Durante este mes de Agosto hemos publicado algunos vídeos con contenido sobre las tecnologías en las que estamos trabajando. Desde la construcción de Aura, hasta su integración en las app de Movistar + y en Movistar Home, pasando por algunas características que están incluidas en Movistar Home explicadas por el Dr. Tech.

El segundo, es una explicación que hicieron nuestros compañeras de cómo funciona hoy en día Aura en Movistar Plus, que es tal y como lo puedes usar si eres cliente de Movistar en España.

Saludos Malignos!

Cuando se tienen datos en bruto, de ellos se puede sacar conocimiento. A partir de una serie datos de por dónde se mueve una persona se puede conocer muchas cosas de su vida, sus gustos o su forma de ser. A partir de lo que busca en Internet, de qué vídeos ve en la red o de qué páginas web visita también se puede sacar conocimiento. Ese conocimiento es lo que se llama "insight" que no es más que una forma de comprender o conocer más una cosa en función de un análisis de la información que se tiene. En el mundo del análisis de datos es el equivalente a inferir conocimiento a partir de datos en bruto.

Figura 1: La generación exacta o inexacta de insights o cómo me llegan anuncios sobre mi sexualidad

Se puede inferir conocimiento a partir de los datos obtenidos de forma puntual de una persona. También se puede inferir conocimiento distinto si en lugar de datos puntuales se cuenta con una serie de datos temporales de una sola persona. O se pueden generar esos insights porque los datos de una persona se parezcan a los de un grupo concreto, llamado cluster, ya que todos los insights que se tengan de ese cluster se le podrían aplicar a ese individuo en particular.

Insights de individuos

En cualquier caso, estos "insights" se generan a partir de datos recogidos en bruto, pero lo más importante que quiero que entendáis de esta larga introducción que voy a hacer a partir de ahora es que estos "insights" pueden ser ciertos totalmente o solo en un porcentaje de los casos. Os voy a poner unos ejemplos, y luego hablamos de la importancia de controlar su seguridad.

Antes de comenzar dejadme que os ponga en situación. A lo largo de estos puntos voy a explicaros en el lenguaje más didáctico posible cómo se pueden generar insights a partir de tres conjuntos de datos de diferente manera. En primer lugar cruzando un único dato de una persona que releva información. En segundo lugar generando conocimiento a partir de series temporales de datos de esa persona para entender su comportamiento. En tercer lugar a partir de datos dispersos de esa persona que se asemejan a grupos catalogados que ya se conocen.

Hay que tener en cuenta que cuando hablamos de inferir "insights" o generar conocimiento a partir de datos estamos hablando de generar atributos informativos más cercanos a la comprensión humana. Podríamos determinar que una persona tiene el insight de "nervioso" a partir de datos que se recogen del uso que hace de su smartphone o el insight de "embarazada" a partir las páginas que vista en la web y los búsquedas que realiza en la red. Y esta es información que puede acabar en una base de datos como un atributo más asociado a un individuo y del que deberemos preocuparnos doblemente. Por si ese insight es verdad, o por si ese insight es falso.

Generando insights de una persona

Supongamos que en mi smartphone se ha instalado una app que dentro del largo texto de los Terms & Conditions ha puesto que va a acceder a mi localización y va a compartir esos datos con terceros si quiero que la app funcione. Probablemente lo ponga en un lenguaje enrevesado, tal vez en inglés, y lejos de estar al alcance de todos los usuarios que puede que ni comprendan la totalidad de los términos utilizados en la redacción, ni las implicaciones de ellos puestos de esa forma en las frases del texto.

Ahora supongamos que cruza mi localización con un PoI (Punto de Interés), por ejemplo, de una cárcel. Algo que puede pasar perfectamente si visitas una cárcel, si estás en la cárcel, si acompañas a alguien a ella, si manipulas la información origen que sirve para calcular tu ubicación, o si pasas cerca de esa ubicación. En cada app instalada la generación del dato de ubicación, y en cada PoI, puede ser diferente el cálculo, la exactitud y la veracidad de esa información por muchos motivos que van desde el tipo de terminal móvil y la configuración del mismo, al tipo de cálculo que se haga para obtener el dato de de la ubicación. 

Pensemos por ejemplo que la persona que ha instalado esa app que captura nuestros datos como forma de pago por su uso, ha dado permisos de acceso a la ubicación GPS a dicha app. Y ahora pensemos en que esa persona tiene un móvil de cuatro años de antigüedad, con poca batería y con la red WiFi desactivada para que no se le gaste más batería de la necesaria cuando no hace uso de ninguna red inalámbrica. En ese caso, el cálculo de la ubicación GPS de ese terminal será bastante inexacto, ya que ,como se sabe, los terminales móviles usan todas las capacidades a su alcance para conocer la ubicación, y estas van desde el análisis de redes WiFi cercano, hasta los puntos de conexión a la red móvil y el acceso a Internet.

Si has utilizado un navegador como Google Maps, o Waze, o Apple Maps,  habrás notado que a veces tarda en "situarte bien en el mapa". Pues bien, haz una prueba muy sencilla. Desactiva la red WiFi y úsalo como navegador. Será bastante inexacto. Ahora activa la red WiFi - no hace falta que te conectes a ninguna red, basta con que esté activada la tarjeta WiFi para que el terminal pueda ir "espiando" todos los "Access Point" que hay a tu alcance y con qué potencia de señal se reciben -. Ahora la navegación será mucho más exacta.

Esta captura de datos de redes WiFi por parte de tu sistema operativo le ha permitido a Apple y Google tener las bases de datos más fiables de redes WiFi en el mundo, así como usarlas como forma de ubicar todos y cada uno de los terminales móviles que tienen con mayor exactitud aprovechando la ubicación física de puntos de acceso WiFi que no cambian.

Luego, cuando una app accede a la información de ubicación GPS en la que te encuentras, esta puede ser más o menos exacta en función de muchos parámetros. Y por tanto puede que estés o no ese Punto de Interés. Aún así, en el mundo en el que nos movemos hoy en día, ese dato se va a procesar y puede que se utilice para generar un insight sobre ti. Es decir, un insight sobre ti basado en una ubicación GPS que puede ser más o menos exacta.

Las normas de la netiquette dictan que hay que avisar si va a haber información de algo que sucede en una serie con un anuncio de "SPOILER ALERT" antes de cualquier explicación que cuente cosas de un capítulo para que los que no hayan visto aún esa serie puedan decidir si seguir leyendo o no, así que aquí queda puesto, ya que voy a hablar de una pequeña escena de "La Casa de Papel" Temporada 3 que tiene que ver con hackers y el pacto de ficción con el que visualiza la serie.

Figura 1: La Casa de Papel Temporada 3: El pacto de ficción, los hackers y el WhatsApp del CNI

La serie nos encanta, y fue una de las elegidas para anunciar el acuerdo entre Telefónica y Netflix junto con Las chicas del cable. De hecho, cuando se produjo la presentación de El Embarcadero, fui como buen fan a hacerme una foto con Álvaro Morte, que ejecuta a la perfección el papel de El Profesor en la serie de "La Casa de Papel", así que no os debe quedar ninguna duda de que:

1) Me encanta la serie 

2) La recomiendo siempre que puedo.

Dicho esto, hay una cosa que se llama el pacto de ficción entre el escritor de una obra y el lector o el observador en este caso. Cuando vemos DeadPool, nos encanta que rompa la famosa "Cuarta Pared" y nos hable directamente de vez en cuando para contarnos cosas. O en una serie damos por bueno el poder oír los pensamientos narrados de uno de los protagonistas. Al final, nos están contando una historia con hechos imaginados y lo damos por bueno.

El problema del pacto de ficción es que cuando comienza la narración se establecen unas normas dentro de ese mundo imaginado. Se establecen las normas que dejan claro que los animales hablan, que las hadas  existen, o que los superhéroes tienen poderes. Yo comienzo a ver Daredevil y asumo que tiene un radar. Está firmado a fuego al principio de la historia entre el narrador y el observador. Está dentro del pacto de ficción.

En el caso de "La Casa de Papel", el pacto es que son ladrones y que todas las explicaciones son técnicas y basadas en principios más o menos reales. Entiendo que todo lo que hacen con tecnología que no tiene que ver con la realidad, y es inventado, pero yo no lo sé. Para mí, como no experto en explosivos, armas, procedimientos quirúrgicos, etcétera, todo lo que cuentan me vale.

"¿Que hay que meter Diacepam para que no dé un paro cardiaco? Me lo creo."

El problema que tengo yo con el pacto de ficción es que cuando me hacen una explicación técnica de un hacking de seguridad me cuesta más no romper durante esos instantes el pacto de ficción. Porque descubro el cartón piedra de la obra. Me doy cuenta conscientemente de que me están contando algo que no cuadra. Esto me pasó con la Trilogía de Millenium con uno de los hackeos de Lisbeth Salander, que os dejé en el artículo "Lisbeth, ¿Que has hecho qué?".

En el caso de La Casa de Papel Temporada 3, hay un momento en el que se ve a un grupo de hackers pakistaníes en Islamabab y el texto del narrador - que lo hace Tokio -, dice lo siguiente:

“Cuando tienes dinero para invertir en I+D puedes hacer cosas maravillosas. Tres semanas antes del robo ya estábamos dentro de los móviles del CNI y de la Policía a través de aplicaciones como WhatsApp. Podíamos activar sus micrófonos, su cámara y su geolocalización. Hacernos con las telecomunicaciones del Estado Mayor de la Defensa nos llevó menos de una hora. “

Y me salí del pacto. Por cosas que tampoco son muy complicadas de saber. Por ejemplo, el texto dice que lo hacen a través de aplicaciones como WhatsApp, pero la Policía ha puesto un sistema basado en ImBox para reemplazar WhatsApp con los que trabajamos en ElevenPaths, ya que invertimos en esta empresa vía Wayra.

Figura 6: ImBox, un sistema de mensajería para cuerpos de seguridad

Pero podría ser que hubiera policías con su WhatsApp incumpliendo las normas, o con sus teléfonos personales llevándolos al trabajo como segundo móvil. Lo que me dejó fuera es que controlaran todas las Telecomunicaciones delEstado Mayor de la Defensa en una hora, y los terminales móviles del CNI... también vía WhatsApp, que como os podéis imaginar no tienen instalados ni de broma.

Entiendo que es una ficción, y que por supuesto todo vale, pero me rompe el pacto de ficción que me digan un grupo de 65 hackers pakistanies comiendo hamburguesas y tomando Red Bull en una sala a oscuras para quedarse ciegos, desde el otro rincón del mundo rompen en 1 hora una red con la seguridad que aplica un país OTAN.

Figura 7: El ambiente de trabajo de los hackers que tumban la red en 1 hora en Islamab mientras hackean el WhatsApp de todos los miembros del CNI

Vamos, en ese tiempo no me ha dado tiempo a mí a estudiarme las topologías e interconexiones de la red de telecomunicaciones, las medidas de seguridad que pudieran tener, ni empezar a buscar las posibles vulnerabilidades en todos y cada uno de los sistemas de seguridad. Pero... vale. Me lo creo que es una serie. Vamos a imaginar que tienen un 0 day mágico previamente, o mejor, una base de datos de 0-days ya listos para explotar, que se valen hasta para hackear un Atari 500 "air gapped". Fine! Me lo creo. Pero lo de que el CNI usa WhatsApp...

Saludos Malignos!

No es una información oculta, pero mucha gente no sabe que Google graba los audios por defecto cada vez que utilizas el micrófono en el teclado o cada vez que dices "OK Google". Hasta aquí todo normal, pero también están las grabaciones de todo lo que hay alrededor en esos momentos, y todo lo que se capturó cuando se activó sin querer en tu bolsillo o en tu casa.

