Cómo formarse en Ciberseguridad: Un podcast con dos "hackers"

Como sabéis, llevo años siendo Mentor del Campus Internacional de Ciberseguridad. Entre otras cosas, todos los alumnos tienen libros de 0xWord y  Tempos de MyPublicInbox para contactar conmigo, y pueden incluso hacer Proyectos de Fin de Máster que yo les proponga. Cada uno de ellos decide cómo sacarle el máximo partido a su periodo de formación. 

Figura 1: Cómo formarse en Ciberseguridad.

Un podcast con dos "hackers".

(Imagen hecha con IA)

Ahora tenemos la edición número 19 del Máster de Ciberseguridad que comienza en Octubre y con motivo del cierre antes del verano, hicimos un podcast con dos de los "padawans" que han hecho cosas conmigo. El primero es Juan Luis Cuenca, que se animó a hacer un proyecto sobre LLM-Guardian, del que os publiqué dos artículos que podéis leer aquí mismo:

• LLM-Guardian: Sistema Multi-Agente de Defensa LLM con Red Team Adversarial Inteligente
• LLM-Guardian v3.0 "SENTINEL": Monitorización Continua de LLMs Corporativos

Juan Luis Cuenca, se animó a seguir con su formación, e hizo también el curso de Quantum Security donde también hizo un proyecto muy interesante, y ahora acaba de terminar un libro con nosotros en 0xWord, que os publicaremos en breve, lo que demuestra que no hay como tomárselo en serio para que se puedan hacer muchas cosas.

Figura 3: Contactar con Juan Luis Cuenca Ramos

Si escucháis el podcast, os sorprenderá el origen de Juan Luis Cuenca. Y se decidió a escribirme por MyPublicInbox, comenzamos a trabajar y hasta hoy.  También está en nuestra conversación David Padilla, que con amor y pasión por este mundo se apuntó a aprender Seguridad Ofensiva, y acabó contactando con nosotros, y escribiendo uno de los libros más chulos que hemos publicado recientemente. 

Figura 4:"Bug Hunter" escrito por David Padilla en 0xWord

Este libro ha sido desarrollado desde la experiencia de alguien que empezó desde cero, con curiosidad y constancia, documentando cómo se descubren vulnerabilidades, cómo se entienden y cómo se reportan. No pretende vender la imagen de un “Bug Hunter” que gana miles de dólares, sino mostrar el proceso real: aprendizaje, errores, frustración y evolución de un usuario estándar, que hoy con el uso de la IA ha cambiado drásticamente esta profesión.

Figura 5: Contactar con David Padilla Alvarado

Los tres, con nuestra compañera María del Campus Internacional de Ciberseguridad estuvimos hablando un poco de lo que ha sido la experiencia de formación para ellos, lo que es trabajar en esta profesión, y la importancia de las comunidades para seguir formándonos, aquí tienes la sesión de una hora de conversación.

Figura 6: Cómo formarse en Ciberseguridad

Como verás, hablamos de muchas cosas, pero sobre todo de cómo ha sido su experiencia aprendiéndose. No os engañéis, es solo el primer paso, que esta profesión nuestra exige tener que estar formándose constantemente, pero si te apetece el próximo 8 de OCTUBRE de 2026 dará comienzo la edición número 19 del Máster de Ciberseguridad .

Figura 7: 19 Edición del Máster Online en Ciberseguridad en el

Campus de Ciberseguridad: Promoción 2025-2026 Abierto el Registro

Ser un profesional en ciberseguridad no ha dejado de cambiar, pero en los últimos dos años se ha acelerado drásticamente, así que si te quieres dedicar a esto, ponte las pilas todo lo que puedas. Charlas, cursos, libros, papers, investigaciones, eventos y de manera constante.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

ExploitBench: Un benchmark para medir las capacidades de Agentes IA en la explotación de bugs

Hace unas semanas os hablé de ExploitGym, un benchmark que podía a competir los modelos de IA en la búsqueda y explotación de vulnerabilidades, sobre un total de 898 bugs que debían ser localizados y explotados. Hoy os hablo de Exploitbench, que aunque está centrado en medir también las capacidades de hacer Vibe-Exploiting o búsqueda y explotación de bugs, miden las capacidades de manera incremental por fases, no sólo la explotación completa.

