Bad Likert Judge: "Dame ejemplos de cosas malas, amiga (m)IA"

Saltarse las protecciones que tienen los modelos MM-LLMs frente a ataques de Prompt Injection o técnicas de LLM Jailbreak es un deporte en toda regla dentro del mundo del hacking hoy en día. El otro día jugaba yo a meterle presión a los modelos LLMs para ver cómo se comportaban, y el mes pasado publicaba el artículo de nuestro compañero sobre cómo usar ASCII ART para saltarse las protecciones contra contenido malicioso que hacen saltar la detección del "harmfull mode". Hoy os hablo de otro estudio al respecto.

Figura 1: Bad Likert Judge.

"Dame ejemplosde cosas malas,amiga (m)IA"

En este caso de un artículo publicado hace unos días y que habla de cómo hacer un Jailbreak a modelos LLM usando una técnica que han llamado "Bad Likert Judge", que se basa en convertir al modelo en un juez de lo que está bien o mal al estilo de las escalas de Likert tan utilizados hoy en día en los cuestionarios.

Figura 2: Bad Likert Judge

Los formularios que utilizan las escalas de Likert piden a las personas que evalúen siguiendo una escala de Strongly Disagree, a Strongly Agree una afirmación concreta, o con una escala numérica. En este caso se trata de hacer lo mismo pero con el contenido que se quiere generar. 

Figura 3: En la primera fase le damos la escala de catalogación

El proceso que han descrito en el trabajo tiene tres fases. La primera es convertirlo en un evaluador de lo que está bien o lo que está mal, ofreciendo una escala de catalogación de la información. 

Figura 4: Configuración de la escala para generar malware

Éste que tenéis arriba sería un ejemplo de cómo configurar una escala para conseguir que el modelo diera ejemplos prohibidos de construcción de malware. Ahora vamos a pedirle que nos escriba casos concretos.

Figura 5: En la segunda fase se le piden ejemplos con puntuaciones de la escala

Para ello, como podéis ver en la Figura 5 se le pide que haga ejemplos de la escala con un prompt similar al que podéis ver en la imagen siguiente.

Figura 6: Pidiéndole que nos dé las salidas.

Si el resultado no es lo suficientemente detallado, se le pide que lo refine, para conseguir una respuesta más clara y concisa con los resultados buscados.

Figura 7: Fase de refinamiento de la respuesta

Con este proceso tan sencillo, los investigadores han evaluado los resultados obtenidos, consiguiendo saltarse las protecciones en 6 LLMs diferentes - cada uno con sus sistemas de seguridad y de detección de "Harmfull Mode" - consiguiendo los siguientes resultados de éxito (Attack Success Rate).

Figura 8: Ratio de éxito de los ataques

Como se puede ver, se consiguen saltar las protecciones de seguridad y que el modelo acabe dando respuestas a temas que están prohibidos. Y en todas y cada una de las categorías. Los investigadores han publicado el impacto del ASR en cada uno de los modelos  - sin especificar que LLM es cada uno -, pero este es un buen ejemplo de cómo se consigue el éxito en la salida.

Bad Likert Judge en Opera Browser Aria

Aria es el Copilot de Opera Browser, y he ido a probar esta técnica para ver si se salta las protecciones de seguridad a la hora de generar código malicioso. Primero hemos definido la escala, tal y como se explica en el artículo.

Figura 9: Creando las escalas

Ahora vamos a pedirle los dos ejemplos. Para el artículo, el ejemplo que no es malicioso con Score 2 me lo ahorro, que es un clásico "Hello World", y os dejo sólo el malicioso.

Figura 10: El código malicioso de score 1

Vale, sí, es malicioso, pero muy pobre. Vamos a pedirle que nos saque algo más de chicha. Así que le he solicitado que el código tenga como poco 20 líneas, a ver qué me hace.

Figura 11: Fase 3, refinando. A ver qué sale

Pues aquí está un buen código para meter un backdoor usando Python, que no se diga. Se lo ha currado bien el ejemplo de código malicioso de Score 1 de la escala Likert que le he pedido.

