¡Mitos, Leyendas y el lado más Oscuro de la Luz!

 

Antes de comenzar, les prometo a todos ustedes, queridos lectores, que seré más formal con los títulos. Sin embargo, por ahora, mientras este proyecto está en sus inicios, me tomaré la libertad de ser sarcástico al menos en los encabezados. Todo se tecnificará y adquirirá el peso académico que debe tener, pero eso no impide compartir algunos mitos y leyendas desde que adopté el término "hacker" para referirme a la profesión que amo. No es un secreto que la gente no comprende los significados más básicos de nuestra comunidad.

 

A pesar de los esfuerzos del actual ícono de la cultura hacker, “Chema Alonso”, por explicar a las personas que un hacker es un apasionado por la tecnología, que estudia su funcionamiento a un nivel más profundo, y no un delincuente o, peor aún, un brujo que mediante hechizos y secretos puede extraer información estando simplemente en la misma habitación. ¿Cómo se explica a los "muggles" que el núcleo del hacking implica trabajo arduo (muchas veces solitario) y no un Howards lleno de personas con máscaras de Anonymous, banderas negras, loros en los hombros y algún que otro parche?

 

Historia 1:

 

Con lo anterior en mente, quiero compartir mi primer trabajo como "hacker", aunque no sé si debería llamarlo así. Ocurría durante el período electoral en mi país, cuando se definirían las autoridades locales. El movimiento hacktivista Anonymous estaba en boga, y era común que las campañas políticas utilizaran la imagen de los hacktivistas para "revelar" secretos (mentiras) sobre los diferentes candidatos. Esto representaba un dolor de cabeza para los equipos de prensa. En mi localidad, se producían "autoataques informáticos" que generaban pánico al perder el control de la información. Corrían rumores de que una de las campañas había contratado piratas informáticos para atentar contra el candidato más fuerte.

 

El equipo de trabajo de ese candidato (la víctima) nos contactó. Recuerdo sus palabras: “Necesitamos un HACKER para protegernos de la otra campaña”. En realidad, nunca había trabajado en una campaña política. En ese momento, era Ingeniero de Datos en una multinacional de Telecomunicaciones (sí, los hackers también tenemos empleos). Según entendí, el objetivo era resguardar la seguridad tecnológica de la sede del candidato, a lo cual accedí.

 

Al presentarme en el lugar, descubrí que, efectivamente, no tenían seguridad. La contraseña del wifi era el nombre del candidato, compuesto por dos nombres. Como buen hacker ético, mi primera recomendación fue cambiar la clave. Con mi equipo, notamos un ataque a esa red para "desautenticar" a los usuarios activos y capturar el handshake para un ataque de fuerza bruta. Por supuesto, lo informamos. A una semana de las elecciones, sugerimos al candidato que no se conectara a la red wifi, ya que en ese entonces no existían cifrados de datos en las aplicaciones de mensajería instantánea. No queríamos que, en caso de que los delincuentes accedieran a la red, obtuvieran alguna foto “en pelotas” o su historial de pornografía favorita.

 

El candidato, luego Mandatario, recibió la recomendación, pero difundió entre todos los equipos de trabajo que éramos unos "locos" que vivíamos en una película. En sus palabras textuales: "¿Cómo es posible que no pueda conectarme a mi red wifi? Estos tipos están enfermos", desconociendo los riesgos. La imagen que este mandatario nos dio fue la de estafadores, tratándonos como charlatanes en busca de protagonismo. Después de las elecciones, nos ofrecieron un "puesto" que pagaba 250 USD al mes, mucho menos del salario mínimo en mi país. La condición era "hackear" a algunos miembros de la oposición. Claramente, rechazamos la oferta, y mi equipo y yo no tuvimos participación en su gobierno.

 

Aunque pueda parecer un caso aislado, esto ocurre con demasiada frecuencia entre gerentes, líderes o emprendedores que son excelentes en sus negocios, pero no comprenden la tecnología ni los riesgos de ser vulnerables. Desconocen los costos de perder información valiosa frente a la competencia. En el caso del político mencionado, su base de datos de campaña (filtrada en internet posteriormente) ¿qué habría pasado si su contrincante la hubiera obtenido de los computadores del call center que funcionaba en la sede? Si se hubiera distribuido entre sus seguidores, una noticia que desacreditara su imagen. Creo que el resultado no habría sido el mismo.