Mucha gente lo tiene grabado en su cuenta porque no a ido a desactivarlo en las opciones de cuenta de Google, y por supuesto, si alguien consigue acceso a tu cuenta puede ir y repasarlo. Yo lo he hecho con Mi Hacker, y con amigos y conocidos, y es increíble la cantidad de cosas que salen.

No solo están todas las búsqueda y todas las grabaciones, sino también las voces de las personas de fondo, conversaciones de cosas que se dicen por detrás, tonos de voz, etcétera. Y desde el día uno que se buscó. Créeme que cuando lo revisas con alguien, todo el mundo siente su privacidad vulnerada.

Figura 3: Accediendo a la lista de grabaciones desde Android

Haciendo esta sencilla prueba con las personas cercanas a mí - basta con ir a la configuración de Android, entrar en los "Ajustes" de la "Cuenta de Google", "Datos y Personalización" y lo que veis en la Figura 3 "Gestionar Actividad" - me sorprende la cantidad de ellos que no se imaginaban que cada vez que dicen algo se queda grabado en la "cloud" asociado a su cuenta. Pero lo más impresionante: Sus reacciones.

Cuando la gente ve que están todas sus grabaciones y que se pueden escuchar con solo darle a "Reproducir" y que hay grabaciones que ellos ni sabían que se habían hecho - porque le dieron por error -, porque no sabían que se había activado Google Home por error o Google Assistant en su terminal, o porque le dieron en el teclado al micrófono cuando iban a teclear, y se grabó el ruido ambiente, las caras que ponen son un poema. De cada grabación, tienes todos los detalles.

Figura 5: Detalles de la grabación

Por supuesto, es necesario tener acceso a la cuenta, por lo que te recomiendo que pongas un Segundo Factor de Autenticación basado en tu número de teléfono o con TOTP que puedes gestionar con nuestro mismo Latch.


Figura 6: Proteger tu cuenta de Google con Latch Cloud TOTP
Si no lo tienes, y alguien consigue entrar en tu cuenta, puede buscar las grabaciones hechas en rangos de fechas, por tipo de dispositivo (Android, Google Home, etcétera) y escuchar pedazos de tu vida, lo que puede afectarte personalmente.

Figura 6: Opciones de búsqueda de grabaciones en tu cuenta

Lo más curioso es que como no es un servicio regulado como las comunicaciones de voz, por defecto la grabación de los mensajes de voz se activa cuando aceptas los Términos y Condiciones del servicio y debes ir a desactivarlo a tus opciones de cuenta, así que mucha gente no sabe que trocitos de su vida en forma de audios esta en la web. ¿Te gusta que se grabe tan fácilmente? 

Haz un experimento, entra a ver qué audios hay grabados en tu cuenta de Google, y ayuda a familiares, amigos y conocidos a que lo comprueben ellos. Y luego cuéntame en los comentarios cuáles fueron sus reacciones.

PD: Aura y Movistar Home

Aunque no tiene nada que ver con el artículo, pero como supongo que alguno me preguntará si nosotros en Aura y Movistar Home hacemos lo mismo y grabamos los audios de la gente me veo a añadir esto: La respuesta es que NO. El diseño de Aura y Movistar Home está hecho para que a los servidores de Telefónica no llegué ningún audio que se genere con "OK Aura" o dando clic en el icono de Aura en las aplicaciones.


Figura 7: Gestión de los contenidos de la televisión con Movistar Home
Hacemos la transcripción de audio con Cognitive Services utilizados en el dispositivo y al backend de Aura llega solo la transcripción. Esa transcripción se traduce al comando de voz, y después se anonimiza para quedarnos los comandos que se envían (sin saber su procedencia ni quién los dijo) y evolucionar el servicio con las cosas que nos piden que aún no tenemos en las características.

¿Por qué hicimos esto? 

Pues porque desde el principio hemos querido diseñar Movistar Home y Aura como un sistema que ayude a hacer cosas con nuestras tecnologías en el hogar y en los servicios de Telefónica, y no para capturar datos, por lo que la privacidad está en nuestra mente en todas las fases de la concepción, diseño y evolución. Pero ya le dedicaré un artículo largo a esto.

Esto quiere decir que tampoco vamos a generar algoritmos, renunciamos a esto cuando decidimos no grabar los audios, que extraigan insights de los sonidos, como si es una casa ruidosa, tranquila, si hay discusiones familiares,... y muchas cosas más que que se podrían extraer de audios grabados analizando tonos, ruidos de fondo, etcétera - que no quiero asustaros con lo que se puede obtener de ahí -.

Saludos Malignos!

Siempre he pensado que un día tendré mucho tiempo para estar sentado delante de mi portátil un día, y otro día, y otro día. Muchos días seguidos con tiempo para escribir. Para escribir muchas cosas. Cuentos, aprendizajes, pensamientos, libros técnicos, y hasta aventuras personales. Y por supuesto, entre ellas, muchas anécdotas que me han pasado con gente genial a la que he tenido la suerte de conocer.

Os he contado muchas a lo largo de los años por aquí. Muchas. Y otras las tengo anotadas para que no se me olviden. Tal vez algún día escriba un libro con la gente de mi tiempo a la que he tenido la suerte de conocer, y cómo fue para mí - que es lo único que realmente cuenta. 

Hoy os quiero contar una curiosidad, no, más bien una anécdota del día que conocí a Richard Stallman en persona. El pasado 12 de Noviembre de 2018. El día que daba una conferencia en el Espacio de la Fundación Telefónica, y donde entre muchas cosas, yo pujé por el peluche que rifa al final con Phillippe Lardy - fundador de OpenExpo Europe - que me lo ganó.  En la próxima conferencia lo consigo sí o sí.

View this post on Instagram

Estoy soy yo el 12 de Noviembre de 2018 atendiendo a la conferencia de Richard Stallman. En el blog de hoy os dejo una anécdota que pasó ese día con él... cuando dejó su ordenadro sin cerrar la sesión a mi lado... https://www.elllaoddelmal.com

A post shared by Chema Alonso (@chemaalonso) on Aug 29, 2019 at 11:25am PDT

El resumen de la conferencia está en la web, aunque no he encontrado el vídeo de la presentación - lo mismo no quería que quedase grabado Richard, que también nos prohibió subir fotos a Instagram o Facebook suyas durante su presentación -.

El caso es que al final de la charla nos fuimos a comer un grupo, y yo tuve la suerte de sentarme a su lado y charlar largo tiempo. Richard es encantador en el corto, habla español de maravilla y le encantan los chistes con juegos de palabras, del tipo "Yo te amo, como diría Yoda". Me lo pasé genial con él, y sí, os puedo confirmar que me regañó, me adoctrinó para usar software libre y crear todo el software bajo licencias libres. 

Pero lo curioso es que, durante un momento de la comida él quería hacer una llamada para organizar su próxima parada en el mundo. Sacó su portátil, inició sesión, abrió su editor de texto y empezó a leer y editar el correo en formato de texto plano. Y le surgió un imprevisto.

Algo le obligaba a cambiar el billete que tenía comprado, y tuvo que hacer una llamada de teléfono. Sí, había sacado el portátil en la mesa donde estábamos comiendo, había leído el correo y ahora tenía que hacer una llamada de teléfono a un compañero para algo.

Los que ya conocéis la leyenda sobre Richard Stallman sabéis que suele hacer llamadas desde terminales de otros, que eso de tener un dispositivo de espionaje no va con él, así que le pidió el teléfono a otro de los comensales y salió a llamar. Y... sí, se dejó a mi lado la sesión abierta de su portátil.

¿Os lo podéis creer? Al lado mismo de El Maligno. Era el momento de hacerle un ataque David Hasselhoff en toda regla. Pero... pensé que era más bonito inmortalizar el momento histórico con una fotografía que tengo guardada. Eso sí, os la dejo por aquí pero un poco censurada. Como podéis ver, en sus correos deja un mensaje a NSA al principio, para dejar claro cuál es su posición respecto del espionaje. 

Después de ese momento, donde lógicamente le regañé por dejar la sesión abierta, le subí a mi Malignomóvil 3 - del que os garantizo que no le fue fácil ni subir ni bajar por culpa de lo incómodo que es mi coche - y le llevé a la estación de Chamartín a hacer su gestión. 

Al final, fueron unas tres o cuatro horas las que estuve con él, entre la charla, la comida, y el viaje, pero me guardo para mis memorias esos momentos juntos y esta anécdota con dejarse el portátil abierto... ¿os imagináis que le hubiera metido un troyano en ese momento? La verdad, me encantó pasar esos ratos con él, y espero poder recibirle en el futuro.

Saludos Malignos!

Estos días Google Project Zero ha publicado la información y los detalles para conocer todos los exploits y vulnerabilidades utilizadas, así que no voy a centrarme en mucho en este artículo en esa parte. Sí que es relevante que la gente entienda detalles al respecto de lo que significa, de cómo está hecho, y de qué podemos esperar de aquí al futuro.

Para que os hagáis una idea, si eres usuario de iPhone, desde el 2016 hasta el 2019, han estado activas direcciones en Internet que explotaban vulnerabilidades en todo la gama de dispositivos y todas las versiones de iOS y robar todos tus datos - mensajes privados y fotos -  con solo visitar una página web.  Esto tipo de ataques no son algo nuevo, y ya explicamos en detalle cómo funcionan este tipo de ataques en el libro de Hacking iOS: iPhone & iPad del que tenemos hasta dos ediciones.

Esto no es nuevo, ya hace mucho tiempo con el famoso JailbreakMe (v1, v2 y v3) se demostró que era más que posible hacerlo de manera automatizada. Al final, aprovechándose de que el ecosistema de dispositivos es muy reducido en iPhone y de que el número de versiones de sistema operativo iOS es muy corto, el trabajo de automatizar una explotación consistente, no era algo ilusorio.

No quiero centrarme mucho en cómo funciona la seguridad en iOS y las formas de explotarla, en el libro de Hacking iOS: iPhone & iPad 2º Edición - permitidme que sea recurrente en esto - ya explicamos los detalles de cómo se suelen atacar estos dispositivos, y si quieres conocer las diferentes formas de hacerlo te recomiendo que te lo leas. No está actualizado a la última versión de iOS, pero sí que explica ataques se pueden hacer hoy, que se hacen, y que se harán en el futuro cambiando los exploits.

La parte fundamental de la privacidad de los datos almacenados en tu iOS es que la mayoría de las aplicaciones confían en varios sistemas de protección de iPhone que son clave para que no pase nada. El primero de ellos es que no se pueden acceder a los datos sin que el terminal iOS haya descifrado el disco de almacenamiento.

Es por eso que cuando un terminal se bloquea lo más importante es romper el passcode para lograr el descifrado del disco. Esto es lo que dio lugar al conflicto entre el gobierno de USA y Apple con el terminal iPhone del terrorista de San Bernardino. Al final, una empresa rompió el passcode haciendo un ataque muy inteligente clonando la electrónica de una placa de iPhone con un ataque precioso de NAND Mirroring.

Que los datos estén cifrados cuando el sistema está apagado intenta evitar que alguien haga un ataque local al terminal cuándo las protecciones de seguridad del sistema operativo iOS están apagadas - aunque hemos visto que existen formas de saltárselo -, pero como ya hemos visto, dependen de factores como que no se pueda manipular la electrónica y romper la "raíz de confianza", como ya se ha hecho.

El que iOS haya puesto tanto cuidado en el cifrado del disco duro llevó a que muchas apps no cifraran ninguno de sus datos que utilizaban. Caso de WhatsApp del que yo siempre me quejaba, Telegram, iMessage, etc... han guardado en texto plano, haciendo que cualquiera que accediera al sistema de ficheros pudiera llevarse los datos, y manipularlos.

