La charla la impartí a través de Internet, y la he subido a mi canal de Youtube, donde ya sabéis que voy recopilando todo lo que voy a haciendo en forma de charlas a lo largo de mi vida profesional - aunque algunas eran previas a la existencia de Youtube -.
Y nada más, que disfrutéis el jueves de Halloween, y tengáis una noche terrorífica con los disfraces y las fiestas, pero que sea todo con mucha salud y responsabilidad. Nada de sustos con los verdaderamente malos, que los monstruos esta noche sean solo disfraces.
La Inteligencia Artificial está produciendo una disrupción en todas las industrias profesionales, y en el caso de la Ciberseguridad es clarísimo su impacto. Los que seguís el lado del mal, mis conferencias o simplemente la actualidad tecnológica, ya sabéis lo importante de la Inteligencia Artificial en la Ciberseguridad, tanto como la utilizan los atacantes como los equipos Blue Team, Red Team o Purple Team en las empresas.
La formación tendrá lugar durante el mes de NOVIEMBRE de este año. Sólo hay una edición este curso académico, y las plazas están limitadas. Los módulos que tiene la formación, de un total de 48 horas, están centrados en temas actualizados a día de hoy, que hemos clasificado en:
Coding for Hacking & AI
AI Tools & Frameworks, Python Models, ML, GAN & GenAI Algorithms
Cybersecurty Foundations
Offensive & Defensive Security, Bugs, Exploits, Pentest, threats & Red Team Workloads
AI Foundations
Machine Learning, Deep Learning, RL, Cognitive Services, GANs & GenAI
AI for Cybersecurity: Threat Hunting
ML & DL for TH, Cognitive Services for CyberSecurity, Biometry, Eye Gazing, Solutions
AI for CyberSecurity: DeepFakes
APT with DF Tech, Synthetic Humans, Human Biometry, AI for Anti-DF Tech
AI for Cybersecurity: Language Models
SLM/LLMs for Red Team, Testing, OSINT, Exploiting, Automating
Attack & Protect LLM Apps & Services
GenAI Digital Services, RAG Architectures, OWASP Top 10, Jailbreak, Firewalling, Content-Safety
Todas las clases se harán online por la tarde, pero hay tres actividades presenciales que tendrán lugar en la Universidad de Deusto en Bilbao a la que puedes asistir en presencial u online, y dará comienzo el próximo 4 de NOVIEMBRE.
Como podéis ver, yo estaré en varias actividades, como la presentación de proyectos, haré una conferencia presencial, estaré en la inauguración, y tendré una sesión de Q&A con los alumnos para responder dudas de la formación, o de orientación profesional en este mundo. Además, las clases las tendrás con muchos que seguro que ya conoces de mi equipo de Ideas Locas, y los proyectos, artículos, libros y charlas de los que vamos hablando por este blog.
Como complemento de la formación, además de las clases, la conferencia, la sesión de Q&A, los alumnos recibirán 5.000 Tempos para preguntar a los profesionales a través de MyPublicInbox después de que acabe el curso, y los libros de Ethical Haking y el de Machine Learning & Ciberseguridad de la editorial 0xWord.
También tendrán un Test de Singularity Hackers para tener una evaluación de sus capacidades y compatibilidad con roles profesionales en ciberseguridad, una entrada para poder asistir a OpenExpo Europe 2025. Además los alumnos tendrán la posibilidad de convertir su buzón de MyPublicInbox en un Perfil Público para poder tener mayor visibilidad profesional en Internet.
Registro al Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad"
Si eres estudiante de Grado de Informática o de Máster, si estás trabajando o quieres trabajar en Ciberseguridad, o si has terminado tus estudios de Informática, Telecomunicaciones, Matemáticas, Física o Ingeniería, y quieres dedicarte al mundo de la Ciberseguridad aplicando Inteligencia Artificial, entonces esta es tu ÚLTIMA OPORTUNIDAD DE REGISTRARTE PARA ESTE PROGRAMA y formarte en lo último de lo último que estamos viendo hoy en día en nuestro mundo.