 

Historia 2:

 

"Jaime me acusa de hackear las elecciones, ¿qué hago?" En la DragonJar 2023, conocimos la historia de "Paulino Calderon" (@calderpwn), un hacker reconocido en Latinoamérica que enfrentó un malentendido orquestado por la maquinaria de las campañas políticas de un país donde impartió una conferencia ajena a sus elecciones. La ingenuidad de los "muggles" sin conocimiento de causa condenó a este hacker. Comparto el video de su historia. 

Hackers, cuento todas estas historias, no para desanimarlos, sino para motivarlos. Esta es una carrera como cualquier otra, con una curva de aprendizaje pronunciada pero gratificante. No dejemos que los mitos nos definan, esos que dicen que, si no somos adolescentes con habilidades extraordinarias, no podremos dedicarnos a esto. Los adolescentes superdotados existen, pero también existen los profesionales con determinación y enfoque. Recordemos que la disciplina, tarde o temprano, vencerá a la inteligencia.

 

¡Saludos! 

Th3g4ntl3m4n

 

El futuro, las GenIas, las "LLM application" y el impacto a una nueva generación

Antes de iniciar quiero resaltar algo importante, esta es mi opinión, humilde y sincera opinión como ingeniero informático y hacker, no pretendo con esto penalizar o satanizar las practicas de las inteligencias artificiales que a hoy, 15 de noviembre de 2023 existen, de hecho, quiero confesar que soy usuario de algunas de ellas, las mismas que me han permitido avanzar en mis estudios, organizar mi día o facilitar algún material que de una u otra manera me hacía ilusión tener, como es el caso de la siguiente imagen.

Img1: Imagen que me hacia ilusion tener.

Que si, resumiendo, es mi avatar al estilo pixar de cuando me planto horas y horas a estudiar y porque no ejecutar uno que otro comando en mi entorno linux. pero, ¿quién no quisiera verse en buena calidad y versión animada? no conozco a la primera persona (sarcasmo).

este avatar lo realice con una GenIA que quizá a estas alturas ya todos conocemos y es la que utiliza el buscador bing, pues si bien utilizas el modo creativo, y propones un prompt como el siguiente: "Dame una imagen al estilo de pixar de un programador, asegúrate de usar esta foto <link_de_la_foto> como referencia, incluye un entorno típico, con juego de luces y en alta calidad." listo! usando la tecnología de DALL~E salió un avatar algo parecido a mi,  pero en realidad este no es un tutorial de como generar imágenes con  IAs de esos hay muchos en internet, esta es mi opinión sincera del uso de las mismas.

A mi concepto las IAs tienen demasiado uso, son unas herramientas que pueden facilitar el trabajo de muchos profesionales, pero esto me lleva a pensar, ¿el resultado del uso constante de esta tecnología será tan provechoso como se anuncia? o peor aún, ¿tendrá esta tecnología algún riesgo a nuestra seguridad? pues la realidad es que estamos expuestos. No solo a los tan famosos Deep fakes como el caso bad bunny, el más popular hasta el momento, donde mediante inteligencia artificial clonaron la voz del reguetonero y la pusieron a una canción que el nunca, escribió, produjo y mucho menos cantó, llegando a viralizarse y a ser #1 en las plataformas de música como spotify.

lo preocupante es que hay demasiados estudiantes, e incluso algunos trabajadores que, sin desconfiar en lo más mínimo, basan absolutamente todo su flujo de trabajo en lo que digan las iA, dando por hecho de que las Ias no se equivocan y hay quienes las describen como seres super inteligentes con un conocimiento pleno del futuro, desconociendo como operan por debajo estos modelos de lenguaje.

pero entonces... ¿Como operan las Ias?.

Voy a tratar de ser breve, una IA es un algoritmo que opera bajo una cantidad de datos recolectados previamente, datos que ya existen hasta el momento, luego, se introducen una serie de reglas que permiten un margen a las IAS, algo así como el filtro que no permite decirle al internauta como acabar la humanidad (de nuevo sarcasmo) una Ia, NO tiene la capacidad de  crear información, o de diseñar de cero una tecnología completamente nueva, de hecho , algunos modelos de lenguaje entrenados con código, pueden enviar al usuario modelos de código para lograr cierto objetivo, pero siempre será una reproducción del código mas popular para hacer dicha tarea. en resumen, es un buscador muy potente que nos permite interactuar con el y por medio de patrones de escritura "humaniza" las respuestas que nos entrega.

Ahora... hay que confiar ciegamente en todo lo que nos entregan los LLM?

¡Una respuesta corta seria decir que No! que no se debe confiar al 100% de lo que nos entregan las Ias, pero voy a profundizar en el porque de esta conclusión. 

