29 mar 2021

Entrevista a Álvaro Nuñez

Hoy entrevistamos a Álvaro Nuñez. Un amigo. Una persona que conozco bien y estoy encantado de poder entrevistarle hoy. Un trabajador incansable al que no se le cae el boli. Siempre pensando en positivo y queriendo sacar el máximo rendimiento de todo lo que hace. Como dirían en el fútbol, yo le quiero siempre en mi equipo. Álvaro tiene muchas facetas ocultas, ya que empezó en el mundo de la imagen y el sonido y no directamente en el mundo de la ciberseguridad, pero eso seguro le sirve para poder ver las cosas desde otro punto de vista. 

Sin más, os dejo con Álvaro Nuñez.


1.- ¿Quién es Álvaro Nuñez-Romero?

Hola soy Álvaro Núñez @toolsprods y actualmente soy investigador de seguridad y en mi tiempo libre hago cosas tales como jugar con microcontroladores, dar clases o enredar con alguna tecnología que me pueda enseñar algo nuevo. Tal y como suelo me suelo definir en mi biografía de dos lineas: “Entusiasta de la tecnología, la seguridad informática y el mundo maker. Me gusta hacer diferentes proyectos orientados a hardware hacking e investigaciones para la integración del mundo maker y la ciberseguridad.”

2.- ¿A qué has dedicado el tiempo en estos últimos 5 años?

Prácticamente los últimos 5 años son los que llevo dedicándome profesionalmente a la ciberseguridad. Desde que terminé los estudios, a parte de tener la suerte de trabajar en lo que me apasiona, no he parado de realizar nuevos proyectos como la creación de un curso de Arduino, la creación de un bootcamp de ciberseguridad, la preparación de charlas para eventos del sector e incluso escribir un libro en 0xword de una de las áreas que más me gusta, el mundo maker. También me he unido bastante al área de la docencia, volviendo a las universidades pero esta vez con la visión desde el otro lado, aportando lo máximo que puedo y viendo cómo las nuevas generaciones se forman para el día de mañana.

3.- Hace unos años hiciste el Máster de Seguridad de la Información de la UEM. Allí nos conocimos, ¿Cómo fue tu experiencia en el Máster?

La experiencia con el máster fue muy positiva, no únicamente por las puertas que pueda abrirte el título, también por conocer de primera mano a profesionales que dedican su día a día a la ciberseguridad y sobretodo por todo lo que se aprende a lo largo del curso. Allí tuve la suerte de conocerte como profesor y aprender gran cantidad de cosas que desconocía, ya que no estudié el grado de informática y había alguna cosas que me faltaban por aprender, pero como buen autodidacta, no tarde en ponerme al día. La sensación final es que terminas aprendiendo un poco de muchas cosas, lo justo para identificar que es lo que más te gusta y comenzar un nuevo camino de aprendizaje en ese sentido, bien de manera autodidacta o a través de las numerosas certificaciones o cursos que hay disponibles.

4.- ¿Cómo empezaste en el mundo de la ciberseguridad? ¿Qué recomendarías a una persona que quiera introducirse en el sector de la ciberseguridad?

Desde siempre me ha gustado cacharrear con cualquier dispositivo tecnológico, abrirlos y ver sus piezas. Hace bastantes años, cuando las redes se protegían con WEP, comencé a ver tutoriales sobre cracking de estas protecciones. Probé varias distros como BackTrack, WifiSlax y Bugtraq. No tenía mucha idea de lo que pasaba por debajo, pero me llamaba la atención y me gustaba. Tras acabar el grado me decidí por enfocarme en esta rama, ya que era algo que siempre me había llamado la atención y quería conocer a fondo qué es lo que estaba pasando por debajo cuando se realizaba un ataque de ese tipo. Como recomendación para alguien que quiere introducirse en este sector, lo primero es que se informe y lea mucho, bien a partir de videos, libros específicos o blogs y comunidades del sector donde se puede aprender gran cantidad de cosas para todos los niveles. Y lo segundo: practicar. Montar un buen entorno de prácticas y poner a prueba lo que se va aprendiendo. Se debe ser constante e intentar estar actualizado a las noticias relevantes del sector.

5.- ¿Cómo fue tu primera charla? ¿Qué recuerdos tienes de ello?

Recuerdo mi primera charla en la Hack&Beers IX de Madrid. Antes ya había impartido algún pequeño curso online pero no charla con público en directo. Siempre hay bastantes nervios la primera vez por saber si lo que vas a enseñar va a gustar y/o si lo vas a hacer bien. El Rubber Ducky ya era algo bastante conocido en el sector,y no iba a enseñar nada nuevo, sin embargo, no llevaba un Rubber Ducky normal, sino una placa Arduino UNO modificada para poder ser identificada como un teclado ante un sistema y a partir de ahí realizar los ataques automáticas de inyección de teclas. Al final era darle una pequeña vuelta de tuerca a un concepto ya conocido y enseñar como puede hacer ese desarrollo cada uno en su casa con una simple placa de Arduino. El ambiente fue muy bueno y la charla gustó, por lo que salí contento y motivado para seguir por ese camino.

6.- Has sido ponente en BlackHat Europe en dos ocasiones y una en RootedCON, Cuéntanos un poco que hiciste y cuál fue tu experiencia.

Los dos años que he asistido a BlackHat ha sido al Arsenal, es decir, a la presentación de herramientas. El primer año fue la presentación de DirtyTooth para Raspberry Pi y el segundo año compartimos experiencia al presentar nuestra herramienta iBombShell. En los eventos internacionales siempre hay muchos nervios hasta que pasan. Son muchas horas de preparación tanto para el discurso en un idioma que no es nuestro nativo como para dejar las demos perfectamente preparadas para que no fallen. Y aún así siempre puede pasar de todo como en la siguiente anécdota. En la presentación del DirtyTooth, Apple lanzó una actualización que corregía la debilidad cuatro días antes del evento :S por suerte disponía de un teléfono no actualizado para poder realizar la demostración. Pero por si eso fuera poco, apareció el gran “efecto demo”. Fue entrar al stand, empezar a montar todo, encender la Raspberry y cuando parece que está todo en orden… la Raspberry no enciende. ¡En qué momento! Misteriosamente, tras varios intentos de arrancar la Pi, conseguí que funcionase. Fueron 5 minutos muy intensos, en los que realmente quieres desaparecer de ahí (risas). El segundo año, con la presentación de iBombShell fue todo bien, tal y como estaba previsto. Con respecto a RootedCON, presentamos una investigación basada en la tecnología BLE y sus debilidades. También fue un gran momento ya que, después de asistir 4 años como público, tener la oportunidad de exponer tu trabajo a toda la comunidad es una gran sensación. En general, podría decir que todas las experiencias han sido muy satisfactorias.

7.- ¿Qué opinión te da la cultura del esfuerzo en el mundo de la ciberseguridad?

Está claro que todo esfuerzo tiene su recompensa, y en el área de ciberseguridad pasa lo mismo. La tecnología avanza muy rápido. De un año para otro pueden cambiar muchas cosas. A la vez que se van creando nuevos sistemas más seguros, la comunidad hacker busca las vulnerabilidades para demostrar que cualquier sistema no es 100% seguro. Tenemos un ejemplo de ello en el jailbreak de iOS, donde es cierto que hoy en día no tiene la importancia que tenía hace años. Por un lado, año tras año, la propia Apple va cogiendo ideas que se han visto en aplicaciones homebrew y las integra de manera nativa en el sistema, haciendo que el jailbreak pierda un poco el sentido. Por otro lado, es cierto que cada vez es más complejo encontrar un fallo de seguridad en el sistema, y quizás tardan demasiado tiempo en encontrar algo, pero por lo general terminan llegando. La moraleja de todo esto es que hay que ser constantes, trabajar y nunca dejar de aprender ni dar nada por supuesto ya que no podemos afirmar estar 100% seguros.

8.- Eres docente en diferentes másteres de seguridad y, recientemente, has sido designado como Director del Bootcamp de Ciberseguridad de Geekshubs, ¿Cómo está siendo la experiencia con todo esto?

En la parte de la docencia, empecé con la creación del curso de Arduino para hackersClub, que después de un tiempo ha terminado en la plataforma Udemy. Después empecé a colaborar en alguna universidad y poco a poco empecé a entrar como docente en otros másters de ciberseguridad en la impartición de sesiones. En cada sitio he tenido que llevar una temática diferente, lo que me hace estar constantemente al día. Más adelante surgió la oportunidad de ayudar en la creación de cursos intensivos (bootcamps). No todo ha salido a la primera. Se ha requerido de varios intentos hasta conseguir que una edición pudiera salir, en este caso de la mano con GeeksHubs Academy y ya está en preparación la segunda edición. Al igual que me ocurre con los eventos, la experiencia es satisfactoria y me “obliga” a estar actualizado y no perder las ganas de seguir trabajando en ello.

9.- ¿Cómo crees que ha cambiado la formación hoy en día con la pandemia? ¿Crees que habrá un boom de formación en los próximos meses/años?

