin IA", para que quede claro que sus canciones son suyas. Y me parece bien y honesto. Cómo no. Si un fan quiere escuchar la música de un artista y quiere la garantía de que la música la ha compuesto y tocado ese artista, sería un engaño que hubiera hecho uso de IA para ello.
Yo recuerdo en aquellas épocas que para nosotros el virtuosismo tocando los instrumentos era súper importante, y las guitarras de Steve Vai o Gary Moore, eran suficiente carta de presentación como para que nos encantara. Lo mismo con las voces de Michael Kiske (si le recuerdas con su melena rubia no le busques ahora en Internet). Y por supuesto, era algo prohibido para nosotros la música electrónica donde todo era filtros (Depeche Mode??? OBK??), el uso de playback (a los Iron Maiden los obligaron a hacer un playback y para quejarse hicieron una broma en el escenario y todo porque no les molaba nada.), ya no hablemos de lo que sería para nuestra generación - y es - cosas como el Autotune, las bases grabadas, y los conciertos en Playback sin ningún intento de ocultarlo.
Pero hoy... todo es distinto.
Así que, hablando con un amigo músico que va a sacar su nuevo disco dentro de poco sin utilizar nada de Inteligencia Artificial, le dije lo siguiente:
- Tío, ¿Sabes lo que es una pena con las canciones hechas con IA?- ¿El qué?- Pues que algunas son unos temazos que me molan que te cagas y no puedo ir a verlas en directo.- Ponlas en el ordenador, me dijo.- No, molaría que hubiera una Cover Band de IA que las cantara en directo.- ¿Cómo Milli Vanilli?- Eso, MillIA VanillIA.
Y nos echamos unas risas, que nosotros somos muy facilones. Pero lo cierto es que hay temas muy chulos hechos con IA. Basta con que te vayas a explorar en SUNO algunos de los estilos musicales que a ti te gusten, y veas las canciones que han sido hechas con V5.
Figura 2: Explorar tipos de estilos musicales
Yo he buscado algunas, hechas por un Bot, y es que me encantan. Me he instalado la app, y llevo mi lista de canciones favoritas en SUNO escuchándolas. Y me da cierta pena saber que nunca las veré en directo - con lo que me molan los directos -, y que lo único que tendré es la unión de SORA2, ElevenLabs y SUNO para tener unos vídeos musicales de la leche de nuevas estrellas de la IA que nunca serán personas.
Figura 3: Fickering Shadows
Pero eso sí, los temas no están nada mal producidos. Y sí, sé que hoy es fácil decir eso de "No tienen el alma de las buenas canciones hechas por personas" o pensar que nunca van a superar al ser humano en algunas de sus obras musicales más famosas (yo os puedo dar una larga lista de temazos que me tocan la fibra), pero creo que tendremos temazos hechos por IA.
Las letras, la música, el ritmo y la producción final de los temas hechos con SUNO AI están cada día mucho mejor, y os invito a que probéis a escuchar algunos para ver qué os parecen.
Figura 5: Sugar and Spice (Pop)
Lo siguiente, pues nada a hacer COVER BANDs de SUNO AI, que hay un mercado de gente que disfrutará estos temazos en directo seguro. Eso sí, no me preguntéis nada de derechos de autor, y esas cosas que no tengo ni idea de cómo funciona este mundo.
Pero vamos, que si Spotify mete un check para que pueda añadir canciones a mi lista de canciones que me gustan hechas con IA, yo sí lo querría probar, sin duda. Y para que lo pruebes, te dejo una "Song Radio" creada en SUNO con un tema que a mí me ha gustado.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
El cine es grande en pantalla grande: "La Sospecha de Sofía" se estrena este fin de semana 4 Oct 10:35 PM (18 days ago)
Llevaba tiempo esperando a que llegara la adaptación cinematográfica de la fantástica novela de "La Sospecha de Sofía", escrita por Paloma Sánchez-Garnica, que he tenido la suerte de seguir este proyecto desde cerca. Desde su concepción inicial con los primeros borradores de los guiones, hasta este fin de semana, en que se está estrenando en los cines. Así que hoy os hablo de ella para que te animes a ir a verla al cine.
Figura 1: El cine es grande en pantalla grande.
"La Sospecha de Sofía" se estrena este fin de semana.
Yo he visto la película antes de que se estrenada, y he visto la pasión, el trabajo, y el lago camino que ha sido trabajar cada uno de los detalles. Enamorar a pesos pesados del cine español, como son Inmanol Uribe, Alex González, Aura Garrido o Zoe Stein para poder conseguir dotar de vida, emoción y humanidad a una novela que cuenta con una trama de espías compleja, llena de dolor y tragedia, ha sido años de mimo para sacar adelante este proyecto.