Eso llevaba a que fuera fácil extraer la base de datos de WhatsApp desde un ordenador pareado, o que se pudieran manipular los mensajes que contenía, algo que hicimos hace mucho tiempo en unas demos tratando de explicar cómo funcionaba eso. Así que, el que iOS cifrara los datos incentivó a que las apps de iOS no cifraran ningún dato que utilizaban.

Por supuesto, para eso hay que tener acceso al sistema operativo, y poder hacer cosas. Pero existen muchas formas de manipular el sistema operativo desde fuera ya que un terminal iPhone es, ante todo, un terminal con hiper-conectividad. Esto es lo que explicaba en la presentación esa que se hizo tan famosa - tiene más de 1.6 Millones de visulizaciones - de "Tu iPhone es tan (in)seguro como tu Windows". Te puedes conectar a un terminal iPhone encendido vía WiFi, vía BlueTooth, vía 2G/3G/4G, vía conexión a tu ordenador Windows o MacOS, etc... Y cada tipo de conexión es una carretera de entrada de información - que puedes ser buena o mala - a tu sistema operativo.

Así, por ejemplo, nosotros demostramos cómo era posible hacer un JavaScript Botnet con terminales iPhone con iOS a través de puntos de acceso WiFi maliciosos o servicios Proxy. Y hace un par de años demostramos cómo era posible robar la agenda de contactos de un terminal iPhone con solo poner música en un altavoz BlueTooth gracias a nuestro ataque de DirtyTooth.

Si hay conectividad hay forma de llegar al sistema operativo, así que todas las partes del sistema que son "frontera" con el resto del mundo, deben tener un cuidado extremo con las vulnerabilidades que inyectan, ya que un fallo de seguridad explotable en una parte del sistema operativo que recibe información desde fuera puede hacer que tu terminal sea accesible remotamente por cualquiera.

Y ahora completemos el círculo. La primera capa de protección de tus datos es el cifrado del disco que hace iOS, pero cuando tienes el terminal arrancado la primera vez, el disco está descifrado y los datos disponibles. La segunda capa de protección debería estar puesta por el cifrado de las aplicaciones, pero vender que la protección de iPhone era tan robusta hizo que los desarrolladores no cifraran los datos habitualmente.

La tercera capa de protección es la robustez de las partes de tu iPhone que se conectan al mundo exterior, como el módulo BlueTooth, el modem 4G, el módulo de descubrimiento de redes WiFi o los clientes de servicios de Internet, como el navegador, el cliente de correo electrónico, o una app cualquiera de tu sistema. Y créeme, siempre van a aparecer vulnerabilidades en estos módulos. Vulnerabilidades que se inyectan en las nuevas funciones, que se descubren y se parchean... o no. 

La última capa de protección el el CodeSigning de iOS, o la necesidad de que todo el código que se ejecuta en iPhone tenga que venir firmado por un certificado digital que tenga una cadena de confianza firmada por Apple. Es decir, un desarrollador firma su software con un certificado digital de firma de código que ha sido emitido y firmado por Apple. Así, nadie que no haya pasado por los controles de calidad del software de Apple puede ejecutar un programa en iOS.

Por supuesto, como os podéis imaginar, conseguir que un programa que va a robar tus fotos, tu base de datos de WhatsApp o Telegram, consiga ser firmado para poder ejecutarse en el sistema operativo - y fuera del espacio de la app vulnerable - necesita encontrar los famosos exploits del kernel de iOS que permiten modificar dicho kernel para quitar la verificación de "Código Firmado" antes de ejecutar cualquier programa. Es decir, para hacer el famoso Jailbreak.

Pues bien, supongamos que alguien pone foco en buscar vulnerabilidades de ejecución de código arbitrario en la aplicación que más se usa para traer código remoto, que no es nada más que el navegador de Internet. Cada URL que se visita desde un navegador es un código que se ejecuta en la app en iPhone, si alguien encuentra la manera de explotar una o varias vulnerabilidades para llegar a ejecutar código en el sistema operativo, habría pasado la primera protección.

Pero hay que conseguir pasar la segunda puerta, hay que romper el CodeSigning en el sistema iOS, y para eso se necesitan las famosas vulnerabilidades de Jailbreak. Estos exploits han sido codiciados habitualmente por analistas forenses - llegando a valer dos millón de dólares - e investigadores de seguridad. Apple incentivo que se buscaran estas vulnerabilidades al prohibir a "security researches", analistas forenses y cuerpos de seguridad que pudieran acceder al terminal iPhone en una investigación. Así que, la única forma de conseguir el acceso era haciendo el "jailbreak".

Ahora, Apple se ha dado cuenta de que los Security Researchers se han profesionalizado tanto en el jailbreak - por pura necesidad - que se ha vuelto en su contra. Por eso ahora Apple va a dar a los investigadores terminales iPhone con iOS "capado" para que puedan probar y buscar vulnerabilidades en otras partes sin necesidad de preocuparse por el "jailbreak".

Volviendo al objetivo de controlar el terminal iPhone completamente, primero deberíamos encontrar las vulnerabilidades en el navegador más usado - Apple Safari o Google Chrome -, después deberíamos encontrar las vulnerabilidades de jailbreak para explotarlas desde una página web. Esto lo hicieron hace mucho tiempo en "jailbreakme", una web a la que los usuarios iban con su navegador para liberar los primeros iPhone, y que abrió el camino a jailbreakme v2, y v3.

Como ya he dicho antes, como parte fundamental de la seguridad de los iPhone, en el libro de Hacking iOS: iPhone & iPad describimos este proceso en detalle, y cómo se podían empaquetar esos exploits para usarlos en otros entornos como hizo el investigador español José Selvi con JailOwnMe.

Llegados a este punto, ya tenemos una carretera desde un servidor de Internet al corazón de tu terminal iPhone para ejecutar cualquier programa, por ejemplo uno que busque todas las bases de datos de tus apps como WhatsApp, Skype, Telegram, iMessages, Photos, e-Mail, etcétera, y se lleve todos los datos a la nube. Si las bases de datos estuvieran cifradas sería un poco más complicado para el programa - debería localizar las claves de descifrado en las apps y robarlas también - pero al estar en claro, es bastante cómodo llevarse todo.

¿Y el cifrado del disco de iOS en tu iPhone? Pues como estás navegando por Internet, significa que tu terminal está arrancado y por lo tanto el disco duro descifrado - pusiste el passcode para iniciar sesión - así que tus datos están disponibles para cualquier app que se ejecute, esté firmada o no, ya que se ha hecho un jailbreak.

Pues que desde el año 2016 hay sitios en Internet que tienen automatizado exploits e implants (los programas que se meten dentro de tu terminal para robarte los datos) para romper la seguridad de todos los terminales iPhone según van saliendo y robar todos los datos. Así que con hacer campañas de spear-phishing (mensajes de e-mail con direcciones URLs maliciosas enviadas a objetivos clave), se pueden llevar los datos de una persona cualquiera con solo hacer un click en la URL.

Figura 7: Línea temporal de los exploits usados en las diferentes versiones

Esto, desde luego, deja por tierra la campaña de Apple de este año en Las Vegas de "Lo que pasa en iPhone se queda en tu iPhone", que fue una campaña clara y directa contra el negocio de los datos en Google, y se suma a que haya tenido que pedir perdón públicamente al saberse que las grabaciones de voz de Siri - de lo que ya sabíamos que podía pasar - estaban siendo escuchadas por empresas terceras a Apple sin mucho control.

La descripción de todos los exploits en iOS, en el navegador, y la arquitectura del implant que hacen para robar todos tus datos están en estos artículos del blog de Project Zero.

- JSC Exploits
- Implant Teardown
- In the wild: iOS Exploit Chain
- A very deep dive into iOS Exploit Chains found in the wild

¿Y qué podemos hacer contra esto?

Pues por desgracia es el mundo en el que estamos y no vamos a poder hacer demasiado. Hay que tomar precauciones infinitas. Actualizar el sistema operativo, ser cuidadoso con las URLs que se abren, pero ... podríamos caer cualquiera en este tipo de ataques, así que lo que tenemos que exigir a las compañías que hagan todo lo que sea posible por evitar esto. 

Que inviertan más en las pruebas de seguridad, que la ventaja competitiva del tiempo no justifica que un fallo de estas características acabe con la vida de una persona por ver expuesta toda su privacidad. No es solo decir "I am sorry", es hacer más, que podemos hacer muchas más cosas, y estar más cerca de los mejores "Security Researchers" para evitar al máximo posible estas situaciones que, lamentablemente, volveremos a vivir una y otra vez en este mundo digital en el que vivimos.

Saludos Malignos!

Muchas mañanas me levanta cansado. Todas ellas muy pronto. Hoy también. Como ayer. Como antes de ayer. Como probablemente mañana. Algunos días estoy muy cansado. Pero lo adoro. Adoro llegar con la batería machaca. Terminar el día con la batería en modo ahorro de energía. Consumido todo. Hacer que la cresta que surge de la última ola de un suspiro me transporte mecido hasta el siguiente, como dijo ese que tú y yo sabemos.

Figura 1: La vuelta al cole: Los primeros eventos de Septiembre

Pero sé que voy a ir al cole. No he faltado nunca. No he ido a clase nunca sin los deberes sin hacer. No me pongo malo en el trabajo más que en vacaciones y si tengo que ir cojeando o en parihuelas a subirme en un escenario, lo he hecho. Sé que hay que volver al cole, así que cuando lo digo es para hacerme creer que podré ser un niño malo alguna vez. Pero me levanto y vuelvo al cole. Igual que vosotros. Y con la llegada del mes de Septiembre llega la hora de volver de verdad a la actividad y yo tengo ya bastantes cosas en el radar. Os las dejo por aquí.

Yo el día 3 de Septiembre me voy a pasar a la grabación del podcast de TodoPoderosos en el Espacio de la Fundación que van a continuar con la segunda parte del programa dedicada a David Fincher, así que a disfrutar si consigues uno de los pocos asientos que hay disponibles. Y con dos de sus protagonistas, me iré a grabar el jueves de esa semana una programa de "Seriotes" en AXN España, para hablar de "mis cosas", según me han dicho Arturo y Juan, aunque ya veremos cómo acaba esto.

El día 5 de Septiembre, nuestros compañeros de ElevenPaths dedicarán la primera Talk del mes de la vuelta al cole a hablar de "¿Privacidad?". Un tema que después de ver los últimos escándalos con Apple, el funcionamiento de el mundo digital, y el negocio de los datos para pagar servicios, ha hecho que dudemos de su existencia. Será publicada en esta web ese día.

Los días 5 y 6 de Septiembre tendrá lugar el "2nd World RPA & AI summit" en Barcelona. La segunda edición de la conferencia se centrará en la evolución de las tendencias en torno a las tecnologías RPA y AI, incluidas las crecientes oportunidades para automatizar las actividades de trabajo, las asociaciones entre los proveedores de RPA y los proveedores de tecnologías cognitivas, la automatización inteligente y las técnicas de IA y el procesamiento de datos. La cumbre creará una atmósfera vibrante para la creación de redes y el intercambio de las mejores prácticas, en el que participará el Dr. Richard Benjamins, Data & AI Ambassador en LUCA.

Figura 3: 2nd World RPA & AI summit

Y ya el día 7 de Septiembre, tenemos a nuestro CSA de ElevenPaths en Chile, Gabriel Bergel participando en una nueva edición de Dragonjar Securty Conference, que se celebra en Manizales (Colombia), con la ponencia “Biohackeando la discapacidad”. Más información en la página del evento.

Figura 4: DragonJAR Security Conference 2019

View this post on Instagram

Nuestra gira continúa 🚐 . Terminamos agosto con estos conciertos . 30/08 Palencia . 31/08 Alcalá de Henares. . En septiembre más y después empezamos con las salas 😀 . 📹: @jose_amesti

A post shared by Despistaos (@despistaos) on Aug 29, 2019 at 12:45pm PDT

Saludos Malignos!