Personalmente estoy acostumbrado a la impartición de formación online. Es verdad que con este modelo de enseñanza se pierde el contacto humano, sin embargo las ventajas son muchas, por ejemplo, para aquellos que no tienen tiempo y prefieren estudiar a su ritmo cursando una formación online sin horarios aunque también están las formaciones que ofrecen clases en directo de la misma manera que si fuera presencial. Hemos visto como debido a la pandemia nos hemos tenido que adaptar a la nueva situación y no por ello dejar de aprender. La formación online siempre está activa. Cada vez hay mayor oferta y seguro que hay alguna formación que se ajuste a las necesidades de cada uno. Creo que en los próximos meses/años mucha gente buscará nuevas maneras de formarse para ampliar sus conocimientos y sus habilidades profesionales, y muchos elegirán la modalidad online por lo sencillo que es adaptarse y las comodidades que ofrece. Que la situación no sea una excusa para dejar de aprender.

10.- Para finalizar, ¿Cómo descubriste Flu Project? Y ésta más compleja, ¿Cómo ha sido trabajar conmigo?

Cuando buscaba tutoriales sobre hacking encontraba rápido comunidades como elhacker, DragonJAR e incluso sitios Taringa! en donde se podía encontrar posts de todo tipo y podías encontrar algunos tutoriales con temática de hacking. Por supuesto, también fue muy fácil dar con el blog de elladodelmal. Esas fueron las primeras referencias que recuerdo. Más adelante si recuerdo llegar al blog de flu en busca de lo mismo, post con tutoriales sobre hacking y había una serie de post muy completa sobre el hacking wifi y eso para mí fue toda una fuente de información y aprendizaje. Y con respecto a la pregunta compleja, es tan compleja como trabajar contigo (risas). En realidad para mí es todo un honor. Lo primero haberte tenido como profesor. He aprendido mucho, cada día algo nuevo y gracias a ello he podido cumplir mis sueños. Tener la oportunidad de trabajar junto a uno de los mejores del sector no tiene precio. Espero que sigamos creando nuevos retos y proyectos tecnológicos muchos años más. ¡No hay nada que se nos resista! 


Puedes contactar conmigo en mi perfil de MyPublicInbox



25 mar 2021

Zerolynx estrena torneo de hacking junto a ESL


Hoy da comienzo el torneo de ciberseguridad gratuito, en formato Capture de Flag (CTF), que Zerolynx ha realizado junto a la Electronic Sports League (ESL) con motivo de la 9ª temporada del ESLMasters de CSGO. Este CTF, llamado #FromZeroToLynx, mezcla el mundo de la ciberseguridad con el de los eSports, para dar lugar a una serie de interesantes desafíos que pondrán a prueba tanto a jóvenes, como a expertos en la materia. Junto a los retos más habituales en este tipo de torneos, relacionados con la criptografía, la esteganografía o el hacking web, veremos otros relacionados con el mundo de los videojuegos, lo que hace de este CTF algo singular y llamativo para todos los participantes. Cada semana serán liberadas nuevas pruebas de diferentes niveles de dificultad y con diferentes puntuaciones. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo, podrán optar a una serie de premios gamer, además de tener la opción de tener una entrevista para unirse a Zerolynx. Los ganadores serán anunciados durante la gran final del ESLMasters, prevista para el próximo domingo 2 de mayo. 

Si no quieres perderte nada, permanece atento a las retransmisiones de ESL España cada semana y, por supuesto, sigue a @ZerolynxOficial en Twitter para poder optar a los premios y leer todas las noticias y novedades del torneo. 

¿A qué esperas? Regístrate ya y empieza a disfrutar con ESL y Zerolynx. ¡#GoGoGo!

https://www.fromzerotolynx.gg/

Durante el ESL Masters pausaremos las publicaciones en Flu Project por parte de Zerolynx, para dedicarnos en cuerpo y alma al torneo :). Todas las semanas trataremos de manteneros al tanto sobre el avance del CTF, el ranking y las principales anécdotas que vayan surgiendo, ¡disfrutadlo!

24 mar 2021

¡Mañana arranca el CTF #FromZeroToLynx! ¡Go go go!

Buenas a todos, como muchos ya sabréis, Zerolynx se convirtió recientemente en partner de ESL, con el objetivo de patrocinar las próximas temporadas del ESL Masters España de CSGO. Sobre ello, os conté la semana pasada la anécdota sobre como se forjó la alianza, y os adelanté que esta colaboración no se iba a quedar en un simple patrocinio, sino que iba a traer otras novedades para el ecosistema de los eSports. Una de las ideas que se nos ocurrió llevar a cabo cuando nos sentamos a conversar con ESL, fue la posibilidad de hacer un torneo de hacking englobado dentro del ESL Masters, y por tanto, con una temporalidad vinculada a su realización. Según lo estábamos comentando, íbamos visualizando en nuestras retinas lo novedoso de mezclar Ciberseguridad y eSports, y fuimos dibujando esbozos de lo que es a día de hoy el CTF #FromZeroToLynx, que dará comienzo mañana 25 de marzo de 2021 a las 12:00 pm (CET), coincidiendo en fecha con el primer encuentro del ESL Masters entre Saw y Fuark: 


#FromZeroToLynx es un torneo de ciberseguridad gratuito, en formato Capture the Flag (CTF), en el que podréis ganar interesantes premios gamer. El CTF finalizará el 2 de mayo a las 12:00 pm (CET), mismo día en que termina la Temporada 9 del ESL Masters. Cada semana serán liberados nuevos retos hacking de diferentes niveles de dificultad y con diferentes puntuaciones. Durante las retransmisiones de ESL España podréis informaros del avance del CTF, así como en la cuenta oficial de Twitter de @ZerolynxOficial, donde además serán publicadas todas las noticias del torneo, por lo que no te olvides de seguirla si deseas participar. Aquellos que logren situarse en los primeros puestos del ranking al finalizar el torneo, se llevarán los premios y el reconocimiento público del CTF #FromZeroToLynx. Los ganadores serán anunciados el domingo 2 de mayo a las 19:00h (CET) durante la retransmisión oficial de la final del ESL Masters, que tendrá lugar en su canal oficial de Twitch.


Los 3 mejores situados en el ranking recibirán los premios gamer que figuran en la imagen anterior, y tanto ellos, como los 7 siguientes, podrán tener una entrevista de trabajo en Zerolynx, si así lo desean. En la actualidad tenemos varias vacantes abiertas, por lo que es una buena oportunidad para unirse a nuestro equipo, disfrutando además de los retos, aprendiendo cosas nuevas y de paso, pudiendo llevarse algún regalo a casa.

Los retos que os encontraréis en #FromZeroToLynx no son los que habitualmente puedan resolverse en los CTFs tradicionales, si que es verdad que hay varias pruebas que indudablemente debían estar, pero hemos tratado de vincularlas al mundo de los videojuegos, y tanto es así, que hasta hemos programado algún que otro mapa de CSGO y de otros videojuegos con flags ocultas.. por lo que no solo harán falta conocimientos de seguridad, sino también tendréis que ser algo jugones :).

En #FromZeroToLynx hay retos para todos los niveles, que irán desde lo más inicial, a retos de pensar y pensar frente a la pantalla. Hemos querido diseñar un CTF educativo, para que los más jóvenes puedan iniciarse y aprender sobre ciberseguridad, sin desesperarse por obtener una flag, y para que los jugones que ya llevan algún que otro año en el sector de la ciberseguridad, puedan desestresarse del día a día, y disfrutar un rato junto a nosotros.

¡Esperamos que os guste!, hemos puesto muchas ganas para que el CTF se encuentre al gusto del mayor público posible. Sin más, simplemente aprovechar para dar las gracias al equipazo de Zerolynx, que ha trabajado muy duro para cumplir los tiempos que nos planteamos y para que todo estuviese a tiempo mañana, a ESL, por dejarnos acompañarnos en esta aventura, y a HyperX, que ha patrocinado varios de los premios del CTF.

¡Disfrutadlo! Mañana a las 11:00h (CET) os esperamos 👇

https://www.fromzerotolynx.gg/


23 mar 2021

FEWOD Error: lo que debes saber antes de comenzar un proyecto de robótica aérea usando drones de DJI

AUTOR: JESÚS PÉREZ MARTÍNEZ

    En los últimos años los vehículos aéreos no tripulados, más conocidos como UAVs o drones, están aumentando su relevancia de forma exponencial en el mundo actual. Por ejemplo, hace unas semanas aparecía la noticia de que, con gran seguridad, se abrirá en los próximos meses (de forma experimental) el primer aeropuerto establecido en Londres para taxis voladores y drones de reparto, bautizado como Air One. Esto, que hasta hace no mucho parecía ciencia ficción, es ya una realidad y son numerosas las empresas que empiezan a usar drones en multitud de tareas, principalmente porque permiten aumentar la seguridad y la eficiencia en determinadas operaciones. 


    Drone M300 en vuelo, un modelo industrial de DJI.

    Una de las marcas líderes en este sector es DJI, bien conocida entre el público general por la amplia gama de productos para todo tipo de usuarios que presenta. Su línea referente a drones industriales tiene una característica bastante interesante, que nos proporciona una serie de herramientas de desarrollo o SDKs para crear nuestras propias aplicaciones y personalizar el comportamiento de nuestra aeronave al máximo. Es tal el grado de desarrollo que el fabricante nos quiere dar, que es posible implementar soluciones de robótica aérea basada en ROS a través del OSDK, su kit de desarrollo para aplicaciones a bordo del propio drone. Sin duda esto es un factor que puede ser muy influyente a la hora de plantear el proyecto de un nuevo producto o línea de desarrollo basada en este tipo de aeronaves, pero, ¿cuál es el nivel de madurez del OSDK de DJI?, ¿realmente se pueden crear soluciones capaces de ejecutar acciones de forma autónoma con los productos del gigante asiático en materia de drones?. 