Seguramente habrás soñado alguna vez con ser astronauta, y probablemente habrás imaginado a
un hombre con el traje espacial realizando un “paseo espacial”. En parte, no te falta razón. En la
famosa misión “Apolo 11” viajaban tres astronautas: Neil Armstrong, Michael Collins y Buzz Aldrin.
Las cosas han cambiado mucho desde entonces, como ocurre con cada misión espacial.
Figura 1: ... un gran salto para la humanidad
Estas
misiones pueden desencadenar revoluciones tecnológicas y científicas. Por ejemplo, en la misión
“Apolo 11” se utilizó el Apollo Guidance Computer, la última tecnología de la época, con un peso
de 31 kg.
Hoy en día, la NASA sigue innovando. Conozco a una ingeniera que está desarrollando sistemas
de comunicaciones resilientes en entornos hostiles, como la Antártida. Y sí, hablo en femenino
porque en las misiones espaciales también hay mujeres extraordinarias, capaces de desafiarse a
sí mismas para llevar la tecnología un paso más allá. En 1969, durante la misión Apolo 11, también
hubo mujeres clave, conocidas como las “Figuras Ocultas”. Muchas de esas pioneras tienen "microhistorias" como la de Don Eyles y su hacking al Apollo XIV para salvarlo.
Una de estas pioneras fue JoAnn Hardin Morgan, la primera ingeniera de la NASA. No lo tuvo fácil en sus
inicios cuando se unió a un equipo formado solo por hombres: algunos de sus compañeros la
veían como una intrusa, aunque muchos de ellos también la apoyaron de manera incondicional. Y gracias a su trabajo se convirtió para la historia como una de las grandes "mujeres hacker" que probablemente no conocías.
Morgan trabajó en los programas Mercury, Gemini y Apolo, y tuvo acceso al panel de control en la
sala de lanzamiento del Apolo 11. Cuando Karl Sendler, jefe de comunicaciones, solicitó
personalmente su presencia en la sala de lanzamiento del Apolo 11, Morgan quedó
“prácticamente extasiada”.
Katherine Johnson es, probablemente, la más conocida de las mujeres citadas en este artículo,
gracias a la película Figuras ocultas. El largometraje cuenta la historia de esta matemática y de un
nutrido grupo de mujeres calculistas afroamericanas que, desde la División Segregada de Cálculo
del Ala Oeste del Centro de Investigación Langley, ayudaron a la NASA en su carrera espacial.
Conocida por su gran precisión en la navegación astronómica, Johnson calculó, entre otros, la
trayectoria para la misión Mercury de 1961 (la que llevó al astronauta Alan Shepard a realizar el
primer vuelo suborbital estadounidense) y la del vuelo del Apolo 11 a la Luna en 1969.
Cabe destacar que la Agencia Espacial Europea (ESA) también juega un papel crucial en el
desarrollo tecnológico de las misiones, como los satélites. Rubén Santamarta, a quien admiro
profundamente, podría orientarnos sobre la seguridad de estos sistemas.
En 1998, Pedro Duque, el único astronauta español durante más de 30 años, participó como
Especialista de Misión en el vuelo STS-95 del Transbordador Espacial. Su trabajo en gravedad cero
abrió nuevas posibilidades para aquellos con una mentalidad “hacker” como nosotros, explorando
otras condiciones físicas. Recientemente, tuve el placer de escucharle personalmente hablar sobre la importancia de
invertir medios en el espacio, como lo hace en esta entrevista.
En 2024, España cuenta con un nuevo astronauta graduado, Pablo Álvarez Fernández, quien
volará al espacio a comienzos de 2026, probablemente a la Estación Espacial Internacional, y al
igual que su antecesor, desarrollará investigaciones sobre los fenómenos de la gravedad.