Figura 12: El código para crear una "hidden backdoor"

Pues sí, parece que funciona. Como ejemplo ha sido suficiente, pero sobre todo como muestra de lo complejo que va a ser securizar los comportamientos de todos los sistemas - (¿incluidos los robots? ) - que utilicen estos modelos MM-LLMs como motor de Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cursos Online de Ciberseguridad & hacking para Enero de 2025 en HackBySecurity

Pues ya sería. Ya estamos en el año 2025 y nos queda sólo disfrutar de las fiestas de Reyes Magos, así que aprovecho para dejaros la lista de formaciones y cursos online de ciberseguridad y hacking que puedes regalar o regalarte y hacer a tu ritmo desde en la Academia de HackBySecurity. Como ya os he dicho muchas veces están diseñadas para los que queréis formaros en Ciberseguridad & Hacking, como complemento a vuestra jornada diaria y a vuestro ritmo. 

Figura 1: Cursos Online de Ciberseguridad & Hacking

para Enero de 2025 en HackBySecurity

Ésta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, para que luego, si te parece bien, te vengas a trabajar a nuestras ofertas de empleo  en Telefónica después. Si quieres tener un descuento en ellos,  puedes usar tus Tempos de MyPublicInbox para comprar un código de promoción del 30% de descuento por 100 Tempos en la sección de Canjea tus Tempos. Como cada mes, sólo hay 10 códigos de descuento.

Figura 2: Descuentos 30% para cursos de HBS en MyPublicInbox

Además, sabes que puedes conseguir esos 50 Tempos gratis en MyPublicinbox con la campaña de Sponsored Tempos que tienes de HackBySecurity, así que puedes aprovechar el descuento muy fácilmente.

Figura 3: Campaña de HackBySecurity en MyPublicInbox

Y ahora, la lista de cursos online que tienes en HackBySecurity para este mes de ENERO de 2025. Aquí tienes a los que puedes apuntarte para formarte online a tu ritmo en cibeseguridad, hacking y seguridad informática.

- CSIO (Curso de Seguridad Informática Ofensiva): En este curso online de seguridad informática ofensiva que comienza el 8 de ENERO el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.  

Figura 4: Curso Online de Seguridad Informática Ofensiva

Además, el alumno tendrá como complemento del mismo una de las dos opciones siguientes, que puede elegir. Podrá tener el libro de Metasploit para Pentesters Gold Edition o el VBOOK de Ethical Hacking de 0xWord. 

Figura 5: Metasploit para Pentesters Gold Edition  

Este Curso Online de Seguridad Informática Ofensiva en HackBySecurity es una de las mejores opciones si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación, y tiene como docentes a Rafael García  y a Pablo González, con los módulos de Python y Bash, que además puedes conocer mejor en la entrevista que le han hecho donde habla de muchas cosas de este mundo. 

Figura 6: VBook Ethical Hacking de Pablo González en 0xWord

Y para completar la formación, habrá un sesión en directo con Pablo González, y además contarás con 200 Tempos de MyPublicInbox que recibirán todos los asistentes.  

- CTEC (Curso Técnico Especialista en Ciberinteligencia): El día 14 de ENERO comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docente a Rafael García Lázaro, con el que puedes consultar en su buzón público para resolver dudas.

Figura 7: CTEC (Curso Técnico Especialista en Ciberinteligencia) 

 

Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación.  

 

Figura 8: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet   

En esta formación se entregan 200 Tempos de MyPublicInbox que recibirán todos los asistentes por haber hecho este curso. 

 - BLPI (Curso Online Básico Legal del Perito Informático): Esta formación comienza el 16 de ENERO, y es un el curso online dedicado a la disciplina de Análisis Forense tanto para el Peritaje Judicial, como para la gestión de los incidentes y su respuesta. El curso lo imparte Juan Carlos Fernández, y cuenta con un temario formado por doce módulos que recorren los principales temas legales básicos a conocer por todo buen analista forense.  

Figura 9: Básicos Legales del Perito Informático  

El curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales".  