    Estas son algunas de las preguntas que podemos llegar a hacernos antes de comenzar un proyecto de desarrollo de estas características, y dada la poca información que podemos encontrar sobre este tema actualmente, intentaré responderlas a través de mi experiencia personal y de un error de seguridad que encontré hace unos meses al trabajar con el OSDK.


    Componentes principales de una plataforma de robótica aérea

    Antes de comenzar más en detalle, pasaré a recapitular algunos conceptos clave de los componentes que podemos encontrar en un desarrollo de robótica aérea, partiendo siempre desde el uso de una aeronave industrial de DJI.

    1. En primer lugar, lo fundamental es elegir nuestro modelo de drone o fabricarlo nosotros mismos. Debido a la dificultad que supone la segunda opción, partiremos de una aeronave ya construida y con una serie de garantías que nos proporciona el fabricante. Una parte muy importante del drone y que se relaciona con los siguientes componentes es la controladora, encargada de procesar y analizar los datos de los sensores (GPS, IMU...), así como regir el correcto funcionamiento de los actuadores (motores principalmente).
    2. Una solución basada en robótica aérea requiere sensores más especializados que no suelen estar incluidos en nuestro modelo de drone, como cámaras estereoscópicas de alta precisión o sensores LIDAR. Estos sensores serán una pieza clave a la hora de reconocer patrones u objetos que influirán en el comportamiento de nuestro drone.
    3. Para procesar los datos que proporcionan estos sensores en tiempo real se necesita una capacidad de cómputo bastante elevada, por lo que una solución es añadir un procesador de abordo. Esta parte del sistema estará conectada a la controladora y a los sensores específicos. DJI proporciona una serie de plataformas de procesamiento denominadas Manifold 2 con el fin de dar solución a este problema.

    Debido a la necesidad de cómputo elevada y al notable peso de sensores como los LIDAR, es necesario usar drones industriales para que puedan llevar esta carga de pago sin dificultad. Además, es necesario satisfacer las exigencias de consumo de estos componentes, por lo que se necesitan baterías de gran capacidad, las cuales no encontramos en modelos destinados al público general.


    Failsafe error when OSDK disconnected: un error de seguridad con consecuencias peligrosas

    Para ilustrar la forma en la que encontré este error de seguridad, al cual llamé simplemente “Failsafe error when OSDK disconnected” en el título del reporte que envié a DJI a través de su repositorio de GitHub, primeramente haré un supuesto ficticio de un proyecto de robótica aérea. A partir de aquí, para abreviar usaré sus siglas y me referiré a este error como FEWOD.

    Imaginemos que queremos crear un producto enfocado a dar servicio a empresas petrolíferas, más concretamente para realizar inspecciones de oleoductos con drones. Para automatizarlo, incluiremos una inteligencia artificial en la propia aeronave, que analizará las imágenes tomadas por la cámara y detectará daños en la estructura. Al detectar uno de los posibles daños contemplados, el drone pausará la misión y cederá el control al piloto para que haga una evaluación más exhaustiva. Cuando el piloto lo crea conveniente, le dará la señal para que continúe la misión y siga haciendo la inspección de manera autónoma. Además, se incluirá un sensor LIDAR para detectar posibles obstáculos en la ruta, cuando esto ocurra se cederá el control al piloto.

    Este robot aéreo tendrá, a modo resumido, una cámara que puede ser la principal del drone, un sensor LIDAR y un ordenador de abordo, supongamos que es la Manifold 2 para que no haya problemas de compatibilidad con nuestro drone de DJI. Ahora que tenemos el hardware especificado, pasaremos a definir la parte software y cómo se va a comportar. Podemos distinguir diferentes acciones o comportamientos posibles a los que nuestro producto tiene que dar respuesta, pero para llegar a descubrir el error, nos centraremos en los anómalos. Es necesario contemplar el mayor número de escenarios/situaciones posibles que pueden darse al utilizar nuestro futuro robot aéreo, con el fin de crear un diseño robusto y seguro.


    Algunas de las situaciones anómalas que pueden ocurrir para este ejemplo.

    Una infografía de estas posibles situaciones puede ser la mostrada en la Ilustración 2, y nos centraremos en el caso de “Desconexión del Módulo”, donde por un motivo imprevisto y externo al piloto o la aeronave, se pierde la conexión entre el ordenador de abordo (Manifold 2) y la controladora. Esta pérdida de conexión puede darse por un fallo de alimentación de la Manifold, por interferencias o por otros motivos externos. Pero, ¿DJI ha implementado algún mecanismo de control para detectar esta posible pérdida de comunicación?. Pues, en teoría sí. Existe una opción si entramos a la configuración del drone por medio de la aplicación DJI Assistant llamada Failsafe error que si la activamos marcando la casilla (Ilustración 3), nuestro drone teóricamente pasaría a ejecutar de forma automática una de las siguientes opciones:

    • Hovering: se mantiene estático en el aire.
    • Vuelta a casa: también conocida como RTH (Return to Home), hace que nuestra aeronave vuelva al punto de despegue y aterrice en él.


    Opciones para configurar el comportamiento del drone ante un fallo del SDK.

    Esta opción en un principio es suficiente para satisfacer la situación anómala que estamos analizando, pero al realizar una prueba conectando nuestro drone (con la Manifold) al simulador que incluye DJI Assistant para llevar a cabo diferentes pruebas en un entorno controlado, comprobamos que no era así. En nuestra Manifold, se pasa a ejecutar una misión a través de ROS y en un momento cualquiera desconectábamos el cable de comunicación que conecta el ordenador de abordo con la controladora del drone. El resultado, en vez de que nuestro robot comience a volver al punto de origen o que entrara en modo hovering, seguía ejecutando la misión

    Podéis imaginar el riesgo que supone este error, ya que puede provocar no sólo daños a estructuras, sino también a personas. En concreto, para el caso del ejemplo propuesto para inspecciones de oleoductos, la existencia de este fallo puede suponer perjuicios graves a infraestructuras críticas, ya que recordemos que este tipo de aeronaves tienen un peso considerable y sus baterías pueden llegar a provocar incendios o explosiones si sufren daños severos.


    Soluciones propuestas por DJI a través de GitHub

    Como he comentado en el punto anterior, al encontrar el error lo reporté al repositorio del OSDK de DJI para informar de lo ocurrido en la versión con la que estaba trabajando, y pregunté si existía una solución. Tal y como podéis comprobar, no me dieron una solución muy útil, ya que me recomendaban que usara una función llamada flightCtrl, que básicamente su cometido es la de enviar señales en tiempo real para que nuestro dron se mueva en una determinada dirección. Por lo tanto, si deja de enviarse esta señal la aeronave pasará a estar estática, igual que ocurre cuando la controlamos con el mando.

    Esta solución puede ser útil dependiendo del proyecto. Por ejemplo, para solucionar problemas de mapping en los que se busca reconstruir una zona en tres dimensiones por medio de un sensor LIDAR, es factible usar este método para que el drone adapte su trayectoria en función de los obstáculos que va descubriendo. Un ejemplo de esta aproximación es la solución Hovermap de Emesent.

    Sin embargo, si conocemos la región del espacio donde nuestro robot se va a mover, ¿qué sentido tiene aplicar esta función?, ¿por qué tenemos que perder las capacidades de la controladora de ejecutar y procesar misiones definidas por una serie de puntos específicos en el espacio?. Obviamente, sería un engorro tener que volver a implementar una aplicación de creación de misiones, ya que es algo que nuestro drone lo trae de serie. Además, la aplicación destaca por su robustez por la cantidad de modelos en los que se ha implementado desde el Phantom 1, el primer modelo que DJI lanzó en 2013.

    Parece ser que este error, a día de publicar este artículo, se encuentra parcialmente resuelto. Volví a preguntar para informarme de si, al menos, se encontraba solucionado para los modelos industriales más recientes (M210 y M300) en una nueva entrada de GitHub. La respuesta fue que actualmente se había implementado una estrategia para lidiar con el error, en la que la acción de volver a casa tiene más prioridad que una misión, y ésta última a su vez tiene más prioridad que el modo estático (hovering). Por lo tanto:

    • Si elegimos la opción de hovering para tratar la desconexión con el OSDK, nuestro robot seguirá ejecutando la misión e intentará pasar por los puntos que le hemos indicado.
    • Si elegimos la opción RTH o vuelta a casa, el drone al detectar la desconexión volverá al punto de partida.


    Conclusión

    Si bien esta última solución puede no ser la más adecuada, sí que nos permite al menos proponer un punto de partida más robusto y adaptar el planteamiento de nuestro proyecto para cumplir los estándares de calidad y seguridad. Sin embargo, esta solución parcial sólo es válida para el M300 y el M210, que como he indicado corresponden a los últimos modelos de la serie industrial de DJI. Por lo tanto, si tenemos el M600 (que es el modelo anterior) o la controladora A3 en un drone que hayamos fabricado nosotros, esta solución no será válida porque, aunque aparece la opción de Failsafe Error en la configuración, realmente no tiene un mecanismo de control implementado para detectar este error.