 

La OWASP ( Open Web Application Security Project ) nos ha entregado en su versión 2023 lo que seria las diez vulnerabilidades mas importantes de un LLM o lo que conocemos comúnmente como Inteligencia Artificial. y hoy desde GUANES queremos mostrarles las mas importantes.

Img2: logo OWASP

1. LLM01: Prompt Injection:

El prompt injection básicamente nos permite saltar las restricciones que tienen por fabrica los LLM, a través de prompts o entradas astutas provocando acciones no deseadas por el LLM. 

 

2.  LLM07: Insecure Plugin Design

a esta vulnerabilidad estamos expuestos básicamente cuando le confiamos la creación de piezas de código a los LLM, si bien nos entregan piezas de código en la mayoría de veces funcional, están programados por defecto a dar una solución rápida, no segura, esto hace que muchas de las empresas que basan su flujo de trabajo en LLMs hereden vulnerabilidades de ejecución de código remoto, SqLi entre otras.

 

3.  LLM09:  Overreliance

Como lo mencionamos anteriormente hay personas y/o organizaciones que confían demasiado en los LLM esto nos expone a episodios de desinformación o vulnerabilidades en código, en este caso hicimos estas pruebas con personas ficticias donde algunos LLM populares completaban la información con cosas que inventaban sobre la marcha, como aportes a comunidades, libros que no existen, en la parte política por ejemplo, pilares de gobierno que nunca se mencionaron por los mandatarios, obras nunca realizadas,  en fin muchísima información creada para rellenar un tema.

En conclusión, NO, la tecnología NO es mala, NO es inútil y SI, se debe usar, pero no con el contexto que queremos darle, no debemos descargar toda nuestra responsabilidad  y creatividad a la hora de idear algo, de escribir algo, o de investigar algo, pilares importantísimos en el desarrollo intelectual de un individuo. 

 

Saludos.

¿GUANES?

 

Quizá para todos aquellos que nacimos en Colombia y vivíamos en el departamento de Santander nos suena la palabra GUANE, para todos los extranjeros que de alguna manera nos encontró creo que les debemos una explicación.

Los Guane representan mucho mas de lo que podemos imaginar, fueron un pueblo indígena que habitó la región de los Andes en lo que hoy es Colombia, específicamente en el altiplano de la actual región de Santander. Los guane eran conocidos por su cultura y su habilidad en la agricultura, la alfarería y la orfebrería y belleza, pues en algunos escritos de los colonizadores se destaca los atributos físicos de los indígenas que habitaron nuestra tierra.

Cuando los conquistadores españoles llegaron a la región en el siglo XVI, los guane fueron sometidos y su cultura fue influenciada por la colonización europea. Muchos guane murieron debido a enfermedades introducidas por los españoles y al conflicto armado, lo que provocó una disminución significativa de su población, los pocos que quedaron fueron confinados en un pueblo que renombraron GUANE en reconocimiento a sus ahora habitantes y que hasta el sol de hoy conserva los huesos de quienes alguna vez señorearon nuestras tierras.

Aunque la cultura guane sufrió un fuerte impacto debido a la colonización, algunas de sus tradiciones y conocimientos han perdurado a lo largo de los siglos. En la actualidad, hay esfuerzos por parte de la población y el gobierno colombiano para preservar y revitalizar la herencia cultural de los guane, incluyendo la enseñanza de la lengua y la promoción de las artesanías guane, de hecho, es común encontrar al día de hoy una comida que era muy común para ellos y que me atrevo a decir se heredo a los que hoy habitamos el altiplano de Santander, y es la Hormiga Culona, Mismo manjar que los españoles confundieron con animales venenosos.

 

Para mí no hay nada mas importante que reconocer las raíces, tener claro de donde somos para poder saber hacia donde vamos, y es claro que nosotros, los santandereanos quienes tuvimos una participación bastante trascendental en recuperar las tierras de esos mismos invasores españoles al día de hoy no tenemos ningún reconocimiento en el país, quizá el protagonismo se lo llevan algunas otras regiones como Cundinamarca, Antioquia y el magdalena, por eso sentí, que era el tiempo de este primer producto digital de mi región.

 

Así que por eso nos llamamos GUANES en honor de quienes habitaron y nos heredaron nuestro Santander, y de quienes estoy seguro, también heredamos ciertas raíces que nos hace tan especiales, pujantes y arrogantes.  