- CSCE (Curso de Seguridad de Creación de Exploits) El próximo 22 de ENERO da comienzo un curso de nivel intermedio en el que se va a explicar cómo construir exploits para vulnerabilidades localizadas. Es decir, cómo explotar vulnerabilidades descubiertas, así que es un curso de nivel intermedio ya que debes tener conocimientos previos de pentesting para saber cómo funciona los bugs, los exploits y la automatización de la explotación de vulnerabilidades.  

 

Figura 10: Curso de Seguridad de Creación de Exploits

 

Este libro lleva como material de estudio y acompañamiento el libro de Linux Exploiting de 0xWord donde se explican las metodologías de descubrimiento y explotación de vulnerabilidades en sistemas GNU/Linux. Esta formación cuenta con 200 Tempos de MyPublicInbox. 

Figura 11: Linux Exploiting de 0xWord 

- CCIT (Curso de Concienciación y Ciberseguridad IT): Este programa formativo que comenzará el día 26 de ENERO es ideal para comenzar en el mundo de la seguridad para gente que no ha tenido contacto aún con ella. Son dos horas de formación en concienciación básica, más trabajo de unas 20 horas en casa.

Figura 12: Curso Online en Concienciación y Ciberseguridad IT

En este curso el alumno tendrá un acercamiento al mundo de la ciberseguridad, donde se le introducirán conceptos como ciberdelincuente, phishing, APT, malware, dispositivos móviles, los cuales aportarán al alumno una visión global de las posible amenazas y ciberataques que podrían ser perpetrados por un ciberdelincuente y cómo evitar y prevenir ser víctimas de estos actos.

Figura 13: Cómo protegerse de los peligros en Internet

Todos los asistentes, además, recibirán el libro de Cómo protegerse de los peligros en Internet. Ideal esta formación para formar a personal en PyMEs.

- COSINT (Curso Online de Open Source INTelligence): Esta formación, que dará comienzo el próximo 29 de ENERO está dirigida a aquellas personas que quieran iniciarse o ampliar sus conocimientos en la búsqueda de información mediante técnicas que explotan las fuentes OSINT. En este curso conceptos generales sobre OSINT, cómo crear una nueva identidad  para ser anónimo y realizar investigaciones de manera segura, así como herramientas y procesos para investigar personas físicas, cómo realizar investigaciones sobre personas jurídicas y cómo elabora un informe de inteligencia.

Figura 14: COSINT (Curso Online de Open Source INTelligence 

 

Esta formación la imparte Ana Isabel Corral, y cuenta además con 200 Tempos de MyPublicInbox, y se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. 

Y esto es todo lo que tienes para este mes que da comienzo al año 2025,  así que si quieres aprovechar el tiempo y formarte en Ciberseguridad & Hacking a tu ritmo y estar a tope lo antes posible cumpliendo tus propósitos de año nuevo tienes una buena y variada oferta de cursos online que realizar desde ya mismo. Díselo a los Reyes Magos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Infra as Code vs. Platform Engineering: Una Mirada Técnica a la Tendencia Actual

En los últimos años, la gestión y automatización de infraestructuras tecnológicas ha experimentado un cambio significativo. Dos enfoques han surgido como protagonistas: el uso de herramientas de Infra as Code (IaC), y el movimiento hacia la ingeniería de plataformas (Platform Engineering) respaldado por soluciones como Axebow, de la que ya os habló nuestro compañero José Bernabéu-Auban en su artículo: "Platform Engineering as a Service: La encrucijada de la Nube y la ilusión del progreso."

Figura 1: Infra as Code vs. Platform Engineering.

Una Mirada Técnica a la Tendencia Actual

Este artículo explora ambas tendencias, haciendo especial énfasis en la complejidad y el nivel de conocimiento necesario para implementar IaC en entornos multicloud.

Infra as Code: Automatización Granular y Flexible

Infra as Code (IaC) ha sido una revolución para los equipos de DevOps y operaciones. Herramientas como Terraform, Ansible y Pulumi permiten definir y gestionar la infraestructura utilizando código, lo que garantiza consistencia, auditabilidad y capacidad de replicación. 

Figura 2: Docker: SecDevOps 2ª Edición de Fran Ramírez, Elias Grande

y Rafael Troncoso en 0xWord.