Figura 1: ExploitBench - Un benchmark para medir las capacidades

de Agentes IA en la explotación de bugs 

El utilizar los modelos LLM más avanzados para hacer "Hacking y Pentesting con Inteligencia Artificial", es algo de lo que llevamos hablando más de dos años, pero con la llegada de Mythos, esto ha complicado drásticamente la vida de los CISO en las empresas, como os conté en el artículo: "El impacto de Mythos en concreto y la IA en general en el trabajo de los CISOs".

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Medir las capacidades de todos los modelos, y sobre todo tener una imagen granular de lo que es capaz de hacer cada uno de ellos es lo que intenta el trabajo de ExploitBench que tenéis publicado en este paper académico titulado: "Exploitbench: A capability ladder benchmark for LLM Cybersecurity Agents", que como veis, independientemente de qué modelo LLM o LLMs estés utilizando, mide la calidad de los Agentes AI creados para hacer la búsqueda y explotación de bugs.

Figura 3: Exploitbench: A capability ladder benchmark for LLM Cybersecurity Agents

El benchmark está formado por 41 niveles en los que se entrega por cada vulnerabilidad el Código Fuente (C), el fichero en Binario (B), las Capacidades que se van a medir, y por tanto, banderas - flags - que debe conseguir el Agente AI, llamadas (K) y el Prompt (P) del nivel, con el identificador, una descripción, y el diff del parche que corrige el bug. Es decir, información para hacer finding,  reversing y exploiting completo de una vulnerabilidad.

Figura 4: Composición de los bugs a explotar de Exploitbench

A partir de ese momento, el Agente AI debe moverse por 5 capacidades, pasando por aplicar el parche (T5), saber cuál es la vulnerabilidad (T4), y saber explotar las primitivas (T3) que eso no quiere decir que sea capaz de construir aún el exploit funcional para ese bug de 1-day.

Figura 5: Capacidades T-3, T-4 y T-5 en Exploitbench

Con estas primeras capacidades estaríamos hablando de la parte de descubrir y entender que hay una vulnerabilidad que se puede explotar. Es decir, estamos en la parte de descubrimiento y documentación de la vulnerabilidad, pero hay que ir más allá, los Bug Hunters con IA son mucho más peligrosos y tienen que hacer el exploit.

Figura 6:"Bug Hunter" escrito por David Padilla en 0xWord

En las fases T-2 y T-1, se debe pasar a la parte compleja de la generación de un exploit. Es decir, deben conseguirse los info-leaks para poder saltarse las protecciones de la memoria, DEP, ASLR, Function Calling, etcétera, y conseguir salirse de la SandBox, para terminar con un control de flujo completo del exploit en la fase T-1, lo que daría un exploit funcional completo.

Figura 7: Capacidades T-3, T-4 y T-5 en Exploitbench

Explicadas los diferentes niveles de capacidades medidos, podemos ver en la tabla los resultados medidos para cada uno de los Agentes AI - basados en diferentes modelos LLM - donde queda claro que la superioridad de Mythos buscando y explotando vulnerabilidades es espectacular, entendiendo todas las vulnerabilidades en T-1 y llegando a explotar completamente 18 de ellas en T-5, con un coste medio de 203.93 USD por exploit.

Figura 8: Resultados empíricos de Exploitbench

El coste de 204 USD por exploit es totalmente irrisorio para el mundo del que venimos, pero que deja claro que el mundo al que vamos en la búsqueda y explotación de vulnerabilidad es puramente IA. En el estudio, haciendo algo de Vibe-Exploiting y haciendo coaching a GPT-5.5, en tres intentos, fue posible hacer un exploit funcional en T-5. 

Figura 9: Resultados GPT-5.5 en tres intentos con coaching

En este caso, hablamos de hacer un exploit funcional con técnicas similares a cómo os conté en el artículo titulado: "Cómo crear un exploit 1-day sobre un CVE de Chrome con Vibe Coding usando Claude Opus (no Mythos) y poner en jaque todas las apps en Electron", donde se le hacía coaching al modelo para lograr el exploit funcional.

Figura 10: Tabla completa de pruebas con 3 intentos

En los apéndices del paper tenéis las tablas y gráficas con todas las mediciones. En la anterior están los 41 bugs 1-day con sus CVE para que puedas comprobar la dificultad de todos ellos, que como podréis ver, son todos de la V8 de Chromium, debido a su importancia en el mundo del desarrollo de apps. 

Un mundo de Hacking con IA

El mundo del Hacking, el Pentesting y la Ciberseguridad no existen nunca más sin el uso de Inteligencia Artificial, así que más vale que te pongas las pilas si quieres dedicarte a esto. 

Figura 13:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han  escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)