Un informático en el lado del mal

Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo

noreply@blogger.com (Chema Alonso) — Fri, 17 Apr 2026 04:01:00 +0000

El avance de la IA Generativa y Agéntica no es nada menos que espectacular y, casi indudablemente, la mayor y más rápida revolución tecnológica de la historia. Llevamos unos años oyendo la promesa de agentes autónomos y desarrolladores multiplicados por diez, sin embargo, cuando miras a un equipo de desarrollo de software en un entorno corporativo, los atascos aún son los de siempre. La realidad es que aunque las demos presentan unos escenarios idílicos, esta tecnología no está todavía al nivel al que se nos presenta.

Figura 1: Cómo solucionar tres "Big Problems" del "Agentic AI Coding" usando Neo

Neo es el producto que hacemos en Sagittal AI, una empresa que no vende magia, sino que trata de maximizar el partido que se le puede sacar a la IA, aceptando sus limitaciones, y del cual hablé en esta conferencia que os dejo por aquí.

Figura 2: Por qué la IA no ha mejorado el rendimiento de tus Developers ... por ahora

Pero hoy os quiero hablar de tres problemas concretos que, si has trabajado en equipos de desarrollo de software seguro que conoces bien. Vamos a verlos uno a uno.

Problema: La interfaz. De secretario/a del bot a delegar trabajo

El patrón actual te será familiar: abres el chat o el plugin del IDE, te conviertes en “prompt engineer”, le explicas al agente lo que quieres, le pegas medio ticket, añades fragmentos de código, corriges lo que ha entendido mal… y vuelta a empezar. El asistente de IA no está tanto a tu servicio como tú al suyo.

El problema es que con ese esquema no puedes delegar de verdad. Tienes que estar presente, pendiente del chat, confirmando el plan, cada paso, y desbloqueando al agente cuando se atasca, o reconduciendo cuando se pierde. El cuello de botella sigue siendo tu tiempo. Mientras el humano tenga que estar “en la sala” para que las cosas avancen, la productividad solo sube un poco, nunca un orden de magnitud. Algunos CLIs e IDEs han intentado introducir gestión de tareas en background pero, en la práctica, son difíciles de configurar y usar y casi nadie las adopta.

Figura 3: Neo funciona integrado en tus plataformas de ingeniería del software

Neo resuelve este problema de forma que la interacción entre IA y humano sea exactamente la misma que entre humano y humano. No hace falta una interfaz de usuario nueva. Si se trata de delegar, ya tenemos herramientas colaborativas para delegar y trabajar en equipo: Jira, GitHub, Azure DevOps, Confluence, Figma…

Figura 4: Tools con las que se integra Neo

A Neo se le asignan tareas como a cualquier miembro del equipo, se encarga de buscar contexto en tus tickets, documentos, código, crear la rama, implementar cambios, escribir pruebas, resolver el CI si falla, y actualizar el estado de las tareas según el "Way of Working" del equipo.

Figura 5: Pull request diagrams

Tú te vas a otra cosa y vuelves cuando hay PR lista para revisar, y lo haces en herramientas que llevan 15 años perfeccionando la UX para revisar código. ¿Que quieres iterar? Comentarios en la propia PR ¿Que no te gusta el resultado? Descarta la PR, y no has perdido ni el dinero ni el tiempo.

Problema: Seguridad. CVEs críticos y teatro de permisos

La mayoría de los desarrolladores trabajan en portátiles no plataformados y con permisos de administración. Los agentes que ejecutan corren con sus mismos permisos y las mismas credenciales que usan para acceder a repositorios, pipelines y entornos en la nube. Si alguien compromete el Agente IA o uno de sus conectores, no se queda en la máquina local: entra en la organización con la identidad del desarrollador.

Figura 6: Cosas que puede hacer Neo en tus equipos de ingeniería

Los MCPs y “tools” enchufados al Agente AI agravan aún más el tema. De repente el modelo puede hablar con bases de datos internas, paneles de administración o scripts de automatización. Cuando algo falla, lo que aparece publicado son CVEs de impacto alto o crítico, porque no estamos hablando de un pequeño leak, sino de ejecución remota, escaladas de privilegios o acceso directo a datos sensibles. Si no, respasa el libro de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Los fabricantes de estas herramientas tratan de mitigar el problema interrumpiendo al Agente IA para que el usuario confirme el uso de la herramienta o recurso, pero esto deja de hacer al agente independiente y al final se acaban ejecutando en un modo “sí a todo” que invalida la mitigación.

Neo parte de un planteamiento distinto. La configuración es gestionada por los equipos de IT y seguridad, no por cada desarrollador en su portátil. Sus permisos se acotan por integraciones y políticas corporativas, de forma parecida a cuando incorporas a un contractor externo. Además, no es un sistema en el que se considera al LLM inteligente y se le pone en un loop hasta que consiga su objetivo.

Figura 8: Fix vulnerabilities before they happen

En su lugar, Neo tiene una serie de flujos deterministas optimizados para tareas de software, lo cual permite meter validaciones en cada paso del flujo, y dar a cada paso exclusivamente el contexto que necesita. Siguen siendo LLMs y el determinismo nunca está garantizado, pero Neo consigue de esta manera una ejecución mucho más predecible.

Problema: Productividad. acelerar solo al programador no mueve la aguja

Si preguntas a los desarrolladores, la mayoría dice que con IA va más rápido. Pero cuando miras las métricas del equipo, ya sea tiempos de entrega, funcionalidades desplegadas, bugs resueltos, … parece que los datos no concuerdan con la experiencia individual.

Al mirar el ciclo completo de una funcionalidad, queda bastante claro lo que está pasando: alguien pide una funcionalidad, se redacta y refina la especificación, se espera a dependencias (diseño, traducciones, otros equipos), se asigna, se desarrolla, se revisa el código, se diseña el plan de pruebas, se ejecutan los tests, se corrigen fallos y, si todo va bien, se despliega.

Figura 9: Project Plan de Ingeniería del Software

El tiempo que el desarrollador pasa escribiendo código es sólo un tramo de esa cadena. Aunque reduzcas a la mitad este tiempo, las dependencias, revisiones, validaciones y esperas siguen igual. El lead time de la funcionalidad casi no se mueve.

Figura 10: Code and test plans in Azure DevOps

Neo está diseñado para este escenario. A Neo no le das un prompt de dos líneas y por el otro lado sale un producto terminado, porque a un miembro del equipo tampoco le pides algo así. Neo ayuda a todos los miembros del equipo en todas las fases del ciclo de vida, aportando un poco a cada uno, acortando cada espera, y automatizando cada tarea monótona.

Como todo esto ocurre en las mismas herramientas colaborativas que ya usas para medir, el impacto se ve en lead time, throughput y calidad, no solo en la sensación subjetiva.

Cómo probar Neo en tu empresa.

Neo no es una herramienta para un proyecto individual ni para un equipo pequeño. Para eso, hay otras herramientas mejores. Neo no es tan potente como el último agente del que hayas oído hablar esta semana trabajando en un problema de forma autónoma todo un fin de semana. Ninguna demo de Neo te va a dejar boquiabierto.

Neo está específicamente diseñado para un entorno corporativo con equipos de entre 5 y 15 personas que siguen un proceso, ya sea ligero o pesado, coordinado en herramientas colaborativas y donde la especificación suele estar dispersa en varias herramientas y cambia constantemente.

Figura 11: Comienza a probar Neo desde hoy mismo

Puedes ver varias demos de Neo en acción para hacerte una mejor idea del concepto, y contactar con Sagittal AI para un piloto en tu empresa.

Un saludo,

Autor: José Palazón, CEO de Sagital.ai

Contactar con José Palazón

¿Qué se necesita para tener seguras las identidades digitales en la empresa?

noreply@blogger.com (Chema Alonso) — Thu, 16 Apr 2026 04:01:00 +0000

La semana pasada un amiguete y compañero de profesión me hizo esta pregunta: "¿Que necesitaría para tener seguras las identidades digitales en mi empresa?" ¿Necesitaríamos invertir más en Soluciones de Gobierno de la Identidad, de Gestión de Cuentas Privilegias, Control de Acceso, CIAM, Multifactor Authentication? ¿O sería conveniente que empezáramos a mirar soluciones de ISPM (Identity Security Posture Management) o ITDR (Identity Threat Detection and Response)?

Figura 1: ¿Qué se necesita para tener seguras

las identidades digitales en la empresa?

Una pregunta de muñeca rusa, donde una pregunta lleva a otra y a otro. Para responderle fácilmente, y comenzar la conversación con un poco más de contexto, la respondí cariñosamente que eso dependerá de los resultados de la Evaluación de Riesgos. Así que si ya tenía una duda, yo le acababa de meter un nivel más de complejidad, que hizo que se le quedara cara de sorprendida.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Hay que tener en cuenta que no en todas las organizaciones, los departamentos que gestionan la Seguridad de las Identidades Digitales, están integrados en el área de seguridad, y en muy pocos se realiza una evaluación de riesgos más o menos formal para concluir los controles a implementar en base a los riesgos identificados.

Riesgos de Seguridad de la Gestión de Identidades

Seguidamente la invite a reflexionar de manera una poco más profunda, y estuvimos comentando los escenarios riesgos principales que afectan a la Gestión de Identidades Digitales y que controles mitigantes en formato de soluciones de seguridad de la identidad sería conveniente implementar en base a los mismos:

Leavers: Casos frecuentes de personas que abandonan la compañía y cuyas cuentas de acceso a la organización no se desactivan a tiempo - o nunca- o usuarios que cambian de departamento y arrastran sus permisos de acceso a sistemas. En este caso deberíamos priorizar una herramienta de Gobierno de Identidades Digitales.

Cuentas Privilegiadas Sin Control: Administradores de sistemas o aplicaciones que mantienen el acceso privilegiado asignado de manera permanente y no se monitoriza / controla cómo usan sus privilegios. En este caso deberíamos priorizar la implementación de una solución que nos permita movernos a un escenario de Zero Standing Privileges (ZSP) y que asigne los permisos de administrador durante el tiempo que se necesiten para realizar la tarea administrativa y siguiendo el flujo de aprobación necesario.

Figura 3: Demostración de Robot de Tokens OAuth de identidades

También dependiendo del escenario podría ser conveniente implementar una solución que haga grabación e indexación de sesiones como las que aportar los Privileged Access Manager (PAM) tradicionales, aunque de manera generalista no es algo que, a mí personalmente, me guste del todo, ya que la telemetría que ofrecen hoy en día los End-Point Detection & Response (EDR) es suficiente en la mayoría de los casos para tener un tracking que nos permita identificar cómo los administradores utilizan sus permisos administrativos.

Acceso con una autenticación débil: Tanto a aplicativos como a servicios expuestos en Internet - e incluso que no están expuestos en Internet hoy en día 😊 -. En este caso los Identity Providers (IDP) que la mayoría de las empresas tienen, como pueden ser Azure AD o Google IDP, ya tiene capacidades más que suficiente para proveer una autenticación robusta, pero claro hay que configurarlos bien. Sin embargo, hoy en día una autenticación con usuario y contraseña + un Multi-Factor Authentication (MFA) compartido por SMS es algo que se nos queda un poquito cortito en cuanto a seguridad.

Figura 4: Las Yubikeys para gestión de Passkeys

Por lo tanto deberías abogar por implementar Passkeys en la medida de los posible, y ya de paso, quitamos a los usuarios el dolor de las passwords añadiendo unas políticas de acceso condicional que tengan una inteligencia mínima que haga que el sistema sea capaz de reaccionar frente amenazas del sistema de autenticación como puede ser cambios de ubicación imposibles o un usuario que se autentica con una parámetros que difieren bastante de sus comportamientos, tales como horarios y localizaciones de login.

Riesgos asociados con las identidades de Business Partners: Ya sean clientes, proveedores, o fabricantes, que consumen servicios digitales que provee la empresa. En este caso sería conveniente contar con un Customer Identity & Access Management (CIAM) que nos permita unificar la experiencia de usuario en su proceso de autenticación, aportando seguridad y reducción fricción, así como asegurar el cumplimiento a normativas que puedan ser aplicables como el Reglamento General de Protección de Datos (RGPD) y tunear la experiencia del usuario

Riesgo de Fraude debido a Conflictos de Segregación de Funciones: o dicho de otra de manera más sencilla con un par de ejemplos, que el mismo usuario tenga permisos para hacer las nóminas y liberar los pagos, o que el mismo usuario tenga permisos para crear solicitudes de pedidos de compras y aprobar la mismas.

En este caso necesitaremos una solución de estilo Government Risk & Compliance (GRC) que nos permita controlar conflictos de segregación de funciones, idealmente de manera proactiva, y que sea multi aplicación, es decir, que no se limite a los permisos de una sola aplicación, como el ERP. Esto es algo que algunas herramientas de Gobierno de Identidades proveen, y también, obviamente, existen soluciones dedicadas a mitigar este tipo de riesgos

No creo que sea necesario seguir con más ejemplos, entiendo que con estos cinco casos se ve bastante bien que los riesgos que se busquen proteger en la gestión de identidades deben priorizar la decisión sobre que tecnologías debes implantar. Como habéis visto, además, no he querido tirarme al barro del riesgo relacionado las Non-Human Identities - y las tecnologías de seguridad para las Non-Human Identities -o las Identidades de Agentes IA, ya que estos actúan en nombre del usuario, o con su propia identidad, por lo que se debe tener en cuenta que los mismos van a trabajar en base objetivos y no de manera determinista, por lo tanto sus permisos es fácil que necesiten cambiar mientras estás realizando una tarea.

Figura 5: Identidades NO Humanas (NHI "Non-Human Identities").

La Gestión de un Riesgo de Seguridad Emergente

Esto seguro que nos da para otro artículo dedicado, aunque si me gustaría mencionar que esto a día de hoy es un riesgo relevante real, principalmente para organizaciones mas avanzadas tecnológicamente hablando (por supuesto que llegará al resto). Esta es una categoría que aún está siendo construida - no olvidéis que el primer Agentic AI lo vimos en diciembre de 2024, con lo que llevamos menos de un año y medio con los agentes, y empresas como Cloudflare están construyendo arquitecturas de referencia para la gestión de la seguridad de estas identidades.

Figura 6: Arquitectura de MCP Security en Cloudflare

Como conclusión, me gustaría resaltar la importancia de definir un roadmap de trabajo dentro del Plan Director de Seguridad con todas las iniciativas relacionadas con la Seguridad de Identidades en base a los riesgos que necesitemos mitigar. Y por supuesto, que seamos conscientes de que la seguridad de la identidad digital en muchas ocasiones (cada más) es la única capa de defensa, por lo tanto debemos tomarnos muy en serio esta labor, e implementar las medidas de protección pertinentes hasta llevar el nivel de riesgo a ratios aceptables para nuestra organización. O atente a las consecuencias.

Saludos,

Autor: Samuel López Trenado, especialista en Gestión de Identidades Digitales

Contactar con Samuel López Trenado

Una entrevista en el Foco de Maria Zabay

noreply@blogger.com (Chema Alonso) — Wed, 15 Apr 2026 05:01:00 +0000

Hoy, que esta semana estoy de muchos viajes, os traigo por aquí la entrevista que me hizo Maria Zabay en su espacio de El Foco, por el que hemos pasado muchos como David Summers o Arturo Pérez-Reverte, y que por supuesto no podía faltar. En esta ocasión para hablar de Inteligencia Artificial y los retos para el trabajo, la sociedad, y los tiempos que vivimos hoy en día.

Figura 1: Una entrevista en el Foco de Maria Zabay

La entrevista me la hizo Maria Zabay, y sacamos el máximo provecho a los 40 minutos que teníamos, así que nos dio tiempo a hablar de muchas cosas. De Agentes AI, de Ciberseguridad, de la visión de Cloudflare, del trabajo hecho por la IA reemplazando a las personas, y de los problemas que podríamos tener si esta se volvía maliciosa o era vulnerada.

Figura 2: Contactar con María Zabay

Toda la entrevista la tenéis integra en Youtube, y os la dejo por aquí para que podáis verla, que seguro que si empiezas la terminas porque va muy rápida. Muchas preguntas, poco tiempo para contestar, que deja como resultado una entrevista con muchas cosas para pensar en ellas.