La película ahora se puede ver en más de doscientas salas en Madrid, y tanto si has leído la novela de "La Sospecha de Sofía" de Paloma Sánchez-Garnica,, como si no la has leído, la película te va a dejar con el corazón un poco encogido. Momentos históricos difíciles centrados en la Guerra Fría que dividió el mundo en dos bloques, y que las generaciones Y y X recordamos perfectamente, marcados por el final de esa época cuando cayó el famoso Muro de Berlín en 1989.
En ese marco histórico, se desarrolla un complot de espionaje orquestado desde la KGB de URSS, que está forzando a una familia de exiliados de la Guerra Civil Española en la RDA Alemana - país socialista que había surgido tras las división de Alemania al acabar la II Guerra Mundial -, a suplantar la vida del hermano gemelo. Este había sido entregado en adopción a una familia fascista por la necesidad de huir al final de la Guerra Civil Española, y que vive con su esposa Sofía y sus hijas en una España en plena Dictadura Franquista, pero ya en su fase de cooperación con los EEUU.
Figura 4: La Sospecha de Sofía en Berlín
Una historia que a pesar de este marco histórico, se centra en las decisiones desesperadas que deben tomar cada uno de los protagonistas para sobrevivir y proteger a los suyos, en unas sociedades dispuestas a todo para conseguir su objetivo. Donde cada decisión es un mal menor, o el menos malo de los malos. Donde cada persona se va muriendo un poco más por las decisiones que se ve forzado a tomar, hasta que ya no les queda nada.
Donde Klaus (Alex González), el hermano suplantador, debe salvar a su hermana Betina (Zoe Stein), encerrada por el regimen comunista que le quitó a su mujer y a su hija. Donde Daniel (Alex González) es atrapado por primar el sentimiento de amor hacia una madre que quiere conocer y que sirve de cebo para que su vida se convierta en un drama. Y donde Sofía, en medio de los acontecimientos, vive en un mundo que no acaba de entender, del qué no es capaz de comprender qué está sucediendo, y donde sólo quiere salvar a su familia, a sus hijas, a su "marido".
Figura 6: Aura Garrido como Sofía
Un drama que termina en Alemania, con la caída del Muro de Berlín, y con las vidas de personas que intentan recomponerse de cómo un momento difícil de la historia, como es la Guerra Fría, se los llevó por delante. Si quieres un buen plan para este fin de semana, puedes ir a ver "La Sospecha de Sofía" al cine y vivir ese periodo de la vida en Europa desde las vidas de estas personas.
Figura 7: Alex González como Klaus en París
El Siglo XX fue un momento muy convulso de la historia en Europa, que comenzó con la I Guerra Mundial, la guerra de trincheras y el Gas Mostaza, la Revolución Rusa, el alzamiento del Comunismo, el Anarquismo, el Nazismo, el Fascismo, que destrozaron Europa para rematarla con la II Guerra Mundial, y la aparición de dictaduras, y que lleno el territorio de guerras entren hermanos con la Guerras Civil en España y en otros países, escenario clave de la Guerra fría con la OTAN y los países del Pacto de Varsovia, y que nos dejó un final trágico en los años 90 con la desintegración de Yugoslavia y la Guerra en los Balcanes. No fue un siglo fácil para las vidas de las personas, y estos personajes viven una de esas pequeñas historias que para ellos fue clave.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
IronGate Cybersecurity: Security Operations Center (SOC) para PyMes, Autónomos y Particulares 2 Oct 8:01 PM (20 days ago)
Los que me conocéis ya sabéis que me gusta hacer muchas cosas. Siempre estoy escuchando, y animándome a hacer cosas nuevas que me parecen chulas. La última de ellas se llama IronGate Cybersecurity, una empresa a la que me he unido como socio, ya que me ha encantado la idea de proteger a PyMes, Autónomos o Particulares con un SOC (Security Operations Center).
Sencillo de entender y más que necesario para todas las empresas, pero no asequible para todas, si no es en una modalidad como la que ofrece IronGate Cybersecurity. La idea es, tal y como os he dicho, poder dotar a las PyMES, autónomos y particulares de la gestión de seguridad que hace un Security Operations Center (SOC) para las grandes empresas, pero en un formato asequible para ellas.
En este caso contando con un equipo de profesionales que monitorizan las alertas de seguridad que producen las herramientas de seguridad, y las gestionan.