    Volviendo a las preguntas que nos hacíamos al principio, en primer lugar y dada mi experiencia personal, a la pregunta de ¿cuál es el nivel de madurez del OSDK de DJI?, tengo que responder que aún queda mucho camino por recorrer. Si echamos un vistazo a la documentación de este kit de herramientas de desarrollo, veremos que es poco intuitiva, los ejemplos son escasos y de limitada claridad. Sin duda la línea principal de negocio de DJI son los drones más enfocados al uso recreativo y fotográfico, pero es una pena que su línea industrial en materia de robótica aérea parezca estar algo abandonada, a pesar del potencial que tiene. 

    Hace unos días el Ministerio de Ciencia e Innovación de España lanzaba el Programa Tecnológico Aeronáutico (PTA) para posicionar al país como referente internacional en el campo de los drones, y recordemos que sólo en España hay actualmente activos 1500 proyectos de investigación relacionados con esta temática. Ya existen numerosas empresas que están trabajando en crear todo tipo de soluciones implicando a drones, por lo que es cuestión de tiempo que se demande robustez en este tipo de kits de desarrollo.

    ARTÍCULO CORTESÍA DE JESÚS PÉREZ MARTÍNEZ

    22 mar 2021

    Entrevista Alfonso Muñoz

    Hoy tengo el placer de entrevistar a un amigo del gremio, del sector, al que conozco hace mucho (y mucho) tiempo. Analizando la situación, Alfonso, podemos decir que nos estamos haciendo mayores, pero es parte de la vida y lo bonito de ésta. Espero seguir viéndote avanzar en tu carrera profesional como lo has hecho. Yo creo que nos conocimos allá por 2013, tampoco sé decirte una fecha concreta, entre 2012 y 2013. En una de las primeras ocasiones, tuve el honor de tenerte en el taller de RootedCON de Metasploit. Un poco más tarde coincidimos en ElevenPaths allá por 2014 y te tengo admiración por todo lo que has trabajado. Hemos coincidido en muchas CON y espero que sigamos viéndonos en el futuro a corto plazo. 

    También recuerdo la invitación de Jorge Ramió y tuya al ciclo de conferencias del TASSI de la UPM en 2014. Creo que quedó algo bastante "chulo" por aquel entonces. Os la dejo después de la entrevista.

    Sin más, os dejo con la entrevista a Alfonso Muñoz.

    1 - ¿Quién es Alfonso Muñoz? 

    Creo que responder esta pregunta va a ser complicado XD. Me gusta definirme como un chico de barrio que aprovechó y luchó todas las oportunidades que la vida le ofreció y que su esfuerzo e intuición le ha permitido cumplir muchos de sus sueños. Viajar a más de 20 países, vivir en el extranjero, trabajar en lugares, empresas u organismos muy particulares en el campo de la ciberseguridad o conocer a seres increíbles. Son algunos de los regalos que me llevo de esta profesión/pasión. 

    La lectura del libro la última lección de Randy Pausch cambio mi forma de ver el mundo. Me liberé del miedo hace tiempo y eso me facilita tomar decisiones a priori "arriesgadas" que me han hecho crecer mucho como persona y profesional. Ya sabes, la muerte está tan segura que va a ganar la partida que te da toda una vida de ventaja :) 

    2- ¿Qué recuerdos tienes de tu etapa de estudiante? ¿Cómo fue esa etapa de tu vida en la que fuiste conquistando hitos: carrera, máster, doctorado? 

    Mi etapa de estudiante la dividiría en dos bloques, antes y después de los 14 años, y ese es un ejemplo clásico de potencial no utilizado debidamente o cuando buscas tu sitio en este mundo. Antes de los 14 años no tenía ningún interés por estudiar y estaba mas cerca de ser un pequeño delicuente a alguien de provecho. En 8EGB (el equivalente a 3ESO hoy día) en mi clase había una chica que me gustaba y sacaba todo sobresalientes y claro me interesaba "un poco" que se fijara en mí, un chico de todo suficientes, asique empecé a estudiar y pasé a ser el primero de la clase y mi estrategia, algo primitiva por cierto XD, surgió efecto ;). "El problema" es que me empezo a gustar lo de estudiar y no se me daba mal. Acabé el instituto con matrícula de honor, inicié una carrera de ingeniería técnica, luego una superior, luego un máster, luego un doctorado y luego un postdoc. Siempre tuve claro dos cosas: quería dedicarme a la investigación lo más cerca posible del mundo universitario y que tenía que tener preparado un plan B por si no salían bien las cosas. Durante todo ese tiempo tuve la suerte de trabajar en proyectos con empresas y organismos de todo tipo, hacer herramientas, escribir papers, libros, encontrar y repotar vulnerabilidades, etc, etc. 

    3 - ¿Qué recuerdos tienes de tus comienzos en seguridad? ¿Qué es lo que te invitó a hacerlo? 

    El culpable de mis inicios en seguridad informática fue mi hermano. Mi padre compró un ordenador, 486DX con un flamente MS-DOS 6.2 y un Win 3.11, para que mi hermano pudiera hacer sus trabajos de la universidad. Mi hermano decidió poner un sistema "anti-hackers" para que yo no utilizara y rompiera el ordenador que tanto había costado a mi padre. La protección fue modificar el autoexec.bat añadiendo al final el mensaje "Para continuar pulsa la contraseña"... durante unas semanas le funcionó (es importante recordar que no existía todavía Internet en los hogares XD). Aquel reto intelectual me pareció apasionante asique me recorrí las bibliotecas públicas en la búsqueda de libros de MS-DOS 6.2. Me los leí y descubrí la técnica hacker "mágica" para anularlo, un mísero Control+C XD. Desde entonces, empezé a tener un conocimiento bastante amplio de los sistemas operativos y me introduje en el mundo del hacking principalmente por las disciplinas del cracking, viring, phreaking, carding y el manual del anarquista. Los que hayan pasado ya los 30 años se acordarán que todo lo hacíamos por correo postal, e-zines, revistas con CDs de kioskos, algunos cibercafes a 400 pesetas la hora, etc. 

    De 14 a 18 años el mundo del cracking, el viring y la programación fue lo que centró mi mayor atención y me ayudó a no aburrirme excesivamente en el instituto :). Al entrar en la universidad continuaría con el hacking, las redes y la protección de la información. 

    4 - Eres una persona con un background extenso entre empresas, universidades, papers, conferencias, etcétera. ¿Qué diferencias ves entre los que empezaban en seguridad hace 15 años y ahora? ¿Crees que puede existir una sobreinformación? 

    Es una pregunta interesante. Antes el acceso a la información era más restringido pero era posible ser bueno en muchas disciplinas y creo que mucha de la información disponible era de calidad. A día de hoy, hay una saturación de información en la mayoría de los casos superficial, las múltiples disciplinas han avanzado mucho y requiere necesariamente de especialización, siendo cierto que en algunas de estas la curva de aprendizaje puede ser muy dura, como puede ser en el campo del reversing o exploiting avanzado. 

    Soy de la opinión que hay que ser bueno o muy bueno en una disciplina y saber todo lo que se pueda de las demás. La ciberseguridad es una profesión que requiere necesariamente de una visión amplia para abordar con éxito los problemas, desde el diseño de una arquitectura de seguridad, hasta un pentesting, reversing, forense, etc. 

    5 - Tú y yo sabemos lo que es escribir un libro. La de horas que hay que echarle y no solo a escribir, documentarse, pruebas, etc. ¿Qué experiencia sacas de tu labor más escritora? 

    En mi caso particular, aunque considero que no sé escribir, escribo para aprender. Ordenar las ideas, preparar un discurso con lógica, pensar si tu fueras el lector que echarías en falta (actitud crítica ante tu trabajo) y ayudar a otras personas del sector a avanzar en una disciplina. Escribir un libro es duro, entre otras cosas porque no nos dedicamos a ello, habitualmente se hace robando horas al sueño pero el resultado, mejorable o no, siempre es muy gratificante y de alguna forma estás dejando un pequeño legado. 

    6 - Cuéntanos un poco sobre tus proyectos más personales. ¿Cómo está siendo compartir proyecto con Roman, Raúl o Jorge? 

    Soy una persona bastante inquieta asique estoy continuamente pensando como generar cosas de valor y que tengan impacto tanto en mi sector de la ciberseguridad como en la sociedad para dejar un mundo mejor a nuestros hijos. He montado varias empresas, en paralelo a mi carrera profesional en grandes compañías, siempre con dos objetivos en mente: abordar temas intelectualmente complejos y rodearme de personas de las que pueda aprender. Con Jorge Ramió desde hace 20 años llevamos la red temática Criptored y multitud de proyectos relacionados principalmente con la formación en ciberseguridad y el asesoramiento técnico. Jorge es un ser extraordinario y es una de esa personas que he tenido la suerte de encontrarme en mi camino. Criptored ha sido un "proyecto" exitoso con multitud reconocimientos aunque siempre nos quedará la espina que en otro país que no fuera España quizás muchos de los proyectos que hemos desarrollado, mucho antes que grandes multinacionales extranjeras o grandes universidades de prestigio, hubieran tenido gran recorrido y quizás un gran retorno económico. 

