• Search for:
    23Jan, 2026
    Seguridad en AWS: por qué no es solo “activar servicios”, sino diseñar correctamente

    Cuando una organización migra o nace en AWS, suele aparecer una suposición peligrosa: que la seguridad es principalmente una cuestión de habilitar servicios suficientes en la consola.

    “Si activamos WAF, GuardDuty, Security Hub y algunas reglas administradas, deberíamos estar cubiertos”.

    Esta idea es comprensible… y profundamente equivocada.

    AWS ofrece uno de los conjuntos de capacidades de seguridad más completos de la industria. Sin embargo, ninguna herramienta —por avanzada que sea— puede compensar una arquitectura mal diseñada. En la práctica, la postura de seguridad de un entorno cloud está determinada mucho más por sus decisiones arquitectónicas que por la cantidad de servicios activados.

    Este patrón se repite tanto en startups como en organizaciones con plataformas complejas y cientos de aplicaciones en producción.

    El problema estructural: la seguridad llega tarde

    En muchos proyectos, la historia es casi siempre la misma:

    • Se diseña y se construye la aplicación.
    • Se despliega a producción
    • El negocio crece, la plataforma se vuelve crítica
    • Aparece una auditoría, un incidente o un requisito de cumplimiento.
    • Recién entonces se intenta “endurecer” la plataforma

    El resultado suele ser una superposición de controles reactivos sobre una base que nunca fue pensada con la seguridad como requisito fundamental. Se corrigen los síntomas visibles, pero no se elimina la causa raíz.

    AWS no te hace seguro: te da el material para construir seguridad

    AWS es, por diseño, extraordinariamente flexible. Esa misma flexibilidad permite construir tanto arquitecturas sólidas y bien aisladas como entornos frágiles, difíciles de entender y aún más difíciles de defender.

    Con exactamente los mismos servicios es posible crear:

    • Plataformas con segmentación clara, límites de confianza bien definidos y mínimo privilegio real
    • O entornos planos, con dependencias implícitas, permisos excesivos y superficies de ataque innecesarias.

    La diferencia no está en qué servicios se usan, sino en cómo se ensamblan y bajo qué principios.

    El espejismo de la “seguridad activada”

    Es común encontrar entornos que cuentan con:

    • AWS WAF y conjuntos de reglas administradas
    • Servicios de detección como GuardDuty y Security Hub
    • Centralización de registros en CloudWatch o S3

    Y aún así presentan críticas de debilidades, por ejemplo:

    • API sin controles adecuados de autorización a nivel de objeto o propiedad (BOLA / BOPLA)
    • Roles IAM con permisos ampliamente sobredimensionados
    • Segmentación de red deficiente o inexistente
    • Recursos internos expuestos sin una necesidad real
    • Ausencia de control efectivo del tráfico de salida
    • Grandes volúmenes de troncos que nadie revisa de forma sistemática

    El resultado es una percepción de control, no una postura de seguridad robusta.

    Donde realmente se decide la seguridad: en el diseño

    La seguridad de una plataforma en AWS se define mucho antes del primer despliegue, al responder preguntas como:

    • ¿Qué ocurre si este componente se ve comprometido?
    • ¿Hasta dónde puede propagarse ese compromiso?
    • ¿Qué relaciones de confianza existen entre servicios y son realmente necesarios?
    • ¿Dónde se valida la autorización: en el perímetro, en la API, en la capa de negocio?
    • ¿Cuál es el impacto máximo aceptable de un fallo o una intrusión?

    Si estas preguntas no forman parte del proceso de diseño, los controles añadidos después siempre serán paliativos.

    Seguridad como propiedad intrínseca de la arquitectura.

    Una arquitectura bien diseñada:

    • Contiene los incidentes en lugar de amplificarlos.
    • Reducir la superficie de ataque de manera estructural.
    • Aplicar el principio de mínimo privilegio de forma coherente
    • Segmentas funciones, redes y responsabilidades
    • Asume que los fallos ocurrirán… y los aísla por diseño

    En este contexto, los servicios de seguridad de AWS dejan de ser un intento de compensación y pasan a ser aceleradores de una buena arquitectura.

    El cambio de mentalidad que separa equipos maduros de equipos reactivos
     ❌ “¿Qué servicio de seguridad nos falta activar?”
    ✅ “¿Qué sucede si este componente falla o está comprometido?”

    Esta diferencia de enfoque separa a los equipos que simplemente operan infraestructura de los que diseñan plataformas resilientes y seguras para la construcción.

    Conclusión

    AWS no es inseguro.
    Pero ninguna plataforma es más segura que su arquitectura.

    En la nube, la seguridad:

    • No se compra
    • No se activa
    • Se diseña

    Y cuanto antes forme parte del diseño, menor será el costo —técnico, operativo y reputacional— de operar la plataforma en el futuro.

    ¿Te gustó? Compártelo!
    4Jan, 2026
    EL LADO OSCURO DE LAS OFERTAS DE EMPLEO EN PROGRAMACION: REPOSITORIOS MALICIOSOS

    Hoy en día en el entorno laboral es casi indispensable contar con un perfil profesional en línea. Tener un perfil profesional en una red social como LinkedIn es clave en el campo laboral por que hace las veces de tarjeta de presentación digital y abre oportunidades que antes solo eran posibles con interacciones presenciales.

    Dentro de las ventajas mas sobresalientes, están:

    • Hace posible ser encontrado por reclutadores y empresas caza talento.
    • Realza tu marca personal, por medio de tu experiencia, logros y habilidades.
    • Permite establecer conexiones profesionales con colegas, lideres de la industria y posibles empleadores.
    • Brinda acceso a comunidades y grupos especializados afines.
    • Un perfil actualizado y correctamente diligenciado, transmite credibilidad y profesionalismo.
    • Permite tener acceso a vacantes exclusivas que muchas veces solo se publican en redes profesionales.

    Dicho de otro modo, tu perfil profesional es una exposición de tu trayectoria y potencial.

    Teniendo en cuenta todas las bondades que ofrece contar con un perfil en una red social profesional, no tenerlo no es una buena opción. Pero ¿cómo manejarlo correctamente y no ser blanco de estafas?