Figura 3: Maria Zabay entrevista a Chema Alonso en El Foco

Además, como podéis ver, es posible contactar con Maria Zabay por MyPublicInbox, y tenéis todas las entrevistas en sus vídeos de Youtube donde podéis perderos viendo a grandes entrevistados hablando de cosas con la misma intensidad y velocidad.

Figura 4: Vídeos de El Foco de Maria Zabay

Y nada más, que disfrutéis el día que yo voy de viaje para un evento en Zaragoza, así que me toca estar en otro "foco" hoy. Os deseo un gran día.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Arrogante: Bases de la 1ª Edición de los premios MIRA (10.000 €)

noreply@blogger.com (Chema Alonso) — Tue, 14 Apr 2026 05:01:00 +0000

Si te digo que, por grabar un vídeo con tu móvil, o cualquier otra cosa que se te ocurra... hay un premio en metálico de 10.000 €, ser entrevistado en uno de los pódcast más exitosos del momento y además, tener una nota de prensa que saldrá en los medios más importantes de España, dándote todo el protagonismo...

Figura 1: Arrogante - Bases de la 1ª Edición de los premios MIRA (10.000 €)

Y si además te digo que está abierto a cualquier persona mayor de 18 años, emprendedores, creativos, agencias, escritores, periodistas, etc...¿te animarías a ver de qué va? No te digo a participar, te digo simplemente a mirar.

MIRA.

Lo tienes muy fácil, los proyectos se presentarán a través de mi perfil de MyPublicInbox, pero antes, para tener toda la información.

En la vida, hay trenes que solo pasan una vez al año. Aprovéchate.

Bases de la 1ª Edición de los premios MIRA.

1- La fecha límite serán las 23:59h 21 de abril de 2026. Hora peninsular española.

2- La temática de este año será la lona que hay en Madrid, concretamente en la calle Alcalá.

Figura 2: Puedes ver la lona en directo en la calle Alcalá 77 de Madrid.

A la altura del número 77. No tienes que ir expresamente a verla.

3- Puedes hacer un vídeo, puedes ponerlo en grupos, puedes hacer un anuncio, puedes moverlo en tu email, puedes hablar con el párroco de tu pueblo y celebrar una boda, puedes hacer lo que te dé la gana.

4- Se valorará el impacto de tu campaña y la creatividad de la misma. Se valorará especialmente la ejecución y los resultados. Las ideas no valen de nada.

El elemento central este año es esa lona, a partir de ahí, haz lo que quieras.

Objetivo

El objetivo de la campaña, es lograr la mayor difusión y visibilidad posible.

¿Cómo se logra eso? Con creatividad y cojones. O cojonos. O cojonas.

IMPORTANTE: No ganará, necesariamente, la persona que logre mayor difusión, pues la creatividad se valorará a la misma altura que la visibilidad. Así que no te preocupes si no puedes llegar a mucha gente, puedes ganar igualmente.

5- Podrá participar cualquier persona mayor de 18 años, emprendedores, creativos, agencias, escritores, periodistas, etc…

Jurado

- Chema Alonso, VP de Cloudflare y Founder de MyPublicInbox.

- Pablo Ibáñez, “El hombre de Negro”, Artista y empresario.

- Isra Bravo, escritor y copywriter disléxico.

Figura 3: Libro "Arrogante" de Isra Bravo

Premios

- La campaña ganadora se llevará 10.000€ en metálico.

- Además, será el protagonista de un programa especial en el exitoso pódcast Escapando Palante, de Pablo Ibáñez, donde será entrevistado.

- Y difusión en prensa de toda España.

6- El premio podría quedar desierto, pero vamos, muy mal se tiene que dar para que alguien no haga algo decente y gane.

7- El elemento con el que tienes que crear la campaña de este año, es esta lona. E insistimos, sé creativo, sé valiente, sé.

8- Los trabajos se deben presentar en: https://mypublicinbox.com/IsraBravo

9- Todo lo recaudado se dona a Fundación Bobath. Para presentar el proyecto hay que pagar unos 5.000 Tempos (para poder escribir al perfil de arriba). Pues bien, va todo íntegro para Bobah.

Fecha límite de la campaña: 21 de abril a las 23:59h

Autor: Isra Bravo

Contactar con Isra Bravo

Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad: 4a Edición - 15 de Octubre 2026

noreply@blogger.com (Chema Alonso) — Mon, 13 Apr 2026 05:01:00 +0000

Si has seguido mis publicaciones en este blog durante los últimos años, o si has seguido las noticias del mundo en los últimos meses, verás que la Inteligencia Artificial y la Ciberseguridad se han ido mezclando de una manera espectacular, y ya es imposible hablar de la una sin la otra. Desplegar y utilizar Inteligencia Artificial en la vida personal o profesional requiere, más que nunca, de Ciberseguridad, y ser un profesional de Ciberseguridad requiere, más que nunca, amplios conocimientos de Inteligencia Artificial.

Figura 1: Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad

Fecha de Comienzo - 15 de Octubre 2026 - 12 meses de duración

Por eso se creó el Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad, que ya va a comenzar ya su 4a Edición, donde como sabíes soy el Mentor durante los últimos años, y que va a tener su próxima edición el 15 de Octubre de 2026, así que es momento de solicitar tu plaza - y preguntar por las becas.

Figura 2: Inteligencia Artificial ¿obligatoria en seguridad?

De este máster han salido proyectos como LLM-Guardian v3.0 "Sentinel" que hizo Juan Luis Cuenca Ramos, alumno del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad, y del que os he publicado un par de artículos para que veáis la calidad de cosas que se pueden hacer en esta formación. Él mismo contó su experiencia en un artículo titulado: "«No soy técnico»: Cómo un alumno del Campus conquistó el blog de Chema Alonso"

Figura 3: LLM-Guardian v3.0 "SENTINEL".

Monitorización Continua de LLMs Corporativos

De estos temas, yo, que además tengo una sesión privada con todos los alumnos, he hablado en el pasado, como puedes ver en estos dos vídeos que te dejo aquí, para que entiendas la importancia de aprender estas dos disciplinas juntas.

Figura 4: Formarse en Ciberseguridad es una profesión de futuro

La Inteligencia Artificial también juega… y no siempre en tu equipo, así que tienes que aprender a cómo sacarle partido. La IA está cambiando las reglas del juego en Ciberseguridad. Desde ciberataques automatizados hasta sistemas de detección más inteligentes. Este máster te enseña a usarla a tu favor, entender sus riesgos… y adelantarte a su uso malicioso. ¿Qué vas a aprender?

Figura 5: Programa del Máster Online de IA aplicada a Ciberseguridad

El Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad tiene una duración de 12 meses, y durante todo este año, tendrás la posibilidad de conseguir Múltiples Certificaciones que estánincluidas. Todos los alumnos al finalizar su formación reciben seguro doble titulación:

Título de la Universidad Católica de Murcia (UCAM)
Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también certificaciones profesionales como la de Azure Fundamentals, entre otras.

Figura 6: Profesores del Máster Online de Inteligencia Artificial Aplicada a la

Ciberseguridad en el Campus Internacional de Cibeseguridad,

Pablo González, Fran Ramírez, Pablo Saucedo, David García,

Rafael Troncoso, José Torres, entre otros.

Para poder formarte mejor, y ajustado a tus necesidades, además cuentas con Tempos de MyPublicInbox que puedes utilizar para contactar con el Profesorado del Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.

Figura 7: Todos los alumnos del Máster Online de Inteligencia Artificial

Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad

endrán 2.000 Tempos de MyPublicInbox

Además, para completar su aprendizaje, tendrá incluidos como material de formación los libros de la editorial de 0xWord de "Machine Learning aplicado a Ciberseguridad" escrito por Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

Figura 8: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Además de nuestro último libro "Hacking & Pentesting con Inteligencia Artificial" escrito por Pablo González, Fran Ramírez, Rafael Troncoso, Javier del Pino y por mí, sobre el tema de este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad.

Figura 9: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Si tienes alguna duda te recomiendo que hagas dos cosas. La primera que te veas esta conferencia mía que di a finales de año en Nerdearla Madrid 2025, donde hablo de todos estos temas en menos de una hora. Para que veas lo importante que es esta disciplina.

Figura 10: Ciberseguridad & Inteligencia Artificial enNerdearla España 2025 por Chema Alonso

La segunda, que te veas las vacantes que tenemos abiertas en Cloudflare para trabajar con nosotros. Mira cuantas de ellas piden Ciberseguridad e Inteligencia Artificial y luego me dices cuánto de importante es esta combinación.

Figura 11:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Así que, si estabas pensando en dar un salto evolutivo en tu carrera profesional, mira este Máster Online de Inteligencia Artificial Aplicada a la Ciberseguridad en el Campus Internacional de Cibeseguridad que puedes hacerlo desde cual lugar en remoto, y en un año haz el upgrade que te pide el mercado profesional.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Captchas Cognitivos: Más fácil con IA que con ojos

noreply@blogger.com (Chema Alonso) — Sun, 12 Apr 2026 05:01:00 +0000

Ya os he contado muchas veces que los Catpchas Cogntivos se están convirtiendo en una molestia para el usuario más que en una protección real contra los ataques automatizados de los robots, porque cada vez es más sencillo resolverlos con Inteligencia Artificial que hacerlo siendo un humano con tus propias capacidades cognitivas.

Figura 1: Captchas Cognitivos - Más fácil con IA que con ojos

En el mundo del cibercrimen, donde tienen de todo para el crimeware as a service, entre otros servicios, cómo no, están los negocios de resolución de Captchas Cognitivos as a Service, que están sacando el máximo partido posible al mundo de la Inteligencia Artificial. Así que, si los malos pueden, tú también puedes sacarle partido a la IA para hacer cosas buenas.

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Yo he estado jugando con ellos, ya que los utilizan HBO Max, Linkedin, Twitter/X, etcétera, y os he ido dejando artículos para que pudierais ver cómo funcionan:

Pues bien, el otro día, un ReCaptcha de Google me pidió que resolviera en esta imagen - que aquí tienes ampliada - en qué recuadros hay motocicletas. Y ya no es que sean imágenes pequeñas o parciales, es que además están procesadas para hacerlas más confusas aún.

Figura 3: Las imágenes donde hay que buscar motocicletas

Ni me lo pensé. Fijaos que en la imagen de la izquierda de la fila del medio casi no se aprecia nada, y es casi un Test de Rorschach donde cada uno puede ver lo que quiera. Por cierto, hablando de Rorschach, si te gustó Watchmen y no te has leído Rorschach dibujado por Jorge Fornés, te estás perdiendo una obra de arte del cómic.

Figura 4: Rorschach de Jorge Fornés

Inciso a parte, resolver el Captcha Cognitivo de las motocicletas, a mí, que tengo que usar gafas para trabajar con el ordenador, me obligó a mirar y remirar, y aumentar la imagen. Así que pensé que esto me lo voy a tener que apañar con un Agente de IA para resolver mis captchas en local, y se lo pasé a Gemini a ver.

Figura 5: Pasado a Gemini para que lo resuelva él

Evidentemente, el resultado era el que esperaba. Es decir, que sin despeinarse lo resolvió mucho antes de lo que yo soy capaz de resolverlo, así que supongo que mejor que la media de los seres humanos que se vena confrontados contra este reto.

Figura 6: Gemini lo resuelve mejor que yo.

La reflexión es, si Google me pone el ReCaptcha, y Google me lo resuelve con Gemini, ¿¿por qué seguimos con esto?? Que al lado del botón del ReCaptcha haya un botón de "Resolver con Gemini" y listo, ¿no? Así todos muchos más contentos. Un CoPilot útil de verdad.

Figura 7: Resolver con Gemini y listo

Bueno, está claro que vamos a tener que repensar este tipo de tecnologías, que la necesidad inicial por la que fueron creados los Captchas Cognitivos está dejando de ser cubierta. Diferenciar a un humano de un bot con un Captcha Cognitivo ya NO es posible.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cloudflare Talks en Londres: The Intelligent Network, Connect on Tour & Futurenet World en Abril.

noreply@blogger.com (Chema Alonso) — Sat, 11 Apr 2026 05:01:00 +0000

Esta semana que viene, el día 15 de Abril, voy a estar en The Wave, en Zaragoza, dando una conferencia con Cloudflare y Nunsys, pero también subiré el día antes a Londres donde tenemos una semana de eventos con Cloudflare Connnect on Tour. Pero además también regresaré la semana de después, para participar en Futurenet. Viajes interesantes a la capital de UK que os dejo hoy por aquí.

Figura 1: Cloudflare Connnect on Tour.

Mi primera charla será en The Intelligent Network el día 14 de Abril, que es un evento sólo para un grupo de CXO y que tendrá lugar en Londres la próxima semana. No os puedo dejar más información, ya que el evento va solo por invitación, pero habrá en abierto otros. Pero del que sí os puedo dejar información es de Cloudflare Connect on Tour London 2026, que tendrá lugar el día 15 de Abril.

Figura 2: Cloudflare Connnect on Tour.

La lista de Speakers es de primera linea, con Stephanie Cohen, Chief Strategy Officer de Cloudflare, Grant Bourzikas, Chief Security Officer de Cloudflare, Ramy Houssaini Chief Cyber Solutions Officer Cloudflare o Tony Van den Berge, Geo Vice President, EMEA Cloudflare. Puedes registrarte en la web, pero date prisa que queda poco tiempo.

Figura 3: Regístrate al Cloudflare Connect on Tour London 2026

Después estos dos eventos, la tercera cita será en Futurenet World, que tendrá lugar a la semana siguiente, los días 21 y 22 de Abril, también en Londres, y donde yo estaré dando una charla el primer día, para hablar de "cómo fortificar despliegues de IA en la empresa".

Figura 4: Chema Alonso en Futurenet World

O sea, que si estás por Londres estos días, puede que te cruces conmigo "at random" por la city, y si vienes a alguna de las charlas, pues nos vemos seguro, que estaré trabajando en la ciudad "de los cielos grises".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

"Bug Hunter": Nuevo libro en 0xWord

noreply@blogger.com (Chema Alonso) — Fri, 10 Apr 2026 05:01:00 +0000

Otro día feliz, porque tenemos un nuevo libro en 0xWord, que sabéis que conseguir esto y mantener una editorial como la nuestra viva es siempre un reto. Así que, presentaros este nuevo libro de "Bug Hunter", escrito por David Padilla, alguien que sabe de esto, de ser un buscador de Bugs, que ha escrito este libro que sus más de 200 páginas te va a entretener y enseñar cómo hacer esto hoy en día con IA.

Figura 1: "Bug Hunter": Nuevo libro escrito por David Padilla en 0xWord

¿Alguna vez te has preguntado cómo es realmente reportar vulnerabilidades en empresas reconocidas a nivel mundial? ¿Te gustaría dar el paso y obtener reconocimiento descubriendo fallos? El Bug Bounty es una disciplina de seguridad ofensiva basada en recompensar a quienes identifican y reportan vulnerabilidades y justifican su impacto en activos de distintas compañías. Sin embargo, la realidad dista mucho del mito.

Figura 3:"Bug Hunter" escrito por David Padilla en 0xWord

Este libro ha sido desarrollado desde la experiencia de alguien - David Padilla - que empezó desde cero, con curiosidad y constancia, documentando cómo se descubren vulnerabilidades, cómo se entienden y cómo se reportan. No pretende vender la imagen de un “Bug Hunter” que gana miles de dólares, sino mostrar el proceso real: aprendizaje, errores, frustración y evolución de un usuario estándar.

Figura 4: Contactar con David Padilla Alvarado

A lo largo de sus páginas, se presenta una metodología técnica clara, combinada con casos reales, técnicas de explotación, enfoques prácticos y reflexiones sobre el presente y futuro del sector, incluyendo el papel de la Inteligencia Artificial en el Bug Bounty. El objetivo es tratar al lector como un igual: acompañarle desde sus primeros pasos hasta comprender cómo enfrentarse a un entorno complejo, exigente y altamente competitivo. Este no es sólo un libro sobre encontrar vulnerabilidades, sino sobre desarrollar una mentalidad.