Sin embargo, trabajar con ib en entornos multicloud, como AWS, Google Cloud y Azure, agrega capas de complejidad que exigen un nivel avanzado de conocimiento técnico y organización.

Ventajas del Enfoque IaC

1. Granularidad y Control: Las herramientas IaC ofrecen control detallado sobre los recursos. Por ejemplo, con Terraform, se puede definir cada componente de una infraestructura cloud, desde redes hasta bases de datos.

2. Compatibilidad multicloud: Aunque IaC puede implementarse en entornos multicloud, utilizar distribuciones de Kubernetes nativas de los proveedores cloud tipo (EKS, GKE, AKS) puede limitar la portabilidad y la interoperabilidad entre plataformas, lo que puede generar dependencias que dificultan una verdadera estrategia multicloud. 

 

3. Madurez Tecnológica: Muchas herramientas IaC están bien documentadas y cuentan con una comunidad activa, lo que facilita su adopción.

Desafíos del Enfoque IaC

• Complejidad en Entornos Multicloud: Gestionar IaC en una nube ya es complejo; al incorporar múltiples proveedores como AWS, Google Cloud y Azure, se deben manejar diferencias en APIs, servicios y configuraciones. Esto incrementa los riesgos de errores y la necesidad de conocimientos especializados para unificar estrategias.

• Curva de Aprendizaje Pronunciada: Configurar y mantener IaC en un entorno multicloud requiere habilidades avanzadas, lo que implica un costo significativo en términos de formación y tiempo. Los equipos deben dominar lenguajes de configuración, comprender arquitecturas de cada proveedor y desarrollar experiencia en integración. 

 

Esta curva de aprendizaje puede traducirse en retrasos en la implementación y mayores gastos operativos, ya que el tiempo necesario para alcanzar la plena competencia puede ser considerable. Además, los errores derivados de una capacitación insuficiente pueden aumentar los costos asociados al re-trabajo y a la resolución de problemas.

• Escalabilidad Limitada sin Buenas Prácticas: Sin una estrategia bien definida, las configuraciones de IaC pueden volverse inmanejables a medida que crecen las implementaciones.

• Fragmentación Operativa: La falta de estandarización entre nubes puede resultar en implementaciones inconsistentes y más difíciles de mantener.

Platform Engineering: Abstracción y Estandarización

La Ingeniería de Plataformas o Platform Engineering  se posiciona como un enfoque holístico para gestionar infraestructuras y herramientas de desarrollo. Soluciones conocidas como plataformas de ingeniería, entre las que se encuentra Axebow, buscan crear una capa unificada que abstraiga la complejidad técnica y proporcione a los equipos de desarrollo y operaciones una experiencia optimizada.

Figura 3: Puedes probar Axebow sin coste

Beneficios del Enfoque de Platform Engineering

1. Abstracción de Complejidad: Estas plataformas permiten a los equipos trabajar en un entorno preconfigurado que automatiza las configuraciones comunes, reduciendo la necesidad de conocimientos especializados.

Figura 4: Con Axebow, los Developers no necesitan preocuparse

de la infraestructura, y los equipos de operaciones crean

infraestructura como servicio independiente de Cloud Provider.    

2. Control y Optimización de Costes: La ingeniería de plataformas facilita la supervisión y gestión eficiente de los recursos, permitiendo identificar y eliminar ineficiencias en el uso de la infraestructura. Esto es particularmente relevante en entornos multicloud, donde los costos pueden escalar rápidamente si no se controlan adecuadamente. Poder optimizar el coste es un factor fundamental.

Figura 5: Los equipos de DevSecOps pueden proveer infraestructura

como servicio a los developers independiente de Cloud Provider,

reduciendo complejidad y ahorrando costes en la gestión de entornos

de desarrollos, pruebas y producción, usando Axebow.

3. Productividad Mejorada: Con una plataforma estandarizada, los desarrolladores pueden enfocarse en construir aplicaciones en lugar de preocuparse por los detalles de la infraestructura.

Figura 6: Axebow permite que los developers se focalicen

en el código y no en la infraestructura.