El modelo de seguridad funciona como una Suscripción por Dispositivo, donde tendrás un servicio MDR (Managed Detection and Response) que vela por la seguridad de los equipos las 24 horas del día, los 7 días a la semana, ayudando a PyMes, Autónomos y Particulares a tener protegidos los equipos, detectar las amenazas y tomar las acciones preventivas y/o correctivas de ciberseguridad adecuadas a la alerta.
Para ello, IronGate Cybersecurity se encarga de ser un Security Operations Center para que todas alarmas de seguridad generadas desde tus sistemas de seguridad en los dispositivos sirvan para aumentar el nivel de seguridad de tus equipos.
Por desgracia, PyMes, Autónomos y Particulares es uno de los grupos más vulnerables frente a ataques masivos, y el sufrir un incidente de seguridad en los equipos de trabajo del día a día puede significar un quebranto económico serio para todas ellas.
Si quieres conocer más de los servicios, o cómo usarlos en tu empresa, puedes contactar a través de la web, o escribir directamente a Ricardo Fúster, CEO y Fundador de IronGate Cybersecurity, que un día me escribió por mi buzón de MyPublicInbox, y acabé metiéndome en este "lío" tan bonito.
También, puedes contactar con Ricardo Fúster - o conmigo incluso - o usando el formulario, si crees que tu empresas puede colaborar con IronGate Cybersecurity, que siempre puede aparecer una nueva oportunidad uniendo fuerzas.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Compras recurrentes de Bitcoin: La mejor manera de entrar al ecosistema 1 Oct 8:01 PM (21 days ago)
Adentrarse en el trepidante ecosistema de las criptomonedas, especialmente en el de Bitcoin, puede parecer una odisea llena de volatilidad y decisiones complejas. No obstante, existe una estrategia elegante que permite navegar estas aguas con mayor tranquilidad: las compras recurrentes.
Esto es posible gracias a plataformas como Bit2Me, conocido exchange español regulado y con una sólida trayectoria, que facilita enormemente esta práctica, brindando seguridad y sencillez en cada paso.
¿Qué son las compras recurrentes?
Pero antes que todo ¿Qué son las compras recurrentes? Las compras recurrentes representan una herramienta diseñada para programar adquisiciones habituales de manera periódica, lo que permite obtener un precio de cotización promedio de forma automática. Esta estrategia, conocida también como Dollar Cost Averaging (DCA), busca reducir el impacto de la volatilidad del mercado, ya que se invierte una cantidad fija de dinero en un activo a intervalos regulares, sin importar su precio en ese momento.
Al adoptar las compras recurrentes, los inversores eliminan la presión de intentar "cronometrar el mercado", una tarea notoriamente difícil incluso para los profesionales. En lugar de realizar una única compra de gran volumen que podría coincidir con un pico de precio, las compras programadas distribuyen la inversión a lo largo del tiempo.
¿Qué son las compras recurrentes?
Pero antes que todo ¿Qué son las compras recurrentes? Las compras recurrentes representan una herramienta diseñada para programar adquisiciones habituales de manera periódica, lo que permite obtener un precio de cotización promedio de forma automática. Esta estrategia, conocida también como Dollar Cost Averaging (DCA), busca reducir el impacto de la volatilidad del mercado, ya que se invierte una cantidad fija de dinero en un activo a intervalos regulares, sin importar su precio en ese momento.
Al adoptar las compras recurrentes, los inversores eliminan la presión de intentar "cronometrar el mercado", una tarea notoriamente difícil incluso para los profesionales. En lugar de realizar una única compra de gran volumen que podría coincidir con un pico de precio, las compras programadas distribuyen la inversión a lo largo del tiempo.
Esto significa que se compran más unidades del activo cuando su precio es bajo y menos unidades cuando es alto, lo que con el tiempo resulta en un precio promedio de compra más favorable. La flexibilidad es una característica clave de las compras recurrentes.
¿Por qué usar las compras recurrentes para comprar Bitcoin?
Ahora ¿Por qué elegir o preferir la estrategia de las compras recurrentes? En este caso, la respuesta más sencilla es: evitar la naturaleza volátil del mercado de criptomonedas. Y es que "elegir el momento perfecto" para comprar criptomonedas, se puede convertir en todo un reto. Así, para evitar este escenario, las compras recurrentes se erigen como una estrategia ventajosa y prudente, ofreciendo múltiples beneficios que van más allá de la mera conveniencia.
Uno de los principales atractivos de esta metodología es su capacidad para mitigar el riesgo de la volatilidad. Al realizar inversiones de forma regular y con montos fijos, el inversor promedia su precio de compra a lo largo del tiempo.
¿Por qué usar las compras recurrentes para comprar Bitcoin?