Figura 5: Índice del libro "Bug Hunter" escrito por David Padilla en 0xWord

Como os podéis, está cargado de todo lo que llevamos años escribiendo por aquí. Por supuesto, es un complemento ideal para el libro de "Hacking & Pentesting con Inteligencia Artificial" que también podéis comprar hoy mismo. Así que, si quieres un libro para comenzarte a formar en el mundo de la Inteligencia Artificial aplicado a la Ciberseguridad, el Pentesting y el Hacking y el Bug Bounty, ya los tienes disponible para que te lo puedas comprar. Además, puedes usar tus Tempos de MyPublicInbox.

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Bug Hunter" y que, además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar en tu Agenda el Perfil Público destinatario de la transferencia.

Figura 7: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 8: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 9: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda.

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 10: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 11: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un "Hardening Tip" de BBDD - de mi Lost & Found - contra las "Heavy Queries Malignas"

noreply@blogger.com (Chema Alonso) — Thu, 09 Apr 2026 04:39:00 +0000

Hace muchos años, cuando estaba trabajando en mi Ph.D en los Time-Based Blind SQL Injection using Heavy Queries, en uno de mis documentos de la universidad escribí sobre las técnicas de "hardening" para dificultar este tipo de ataques y lo tenía preparado en un post, pero lo fui dejando sin sacar, y un día me olvidé de publicarlo, hace unos quince años más o menos.

Figura 1: Un "Hardening Tip" de BBDD - de mi Lost & Found -

contra las "Heavy Queries Malignas"

Sin embargo, hablando sobre las capacidades de usar ChatGPT, Claude o Gemini para investigar en ciberseguridad, y lo fácil que hubiera sido construir las diferentes Heavy Queries para explotar un bug de SQL Injection usando una técnica Time-Based, me he acordado con él, y se lo he preguntado directamente a Gemini.

Figura 2: Whitepaper de "Time-Based Blind SQL Injection using Heavy Queries"

Por supuesto, de las técnicas de Time-Based Blind SQL Injection using Heavy Queries, hablé en el libro de "Hacking de Aplicaciones Web: SQL Injection", mientras que de las técnicas de LDAP & Blind LDAP Injection in Web Applications, y Connection String Parameter Pollution hablé en el libro de "Hacking Web Technologies".

Figura 3: Libro Hacking de Aplicaciones Web: SQL Injection
de Enrique Rando y Chema Alonso

Pero hoy en día, encontrar estas técnicas es tan fácil cómo preguntarle a los modelos, que ellos ya se han aprendido todos los papers, por ti, así que, preguntándole por ayuda para localizar si me han hecho un ataque a un aplicación web con un Microsoft Access 2003, obtienes rápidamente la información de sobre este ataque con Heavy Queries.

Figura 4: La tabla del sistema a explotar en Access 2003

Como podéis, ver, rápidamente nos hace el análisis de la tabla del sistema a explotar, y nos dice que la forma de explotarlo es usando Join de ella misma ene veces, tal y como explicamos en el paper, para lograr un volumen de datos tan grande que generar un delay medible.

Figura 5: El método para explotarlo

Y por último, nos da la inyección completa que se puede utilizar para hacer el Time-Based Blind SQL Injection Using Heavy Queries, lo que genera la explotación completa de la vulnerabilidad.

Figura 6: Inyección completa tipo Time-Based Blind SQL Injection using Heavy Queries

El resultado es que en un segundo puedes encontrar cómo hacerlo, y no ha habido que hacer ningún Jailbreak ni nada por el estilo, así que vamos a ver ahora la parte de fortificación de la que os he estado hablando.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si vamos ahora a las protecciones, primero hay que entender por qué sigue siendo importante tener protecciones contra esta forma de explotar la base de datos, generando una Heavy Query. Estas técnicas se pueden usar para hacer un DoS o para extraer información de la BD, especialmente en motores que no tienen funciones de tiempo, o en entornos bajo WAF que están filtrando las queries.

Figura 8: Por qué sigue siendo importante esto

Y aquí viene el Hardening "Tip" del pasado, que no saqué en ninguno de los blog posts que escribí sobre ello, que consiste en que una vez construida la consulta, se pueda comprobar que la consulta tiene un Time-Out acorde con el tipo de Query que se está lanzando.

Figura 9: Poner un límite de tiempo a las consultas SQL

Por supuesto, usar consultas parametrizadas, detectar el tipo de los datos que se inyectan en los parámetros y no construir consultas concatenando strings es la clave, pero que una aplicación pueda vulnerar el rendimiento de la aplicación y de la propia base de datos por no controlar los límites de consumo de recursos de una consulta SQL es fundamental.

Figura 10: Límite temporal a nivel de TRANSACCIÓN en PostgreSQL

Para ello, en los diferentes motores de Bases de Datos existen formas de controlar el máximo tiempo que se va a permitir en ejecución una consulta, que es de lo que estuve escribiendo hace quince años, pero aquí tenéis, preguntándole a Gemini, la fácil que es limitar estos tiempos.

Figura 11: Límites en MySQL versiones 5.7.8+

Por supuesto, si no hay SQL Injection, no hay necesidad de tener esto, pero lo cierto es que esta protección se puede añadir no sólo a nivel de aplicación, sino también a nivel de DBFirewall, a nivel de Driver de conexión, o incluso como hacíamos con los ataques a nivel de red haciendo un Network Packet Manipulation con un Man-in-the-middle.

Figura 12: En Transat-SQL a nivel de Server,

a nivel de Conexión y a nivel de Query

Hay que tener en cuenta que en una arquitectura de Zero-Trust, la base de datos no debe fiarse nunca de las aplicaciones, así que, al igual que hacíamos con el Paranoid Mode para evitar las manipulaciones en bases de datos por parte de ataques de SQL Injection, controlar el consumo descontrolado de recursos es fundamental.

Figura 13: Controles en Oracle a nivel de SESSION y con Perfiles

Al final, si eres responsable de una base de datos de alto rendimiento, con muchas aplicaciones colgando de ellas, limitar el consumo de recursos lo puedes hacer preventivamente - evitándolo con límites - o reactivo, viendo qué está comiéndose la memoria y la CPU de la base de datos.

Figura 14: Límites en Access 2003 y SQLite

Ya os conté muchas veces que en la universidad yo me especialicé en Bases de Datos, que me encantaban, y que mis primeros trabajos tuvieron que ver con Tuning de bases de datos Oracle y de aplicaciones que corrían sobre ellas, así que estas cosas las tenía muy presentes cuando comencé con el trabajo de Time-Based Blind SQL Injection Attacks using Heavy Queries.

Figura 15: Resumen de posibilidades

Esta es una buena práctica de seguridad, sobre todo si eres de los que gusta tener los entornos Hardened in Paranoid Mode, así que si no la conocías o no lo estás aplicando, a lo mejor encuentras un punto donde tener estos controles y evitas estos ataques.

Figura 16: Por qué es útil esto

Lo cierto, que es a lo que iba la conversación inicial, es que esto que dejé a medio escribir hace quince años como un post, tenía que actualizarlo para ver cómo se establecen los límites temporales en todas las bases de datos, y en todos los puntos posibles, pero gracias a la existencia de los LLMs hoy en día, ha sido tan fácil como pedirle a Gemini que me lo dé, por eso os lo he compartido hoy y he borrado una tarea del pasado que tenía en mi To-Do.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Los Gatos de la Suerte de Karla Frechilla

noreply@blogger.com (Chema Alonso) — Wed, 08 Apr 2026 05:01:00 +0000

Hoy os voy a hablar de Gatos de la Suerte. Ya sabéis, esos gatos que saludan moviendo la patita que seguro que habéis visto un millón de veces. Pero son los Gatos de la Suerte que pinta a mano la artista Karla Frechilla, y que podéis compraros para tener una joya de artesanía especial, o para hacer un regalo único a una persona especial en su día de cumpleaños. O cualquier día, que siempre es bonito regalar.

Figura 1: Los Gatos de la Suerte de Karla Frechilla

Como ya os conté ver, Karla Frechilla me hizo unos gatos especiales para mí, donde me podéis ver con orejas de gato y moviendo la mano con mi camiseta de DefCON molona que tanto uso, que os lo publiqué en mi cuenta de Instagram.

Figura 2: Gato de la Suerte de Chema Alonso

Pero Karla Frechilla es una artista prolija y creativa, que lleva años haciendo de todo, y en concreto ha hecho una cantidad enorme de Gatos de la Suerte de todos los tipos que te puedas imaginar, que puedes ver en su web en la sección de Fortuna Gatuna.

Figura 3: Gatos de Fortuna Gatuna de Karla Frechilla

Superhéroes, The Beatles, Star Wars, Aliens, Futbolistas, Personajes Famosos, e incluso uno personalizado para ti, para un amigo. Solo tienes que pedírselo, y puedes contactar con Karla Frechilla en su perfil de MyPublicInbox.

Figura 4: Contactar con Karla Frechilla

Además de todos estos gatos, ha hecho unos gatos de Cálico Electrónico que también molan todo. Estos son más pequeños. Pero tanto el mío, como los de Cálico Electrónico - uno o el pack de tres - los puedes comprar por 0xWord, que hay que ayudar a esta artista .

Figura 5: Los Gatos de la Suerte de Cálico Electrónico pintados a mano

Si quieres uno de los Gatos de la Suerte de Cálico Electrónico son de 5 cm de alto x 3,5 cm de ancho x 3,5 de fondo. Cada uno cuesta 30 € y el pack de 3 cuesta 90 €. Son bajo demanda, y Karla Frechilla los pinta uno a uno para vosotros.

Figura 6: Cada uno viene con su caja de protección

Gato de Cálico Electrónico individual

El mío es más grandote, que es de 17 cm de alto x 13 cm ancho x 10 cm fondo, y cuesta 84 €, que le lleva un curro enorme hacerlo.

Figura 7: Gato de la Suerte de Chema Alonso.

Te aconsejo que te veas todos los que ha hecho, que como verás hay de todo, así que seguro que encuentras un regalo chulo, especial, diferente, que nadie más le regalo a tu amigo, a tu pareja friki, a tu persona favorita. Y así apoyas a una artista.

Figura 8: Más Gatos de la Suerte de Karla Frechilla

Todos son únicos, todos están hechos a mano, y todos serán el regalo perfecto para que quedes como genial y hagas feliz a alguien que tendrá algo que no tienen nadie más.

Figura 9: Yo tengo mi colección completa ya :)

No me digas que no es un gran regalo el dar una obra de arte friki en forma de Gato de la Suerte de una artista como Karla Frechilla.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo resolver los Captchas Cognitivos Visuales y Auditivos de GitHub con Gemini (o cualquier MM-LLM) sin despeinarte

noreply@blogger.com (Chema Alonso) — Tue, 07 Apr 2026 05:01:00 +0000

Cuando empecé a jugar con los Captchas Cognitivos hace unos años estaba claro que los MM-LLMs iban a merendarte estos retos con una facilidad asombrosa, y esto es lo que ya sucede hoy en día. Este sábado, cuando estaba jugando con el Vibe Coding para Locomotive BASIC 1.0 de AMSTRAD CPC fui a recuperar la contraseña de mi cuenta de experimentos en GitHub, y de repente... me toca un Captcha Cognitivo.

Figura 1: Cómo resolver los Captchas Cognitivos Visuales y Auditivos

de GitHub con Gemini (o cualquier MM-LLM) sin despeinarte

El Captcha Cognitivo es de FunCaptcha, y por supuesto está dentro los atacados y explotados por el Crimeware. En estos servicios basados en generar Malware as as Service, puedes pedir exploits, scripts de ofuscación, de movimiento lateral, de búsqueda de datos sensibles en una post-explotación, o de generación de persistencia, y por supuesto de resolución de Captchas Cognitivos.

Figura 19: Planes empresariales para resolución

de Captchas Cognitivos vía API

Entre estos servicios, cómo no, los negocios de resolución de Captchas Cognitivos as a Service, que están sacando el máximo partido posible al mundo de la Inteligencia Artificial. Así que, si los malos pueden, tú también puedes sacarle partido a la IA para hacer cosas buenas.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

FunCaptcha utiliza retos Visuales Cogntivios para detectar a los humanos, y aunque al principio eran complejos de automatizar, desde la llegada de MM-LLMs ha sido un juego. Yo he estado jugando con ellos, ya que los utilizan HBO Max, Linkedin, Twitter/X, etcétera, y os he ido dejando artículos para que pudierais ver cómo funcionan:

En este caso, en el Formulario de Recuperación de Contraseñas de GitHub, que puedes probarlo para automatizar tu propia API, puedes ver que aparece el Captcha Cognitivo. Este puede ser visual o auditivo. En el visual, que es este primero, hay que alinear la orientación de dos objetos "extraños"

Figura 4: Captcha Cognitivo de FunCaptcha en GitHub

Para probarlo, subo una imagen inicialmente para ver qué tal analiza los dos objetos y su orientación, con la pregunta más sencilla posible. Nada de complicarse, a ver qué me contesta.

Figura 5: Preguntando si estás mirando hacia el mismo sitio?

Y la respuesta es de lo más elaborada, así que vamos a tener que decirle que se atenga a Sí o No para poder apificar esto sin desperdiciar muchos tokens, que no está la vida como para ir tirando tokens a lo loco por ahí.

Figura 6: Explicación larga para decir que lo puede hacer.

Pues nada, te haces un Agentic AI que recorte las imágenes, y le diga a Gemini que te diga si esos dos objetos están en la misma dirección. Si Sí, pues Submit, si No, pues nada, mover la flecha hacia un la derecha (comienza a la izquierda del todo siempre).

Figura 7: No están en la misma dirección, así que hay que mover la flecha

Cuando estén en la misma dirección, como este otro ejemplo, pues nada, habremos terminado y sólo hay que dar al botón de Submit. Algo que para un Agente IA de hoy en día no es nada difícil de realizar. Es por eso que en el mundo del Crimeware los MM-LLMs son tan importantes.

Figura 8: Cuando están orientados, pues Submit

Pero vamos ahora a la parte Auditiva. Es decir, a resolver el Captcha Cognitivo con los sonidos que nos ofrece el Formulario de Recuperación de Contraseñas de GitHub. Aquí, en este vídeo tenéis el audio completo de cómo funciona este reto de inteligencia auditiva.

Figura 9: Captcha Cogntivio Auditivo de FunCaptcha en GitHub

Usar el audio es algo que ya hemos estado viendo en otros artículos, y comenzamos hace mucho tiempo con ReCaptcha v2 de Google, porque esta es otra línea de investigación que permite conseguir el mismo objetivo por otros medios. A veces más costoso, a veces más fácil.

Hoy en día, con los MM-LLMs, es bastante sencillo, porque sólo he tenido que grabar el audio y subirlo a Gemini para obtener el resultado que deseaba.

Figura 10: Subiendo el audio a Gemini

Y el resultado lo tenemos a la primera, como podéis ver en la siguiente imagen, donde Gemini da la respuesta correcta. Pero como el Formulario de Recuperación de Contraseñas de GitHub está abierto, podéis probarlo vosotros mismos con diferentes imágenes y audios que os de.

Figura 11: Respuesta correcta. Submit.

Resolver los FunCaptcha, cada día es más sencillo, ya que cada vez funcionan mejor los MM-LLMs. En este ejemplo con Gemini se puede ver cómo a la primera resuelve el reto del Formulario de Recuperación de Contraseñas de GitHub.

Figura 12:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Máster en IA Aplicada & Optimización de Procesos Productivos

noreply@blogger.com (Chema Alonso) — Mon, 06 Apr 2026 05:01:00 +0000

El mundo cambió para no volver a lo que era antes. Lo estamos viendo constantemente. Las grandes empresas se están re-estructurando para meter en el corazón de su negocio la Inteligencia Artificial. Y esto está llevando a que muchos trabajadores estén siendo despedidos. También estamos viendo el nacimiento de muchísimas nuevas empresas con un número muy pequeño de empleados que están creciendo como la espuma. Todas ellas basadas en procesos de negocio hechos con Inteligencia Artificial. El mundo del trabajo, el emprendimiento y los puestos empresariales han cambiado.

Figura 1: Máster Universitario (30 créditos ECTS) en

IA Aplicada & Optimización de Procesos Productivos

Con ese principio se ha construido el Máster en IA Aplicada & Optimización de Procesos Productivos que se va a presentar el próximo Domingo 12 de Abril. Un Máster pensado para una nueva generación de profesionales y emprendedores que tienen claro que la Inteligencia Artificial tiene que ser parte del ADN de su trabajo.