    En otra aventura, que sigue en curso, hace unos años tuve la suerte de liar a Raúl Siles en una idea que lleva tiempo pensando, crear la primera certificación de protección de la información y criptografía Criptocert. Me quedo con el talento, conocimiento y capacidad de sacrificio de Raúl. Un profesional de esos que no abundan. 

    En cuanto a Roman (patowc) hemos colaborado en múltiples proyectos, hemos montado una empresa juntos y muchas otras cosas que no se pueden contar :). Román tiene una particularidad que a mi me resulta muy interesante. Tiene un pensamiento divergente, intenta siempre ir más allá con la forma de ver el mundo y eso en un mundo en el que las personas tienden a pensar siempre igual o a no expresarse por el miedo a mi personalmente me suma mucho. Me gusta mucho escucharle y sobretodo discutir con él :) 

    7 - Después de, ¿15 años? en ciberseguridad, ¿Crees que debes aportar tu granito de arena a los que vienen detrás? ¿En qué forma crees que se puede lograr esto? 

    La pregunta tiene trampa para que revele mi edad, ¿verdad? Digamos, contando el primer trabajo remunerado, 18 años ;) 

    Actualmente estoy en ese momento vital, contribuir con lo mucho o poco que sé o con la influencia que pueda tener para dejar un mundo mejor a nuestros hijos. En mi profesión, la manera que encuentro es compartiendo mi conocimiento, estar abierto ayudar a generaciones más jóvenes a buscar su camino y a intentar compartir esta pasión. 

    8 - La pandemia ha cambiado muchas cosas, muchas reglas del juego. ¿Crees que es un viaje sin retorno? ¿Crees que volveremos a ver el trabajo cómo lo conocíamos antes? ¿El teletrabajo no se irá? Parece que las amenazas que han tomado más protagonismo durante la pandemia son nuevas, pero no son así, ¿Crees que hemos sabido estar a la altura? 

    El hombre es el único animal que tropieza dos veces con la misma piedra. Creo que la pandemia ha permitido que personas con responsabilidad, quizás más clásicas a la hora de entender el trabajo, vean que es posible tener empresas o proyectos exitosos sin tener personas físicas en una oficina. Creo sin duda que cada vez será más común los trabajos full-remote y en España se tenderá a fórmulas mixtas del tipo 3 (oficina) + 2 (teletrabajo) dias por semana o 2 (oficina) + 3 (teletrabajo) días por semana. ¿Hemos estado a la altura durante la pandemia? Creo que en España falta mucho esfuerzo e inversión en la digitalizacion de multitud de tareas y servicios y la ciberseguridad (o la ausencia de la misma) ha ido de la mano. He visto compañía de más de 4000 empleados pasar de 0 teletrabajo al 100% en pocas semanas, no sin sacrificios y protecciones mejorables. Sin duda, estamos en una nueva realidad donde por suerte nuestra profesión tiene mucho que decir y aportar. 

    9 - Un consejo para los lectores de Flu Project y que quieran meterse en ciberseguridad 

    La ciberseguridad es una disciplina que requiere pasión y si se quiere ser bueno o muy competente hay que dedicarle mucho tiempo y esfuerzo. Si ese es el camino deseado yo aconsejo que considere su carrera profesional como una maratón y no como un spring, hay tiempo de sobra para hacer las cosas bien sin dejar ningún cadáver por el camino. Formáte todo lo que puedas, atrévete a equivocarte y rodéate siempre de personas mejor que tú. Al menos a mí me fue bien con estos simples pasos :) 

    Gracias Alfonso ;) un abrazo! 

    Gracias Pablo. Un fuerte abrazo a todos los lectores


    18 mar 2021

    ISMS Forum pone a prueba las capacidades de detección y respuesta de 35 compañías españolas a través de los Ciberejercicios Multisectoriales

    ISMS Forum -International Information Security Community-, a través de su iniciativa Cyber Security Centre (CSC), ha realizado la Séptima Edición de los Ciberejercicios Multisectoriales, también denominados como “CiberMS 2021”, con el objetivo de generar concienciación sobre los riesgos en ciberseguridad y fomentar las buenas prácticas entre 35 grandes organizaciones participantes, que se fundamentan en la evaluación de la resiliencia, la medición del estado de madurez y la mejora de las capacidades de detección y respuesta de las organizaciones en materia de ciberseguridad. 


    La presente edición del proyecto ha sido organizada por ISMS Forum junto con el apoyo de terceras entidades privadas. Entre ellas, se encuentra KPMG como empresa evaluadora, la cual ha analizado los resultados obtenidos en el desarrollo del ejercicio. Por su parte, Ecix Group ha sido la entidad encargada de elaborar un estudio que aporta información sobre las implicaciones legales de cada tipo de ataque sobre los resultados obtenidos en las simulaciones, así como cuáles serían las sanciones a las que las empresas tendrían que enfrentarse. Asimismo, Cymulate, Zerolynx, Riskrecon, Helpsystems y SMARTFENSE han participado bajo el rol de atacantes a las entidades con el objetivo de poder evaluar su respuesta.

    La iniciativa se ha desarrollado a través de un ejercicio de ciberseguridad consistente en la realización de un conjunto de pruebas de seguridad y simulacros de ataque a los sistemas de las 35 grandes compañías españolas participantes de este año. Las pruebas han estado exclusivamente orientadas a poner a prueba los mecanismos de seguridad lógica de la entidad, así como la cultura de seguridad de los empleados y su capacidad para detectar y comunicar de forma correcta estos incidentes a los equipos de respuesta.

    Las pruebas han permitido contrastar la relación entre ataques lanzados y el impacto originado en la entidad participante, a la vez que comparar los resultados con otras entidades, en una representación anonimizada que permite su identificación.

    La Séptima Edición de los Ciberejercicios Multisectoriales continúa progresando, de manera que las evaluaciones parciales realizadas en base a los ataques ya han dejado de manifiesto una idea general sobre el estado del arte y algunos aspectos a tener en cuenta para la continua mejora de la protección y respuesta ante incidentes:

    Queda vigente un incremento en las iniciativas y tecnologías de protección frente a ransomware, aunque aún existe margen de mejora.

    Aspectos más tradicionales como la concienciación de empleados y colaboradores siguen siendo puertas de entrada para atacantes.

    El condicionante actual con la situación de la COVID-19 y el teletrabajo está abriendo nuevas vías de ataque a las que es necesario atender de manera temprana.

    La finalidad de los Ciberejercicios Multisectoriales es generar concienciación sobre los riesgos existentes a todos los niveles, reforzar la comunicación y la coordinación, entrenar a las empresas en la gestión de incidentes de ciberseguridad y generar buenas prácticas sobre ciberseguridad en las organizaciones.

    Un año más, los CiberMS ponen de manifiesto el importante papel que tiene el sector privado en la ciberseguridad nacional y el bienestar de los ciudadanos, así como los beneficios de la colaboración público-privada. Para ello, es necesario seguir innovando y fomentando estas iniciativas, por este motivo, la Asociación insta a las compañías españolas del sector a participar en la siguiente edición de los Ciberejercicios Multisectoriales.

    Fuente: https://www.ismsforum.es/noticias/1796/isms-forum-pone-a-prueba-las-capacidades-de-deteccion-y-respuesta-de-35-companias-espanolas-a-traves-de-los-ciberejercicios-multisectoriales/

    17 mar 2021

    Microsoft Group Transcribe para Servicios Forenses

    Buenas a todos, en el ámbito forense digital hay una gran variedad de servicios que los peritos podemos ofertar, no todo es investigar ransomwares o estafas del CEO. Un ejemplo de peritajes forenses que solemos llevar a cabo regularmente en Zerolynx, son los análisis de correos electrónicos o los estudios de conversaciones de sistemas de mensajería. En estos últimos, es habitual encontrarse con audios o videos que es necesario transcribir, si ellos aportan alguna evidencia de interés para el caso investigado. Existen muchas utilidades para realizar esta conversión de audio a texto, pero prácticamente la mayoría recurren a subir el audio "a la nube", procesarlo y devolverte la transcripción. Este es por ejemplo el caso que hoy os traigo, con Microsoft Group Transcribe, uno de los servicios más potentes que me he encontrado, pero que recurre irremediablemente a la nube para lograr su objetivo. Algunos peritos no se paran a pensar esta circunstancia, pero cuando tratamos una evidencia obtenida en un caso forense, y que figura en una cadena de custodia, no puede ser compartida con terceros, y eso incluye por supuesto al proveedor que haya tras estos servicios, al no tener el control de donde acabarán esos datos que forman parte del caso forense.

    Pero no todos los forenses van a juicio, y en muchas ocasiones solo se nos requieren análisis internos para remitir un reporte a dirección. En este tipo de casos, las herramientas que recurren a la nube no serán un inconveniente, siempre y cuando recurramos a proveedores de confianza y, en la medida de lo posible, eliminemos los datos subidos una vez hayamos finalizado. De todas estas utilidades, una de las que más confianza me da, al ser de Microsoft y, por tanto, proveedor incluido en la mayoría de los procesos corporativos de seguridad en proveedores, es Microsoft Group Transcribe:


    Se trata de una APP móvil que podréis encontrar en las plataformas habituales, y que permite crear grupos de trabajo y transcribir la totalidad de la conversación. Si acercáis una grabación hecha con otro programa, como por ejemplo, WhatsApp, veréis como la transcribe perfectamente como en el ejemplo que os traigo a continuación:


    Aunque no debemos dejar de lado el foco de la aplicación, transcribir y traducir, y es que también nos permitirá facilitarnos esta labor, y pasar a texto un audio de otro idioma que no conozcamos, y que, aunque no sea una traducción jurada, nos permita entender a alto nivel lo que se dice, como por ejemplo una amenaza o un intento de phishing por teléfono.