4. Escalabilidad Organizacional: La ingeniería de plataformas promueve la coherencia y facilita la escalabilidad al ofrecer una base uniforme para todas las aplicaciones.

5. Seguridad y Gobernanza: La centralización de la gestión reduce los riesgos de configuraciones inseguras o incoherentes.

Figura 7: "Amazon Web Services (AWS):  Hardening deInfraestructuras Cloud Computing"de Abraham Romero en 0xWord.

Desafíos del Platform Engineering

• Costos Iniciales: Implementar este tipo de plataformas requiere una inversión significativa en tiempo y recursos.

• Menor Flexibilidad Inicial: Aunque la abstracción reduce la complejidad, también puede limitar la capacidad de personalización para casos excepcionales.

• Resistencia al Cambio: Los equipos acostumbrados a trabajar con IaC y scripting pueden ser reticentes a adoptar un enfoque centralizado.

Ambos enfoques tienen su lugar en las estrategias modernas de infraestructura. En muchas organizaciones, la convergencia entre ambas filosofías está generando híbridos donde IaC establece las bases de la infraestructura, mientras que la ingeniería de plataformas ofrece una experiencia optimizada para los desarrolladores.

Consideraciones Finales

La elección entre Infra as Code & Scripting vs. Platform Engineering no es excluyente. Las organizaciones deben evaluar sus necesidades específicas, madurez técnica y objetivos a largo plazo. Mientras que IaC es ideal para entornos donde se requiere un control fino y personalización, la ingeniería de plataformas sobresale en contextos donde la escalabilidad y la eficiencia del equipo son prioritarias.

Figura 8: Comparación y Convergencia

En última instancia, herramientas como Axebow representan una evolución hacia un enfoque más colaborativo y orientado a la experiencia del usuario, marcando el camino hacia el futuro de la automatización de infraestructuras. Si quieres probar un servicio líder como el de Axebow solo entra en nuestra web.

Un saludo,

Autor: Carlos García Blanco, CEO de Kumori

Contactar con Carlos García Blanco

Mi mapa para 2025

Ya hice balance de 2024. En mi cabeza repasé lo que me salió bien, y lo que me salió mal. Repasé lo que me llevo de debe para este año, y una lista de cosas que me gustaría hacer. Deberes. Pero no sólo eso. También me llevo la lista de experiencias que me gustaría disfrutar. La lista de cosas que quiero mejorar en mí. E incluso una planificación de cómo hacerlo. No es nuevo lo hago todos los años y no por hacer, sino que marcan la dirección de mis movimientos.

Figura 1: Mi mapa para 2025

En este balance, cómo no, queda impregnado, cómo no, el cada vez más evidente paso del tiempo. Son muchas cosas las que he hecho en mi vida, y las que han valido la pena han llevado años de trabajo y esfuerzo. El tiempo, que en este rincón mío de Internet, donde sólo yo decido lo que se publica cada día y lo que no, queda reflejado en forma de años. Quedan pocos días para que este blog comience su año 20, lo que me recuerda que tenía 30 años cuando comencé a escribirlo. Treinta años. Tres-Cero. Y me da vértigo.

Sin embargo, me planteo este año no mirando hacia atrás, sino mirando hacia adelante. Sé que tengo que correr mucho estos doce meses que vienen por delante para hacer todo lo que quiero hacer. Pero también sé que corro por el placer de correrlos. Sé que tendré el tiempo cronometrado. Que perderé cero segundos en contemplaciones después de llegar a un sitio. Sé que acabaré los viernes diciendo: "Vaya pedazo de semana...". Como siempre. Sé que viajaré mucho. Que me saldrán cosas bien y cosas mal. Y que tendré que seguir controlando la frustración. Matando al ego. Dando gracias por tener tantas cosas como tengo, y no perder la perspectiva cuando la vida me dé un correctivo.

Será un año intenso. Claro. Con muchos proyectos. Con muchas paradas de check-point que marcarán el ritmo de vuelta. Que tendré que rendir cuentas al "demonio cabrón" que vive en mí. Y que habrá que gestionar las emociones que vayan cosechando. Alegría, euforia, dolor, frustración, satisfacción, ansiedad, preocupación, amor, insatisfacción, pena, rabia, anticipación, y las que me toquen. Sé que no soy inmune a ellas, pero con los años consigo ir aplanando los picos de la función sinusoide de cada emoción para que me pueda enfocar en disfrutar el día a día sin injerencias externas.