    En cualquier oficio u ocupación, se corren riesgos de caer en estafas, ser víctima de phishing, o usurpación de identidad. Sin embargo, por lo complejo y difícil de detectar, hoy hablaremos de los riesgos en las ofertas de empleo de programación. 

    Para dar un alcance a nuestro post, mencionaremos dos casos. El primero que mencionaré, es el que relata en sus redes sociales la influencer Arelis Reyes, de Kevin Miani.  Ella relata lo siguiente:

    “Me quisieron hackear en una entrevista de trabajo. Me llegó un mensajito por LinkedIn, foto profesional, experiencia real, todo limpio. “Hola, estamos buscando un Full Stack Web 3 Developer. Queremos evaluar tu capacidad para revisar este repositorio en GitHub. “

    Yo ingenua, pero emocionada, pensé, ok, esto es normal. En muchas entrevistas técnicas te mandan un repositorio para que lo ejecutes, revises el código y ellos vean tu proceso. Es una dinámica común, nada extraño, pero ahí es donde las cosas se ponen raras. Abro el repo, todo normal, pero dentro del folder, en Node_Modules, había un paquete modificado, apenas perceptible. Para los que no sepan, Nodul Modules es la carpeta donde viven todas las dependencias que tu proyecto necesita. Y también nadie las revisa una por una porque confiamos en la comunidad, en los mantenedores, en los paquetes populares. Por eso se vuelve la caja negra perfecta para esconder algo, y ahí había un paquete que parecía completamente común.

    Nombre normal, archivo normal, pero dentro tenía un código malicioso. Y luego me di cuenta de que el atacante había refinado el malware. Lo que hicieron fue cambiar el nombre del archivo malicioso de react-svg-config a react-svg-provider.

    Mismo contenido, diferente máscara. ¿Para qué? Para evitar auditorías automáticas. Las auditorías automáticas son revisiones que hace NPM cuando ejecutas cosas como NPM Audit o cuando instalan las dependencias.

    NPM revisa si hay algún paquete sospechoso, si hay alguna vulnerabilidad conocida o si su estructura no coincide con la versión pública. Imagínate que es como un escáner del aeropuerto revisando tu mochila en un segundo. Al cambiarle el nombre, el archivo parecía nuevo, no coincidía con nada reportado.

    Y pasó las revisiones sin levantar alertas. Después, en otra actualización dentro del repo, el atacante metió la parte final del ataque en el archivo vite.config.js. Este archivo se ejecutaba cada vez que arrancabas el proyecto, así que era el lugar perfecto para insertar un payload sin que nadie lo notara. Y justo ahí estaba el código diseñado para activarse cuando yo corriera NPM Install.

    Este script podía robar variables de entorno, credenciales, tokens, llaves privadas, información del sistema, prácticamente cualquier cosa que yo tuviera en mi entorno. Y lo más preocupante, el código estaba hecho para autodestruirse después de ejecutarse. No dejaba ningún rastro.

    Si no lo detectabas en ese instante, jamás te ibas a enterar. Esta es la historia de Kevin Miani, quien detalló todo en LinkedIn. Y lo que dice es claro, ten mucho cuidado con lo que ejecutas.

    La revisión inicial es crucial. Y aunque parezca solo una prueba técnica, no puedes ejecutar código desconocido sin aislarle. Y mucho menos confiar ciegamente en repositorios enviados por perfiles que no conoces.

    Esto no es para asustar a nadie, es para que sepas que este tipo de ataques existen y cualquiera podría caer en ellos si no tomamos las precauciones mínimas.”[1]

    El segundo caso, lo cuenta el creador de contenido argentino, Dager.32. Relata lo siguiente:

    “Me contactó un italiano y ofrecía una locura de plata. Obviamente le dije que sí, hoy me mandó a ejecutar un proyecto Mern y creo que me cabió. El CPU se fue al 100%, estoy desinstalando todo, tengan cuidado.

    La otra vez les mostré acá en stream un intento de scam que me cayó por también una oferta laboral. Generalmente son las que vienen relacionadas a cripto, es increíble. Y el proyecto, me dijeron, “este es el proyecto, podés verlo”.

    Me pasaron el código, viste, el repo, y tenía un código sumamente ofuscado, parecía código legit, pero de repente veías los commits y eran medio raros, y de repente ibas al código y había un código muy ofuscado, como convertido en un montón de strings dando vueltas, loops raros, que vos decías que no sé ni para qué están haciendo esto, y como que te trataba de confundir básicamente tanto con complejidad innecesaria como con literalmente código ofuscado, nombres de funciones unificadas y toda la boludez. Y era, obviamente no me descargué el repo ni nada. Tengan cuidado con eso, no se descarguen ningún repo si van a hacer algo así, hasta que no vean que les están garpando el sueldo, no toquen nada, no se descarguen nada al pedo, y en todo caso si van a poner algo pónganlo en una máquina virtual con cuidado, porque es verdad que hay un montón de scams dando vueltas.”[2]

    Como podemos observar en ambos casos, las ofertas de empleo fueron utilizadas como señuelos para hacer caer en la estafa a quienes nos están narrando su experiencia. Vemos que cuando son ofertas de programación, esconden y filtran “pequeñas” variantes en los códigos fuente, intentando pasar desapercibidos. Solo quienes observan detenidamente, son alertados a tiempo antes de descargar o instalar algo en sus equipos.

    Este post no tiene el propósito de profundizar en temas técnicos de programación, el objetivo de este, es mostrar este tipo de estafa y alertar a todos nuestros lectores de que es una modalidad cada vez mas utilizada.

    Por esto, hemos hecho un resumen de las recomendaciones que debemos tener en cuenta para evitar ser estafados a través del reclutamiento de un perfil profesional por medio de una red social (por ejemplo LinkedIn).