    Os dejo con un video de Microsoft donde explican el funcionamiento de la aplicación:

    Saludos!


    16 mar 2021

    Reverse Engineering: Simple malware deobfuscation (CFG reconstruction and xrays) & analysis

    Buenas a todos, el mes pasado Joxean Koret publicó un videotutorial de media hora en YouTube sobre ingeniería inversa de malware que os recomiendo revisar. 

    El malware que utiliza en el video es una muestra de "FlyStudio":

    • md5: 09002944F0F0EEC37B022507919C3538

    Podéis descargar la muestra desde el siguiente enlace:

    Como él mismo indica en el video, el script utilizado para descifrar la muestra lo ha dejado subido a pastebin para que lo tengamos todos accesible:

    Si estáis interesados en aprender sobre temas de Ingeniería Inversa, Joxean es sin duda uno de los mejores profesionales a los que seguir, por lo que os dejo el listado de videos completo que tiene en su canal de YouTube. Hace poco publicó también algunos videos de introducción a IDA y al análisis estático de código:

    Saludos!

    15 mar 2021

    Entrevista a Antonio Fernandes

    Hoy entrevistamos a Antonio Fernandes. Una persona que ha vivido las últimas décadas pegada a la ciberseguridad. Antonio es CISO y tiene una gran experiencia recopiladas a través de los años. Hoy hablamos con él de diferentes cosas que pueden interesaros, su pasado, su presente y el futuro de las nuevas generaciones desde el punto de vista de Antonio.

    Sin más, os dejo con Antonio Fernandes.

    1- Quién es Antonio Fernandes?

    Alguien que lleva 20 años en el mundo de la tecnología de forma totalmente vocacional, y que actualmente trabaja como responsable de ciberseguridad en una industria gallega.

    2- ¿Cuándo y cómo decidiste dedicarte a la ciberseguridad?

    Fue un paso bastante natural... Aunque ya andaba en el mundo de las BBS y por el de la demoscene, en 1995 llegó algo llamado Infovía, a través de la cual y con cuenta de un proveedor llegabas a Internet. Pero bien, dinero no tenía, así que buscando como solventar este problema, acabé recalando en el IRC de Axis, que daba servicio dentro de la propia Infovia. Ahí conocí buenas compañías que sabían un montón de cosas sobre como se saltaban, digamos, determinadas barreras para el acceso a la información... Si a esto la unimos que en Marzo del 96, PCActual regalaba un cd con la Slackware.... Pues hasta los días de hoy, con bastantes anécdotas, la verdad.

    3- Vemos que tienes una larga carrera profesional con varios saltos. Todo enriquecedor seguramente. Cuál es el trabajo que echas de menos o del que guardas un grato recuerdo? (Explícanos un poco sobre el)

    En realidad de todas la experiencias guardo gratos y nefastos recuerdos, y francamente todo eso es lo que te va moldeando a lo largo de la vida, pero sin duda espero que los mejores recuerdos estén aún por venir. Con cariño recuerdo mi época de autónomo sufridor, y por aquellas épocas fui el coordinador de una comunidad para atraer al público joven a los productos financieros de una Caja de Ahorros, en donde, aparte de decisiones técnicas con los partners de Desarrollo y Sistemas, habría una parte muy humana que era el trato con los usuarios... Algunos de aquellos usuarios siguen siendo amigos míos despues de tantos años.

    4- Vemos que has estado haciendo trabajo en comisión europea,Cómo es la experiencia?

    Pues con la Comisión colaboro de dos maneras distintas. Una que es evaluando proyectos que se envían para optar a subvenciones y ayudas, obviamente relacionados con el ámbito de la seguridad. Y la otra, es que formo parte de un subgrupo de trabajo en el que hemos estado debatiendo recientemente sobre los riesgos de los productos que llegan al consumidor final que llevan integrados inteligencias artificiales. La verdad, que recomiendo a todo el mundo la experiencia.... Es enriquecedor, sobretodo cuando aún se podía viajar, y así conocer gente interesante y con intereses similares.

    5- ¿Cómo es el día a día de un CISO?

    Pues cada día es algo distinto, y tiempo para aburrirte no te queda el mas mínimo. No sólo es un trabajo en el que tratas con tecnología, el trato humanos con tus compañeros y colaboradores es muy importante y enriquecedor,y esta es una de las partes que mas me gustan, que es el acompañar a la gente hacia una prácticas mas seguras, para el negocio y para sus vidas personales.

    6- Ser CISO tienes que tomar decisiones acerca de la seguridad de la organización, ¿Cuáles son las principales amenazas en 2021?

    Pues suficientes arrastramos de 2020 y antes... jajajaja Muchas organizaciones no estaban preparadas para el teletrabajo, así que por aquí seguramente tengamos algún susto con el que no contábamos. Ahora se tomará mas en serio lo de "La identidad es el nuevo perímetro", tampoco quiero yo arriesgarme a hacer de Nostradamus que luego me sacais los colores en 2022...

    7- El teletrabajo ha supuesto un cambio en la sociedad, pero, ¿Crees que los incidentes y amenazas has aumentado?

    Sin duda, ha aumentado la presión que ejercen los malos... Cada semana podemos ver alguien que ha sufrido algún tipo de incidente. Como ya te comenté--- El teletrabajo, ha llegado para quedarse o al menos esa es la esperanza que tengo, pero nos ha pillado con el pie cambiado y muchas personas no ha sabido adaptarse adecuadamente.

    8- Hemos visto tu experiencia en los bug Bonties. Hay muchos jóvenes (y no tan jóvenes) que les gustaría meterse en ese mundo. ¿Qué consejo les darías?

    El primero es, no meterse por el dinero, meterte por aprender y divertirse. Después, visitar canales de Telegram como Bug Bounty Es, en dónde hay un buena parte de la comunidad hispanohablante, o seguir canales como The Bug Bounty Hacker en dónde se comparten buenos contenidos. Tecnicamente, hacer los labs de PortSwigger, leer muchos writeups y para los mas n00bs algo como "Web hacking 101" no estaría de mas tampoco.

    9- Por último, ¿Qué consejo darías a los jóvenes que quieren dedicarse a la ciberseguridad?

    Creo que no solo es aplicable a los que buscan un puesto en Ciberseguridad, si no mas bien alguien que quiera acercarse a la tecnología. No te quedes en casa, nadie va a ir a buscarte por guapo o guapa, participa en la comunidad ya sea de Ciber, de IA, de BigData... Los años de experiencia laboral, muchas veces son "convalidables" por cosas que hayas hecho por tu propia cuenta, por ejemplo, reconocimientos en Bug Bounty, utilidad que hayas subido a tu Github, Artículos que hayas escrito en distintos blogs o por ejemplo, tener un canal de Youtuber o Twiitch en dónde se vea tu interés por compartir y aprender.


    Canal YouTubehttps://www.youtube.com/channel/UCnf6XZSrBVlIJyrCqXkDi6A

    https://www.mypublicinbox.com/afernandesvigo

    12 mar 2021

    Y así amigos fue como se forjó nuestra historia con la ESL...


    Nuestra historia comienza el 11 de marzo de 2020, como otros tantos relatos de pandemia. Ese día se congeló el mundo para muchas personas tras el anuncio del gobierno del primero de los confinamientos, el primigenio. Ciertamente, para Zerolynx el confinamiento comienza algo antes, dado que las noticias nada halagüeñas que nos llegaban de clientes y proveedores de otros países, propiciaron que muchos compañeros de la empresa decidiesen confinarse voluntariamente, pero una parte continuó dando respuesta física a incidentes y a aquellos proyectos donde la presencialidad era ineludible, hasta que el gobierno tomó la decisión final que de sobra todos conocemos. Zerolynx es una empresa que integra a profesionales de muchos países y de muchas regiones, tenemos muchos compañeros expatriados, que viven solos o con otras personas, pero lejos de sus familias. Si ya de por si los confinamientos son duros, que os voy a contar, vivirlos en soledad son un verdadero drama. Por ello, desde Zerolynx comenzamos a trabajar en apoyar a nuestros compañeros en estos duros momentos, y en tratar de llenar ese vacío con diferentes actividades, como conciertos online (tenemos muchos músicos en la casa; uno, Nico, ¡hasta fue finalista por Andalucía en Ibaivisión!) o partidas de videojuegos. La verdad que sin saberlo, una gran mayoría jugábamos mucho en nuestro tiempo libre, y empezamos a compartir buenos ratos alrededor de varios de los títulos más conocidos (Valorant, League of Legends, Rocket League, etc.). Uno de los que más adeptos tuvo (y tiene) en nuestra empresa, fue el CSGO. Los más veteranos veníamos de jugar al clásico Counter Strike en los Cyber de nuestros barrios allá por el 2000 (algunos afortunados con dos ordenadores, en sus casas), y los más jóvenes, ya en tiempos de CSGO, por Internet. Así, montamos un pequeño grupo de Telegram titulado "From Silver To Nova" (actualmente, "From Silver To Global"), al que poco a poco fueron incorporándose nuevos compañeros (y algunos amigos de Zerolynx). Hemos pasado muy buenos momentos en este año, y nos hemos conocido todos un poco más, fuera de nuestra faceta más empresarial. 