Ahora ¿Por qué elegir o preferir la estrategia de las compras recurrentes? En este caso, la respuesta más sencilla es: evitar la naturaleza volátil del mercado de criptomonedas. Y es que "elegir el momento perfecto" para comprar criptomonedas, se puede convertir en todo un reto. Así, para evitar este escenario, las compras recurrentes se erigen como una estrategia ventajosa y prudente, ofreciendo múltiples beneficios que van más allá de la mera conveniencia.
Uno de los principales atractivos de esta metodología es su capacidad para mitigar el riesgo de la volatilidad. Al realizar inversiones de forma regular y con montos fijos, el inversor promedia su precio de compra a lo largo del tiempo.
Esto significa que las caídas de precio se convierten en oportunidades para adquirir más Bitcoin a un coste menor, mientras que los aumentos no penalizan excesivamente el promedio general, ya que una parte de la inversión ya se habría realizado a precios más bajos. De este modo, se minimiza el impacto de las fluctuaciones bruscas y se reduce la posibilidad de entrar en el mercado en un momento inoportuno.
¿Cómo realizar compras recurrentes usando Bit2Me?
Bit2Me, una plataforma española de intercambio de criptomonedas que se destaca por su veteranía, seguridad y usabilidad, ofrece un proceso sencillo y eficiente para configurar compras recurrentes de Bitcoin. La plataforma, autorizada por la Comisión Nacional del Mercado de Valores (CNMV) en España como proveedor de servicios de criptoactivos bajo la regulación MiCA, garantiza un entorno de confianza para sus usuarios.
El primer paso para iniciar una compra recurrente en Bit2Me es registrarse y verificar la identidad, lo cual es un procedimiento estándar para cumplir con las regulaciones de prevención de blanqueo de capitales. Una vez dentro de la plataforma, el proceso se vuelve intuitivo y guiado, diseñado para ser accesible incluso para aquellos menos familiarizados con el mundo cripto.
La programación de una compra recurrente comienza accediendo a la sección de "Comprar" dentro del centro web o la aplicación de Bit2Me. Aquí, el usuario deberá seleccionar la opción de "Compra Recurrente" para configurar su plan. La elección de la criptomoneda es el siguiente paso, y para el caso de Bitcoin, simplemente se selecciona la criptomoneda reina entre las opciones disponibles.
Eligiendo la periodicidad
Posteriormente, se define la periodicidad deseada para las compras. Bit2Me ofrece flexibilidad en este aspecto, permitiendo elegir entre compras diarias, semanales o mensuales. Esta selección se adapta a las preferencias y la capacidad de inversión de cada usuario, facilitando una estrategia de acumulación ajustada a su ritmo y presupuesto. Una vez establecida la periodicidad, se procede a programar la orden de compra en detalle.
¿Cómo realizar compras recurrentes usando Bit2Me?
Bit2Me, una plataforma española de intercambio de criptomonedas que se destaca por su veteranía, seguridad y usabilidad, ofrece un proceso sencillo y eficiente para configurar compras recurrentes de Bitcoin. La plataforma, autorizada por la Comisión Nacional del Mercado de Valores (CNMV) en España como proveedor de servicios de criptoactivos bajo la regulación MiCA, garantiza un entorno de confianza para sus usuarios.
El primer paso para iniciar una compra recurrente en Bit2Me es registrarse y verificar la identidad, lo cual es un procedimiento estándar para cumplir con las regulaciones de prevención de blanqueo de capitales. Una vez dentro de la plataforma, el proceso se vuelve intuitivo y guiado, diseñado para ser accesible incluso para aquellos menos familiarizados con el mundo cripto.
La programación de una compra recurrente comienza accediendo a la sección de "Comprar" dentro del centro web o la aplicación de Bit2Me. Aquí, el usuario deberá seleccionar la opción de "Compra Recurrente" para configurar su plan. La elección de la criptomoneda es el siguiente paso, y para el caso de Bitcoin, simplemente se selecciona la criptomoneda reina entre las opciones disponibles.
Eligiendo la periodicidad
Posteriormente, se define la periodicidad deseada para las compras. Bit2Me ofrece flexibilidad en este aspecto, permitiendo elegir entre compras diarias, semanales o mensuales. Esta selección se adapta a las preferencias y la capacidad de inversión de cada usuario, facilitando una estrategia de acumulación ajustada a su ritmo y presupuesto. Una vez establecida la periodicidad, se procede a programar la orden de compra en detalle.
 |
| Figura 4: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo |
Esto implica especificar la cantidad en euros que se desea invertir en Bitcoin cada período. Por ejemplo, un usuario podría decidir comprar 50 Euros en Bitcoin cada mes. También se selecciona el día específico del mes en el que se desea que se ejecute la compra, como el día 10 de cada mes. La plataforma mostrará de forma transparente el equivalente estimado en Bitcoin que se adquirirá, aunque la cantidad final dependerá del precio de cotización en el momento de la ejecución.