    Recomendaciones:

    • La revisión inicial es crucial. Antes de ejecutar o instalar cualquier aplicación o complemento, revise de manera detallada el código.
    • NO confiar ciegamente en repositorios enviados por perfiles que no conoce. Sea precavido.
    • Evite al máximo descargar repositorios hasta que no sea seguro. Por ejemplo, que ya lo hayan contratado y sea algo para su periodo de prueba, o exista un contrato de por medio.
    • NO crea en ofertas millonarias y menos cuando la primera tarea es descargar o ejecutar algún código. Desconfié.
    • Tenga mucho cuidado con lo que ejecute. Si ya ejecutó, revise que su equipo no adopte un comportamiento extraño, que no haya hecho instalaciones paralelas o adicionales y que los recursos del sistema no presenten anomalías.
    • Si definitivamente es necesario que descargue o realice un ejercicio en el cual debe interactuar con dicho repositorio, utilice una máquina virtual con todas las precauciones.

    Por: Ing. Arianis Livingston Martínez

    [1] https://www.instagram.com/reel/DRYOV-ijjDh/

    [2] https://www.instagram.com/reel/DRckg5ZjcGi/?igsh=NGs5cThha2tpd3V2

    ¿Te gustó? Compártelo!
    30Sep, 2025
    Correos a salvo: protege tu información antes de que sea tarde.

    En la actualidad es muy común escuchar sobre la importancia de las copias de seguridad y los respaldos de nuestra información en dispositivos, bien sean laptop, equipos de mesa, celulares, tablets, etc. Prácticamente todo dispositivo electrónico, es susceptible a la elaboración de copias de seguridad.

    En un mundo donde la ciberdelincuencia va en aumento y a pasos agigantados, todo mecanismo de prevención y mitigación, es bienvenido. La pregunta es, ¿cómo respaldamos aquellos servicios que utilizamos de manera gratuita de proveedores de correo electrónico (Gmail, Yahoo, Outlook, entre otros), y que toda nuestra información está en sus servidores?

    Alguna vez has pensado, que cuando hackean un correo electrónico, o accidentalmente se queda tu sesión abierta en un equipo de uso común, quien tenga acceso a él, sea ciberdelincuente o un usuario desconocido, tiene todo el poder sobre tu correo, incluso, eliminar todos los mensajes de tus bandejas. ¿Suena algo serio y preocupante verdad?, pues así es.

    Pero no te preocupes, en este post, te enseñaremos a realizar una copia de seguridad de Google para los que utilizan Gmail. Cada proveedor tiene sus formas, pero para efectos de esta entrada, utilizaremos Gmail, que es el correo más utilizado en el mundo.

    1. Lo primero que debe hacer es tener la sesión de correo iniciada. Luego en una pestaña diferente ingrese a https://takeout.google.com/
    2. Google Takeout te permite seleccionar exactamente qué datos quieres exportar. Para excluir Drive, en principio, haga clic en “deseleccionar todo”, marque solo “correo” y verifique que “drive” este desmarcado.
    Imagen #1 – Google Takeout
    Imagen #2 – Selección del correo
    Imagen #3 – Exclusión del drive y demás componentes.

    3. Seguir los siguientes pasos para crear y descargar el archivo.

    Imagen #4 – Continuar al siguiente paso

    En la siguiente pantalla, seleccionamos el destino del enlace de descarga. En este caso escogimos el correo electrónico. En frecuencia, podemos programar dichas copias de forma periódica. También nos permite escoger el tipo y tamaño de archivo. Se recomienda escoger .Zip y 2 GB respectivamente como lo coloca el sistema por defecto.

    Imagen #5 – Configuraciones de la copia

    4. Finalmente inicia la exportación y nos muestra el estado de la descarga, informando que es un proceso que tarda mucho tiempo en completarse y que al finalizar, recibiremos un correo de notificación.

    Imagen #6 –Progreso de la exportación

    5. Al correo objeto de la copia de seguridad nos llega una notificación de Google (por seguridad), informando sobre la solicitud. No hay que hacer nada.

    Imagen #7 – Correo de confirmación Google

    6. Cuando finalice la copia, nos llega un correo informando y con el link de descarga, al cual hacemos clic.

    Imagen #8 – Correo de notificación creación de copia de datos exitosa y link de descarga

    7. Luego nos envía a descargar la información. Como se observa, lo divide en partes de acuerdo al peso de la copia.

    Imagen #9 –Descarga de archivos generados

    En las descargas podemos apreciar el avance de la misma.

    Imagen #10 –Progreso de la descarga

    8. Esto generará un archivo .mbox con tus correos, que puedes abrir con programas como Thunderbird.

    Con estos sencillos pasos, puedes implementar tus propias medidas de seguridad ante un acceso no autorizado a tu bandeja.

    Se recomienda que este proceso se haga principalmente con el correo, dejando por fuera los demás componentes de Google, ya que entre más ítems seleccionemos, hace el proceso mucho más demorado y el archivo final mucho más pesado. La idea es priorizar.

    Por último, pero no menos importante, la idea es que esta copia quede almacenada en un dispositivo extraíble, en otro equipo o si es posible en la nube. Si tu equipo se daña, pues cuentas con ese respaldo.  

    Por: Ing. Arianis Livingston Martínez

    ¿Te gustó? Compártelo!
    15Aug, 2025
    Del caos al control: Cómo la IA transforma la operación diaria

    Parte 2

    Si leíste la primera parte de este post, ya debes estar ansioso por saber como resolví el inconveniente con la hora del servidor. Pues bien, a continuación, les comparto como la IA salió en mi rescate.

    Para contextualizar brevemente, recordemos que el servidor de dominio del que les hablé, permanentemente mostraba un atraso de 5 minutos con respecto a la hora de la zona horaria configurada (UTC-5 – Bogotá, Lima, Quito). Pese a que se actualizara de forma manual, siempre volvía a su retrasado de 5 minutos.

    Para saber cuál era el inconveniente y resolverlo definitivamente, se siguieron los siguientes pasos, utilizando la herramienta PowerShell en nuestro SVR Windows server 2019. Estos pasos fueron los arrojados por la inteligencia artificial.