Era el año 2017 en San Diego, una de mis ciudades favoritas de Estados Unidos. No solo porque en ella se haga la mítica ComicCON o porque desde hace diez años pasara por primera vez por ella para participar en la ToorCON. Es de mis ciudades favoritas porque es muy tranquila, grande, con buen clima, y está en un enclave del planeta única. Esto hizo que incluso John Matherly, creador de Shodan la eligiera como base de operaciones.

Figura 1: Apple, el pago de los exploits de Remote Jailbreak para iPhone y el cariño a los Security Researches

Ese año, el año 2017, pasé por allí con mi amigo Kevin Mitnick. Habíamos tenido una cena mítica en la que conocí a Steve Wozniak. Ya os conté cómo fue aquel encuentro entre Kevin Mitnick, Steve Wozniak y yo, pero entre los detalles de la cena hablamos de una cosa muy concreta - ahora vuelvo a San Diego, no os preocupéis -. El dibujo que veis en la foto, lo tengo en mi despacho en Telefónica,

Durante la cena que tuvimos en San José, en una de las innumerables conversaciones que tuvimos - hablamos de láseres, de Tesla, de hacking de coches, de cómo Steve construyó el Apple I, de cómo yo acabé en Telefónica, de cómo era Steve Jobs, de cómo Kevin Mitnick había llamado a Steve Wozniak en mitad de su juicio antes de dar con los huesos en la cárcel, de cómo Kevin se había puesto fuerte haciendo deporte allí, de cómo usando ingeniería social se coló en... bueno, esas cosas yo creo que no las puedo contar por aquí, necesitaría unas cervezas antes de desvelar esas historias.

Entre todas ellas, hablamos también de DirtyTooth y de cómo habíamos construido un altavoz BlueTooth para robar los contactos de las personas que se conectaban a él. Se lo expliqué a Steve Wozniak y él me dijo algo como: "Vaya bug. Apple debería arreglar eso porque afecta a la privacidad de los usuarios". Me quedé un poco sorprendido al inicio, pero no me defraudó en absoluto siendo como es él, un hacker. Mis experiencias con las grandes empresas de tecnología hasta el momento habían sido del tipo "Gacias" o  "It´s not a bug, it´s a feature".

No, no me malinterpretéis, y con Apple en concreto que hemos reportado muchas cosas y lo han recibido bien. Si es una inyección de código tipo XSS o SQLi o un desbordamiento de memoria, la cosa suele ser más directa, pero cuando se trata de un fallo lógico o de configuración por defecto, o de diseño, la cosa suele cambiar.

Figura 3: Reportes de Bugs de Apple hechos en el 2011 automatizando escaneos con FOCA

Yo le dije que al final el usuario debería elegir con qué dispositivo se conecta, pero que creía que Apple debía de añadir ese mensaje que hoy en día pone dejándole elegir si quería compartir los contactos o no. Ante esa afirmación, todos estuvimos de acuerdo, pero Kevin - que es como un niño grande - dijo que mejor que no lo cambiaran, que no lo reportara que no nos lo iban a agradecer y que le gustaba esa demo para sus charlas.

El caso es que en el transcurso de la cena me pregunto sobre cuál había sido la respuesta de Apple sobre el bug. Y me pilló. Realmente no le había dado tanta importancia al tema de DirtyTooth. Había sido una idea curiosa que se me ocurrió y lo hicimos en ElevenPaths para la RootedCON y OpenExpo y la 8.8 que son conferencias de amigos, pero no había presentado nada en DefCON o BlackHat para hacer la presentación a lo grande. Pero que si a él le parecía que debía hacerlo, que me pondría en contacto con Apple inmediatamente.

Y se acabó la cena. 

Y Kevin y yo nos fuimos a San Diego. Cada uno por su parte, que yo estaba en ruta, y él también. Pero nos juntamos allí, para dar una conferencia juntos en la ToorCON 2017 y hablar de ... sí, DirtyTooth. Pero después de lo que nos había dicho Steve Wozniak, deberíamos hablar antes con Apple, para ver si realmente querían parchear iOS frente a ataques DirtyTooth o no. Así que debíamos hacer algo.

Estando allí preparando la conferencia, Kevin me dijo que él me ayudaba. Al final a Kevin le conoce todo el mundo, por lo que no parecía difícil que fuera a conocer a un tipo que conociera a un tipo que tuviera relación con el departamento de Apple Security. Y así pasó. Después que Kevin se hiciera como veinte fotos y vinieran treinta personas a saludarlo, me quedé hablando con - creo que se llamaba - "Steve", del departamento de seguridad de Apple. Tengo su tarjeta por algún sitio guardada.

En todas las conferencias de hacking lo mejor son las cervezas en los bares de la zona con la gente más interesante del mundo. Y allí le conté a "Steve" nuestro DirtyTooth, y de qué íbamos a hablar en la charla Kevin Mitnick y yo. Fue una charla chula hablando de la relación tradicional entre Apple y los Security Researchers. Curiosamente "Steve", por supuesto, era un Security Researcher que acababa de entrar en Apple para, entre otras cosas, abrir el famosa Bug Bounty de Apple que tanto pedía la comunidad.  Me encantó esa charla con él.

Por supuesto, después de ver la charla, y de entender bien DirtyTooth me confirmó que Apple debía arreglar eso lo antes posible. Y así fue. En una versión posterior, Apple parcheó iOS y metió esa alerta de seguridad en el terminal que evita que los contactos se vayan volando a cualquier dispositivo BlueTooth que los quiera.

Lo más curioso de todo, y es por lo que me he acordado de aquella charla hoy, es que tuvo lugar en el verano de 2017, es decir, un año después de que estuviera "On the Wild"explotándose la campaña de iOS Exploit Chain que Google Project Zero acaba de desvelar y que permite a un atacante, con que la víctima visite solo una web, llevarse todos los datos del terminal iPhone o iPad de cualquier persona - no importa si lo tenías parcheado o no -.

Al final, cuando tienes un producto con un impacto en la vida de las personas como iPhone, que tiene más o menos el 20 % de cuota mundial - no de ventas, que ha bajado un poco, sino de utilización, que la vida media de iPhone es mayor que la de otros dispositivos -, ¿no debería Apple hacer el máximo esfuerzo por capturar todos los exploits de Remote JailBreak (RJB) como fuera posible? La respuesta evidente es sí. Pero no fue hasta ese verano de 2017 en el que "Steve" me dijo que iban a ponerlo porque no tenía sentido no tener mejor relación con los Security Researchers.

He visto a Security Researchers reportar bugs a compañías que podrían haber tenido un coste enorme, hacerlo gratuitamente, solo porque lo que les motivaba a descubrirlos fue de todo menos el dinero, y valoraban más la relación con los fabricantes de software y ayudar a los usuarios que cualquier otra cosa. Pero no me malinterpretéis, me parece lícito que un Security Researcher reciba dinero por descubrir un bug de un impacto tan alto como un RJB en iOS, donde por supuesto Apple ha hecho mucho por evitarlo.

No quiero que este debate se descentre yendo hacia el reporte de bugs de los Security Researcher, ya que va justo de lo contrario, de que si tienes un producto como iPhone, los premios a los Security Researches por exploits tan jodidos de hacer como los RJB (más vale que sean jodidos de encontrar y explorar de forma consistente, que si no el problema de Apple sería otro), deberían tener un premio gordísimo, a parte de dar mucho cariño a los Security Researchers que los reporten. Ahora mismo Zerodium lo tiene en 2 Millones de Dólares y Apple, después de que abriera su Bug Bounty puede pagar aproximadamente 1 M USD teniendo en cuenta que los paga por separado. En la guía de iOS Security están los premios.

Figura: Premios de Apple Bug Bounty para iOS

La pregunta que me hago, y que os dejo aquí, para una compañía como Apple que llegó a valer UN TRILLÓN DE DÓLARES en Enterprise Value (hoy vale 957.000 Millones de USD)  que tiene más del 50% de su negocio basado en iPhone..

¿Puede Apple permitirse que los exploits de RJB de iOS en iPhone lleguen a manos del cibercrimen por no dar cariño a los Security Researchers ni pagar lo que vale realmente un exploit de este tipo para ellos?

Yo creo que sí, debería dar más cariño, y sí, tal vez pagar mejor los RJB de iOS ... además de hacer más jodido que aparezcan.

Saludos Malignos!

Hace un año más o menos os dejé una lista de 7 pequeños trucos que había aprendido, y como el aprendizaje es continuo, hoy voy a aprovechar y dejaros algunos otros por si os son de utilidad en la vida diaria, que para mí lo son mucho, mucho, mucho, así que aquí van.

Como la otra vez, no son grandes misterios, solo pequeños trucos que uso en mi día a día para hacerme la vida más cómodo, y en esta ocasión tienen casi todos que ver con apps móviles, y en concreto con iPhone, que me gusta estar muy al día en este sistema operativo. Comienzo en el número 8 para continuar con la numeración anterior.

Esta es una de las grandes guerras entre los navegadores GPS en dispositivos móviles. Muchos prefieren Google Maps y - la mayoría - se ha acostumbrado a Waze. Yo os voy a contar qué es lo que hago en viajes, y en mi vida cotidiana para que veáis si podéis sacar lo mejor de ambos. En ambos casos, lo primero de todo es que necesitas activar la tarjeta WiFi para mejorar la exactitud de la posición del vehículo en el mapa. Una vez que has hecho eso, ¿qué ventaja tiene cada uno?.

Pues es bien sencillo, Waze tiene información más completa de lo que pasa en la carretera, y alerta de controles, radares móviles e incidentes reportados colaborativamente por la gente - amén de que puedes pitar a otro usuario que vaya usándolo - , pero Google Maps tiene algo que no tiene Waze, y es que las rutas te las indica marcándote el carril exacto por el que debes circular, y eso cuando circulas por una gran ciudad como Madrid y Barcelona es una ventaja.

Así que, un truco que suelo usar yo es activar los dos. Pongo Google Maps en pantalla, pero le quito el audio, y activo las alertas de voz a Waze, así tengo información por audio de todas las cosas que provee Waze, pero veo los desvíos y las rutas con información a detalle de carril, que hace a Google Maps súper útil.

Como ya os conté, le suelo dejar alguna vez a Mi Survivor el teléfono para que se entretenga con algún juego gratuito. Estos juegos suelen ser un dolor porque - además de llevarse un montón de datos - tienen un montón de anuncios que intentan instalar apps. De hecho, si no tienes configurada la opción de requerir password para instalar cualquier app te puedes llevar una desagradable sorpresa con la factura.

Este sistema de apps que se instalan son una autentica estafa, porque te cobran entre 5 y 12 € por semana sin que ni tan siquiera te hayas registrado a nada, así que yo tengo bloqueada la descarga de apps para evitar estas sorpresas que he visto en muchas personas que dejan su teléfono a sus hijos.

Pero aunque tengas bloqueado la descarga e instalación de apps, para los niños es un autentico suplicio tener que ver un anuncio en cada partida. Así que, si no puedes tomar la recomendación número 1 que dice "No instales esta basura" aplica la regla número 2 que dice "Pon el modo avión cuando ejecutes esta app".

A partir de ese momento, además de no poder instalarse nada, no sale ni un solo anuncio y Mi Survivor juega tan feliz. Pero recuerda, configura para No instalar apps automáticamente y si puedes no instales esta basura.