    Junto a la vida corporativa del CSGO, muchos éramos (y seguimos siendo) seguidores de eSports, y consumimos mucho contenido online por Twitch y YouTube, tanto relacionado con los videojuegos, como con el ecosistema que generan alrededor. Todo esto nos llevó a plantearnos construir una línea de negocio alrededor de nuestro hobby, y que lo uniese a nuestra otra pasión, la ciberseguridad. Así surge nuestro Área de Ciberseguridad en Videojuegos y eSports, que coordina actualmente mi compañero Jesús Alcalde, que además de un buen amigo que me ha acompañado en varias aventuras desde 2014, fue el culpable de que se crease el ya famoso grupo de Telegram (gracias Jesús).

    Un 20 de octubre, ya en mitad de la que acabamos llamando segunda ola, me despierto como cada mañana leyendo la prensa matutina con un buen café. En esa lectura, y tras leer drama tras drama, doy con la siguiente noticia, la cual me saca una sonrisa y me invita a soñar un poco: Nace la Federación Española de Jugadores de Videojuegos y Esports. Tras leerla en detalle, me dispongo a navegar por su web y encuentro que uno de sus advisor es mi buen amigo Juanjo de Inspide (Startup que os recomiendo seguir, si aún no lo hacéis). Encontrarme a Juanjo me dio mucha confianza en el proyecto, y les contacté. Tras varias reuniones y tras convencerme de que tras ese proyecto había grandes profesionales, comenzamos a colaborar como Advisors, y a compartir una parte de nuestro conocimiento con la comunidad player. Ya son varias las colaboraciones que hemos realizado con FEJUVES, como los consejos para jugadores que lanzamos durante las pasadas navidades bajo el hashtag #HazteCyberPlayer, o los webinars online que hemos realizado. Os invito a seguirles para estar al día.

    Un día, en una de estas reuniones, Nacho, el Director de FEJUVES se fijó en que llevaba unos cascos de gamer y en que utilizaba una de las sillas más habituales entre los jugadores, y me preguntó si era jugador (además de dedicarme a la ciberseguridad). Le giré la webcam, y le enseñé parte de mi set...


    ¿Tú que crees? Le contesté :), y le resumí brevemente nuestra historia con el CSGO (que ahora todos conocéis). Nacho se quedó con la copla de mi comentario, y algunos meses más tarde decidió presentarme a la gente de ESL, por si de este hobby podría salir alguna colaboración.

    Tras charlar varias veces con ESL, llegamos a la conclusión de que Zerolynx debía ser uno de sus colaboradores estratégicos, y comenzamos a plantear diferentes propuestas, una de las cuales tuvimos el placer de anunciar el pasado miércoles, y es la que me ha animado a contaros hoy esta anécdota. Zerolynx es ya patrocinador de la Temporada 9 del ESL Masters de CSGO. Si me lo dicen hace un año...

    Esta alianza va mucho más allá del patrocinio, y hemos querido de verdad acercar la ciberseguridad al público más joven (consumidores más habituales de videojuegos), diseñando un torneo paralelo y que coincidirá en fechas con el ESL Masters. Se trata de un torneo de hacking, en formato Capture the Flag (CTF), y en el que entregaremos importantes premios a los participantes que se sitúen en las mejores posiciones del ranking. El torneo dará comienzo el 25 de marzo y finalizará el 1 de mayo, y en él, los participantes podrán poner en práctica sus conocimientos en esteganografía, exploiting, reversing, forense y hacking en general, mediante multitud de retos de diferentes niveles de complejidad. Los ganadores se anunciarán durante la final del ESL Masters, prevista para el próximo domingo 2 de mayo. La plataforma del CTF será publicada unos días antes del ESL Masters, y será presentada a través de las redes sociales de ESL y Zerolynx. Entre los premios regalaremos un portátil gamer, teclados, ratones, cascos y alfombrillas a los mejor posicionados en el ranking, cortesía de HyperX, otro de los patrocinadores del ESL Masters, y a los que aprovecho para volver a dar las gracias, y de Zerolynx, que además del propio ESL Masters, y de construir el CTF, también patrocinará los premios.

    Sin duda, esta aventura con ESL ha sido una de las últimas locuras de Zerolynx, pero los que nos conocéis ya sabeis que no nos gusta estar quietos, y este 2021 solo acaba de comenzar... :)

    Un fuerte abrazo a todos, y así amigos fue como se forjó nuestra historia con la ESL...

    P.D. El eslogan del ESL Masters es (y fue) "From Zero To Hero", ¿coincidencia con nuestro grupo de Telegram? ¿Serendipia? ¿From Zero To Lynx...? ;)

    11 mar 2021

    Zerolynx nuevo patrocinador del ESL Masters de CSGO



    Zerolynx firma una importante alianza con la Electronic Sports League (ESL) para patrocinar la Temporada 9 del ESL Masters España de CSGO.

    ESL, la mayor empresa de eSports del mundo, es el principal operador de competiciones nacionales e internacionales, abarcando todos los niveles, desde las competiciones amateur, hasta la élite profesional. <<Este patrocinio refleja la importante apuesta de Zerolynx por el mundo de los eSports. Estar en el ESL Masters es sin duda clave para la estrategia de internacionalización de nuestra firma>> confirma Juan Antonio Calles, CEO de Zerolynx. <<Junto a nuestra alianza con la Federación Española de Videojuegos y eSports (FEJUVES), esta colaboración nos permitirá acercar la ciberseguridad al mundo gaming y afianzar la cultura de ciberprotección al público más joven>>, indica Daniel González, COO de la firma.

    Con más de 1,4 millones de videplays en su última temporada, el ESL Masters de CSGO es una de las competiciones más importantes del mundo de los eSports, y en la que participan varios de los principales equipos del mundo, como Bet7 Saw, Team Heretics, Velox, X6tence, Offset eSports o Movistar Riders.


    Junto al patrocinio, Zerolynx coorganizará con la ESL un torneo de hacking paralelo, en formato Capture the Flag (CTF), y en el que se entregarán importantes premios a los participantes que se sitúen en las mejores posiciones del ranking. En el torneo, que dará comienzo el 25 de marzo y finalizará el 1 de mayo, los participantes podrán poner en práctica sus conocimientos en esteganografía, exploiting, reversing, forense y hacking en general, mediante multitud de retos de diferentes niveles de complejidad. Los ganadores se anunciarán durante la final del ESL Masters, prevista para el próximo domingo 2 de mayo. La plataforma del CTF será publicada unos días antes del ESL Masters, y será presentada a través de las redes sociales de ESL y Zerolynx. <<Sin duda, este CTF aportará interesantes novedades al ESL Masters España, y abrirá la posibilidad de ganar premios gaming a los jugadores más apasionados por la ciberseguridad>>, concluye Jesús Alcalde, Manager responsable del Área de Ciberseguridad en Videojuegos y eSports.

    Madrid, 10 de marzo de 2021

    Nota de prensa oficial publicada por Zerolynx


    10 mar 2021

    #OSINT de imágenes con exposing.ai

    Buenas a todos, en el artículo de hoy quería traeros una nueva utilidad para vuestro cajón de herramientas OSINT: exposing.ai.


    Se trata de un motor de búsqueda desarrollado con el fin de verificar si una foto está presente en algún estudio de tratamiento de imágenes, como el conocido MegaFace, que tiene como fin mejorar el reconocimiento de imágenes a partir de datos extraídos de Flickr principalmente:

    Si bien MegaFace es la principal fuente de la que se nutre exposing.ai, también cruza los datos con otras fuentes destacadas:

    • DiveFace: 115.729
    • FaceScrub: 211
    • IJB-C: 5.757
    • MegaFace: 3.581.071
    • PIPA: 32.518
    • VGG Face: 13.955
    Para que veáis un ejemplo de los resultados, he buscado un hashtag en el que se pueden apreciar que más de 700 imágenes formaron parte del estudio de MegaFace, entre otros muchos:


    Desde el punto de vista OSINT, este portal permite buscar en esa nube de datos de forma sencilla, a través de las URLs de los perfiles y las fotos, o a través de hashtags, que desde mi punto de vista es la opción a la que sacaremos más partido.

    Desde exposing.ai nos muestran además algunos detalles de los proyectos que hay detrás. Por ejemplo, en el caso de DiveFace, comparten la herramienta del autor: https://github.com/BiDAlab/DiveFace, así como un interesante artículo de investigación: https://arxiv.org/ftp/arxiv/papers/1902/1902.00334.pdf.

    Sin duda, otro interesante link para vuestros marcadores.

    Saludos!

    9 mar 2021

    Hoy participaremos en el BBVA #InnovaHome Festival a través de #InstagramLive



    Buenas a todos, hoy a las 17:00h tendremos el placer de participar en un Instagram Live organizado por BBVA Open Innovation, para hablar sobre Ciberseguridad y las amenazas virtuales que imperan en este 2021.