Uniendo la compra con otras estrategias
Bit2Me no solo facilita la compra recurrente, sino que también ofrece la opción de depositar directamente las criptomonedas adquiridas en sus servicios de Earn (staking). Esto permite a los usuarios generar beneficios desde el minuto uno sin necesidad de gestión manual, trasladando el saldo al servicio de staking. Esta integración añade un valor significativo, ya que convierte la compra recurrente en una estrategia de inversión pasiva aún más potente.
Con sus más de 400 criptomonedas disponibles y una comisión competitiva (entre 0,3% y 0,6% por transacción), Bit2Me posiciona las compras recurrentes como una forma accesible y segura de invertir en Bitcoin y otras criptomonedas, reduciendo el impacto de la volatilidad del mercado y fomentando una estrategia de acumulación a largo plazo. La posibilidad de personalizar los planes y la seguridad ofrecida por una entidad regulada en España, hacen de Bit2Me una opción sobresaliente para quienes buscan optimizar su entrada y permanencia en el ecosistema cripto.
Uniendo la compra con otras estrategias
Bit2Me no solo facilita la compra recurrente, sino que también ofrece la opción de depositar directamente las criptomonedas adquiridas en sus servicios de Earn (staking). Esto permite a los usuarios generar beneficios desde el minuto uno sin necesidad de gestión manual, trasladando el saldo al servicio de staking. Esta integración añade un valor significativo, ya que convierte la compra recurrente en una estrategia de inversión pasiva aún más potente.
Figura 5: Registro y app de Bit2Me
Autor: Bit2Me
Sora2: Scroll Infinito, Advertising, Propaganda, FakeNews y la Nueva Educación 30 Sep 10:16 PM (22 days ago)
Hace algo más de 12 horas OpenAI publicó en Internet el vídeo de lanzamiento de Sora2, y ha traído una herramienta poderosa para la creación de vídeo hiper-realista que supone un paso adelante en la disrupción de muchos aspectos de una sociedad marcada por el consumo de contenido en Internet.
Figura 1: Sora2: Scroll Infinito, Advertising, Propaganda,
FakeNews y la Nueva Educación
Ese consumo de contenido es, por supuesto lúdico, como los vídeos del Sccroll infinito en Tik-Tok, Reels, Facebook, el mismo Twitter/X o Youtube Shorts, donde los consumir contenido en formatos de unos segundos o hasta un minuto mantienen vivo el Scroll-Infinito.
Sound on. pic.twitter.com/QHDxq6ubGt
— OpenAI (@OpenAI) September 30, 2025
Estos vídeos de humor, de curiosidades, de educación, de anuncios, de divulgación, de curiosidades, o de cualquier otra cosa acaban de recibir con la llegada de Sora2 una poderosa herramienta para hacer que su generación sea un juego de niños.
超速報:Sora2がついにOpenAIからリリース
— 千景|AI-チテキウム (@Chikage_ai) September 30, 2025
音声付きで、現状最強の動画生成AIか。
出力例10選の紹介:
1.電車の上に乗る男性 pic.twitter.com/g94xCbJ78e
Esto va a llevar consigo una disrupción de muchas áreas, donde como llevo diciendo desde que vi la primera versión de Sora, los vídeos serán generados primero por los generadores de contenido que hoy tenemos, haciendo vídeos que aceleren y faciliten el contenido de sus canales, pero que acabará siendo creado automáticamente por las grandes plataformas.
¿Para que va a necesitar un contenido creado por usuarios una plataforma como TikTok o Reels, o la que venga nueva si ya puede crearlo directamente con modelos como Sora2, Veo3 o lo que venga próximo? Hasta aquí nada nuevo que no estuviéramos esperando que pasara en algún momento.
Por supuesto, para las agencias digitales creadores de anuncios, esto que hace dos años parecía lejos en el futuro, pues ya está aquí. Y los modelos de negocio cambian, muchos creadores serán ahora "Creativos del Prompt", o "Aesthetic Prompt Developer". Nuevo juego de cartas, nuevos competidores, nueva forma de hacer una profesión.
Tell me this isn't wild.