Una de las formas más sencillas de que te "cazen" con el doble check azul cuando estés una noche de fiesta por ahí y no quieran que sepas que estás online es con un chat secreto de Telegram. Basta con que configuren los mensajes del chat secreto con una autodestrucción de 7 segundos, o algo así, y en el momento en que la curiosidad te lleve a abrirlo, se va a enviar una notificación al Telegram del emisor porque se va a borrar el mensaje.

Así que si te envían un WhatsApp y no lo quieres contestar, y luego te aparece un mensaje en Telegram en un chat secreto, ten cuidado al entrar que si tiene el autodestruir activado se va a enterar que estabas despierto.

Una de las cosas que por defecto hace Telegram cuando te sacas la cuenta es copiar todos tus contactos a sus servidores para avisarte cuando alguno de tus contactos ha sacado una nueva cuenta de Telegram. Esto lo hace constantemente, así que es probable que si has perdido tu teléfono con tu agenda de contactos del pasado, pero tenías una cuenta de Telegram todos estén ahí. Guardados. Basta con que entres a Telegram y busques los contactos.

Por el contrario, si esto te parece peligroso, puedes hacer justo lo contrario, es decir, entrar en las opciones de Privacy & Security y luego en Data Settings y forzar que se borren todos los contactos del servidor. Es un poco raro, yo he pedido que los borren, y luego he vuelto a sincronizar y han salido contactos que no tenía en el terminal ahora mismo, pero tal vez es porque ellos me tenían a mí en la agenda.

Llegada una edad, los problemas de vista cansada empiezan a aparecer. Hace ya un año que tuve que cambiar la resolución de la pantalla de mi equipo, que pasó de 1440x900 a un cómodo para mis ojitos 1280x800. Cosas de la edad. Pero aún me niego a ponerme gafas para la vista cansada, así que a veces, cuando se me cansan los ojitos, no veo los comentarios en el Instagram o la letra de los correos electrónicos dentro de iPhone - donde me niego a poner una resolución mayor -.

¿La solución? Pues nada, captura de pantalla al canto, hago zoom en las partes que quiero ver, y borro la captura de pantalla. Una opción muy cómoda y rápida para tener una lupa en todas las apps de iPhone sin necesidad de instalar absolutamente nada de nada.

Si utilizas Google Chrome for iOS o Apple Safari for iOS e intentas buscar un tema en las noticias te saldrán muchos resultados, pero no te salen las opciones de selección temporal. Es decir, no te da la opción de buscar noticias que hayan sido publicadas en las últimas 24 horas, por ejemplo. Esto es así, porque esas opciones están eliminadas de la versión Mobile de Google Search.

La solución que me busqué yo fue utilizar Sleipnir, un navegador que utilicé para ver como utilizando el User-Agent del bot de Google se reducía la publicidad que se te muestra en la navegación, y configuré un User-Agent de un navegador de escritorio.

Esto hace que cuando navego a Google Search la web que me aparezca sea la de la versión de escritorio y pueda seleccionar las opciones de búsqueda basadas en parámetros temporales, tal y como podéis ver.

14.- Pon la app en horizontal, a veces hay sorpresas

Figura 12: Calculadora cientifica en modo horizontal

Figura 13: iMessage con modo de escritura manual

Os agradecería que si conocéis algunas apps que hagan esto me lo compartáis en los comentarios. Así descubro yo también esas características "ocultas" que para mí, que llevo normalmente el bloqueo de cambio a posición horizontal, son casi como "Huevos de Pascua".

EOT

Saludos Malignos!

Durante la pasada RootedCON, mis compañeros Pablo González y Enrique Blanco dieron una charla en la que contaban lo que hemos estado haciendo últimamente con Inteligencia Artificial para hacer suplantación de personas. Hacer suplantación de personas con una IA que simulaba ser yo, y usar un modelo entrenado de IA para recrear la voz de personas de las que se tengan grabaciones suficientes.

Saludos Malignos!

No he asistido al 33º Congreso de la Economía Digital y las Telecomunicaciones, pero las noticias que ha dejado de las declaraciones que ahí han tenido lugar, desde luego, nos dejan una reflexión larga que tener al respecto. En donde la economía digital en torno a los datos ha sido un eje fundamental del debate.

Figura 1: Una nueva Constitución Digital, un nuevo Modelo Fiscal alrededor de los Datos, y más debates que debemos afrontar

En el periódico de La Vanguardia se recoge en este artículo los principales puntos del debate que he podido leer por otros rincones de la red. Los puntos que se han puesto sobre la mesa son los siguientes:

Desde luego, me hubiera gustado estar allí y ver el debate en primera persona, pero todos los temas que se  abrieron no son, ni baladíes ni sencillos de trabajar. Pero debemos comenzar a trabajar en esas direcciones todos juntos, con responsabilidad y poniendo a las personas y a las sociedades en que viven en el centro de la ecuación en todo momento.

Cada vez me queda más lejos ese 1 de Febrero de 2012 en el que entré a trabajar en mi primer proyecto en Telefónica. Fue una visita rápida a ver la academia de Wayra en Madrid invitado por el presidente de Telefónica Europa en aquel momento y conocer algunas empresas. Él había sido el que había metido la idea al resto de ejecutivos de la casa que crearon ese proyecto, que se le ocurrió como dice él, pensando en tener un edificio lleno de desarrolladores mientras iba corriendo, su deporte favorito. Fuimos a esa visita un grupo de personas variado y pudimos ir conociendo una a una todas las startups y todos los emprendedores que estaban en esa primera hornada.

Figura 1: Mi vida con Informática 64 & Synergic Partners para crear ElevenPaths & LUCA, pasando por Talentum. Una experiencia personal.

Yo, en aquel entonces, no sabía ni lo que era Wayra– me acababa de enterar una semana antes – y por supuesto no sabía lo que era una “Aceleradora de Startups” ni, he de confesar, tenía una idea clara de cuál era la dinámica de las startups. Yo tenía mi querida Informática 64 como una empresa para trabajar. Y desde luego Rodol y yo la gestionábamos para que nuestras cuentas fueran positivas todos los meses. Y lo hicimos así durante trece años.

Buscando Wozniaks

Durante aquella visita, el grupo que nos juntamos fuimos una a una parándonos en todas las startups y hablando con los emprendedores, conociendo al equipo, su visión de futuro, lo que tenían ya hecho, y cualquier detalle que fuera relevante. Yo soy un preguntón, y os garantizo que aproveché para hacer muchas preguntas, pero Diana Morales (que hoy también está en Telefónica después de pasar un tiempo en Tuenti) y Sebas Muriel (hoy en Telefónica llevando Novum), que también se vino en esa comitiva, no dejaron pasar la ocasión e hicieron las suyas.

Después de aquella visita, y esto es algo que he contado muchas veces, el entonces Presidente de Telefónica Europa, José María Álvarez-Pallete, me preguntó mi opinión sobre todo lo que habíamos visto. Y yo contesté algo así como “Muy bien”. Ya sabéis, no me quise explayar mucho. No soné muy convincente. Él quería de verdad mi opinión, así que insistió en saber lo que yo pensaba en detalle de todo. Realmente quería el éxito de ese proyecto. Así que reflexioné unos instantes, y contesté con una metáfora de esas que me salen a mí de vez en cuando. Algunas buenas. Otras no tanto. Y con la metáfora en la cabeza dije algo como:

“Yo veo demasiado “Steve Jobs” y poco “Steve Wozniak””

Y por abrir la boca, me respondió como no me hubiera esperado nunca: “Quiero que me hagas un proyecto para tener más Wozniaks en Telefónica”. Y me fui a casa con deberes. Por hablar. ¿Quién me mandaría? ¿Por qué he dicho que le haría el proyecto y se lo enviaría? Me meto en cada una. Pero en verdad era una idea bonita esa de poder localizar a buenos ingenieros.

Y llega Talentum

Así que me fui a casa a pensar en qué me hubiera gustado a mí cuando estaba en la univerisdad que hubiera hecho una empresa como Telefónica. Escribí un documento, describí un proyecto, y me inspiré con un título para ese programa y todo: “Talentum”, que sonaba bien en todo el mundo, lo llamé. Y me tocó un regalo.

Resultó que mi forma de intentar atraer a los “Wozniaks” de la universidad a Telefónica tenía muchas similitudes con otra idea de un tipo genial que se llamaba Javier Santiso– uno de los más brillantes inversores y visionarios en tecnología que ha dado este país – que consistía en traer jóvenes desarrolladores a trabajar en startups. Mi idea era un poco distinta. Yo quería que los “Wozniaks” vinieran a hacer sus propios proyectos, y Javier quería que los jóvenes se impregnaran del espíritu y forma de trabajar de los emprendedores para generar una cultura de startups en las nuevas generaciones. A mí me gustaba su idea. A él le gustaba la mía.

Así que las juntamos. Le dejamos el nombre de Talentum que me había quedado "sembrao" e hicimos mi idea bajo el nombre de Talentum Short Track y la suya bajo el nombre de Talentum Long Track. Al final, lo que queríamos era atraer al mayor número de “Wozniaks” y se quedaran en Telefónica o en el ecosistema de empresas cercanas a Telefónica. Y como el movimiento se demuestra andando, comenzamos a andar. Sin saber qué sería de los proyectos. De los jóvenes que se metían en las diferentes iniciativas. Sin saber si era lo correcto o no. Pero comenzamos a andar.

Y fue una pasada de experiencia. De ahí salieron decenas de chavales que están en nuestros equipos trabajando hoy en Telefónica. Javier Espinosa - como responsable de ingeniería de Movistar Home -, Tero de la Rosa y Tony Querol en ElevenPaths, por poner unos ejemplos rápidos de la primera hornada de diez “Wozniaks”, están conmigo. Y muchos otros de todas las ediciones posteriores, que han sido muchas hasta hoy en día, están por toda Telefónica.

Yo hice como quinientas entrevistas a muchos chavales preguntándoles cosas tales como “pintar una recta píxel a píxel” o pidiendo que me contaran cosas que ellos habían hecho. Uno de aquellos jóvenes “Wozniaks” que seleccioné, hoy en día está en el equipo de Cloud Solutions Architechs de Microsoft en Madrid. Lo vi hace poco y me contaba lo mucho que le sirvió esa experiencia para enfocar tu futuro laboral.

Y yo estaba encantado en Talentum. Pero Telefónica se reorganizó y eligió a un nuevo Consejero Delegado, que venía de ser el Presidente de Telefónica de Europa, ese septiembre de aquel año 2012 - hace exactamente siete años - y mis días en Talentum se iban a terminar aunque yo no lo sabía todavía. Y, la verdad, no se iba a notar mucho mi ausencia, debo decir. Rosalía y Cristina, mis compañeras junto con Javier Santiso en el programa Talentum demostraron a lo largo de los años consistentemente que podían llevar el programa de maravilla, e incluso evolucionarlo y hacerlo más grande hasta ser como es hoy.

Taletum se acaba para mí

Fue a finales de noviembre de aquel año 2012 cuando me llamó una vez más a su despacho el nuevo Consejero Delegado. Quería acelerar el negocio B2B de Telefónica, que hasta el momento estaba muy centrado en las comunicaciones empresariales, para cubrir otras áreas de forma más intensa. Se estaban haciendo ya muchas cosas, pero él veía que las empresas de telecomunicaciones iban a ser uno de los grandes proveedores de servicios de seguridad de la información y de ciberseguridad en el mundo B2B apoyadas en la red y en los centros de operaciones que tenían por todo el mundo. Y quería que yo me ocupara de acelerar esa parte.

La idea era más o menos similar a lo que habíamos hecho en Talentum. Cuando yo llegué Wayra ya existía y lo que quería era acelerar el proyecto con más "Wozniaks". Ahora era con la seguridad informática. En aquel entonces Telefónica facturaba ya algunas decenas de millones de euros por estos servicios en todo el mundo, pero quería acelerar la transformación de estos servicios. Y quería que le hiciera un plan para ver cómo podíamos acelerar esto. Así que me fui a casa a pensar en qué y en cómo.