Figura 2: Domingo 12 de Abril a 19:00 horas Presentación Oficial del

Máster en IA Aplicada & Optimización de Procesos Productivos

El mundo laboral anterior ya no existe, y si sales al mercado laboral o te lanzas a emprender y no tienes esto claro, entonces estás condenado a no salir airoso de donde te vas a meter. Se trata de que los asistentes de esta formación tengan las capacidades en IA que les permita ser de los más preparados en este nuevo "orden" laboral.

Figura 4: Domingo 12 de Abril a 19:00 horas Presentación Oficial del

Máster en IA Aplicada & Optimización de Procesos Productivos

El objetivo de este Máster en IA Aplicada & Optimización de Procesos Productivos, está orientado a manejar los modelos de Inteligencia Artificial desde el primer día de clase, a conocer cómo aplicar en workflows de negocio estás tecnologías, a construir Agentes IA que puedan ser parte de los organigramas empresariales o directamente tus compañeros y tu equipo de trabajo.

Figura 5: Domingo 12 de Abril a 19:00 horas Presentación Oficial del

Máster en IA Aplicada & Optimización de Procesos Productivos

La presentación de este Máster en IA Aplicada & Optimización de Procesos Productivos , que será online con clases en directo por profesionales del sector, como mi compañero David Hurtado de Microsoft, y un largo número de profesionales del sector focalizados en explicar la aplicación de IA en el Core de los negocios y la empresa.

Figura 6: David Hurtado, de Microsoft, será profesor del

Máster en IA Aplicada & Optimización de Procesos Productivos

Los contenidos de esta formación están pensados para aplicar la Inteligencia Artificial en el mundo del emprendimiento y la empleabilidad profesional. Con especial foco en competitividad profesional de los asistentes.

Módulo de IA aplicada a la inversión
Módulo de IA aplicada al emprendimiento
Módulo de IA aplicada a la carrera profesional/empleabilidad
Módulo de IA aplicada a marketing y creación de contenido
Módulo de IA aplicada a las finanzas

Supongo que si me sigues en mi blog o en mis redes sociales has visto que todas las semanas más de la mitad de los artículos que escribo están dedicados a la Inteligencia Artificial, y no es por casualidad. Yo soy de esos que ha estado aplicando masivamente la IA en mi día a día personal y profesional, para no perder un ápice de la productividad que nos exige este nuevo mundo, y voy a ser Mentor del Máster en IA Aplicada & Optimización de Procesos Productivos y podrás estar en contacto conmigo a través del "Chema Alonso´s Corner" que hemos creado en MyPublicInbox.

Figura 7: Un chat conectado conmigo para sacar el máximo provecho posible de tu

Máster en IA Aplicada & Optimización de Procesos Productivos

También habrá una sesión de Vídeo Conferencia en directo conmigo donde se hará un Q&A con todos los asistentes. Podrás preguntar, resolver dudas, preocupaciones o incertidumbres que tengas sobre este mundo. Así tendrás una sesión conmigo y un chat durante todo el Máster donde podrás debatir conmigo, con el resto de los alumnos, y con otros profesores, pero también acceder a noticias, tutoriales, artículos, y consejos para incrementar el impacto del tiempo que inviertas en formarte durante este Máster en IA Aplicada & Optimización de Procesos Productivos en tu vida personal y profesional.

Figura 8: Conexión al Chema Alonso´s Corner del

Máster en IA Aplicada & Optimización de Procesos Productivos

Todos los asitentes, además, tendrán 100 Tempos de MyPublicInbox para utilizarlos en la plataforma, para participar e interactuar con otros perfiles, pero sobre todo para usarlos en desarrollar su Perfil Público en MyPublicInbox y subir su exposición profesional a través de Internet.

Mensaje final

Los cambios siempre dan miedo. Este mundo va muy rápido. Si estás pensando eso de "debería aprender" es mejor que lo hagas de una vez por todas. Cuando más tardes, más complejo será el cambio, la adaptación, y más grande será el salto de aprendizaje que deberás hacer. Mi consejo... "Big Problems First", y convierte lidiar con esta vorágine de cambios en una oportunidad para ti. Si quieres más información, apúntate para ir el día 12 de Abril a las 19:00 horas (de España) a la presentación del Máster en IA Aplicada & Optimización de Procesos Productivos y decides luego.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Vibe Coding en BASIC para AMSTRAD CPC sale (un poco) más caro

noreply@blogger.com (Chema Alonso) — Sun, 05 Apr 2026 05:01:00 +0000

¿Qué otra cosa mejor que estar probando Vibe Coding en un sábado por la tarde en las oficinas de Cloudflare en Lisboa para comprobar cuánto de bueno es un modelo programando en BASIC? Sí, eso es lo que quería comprobar. Veréis, hace unos días publiqué el artículo de "Cuánto dinero cuesta hacerte el juego de Light-Cycles de TRON en Workers de Cloudflare usando IA" donde usaba como modelo LLM a Cloud Opus 4.5 para construir el juego de las motos de TRON en TypeScript y poderlo correr en Workers de Cloudflare, y el coste que tuvo hacer ese proyecto fue de 0.5 USD. Regalado.

Figura 1: Vibe Coding en BASIC para AMSTRAD

CPC sale (un poco) más caro

Pero, la pregunta que me rondaba era... ¿sería igual de barato hacerlo en lenguajes menos populares que Python o TypeScript? Ya me he pegado varias veces con el Vibe Coding, y supongo que muchos de vosotros habéis pasado por esa fase donde el código no funciona como quieres, da errores, o directamente una modificación te cuesta la vida. Así que en lenguajes menos "mainsteam" la cosa será peor. Esa era la pregunta con la que me puse a echar un rato ayer sábado.

Figura 2: El Light Cycles creado en TypeScript con Vibe Coding

Basta con preguntar en cualquier sitio y se ve que Claude programa mejor en Python, JavaScript, TypeScript, y frameworks para tecnologías web, que en el resto de los lenguajes, lo que hace que le cueste un poco más, ¿pero cuánto de más?

Figura 3: Con qué lenguajes programan mejor los modelos de Claude

Para hacer la prueba, quise hacer el mismo juego de Light-Cycles - no está mal como Benchmark - pero en BASIC, así que le pedí un Pormpt, que optimizado por Gemini, es éste que tenéis aquí. Así que, una vez Prompted, se supone que el resto es probar y ver resultados. Primero hice las pruebas con el propio Gemini, así, ligeras, a ver si el código funcionaba bien a la primera, y la verdad es que no hubo suerte.

Figura 4: Prompt par hacer el Light Cycles en AMSTRAD

Además de TypeScript, había hecho una versión pequeña del mismo juego de Tron Light-Cycles con Bash usando Gemini para mi MacOS y me lo había hecho bastante bien y de forma rápida, pero con BASIC le estaba costando.

View this post on Instagram
A post shared by Chema Alonso (@chemaalonso)

Además, cada prueba que quería hacer la tendía que hacer en el emulador, así que el proceso incluía la creación de un disco virtual, usando Amstrad DSK Filesystem Manager.

Figura 6: Amstrad DSK Filesystem Manager

La verdad es que la herramienta funciona de maravilla, pero hay que asegurarse de que el código que subas tenga el formato CRLF para que no se trunque, y que el formato del DSK que crees sea compatible con AMSTRAD, así que hay que hacerlos de, por ejemplo, 40 pistas, 9 sectores, y 512 bytes por sector. Una vez hecho esto, ya puedes subir el programa al disco, y descargarte una copia del fichero .DSK que luego vamos a poder meter en el emulador. El proceso no es complicado.

Figura 7: Los disquettes de AMSTRAD

Eso sí, por cada cambio que hagas tienes que repetirlo, así que si el Vibe Coding no funciona bien a la primera, pues hay que hacerlo muchas veces.

Figura 8: Probando, probando, probando en CPCBox

Esto nos lo sabemos ya de cuando con el equipo de Ideas Locas hicimos el BASIC 1.0 Copilot para AMSTRAD CPC 6128 que os conté hace un par de años en la RootedCON.

Figura 9: BASIC 1.0 Copilot para AMSTRAD CPC 6128

En mi caso, una vez construido el DSK, el emulador que utilicé fue el de CPCBox que está online, y puedes cargarle el DSK fácilmente. Además, esta versión la tienes con muchos juegos. Aquí os dejo un vídeo de cómo funciona con los juegos clásicos con los que estuve enredando un rato.

Figura 10: Emulador Online de AMSTRAD CPC 464/664/6128

También con juegos clásicos como el Bombjack o el Ikari Warriors

Pero volviendo a la prueba. Haces el código con OpenCode/Gemini/ChatGPT, generas el DSK usando Amstrad DSK Filesystem Manager y luego cargas el disco en CPCBOX. Una vez allí, CAT para ver el contenido del disco, LOAD para cargar el programa, y RUN para ejecutarlo. Y a jugar. El resultado completo lo tenéis aquí.

Figura 11: El resultado final. El Light-Cycles en BASIC

para el AMSTRAD CPC 464/664/6128

En este caso, después de que Gemini me fallara varias veces, decidí ir a por OpenCode y así podría comparar bien los precios que me costaba hacerlo funcionar. Y el proceso tomó su tiempo. Si os digo que me tiré un par de horas para hacerlo funcionara, os podéis hacer una idea.

Figura 12: Los costes después de 2 horas

Al final dejé algo bastante digno, como podéis ver en el código, pero si miramos los costes que me llevó hacerlo con OpenCode a través del AI Gateway de Cloudflare, podéis ver que en comparación con TypeScript, el coste fue mucho más alto.

Si he de ser justo, he de decir que también se lo puse difícil, porque Locomotive BASIC y para emuladores, no debe ser lo que más líneas de código tira y lo que más tokens consume. De hecho, creo que debería ser yo de los pocos que estuvieran con eso un sábado por la tarde.

Figura 13: OpenCode con Claude Opus 4.6 "sufriendo"

Eso sí, poder crear juegos para AMSTRAD CPC a golpe de Vibe Coding es mejor que tener que copiar los códigos de la MicroMania como hacíamos en la niñez, que os aseguro que eso sí que tomaba tiempo, hasta que lo tenías fino completo.

Figura 14:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Uno de esos días cualquiera

noreply@blogger.com (Chema Alonso) — Sat, 04 Apr 2026 05:01:00 +0000

Hoy es un día cualquiera. Vale, seguro que no para todos. No, no, no, no me malinterpretéis. No tiene nada que ver con el día que es hoy. Éste post lo podía haber escrito cualquier día y publicado cualquier día. Da igual que hoy sea hoy, es decir, el hoy de hoy. Este post está escrito pensando en cualquier hoy. En mañana, por ejemplo, aunque no sea hoy. Da igual el que hoy que sea. No sé si me he explicado bien. Se trata de que cualquier día puede ser un día cualquiera para el tema de lo que trata este artículo.

Figura 1: Uno de esos días cualquiera

Si ya he sido capaz de explicarme que hoy "podría" ser un día cualquiera, entonces puedo continuar con la reflexión de hoy. Del hoy de hoy, no del hoy cualquiera, sino del hoy de hoy, porque es hoy cuando publico el post que habla de un hoy cualquiera. Bien. Sigamos.

Estando que hoy podría ser un día cualquiera, pensad que hoy es ese día. Ese día que puede ser martes, o miércoles, o jueves, o viernes, sábado, domingo o incluso lunes. Un día que no es el aniversario de nada. Que no es el día que hay que anunciar algo espectacular. No es día que ha sucedido algo grande y relevante. O el día que hay algo súper novedoso en lo que haya estado trabajando. O tal vez sí, pero aún no lo puedo contar porque hay que guardar silencio hasta que se cumpla alguna etapa antes. Es un día más en la vida. Sin más. Un día cualquiera.

Esos días, cuando me siento delante del blog y pienso... "¿qué publico hoy?" a veces me quedo un poco con una sensación extraña. No he encontrado la motivación específica para publicar algo. No tengo algo que contaros que tenga que contaros por qué quiera contároslo. O tal vez simplemente no es el día que tengo marcado para contároslo. No hay una noticia especial de la que quiera hablaros. O ya os haya contado lo que os puedo contar de lo que os quiero contar. O puede que sea un día simplemente en el que la química de mi cuerpo me tenga en un estado de apatía o cansancio de esos que no ayudan. Esos días.

Esos días cualquiera son importantes.

Esos días son los que me lo ponen difícil. Son los días en los que tengo que trabajar. Los días en los que en lugar de salir las cosas solas hay que trabajar para que salgan. Son los días en los que la página en blanco te mira desafiante y te dice: "Hoy te puedo". Te sonríe con mala uva. A medias. Sin llegar a formar la sonrisa del todo. Y te dice: "Hoy no publicas el post". Sabe que el tiempo juega a su favor. Que tal vez tenga que hacer cosas. Viajes. Trabajos. Otros quehaceres. Esos días en que la página en blanco parece una losa más que una ligera cuartilla de A5 metida en mi vieja Olivetti.

Si has tenido alguna vez esa sensación, ya sabes que eso pasa "un día cualquiera". El que menos te lo esperas. El día menos pensado. Hoy mismo. O mañana tal vez. O quién sabe si el día siguiente. Pero rutinariamente, at random, acaba apareciendo en tu calendario. Esos días los conozco bien, porque he pasado muchos. Porque si crees que se escribe un blog durante veinte años sin encontrarte con muchos días como esos entonces es que no conoces el trabajo que es hacer algo así. Esos días son algunos de mis días duros. Cuando el diablo cabrón aparece para tener que lidiar con las excusitas.

Y he pensado mucho en esos días.

He pensado mucho en ellos porque sé que esos días son importantes. Son los días donde podría comenzar a dejarme vencer y poco a poco ir tirando la bomba ninja que un día lanzaré para irme sin hacer mucho ruido de Internet. Pero también tengo claro que esos días son los que me enseñan cosas. Son los días en los que tengo que esforzarme. En los que tengo que trabajar con oficio porque la cosa no está de cara. Son como los días en los que los navegantes tienen que pegarse contra el mar, no cuando es una bañera plana de tranquilidad. Esos días son los que importan para mí, porque sé que son los que me obligan a demostrarme cosas.

Los días buenos, donde todo va de cara, cuando el artículo es fácil, o está hecho, o hay algo evidente y fácil que contar, son días donde trabajo poco, disfruto mucho, y la cosa sale sola. Los días como ese día cualquiera, como hoy, son los días donde tengo que sacar algo de dentro de mí diferente. Donde tengo que tirar de obligación, de fuerza de voluntad para luchar contra el "no es tan importante que saques el post hoy", donde debo buscar dentro de mí por energía, motivación, inspiración, conocimiento, disciplina y experiencia. Donde los años aquellos cuando escribía a mano mis mini-libros o a máquina de escribir mis artículos de cine, deben demostrarme lo que han dejado en mí.

Esos días donde los años de lecturas infinitas deben ayudarme a conectar palabra tras palabra una narración que te tenga leyendo hasta aquí, y hasta el punto y final cuando me despido. Y es que esos días en los que al final sale el post, sin que tú lo sepas, para mí ha sido una lección que me ha enseñado que si quiero puedo, que si me pongo lo hago, que aunque parezca que no, puedo hacerlo. Son los días que forjan mi trabajo, quién soy, y lo que soy, más allá de lo que puedes ver muchas veces. Son los que me dicen a mí quién soy yo más allá de lo que pueda venirme reflejado externamente. Porque son los días que me dicen a mí cosas directamente desde dentro de mí.

Y esos días, salen otras cosas.

Que no siempre son lo que pensaba. Que no siempre son lo que tú esperas. Como las caras B de los singles. Como las últimas historias de un libro de relatos. Como los artículos de opinión o las cartas al director de los periódicos y revistas. Son artículos, posts, reflexiones, o como los quieras llamar, un tanto distintas. Son días que por fuerza de apretar y trabajar, sale algo que no estaba planificado, no estaba dentro de una de las plantillas de artículos que tengo estructuradas en mi cabeza para cada uno de los posts que publico. Son cosas diferentes. Distintas. Con algo diferente.

Con algo muy distinto.

A veces llevan palabras y formas de escribir que no utilizo habitualmente. A veces permean más de mí de lo que me gustaría. Otras veces cuentan secretos. Otras veces son solo mundos internos que viven en mí, reflexiones que sólo me cuento a mí, o narraciones extraordinarias que buscan jugar con la estética más que con la cinética. Son especiales en muchos aspectos para mí. Son pequeños cisnes negros en forma de post que si has leído muchos años este blog seguro que has localizado periódicamente. At random, que dicen.