Lo más emocionante es que contamos con Sara García Alonso, la primera mujer astronauta
española y también bióloga molecular. Ella seguirá los pasos de las mujeres “hacker” de la misión
Apolo 11, desafiando sus propios límites al investigar en micro-gravedad para encontrar una
posible cura para el cáncer a largo plazo. ¿Cómo? Simple, la ingravidez mata las células
cancerígenas. Aun así, Sara defiende que “no debemos caer en el sesgo de confirmación”, una
frase que nos despierta la llama de la curiosidad.
La curiosidad mueve el mundo. Sin dicha curiosidad, no habríamos avanzado hasta hoy. Necesitamos un
estímulo, una ilusión, que nos ayude a avanzar y a hackear el futuro. Como diría el gran ChemaAlonso, un hacker, es una persona con mucha curiosidad y grandes habilidades en un ámbito
específico, que lleva más allá lo que inicialmente se pensó. Sara García Alonso, a quien tanto admiro, y agradezco su apoyo, es una auténtica "hacker" del
cáncer.
Ayer, lunes 28 de octubre de 2024, comenzó su formación en el centro de entrenamiento de
astronautas en Colonia, Alemania, para llevar la ciencia un paso más allá y "hackear" el futuro. ¡¡
Sara, estamos contigo !! Como diría Neil Armstrong:
"éste es un pequeño paso para una mujer, un gran salto para la humanidad"
Hace un año anunciábamos la llegada a Movistar Plus+ de una nueva Living App para poder disfrutar y comprar desde la TV las entradas de los conciertos de tus artistas favoritos. Se trata de WEGOW, una plataforma innovadora que permite a los usuarios acceder a una amplia gama de experiencias musicales desde la comodidad del sofá de casa.
Hoy, y tras una evolución constante en las capacidades que ofrece la Living App, los clientes con descodificador UHD, pueden seguir descubriendo nuevos eventos musicales e interactuar con ellos desde el sofá su casa, y conseguir las entradas para ellos.
Figura 2: Living App de WeGow en Movistar Plus
Movistar Plus facilita la conexión entre los amantes de la música y sus artistas favoritos, ofreciendo conciertos acústicos exclusivos y la posibilidad de buscar y filtrar por estilo, ciudad y/o fecha para seleccionar festivales o conciertos y adquirir las entradas directamente a través de la televisión, facilitando el pago directamente a través de Pagos Online de Movistar o con Tarjeta de Crédito en TV, usando la pasarela de pago que tenemos implementada.
Figura 3: Elige la entrada que quieres comprar
En este contexto, Movistar ofrece una opción valiosa para aquellos que desean comprar entradas para festivales y conciertos de manera rápida y directa. En todo momento se podrán consultar las entradas compradas en el perfil de la Living App de Wegow que también las podrás verlas en tu perfil de Wegow en la app del móvil.
Figura 4: Paga desde Movistar o desde Wegow
Este método de pago proporciona una experiencia de compra cómoda, sencilla y sobre todo segura, minimizando los gastos asociados a compras digitales en una sola factura y aumentando la seguridad dado que no es necesario compartir datos bancarios o acceso a otros servicios que no se desean utilizar para el pago.
Figura 5: Experiencia de compra Living App Wegow
Pero no es la única opción que tienen las empresas para poder realizar ventas de sus productos a través de las Living Apps de Movistar Plus. También tienes la opción de tener una Living App con venta usando el PIN de compra, como hemos implementado en la Tienda de Movistar, donde puedes comprar los productos que se tienen desde Movistar. Todo esto, usando el sistema de Carrier Billing de "Pagos Movistar".
Figura 6: Experiencia de Living App con PIN de Compra
Por último, algunas marcas como Adolfo Domínez, Ikea, o Clickalia buscan un posicionamiento de los productos aprovechando la experiencia en televisión para hacer canales y vídeos de TV Shopping, que luego por medio de QR Codes dirigen a la audiencia a los canales de venta digitales de las empresas.