Si algún día tengo tiempo, os detallaré todo lo que pasó por mi cabeza y mi cuerpo en esos días pero fueron muchas cosas. Telefónica ya tenía un Vertical de Seguridad dentro del área de Telefónica Digital que fue construido en el año 2011 y una empresa llamada TIS (Telefónica Ingeniería de Seguridad) que hacía muchas cosas, pero que yo desconocía. Y por supuesto desconocía mucho del funcionamiento interno de Telefónica.

Así que le hice una propuesta que fuera complementaria a ambas iniciativas. Me ayudaron, por supuesto, los compañeros que ya había conocido de aquel Vertical de Seguridad en el que estaban Paco Ginel, Pedro Pablo Pérez, José Luis Gilpérez, Carlos Martínez, David Barroso y Leonardo Amor, por citar solo algunos de los que me ayudaron a aterrizar mi idea, que no era otra que "innovar en ciberseguridad" haciendo productos y plataformas para completar lo que ya hacían el Vertical de Seguridad y en TIS.

En el Vertical de Seguridad se habían tomado tres decisiones buenas que hacían que el proyecto de acelerar una unidad de seguridad de la información no fuera nada descabellado. Javier García de Castro, primer responsable del Vertical de Seguridad apostó por seguridad desde la red con servicios como AntiDDoS desde la red, filtrado de comunicaciones empresariales con el servicio Clean-Pipes, y protección de servicios de Internet desde la red con el WAF y los servicios de Clean e-mail. Cuado Javier fue llamado a otra responsabilidad en la compañía - que así son los soldados de esta casa -, José Perdomo, su sucesor, continúo con el trabajo realizado, y apostó por desarrollar al máximo la plataforma de SOCs (Security Operations Centers) en todos los países del grupo, y Pedro Pablo, Paco Ginel, Nikos, Leo, y otros compañeros consiguieron que se construyeran los cimientos de los servicios de Vigilancia Digital (Threats & Vulns) en Internet

Había muy buen equipo en aquel Vertical de Seguridad, y sobre todo se habían tomado bien las decisiones de cuáles eran los pasos que se debían ir dando en Telefónica, así que yo tenía que aportar y construir sobre eso, haciendo cosas nuevas que nos dieran un plus en posicionamiento y en oferta para conseguir multiplicar, no sumar. A Javier García de Castro - que le tengo un cariño especial ya que fue el que me llevó a mi primera conferencia a Telefónica en el año 2010 que desencadenó la visita que os he contado al principio a Wayra en 2012 -, siempre le digo que lo único que hice yo fue poner algo de "glamour", que el trabajo ya lo habían dejado hecho ellos.

Y llega Informática 64 para montar ElevenPaths

Y el embrión de esa empresa, sería Informática 64. Nuestra empresa. Pero también hice un plan de adquirir otras compañías de gente con mucho talento como SmartAccess– que me llevó casi dos años convencer para que se vinieran – y traerme a gente de Microsoft, Hispasec, la universidad, y otras empresas. He de decir que David Barroso– que fue el primero que me dijo que sí al proyecto de ElevenPaths– hizo que esos primeros momentos seleccionando a las personas a fichar fueran muy divertidos. Palako, Antonio Guzman, Sergio de los Santos, Olvido Nicolás, etc… Entre mis amigos suelo explicar que me sentía un poco como "Florentino Pérez" fichando por aquí y por allá.

Los que habéis seguido este blog desde el año 2012 conocéis uno a uno todos los pasos. Los he ido compartiendo por aquí cuando los he podido compartir. Y en abril de 2013 a partir de Informática64 comenzó a andar - aún sin nombre - lo que sería ElevenPaths (que ya os dije cómo bautizamos David Barroso y yo) y me tocó dejar Talentum.

Durante el año 2013 encajamos las piezas entre ElevenPaths y el Vertical de Seguridad, y en el primer trimestre de 2014 ambas unidades se fusionaron para tener una estrategia única para ir al mercado con el portfolio completo de servicios. Y funcionó de maravilla. El negocio de seguridad creció muy bien en Telefónica, y aquella visión que a finales de 2012 había tenido nuestro Consejero Delegado, se hizo realidad. Y las empresas de telecomunicaciones comenzaron a crear sus unidades de seguridad, y a comprar empresas como seguíamos haciendo nosotros.

El grupo de Informática 64– aquella veintena de personas que vinimos – se había fusionado con el equipo del Vertical de Seguridad, y juntos se habían alienado con las operaciones de Telefónica en los países y la cosa funcionó. Apostamos en 2013, a que si conseguíamos un multiplicador en el negocio global de seguridad le iría mucho mejor a Telefónica que si hacíamos dos negocios en paralelo con estrategias paralelas. Eso hubiera sumado y no multiplicado, así que apostamos por la integración para hacer que le fuera bien al total y no a las partes. Y el tiempo nos lo premió como no imaginábamos al inicio.

A finales de 2015ElevenPaths iba ya tan bien, que yo reconozco que disfrutaba de una tranquilidad que no esperaba tiempo atrás. Pero lo que pasa cuando no tienes la foto completa de todo es que al final tu vida puede cambiar en un suspiro sin que te des ni cuenta. Y así fue. Casi sin darme ni cuenta, como os voy a contar. Pero para no olvidarme de la historia de ElevenPaths, os quiero contar que TIS se fusionó también en una única estrategia, lo que nos ha permitido ver en no tan lejos alcanzar en nuestros planes la visión de llegar al mítico 1B USD de facturación en Telefónica. No lo hubiera dicho en ese noviembre de 2012 ni de broma.

Y ahora a por el Big Data

Estaba yo a finales de 2015, pero nuestro Consejero Delegado, al tiempo que me pedía a mí el trabajo de seguridad informática, también pedía a otros compañeros lo mismo con Big Data, y en el 2014 se creó la Unidad Global de Big Data para un año después, en ese noviembre de 2015 anunciarnos  su visión de la Cuarta Plataforma en un encuentro de directivos. Allí se nos presentó al nuevo CDO de la compañía: Ian Small– hoy CEO de Evernote -. Esta historia os la conté en la primera entrada de la historia de nuestro viaje para ser una empresa Data-Centric. Y yo estaba tranquilo, porque yo tenía ElevenPaths a toda máquina funcionando, y esto no me tocaba a mí. O eso me creía...

Pero quiso el destino que nuestro CDO necesitara mudarse a Estados Unidos y hubiera que buscar un reemplazo. Tirar de un sustituto. El reserva. Y como yo estaba muy tranquilo, y el entonces ya antiguo Consejero Delegado se había convertido en el Presidente del Grupo Telefónica, sabía que yo realmente lo que había estudiado eran bases de datos y lo de la seguridad había sido casual, decidió que ya había llegado la hora de que subiera un poco la presión, y me ofreció ser el nuevo CDO del grupo. Y me lo pensé. Os juro que me lo pensé.

Estaba muy a gusto haciendo lo que hacía. Tenía un equipo genial. Con mis compañeros de Informática 64, del Vertical de Seguridad, con todos los compañeros de Business Solutions con los que trabajaba continuamente. Me daba cierto vértigo. Pero era un reto precioso, y después de un mes y algo dándole vueltas a la cabeza, decidí arruinar otra vez mi agenda y meterme en ese proyecto. Y hace ya más de 1.000 días acepté el reto de hacerme CDO. Realmente son muchos más, pues aunque se anunció a finales del mes de mayo de 2016, yo ya estaba calentando en la banda desde el 1 de Febrero de 2016.

Y ¿qué querían de mí? Dos cosas: La primera crear una estrategia para ser Data-Centric – que ya os fui contando en la serie que antes he citado – y la segunda lanzar LUCA “Last Universal Common Ancestor”, una empresa B2B para completar la oferta de servicios digitales de Telefónica de Empresas.

Y no tenía mucho tiempo. En Junio comencé con CDO y en Octubre teníamos que hacer el lanzamiento de LUCA, y en Febrero de 2017 presentar nuestra estrategia Data-Centric de la Cuarta Plataforma en el MWC.  Pero, antes, tenía que hacer cosas más básicas como hacer los equipos, decidir la estrategia, y poner los objetivos a corto, medio y largo. Así que si os digo que pasé a no tener ni un minuto de vida libre, os podéis hacer una idea.

La Unidad CDO

En aquel momento, la unidad CDO se formó con ElevenPaths, con el negocio de advertising con la startupAxonix, la iniciativa Niji– que se convertiría en Conexión Segura y en parte de SmartWiFi– y con la Unidad Global de Big Data. Esta a su vez estaba compuesta de las plataformas SmartDigits y SmartSteps, de las iniciativas de innovación del Personal Data Bank y el Data Transparency Lab, además de una Joint Venture en China que habíamos hecho con China Unicom, y una empresa que habíamos adquirido el año 2015 puntera en Big Data y Machine Learning: Synergic Partners.

Como véis eran muchas piezas que organizar en mi cabeza, así que decidí clasificar las cosas para poder gestionarlas y dedicarlas el tiempo adecuado para tomar las decisiones de hacia dónde ir. Fueron momentos intensos a todos los niveles, pero Telefónica no se iba a parar por mí. Así que, tenía que subirme al tren en marcha y cambiar los motores sin parar la locomotora.

Y como tenía que lanzar LUCA me puse a ello. Así que, los negocios de Big Data, AI y advertising fueron los cimientos de esta compañía. Como os podéis imaginar, por la parte de Big Data & AI los principales activos eran las plataformas SmartSteps & SmartDigits sobre las que creamos casi todos los productos de LUCA hoy en día – incluida la JV en China -. En el negocio de Advertising teníamos el Vertical de Advertising y la empresa Axonix. Y en el negocio de Big Data, Machine Learning & AI, la empresa Synergic Partners, que era en LUCA el equivalente a mi querida Informática 64 en ElevenPaths.

Y como necesitaba acelerar la construcción de la Cuarta Plataforma, el resto de las iniciativas que estaban dentro de la Unidad Global de Big Data pasaron a formar parte de ella. Es decir, los equipos del Personal Data Bank– que rebautizamos a Personal Data Spaces -, la iniciativa del Data Transparency Lab, y todos los proyectos de análitica que se estaban haciendo para uso interno, como planificadores de despliegues de red, predicción de churn, etc… que se pasaron a llamar Internal Use Cases de la Cuarta Plataforma.

ElevenPaths se quedó en manos de Pedro Pablo, y el proyecto de Niji pasó a formar parte de todas las iniciativas que teníamos ya en marcha, para acelerar los servicios de seguridad desde la red. De Cuarta Plataforma ya os he hablado mucho, y su director, Paco Montalvo, se encargó de organizar todo el trabajo, lanzar AURA y continuar metiendo la cultura del dato en todo el grupo. Un proyecto precioso del que aún quedan muchas cosas que contar como parte del camino de transformación que decidimos hacer.

Synergic Partners y LUCA

Pero yo tenía que centrarme en lanzar LUCA, así que entre Elena Gil, la CEO de la  empresa, y yo decidimos hacer una estrategia de productos, servicios y consultoría con servicios profesionales. Y comenzamos a trabajar en ello con una visión clara con dos objetivos importantes. Uno: Hacer más Data-Driven a Telefónica apoyando a Cuarta Plataforma. Y dos: Hacer que el negocio de Big Data, AI & Advertising crecieran lo más rápidamente posible.

Por supuesto, nuestros expertos en Big Data estaban muy localizados en Synergic Partners, y en ese 2016 estaban como una empresa aparte e independiente, tal y como había estado Informática 64 (ElevenPaths) en los año 2013 y 2014, y la experiencia nos había demostrado que si integrábamos las piezas de manera correcta, conseguiríamos multiplicar en vez de sumar.