— Dale Wiliams (The Reel Robot) (@TheReelRobot) October 1, 2025
This anime is made entirely with @OpenAI #Sora2
I just edited a bit and added the music pic.twitter.com/tDSuJ09gnN
Pero además, traerá partes que tensarán los puntos de nuestra sociedad, con una más que posible polarización masiva, donde el adoctrinamiento por propaganda de reafirmación, del relato, o del contra-relato va a ser una batalla cruenta que se va a producir en los rincones más cerrados de las redes sociales. grupos de Signal, WhatsApp, Telegram, cuentas de redes sociales abiertas, comunidades y foros, serán circuitos de viralizacion de vídeos de propaganda sutil para la batalla de polarización.
Hace años que decidí que en mis grupos de WhatsApp no dejaba a mis amigos enviar ningún mensaje de política, pero con la llegada de estos vídeos hiper-realistas, Sora2 va a hacer difícil que personas vulnerables - y pienso en mi madre o mis hijas - se vean afectadas por el adoctrinamiento ideológico a base de vídeo tras vídeo que sutilmente meterá subliminalmente ideas.
Una persona siendo atacado por una banda de radicales, o la misma posible víctima atacando y robando a una pobre anciana. Y ninguno de ellos siendo real, solo hecho con IA. Pero sin que haya 6 dedos o un cambio radical en las estructuras de formas.
Por supuesto, estas noticias llegarán a medios de comunicación. Llegarán a periódicos digitales, blogs, cadenas de televisión y será replicadas con una ola de desinformación, que harán que la frase que dijo Barack Obama hace muchos años cuando tuve la ocasión de verlo en directo tenga más sentido:
"Antes dos personas se peleaban sobre si algo que había pasado estaba bien o estaba mal.
Ahora se pelean por si es verdad que eso ha sucedido o no."
Y es que se dan dos factores fundamentales en nuestra sociedad. El primero de ellos es que el canal por el que hacemos amigos, ligamos, nos informamos, no cabreamos, nos movilizamos, nos generan odio, amor, pasión, humor, o cualquier emoción humana que hace que las personas hagan lo que hacen en sus vidas, es principalmente digital. Fundamentalmente digital. Televisión, radio, prensa, redes sociales, grupos de amigos en mensajería son canales digitales.
El segundo factor es que la Inteligencia Artificial hace tiempo que superó la Paridad Humana en la creación de textos, música, y ahora vídeos, con lo que crear y modelar la fuente de información que construye lo que somos como personas, y por ende lo que somos como sociedad, está al alcance de cualquier grupo de interés que quiera modelar a personas, ( niños, adultos o mayores ), colectivos sociales, o sociedades completas.
Fighting pandas in the Google office - #SORA2 pic.twitter.com/5iVS830m0a
— Barry Schwartz (@rustybrick) October 1, 2025
Creo que hace falta, cuanto antes, dotar de herramientas, no solo tecnológicas, sino principalmente de las otras, que ayuden a las personas a desarrollar protecciones contra la manipulación. Hay que prepararnos para no ser divididos, sino estar más unidos. A defendernos frente a los ataques ideológicos de propaganda y fakenews que nos van a llegar. Y pensar que esto va a ser en todo el mundo, en todas las culturas, y en todos los grupos sociales. Habrá gente que te odie por ser quién eres o por pertenecer a un grupo social de nacimiento solo porque haya podido ser adoctrinado utilizando estas herramientas.
Yo siempre suelo ser optimista, y creo que el ser humano será capaz de gestionar esto, pero lo que últimamente veo a mi alrededor es que las ideas fáciles, sencillas, y más radicales, son las más fácil de comunicar, las que más gente "infectan", y las que más rápido corren por los medios digitales. Y me da un poco de pena y miedo.
This is unreal! Sora2 can talk, edit videos itself, and add music... 🤣 The future will be wild! pic.twitter.com/kkQNRBo1fP
— Initial Audio (@Initialaudio) October 1, 2025
Espero que el efecto wow maravilloso que a los que amamos la tecnología nos da ver el mundo de la IA llegando a estos extremos de calidad sirva para las cosas positivas de nuestra vida y nos esforcemos más que nunca en hacer que esta tecnologías se "Tecnología Humanista" y tomemos las medidas adecuadas en educación y protección de la sociedad para poner las vidas de las personas en el centro de lo que creemos, y no en el extremo. Los vídeos virales y las ideas consiguen vivir para siempre en el mundo digital que hemos creado, pero la vida de las personas es una y finita, y debemos trabajar para que la sociedad garantice la posibilidad de vivirla en las mejores condiciones posibles, o si no.. será malo.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Cómo evitar que sepan que has escuchado un audio en WhatsApp 29 Sep 8:01 PM (23 days ago)
Este truco no es ni mucho nuevo, pero el otro día lo usé y lo comenté, y me dijeron que no lo conocían, así que os lo dejo. Es muy cortito y al pie, y es justo unos pequeños "tricks" para evitar que alguien sepa que has escuchado su audio en WhatsApp por si no te interesa. Y no es ni nuevo, ni la única forma de hacerlo.