    1. Verificar la configuración del servicio de tiempo.

    Para eso se ejecutó el siguiente comando:  w32tm /query /status

    Esto indica desde donde se está obteniendo la hora y fecha y si hay algún problema con la sincronización. El siguiente pantallazo fue después de la configuración. Pero en el campo Origen, decía Local CMOS Clock lo que significa que estaba usando el reloj interno de la placa madre lo cual puede causar desfaces en la hora. 

    2. Configurar un servidor NTP adecuado.

    Como se mencionó en el punto 1, el origen de la hora del servidor provenía de la placa o board. Lo que se hizo fue configurar un servidor NTP externo confiable y público.

    Para esto se utilizó el comando:

    w32tm /config /manualpeerlist:”time.windows.com,0x8″ /syncfromflags:manual /update net stop w32time ; net start w32time

    w32tm /resync

    3. Revisar el estado de sincronización.

    Después de configurar el servidor de tiempo, con el siguiente comando confirmamos que haya quedado configurado: w32tm /query /source

    Como se observa en la imagen, ha quedado configurado el servidor NTP. Luego de reiniciar el servidor, se observa que toma la hora correcta. También los equipos que hagan parte del dominio, los cuales toman la hora de ahí.

    Otros comandos de interés:

    Verificar la zona horaria: tzutil /g

    Cuando la zona horaria es incorrecta se puede configurar con el comando: tzutil /s y el nombre de la zona horaria. Ejemplo: tzutil /s “SA Pacific Standard Time”

    Si desconoce el nombre de la zona horaria, puede consultarlas con el comando: tzutil /l

    Esto le mostrará una lista de nombres válidos. Busca el correspondiente a la zona horaria que quieras configurar. En este caso, Colombia.

    Otros servidores de tiempo (NTP), confiables son:

    • “Pool.ntp.org”
    • “time.nist.gov”

    NOTA: En algunas versiones de Windows, Colombia usa “SA Pacific Standard Time” en lugar de “Colombia Standard Time”.

    Como han podido apreciar, la solución fue mas sencilla de lo que imaginaba. No fue necesario hacer configuraciones en mi cortafuegos, ni en la red, ni mucho menos implementar un servidor NTP propio. No digo que estas medidas no hubiesen resuelto el inconveniente, pero ¿cuánto tiempo me hubiese tomado hacer todo eso? Sin contar con la inversión en infraestructura tecnológica si hubiese decidido configurar un servidor NTP propio. En definitiva, la IA llego para facilitarnos la vida y ayudarnos a optimizar tiempo en la toma de decisiones.

    Se que había hablado de dos soluciones de inconvenientes en la operación diaria, aportadas por la IA, sin embargo en aras de no hacer el post tan extenso, en mi siguiente post hablare de la IA nuevamente, con otro enfoque pero dicha solución estará incluida.

    Gracias por leer! Te gusto? Compártelo.

    Por: Arianis Livingston M.

    ¿Te gustó? Compártelo!
    25Jul, 2025
    Nmap Navigator: cómo usar IA para interpretar escaneos de red

    Cuando realizamos escaneos de red con Nmap, obtener una lista detallada de puertos abiertos, servicios detectados y versiones es solo el primer paso.
    El verdadero desafío comienza después:

    ¿Cómo interpretar rápidamente esa información, priorizar riesgos y traducir los hallazgos en decisiones técnicas bien fundamentadas?

    Aquí es donde entra en juego Nmap Navigator, un asistente inteligente basado en IA que convierte la salida sin procesar de Nmap en análisis claros, con foco en la priorización de amenazas.

    Desarrollado sobre la plataforma ChatGPT, Nmap Navigator permite a analistas, pentesters y equipos de seguridad identificar con mayor facilidad las vulnerabilidades más críticas, comprender sus implicaciones y generar contenido útil para reportes técnicos o ejecutivos de forma más rápida y eficiente.

    ¿Qué es Nmap Navigator?
    Es una GPT personalizada, creada dentro de ChatGPT, que entiende a fondo la salida de escaneos de Nmap. Está entrenada específicamente para:

    • Interpretar puertos abiertos y servicios detectados
    • Identificar riesgos y vulnerabilidades comunes
    • Explicar qué hace cada servicio y por qué podría representar un problema
    • Sugerir acciones defensivas básicas
    • Ayudarte a redactar reportes técnicos

    Ejemplo práctico: escaneo de Metasploitable
    Metasploitable es una máquina virtual intencionalmente vulnerable, usada comúnmente en laboratorios de hacking ético. Al escanearla con Nmap, puedes encontrar una salida como esta:

    Al compartir el resultado de tu escaneo con Nmap Navigator, recibirás un análisis detallado y fácil de entender como este:

    Nmap Navigator no solo interpreta la salida de tu escaneo, también te sugiere comandos NSE relevantes según los servicios y versiones detectadas. Por ejemplo:

    Escaneo general de vulnerabilidades en esos servicios:

    Escaneo específico de FTP:

    Escaneo específico de Samba (SMB):

    Análisis web:

    Genera informes claros, útiles y listos para entregar
    Además del análisis técnico, Nmap Navigator facilita la redacción de hallazgos completos, con descripciones, impactos y recomendaciones accionables, ideales para reportes o plataformas como Jira, Confluence, Dradis o Markdown.

    Puedes solicitar exactamente lo que necesitas con prompts como:

    • “Redacta un hallazgo técnico para el puerto 21 de esta salida Nmap, incluyendo título, descripción, impacto y recomendación.”
    • “Resume esta salida de Nmap en tres puntos clave, orientados a un informe ejecutivo.”
    • “¿Qué vulnerabilidades críticas podría tener esta máquina según los puertos abiertos?”

    Con Nmap Navigator, ahorras tiempo en documentación, estandarizas tus reportes y priorizas lo que debe resolverse primero.

    ¿Te gustó? Compártelo!
    17Jun, 2025
    IA y Hacking Ético: La Evolución del Hacking Ofensivo

    La inteligencia artificia es una realidad que está transformando el día a día del hacking ético. Para quienes trabajamos en Red Team, pentesting o bug bounty, la IA no solo automatiza tareas: amplía nuestro alcance, acelera los hallazgos y redefine la forma en que atacamos.

    Quien integra IA en sus operaciones ofensivas no solo ahorra tiempo. Obtiene una ventaja táctica real.