Al final, esas perlas de diferencia, son como los lunares de colores en las pieles de los reptiles. Los colores rojos, marrones, amarillos y demás estridencias en el pelaje de otros animales que le dan consistencia a la forma completa de este blog. Y la suma de todos ellos son gotas de sudor, energía, trabajo, constancia, y cabezonería del que firma al final de los párrafos. Así que, esos días cualquieras le dan a este blog algo de esencia mía. Algo personal. Por eso son tan importantes.

Si tu tienes también esos días en tu trabajo, y te sirve de algo mi experiencia en primera persona, habrá sido un buen aprovechamiento del post que os publico en el día de hoy, un día cualquiera.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

The Wave 2026: ‘Hacking & Cybersecurity in the age of AI Revolution’ - 15 Abril en Zaragoza

noreply@blogger.com (Chema Alonso) — Fri, 03 Apr 2026 05:01:00 +0000

Los próximos días 14, 15 y 16 de Abril tendrá lugar en Zaragoza el Congreso The Wave 2026, con una amplia participación de empresas tecnológicas, ponentes de primer nivel, y exposiciones, y yo estaré para dar una ponencia el día 15 de Abril en el Planet Zero - que será el auditorio del Palacio de Congresos de Zaragoza - a las 11:50, de la mano de Nunsys y Cloudflare.

Figura 1: ‘Hacking & Cybersecurity in the age of AI Revolution’

The Wave 2026: 14, 15 y 16 de Abril en Zaragoza

Por supuesto hablaré de Ciberseguridad e Inteligencia Artificial en una charlad de media hora, así que si vas a estar por allí, recuerda, el día 15 a las 11:50 estoy en el auditorio Planet Zero, por si quieres pasarte a verme.

Figura 2: ‘Hacking & Cybersecurity in the age of AI Revolution’.

The Wave 2026 - 15 Abril en Zaragoza

Figura 3: Mi charla será el día 15 a las 11:50 con Nunsys en Planet Zero

Por supuesto, si te has leído el libro de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment" seguro que te haces una idea de lo que voy a contar allí, pero... como siempre, estará actualizada hasta el último minuto, que en este mundo todo va muy deprisa.

Figura 4:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Ese mismo día, estará como cabeza de cartel cerrando el evento, el gran José María Álvarez-Pallete, que es un gran ponente y que, como siempre, dará una charla espectacular. Será a las 19:00 horas, para cerrar la jornada del día 15.

Figura 5: José María Álvarez-Pallete cierra el día 15 en The Wave.

Puedes contactar con José María Álvarez-Pallete en MyPublicInbox.

Pero además, el día 14 tenéis, entre muchos, a Paco Salcedo, Presidente de Microsoft España, y el día 16 a Jordi Wild - que tengo muchas ganas de conocerlo en persona -, y al viejo rockero de Alejandro Vesga, que estarán dentro de una lista de grandes ponentes. Nos vemos por Zaragoza.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo lograr el Check de Verified en LinkedIn con una Identidad Pública que no coincide con la Identidad Legal

noreply@blogger.com (Chema Alonso) — Thu, 02 Apr 2026 07:58:00 +0000

Durante los últimos años, las redes sociales han ido incorporando sistemas de verificación con el objetivo de reforzar la confianza entre los usuarios. Estos sistemas consisten en un mecanismo mediante el cual la plataforma confirma que la persona o entidad que gestiona una cuenta es realmente quien dice ser. La recompensa visible para el usuario es una insignia, un pequeño icono —el conocido check— que, para muchos, simboliza autenticidad y fiabilidad.

Figura 1: Cómo lograr el Check de Verified en LinkedIn con una

Identidad Pública que no coincide con la Identidad Legal

En el caso de LinkedIn, esta insignia de verificación pretende indicar que un perfil pertenece a una persona real y que la información presentada coincide con su identidad profesional, pero hay que entender que no tiene por qué ser la información legal. A través de estos distintivos, la plataforma busca generar un entorno más seguro, donde los usuarios puedan interactuar con confianza, evitando suplantaciones y facilitando la creación de redes profesionales legítimas. Además, el sistema permite verificar no solo la identidad, sino también documentación, garantizando que determinada información que aparece en el currículo de la persona es correcto.

Sin embargo, esta lógica presenta un matiz a conocer. La verificación no siempre vincula de manera técnica y directa la identidad visible del perfil con la identidad que se ha validado internamente. Algo que hay que entender si te dedicas a la investigación de identidades en Internet. Es decir, un usuario podría mostrarse como verificado gracias al check, pero no existir una correspondencia completa entre los datos de la persona que aparece en el perfil y aquella que ha pasado el proceso de validación.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

La insignia ofrece cierta seguridad y confianza, pero no asegura la correspondencia absoluta entre la identidad verificada y la visible, por lo que debes conocer su funcionamiento correctamente para entender sus límites. En LinkedIn, un perfil verificado transmite una idea muy concreta, detrás de ese nombre hay una identidad confirmada, pero podría darse el caso que no fuera exactamente la visible, que es lo que la mayoría de usuarios interpreta sin pensarlo demasiado.

o que vas a ver a continuación no muestra una intrusión, ni una toma de cuenta, ni una vulnerabilidad técnica clásica. Muestra algo distinto, un flujo de verificación para reforzar la autenticidad del perfil, pero que deja que la identidad visible de una cuenta sea distinta de la identidad legal acreditada. Esto, si lo conoces, no tiene por qué ser malo. Muchas personas tienen nombres públicos que no son los que están en sus identidades legales, como Moxie Marlinkspike o Chema Alonso, pero aún así se puede verificar que son ellos. Moxie Marlinsspike protagonizo en un evento una anécdota que se hizo famosa cuando le pedían un ID con su nombre en un evento, y el dijo simplemente: "Google me", para que la persona que le registraba supiera que él era Moxie Marlinspike, - una identidad creada por él mismo - incluso si su identidad legal era otra.

Dicho de otra forma, el sistema comprueba que hay una persona real detrás - que ha hecho el proceso de Know Your Custormer -, pero el usuario final puede seguir sin saber quién es realmente esa persona . Cuando una insignia de verificación deja de responder a la pregunta “quién está detrás” y pasa a responder sólo a “hay alguien detrás”, el modelo de confianza debe ser otro. Es cierto que, si hay algún problema, la plataforma que ha verificado a esa cuenta, sabe quién está detrás de ella. Es decir, la identidad legal del que controla esa cuenta.

Lo curioso es que, de acuerdo con el flujo operativo descrito, ante una discrepancia, LinkedIn propone una salvaguarda consistente en mostrar el nombre oficial como complemento público en el perfil. Incluso llega a mostrar una vista previa en la que el alias, la insignia de verificación y el nombre legal aparecen conjuntamente, reforzando la transparencia y autenticidad del perfil.

Sin embargo, esto no parece la mejor idea para perfiles que tienen una identidad pública bien reconocida que prefieren conservar la privacidad de su identidad legal. Como vamos a ver en esta demostración, aunque la intención declarada por LinkedIn en la ayuda es mostrar la identidad legal, el resultado operativo final, y el resultado finalmente visible demuestra que se puede ocultar la identidad legal, divergente con la identidad pública.

Figura 3: Según la ayuda de Linkedin, el nombre legal entre paréntisis,

y el nombre público destacado.

La prueba de concepto que sigue documenta precisamente eso. Cómo un perfil con un nombre divergente puede atravesar el proceso de verificación documental y biométrica, llegar hasta la fase en la que LinkedIn reconoce la discrepancia - y aunque promete transparencia -, terminar finalmente con la insignia añadida sin que se muestre tu identidad legal. Aunque hay discrepancia, la identidad legal no queda visible como complemento en el perfil. No se trata de una hipótesis. Se trata de una secuencia reproducida, documentada y observable. Vamos al grano.

1. Preparación de la cuenta y estado inicial

Qué se quiere demostrar con esta prueba de concepto:

Se parte de una cuenta con un nombre de perfil divergente respecto del nombre del documento.
El proceso de verificación documental y biométrica se completa correctamente.
LinkedIn detecta la discrepancia y ofrece una salvaguarda de transparencia.
La vista previa muestra que el nombre oficial aparecería entre paréntesis.
El resultado final observado es un perfil verificado con alias y sin nombre complementario visible.

La cuenta utilizada en la prueba muestra un nombre de perfil divergente, "El lado del mal", y en ese momento todavía no dispone de ninguna verificación añadida.

Figura 4: Estado inicial de la cuenta: nombre de perfil divergente

y ausencia de verificación previa.

Este punto es importante porque fija el estado previo. El alias visible, cuenta operativa y cero insignias activas.

2. Verificación documental y biométrica

El flujo de Persona valida la identidad de la persona real detrás de la cuenta. El material gráfico permite ver que el proceso pasa por el escaneo físico del documento, la comprobación biométrica y la validación final de identidad.

Figura 5: Secuencia resumida del proceso de "Know Your Customer".

Escaneo del documento, verificación biométrica y validación positiva de identidad.

Para evitar exponer datos innecesarios, en esta versión se han omitido capturas donde aparecen campos documentales completos.

3. LinkedIn detecta la discrepancia y propone una salvaguarda

Una vez verificada la identidad real, LinkedIn no añade todavía la insignia. En ese punto aparece un mensaje explícito: el nombre del ID no coincide con el nombre del perfil y, como alternativa para poder verificar la identidad, se ofrece mostrar el nombre del documento oficial como complementario en el perfil.

Figura 6: Aviso de discrepancia de nombre y activación

de la salvaguarda propuesta por LinkedIn.

4. La propia plataforma enseña el resultado esperado

La siguiente pantalla es decisiva porque ya no es una interpretación del investigador. Es la propia plataforma la que muestra una vista previa de cómo debería quedar el perfil si se acepta la opción propuesta: alias visible, insignia de verificación y nombre oficial entre paréntesis como complemento público.

Figura 7: Vista previa del comportamiento esperado. El nombre oficial

aparece como complemento visible junto al alias.

5. Resultado final observado

Tras completar el flujo, la verificación queda añadida al perfil. No obstante, el resultado visible no coincide con la vista previa anterior, el perfil termina mostrando la insignia de verificación sobre el alias, pero sin el nombre oficial complementario que LinkedIn había presentado como mecanismo de transparencia.

Figura 8: Comparativa directa entre el resultado que LinkedIn

promete y el resultado finalmente observado en el perfil.

6. Interpretación técnica de la evidencia mostrada

La imagen documenta el estado final de la prueba de concepto y concentra, en una sola vista, el núcleo del fallo de lógica observado en el flujo de verificación de LinkedIn. Desde el punto de vista técnico, lo que se aprecia es la coexistencia de tres elementos que no deberían convivir de esta forma si la salvaguarda de transparencia se aplicara correctamente, según la ayuda de la plataforma.

Un nombre de perfil arbitrario o alias visible
Una insignia de verificación de identidad activa
La ausencia del nombre legal complementario que el propio flujo promete mostrar cuando detecta discrepancia entre identidad acreditada e identidad mostrada.

Figura 9: Resultado obtenido BYPASS Business Logic Error

/ Broken Identity Binding

Esto permite inferir que el proceso de validación documental y biométrica ha finalizado con éxito - se ha hecho el KYC, el backend ha marcado la cuenta como verificada y tiene la documentación almacenada, pero que la capa de representación pública del perfil no está materializando de forma efectiva el mecanismo de unión entre identidad legal e identidad pública, que es algo que debes tener en cuenta.

Dicho de manera más precisa, la plataforma resuelve correctamente la pregunta “existe una persona real detrás de esta cuenta y sabemos quién es”, pero “la identidad pública que se muestra al resto de usuarios no tiene por qué ser la identidad legal que ha sido acreditada”.

Lo que se muestra no es una simple anomalía visual o un problema cosmético. Lo que refleja es una posible desincronización entre el estado de verificación concedido y la política de exposición del atributo de identidad complementaria descrito en la ayuda de Linkedin. En otras palabras, el sistema concede el distintivo sin hacer cumplir de manera consistente la condición de transparencia que él mismo presenta como alternativa cuando existe un desajuste de nombres, pero que por otro lado permite a las identidades públicas mantener la privacidad de sus identidades legales.

A nivel de lógica de negocio, esto encaja con un escenario de Broken Identity Binding, la identidad legal validada existe, pero no queda correctamente enlazada con la identidad pública consumida por terceros. El resultado práctico es que el usuario que observa el perfil recibe una señal de autenticidad fuerte, pero que si carece del contexto mínimo necesario para interpretar correctamente qué ha sido verificado y bajo qué identidad, podría llevarle a confusión o error.

7. Implicación de seguridad y abuso potencial de esta evidencia

En un sistema de verificación bien ligado, la insignia debería actuar como un atributo de confianza contextualizado. Es decir, no solo debería indicar que el proceso de validación ha sido superado, también debería permitir interpretar correctamente qué identidad ha quedado acreditada frente al resto de usuarios. Cuando esa unión falla, el distintivo conserva su fuerza visual, pero pierde precisión semántica. Es decir, podría parecer que la identidad legal es la que se ve públicamente es la misma - porque no aparece entre paréntesis otro nombre), sin ser así.

Eso abre la puerta a varios escenarios a tener en cuenta. Lógicamente, hay que pensar en la suplantación creíble con validación, ya que un actor podría construir un perfil con un alias, una identidad visual cuidada o incluso una identidad coincidente con la de un tercero, completar la verificación con su propia documentación legítima y terminar mostrando públicamente una cuenta que transmite autenticidad sin revelar el contexto real de la verificación. Para el observador externo, la insignia refuerza la apariencia, para el atacante, reduce el riesgo de ser detectado y aumenta credibilidad. Para limitar la suplantación de personas conocidas, por supuesto, Linkedin tiene los mecanismos de denuncia de suplantaciones, y por eso las empresas monitorizan las identidades de sus ejecutivos en la red para detectar estos posibles casos.

Hay que añadir que, además, en caso de que esta identidad fuera parte de un delito que se investigara, la plataforma podría entregar la documentación que usó la persona en el proceso de KYC, pero para engaños individuales a personas a través de redes sociales, podría dar a la identidad un halo de ser lo que se ve, cuando realmente es otra persona.

En este caso, el objetivo ya no es parecer una persona concreta, sino parecer una entidad fiable. Nombres como “Security Team”, “Compliance Department” o cualquier otra formulación institucional adquieren más potencia cuando van acompañados de una verificación activa. El problema no es solo el alias, también que el distintivo puede ser interpretado por la víctima como una validación indirecta del rol, del contexto o de la autoridad del emisor. Para ello hay que entender que las verificaciones pueden verificar también la documentación, pero puede ser que alguien verifique su identidad con este proceso, pero no verifique sus aptitudes, por lo que podría ser mintiendo en sus títulos y acreditaciones.

Cuando una plataforma proyecta una señal fuerte de autenticidad, terceros pueden usarla como referencia adicional en procesos de evaluación, contacto profesional, validación de antecedentes o interpretación pericial informal. Hay que entender bien los límites de la verificación, y si la identidad visible no queda unida con transparencia a la identidad legal acreditada - lo que podría ser una opción de privacidad - , y los que consumen estos límites no lo conocen, la plataforma introduce sin quererlo ruido precisamente en el punto donde debería reducirlo.

En otras palabras, el problema no está en que LinkedIn permita usar identidades públicas o alias. El problema aparece cuando el distintivo de verificación sigue actuando como una señal fuerte de identidad legal - tal y como dice en su ayuda - sin que el usuario pueda interpretarlo correctamente. Es decir, si la Verificación permite el uso de Identidades Públicas con privacidad de Identidades Legales, no debería decir que si hay discrepancia entre ellas mostrará las dos en la Verificación y luego que se pueda evitar eso.