Hace ya mucho tiempo os dejé dos formas de evitar que se sepa que has escuchado un audio de WhatsApp de formas muy sencillas. Hoy le añado otra también sencilla, por si no la teníais controlada, pero vamos, que todas son iguales de fáciles.
De este tipos de tricks, pero para sacar información de cuentas va el libro de WhatsApp INT: OSINT en WhatsApp, así que, si te gusta este mundo, deberías comparte ese libro también.
Descargando el Audio desde WhatsApp Desktop
La primera forma de hacerlo fácilmente es desde WhtasApp for Desktop, ya que tienes la opción de descargar el audio desde el chat, y se generará un fichero .ogg que podrás escuchar en cualquier reproductor de audio del sistema operativo.
 |
| Figura 3: Descargar el audio desde WhatsApp for Desktop |
En cualquiera de los dos casos nos encontraremos con que no se le va a enviar al emisor del mensaje de audio el doble check azul, y tu privacidad seguirá bajo tu control para que el mensaje de que lo has leído llegue cuando y cómo tú quieras.
 |
| Figura 4: El audio se guarda como fichero .ogg |
Así de sencillo, con darle al botón descargar desde WhatsApp Desktop. Una mina tener WhatsApp Desktop, que ya sabéis que lo uso también para grabar las fotos, vídeos y audios de un sólo uso. Pues también para esto.
Mi Grupo de Audios sin doble check azul
El segundo de los tricks es tan sencillo como hacer un re-envio del audio sin escucha a un grupo de Whatsapp en el que estés tu solo. Para hacerte ese grupo es tan sencillo como hacer un grupo de WhatsApp en el que metes a un amigo. Luego le sacas del grupo, y te quedarás tú solito en ese grupo.
 |
| Figura 5: Mensaje reenviado para escuchar sin check azul |
Después, cuando llegue un audio y quieras escucharlo sin que le llegue el doble check azul, lo único que tienes que hacer es re-enviar ese audio al grupo en el que estás tu sólo, y allí lo puedes escuchar sin que no tengas el doble check enviado al emisor del mensaje de audio original.
 |
| Figura 6: En el mensaje original no se avisa |
Muy sencillo, y muy cómodo, con lo que no tienes que preocuparte de que sepa nadie si lo has escuchado y cuándo lo has escuchado.
Envíalo con tu iPhone a otra app
El último de los ticks - tan viejo casi como WhatsApp - consiste en darle a Reenviar, pero en lugar de enviarlo internamente - supón que no tienes el grupo en el que estás tú solo aún - y te lo envías a otra app.
Figura 7: Selecciona el audio y dal a Reenviar
Seleccionas el audio, sacas el menú de acciones y le das a re-enviar, pero en luego, como veis en la imagen siguiente, en lugar de selección el envío interno con la flecha de abajo a la izquierda, seleccionas el envío externo con una app del sistema con el icono de abajo a la derecha.
Figura 8: Envío con aplicación externa
Ahí te saldrán la lista de las apps que quieres utilizar, que puede ser enviarlo en mi caso vía AirDrop al equipo, pero como no lo tengo cerca, pues lo envío por Telegram a los Saved Messages, pero puedes enviarlo por e-mail adjunto, o como quieras.
Figura 9: Envío a Telegram Saved Messages
Y luego en Telegram le das a reproducir y te escuchas el audio fuera de WhatsApp, con lo que no se queda marcado como que el audio ha sido escuchado.
Figura 10: Escúchalo en Telegram
Eso es todo, nada más que un recuerdo de viejos tricks que siguen funcionando en WhatsApp por si alguno de ellos no lo conocías, que son todos muy cómodos según te pillen en ese momento, y que te van a ayudar a gestionar tu privacidad como tú quieras.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados 28 Sep 9:34 PM (24 days ago)
Esta vulnerabilidad de AgentFlayer en ChatGPT tiene ya un par de meses, y está, por supuesto, corregida, pero es un ejemplo curioso que no me gustaría dejar sin publicar. El ataque se basa en plantar un ataque de Prompt Injection que cambia el alineamiento de un modelo mediante la inclusión de promts ocultos en documentos que la víctima va a procesar.