    Reconocimiento masivo potenciado por IA

    El reconocimiento es la base de cualquier operación ofensiva. Antes, encontrar subdominios, rutas ocultas o activos olvidados implicaba usar múltiples herramientas, scrapers y wordlists. Hoy, modelos como GPT-4 o Claude pueden analizar un dominio, el contenido de un sitio y datos contextuales para generar patrones de nombres realistas, estructuras de carpetas comunes, combinaciones de subdominios e incluso predictivos de endpoints de APIs.

    Esto permite:

    • Crear wordlists personalizadas basadas en el lenguaje del sitio objetivo.
    • Generar diccionarios de fuzzing semántico (por ejemplo: /invoice/download, /user/export).
    • Sugerir superficies de ataque que no aparecen en los escaneos tradicionales.

    El resultado: un reconocimiento más profundo, específico y veloz.

    Análisis de herramientas ofensivas con IA (Nmap, Burp, etc.)

    Analizar grandes volúmenes de datos generados por herramientas como Nmap o Burp Suite puede ser una tarea repetitiva y propensa a errores. La inteligencia artificial está cambiando ese paradigma al permitir una revisión más rápida, precisa y orientada a resultados.

    Con algunos comandos o integraciones, es posible automatizar el análisis de escaneos y obtener insights de valor, como:

    • Priorización de endpoints sensibles, considerando factores como verbos HTTP inseguros, estructuras de URL anómalas o metadatos expuestos.
    • Detección de inconsistencias lógicas, como endpoints GET que alteran datos o comportamientos inesperados en flujos de autenticación.
    • Sugerencia de posibles vectores de ataque, incluyendo indicios de vulnerabilidades como LFI, IDOR o bypass de validaciones.

    Esto no reemplaza tu criterio como pentester, pero amplifica la capacidad de filtrar el ruido, enfocarse en lo relevante y avanzar más rápido desde la exploración hacia la explotación.

    Explotación asistida: del hallazgo al PoC en minutos

    Una vez identificada una vulnerabilidad, el siguiente paso es convertirla en una explotación efectiva. En esta fase, la inteligencia artificial puede acelerar el proceso significativamente:

    • Generación de payloads personalizados, adaptados al stack tecnológico, filtros, codificaciones y restricciones específicas del entorno objetivo.
    • Propuesta de bypasses para WAF, incluyendo variantes obfuscadas o creativas de ataques conocidos como XSS, SQLi o LFI.
    • Asistencia en la creación de PoCs automatizados, generando rápidamente scripts funcionales en Python, Bash u otros lenguajes que validen la explotación.

    Esto permite reducir el tiempo entre la detección y la validación, potenciando la productividad del red team y facilitando la entrega de pruebas concretas de impacto.

    La clave es que reduces el tiempo entre el hallazgo y la validación real, lo que aumenta tu eficiencia y entrega valor más rápido.

    Ingeniería social porenciada por IA generativa

    La inteligencia artificial no solo interpreta código; también comprende y genera lenguaje con una precisión que la convierte en una aliada poderosa, y potencialmente peligrosa, en el ámbito de la ingeniería social.

    En ejercicios éticos como simulaciones de phishing o campañas de concienciación, la IA puede:

    • Redactar correos electrónicos altamente personalizados, utilizando un tono corporativo convincente y adaptado al estilo de comunicación de la organización.
    • Generar mensajes dirigidos a perfiles específicos, como CFOs, RRHH o DevOps, incorporando terminología y preocupaciones propias del rol.
    • Diseñar guiones para llamadas de pretexting, basados en escenarios creíbles que incrementan la tasa de éxito en pruebas de manipulación social.
    • Crear sitios de phishing realistas, con contenido contextualizado y apariencia coherente con la identidad visual de la empresa objetivo.

    Con la IA, puedes automatizar campañas completas que antes requerían mucho tiempo y esfuerzo creativo, pero que ahora escalan con solo unos pocos prompts.

    Reflexión final

    La incorporación de inteligencia artificial en la ciberseguridad ofensiva no es una tendencia pasajera, sino una evolución inevitable. Para los profesionales del Red Team, integrarla desde ahora significa adquirir una ventaja táctica clara: mayor velocidad, mejor precisión y capacidad de escalar operaciones complejas con menos esfuerzo.

    Sin embargo, la IA no reemplaza la experiencia, el juicio ni la ética del analista. Es una extensión de tus habilidades, no un sustituto. En las manos correctas, se convierte en un multiplicador de impacto. En las incorrectas, en una amenaza creciente.

    Adaptarse no es una opción, es una necesidad. Quien no aproveche hoy estas capacidades, estará en desventaja mañana.

    ¿Te gustó? Compártelo!
    16Jun, 2025
    CLONACIÓN DE VOZ (Voice cloning)

    No es raro que alguna vez hallamos escuchado o leído en alguna parte que estafaron a alguien por medio de una llamada o audio de alguien conocido. Pero que al validar, no era esa persona sino una estafa. Pues bien, esa modalidad de estafa o robo utiliza: Clonación de Voz.

    La clonación de voz se define como una tecnología avanzada que utiliza inteligencia artificial para crear una copia digital de la voz de una persona. Este proceso captura las características únicas de la voz, como el tono, el timbre y el acento, para generar una voz sintética que puede pronunciar cualquier texto de manera casi indistinguible de la voz original.

    Esta tecnología utiliza algoritmos de aprendizaje profundo que analizan muestras de audio de la voz objetivo.

    En seguridad informática, esta técnica se define como deepfake.

    Deepfake es una palabra combinada de aprendizaje profundo y falso, en ingles Deep learning y fake. Esta tecnología permite la creación de videos falsos donde imitan las voces y apariencias de personas reales, haciendo que digan o hagan cosas que nunca hicieron o dijeron. Los deepfakes combinan inteligencia artificial para lograr que las falsificaciones sean muy realistas, tanto en imagen como en audio.   