    En el evento, que seguirá un formato de entrevista, estaré junto a mi compañero Jesús Alcalde, Manager de Zerolynx y Responsable del Área de I+D, concienciando y charlando sobre los diferentes problemas de ciberseguridad a los que se enfrentan diariamente los internautas, y aportando consejos para su resolución.

    Disponéis de más detalles en la página de registro del evento:

    https://openinnovation.bbva.com/es/evento/innovahome-festival-ciberseguridad-para-evitar-amenazas-virtuales

    ¡No os lo perdáis!

    8 mar 2021

    Entrevista a Beatriz Cerrolaza

    En este rincón de Flu Project dedicado a las entrevistas, tenemos el placer de presentar a Beatriz Cerrolaza. Una persona sorprendente y que seguro aporta una visión diferente a la tecnología y que nos dará pautas y buenas recomendaciones en diferentes aspectos. Beatriz es sinónimo de Alise Devices y de MyPublicInbox, pero también es soñadora y luchadora. Un referente, sin duda, para todas las niñas y niños que quieren hacer tecnología. 

    Queremos conocer más cosas sobre Beatriz, así que os dejamos una serie de preguntas para que nos cuenten quién es Beatriz y qué es lo que le apasiona, qué es lo que ha vivido y qué consejos nos podría dar sobre lo que ella ha vivido. Sin más, os dejo con Beatriz Cerrolaza.


    1- ¿Quién es Beatriz Cerrolaza?

    Uff, qué difícil definirse una misma. Beatriz Cerrolaza es una mujer a la que desde niña le han apasionado las matemáticas y los libros y que soñaba con hacer cosas importantes. Por el camino desde que era esa niña hasta ser quien soy hoy, he tenido la suerte de encontrarme con profesores, compañeros, jefes y mentores que me han dado alas y nunca me han dicho que no podría hacer nada de lo que soñaba y gracias a todos ellos he conseguido ir superando cada uno de los retos que me he propuesto. Ingeniera, doctora y emprendedora tecnológica CEO de dos start-ups. Y desde hace dos años me he estrenado como madre y es una faceta de mi vida de la que me siento muy orgullosa y que además me proporciona mucha satisfacción y felicidad diariamente. 

    2- ¿Qué es lo que hizo que te dedicaras a la tecnología? ¿Cómo fueron tus comienzos? 

    Pues ha sido un proceso muy natural. Desde niña se me daban bien las ciencias, estudiar en general, y recuerdo que le decía a mi madre 'Ojalá existiera la profesión de ser estudiante' porque me encantaba sacar buenas notas en los exámenes. No lo sabía, pero ya entonces, con unos 10 o 12 años, estaba soñando con ser investigadora, supongo... Después he tenido la gran suerte de tener profesores excepcionales que lejos de ponerme freno me dieron alas. Me preparaban para las Olimpiadas matemáticas, me animaban y me decían que podría ser lo que quisiera, y eso es muy importante cuando tu personalidad se está formando. Nunca pensé que no podría hacer algo por ser "chica". Cuando tuve que elegir carrera Teleco estaba de moda y si sacabas buenas notas era la opción que elegías... Así que no le di muchas vueltas, quería ser ingeniera como mi prima y escogí Telecomunicaciones. El resto, ha sido una mezcla de esfuerzo y casualidades afortunadas que me han traído hasta donde estoy hoy. 

    3- ¿Cómo surge Alise Devices? 

    De nuevo fue un proceso bastante natural, no es algo que surja de un día para otro. Entre las líneas de investigación del grupo en el que yo trabajaba estaba esta tecnología que patentamos. Nos presentamos a la competición de ideas de negocio ActúaUPM un poco por probar suerte (Carlos fue el que más se implicó en esta primera fase). Fuimos pasando fases y finalmente resultamos ser los ganadores de aquella edición. En ese momento, podríamos haber optado por mantener nuestros puestos en la Universidad y dedicarnos a tiempo parcial a ALISE, pero Carlos y yo (los más jóvenes del equipo) decidimos apostar fuerte y dedicarnos a tiempo completo a llevar nuestra tecnología al mercado. En gran parte fue fruto de la ingenuidad y de una confianza ciega en la excelencia de lo que habíamos creado. Como nadie nos dijo que no se podía, fuimos dando pasos y consiguiendo hitos y llegados a un punto ya no había vuelta atrás. Habíamos dedicado tanto tiempo y esfuerzo a nuestra start-up que no podíamos hacer otra cosa que avanzar y tener éxito. 

    4- ¿Qué barreras ves actualmente en el mundo del emprendimiento? ¿Por qué no somos un país de emprendedores (aunque tengamos muchos de mucha calidad)? 

    Hay tres barreras muy limitantes que impiden que seamos un país de referencia: La primera es la falta de apoyo y financiación. Habría que articular muchos más mecanismos desde la administración que facilitaran y simplificaran la creación de una empresa además de destinar muchas más ayudas a financiar buenos proyectos en las fases iniciales que son las más complicadas. Lo mismo ocurre con la inversión privada. Se habla de 'Capital Riesgo' pero el riesgo que asumen los inversores en España es mínimo. La segunda es la falta de cultura emprendedora. En españa tenemos un miedo terrible, casi paralizante, al fracaso. Y eso es algo que frustra muchos proyectos. La gente prefiere la seguridad de un puesto fijo, ser funcionarios, tener una larga carrera en una gran compañía... Así que la mayoría de los emprendedores sólo lo hacen por dos motivos: o por necesidad (ante una crisis profesional) o por tradición familiar. Falta de referencias. Cada vez hay más, pero aún así son insuficientes los ejemplos de casos de éxito que se cuentan en los medios y a los que se les da difusión. El emprendimiento para los españoles es algo que parece que hay que hacer fuera. Muchos creen que hay que ir a Silicon Valley para emprender y tener alguna opción de éxito para después venir y contar tu historia de éxito. 

    5- ¿Cómo ves el futuro tecnológico de nuestro país? 

    Creo que nos sobra talento y vamos muy bien de tecnología, pero nos falta ese espíritu emprendedor, esas ganas de hacer que las cosas pasen sin esperar a que venga otro a decirte "vamos a hacer esto y aquello con lo que has creado". En cualquier caso, cuando hablamos de tecnología cada vez tiene menos sentido hablar de áreas geográficas aisladas. Estamos en un mundo global y es algo que hemos aprendido a marchas forzadas con la actual crisis sanitaria. Para lo bueno y para lo malo todo lo que ocurre en una punta del mundo tiene su efecto pocas horas después en la otra punta. Hemos visto como un virus ha paralizado el planeta pero también hemos visto como equipos con miembros en todo el mundo se han coordinado para hacer grandes cosas estando cada uno en su casa. 

    6- ¿Qué experiencia te llevas del mundo startup? ¿Cuál sería tu recomendación? 

    Ha sido como estar en un parque de atracciones profesional. Todo muy intenso, subidas y bajadas, con emociones y sin nada de monotonía. Ha sido como hacer tres másteres brutales en poco tiempo. He aprendido de todo, de tecnología, de finanzas, de negociación, de leyes, de recursos humanos... Y siento que he crecido mucho profesionalmente y como persona. Ha sido, y sigue siendo, un viaje apasionante. Creo que ahora no podría volver a la 'tranquilidad' de la Universidad. En cuanto a los consejos, no es que me gusten mucho, pero sí daría uno que estoy segura de que se puede aplicar a cualquier caso: ¡Rodéate de gente extraordinaria! Es la única forma de minimizar el riesgo y de tener alguna opción de éxito. 

    7- Cuéntanos qué es MyPublicInbox y cómo surgió la idea 

    MyPublicInbox es un proyecto precioso que cada día me aporta mucha ilusión y grandes alegrías. Es una plataforma de mensajería en la que Perfiles relevantes de todas las áreas (cocina, cómic, ciberseguridad, emprendimiento, Inteligencia Artificial, Actores, Arte, Literatura...) están disponibles para ser contactado de forma respetuosa. La propuesta es muy sencilla y por eso está teniendo tanto éxito. Hoy en día todos estamos hiperconectados y tenemos muchos canales abiertos, pero para los perfiles más exitosos resulta imposible atender todas las consultas y contactos que reciben por Redes Sociales, email, y todos los canales disponibles. Ahí es donde MyPublicInbox ofrece una solución muy sencilla permitiendo el contacto con estas personas tan relevantes de forma respetuosa con su tiempo y con su conocimiento. 

    8- ¿Cómo es el día a día de una CEO? 

    Pues no hay día a día porque cada día, cada semana es diferente. Te toca hacer de todo, desde presentaciones a atender asuntos de contabilidad, reuniones, maquetar contenido, presentar, vender... Es muy muy divertido y agotador al mismo tiempo. Aprendes mucho y conoces a gente increible. 

    9- Un consejo para todos aquellos jóvenes que te ven y que tienen pasión por la tecnología 

    Yo les recomendaría que se formen mucho, que trabajen mucho y que sueñen en grande. Hay que soñar con hacer grandes cosas y trabajar mucho cada día para que esos sueños se hagan realidad. 

    Buzón público: https://www.mypublicinbox.com/BeaCerrolaza