Figura 7: Experiencia de TV Shopping en Living Apps
Figura 8: Tv-Commerce de Adolfo Domínguez en Movistar Plus
Para acceder a las Living Apps de Wegow, Clickalia, Adolfo Domínguez, Ikea o Mi Movistar, simplemente hay que buscarla en la sección de Apps de Movistar Plus+, que está disponible para aquellos que dispongan de un descodificador UHD con router Smart WiFI. También se puede acceder a través del control con el botón de Aura, situado en el Mando Vocal Movistar Plus+, o con el dispositivo Movistar Home o Movistar Home Connect, mediante la pantalla táctil o por voz.
Este trabajo se plasmó en diferentes conferencias dónde Chema Alonso habló sobre ello y la importancia que tiene el controlar, a través de un segundo factor de autorización, la modificación de los datos o de la información. En la charla “My Wordpress in Paranoid Mode”, Chema, hablaba de ello en Open Expo en el año 2016:
Además, se puede seguir teniendo acceso al repositorio del año 2016 a través de su enlace en Github, aunque actualmente no es funcional debido a dependencias de alguna librería para MySQL. Esto supuso un reto para nosotros, ya que queríamos hacer que las dependencias desapareciesen.
En la nueva versión de Wordpress in Paranoid Mode se ha conseguido, ya que hemos creado una arquitectura dónde se mejora en rendimiento y ‘delays’ respecto a la prueba de concepto primera. Ya no dependemos de la red, por lo que la latencia es disminuida drásticamente.
Esto ya permitía crear diferentes esquemas de dobles autorizaciones o flujos de aprobaciones que permiten controlar cuándo y cómo se van a modificar los datos o bajo qué circunstancias, además de lo que ya podías hacer de proteger el Login de WordPress con Latch.
A modo de resumen y con el objetivo de mostrar las novedades os comentamos cómo funciona este (new) Wordpress in Paranoid Mode. Para proteger la base de datos, se crean tres operaciones en la aplicación de Tu Latch que permiten el control de diferente manera:
Read-Only: Este es el modo más restrictivo de todos. Cuando el pestillo está puesto en el en modo solo lectura, ningún usuario puede hacer login en WordPress. Únicamente se permite la lectura, por lo que no es posible realizar cambios en la base de datos (insertar, actualizar o eliminar).
Edition: En este modo se protege la edición (tabla wp_posts), por lo que no se permite la creación de nuevos posts, ni la edición, ni la eliminación.
Administration: Este modo permite proteger la creación, actualización o eliminación de usuarios, ya que actúa para proteger la tabla wp-users.
Cuando se desencadena un trigger, se comprueba el estado de Latch para ver si se tiene permitida la operación. Esto implica realizar una llamada al servicio de Latch cada vez que un trigger salta.
Ahora, hemos creado una nueva revisión de esta PoC, donde se han incluido algunas mejoras para adaptarlo a los flujos de trabajo actuales y se han optimizado algunos apartados. El mayor cambio, optimizando tiempos de respuesta y mejorando la eficiencia en el manejo de datos.
En lugar de realizar una petición al servicio de Latch cada vez que se activa el trigger, se ha implementado el uso de los WebHooks que ofrece Latch. Esto ha sido una mejora notable para solventar problemas de latencia y de rendimiento.
El agente conoce el estado de los pestillos (y se actualizan a través del WebHook). Esto permite mejorar la rapidez de las consultas para ver si se tiene al acceso a la creación, modificación o eliminación de la tabla de WordPress que se está protegiendo.
Se ha desarrollado una GUI que te va guiando por distintos pasos para la instalación del agente en local y en remoto.
Para que la instalación se realice correctamente, hay algunos requisitos:
Conexión con el motor de base de datos que contiene la base de datos de WordPress a proteger: Esta conexión debe hacerse con el usuario root. Esto es importante ya que se debe realizar la creación de la nueva base de datos que tendrá el estado de los pestillos por operación almacenados, así como la creación de un usuario para la gestión y consulta de esta tabla.