Pero la verdad es que Synergic Partners estaba funcionando muy bien, duplicando los ingresos de servicios B2B que dabamos a empresas, y apoyándonos además en la transformación interna en docenas de proyectos por todo el grupo Telefónica. Lo más deseado en ese momento era un Data Scientist, Data Engineer o Data Architect de Synergic Partners. Y el equipo se portó. Ser una filial de una multinacional del tamaño de Telefónica no es fácil, y más cuando eres útil tanto como para generar negocio B2B como para transformar la compañía. "¿Me dejas unos ingenieros de Synergic Partners?" Era una de las preguntas que más me pedían mis equipos y los compañeros de otras áreas por los pasillos.

El sector estaba falto de estos perfiles profesionales. Estos “Wozniaks” en forma de especialistas en Big Data estaban en Synergic Partners. Y yo pensaba que hacer con Synergic Partners lo mismo que con Informática 64 era lo mejor para el grupo Telefónica. Así que comenzamos un proceso de integración paulatino. Poco a poco. Primero, definimos un modelo comercial conjunto con Telefonica de España y se vinieron a trabajar a Distrito C con el resto de equipos de LUCA y 4ª Plataforma. Después, algunos Data Scientist se fueron incorporando en las áreas internas de trabajo donde estaban apoyando, y por último con una integración completa de las jurídicas, hace casi un año.

Y hoy en día los “Wozniaks” de Synergic Partners que fueron fundamentales para todo lo que se hizo en CDO con Big Data y Analytics, y para muchas de las cosas que se hicieron en todo el grupo Telefónica en esas áreas, son parte de LUCA, igual que los “Wozniaks” de Informática 64 se metieron en ElevenPaths, y los “Wozniaks” que vinieron de Talentum se incorporan por todos los rincones que podemos del grupo Telefónica. Y gracias a ellos, LUCA, que sí que acabó lanzándose en aquel octubre de 2016 como estaba mandado, tres años después de ElevenPaths, ya es una parte clave, estratégica y diferencial de la oferta completa B2B del grupo Telefónica.

Hoy en día el negocio que tenía la Unidad Global de Big Data más el negocio que tenía Synergic Partners sumado, se ha doblado, tanto en la parte de productos y servicios que se comercializaban sobre las plataformas de SmartSteps & SmartDigits, como en la parte de servicios profesionales B2B, y la prueba son la cantidad de casos de éxito que tenemos en LUCA y el reconocimiento de los analistas como líderes en Business Insights.

Startups Multiplicadoras

Se pudo lanzar LUCA, gracias a que se invirtió en innovar internamente con plataformas con SmartSteps & SmartDigits, gracias a que se decidió arriesgar a crear un negocio que nadie veía para las empresas de telecomunicaciones al principio - y que hoy es parte de la oferta B2B de las principales empresas con las que competimos en este sector – y gracias a que se apostó por traer un equipo de especialistas en Big Dataúnico con Synergic Partners, que a día de hoy no suma, sino multiplica su impacto en Telefónica gracias al aporte que hizo y hace en la Cuarta Plataforma, en Aura, y en muchas otras áreas, y en el negocio de LUCA basado en productos, infraestructuras y, por supuesto, consultoría de Big Data & AI que fue el negocio principal de Synergic Partnerts en el principio.

Y mi viaje en todo este proceso ha sido muy especial. Primero porque he estado haciendo tecnología todo el tiempo. Segundo porque hemos estado innovando y haciendo cosas nuevas. Y tercero porque me ha enseñado que cuando crees que te puedes relajar, siempre aparece una nueva visión de alguien que dice algo como:

“¿Y si aplicamos AI a la red? ¿Y si tokenizamos la red? ¿Y si convertimos el hogar en la mayor plataforma B2B2C de distribución de tecnología para llevar Netflix, servicios de viajes, entretenimiento, seguridad, teleasistencia médica?”

Y entonces comienza el caos otra vez alrededor de tu vida… pero qué sería sin emoción este mundo. Eso sí, si me toca hacer algo nuevo, que me den otras startups como Informática 64 y como Synergic Partners, y equipos como el Vertical de Seguridad y la Unidad Global de Big Data para empezar, y a los que poder sumar muchos "Wozniaks", que así sí que se pueden hacer las cosas.

Saludos Malignos!

La publicación de la investigación hecha por el equipo de Google Project Zero sobre los iOS Chain Exploits ha levantado ampollas. Muchos usuarios de iPhone se han sentido defraudados por lo que implica que haya pasado esto, y reclaman a Apple muchas más medidas de seguridad, así como explicaciones más detalladas de lo que ha pasado e información de si se han visto afectados.

Saludos Malignos!

Ayer me pasé con la agenda de actividades del día, aunque yo no lo había preparado así, y levantarme hoy por la mañana se ha ganado un "No quiero ir al cole" de órdago a la grande. Pero como dice la canción de Bon Jovi, aunque las oportunidades se crucen en contra de tu descanso, "I'll sleep when I'm dead". Fui a patinar, luego a comer en una barbacoa, luego acabé viendo a Black Stone Cherry y Alice Cooper, para ver luego fuegos artificiales y terminar con Despistaos. Y hoy arriba otra vez, que además tengo que preparar una semana.

Figura 1: La agenda de esta semana: Unos eventos, unas conferencias, unos cursos y alguna cosa más

Y esto es todo lo que tengo en el radar. Además, yo intentaré irme un día a hacer una etapa  de La Vuelta a España, que hay que animar al Movistar Team a ver si nos traen el trofeo y la Malla Roja a Telefónica, que desde estamos mal acostumbrados ya con el Campeonato del Mundo y el Giro, y todos los premios obtenidos.

Hoy en día muchos hogares cuentan con dispositivos Xiaomi destinados a la domótica y mi casa no es una excepción. La pregunta que me hacía es ¿cuántos dispositivos de Xiaomi tengo en casa?. Estos pueden ser bombillas, centralitas de alarma o cámaras IP. Por ello en este artículo de hoy os voy a enseñar cómo se pueden descubrir los dispositivos de este fabricante a través del protocolo MDNS o directamente con el uso de sockets.

Figura 1: Cómo descubrir los dispositivos 'Inteligentes' de Xiaomi que ya se te han colado en tu casa

La primera opción es muy rápida si dispones de un sistema operativo GNU/Linux y haces uso de Avahi. Este post va a ser bastante rápido y directo, para llegar lo antes posible al objetivo marcado en el título, así que solo se va a dividir en dos pequeñas secciones que traten justo esos temas. Vamos a ello.

Descubriendo dispositivos Xiaomis con MDNS

Para hacer la búsqueda de dispositivos usando MDNS aprovechándonos de Avahi, podemos utiliar el siguiente comando:

avahi-browser _miio._udp

Y cuando se ejecute, podremos ver por la pantalla todos los dispositivos que se van encontrando:

Figura 2: Dispositivos descubiertos

Para finalizar la búsqueda basta con presionar CTRL^C. ¿Pero esto lo podemos hacer con algún script en Python? La respuesta es sí, que nuestro querido Python está hecho para los pentesters, así que lo podemos hacer uso de la librería zeroconf, el script básico se puede ver a continuación:

Figura 3: Usando zerconf con un script en Python

El script son solo dieciséis líneas y ya lo tenemos montado. El código lo puedes adaptar fácilmente a que se termine con un una señal SIGINT en vez de un Time-Out. Y el resultado ya nos muestra más información que con el ejemplo de Avahi:

Figura 4: Lanzando nuestro script en Python

Con la búsqueda de dispositivos Xiaomi mostrada aquí no he conseguido que descubra el 100% de los dispositivos, de 8 tipos probados en total han salido 7. El producto que se resiste es la lámpara de escritorio. Cuando hablamos de descubrimientos, normalmente existen varias opciones, y ésta no es la excepción. Vamos con la segunda parte.

Descubriendo dispositivos Xiaomis con sockets

Este método utiliza la librería socket de Python, y el descubrimiento no es nada del otro mundo. Lo único que hemos hecho es el script se puede ver a continuación donde recorremos el esquema de direcciones IP por los puertos de los dispositivos Xiaomi para luego usar alguna información de fingerprinting - basada en banner-grabbing u otra similar - que nos permita detectarlos.

Figura 5: Script para detectar dispositivos

Para desarrollar el código se ha tenido en cuenta python-miio. No llega a ser el doble de líneas, pero de esta forma solo obtenemos la dirección IP. Ya es un comienzo para luego ir obteniendo más datos con otras herramientas de fingerprinting, o como no, haciendo uso de Python. Y el resultado es el siguiente:

Figura 6: Dispositivos descubiertos con el escaneo de sockets

Los tres dispositivos que estaban conectados a la hora de hacer la prueba son descubiertos, al igual que en la anterior opción. Y como habéis visto, podéis haceros sabiendo Python cualquier script que necesites para tus tareas de investigación. Rápido y sencillo. Nos vemos en la próxima entrada.

Figura 7: Python para Pentesters& Hacking con Python

¡Hasta pronto!

Autor: Josué Encinar García, autor del blog Boomernix y Security Researcher en ElevenPaths y en el equipo de Ideas Locas de la unidad CDO de Telefónica.

Vuelta al trabajo después de unos cuantos días de evasión. Días de desconexión que han hecho que pueda ver ciertas cosas con otros puntos de vista. También días que permiten echar la vista atrás, todo lo trabajado, todo lo que hemos ido haciendo en los últimos meses y años en Telefónica. Días de desconexión para seguir echando de menos lo que hacemos, lo que nos gusta hacer. Así han sido estos días.

Figura 1: Windows 10: Bypass de UAC con "wsreset" en uac-a-mola

En vacaciones entre avión y avión estuve echando la vista atrás a las herramientas que hemos ido haciendo desde el equipo de Ideas Locas. Centré el tiro en uac-a-mola, una herramienta especial para mí, ya que fue una pequeña locura que acabo yendo en 2017 a BlackHat Europa. Recordé las horas previas a aquella BlackHat, junto a mi compañero en aquellas guerras Santiago Hernández, aquellas pruebas de última hora. Es un proyecto especial, al que tengo cariño. Especialmente porque está hecho por y para profesionales del Ethical Hacking.

Figura 2: Libro de Ethical Hacking

Tras ver los últimos bypasses de UAC que han ido saliendo, hablé con mi compañero Josué Encinar y le dije de seguir trabajando en la herramienta. Por ello, hemos introducido dos nuevos módulos y un tercero que hemos retocado.

Figura 3: UAC Bypass & Research with UAC-A-Mola de ElevenPaths

El módulo del que quiero hablaros hoy es el referido a un nuevo tipo de "Fileless" para Windows 10, basado en la debilidad de wsreset.exe. Crear un módulo en uac-a-mola es algo trivial, por lo que viendo algunos fileless ya implementados, puede ser cuestión de cinco minutos crear un nuevo módulo con un nuevo bypass de UAC. En este enlace se puede encontrar el código del fileless de wsreset válido en Windows 10.

Figura 4: Módulo en uac-a-mola del nuevo bypass de UAC

En el artículo que escribí hace unas semanas se puede encontrar en qué se basa este bypass de tipo fileless. A veces asusta lo sencillo que son este tipo de debilidades de algunos binarios de Windows. Lo interesante de éste es que afecta a los sistemas Windows 10, por lo que para la realización de Hacking de Windows dentro de un proyecto de Ethical Hacking es algo vital.

Figura 5: Libro de "Hacking Windows: Ataques a sistemas y redes Microsoft"

Sea como sea, decidimos hacer el módulo para actualizar la herramienta uac-a-mola y dotarla de módulos más actuales. Creemos que es una herramienta que aún tiene recorrido y de la que publicaremos más cosas en próximas semanas. Aún, no se ha publicado la versión de uac-a-mola^2 que se presentó en 8dot8 y de la que se hablará en RootedCON Valencia. Además, en RootedCON Valencia veremos alguna sorpresa sobre un posible uac-a-mola para Meterpreter, pero ello ya se verá en RootedCON.