    En la película G20 de Netflix, utilizan esta tecnología como parte de la trama en el desarrollo de la misma. Así como en la película, cuando estos deepfakes son generados con personas famosas o de alto rango en la sociedad tales como gobernantes, políticos y puestos de poder, esto genera una gran desinformación y muchas veces el público no distingue la realidad de los deepfakes, atrayendo consigo consecuencias en el buen nombre del individuo por decirlo menos. 

    Pero volviendo al tema de este post, la clonación de voz, hay muchos casos donde utilizando esta tecnología llevan a cabo estafas. Uno de estos casos fue el año pasado cuando intentaron clonar de la voz del CEO de Ferrari.

    Los delincuentes informáticos si que sacan provecho a todos los avances tecnológicos y el deepfake no es la excepción. Imitaron la voz de Benedetto Vigna, Ceo de la marca deportiva italiana, e intentaron “cerrar un negocio” con un sentido de urgencia, además de que algunas entonaciones mecánicas hicieron sospechar a su interlocutor, quien hábilmente hizo una pregunta que solo el CEO real conocía la respuesta. “¿Cuál es el título del libro que me has recomendado leer?”. Con esta pregunta, la llamada se corto abruptamente.

    Otro caso de voice cloning o deepfake bastante sonado, fue el de una mujer de nacionalidad Argentina, a la que estafaron haciéndose pasar por George Clooney. Perdió 15 mil dólares y fue a través de Facebook que se  acercaron a la víctima. Esta creyó que la página era legítima porque tenía una foto de perfil con un supuesto tilde azul de verificación, pero en realidad era una imagen manipulada para simular autenticidad.

    Esta modalidad de fraude, se conoce como romance scam, ha aumentado con el uso de inteligencia artificial. Los delincuentes emplean videos generados con IA y voz sintética para hacer que la interacción parezca real.

    Como podemos observar, los fraudes informáticos están a la orden del día. En esta era digital donde la inteligencia artificial ha tomado tanta relevancia y los ciberdelincuentes no pierden el tiempo en utilizar todas las herramientas que tienen a la mano para engañar a sus víctimas, es importante tomar precauciones. A continuación, algunas recomendaciones.

    Recomendaciones:

    • Pactar una palabra o frase secreta con amigos o familiares o incluso empresa para validar que la otra persona sea quien dice ser.
    • No enviar dinero a alguien que no has conocido en persona. Si la conoces, pregúntale algo que sepas que solo esa persona sabría contestar acertadamente.
    • Corroborar la información recibida. Antes de tomar alguna acción, confirma que lo que te estén diciendo sea real. No actuar bajo presiones o urgencias.
    • Se mas exclusivo con tu voz. Limita el envío de audios en redes sociales. Entre menor exposición pública de tu voz, mejor.
    • Desconfía de llamadas de números desconocidos y verifica la identidad de la persona antes de compartir información personal.
    • Si sospechas que alguien está intentando engañarte con una voz clonada, cuelga la llamada y contacta directamente a la persona por otro medio.

    Espero que con estas sencillas pero efectivas recomendaciones, puedas evitar ser estafado y ser de ayuda a alguien que tal vez este en una situacion parecida.

    ¿Te gustó? comparte este post con tus contactos y déjanos saber tu opinión, coméntanos!

    Por: Arianis Livingston M.

    ¿Te gustó? Compártelo!
    28May, 2025
    GitHub Advanced Security (GHAS): Integrando la Seguridad al Ciclo de Desarrollo

    En un entorno donde la velocidad del desarrollo es clave, la seguridad no puede ser un obstáculo: debe estar integrada. GitHub Advanced Security (GHAS) es una solución robusta que lleva las prácticas de seguridad al núcleo de los flujos DevOps, ayudando a los equipos a identificar y mitigar vulnerabilidades desde la raíz, directamente en sus repositorios.

    Este artículo explora sus componentes, beneficios estratégicos y recomendaciones para adoptar una postura de seguridad proactiva desde el código hasta las dependencias.

    ¿Qué es GitHub Advanced Security?

    GitHub Advanced Security es una suite de herramientas de seguridad integradas que proporciona visibilidad y protección continua dentro de GitHub. Permite a las organizaciones:

    • Detectar vulnerabilidades en el código fuente.
    • Identificar secretos expuestos.
    • Corregir dependencias inseguras.
    • Automatizar revisiones de seguridad con mínimo esfuerzo.

    Componentes Principales

    1. 🔍 Code Scanning (Análisis de Código Estático)

    Utilizando CodeQL, GitHub analiza el código fuente en busca de vulnerabilidades como inyecciones, XSS, errores de control de acceso, entre otros.

    • Escaneo automático en cada push o pull request.
    • Compatible con Java, JavaScript, Python, C/C++, Go, C#, Ruby, TypeScript y más.
    • Se pueden escribir reglas personalizadas para cumplir con políticas internas.

    Ejemplo: Detectar un patrón de SQL Injection antes de que llegue a producción.

    2. 🔐 Secret Scanning (Detección de Credenciales)

    Evita que secretos como claves de API, tokens de acceso o archivos .pem se filtren accidentalmente al repositorio. GHAS puede:

    • Escanear el historial completo del repositorio.
    • Integrarse con más de 100 proveedores para alertar o revocar credenciales comprometidas.
    • Bloquear push con secretos desde el lado del cliente.

    Ejemplo: Detectar un token de AWS en un config.js antes del commit.

    3. 📦 Dependabot (Seguridad de Dependencias)

    Las dependencias inseguras son una fuente crítica de vulnerabilidades. GHAS utiliza Dependabot para:

    • Escanear automáticamente los package.json, requirements.txt, pom.xml, etc.
    • Notificar vulnerabilidades conocidas desde la base de datos CVE.
    • Generar pull requests automáticos con versiones corregidas.

    Ejemplo: Actualizar una versión vulnerable de lodash en una app Node.js sin intervención manual.

    Beneficios Estratégicos

    🔄 Integración Nativa

    GHAS no requiere herramientas externas: opera dentro del ecosistema de GitHub, integrándose con Actions, PRs, ramas y entornos protegidos.

    📈 Visibilidad Centralizada

    A través del panel de seguridad de GitHub, los líderes técnicos obtienen reportes de riesgos, estado de remediación y tendencias de vulnerabilidades por organización o equipo.