Conexión con la aplicación de Latch: Se debe disponer de una cuenta de desarrollador de Latch para crear la aplicación y obtener su ID de aplicación y su secreto. De esta manera, el instalador creará las operaciones correspondientes (read-only, edition, administration) y las almacenará en la base de datos.
Instalación del agente: El agente se ejecuta en segundo plano en una máquina con acceso desde internet y que será validado como el WebHook de la aplicación de Latch. Desde la GUI se puede instalar el agente en la máquina local o en una máquina remota a través de SSH. La máquina tiene que tener las siguientes dependencias instaladas: python3, python3-pip y gunicorn. Las pruebas de instalación de han ejecutado sobre la versión 3.12 de Python.
Justo en el vídeo de arriba te enseñamos funcionamiento del instalador, que como se puede ver es realmente sencillo y “friendly” para que lo puedas usar en tus fortificaciones de WordPress in Paranoid Mode! ... como debe de ser.
Como este es un evento organizado por los medios de comunicación, aproveché para hablar de Misinformation in the Age of GenAI, donde hablé de básicamente cuatro cosas:
Y nada más, vamos a por el fin de semana que tengo una agenda bastante cronometrada. Que disfrutéis el fin de semana, aunque sea sólo descansando y viendo cine.
Pasado mañana, Domingo 27 de Octubre, tenemos una cita en el edificio de La Nacional de New York, donde como ya os había contado, vamos a tener un encuentro pequeño para hablar de Tecnología, Innovación, Ciberseguridad y Deporte, aprovechando que estaremos allí Iker Casillas y yo para hablar de proyectos de tecnología de innovación que tienen que ver con ciberseguridad, con tecnología, con innovación y con el mundo del deporte.
La sesión será de mañana de domingo, de 10:00 a 12:00 y tendrá dos partes claras, en las que presentaremos algunos proyectos de innovación de ciberseguridad en los que estamos involucrados, así como startups invertidas por Wayra y SportBoost para dar que conozcáis qué cosas tan chulas se están haciendo.
Después, Iker Casillas y yo responderemos a preguntas de los asistentes, donde hará de maestro de ceremonias el equipo de DV7 la compañía de nuestro querido David Villa, que colabora con nosotros en muchas iniciativas de innovación, y que liderará en USAMarc Godoy.
Como sabéis, Iker Casillas, David Villa y yo estamos involucrados también en MyPublicInbox, donde podéis contactar con todos nosotros en nuestros buzones públicos. Por eso vamos a premiar a todos los asistentes presenciales con 500 Tempos gratis por asistir al evento. El lugar del evento es La Nacional, y el número de sitios presenciales es solo para 70, así que reserva cuanto antes.
Pero si quieres seguir la sesión Online lo vas a poder hacer, así que prepararemos una retransmisión en streaming para que puedas participar desde tu casa en el horario de 10:00 a 12:00 de New York City. Además, hablaremos de un proyecto de difusión y formación del uso de la tecnología en el deporte, concretamente en el fútbol y el baloncesto, en el que colaboramos con Sports Data Campus y la UNIR, que os contaremos dentro de muy poquito.
Así que, como queda muy poco tiempo, hay muy pocas plazas, y va a molar todo, si tienes hueco esa mañana de domingo o si quieres asistir online, regístrate cuanto antes.
Durante el pasado Telefónica Innovation Day 2024 también dedicamos un poco de tiempo a dos proyectos de Tu.com que tienen que ver con el mundo de la CriptografíaPost-Quantum. Uno de ellos, Tu Quantum Drop (Beta), es un servicio tipo WeTransfer del que ya os hablé, y el otro es Tu Quantum Encryption que es un sistema que permite crear un tunel extra de cifrado entre plataformas en la nube y datacenters privados.