Saludos,

Autor: Catalin Barsan Apostolescu

Contactar con Catalin Barsan Apostolescu

Cortical Labs CL1: Ordenadores con Redes Neuronales Biológicas para ejecutar algoritmos de Inteligencia

noreply@blogger.com (Chema Alonso) — Wed, 01 Apr 2026 04:01:00 +0000

No podía no escribir sobre esta noticia - a pesar de ser hoy el April's Fool -, pero el día a día es el que es. El caso es que quería hablaros del ordenador CL1 de Cortical Labs, que no es solo un avance tecnológico, ya que es el nacimiento de una nueva categoría tecnológica, lo que se denomina como "Inteligencia Biológica Sintética (SBI)". Mientras que la IA convencional intenta imitar el cerebro mediante silicio y matemáticas, el ordenador CL1 utiliza el componente original: Neuronas humanas vivas.

Figura 1: Cortical Labs CL1: Ordenadores con Redes Neuronales Biológicas

para ejecutar algoritmos de Inteligencia. Que pueden jugar a juegos

como el DOOM o ser usados en Cloud.

Fue lanzado comercialmente en 2025, como el primer ordenador biológico del mundo, capaz de ejecutar código directamente sobre tejido vivo, y hoy en día podemos ver jugar al mítico juego del Doom del que ya hemos hablado tantas veces.

Figura 2: Doom corriendo sobre el CL1

Ya hemos visto ejecutar DOOM desde el DNS, desde el Excel o bases de datos, en un emulador de MS-DOS para iPhone, y ahora lo tenéis en este vídeo anterior lo tienes corriendo sobre un ordenador de neuronas vivas.

El Core del CL1: "Wetware" y Silicio + BiOSP

A diferencia de un procesador tradicional, el núcleo del CL1 es un híbrido, y cuesta unos 35.000 USD por unidad. Contiene aproximadamente 800,000 neuronas cultivadas a partir de células madre humanas, las cuales crecen directamente sobre un chip de silicio equipado con una matriz de electrodos de alta densidad. El chip actúa como un puente y traduce los datos digitales en impulsos eléctricos que las neuronas pueden "sentir" y, a su vez, capta las señales eléctricas de las neuronas para convertirlas en comandos digitales.

Figura 3: Equipo CL1 de Cortical Labs

Para que este "procesador vivo" funcione, el CL1 incluye un sistema de microfluídica que suministra nutrientes, elimina desechos y regula la temperatura y los gases (CO₂, O₂), manteniendo a las células sanas hasta por seis meses. Esto, lo tenéis explicado en el siguiente vídeo publicado de Cortical Labs.

Figura 4: Brain Cells playing Doom

Para interactuar con esta amalgama de biología y metal, Cortical Labs ha desarrollado el Biological Intelligence Operating System (biOS). Este software permite a los desarrolladores desplegar código que estimula áreas específicas del cultivo neuronal, recibir respuestas en tiempo real y entrenar a las neuronas mediante bucles de retroalimentación basados en el "Principio de Energía Libre", donde las células modifican sus conexiones para hacer su entorno más predecible.

Un ejemplo famoso de esta capacidad fue el predecesor del CL1, el DishBrain, que aprendió a jugar al videojuego Pong en menos de cinco minutos, superando en velocidad de aprendizaje inicial a muchas IAs digitales.

Figura 5: En el año 2022, se presentaba el concepto con la

ejecución del mítico Pong como podéis leer en el paper

Y ahora, como no, ya con el CL1 se ha demostrado que estas neuronas pueden realizar tareas más complejas, como jugar al clásico Doom.

¿Por qué biocomputación?

El CL1 no busca reemplazar a las GPUs, sino ofrecer ventajas donde el silicio flaquea, como es la eficiencia energética. Para que os hagáis una idea, un rack entero de unidades CL1 consume menos de 1 kW, una fracción minúscula de lo que requiere un centro de datos de IA para tareas de aprendizaje similares. Así, hoy en día, Cortical Labs tiene una Cloud de CL1 y es un servicio que se puede utilizar para desplegar software.

Figura 6: Cortical Cloud

Además, las neuronas biológicas son expertas en generalizar con muy pocos datos, algo que a los modelos de lenguaje actuales les cuesta horrores, por lo que son perfectas en Aprendizaje Adaptativo. Por último, para la investigación médica es un entorno perfecto, porque permite probar fármacos y estudiar enfermedades neurodegenerativas en neuronas humanas reales de forma ética, reduciendo la necesidad de experimentación con animales. Y sólo por eso, ya mola mucho.

Figura 7: Código para Doom en CL1 "Doom-Neuron"

Todavía quedan muchas dudas en el proyecto, e incluso hay que ver cuanto de aporte tienen las neuronas biológicas en los resultados que se han visto. Los costes aún son altos, y el mantenimiento también, pero es un área de investigación preciosa que, si te gusta la tecnología, es imposible que no te mole. Además, tienes el juego para ver cómo se hacen las interconexiones.

Figura 8: Gemini ayudándome a hacer el código para el CL1

(el código viene después, pero lo he cortado, no era importante aquí)

Como curiosidad, le he preguntado a Gemini si me puede ayudar a hacer el código para entrenar el CL1 para jugar al Light Cycles de Tron, y sin que lo haya podido probar, me ha explicado cómo hacerlo. Así que... tal vez lo haga como experimento. Y ya, si te gusta la Ciencia Ficción, cuando se consigan que estas redes neuronales vivas sean de millones, que duren años, ¿estaremos cerca de crear algún cerebro sintético como los que sirven para construir a los Replicantes en Blade Runner?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

noreply@blogger.com (Chema Alonso) — Tue, 31 Mar 2026 05:01:00 +0000

Esta semana se ha publicado la entrevista que me hizo mi querido compañero João Tomé, con el que comparto oficina en Cloudflare Lisboa, para hablar de todo un poco y de nada en concreto. O lo que es lo mismo, un poco de mi vida, el mundo del hacking, la ciberseguridad, el mundo de la inteligencia artificial, y todas esas cosas de las que siempre nos gusta charlar.

Figura 1: This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

En la entrevista, que se hizo para el sitio web de This Week in NET, donde puedes ver todas las actividades alrededor de Cloudflare, también cuento anécdotas de esas que suelo contar a mis amigos en cenas, comidas y reuniones más reducidas.

Figura 2: This Week in NET

Algunas de esas anécdotas, como la de cuándo cené con Steve Wozniak y Kevin Mitnick, donde le conté el "bug" de DirtyTooth y la respuesta inicial de Apple, es alguna de las que ha salido en las redes sociales publicadas, pero estuvimos hablando casi una hora.

AI agents are now ranking among the top hacking teams in the world.

Hacker and Cloudflare VP Chema Alonso explains why — and what comes next.

Full episode + subscribe →https://t.co/k7dbUqVuPR pic.twitter.com/hnY6JpisIt
— Cloudflare (@Cloudflare) March 27, 2026

La charla completa la tenéis en el siguiente vídeo que está subido a Youtube, donde la tenéis completa. Son casi cincuenta minutos, así que si tienes tiempo y te apetece te la puedes ver completamente. También cuento en ella cómo comencé, o los inicios dando charlas en mi carrera.

Figura 4: This Week in Net: Chema Alonso & João Tomé en Cloudflare Lisboa

Todas las entrevistas que el gran João Tomé ha hecho, con grandes profesionales y compañeros, además de súper clases en el mundo de la tecnología, las tenéis en el Canal Youtube de Cloudflare al que tenéis que suscribiros ahora mismo.

Figura 5: Canal Youtube de Cloudflare

Y si quieres consumir el contenido en podcasts, RSS, o en una emisión continua mientras que estás trabajando, el equipo de comunicación creó Cloudflare TV, donde tenéis acceso a todo el contenido en todos los formatos y en todos los canales. Para que no te quejes.

Figura 6: Cloudflare TV

Y si lo que quieres es suscribirte por e-mail, en tu buzón de correo para tener el aviso regular de las novedades, entonces lo tienes fácil con la suscripción a la Newsletter de This Week in NET.

Figura 7: Suscripción a la Newsletter de This Week in NET

Espero que os entretenga, pero además que las charlas que oigáis más allá de la mía, os inspiren, os eduquen, os preparen mentalmente para el mundo que tenemos por delante, que es, sobre todo, un futuro lleno de cambios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

FrontierMath: Inteligencia Artificial resolviendo problemas de matemáticas aún no resueltos.

noreply@blogger.com (Chema Alonso) — Mon, 30 Mar 2026 05:01:00 +0000

La organización de Epoch AI es un centro de investigación que está dedicado a monitorizar el avance de la Inteligencia Artificial en la ciencia, y en especial, de la matemática, donde tienen un Benchmark para monitorizar el resultado de los modelos LLM de frontera en la resolución de problemas matemáticos.

Figura 1: FrontierMath: Inteligencia Artificial resolviendo

problemas de matemáticas aún no resueltos.

Además del Benchmark FrontierMath, del que hablaré un poco al final de este artículo, tienen una sección donde recopilan problemas de matemáticas que aún no han sido resueltos. Conjeturas aún por descubrir su respuesta, donde actualmente tienen un total de 15 problemas.

Figura 2: FrontierMath

Estos problemas los tienen catalogados por dificultad de resolución, donde los propios matemáticos que los proponen indican el nivel de dificultad, y cuanto creen que los humanos podrían resolverlo. Así, estos son catalogados en niveles de dificultad.

Figura 3: Quince retos no resueltos por humanos

De ellos, de los "Moderadamente Interesantes", donde hay cuatro - ninguno de ellos resueltos por humanos - hay uno de ellos que acaba de ser resuelto por la Inteligencia Artificial. Este reto que ha sido resuelto, el matemático que lo planteo no lo pudo resolver en el año 2019 cuando se le ocurrió.

Figura 4: Retos Moderadamente Interesantes

El enunciado del problema de "Ramsey-Style Problem on Hypergraphs", por si queréis intentarlo vosotros antes de leer la solución, lo tenéis publicado aquí, igual que el resto de los problemas abiertos. Para que te entretengas en tus ratos libres.

Figura 5: "Ramsey-Style Problem on Hypergraphs"

El problema de "Ramsey-Style Problem on Hypergraphs" es el que ha sido resuelto por los modelos de Inteligencia Artificial, en las últimas versiones de los modelos de frontera que tenéis aquí en la tabla, donde GPT-5.4 Pro, GPT-5.4 (xhigh), Gemini 3.1 Pro y Claude Opus 4.6 (max) han sido los únicos capaces de resolver este problema.

Figura 6: Modelos que han resuelto el problema aún no resuelto

Es un paso pequeño, porque se esperaba que este problema, si lo hubieran intentado resolver matemáticos de nivel, lo hubieran podido sacar seguro en unos meses - según dice el matemático que lo planteó -, pero lo cierto es que la IA lo ha resuelto rápidamente, con este Prompt, donde se le describe el problema.

A hypergraph (V, H) is said to contain a partition of size n if there is some D ⊆ V and P ⊆ H such that |D| = n and every member of D is contained in exactly one member of P. Define H(n) to be the largest integer k such that there is a hypergraph (V, H) with |V| = k having no isolated vertices and containing no partitions of size greater than n.

It is known that H(n) ≥ k_n, where k_n is defined recursively by the formula k_1 = 1 and k_n = ⌊n/2⌋ + k_⌊n/2⌋ + k_⌊(n+1)/2⌋.

Your task is to improve this lower bound by a constant factor, i.e. show that H(n) ≥ c*k_n for some c > 1. It is acceptable if this improvement does not work for small n, but it must already be "in effect" for n=15. You must demonstrate this improvement by providing an algorithm that takes n as input and produces a hypergraph witnessing H(n) ≥ c * k_n.

Please provide an algorithm that takes n as input and outputs the witness hypergraph as a string where vertices are labeled, 1, ..., |V|, and edges are denoted with curly braces. Example: {1,2,3},{2,4},{3,4,5},{1,5}

Solution format:
* Write a Python script defining a function `solution(n: int) -> str`.
* Do not include any code at the file level. You may include a `main` block for testing, but it will not be executed by the verifier.
* For n ≤ 100, the algorithm must complete within 10 minutes when run on a typical laptop.

Y con este Prompt, el modelo ha resuelto el problema y ha publicado un artículo donde ofrece la explicación matemática y la demostración de por qué está resuelto, como podéis ver aquí. Perdonadme que no me meta en la parte matemática, que ya me parece demasiado para un artículo que estoy escribiendo en domingo.

Figura 7: El paper que resuelve la conjetura que estaba sin resolver aún

Lo cierto es que, además de esta competición, el Benchmark FrontierMath está retando a los modelos de frontera con problemas con cuatro niveles de dificultad, donde miden la exactitud en la resolución. Estos problemas no son nada fáciles, especialmente el nivel Tier-4 donde hay 50 problemas muy complejos.

Figura 8: El Tier 4 tiene 50 problemas extremadamente difíciles

Y la clasificación en este nivel, de los diferentes modelos, muestra que aún queda espacio de mejora, pero al mismo tiempo muestran lo rápido que están mejorando, versión tras versión, estos modelos, buscando superar a todos los matemáticos de la tierra en un futuro que no parece demasiado lejano.

Figura 9: Clasificación en el Tier-4 de los problemas

Recordad que estos modelos sufren de problemas aún sin resolver, como vimos en el Benchmark de la ORCA donde los decimales, la aplicación de la fórmula correcta, o la transformación de medidas sigue siendo un reto en determinadas situaciones.

Figura 10: Evolución de los modelos y resultados de las pruebas de Tier-4

Por supuesto, para el mundo del hacking y el pentesting donde se utiliza ya IA, que esta es otra buena disciplina donde hay que resolver problemas, la mejora continua de estos modelos hace que caba vez sean más eficientes a la hora de realizar una penetración en un sistema. Así que hay que seguir apostando por ellos.

Figura 11: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Una charla en Lisboa, una entrevista en RNE y fotos en Spatial con iPhone

noreply@blogger.com (Chema Alonso) — Sun, 29 Mar 2026 07:16:00 +0000

Para hoy domingo, aprovecho para dejaros rápidamente tres cosas rápidas, dos de ellas porque a mí me gusta conservar todas las charlas y entrevistas que voy haciendo en mi canal de Youtube, y la última porque me ha hecho gracia un update de iPhone en las Photos usando GenAI para crear fotos en formato Spatial, que como no lo conocía ni Mi Survivor ni Mi Hacker, entonces es que aún no es muy conocido.

Figura 1: Una charla en Lisboa, una entrevista

en RNE y fotos en Spatial con iPhone

Lo primero que os dejo es la primera conferencia que impartí para Cloudflare el año pasado, durante el mes de Octubre de 2025 en el Patio Galé, de Lisboa. Para hablar de IA y Ciberseguridad en Atlantic Convergence 2025, nada nuevo de lo que no os haya hablado ya por aquí, pero que para mí fue especial.

Figura 2: Conferencia en Atlantic Convergence 2025

Este segundo vídeo es realmente sólo una entrevista en audio para RNE Radio5 que hice hace poco con Daniel Hernández Baldí. Unos minutos hablando de actualidad y hecha durante este mes de Marzo, así que tiene muy poco tiempo.

Figura 3: Entrevista de Daniel Hernández Baldí a Chema Alonso en RNE - Radio5

El último vídeo que os dejo es sólo cómo funcionan las Spatial Photos en iPhone e iOS, que lo descubrí por casualidad, y me hizo gracia. Se trata de convertir las fotos usando GenAI en imágenes "vivas" en 3D. Ya sabéis que iPhone metió las "Live Photos" grabando unos segundos hace ya mucho tiempo, pues bien, ahora ha metido estas "Spatial Photos" que se crean a partir de cualquier fotografía.

Figura 4: Haciendo Spatial Photo de la foto de RootedCON

El funcionamiento es sencillo. Basta con que le des al cubo que aparece encima a la derecha de cualquier fotografía, iOS lo procesa con GenAI, y saca una nueva fotografía que reacciona a los movimientos del acelerómetro y el giroscopio para permitirte ver la foto en 3D desde diferentes puntos de vista.

Figura 5: La foto del Gato Maligno en formato Spatial

Es un 3D muy pequeño, pero es gracioso verlo. Os he hecho unos vídeos para que se vea funcionando. Nada más. Así que os dejo hoy domingo que hay que disfrutar el día. Que hagáis muchas cosas divertidas en vuestra vida.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Doom over DNS: O cómo guardar, descargar y ejecutar Doom desde el DNS (de Cloudflare)

noreply@blogger.com (Chema Alonso) — Sat, 28 Mar 2026 05:16:00 +0000

Almacenar ficheros en los sitios menos pensados no es algo nuevo. Hace años que ya teníamos DNSFS, donde se utilizaba el DNS para almacenar ficheros, y nosotros en el equipo de Ideas Locas creamos un almacenamiento infinito a mi Macintosh utilizando una Raspberry Pi, Python & Google Photos, lo que nos permitía tener la posibilidad de descargar cualquier juego desde la nube y ejecutarlo.