    🧠 Seguridad Shift Left

    La detección temprana de errores permite corregir vulnerabilidades antes de que se implementen, reduciendo tiempos y costos en pruebas o incidentes en producción.

    ⚙️ Automatización DevSecOps

    Con GitHub Actions, las tareas de escaneo, notificación y remediación pueden orquestarse como parte de un pipeline continuo sin fricción.

    Mejores Prácticas para su Adopción

    1. Habilita GHAS por etapas: comienza con repositorios críticos y expándelo progresivamente.
    2. Capacita al equipo: asegúrate de que los desarrolladores comprendan los hallazgos y cómo remediarlos.
    3. Personaliza las reglas CodeQL: adapta las políticas de seguridad a tus propios estándares.
    4. Integra Secret Scanning preventivo: actívalo en modo bloqueo desde el cliente.
    5. Audita y responde: configura alertas automáticas y define un proceso claro de respuesta ante hallazgos.

    Consideraciones Técnicas

    • GHAS está disponible sólo en planes Enterprise.
    • No se recomienda usar en forks abiertos o repositorios públicos sin control.
    • Algunas funciones requieren GitHub Actions habilitado.
    • Los escaneos pueden consumir minutos de CI/CD (según configuración).

    Conclusión

    GitHub Advanced Security convierte la seguridad en una parte natural del proceso de desarrollo, empoderando a los desarrolladores para detectar y corregir vulnerabilidades antes de que representen una amenaza real.

    Al adoptar GHAS, las organizaciones no solo cumplen con estándares como OWASP o NIST, sino que también fortalecen la cultura DevSecOps, donde cada commit es una oportunidad de mejorar la seguridad.

    ¿Te gustó? Compártelo!
    14May, 2025
    CREACIÓN DE UN TÚNEL IPSEC CON EQUIPOS FORTIGATE SITIO A SITIO

    Los túneles IPsec se implementan cuando se necesita proteger la comunicación entre dos redes o dispositivos a través de una conexión segura y cifrada. Se utilizan comúnmente en redes privadas virtuales (VPNs) para garantizar la confidencialidad, integridad y autenticidad de los datos transmitidos.

    El modo túnel de IPsec cifra todo el paquete IP, incluyendo los datos y las cabeceras, encapsulándolo en un nuevo paquete IP para su enrutamiento. Este método es ideal para comunicaciones entre redes, como túneles seguros entre routers o conexiones de un ordenador a una red a través de Internet.

    Para efectos de este post/instructivo, haremos de cuenta que tenemos una empresa Colombiana llamada Mar Caribe. Mar Caribe cuenta con una sede en la ciudad de Cartagena, y otra en Barranquilla. Ambas sedes deben compartir ciertos recursos de la red y se requiere establecer conexión entre ellas de manera segura. Teniendo en cuenta que en ambas ubicaciones contamos con un servicio de internet y un firewall UTM Fortigate como dispositivo perimetral, procederemos con la configuración para implementar un Túnel entre ambas remotas. 

    En este instructivo se documenta el paso a paso de la creación de este túnel.

    1. Tener a la mano la siguiente información a cada lado (UTM Fortigate de la sede en Barranquilla y UTM Fortigate de la sede en Cartagena):
      • Ip pública ambos extremos (WAN en cada fortigate).
      • Tener definida una clave de seguridad que debe ser la misma en ambos extremos.
      • Tener claro cuáles son las redes locales que interactuaran a través del túnel.

        Para la sede Cartagena, se dejó el túnel para las redes administrativas y telefonía.

        2. El segundo paso es ingresar a uno de los equipos. Puede ser cualquiera. En este caso ingresamos al fortigate de Cartagena. Ir al menú VPN/TunelesIPsec/crear nuevo

          Imagen #1

          Imagen #2

          3. En la siguiente ventana colocamos un nombre para el túnel. En nuestro caso colocamos Cmar, dejamos resaltado el tipo de plantilla sitio a sitio, NAT no existe, y tipo de dispositivo Fortigate. Luego hacemos clic en siguiente.

          Imagen #3

          4. En la siguiente ventana, en dispositivo remoto colocamos dirección IP y en la dirección IP remota debemos colocar la IP pública del Fortigate del otro extremo.

            Automáticamente detecta la salida por la WAN. En llave compartida, colocamos la clave previamente establecida en el punto1.

            Imagen #4

            Luego damos clic en siguiente.

            5. En la siguiente ventana, seleccionamos la interfaz local y las subredes locales previamente establecidas en el paso 1. Escogimos la sub red administrativa y telefonía. El sistema automáticamente coloca las subredes locales. En subredes remotas, colocamos el segmento IP de la red local de Barranquilla. En acceso a internet dejamos ninguno y hacemos clic en siguiente.

              Imagen #5

              6. En la siguiente ventana, aparece el resumen de la configuración y solo damos clic en crear

              Imagen #6

              Imagen #7

              7. Después, ingresamos al dispositivo del otro extremo (fortigate 2), en este caso, la UTM de Barranquilla y hacemos exactamente los mismos pasos del 2 al 3 (preferiblemente colocamos otro nombre al túnel, en este caso colocamos Caribe). Luego, en el siguiente paso diligenciamos la IP de Cartagena y la clave secreta definida en el punto 1 de este instructivo que debe ser la misma que establecimos en nuestro primer túnel configurado.

              Imagen #8

              Imagen #9

              Imagen #10

              Imagen #11

              8. El siguiente y último paso, es levantar el túnel. Para esto creamos un monitor por el menú Tablero de control-Dashboard/botón +  en el buscador colocamos IPSec y seleccionamos el que aparece.

              Imagen #15

              En la siguiente ventamos damos ok.

              Imagen #16

              9. Luego observamos que en la misma ruta de dashboard, nos aparece un nuevo monitor llamado Monitor IPSec. Ingresamos ahí y nos aparece el túnel que deseamos levantar.

              Imagen #17

              10. Hacemos clic derecho levantar túnel/todos los selectores de fase 2

              Imagen #18

              Con esto el túnel queda operativo. Actualizamos la pantalla y nos dirigimos al menú VPN/túneles IPSec y ahí observamos el túnel arriba.