Estos dos proyectos los conté en el pasado evento, en un slot pequeño de tres minutos y medio, y podéis verlo cortado directamente en este vídeo que os dejo publicado a continuación.
Si quieres conocer más sobre la historia de la cirptografía, y los algoritmos de cifrado RSA que estamos utilizando masivamente hoy en día, te recomiendo que te leas este libro de Cifrado de las comunicaciones digitales:de la cifra clásica a RSA 2ª Edición de 0xWord que te va a aclarar muchos de los conceptos que que son importantes en los algoritmos PQC.
Pero con la llegada en el futuro cercado de los ordenadores cuánticos, se lleva años trabajando en algoritmos de cifrado PQC (Post-Quantum Encryption), lo que ha permitido estandarizar nuevos sistemas de criptografía que sean robustos a la existencia de estos ordenadores.
Esto, no sólo lo está haciendo el gobierno de Estados Unidos, y las empresas también estamos trabajando en ello. Llevamos años con la aplicación del cifrado cuántico a las comunicaciones, y con proyectos de detección de software y protocolos inseguros a los ordenadores cuánticos, para tener información sobre qué hay que cambiar a algoritmos Post-Quantum Encryption (PQC), a sistemas de Quantum Key Distribution (QKD), o dónde empezar a aplicar los Quantum Random Number Generator (QRNG).
Ahora, entrando en detalles con respecto a Tu Quantum Encryption, no se trata más que de un end-point con un túnel con un encapsulado VPN-PQC (Post Quantum Cryptography) que se conecta directamente al servidor de Back-End en el Data-Center, y luego con el servidor en la nube, estableciendo una doble capa de cifrado. Primero una VPN-IPSec, y luego un capa de PQC por encima, lo que permite cifrar el tráfico extremo a extremo entre dos servidores a través de una interfaz pública como es Internet.
Como podéis ver en la imagen anterior, y en la explicación en el vídeo, esto permite tener la conexión a través de Internet preparada para la llegada de los ordenadores cuánticos, al tener un doble túnel PQC que además no interfiere para nada en el funcionamiento normal del sistema, ya que va sobre el túnel IPSec original.
Tu Quantum Drop
De este servicio, del que ya os hable por aquí, puedes usarlo para tener un servicio de almacenamiento y transferencia de ficheros en cloud que usa cifrado simétrico PQC para almacenar documentos en un servicio en nube, que cuando se envía a un destinatario utiliza cifrado asimétrico basado en certificados PQC de usuario para intercambiar las claves y que solo pueda descargarlo un usuario concreto.
Ahora el proyecto esta en beta privada, y buscamos Beta Testers que quieran ser parte del equipo que dé feedback de mejora sobre la solución, así que si quieres apuntarte puedes hacerlo desde ya en la web de Quantum Drop en la web de Tu.com.
Sabemos que le queda un poco a los Ordenadores Cuánticos, pero de ahora en adelante verás como todos los productos que lancemos en Tu.Com y en Telefónica, van a llevar la revisión cuántica, para asegurarnos de que estamos construyendo tecnología que poco a poco esté preparada para convivir con un mundo de computación cuántica que llevamos esperando un tiempo, pero para la que aún no nos hemos preparado del todo.
Si quieres probar cualquiera de los servicios, o deseas hacer algo relativo al mundo de las comunicaciones con cifrado cuántico o de los servicios de Post-Quantum Criptography en los que estamos trabajando, puedes ponerte en contacto con nosotros en el formulario de contacto de la web de Tu.com para empresas.
Como podéis ver, en nuestro evento contamos muchas cosas, pero os garantizo que nos guardamos algunas para el próximo Mobile World Congress 2025, que estamos en modo Delivery, Delivery, Delivery, y nosotros ya estamos trabajando con ese deadline en la cabeza.
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
_(cropped).jpg)
Para consultas puedes usar el 