 

Saludos,

Th3g4ntl3m4n

¡Esta bien! Comuniquémonos

 

Bienvenido a la segunda entrada de este blog, medio personal, medio comunitario, hoy teniendo una charla con el que sería el comité principal de desarrollo de contenido, ósea yo y mis otras personalidades como diría @KENNBRO, alguna de ellas me recomendó la posibilidad de tener la comunidad inicial cerca, con comunicación directa, que permita a los primeros participantes generar una interacción personal y compartir de manera inmediata sus sugerencias, sus ideas y bueno también sus quejas.

 Es por eso que decidimos habilitar este grupo de whatsapp, para estar cerca y comunicarnos, por supuesto que solo tenemos disponibilidad para 250 personas. ¿y si nuestra comunidad crece demasiado? Bueno cuando eso pase, migraremos el servicio, por ahora queremos empezar y esta es la mejor forma. Si quieres unirte a nuestro grupo de whatsaap ingresa al siguiente enlace.

(** nota de actualizacion **)
Parece que la Comunidad si requirio otro medio de comunicacion, asi que les comparto nuestro servidor de Discord

Servidor Discord

*Los Aportes de la comunidad*

Por supuesto que queremos saber en que estas trabajando y claro que queremos compartirlo, si tienes en mente una entrada que podamos publicar en este espacio no dudes en escribirnos a [email protected] , con la entrada que quieres compartir, la revisaremos (mis personalidades y yo) y la publicaremos.

Por favor sigue este formato.

--------------------------------------------------------------------

AUTOR:
NICKNAME:
USUARIO EN REDES: (Instagram, Facebook, GitHub, el que tengas..)
[CONTENIDO]
[MATERIAL DE APOYO]

---------------------------------------------------------------------

Y listo! Nos queda esperar a que te sientas cómodo en este que esperamos, sea una plataforma para los nuevos talentos santandereanos.

Primero que todo, La Bienvenida

 

Hola, debo confesar que es complicado empezar cualquier cosa, cualquier proyecto, cualquier meta personal, ir al gimnasio, empezar a estudiar inglés, en fin. empezar cualquier cosa siempre arrastra miles de dudas e inseguridades, pero aquí estamos, haciéndole frente a una necesidad común y quizá banal pero significativa al mismo tiempo, LOS SANTANDEREANOS NO TENEMOS UNA COMUNIDAD DE HACKERS.

Soy Jeffers”!#$”! … Soy Th3g4ntl3m4n fanático a la informática y en especial, a la ciberseguridad desde los 13 años, me apasioné en el mundo del hacking. aún recuerdo esas clases de informática en el colegio con los computadores que suministraba el gobierno con Windows 98 (fíjense en la edad que tengo) , recuerdo la sensación que representaba llegar cada mañana e interactuar con esas cajas blancas grandes, que podías mover  entre tres compañeros por petición de la profesora de turno, pues los computadores no alcanzaban para todos. Recuerdo que solía pensar que si introducía mal un diskette la maquina podría quemarse, y ni se imaginan el miedo que representaba decir que iba a conectarme a ese tal Messenger que podía enviar zumbidos y que tu pantalla vibraba.

A decir verdad, ese miedo me motivó, soy curioso por naturaleza y apenas vi el funcionamiento de estas novedades de los finales de los 90 y principios del 2000 quise saber como funcionaban, como era una maquina de estas por dentro, como podía personalizar mi Messenger y sobre todo, como podía resaltar entre mis compañeros, quienes tenían una presentación muy pobre de lo que seria el HTML, y los scripts .bat con el que fabricábamos por medio de códigos algunas calculadoras.