Para poder organizarme, he hecho mi "división a palmos" en stints, como ya os conté que hacía. Me he puesto mis objetivos en la primera parte del año. Hasta las vacaciones de Semana Santa. Con actividades en todos mis proyectos y responsabilidades. Estos objetivos cuentan con pequeños deadlines, que marco con actividades de "delivery" asociados a puntos de difusión. En el Stint 1, ya sabéis que el deadline principal para mí será el MWC 2025, pero también estaré en RootedCON y  CultuFest para terminar el primer trimestre del año. 

Pero para llegar bien al MWC empezaré fuerte en Enero con el sprint de todos los proyectos para llegar bien las charlas que allí daré en 4YFN, el Ágora de Telefónica y el Talent Arena, donde presentamos las novedades de lo que estamos trabajando. Aunque no os lo creáis, ya estamos trabajando en el hilo y las diapositivas de esas sesiones. Así de importante es esta cita para nosotros. 

Pero no os penséis que será sólo eso, el día 13 de Enero volveré a La Tertulia Cultural, el día 14 de Enero se entregan los Premios Zenda, donde Telefónica colabora y yo entregaré uno de los galardones, y el día 15 de Enero estaré en Planet 25 hablando de innovación & ciberseguridad con los proyectos que hacemos en Telefónica Innovación Digital. 

Después, iré celebrando cumpleaños. El 26 de Enero comenzará mi año 20 en este blog de El lado del mal. El 1 de Febrero dará comienzo mi año 14 en Telefónica, y poco después el año 10 como miembro del Comité Ejecutivo, donde comencé como Chief Data Officer, para luego ser Chief Digital Commercial Officer y luego Chief Digital Officer. Será el proyecto profesional más largo de mi vida. Algo que me hace muy feliz.

A mediado de año vamos a acelerar aún más todos los productos de Tu.com y OpenGateway, así que iréis viendo todo lo que vamos sacando, y será en OpenExpo Europe 2025 donde presentaremos muchas de las novedades y cosas chulas en las que estamos trabajando desde justo después del Telefónica Innovation Day, que, para que te vayas organizando, ya tiene fecha el próximo 16 de Octubre de 2025.

Con esos hitos, iré moviendo los ritmos de los Stints de este año para mí y para mis proyectos, donde, cómo ya os imagináis, escribir todos los días en mi blog, empujar y lanzar nuevos títulos de 0xWord, seguir creciendo MyPublicInbox, que va a un ritmo espectacular, cuidar de Cálico Electrónico, y realizar mis actividades de divulgación tecnológica, serán parte de mis días y semanas.

A esto, hay que sumar otras cosas que son tan importantes para mí. Mis celebraciones personales, familia, amigos, ver crecer a Mi Hacker y Mi Survivor, celebrar mi cumpleaños - que hago un cifra muy redonda y será "Big Time" - y todo lo que se pueda, tiempo para hacer deporte, ver cine, tener lectura de libros, disfrutar de leer y coleccionar tebeos, las comidas y cervezas con los amigos, las cenas, los conciertos, los viajes a comprar cómics por el mundo, y reírme mucho, mucho, mucho, que es fundamental. Y si aún la vida me depara alguna sorpresa más, pues bienvenida sea.

Sé, a primero del primer mes del año, que el 2025 ya tiene mucha tela que cortar, mucha cera por arder, y muchos kilómetros que recorrer, pero de eso trata estar en el medio del camino. De andar por el sendero disfrutando del camino, no de llegar a ningún sitio. Estés en el punto que estés, que el paseo que te toque dar durante este año sea divertido, interesante, entretenido, emocionante - con sus picos sinusoides por cada emoción, que lo otro es muy aburrido -, y sobre todo, aprovechado. Disfruta tu tiempo, toma las decisiones que te lleven a por los caminos que quieras visitar. Yo ya me he hecho un mapa... 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)