Figura 1: Doom over DNS: O cómo guardar, descargar y

ejecutar Doom desde el DNS (de Cloudflare)

Estos días se ha publicado Doom over DNS, así que he ido a ver cómo lo han hecho, y la verdad es que es bastante sencillo, pero mezclar Doom siempre en la ecuación genera mucho interés.

View this post on Instagram

Aquí andamos, trabajando un rato. Os prometo que esto es parte de una investigación }:) Prince of Persia Rulez!!

A post shared by Chema Alonso (@chemaalonso) on Oct 2, 2019 at 1:39am PDT

Cuando había que probar el emulador de MS-DOS para iPhone, mi primera prueba fue con DOOM, por supuesto, ya hace poco os hablé de otro caso donde construían versiones Doom-Like para DuckDB, CedarDB e incluso Excel, que es que los fans de esta joya son muchos.

Figura 3: Doom over DNS

Ahora el "hack" era utilizar registros TXT de los DNS - en este caso de Cloudlare - para guardar un port de Doom a C#, aprovechar la distribución mundial de baja latencia en Edge que ofrece el DNS más rápido y más seguro de Internet - ya sabéis que es 1.1.1.1 de Cloudflare -, y ejecutarlo con una simple llamada.

Figura 4: Cloudflare DNS el más rápido y seguro de Internet

Para ello, tienes el proyecto de Doom over DNS en GitHub, y te puedes bajar todos los scripts que necesitas, escritos en PowerShell, con el contenido del juego que se va subir a 1964 registros TXT del DNS de tu dominio, para tener el código que hay que descargar completo.

Figura 5: Doom over DNS en GitHub

Los comandos para compilar el juego a bytecodes y poderlo subir al DNS de Cloudflare son los siguientes tres que tienes aquí. Y te va a ir a toda "mecha" y cifrado en PQC si usas el cliente WARP de Cloudflare en tu conexión de Internet.

Figura 6: Build the Game, Load Cloudflare Credentials, Upload to DNS

Una vez que lo tengas subido, pues ya es tan fácil como pedir la ejecución con otro script, también en PowerShell que tiene varias opciones para que lo puedas ejecutar bajo demanda.

Figura 7: Ejecución desde PowerShell de Doom over DNS

Esta idea de usar PowerShell para descargar y ejecutar cosas también es la que se usa en iBombShell de la que hemos hablamos muchas veces por aquí. Así que se podría hacer una mezcla de registros TXT del DNS para almacenar los payloads de iBombShell.

Figura 8: Arrancando Doom over DNS

Si quieres saber cómo funciona, pues descárgate el código desde el GitHub de Doom over DNS y pruébalo. Y, si quieres, adáptalo para hacer lo mismo con el juego que quieras. ¿Quién se anima a hacer uno para ejecutar el Light-Cycles de Tron?

Figura 9: Comprar libro de "Pentesting con PowerShell Silver Edition"

de Pablo González en 0xWord.

Otra opción chula podría hacer el porting a TypeScript y subirlo a los Workers de Cloudflare, como hicimos con el Arkanoid, ¿no? Vamos, que es muy sencillo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo configurar y Monitorizar un Cloud Web Application Firewall para proteger tu Web en un Internet muy peligroso

noreply@blogger.com (Chema Alonso) — Fri, 27 Mar 2026 05:01:00 +0000

Puede que en tu empresa el problema sea que casi nadie lo esté mirando, pero la web está siendo atacada constantemente. Este fenómeno suele pasar desapercibido para la mayoría de organizaciones. En los últimos años, las noticias más visibles en el ámbito de la ciberseguridad han estado centradas en incidentes de gran impacto, como ataques de ransomware, filtraciones de datos personales o campañas avanzadas de amenazas persistentes (APT).

Figura 1: Cómo configurar y Monitorizar un Cloud Web Application Firewall

para proteger tu Web en un Internet muy peligroso

No obstante, rara vez se habla del volumen constante de escaneos y ataques automatizados que reciben diariamente las páginas y servicios web en Internet. Únicamente los ataques DDoS de gran magnitud suelen captar la atención mediática en lo que respecta a la seguridad de servicios web. Para que os hagáis una idea, en el Threat Report 2026 de Cloudflare, la compañía está bloqueando más de 230 Billones de amenazas al día. Ese es el nivel de agresividad que vivimos hoy en día en Internet.

En el caso de VapaSec, poco después de comenzar nuestra actividad, empezamos a monitorizar la seguridad de nuestras infraestructuras expuestas a Internet. A pesar de contar con un número reducido de sistemas, detectamos más de 15.000 eventos de seguridad en un corto periodo de tiempo. La gran mayoría de estos eventos se originaban en tan solo dos servicios web.

El impacto de un Web Application Firewall

Este hallazgo nos llevó a una conclusión relevante: disponer de un WAF (Web Application Firewall) no es suficiente si no está correctamente configurado y gestionado. Inicialmente, no estábamos bloqueando ninguno de estos ataques.

Figura 2: Eventos de Seguridad en la web antes del WAF

Esto es comprensible, ya que, como ocurre con muchas soluciones de seguridad, su eficacia depende en gran medida de la configuración y del mantenimiento continuo.

Figura 3: Eventos de seguridad en la web tras configurar el WAF

Tras implementar una gestión activa del WAF, bloqueando el tráfico malicioso de forma proactiva, logramos reducir los eventos diarios a apenas una veintena.

Internet es un escáner permanente

El análisis del tráfico de cualquier aplicación o servicio web revela una realidad clara: no es necesario ser una organización conocida para convertirse en objetivo. Basta con estar conectado a Internet. Los atacantes no seleccionan objetivos de forma personalizada en la mayoría de los casos. Operan mediante escaneos masivos y automatizados en busca de sistemas vulnerables. Si encuentran una oportunidad, pueden utilizar el sistema comprometido para minar criptomonedas, distribuir malware, lanzar ataques contra terceros o interrumpir el servicio web y pedir un rescate para recuperar su actividad. Todas estas actividades no buscan otra cosa más que obtener un retorno económico.

Figura 4: Libro de "Hacking Web Technologies Silver Edition"

de Enrique Rando, Pablo González, Amador Aparicio,

Ricardo Martín y Chema Alonso

Una forma sencilla de comprobar si has sido escaneado, es revisando los logs del servidor web (Apache, Nginx, etcétera). Es habitual encontrar intentos de acceso a rutas sensibles como .env, .git, paneles de administración o copias de seguridad. También son frecuentes los ataques de fuerza bruta contra formularios de autenticación, procedentes de múltiples direcciones IP.

Figura 5: Eventos en el log que indican escaneos

Cabe destacar que muchos de estos ataques no se caracterizan por un alto volumen de peticiones, sino por su persistencia y automatización. En nuestra experiencia, solo aquellas empresas cuyo modelo de negocio depende directamente de la protección del contenido web muestran un mayor nivel de concienciación en materia de seguridad y gestión de la exposición en Internet.

Figura 6: Acciones de bloqueo diarias por dominios

Es común encontrar organizaciones que implementan plugins o frameworks de seguridad directamente en sus servidores. Aunque estas soluciones son útiles y mitigan una parte significativa de los ataques, presentan ciertas limitaciones:

Consumen recursos locales (CPU, memoria y ancho de banda).
No evitan que el tráfico malicioso alcance la infraestructura protegida.
Pueden resultar insuficientes frente a ataques de denegación de servicio DDoS.

Por este motivo, resulta recomendable utilizar soluciones de WAF en la Cloud. Este enfoque permite filtrar y mitigar amenazas en un punto previo a la infraestructura que presta el servicio web. De esta forma se optimiza el uso de recursos y se mejora la resiliencia del servicio.

Figura 7: Cloudflare WAF

Dentro de estas soluciones, una de las más extendidas y usadas es Cloudflare WAF. Cloudflare dispone de plan gratuito, que permite a muchos creadores de contenidos y pequeñas empresas disfrutar de soluciones de primer nivel sin hacer un desembolso económico.

Mis dominios están en Cloudflare. ¿Quién los gestiona?

Migrar tus dominios a Cloudflare aporta mejoras significativas en el rendimiento y gestión de la infraestructura IT. Al utilizar Cloudflare consiguen un mejor rendimiento de los servicios Web y una gestión ágil y rápida del DNS. Además de la mejora en el rendimiento, Cloudflare permite establecer un nivel de seguridad avanzado configurando algunos parámetros de seguridad.

Sin embargo, es importante destacar que el simple hecho de migrar tu infraestructura a Cloudflare no establece por defecto un nivel de seguridad alto. La configuración del WAF y de las políticas de seguridad es un aspecto crítico.

Figura 8: VAPASEC en RootedCON Madrid 2026

En diferentes conversaciones mantenidas durante eventos como RootedCON, hemos detectado la excesiva confianza en que con el uso de Cloudflare, por sí solo, proporciona seguridad completa. La realidad es que estas herramientas requieren una gestión activa y continua para ser efectivas, para poder adecuarse a las amenazas cambiantes.

Primeros pasos para mejorar la seguridad

A continuación, os dejo algunas medidas iniciales que pueden ayudar a reforzar la seguridad de un sitio web, que como podéis ver, es algo que requiere trabajo de gestión y configuración, así como de mantenimiento y operación.

Figura 9: Hacking Web Applications: Client-Side Attacks
de Enrique Rando en 0xWord

El primer paso que se deben dar es activar el Proxy, de esta forma conseguimos beneficiarnos de la capacidad de caché y CDN que ofrece Cloudflare, pero también tenemos otra ventaja. No soy amigo de la seguridad por oscuridad, pero el activar el Proxy hace que la IP que vean los visitantes de nuestro sitio web no sea la de nuestra máquina si no una de las direcciones IP de entrada a la red de Cloudflare.

Figura 10: Configuración del Reverse Proxy en Cloudflare

Una vez activado el Proxy, podemos implantar reglas que protejan nuestro sitio web de visitantes no deseados. Una primera medida puede ser crear una regla que bloquee el acceso desde determinados países en los que mi organización no tiene actividad comercial. Por ejemplo si no tenemos actividad comercial en países como Afganistán, Irak, Irán, Ucrania, Rusia, Bielorrusia, Somalia o Korea del Norte, puede ser interesante bloquear el acceso desde esos países con una regla como esta.

Figura 11: Reglas de origen en el WAF de Cloudflare

Otro paso que se puede dar para mejorar la seguridad de nuestro sitio web es restringir el acceso de scripts o programas automáticos estén visitando nuestro sitio web. Por ejemplo, con esta regla podemos evitar que programas en Python o automatizaciones que usen curl nos resten recursos de nuestro servidor web.

Figura 12: Regla por USER-Agent de origen en el WAF de Cloudflare

Igual has terminado de leer este post y te has ido a revisar el log de tu servidor web y te has dado cuenta que hay algunos visitantes con direcciones IP de mala reputación que lanzan peticiones de manera constante, solicitando recursos en rutas muy sospechosas. Podrías bloquearlas o someterlas a un reto introduciéndolas en una regla.

Figura 13: Reglas en el WAF de Cloudflare por direcciones IP de origen

Por separado cada una de estas tareas no son una gran carga para el día a día del operador de ciberseguridad, pero hay que ejecutarlas todos los días y dependen del escaso tiempo de los operadores de seguridad, lo que puede llevar a que esta tarea no se ejecute.

Automatizacion de la protección: el enfoque de VapaSec

Hace tres años nos encontramos con esta misma problemática en VapaSec. La gestión manual de la seguridad web no era escalable, ni sostenible en el tiempo. Como respuesta, desarrollamos VapaSec Web Protection, inicialmente como herramienta interna, y posteriormente como solución accesible para terceros. Web Protection no es un WAF, Web Protection automatiza y mejora la gestión de tu WAF. Es una solución que protege los servicios web mediante múltiples capas de protección:

Figura 14: VAPASEC Web Protection

El primer nivel que implementamos consiste en el bloqueo de direcciones IP con mala reputación, que realizan escaneos constantes sobre nuestros servicios web. VapaSec Web Protection cuenta con un motor propio que permite evaluar la reputación de cada IP mediante un sistema de scoring de riesgo. En función de este score, determinamos automáticamente si se debe aplicar un bloqueo o un mecanismo de desafío (challenge) a dicha dirección.

Este sistema de reputación se apoya en una base de datos donde se almacena información sobre las direcciones IP que han mostrado comportamiento malicioso de forma recurrente contra nuestros clientes desde el inicio del servicio. La base de datos se mantiene actualizada mediante la integración de fuentes tanto públicas como privadas, lo que nos permite identificar direcciones IP que están participando activamente en ataques y aplicar medidas preventivas en los WAF que gestionamos. De este modo, evitamos que estos actores maliciosos accedan a los servicios protegidos. Asimismo, las direcciones IP son eliminadas de la base de datos cuando dejan de presentar actividad maliciosa, garantizando así un enfoque dinámico y ajustado a la realidad del tráfico.

Además, esta información se comparte entre todos los dominios integrados en la solución a través de una funcionalidad que denominamos Inteligencia Colectiva. Gracias a este enfoque, cuando un atacante es detectado en uno de los dominios, queda automáticamente bloqueado en el resto, reforzando la protección de todo el ecosistema.

Otra de las medidas que implementamos en los dominios que protegemos consiste en restringir el acceso desde países en situación de conflicto bélico o que presentan un origen recurrente de actividad maliciosa. Este tipo de control es una práctica habitual en la configuración de WAF, ya que permite reducir la superficie de ataque filtrando tráfico en función de su procedencia geográfica . No obstante, es importante señalar que estos países no siempre representan el principal origen de los ataques bloqueados por Web Protection, tal y como se puede observar en la imagen inferior.

Figura 15: Bloqueos por países

En el segundo nivel implementamos reglas especializadas orientadas a la protección de los activos web. Estas reglas se nutren de información actualizada sobre amenazas activas en Internet, lo que nos permite anticiparnos y mitigar intentos de ataque antes de que impacten en los dominios que gestionamos.

Adicionalmente, establecemos políticas específicas para proteger los paneles de acceso de nuestros clientes. Para ello, incorporamos un mecanismo de control que limita el acceso a estos puntos críticos, de forma que únicamente los usuarios previamente identificados mediante su dirección de correo electrónico puedan acceder al formulario donde se introducen las credenciales de autenticación.

Figura 16: Protecciones con challenge

Otra de las capas de seguridad que incorporamos al servicio es la denominada Real Time Protection. Esta capa opera de forma continua, analizando las peticiones que recibe el servidor web protegido por Web Protection. En caso de detectar indicios de actividad maliciosa, el sistema responde automáticamente aplicando contramedidas sobre el visitante sospechoso.

En VapaSec consideramos que la mejor forma de evaluar este tipo de soluciones es mediante su uso en un entorno real. Siguiendo un enfoque similar al de Cloudflare con su plan gratuito, hemos desarrollado una prueba sin coste que permite utilizar Web Protection durante 30 días. De este modo, cualquier organización puede analizar de forma directa el volumen de tráfico no deseado que recibe diariamente y valorar el impacto real de la solución en su postura de seguridad.

Un saludo,

Autor: Pablo San Emeterio, fundador de VapaSec

Contactar con Pablo San Emeterio

Todo es eventual

noreply@blogger.com (Chema Alonso) — Thu, 26 Mar 2026 09:35:00 +0000

Recuerdo que comencé en mi adolescencia con la lectura de las novelas de Stephen King, algo que sigo disfrutando hoy en día. Casi me muero de miedo con El Misterio de Salem´s Lot, pero también con Cujo, Ojos de fuego, Christine, Carrie, Maleficio, El Resplandor, El juego de Gerald o Misery. Este último me aterró, y hoy en día me parece tan actual como entonces. Pero no os voy a hablar de todos ellos, que me he leído muchos más. He elegido comenzar mi post de hoy hablando de Stephen King por un relato de esos que aparecen en las recopilaciones de Las 2 después de la medianoche y Las 4 después de la medianoche.