Figura 6: Presentación de UAC-a-Mola en CCN-Cert

Ahora vamos a ver la ejecución del módulo fileless_wsreset de uac-a-mola para verificar que su implementación funciona. En la imagen se puede observar las opciones del módulo, el cual es muy sencillo, ya que solo hay que indicar cuál es la instrucción que se quiere ejecutar cuando se realice el bypass de UAC. Si dejamos la instrucción por defecto, se creará un fichero en C:\, la cual es una ubicación protegida, solo se puede escribir si se está ejecutando el proceso en un contexto de integridad alto. 

Figura 7: Módulo fileless_wsreset en uac-a-mola

Con el comando show de uac-a-mola se puede listar las opciones del módulo y la información de éste. En la imagen se puede ver que en la ruta C:\ no se encuentra ningún fichero denominado pwned.txt. 

Figura 8: Ruta protegida

Cuando se ejecuta el módulo y se realiza la manipulación y cambios en el registro que provocan que cuando se invoque al binario wsreset.exe se ejecute la instrucción de la clave del registro modificada. Este código ya se ejecuta en un contexto de integridad alto, ya que el binario wsreset.exe se ejecuta en este contexto. Es un binario autoelevado. 

Figura 9: pwned.txt en C:\

Aquí podemos ver el fichero de texto creado en la raíz del sistema. Para poder ver esto de forma más sencilla se puede hacer uso del siguiente vídeo. 

Figura 10: PoC Fileless wsreset en uac-a-mola

Como se ve, se sigue mimando lo que nuestro tiempo nos permite a esta herramienta y seguiremos añadiendo algunas cosas nuevas en breve tiempo. Os esperamos en la RootedCON Valencia para que veáis una charla sobre el interesante mundo de la seguridad en Windows y la investigación en el campo de la protección UAC.

Saludos,

PD: Durante la RootedCON Valencia tendrás un stand de libros de 0xWord, así que si quieres que te firme alguno, solo tienes que pedírmelo que será un placer.

Autor:Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

Dice la Ley de Betteridge que cualquier titular que hace una pregunta puede responderse con una respuesta que diga: "No.". Y no lo he puesto por casualidad, ya que este verano he estado leyendo el libro de "En defensa de la ilustración" y muestra muchos de estos ejemplos de la Ley De Betteridge, así que he querido aprovecharme de él para comenzar este post que habla justo de eso, de lo que pone en el titular.

Si has leído el titular tal vez has podido pensar que "lo tengo muy creído" por tan siquiera compararme con ese adonis que fue y es George Clooney. A mí ni se me ha ocurrido, pero para mi mamá te garantizo que yo soy mucho mas guapo que él. La coña es que mis amigos y mucha gente me hace la coña de que nos parecemos desde hace mucho tiempo. De hecho, cuando pusimos de nombre ElevenPaths a la empresa de ciberseguridad, todos me hicieron chistes con el Ocean´s Eleven. 

Aguanto los chistes y las bromas con estoicismo y hasta con cierto cumplido, pero como George se va haciendo mayor, y yo también, se van relajando. Aunque de vez en cuando aparece algún colega que lo dice. Y ayer mismo, cuando publiqué la foto con Alice Cooper, mi amigo Nikotxan  - creador de Cálico Electrónico - me lo volvió a decir por WhatsApp. A su más puro estilo de colega.

Así que me dije... ¿por qué no probarlo con un Cognitive Service de Artificial Vision y dejar claro que no nos parecemos en nada? Así que me puse a ello. Primero utilicé el Cognitive Service de Celebrities de Microsoft Azure para ver a quién reconocía en la foto de Alice Cooper. Y sí, somos él y yo con una alta confianza.

Kubernetes y Docker están revolucionando el mundo de la informática, el desarrollo de aplicaciones y en concreto SecDevOps. Ambas tecnologías combinadas nos ofrecen beneficios como escalar y gestionar la implementación de una aplicación o un servicio de manera sencilla utilizando contenedores, hasta el punto de convertirse hoy día en un auténtico estándar para la orquestación. Como cualquier otra infraestructura, debemos tener precauciones a la hora de su implementación para intentar construirla de manera más segura posible, así como ofrecer el mejor rendimiento final.

Figura 1: Plugins para kubectl que te harán la vida más fácil al gestionar Kubernetes

Ya hemos hablado varias veces en este blog sobre cómo securizar Kubernetes (también de Docker y su seguridad, aunque en nuestro libro “Docker:SecDevOps” lo hacemos en profundidad), pero tampoco viene mal una ayuda extra a la hora de realizar este trabajo. Y es aquí donde los plugins de Kubernetes nos pueden echar una mano.

Figura 2: Libro Docker:SecDevOps de la editorial 0xWord

Existen multitud de plugins para kubectl para interactuar y realizar todo tipo de operaciones contra nuestro clúster. Todos sabéis que kubectl es la herramienta de línea de comandos para interactuar directamente con Kubernetes y ésta además, permite crear plugins a medida aumentando sus posibilidades añadiendo comandos ad-hoc a los ya existentes. En nuestro blog de CyberHades puedes encontrar un pequeño tutorial sobre cómo comenzar a escribirlos.

6+1 Plugins para Kubectl

Hemos seleccionado 6 + 1 plugins (este último no es exactamente un plugin) los cuales nos ofrecen diferentes características de seguridad y control para de esta forma hacer mucho más segura nuestra implementación con Kubernetes. Algunos están centrados por ejemplo en la seguridad de los pods, otros en RABC e incluso veremos uno que nos permitirá “esnifar” todo el tráfico de red generado hacia o desde un pod.

El primero de ellos se llama kubectl-trace. Este plugin nos permite utilizar bpftrace en un clústerKubernetes. Gracias a bpftrace podemos crear, por ejemplo, tracepoints (puntos de control en la ejecución para gestionar su flujo o incluso parada del mismo) para poder detectar problemas y hacer un análisis en profundidad de la infraestructura (del mismo modo que se utilizan en C y AWK). Estos puntos de control se pueden establecer tanto en nodos como en pods. En este enlace puedes encontrar el manual completo de bpftrace.

Figura 3: Secuencia "tracepoint" del plugin kubectl-trace

El siguiente plugin se complementa perfectamente con kubectl-trace para tareas de debug y se llama precisamente kubctl-debug. Este nos permite ejecutar un contenedor dentro de un pod que se encuentre en ejecución. Comparte el espacio de nombres del procesos (pid), red, usuario e intercomunicación entre procesos (ipc) del contenedor a analizar, con lo que nos permite depurarlos sin tener que instalar nada de antemano. En este enlace puedes ver una demostración de su utilización.

Figura 4: Ejemplo de ejecución del plugin kubectl-debug

Este otro plugin llamado ksniff nos ofrece la posibilidad de analizar todo el tráfico de red de un pod de Kubernetes utilizando tcpdump y WireShark, todo ello con un impacto mínimo en la infraestructura.

Figura 5: Ejecución del plugin ksniff contra un pod del clúster

Ksniff utilizará los datos recopilados por tcpdump asociados a un pod y luego los enviará WireShark para realizar el análisis exhaustivo. Este plugin es imprescindible si estás trabajando con microservicios, ya que es tremendamente útil para identificar errores y problemas entre ellos, así como sus dependencias.

Figura 6: Volcado a WireShark de la inspección realizada con ksniff

A veces, sacar la información de un clúster de Kubernetes requiere de la utilización de varios comandos los cuales, a su vez, nos devuelven todo tipo de información. Gracias a este plugin llamado kubectl-dig, es posible instalar una UI (User Interface) más amigable para ver de una forma más sencilla toda la información relativa al clúster de Kubernetes.

Figura 7: Interfaz de Kubctl-dig

Sólo tenemos que pasar como parámetro el nombre del nodo y de esta forma obtendremos todo tipo de información detallada y formateada sobre el mismo.

NOTA: Los siguientes tres plugins de los que vamos a hablar a continuación, hemos querido probarlos nosotros mismos. Así que para ello, hemos utilizado la misma infraestructura que ya montamos en su día para nuestro artículo sobre la gestión de la autorización de recursos con RBAC.

El control de accesos a todos los elementos de un clúster Kubernetes es una de las principales tareas dentro de la securización del mismo. Desde kubectl es posible obtener esta información de un recurso, pero no es posible conseguir una vista general. Esto es precisamente de lo que se encarga rakkess, el cual nos permite obtener una lista completa en forma de matriz de la situación actual de los derechos de acceso entre los usuarios y todos los recursos del servidor. En el siguiente vídeo puedes ver una demostración de su funcionamiento:


Figura 8: Demo de kubectl-rakness
El plugin que viene a continuación llamado kubectl-who-can viene perfectamente complementado con el anterior. En este caso será posible mostrar quién tiene permisos RBAC para realizar cualquier tipo de acción en los diferentes recursos Kubernetes que tengamos instalados. En la salida de la ejecución de este plugin podremos ver un listado completo con información como el tipo de cuenta, recurso, etc. El siguiente vídeo muestra cómo funciona:


Figura 9: Demo de kubectl-who-can
Hemos dejado kubectl-auth-can-I para el final. Exactamente no es un plugin de kubectl sino un subcomando que es parte de dicha utilidad. Este nos permite identificar si un usuario puede ejecutar ciertas acciones sobre ciertos recursos. Las acciones vienen dadas por los verbos definidos en Kubernetes (list, create, get, watch, delete, etc) y los recursos podrían ser: pod, namespace, secret, configMap, logs, etc.


Figura 10: Demo de kubectl-auth-can-I
Además, no sólo podemos preguntar por las acciones que podemos ejecutar, sino también por las acciones que otros usuarios o cuentas de servicio pueden ejecutar. Nos parece muy interesante y también lo hemos querido probar. En el vídeo anterior puedes ver los resultados de la prueba que hemos realizado.

Un hasta pronto

Seguiremos echando un vistazo a los diferentes plugins que existan y que nos puedan servir de ayuda, tanto para securizar nuestro clústerKubernetes como para ofrecer el mejor rendimiento posible a nuestra infraestructura.

Happy Hacking Hackers!

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Rafael Troncoso (@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Hoy os dejo la lista de actividades para la semana que viene que tengo en el radar. No son muchas, así que os las completo las actividades con los vídeos de las dos últimas ElevenPaths Talks dedicadas al mundo del Car Hacking y la ¿Privacidad?. Además, os dejo la lista de las charlas del Espacio Fundación Telefónica esta semana.

Y esto es todo en el post de hoy. Disfrutad el viernes que ya tenemos el fin de semana encima, con muchas cosa chulas. Hoy, como sabéis, están mis amigos de Despistaos en el Festival Oh, See! de Málaga, así que si estáis por allí.... no os los perdáis.

Hace ya varias semanas salieron publicadas la mayoría de las conferencias que se dieron este año en la RootedCON 2019. Por un error, o un descuido, la charla que yo impartí este año salió confundida, por lo que se quedó sin publicar. Así que, mientras que descubro si la tienen grabada o no os voy a dejar una grabación que hizo uno de los asistentes al evento.

La charla, como ya os conté, versa sobre Second Factor Web Browsing, una idea que se me ocurrió durante el verano de 2018 para poder ayudar en la navegación a Mi Hacker y Mi Survivor. De todo eso, os hablé en el artículo de "Second Factor Web Browsing" que acompaña a la charla, donde tenéis no solo el detalle de todo el proceso, sino también las demos en vídeo, las explicaciones y las diapositivas de la charla.

Saludos Malignos!