En medio de todo, tuvimos una revolución en nuestro colegio, para darle validez a la historia veo prudente mencionarlo, el respetable CAVIRREY de Piedecuesta. Nuestra profesora, comunicó en red los computadores de la sala y en una Azaña para ese momento, pudo configurar una carpeta compartida que contenía folders con el nombre de cada uno de los compañeros y cada uno de nosotros debía subir sus trabajos en Excel y Word. Para ese momento mi curiosidad y yo queríamos llevar el bash a otro nivel,  y haciendo copy - paste de una internet muy prematura y nueva, logré fabricar un ejecutable que permitía capturar las pulsaciones del teclado y que según los personajes underground de algunos foros se denominaban keyloggers, para mi solo una palabra en ingles sin ningún significado, esta situación me llevo a filosofar y pensar en una estrategia clara ¿Cómo hago para que mis compañeros adolescentes, llenos de hormonas y muchos de ellos iniciándose en la masturbación,  ejecuten mi script ? la solución fue casi sencilla, le llame al script PornoColombia.bat pues en ese momento la industria del porno no se había fijado en Colombia y solo se podía encontrar esas películas de “gringos” enseñándole a toda una generación a decir “si” en ingles “yeah” asi pues,  lo subí a la herramienta preferida de mi profesora, la carpeta compartida, después de una semana y habiendo pasado por los 13 computadores que tenía la sala, computadores que compartíamos con 35 estudiantes, por fin, pude tener todos los registros en .txt que me arrojaba ese pichón de keylogger que medio habia fabricado, medio había copiado. Después de filtrarlo logre tener una lista con el usuario y contraseña del Messenger de mis compañeros, no obstante, no contaba con que no solo mis compañeros ejecutaron el script, también la profe aplicada que había conectado la sala en red.  Para ser honesto con toda la comunidad, en ese momento en mi mente no existía la malicia y todo pudo quedar ahí, con mi copa, con mi primer CTF resuelto, y nada hubiera pasado, pero mi Ego y orgullo me ganaron y a la siguiente clase llegue llamando a mis compañeros por su clave, en vez de su nombre, aun recuerdo que la contraseña de una de mis amigas (que aun conservo, saludos a Laurita) era gatota_15 … espero por su bien, que ya la haya cambiando … inocentemente llegue burlándome y alardeando de mi astucia frente a mis compañeros y profesora la cual no vio con mucho agrado este episodio y que de inmediato me llevo a la coordinación del profesor Juan de Dios (q.e.p.d) quien gracias a Dios, no tenia ni idea de lo que le hablaban y la ley contra delitos informáticos aun no existía, asi que solo me lleve un regaño y la promesa de estudiar mas en vez de estar “mamando gallo” en el salón.

Avanzar siempre fue complejo, este mundo durante los primeros años del sigo XI fue tratado con mucho secretismo, no era fácil encontrar un grupo de estudio abierto, que definiera conceptos claros, de manera sencilla, mi adolescencia literal, fue soñando con poder asistir a esas conferencias que podía ver por fotos en las vegas(defCon), en Madrid (blackHat) y en fin .. aprender de algo mas que solo ejecutar un .bat en algún café internet para tener la clave de desconocidos cuando pasara nuevamente por ahí.  En esa época, estaba de moda un nuevo sistema operativo, algo llamado Linux, pero en su versión UBUNTU que si te registrabas en su pagina web, desde el lejano estados unidos te enviaban un CD con la versión mas reciente del sistema operativo para que lo probaras, claro que lo hice, y esto me permitió irme familiarizando con los entornos Linux y las diferentes distros que fui descubriendo como la vieja backtrack que fue la primera distro orientada a la seguridad informática que conocí y que poseía un dragón rojo imponente, me sentía un verdadero blackhack con solo lograr instalar el sistema operativo en mi torre, este quizá fue mi hilo rojo, para encontrar la comunidad colombiana que es incluso la mas longeva de Latinoamérica la DragonJAR  y que al escuchar a estos Manisalitas explicando en español, cosas que no lograba entender de los writesUps en ingles que podía encontrar en otros foros. Esto me exploto la cabeza y me motivo a seguirlos y a querer participar de las apenas nacientes DragonJar Security conference, aunque a decir verdad, por mas que me lo proponía no podía asistir, pasaron 10 temporadas, es decir 10 años para que pudiera asistir a mi primer DragonJar secConf y conocer a un Jaime ya canoso y mas bajo de lo que me podía imaginar por las fotos.

Si, Fue este año 2023, en la 10ma edición del DragonJar a la que pude asistir, y debo admitir que me la disfrute , cada charla, cada demo, cada actividad, cada conversación con personas mucho mejores técnicamente que yo,  me dejo con ganas de volver a la siguiente, pero no todo fue dulce, también hubo algo amargo que prendió mis alarmas, y es el hecho de que aunque había mucha gente de Bucaramanga y Santander en general ninguno vivía aquí, todos tuvieron que migrar a Bogotá para continuar sus estudios y pretender una oportunidad laboral, esto me hizo recordar toda mi curva de aprendizaje y lo difícil que fue en algún momento interactuar con otros entusiastas y me di cuenta que no debía acomplejarme por eso, al contrario, debía ser parte de la solución, por eso nace este espacio, GUANES Santander Hacking Team , un proyecto que espero, permita comunicar diferentes profesionales y entusiastas de este mundo de la tecnología y en un futuro corto nos permita ser plataforma para mostrar el talento y la berraquera de nuestro Santander.

Espero que el material que aquí compartimos sea de ayuda para todos ustedes, no se debe abandonar nunca un sueño, hay que continuar siempre hacia adelante, no importa cuánto tome.

 

Saludos.
Th3g4ntl3m4n