              Imagen #19

              11. Luego ingresamos al otro fortigate y miramos que en efecto también se visualice el túnel arriba.

              Imagen #20

              Como se puede apreciar en la imagen #20, también aparece arriba.

              Con estos sencillos pasos, ya establecimos conexión entre nuestras subredes sitio a sitio.

              Opcionalmente, podemos crear un visor (widget) en el dashboard de nuestras UTM para tener a la vista el estado del túnel. Para esto vamos al menú Tablero de control- Dashboard/Estado/ agregar widget

              Buscamos IPSec y damos clic para agregarlo.

              Al volver al menú Estado, bajamos y observamos el widget que agregamos.

              Imagen #23

              Por último, pero no menos importante, realizamos unas pruebas de comunicación de extremo a extremo. En este caso, desde la red local de Cartagena hicimos un ping a la impresora de Barranquilla e ingresamos por web a su interfaz gráfica. Lo que nos permitió corroborar el correcto funcionamiento del túnel.

              Imagen #24

              Imagen #25

              Espero que te haya sido útil este post. Si te gustó, déjanos tus comentarios y Comparte!

              Por: Arianis Livingston Martínez

              ¿Te gustó? Compártelo!
              15Feb, 2025
              Accediendo de forma segura con AWS Session Manager

              En la administración de infraestructura en la nube, garantizar un acceso seguro y eficiente a los servidores es una prioridad crítica. La exposición innecesaria de puertos y credenciales puede aumentar la superficie de ataque y poner en riesgo la seguridad de los sistemas. Aquí es donde AWS Session Manager se convierte en una solución indispensable, proporcionando acceso seguro, auditado y sin complicaciones a instancias en Amazon EC2 y servidores on-premises.

              ¿Qué es AWS Session Manager?

              AWS Session Manager es una funcionalidad integrada en AWS Systems Manager que permite acceder a instancias sin necesidad de claves SSH o RDP, eliminando la dependencia de una VPN y reduciendo el riesgo de exposición a ataques.

              Al utilizar Session Manager, los administradores pueden conectarse a sus instancias de manera segura sin necesidad de abrir puertos en el firewall, lo que facilita la administración, el cumplimiento normativo y la auditoría de accesos.

              Ventajas Claves de AWS Session Manager

              Mayor Seguridad

              • Cifrado de extremo a extremo: La comunicación entre el usuario y la instancia está cifrada mediante AWS Key Management Service (KMS).
              • Eliminación de puertos abiertos: No es necesario exponer las instancias a Internet mediante los puertos SSH (22) o RDP (3389).
              • Autenticación basada en IAM: AWS Identity and Access Management (IAM) permite definir roles y permisos granulares para acceder a las sesiones.
              • Registro y auditoría completa: Todas las sesiones quedan registradas en AWS CloudTrail, proporcionando visibilidad y trazabilidad del acceso a las instancias.

              Simplicidad en la Administración

              • Acceso sin claves SSH ni credenciales adicionales: Reduce la necesidad de gestionar archivos de clave privada y usuarios en cada servidor.
              • Conectividad desde múltiples interfaces: Se puede iniciar sesión desde la consola de AWS, la CLI o el SDK de AWS.
              • Facilidad de implementación: Requiere solo la instalación del agente de AWS Systems Manager y la configuración de permisos en IAM.

              Auditoría y Registro de Sesiones

              • Registro automático de sesiones en Amazon CloudWatch Logs o Amazon S3: Permite analizar actividad sospechosa y realizar revisiones forenses.
              • Supervisión en tiempo real: Facilita el seguimiento del acceso a instancias en entornos críticos.
              • Cumplimiento normativo: Ayuda a cumplir con estándares de seguridad como ISO 27001, SOC 2, NIST, HIPAA, entre otros.

              Cómo Configurar AWS Session Manager

              Configurar AWS Session Manager es sencillo y consta de tres pasos principales:

              Paso 1: Habilitar AWS Systems Manager en la instancia

              • Instale el agente de AWS Systems Manager en la instancia si no está preinstalado.
              • Asegurese de que la instancia tenga un IAM Role con permisos adecuados.

              Paso 2: Configurar IAM Policies

              • Asigne la política AmazonSSMManagedInstanceCore a la instancia.
              • Cree roles personalizados para restringir el acceso si es necesario.

              Paso 3: Iniciar una sesión con Session Manager

              Desde la consola de AWS:

              • Diríjase a AWS Systems Manager > Session Manager.
              • Seleccione la instancia y hacer clic en “Iniciar sesión”.
              • Use la terminal integrada para ejecutar comandos de manera segura.

              Desde la AWS CLI:

              Casos de Uso de AWS Session Manager

              1. Administración de servidores sin necesidad de VPN

              Muchas empresas requieren conectividad segura sin implementar VPNs complejas. Session Manager permite a los administradores acceder a instancias sin necesidad de túneles VPN, reduciendo costos y puntos de fallo.

              2. Acceso seguro a entornos restringidos

              En organizaciones con estrictos requisitos de seguridad, Session Manager facilita la gestión del acceso sin comprometer la protección de la infraestructura.

              3. Cumplimiento de regulaciones de seguridad

              Gracias a su capacidad de auditoría y registro detallado de sesiones, Session Manager ayuda a las empresas a cumplir con normativas de seguridad y privacidad.

              4. Depuración y mantenimiento remoto

              En escenarios donde los equipos necesitan diagnosticar y solucionar problemas en servidores, Session Manager brinda acceso rápido sin riesgo de exposición a ataques externos.

              Conclusión

              AWS Session Manager revoluciona la forma en que los administradores de sistemas acceden a sus servidores en la nube. Con su enfoque en seguridad, facilidad de uso y auditoría, elimina la necesidad de claves SSH y minimiza los riesgos de exposición.

              Implementar Session Manager en tu infraestructura AWS no solo mejorará la seguridad y cumplimiento normativo, sino que también optimizará la gestión de accesos y facilitará la administración remota.

              ¿Te gustó? Compártelo!