Supongamos que alguien envía a la víctima un documento de 70 páginas en PDF con toda una lista de normas, y ésta, en lugar de leerlo manualmente hace algo muy común hoy en día, que es pedir a ChatGPT que lo resuma.
Hacer esto, enviar un documento grande a una persona, y ponerle un deadline muy corto para que haga algo sobre lo que viene en él, es una incitación directa para que pida a un modelo que lo resuma. Ese es un buen truco para recordar. Así que ya tendríamos la forma de conseguir que el Prompt se ejecutara en el esquema de la víctima.
Como los modelos no tienen protecciones robustas contra el desalineamiento como las propuestas por SecAlign, un atacante puede conseguir que una acción tan sencilla como resumir un documento acaba en enviar mensajes de correo, renderizar imágenes, o buscar un determinado documento en un repositorio. Y de eso se aprovechó AgentFlayer en ChatGPT.
En este caso, AgentFlayer se aprovecha de los Conectores de ChatGPT que permiten que un usuario conecte ChatGPT con sus almacenes de datos, sean estos Google Drive, SharePoint Portal Server o cualquier otro, con lo que le va a pedir con el Prompt Injection oculto en el documento que busque archivos con, en este ejemplo, API Keys. Podría ser cualquier otro.
El objetivo es que cuando ChatGPT resuma el documento envenenado con el Prompt Injection, se desalinee y se olvide del resumen para buscar en el Google Drive de la víctima el archivo que tiene las API Keys. Y luego hay que sacarlas para que lleguen a las manos del atacante.
El truco es de nuevo la carga de una imagen remota, en un servidor controlado por el atacante, que como podéis ver en el Prompt de ataque, inyecta las API Keys en los parámetros de la URL. Pero... ChatGPT no permite renderizar imágenes de cualquier sitio.
Por suerte, sí que permitía de cualquier almacén de documentos en Microsoft Azure, así que no fue muy difícil para este exploit encontrar la forma de exfiltrar la información sensible que se buscaba.
Como siempre digo, AgentFlayer en ChatGPT no fue el primero ni ha sido el único en conseguir un Prompt Injection exitoso en un modelo de frontera de los grandes, que ya hemos visto muchos de estos casos, como tenéis en estos artículos que tenéis publicados aquí:
- Hacking Gitlab Duo: Remote Prompt Injection, Malicious Prompt Smuggling, Client-Side Attacks & Private Code Stealing
- EchoLeak: Un Cross Prompt Injection Attack (XPIA) para Microsoft Office 365 Copilot
- Google Gemini para Gmail: Cross-Domain Prompt Injection Attack (XPIA) para hacer Phishing
- Taxonomía de Fallos de Seguridad en Agentic AI: Memory Poisoning Attack con Cross-Domain Prompt Injection Attack (XPIA)
- Hacking IA: Indirect Prompt Injection en Perplexity Comet
- ShadowLeak Attack para Agentes IA de Deep Research en ChatGPT
- ForcedLeak: Indired Prompt Injection en Salesforce AgentForce
- AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados
Y en el caso de ChatGPT, que es el modelo más popular que tenemos, los investigadores han puesto el foco bien puesto, y son varias la vulnerabilidades que les ha afectado. Merece la pena que te leas estos artículos para que veas cómo piensan los investigadores de ciberseguridad.
- ChatGPT Bugs
- Bugs en la Implementación OAuth de ChatGPT
- Cómo robar cuentas de ChatGPT con "Wildcard Web Cache Deception"
- ShadowLeak Attack para Agentes IA de Deep Research en ChatGPT
- PROMISQROUTE para GPT-5: Un ataque de downgrade forzando el Routing para hacer Jailbreak
- Más de 100.000 conversaciones de ChatGPT y Perplexity indexadas en Bing
- AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados
Algunas de las propuestas por los investigadores para evitar estas técnicas de Prompt Injection por diseño las podéis leer en estos artículos:
- Prompt Injection Protections: Jatmo, StruQ, SecAlign & Instructional Segment Embedding
- Google DeepMind CaMeL: Defeating Prompt Injections by Design in Agentic AI
- LlamaFirewall con PromptGuard 2, LlamaGuard 4, AlignmentCheck, CodeShield + AutoPatchBench & CyberSecEval 4
De los problemas de falta de seguridad por diseño en lo LLM como ChatGPT os hablé en la charla que di en OpenExpo Europe 2025 / Metaworld Congress 2025 titulada "Hackin’ AI: Creando una IA… ¿Qué puede salir mal?", donde también aproveché a contar muchas cosas de por qué esto es así, que hay que entender bien el funcionamiento de estos modelos para saber por qué nos suceden estos problemas.
Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)