Figura 1: Todo es eventual

En ese relato una persona tiene que gastar todo el dinero durante el día. Y al día siguiente también. Y al otro. No puede conservar nada y cada semana tiene una nueva asignación, pero tiene que gastarlo. El relato se llama "Todo es eventual". No os destripo la historia, pero se me hizo muy vívida la imagen - y lo leí hace más de 30 años - donde Stephen King contaba que aquella historia fue porque se imagino una imagen de un hombre tirando dinero por la alcantarilla y a partir de ahí construyó el relato.

Stephen King, que es uno de los genios de los que he leído mucho también de su vida personal, decía que muchos de sus relatos comienzan así, con una imagen que ve en la calle de alguien, o que le viene a la cabeza. A partir de ahí crea la historia alrededor. ¿Por qué pelearían la pareja al subir al taxi saliendo del hotel de lujo? ¿Porque ese peatón en el semáforo está llevando un ramo de flores y está llorando? El resto, es dejar volar la imaginación.

Cuando yo leí ese relato sentí cierta ansiedad. Al final, el protagonista está en una prisión de la que no puede salir. Un ciclo del que tiene que acabar gastando todo cada semana. Tiene 7 días para gastar todo el dinero. Incluso llegando a tirarlo por la alcantarilla. Parece algo difícil de entender que algo que es muy valioso acabe siendo lanzado a la basura cada día. Pero no, no lo es. Stephen King está trasladando otro mensaje al lector, con su forma de escribir y decir las cosas.

Que Stephen King es un escritor brillante y de éxito es mundialmente conocido. Sus libros han sido adaptados una y otra vez al cine, a series. Y han conseguido dejarte de todo menos indiferente. La Tienda, La zona muerta, El Retrato de Rose Madder, Cementerio de animales, IT son obras mundialmente conocidas. Pero también es un escritor muy trabajador, tanto, que su editor le obligó a usar pseudónimos para no publicar tantos libros e inundar el mercado con su nombre, por lo que comenzó a usar a Richard Bachman para sacar novelas como La Larga Marcha o Carretera Maldita, pero llegó a utilizar alguno otro más.

Me fascinó Stephen King, pero además era un profesional trabajador y constante, y eso me impactaba positivamente aún más. Voluntad de trabajo. Y trabajo de calidad a fuerza de haber practicado y practicado. De hecho, una de las cosas que más me motivaba era la gestión del fracaso y la frustración que él explicaba con la teoría del clavo. Cuando estaba comenzando como escritor y enviaba sus relatos y novelas a las revistas y a los editores por carta, él contaba que recibía una y otra vez cartas de rechazo. No las tiraba, no las guardaba, las pinchaba en un clavo que tenía en su despacho. Y cuando le había rechazado tantas veces que ya no le cabían más cartas en el clavo, pues a clavar un clavo más grande en la pared.

Pero volviendo al asunto del relato, donde el protagonista tiraba el dinero que no había podido gastar o usar por la alcantarilla, la gracia es que hay un recurso más valioso que todos los días, y todas las semanas, se va por la alcantarilla si no lo empleamos bien, que es el Tiempo. No lo puedes acumular, cada día decides qué haces con él, y a final de semana pasa factura, pero si no haces nada con él, pues va por la alcantarilla.

Aún no hemos visto a nadie que haya salido vivo de la vida, así que tú tiempo, querido lector, con una alta probabilidad, tiene un contador activado y en cuenta atrás. Así que cada día, cada semana, cada mes, tienes el que tienes, que es el mismo que tenemos todos. Y se acaba. Todo lo que has vivido hasta ahora ya se ha descontado de tu contador, y debes sentirte feliz con como lo hayas gastado. Si lo has gastado mal, si has vivido la vida de otros, si has dejado que te lo roben - ya sean personas, malas decisiones o algoritmos de engagement en servicios digitales -, has sido tú. Si lo has tirado por la alcantarilla, pues eres tú el que lo haces.

Lo que es seguro es que, al final del día, el tiempo que no hayas empleado en hacer algo que realmente quieras, no lo puedes acumular. Decide qué quieres hacer con él. Donde lo quieres gastar e invertir cada día para que haga que tu vida hoy, mañana y el resto del tiempo que tienes por delante se acerque un poco más a lo que quieres que sea.

No te quedes en el camino o estancado en un círculo de pasar por la alcantarilla todos los días a tirar tu “dinero”. Tal vez tu alcantarilla sean redes sociales y vídeos insulsos, o malas amistades, o en simplemente aburrirte. Tu tiempo es tuyo. Tus decisiones son tuyas. Cambiar las cosas no siempre es fácil, pero tienes tus 24 horas cada día para gastarlas de la mejor formar posible para ti. Y cada semana para hacer que cuente. Deporte, descanso, lectura, aprendizaje, proyectos, trabajo, familia, amigos, cine, música, tú decides. Pero decide bien.

Yo hago eso cada día. Pienso en lo que voy a hacer cada minuto. Como gasto mi tiempo cada día. Como hago que ese tiempo cuente en cosas que quiera hacer. No vamos a tener tiempo de hacer todo lo que queramos en la vida, así que hay que asegurarse que hayamos conseguido que durante nuestros días en el mundo de los vivos, hagamos mayoritariamente cosas que queremos hacer y nos hacen felices o nos acercan más a la felicidad. Si estás gastando el tiempo en cosas que no te hacen feliz, o que cada día hacen que te veas abocado a situaciones donde vas a tener que hacer más y más cosas que no son donde te gustaría gastar tu tiempo, entonces haz algo. Tienes 24 horas cada día.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cuánto dinero cuesta hacerte el juego de Light-Cycles de TRON en Workers de Cloudflare usando IA

noreply@blogger.com (Chema Alonso) — Wed, 25 Mar 2026 05:01:00 +0000

Ayer os hablaba de la Deuda Técnica en la que incurrimos cuando hacemos uso de la Inteligencia Artificial para programar proyectos, y hoy quería ver cuánto cuesta en dinero hacerte un proyecto con IA, además de verlo en tiempo. Y para hacer la prueba, quise hacerlo con el juego del Light-Cycles de TRON.

Figura 1: Cuánto dinero cuesta hacerte el juego de Light-Cycles

de TRON en Workers de Cloudflare usando IA

Ya sabéis que yo soy muy fan de la saga de TRON, de la que tengo todos los cómics, me he visto todas las películas y series, e incluso tengo varias de las novelas, y la maquinita de los años 80 de TRON, donde entre otros, venía el juego de Light-Cycles al que me podéis ver jugando aquí.

View this post on Instagram

A post shared by Chema Alonso (@chemaalonso)

Como ya os conté en el articulo de "La gestión de la "Deuda Cognitiva" en servicios programados con Inteligencia Artificial" es un juego que me lo he hecho con Vibe-Coding para tenerlo en un script en Bash para MacOS donde puedo jugar cualquier minuto perdido.

View this post on Instagram

A post shared by Chema Alonso (@chemaalonso)

Este es uno de los juegos míticos de TRON, de los que os hablé en mis artículos dedicados a TRON que debes leerte si no los has leído ya para hacerte súper-fan de la saga. Aquí los tienes.

Pues bien, después de ver el artículo de "Cómo migrar Arkanoid de C++ a TypeScript con OpenCode y desplegarlo en Workers de Cloudflare" quise hacérmelo yo y ver lo que me costaría tenerlo corriendo en un Cloudflare Worker en el Edge, así que me puse a pegarme con ello.

Figura 4: Prompt para crear el Light-Cycles de Tron en OpenCode para MacOS

La verdad es que no fue muy complicado, le pedí a Gemini el Prompt para OpenCode - después de configurarlo y conectarlo con AI Gateway de Cloudflare, utilizando Claude Sonnet 4.6, le di caña.

Figura 5: Jugando on the Edge dentro del Grid

En cuestión de un 15 minutos me había hecho todo el juego, y lo había desplegado como un Cloudflare Worker en una URL de una de mis cuentas de Cloudflare, y por supuesto me eché unas partidas para demostrar a la máquina quién es el que manda en The Grid - yo soy el que gano, por supuesto -.

Figura 6: Coste en tiempo y en dinero para hacer el proyecto

Pero lo interesante era cuánto había costado hacerme este juego, que como podéis ver fue medio dólar, es decir, 0.5 USD en costes de "ingeniería", y para construirme un juego que programar décadas atrás hubiera sido mucho, mucho, mucho más costoso.

Figura 7:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Sí, puede que los modelos tengan problemas de seguridad que les hacen vulnerables por diseño, como he hablado muchas veces, pero generando código hay que reconocer que lo hacen a una velocidad brutal, por lo que no adaptarse a este mundo es imposible e irresponsable. Eso sí, creo que en el artículo de ayer os dejé ya clara mi reflexión sobre dónde hay que ir con todo con esto, y donde creo que hay que ir con cuidado. El mundo pasado ya pasó, ahora es este.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

La gestión de la "Deuda Cognitiva" en servicios programados con Inteligencia Artificial

noreply@blogger.com (Chema Alonso) — Tue, 24 Mar 2026 04:33:00 +0000

El mundo del programación con Inteligencia Artificial ha entrado en una nueva fase desde finales del año pasado cuando comenzamos a ver que programar con IA dejaba de ser algo como Vibe Coding, para convertirse en una herramienta capaz de hacer tools y proyectos de gran tamaño y con gran calidad. Ahora le estamos dando el proyecto completo y lo hace con una alta calidad, y podemos ver resultados como el que os publiqué hace poco para, en un par de minutos, migrar un código en C++ de un juego a TypeScript y tenerlo funcionando en Workers de Cloudflare.

Figura 1:La gestión de la "Deuda Cognitiva" en servicios

programados con Inteligencia Artificial

Impresionante. Y estamos entrando en una fase donde las empresas solo tienen que crear sus MCPs internos, darle las herramientas a sus empleados y dejarles que se creen las tools y los agentes que quieran para automatizar sus tareas del día a día más de forma mucho más avanzada que antes. Es común encontrarse con amigos y preguntarse... ¿qué estás haciendo tú con IA? Existe hasta cierta ansiedad por no ser el que menos partido le esté sacando a este nuevo mundo.

Me encanta. Puedes hacer en minutos tus proyectos, tus tools, y automatizar muchas cosas. Es un mundo increíble en el que se pueden hacer muchas cosas de forma muy rápida, y avanzar el ritmo de innovación a marchas forzadas. Pero la pregunta que queda en las conversaciones es... Te aburres, hazte un juego en un minuto.

View this post on Instagram

A post shared by Chema Alonso (@chemaalonso)

Por supuesto, para el mundo del Hacking y el Pentesting, donde vivimos de tools, scripts y herramientas Quick&Dirty que nos creamos para un entorno concreto, el poder hacerlo con IA es una maravilla de la que no se puede prescindir ni por asomo.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Como ya os conté, nosotros fuimos creyentes de este mundo desde el día uno e incluso hicimos, pensando en mi AMSTRAD CPC 6128, un BASIC 1.0 Copilot para AMSTRAD CPC 6128, que publicamos en la RootedCON de hace dos años.

Figura 4: BASIC 1.0 Copilot para AMSTRAD CPC 6128

Sabíamos que la IA lo iba a cambiar todo, y por supuesto, también la programación, así que desde el principio nos pusimos mucho las pilas con esto. Pero... ¿y hoy en día?

¿Ya no será necesario saber programar?

Os prometo que yo me he hecho esta pregunta internamente muchas veces desde que escuché a CTOs decir que sus ingenieros ya no tiran líneas de código, y tengo mi propia reflexión, que tiene que ver con el título de este artículo y con un concepto muy relevante, que es el de "Deuda Cognitiva". Este concepto hace referencia a cuánto dejas de saber de cómo está hecha una pieza clave en tu negocio. Y lo que sería el nivel aceptable o no aceptable lo decides tú. Es así de sencillo.

Por ejemplo, hemos incurrido en mucha Deuda Cognitiva en cómo funcionan los sistemas operativos que utilizamos en las empresas. No conocemos todos los detalles de su funcionamiento, ni tan siquiera el control que de ellos pueden tener las empresas que los crean. Simplemente confiamos en ellos. En el Windows, en el Mac, en el iPhone y el Samsung Galaxy con Android. Pero también lo hacemos en el MS Office o el mismo Salesforce. Tenemos Deuda Cognitiva en cómo está construida la herramienta.

Pero si vamos a más allá, tenemos Deuda Cogntiva en casi todo. Cuando programamos y hacemos nuestro propio código fuente en Rust, JavaScript, Python o NodeJS, el código en ASM, o el binario son del pasado. No nos importa, porque confiamos que va a funcionar en otro sitio, y si no, al menos podemos reconstruirlo, porque sabemos cómo se hace, y podemos migrarlo.

Ahora bien, cuando hacemos un software con Prompting, nuestro código fuente pasa a ser el Prompt, y ese Prompt, cuando se interpreta da un código, pero... no es determinista. Ya os conté mi aventura con el Insane Vibe Coding with Harsh Prompting. Puede que lo haga de una forma u otra. No, no te asustes, esto también te puede pasar con un código en C++ según el compilador que utilice se generará un código ASM o binario diferente.

Eso sí, puedes garantizar que, con un 95% de probabilidades, el compilador no afectará a la lógica del programa resultante. Con el Prompt, no tenemos aún esa certeza si cambiamos el modelo que tenemos por debajo - corregidme si me equivoco - pero el nivel de creatividad y no determinismo es alto aún modelo contra modelo. Lo que podríamos hacer es darle el código generado por el modelo anterior a un nuevo modelo y decirle que lo migre o lo cambie. Pero volvemos a depender de que el modelo de IA lo haga bien. No tenemos control directo.

No pasa nada. Si la herramienta que estamos construyendo no es del core de nuestro negocio, puede que no sea importante, y en el caso de que tengamos un problema con ella, construimos otra de cero igual, o similar. Por ejemplo, una herramienta para hacer tareas personales, controlar nuestra gestión de acciones diarias o para trabajar con los documentos ofimáticos como nos gusta. Perfecto.

La duda es cuando llegamos al software core de nuestro negocio. Supongamos una compañía, que vive de tener un software de alta calidad en el backend y en las apps, ¿Puede entrar en Deuda Cognitiva? Podrían entrar en Deuda Cognitiva en módulos accesorios, o pruebas, pero en el Core de su servicio. Tengo mis dudas.

Cuando entramos en Deuda Cognitiva significa que no sabemos bien cómo está hecho, y cuando hay que actualizarlo, modificarlo o cambiarlo, no somos capaces de hacerlo fácilmente. De hecho, he visto a mucha gente haciendo una tool súper-chula y luego no ser capaces de meterle mano ni con IA para actualizarlo, cambiar algo, o mejorarlo. Cada cosa que tocaban, rompía algo diferente.

Yo me pasé horas con un proyecto, intentando que me hiciera un cambio sin romper la funcionalidad anterior y no fui capaz. Y me ha pasado hasta con gráficos hechos con Nano Banana, que una vez construidos, cuando he querido hacer una modificación sobre ellos a golpe de Prompting ha sido un horror.

Unas ideas finales

Creo que programar con IA es fundamental hoy en día, y creo que el tooling personal, los agentes, las apps internas pueden beneficiarse horrores de tener estas nuevas capacidades. Y creo también que delegar a desarrollo con IA proyectos completos que no son críticos para el negocio puede dar a las empresas y a las personas una ventaja competitiva brutal.

Pero....

Y aquí viene el pero (por poner algún soft-limit). Creo que no hay que incurrir sin control en Deuda Cognitiva en las piezas de software core de la compañía. Además, antes de poner en producción en un entorno abierto, estos proyectos de software hechos puramente por IA deben pasar mínimas evaluaciones de seguridad, búsqueda de vulnerabilidades, fortificación, y auditoría.

No hay que confiar más en que un modelo de IA hace más seguro el software que lo que lo haría un programador senior con experiencia, o que no vaya a cometer errores de seguridad tan sencillos de explotar como los que escribiría un desarrollador junior. Si no, léete el libro de "Hacking IA" y te cambiará la visión.

Figura 5:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Por supuesto, el CTO de la compañía tiene que tener el control de dónde hay Deuda Cognitiva, dónde no lo hay, y cuál es el riesgo en que estamos incurriendo aceptando la Deuda Cognitiva que estamos incorporando en la compañía. Vamos, que es otro indicador de riesgo que hay que tener presente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)