Un minuto sin 01 con Jorge Ramió



Hola a tod@s


Hoy tenemos la enorme suerte de tener en un minuto sin 01 a Jorge Ramió. Hablar de Jorge, es hablar de respeto y admiración, toda una vida dedicada a la criptografía. No tengo la suerte de conocer a Jorge, pero si a su hijo compartiendo empresa y cliente, un excelente compañero y amigo, con unos valores profesionales y humanos que seguro aprendió de su padre.


Jorge es profesor de la universidad politécnica de Madrid, co-autor del libro Cifrado de las comunicaciones digitales. De la cifra clásica al algoritmo RSA, también se encarga del proyecto criptored entre los que destaca la Intypedia y las píldoras thoth.
1º ¿Quién es Jorge? Un profesor universitario que lleva unas cuantas décadas intentando enseñar. Y, sobre todo, intentando hacer algo que en la universidad nunca se ha valorado ni creo se llegará a valorar: la difusión masiva de información, el hecho de crear conocimiento en el mejor sentido de la palabra.

2º ¿Que sueles hacer cuando tienes tiempo libre? ¿Qué es eso? ... el poco tiempo que me dejan los proyectos de Criptored, los dedico a ver fútbol en plan sillón, el mítico programa Saber y ganar del incombustible Jordi Hurtado y alguna serie de televisión, si estoy en Madrid. Fuera de Madrid, específicamente en una playa cerca de Valencia donde se vive como Dios, ya hay otras prioridades más sanas, incluso leer libros.

3º Si no hubieras sido informático, ¿A qué te hubieras dedicado? Pues a la informática. Es que me lo has puesto a huevo porque primero estudié Ingeniería Electrónica en Chile, luego hice un doctorado en Telecomunicaciones en Madrid y hace un año me he atrevido con un segundo doctorado en Sistemas Inteligentes en la Ingeniería. No sé cuánta vida inteligente puede existir ahí fuera, ni si estoy incluido en ella, pero eso de sistemas inteligentes suena muy bien.

4º El último libro que has leído. La mirada de piedra de Jorge Magano en Kindle, muy entretenido. Tengo en la recámara Hacker Épico de Alejandro Ramos y Rodrigo Yepes, un clásico, ya en papel. No pasa de Semana Santa que lo leo.

5º Tu plato favorito. Pues diría que a una buena fideuá o un arroz a banda, es imposible resistirse.

6º El último sueño raro que tuviste. Hace años que no sueño, bueno que no recuerdo lo que sueño. Posiblemente sea un arma de defensa subliminal, esteganográfica que diría un buen amigo, por si por ahí surge algún sueño de esos que te pone los pelos de punta, aunque eso me haría ilusión.

7º ¿Qué música sueles escuchar? Soy un beatlemaníaco consumado. Pero igual me gustan Dire Straits, Mark Knopfler, Elton John, Queen, Billy Joel, Fleetwood Mac, Celine Dion, Brian Adams, Eric Clapton, etc. Más o menos en esa línea, propia de los tacos que tengo, en las antípodas de fenómenos como Bieber o Mateo ... no comment. Pero también escucho música actual y estoy al día ya que mi hijo es Deejay; marchando una cuña de publicidad corporativa.

8º Lo último que piensas antes de dormirte. Es si tengo de verdad sueño o no. Ah, y si el móvil tiene carga para el día siguiente.

9º Lo primero que piensas cuando te levantas por la mañana. Qué poco ha durado la noche, si ni me he enterado. Que comienza un día más y que hay que agradecer estar vivo, con tu familia y con trabajo.

10º Lo primero que harías si fueras presidente. Eliminar por decreto la carrera del político. Es decir, jubilación forzosa a TODOS los políticos de España, de todos los colores, sin distinción y sin derecho a pensión claro. Incluso me jubilaría a mí mismo como presidente, para dar el ejemplo. Ya sé que ello deriva en anarquía, pero no me negarás que sería divertido verles sus caras. ¿Y ahora qué hago? Pues eso colega, a currar de verdad, que ya era hora. Tras esa medida, vendrían los banqueros, los sindicatos y unas cuantas instituciones más. Vamos, a todos aquellos que viven del cuento, por la cara y de no dar un palo al agua, y ganan muchísimo más dinero que tú y yo juntos.

El conocimiento es libre



Hola a tod@s


Sabemos cómo son de elevados los precios de cursos y certificaciones, como dice Richard Stallman, "Compartir el conocimientio es generar riqueza intelectual" por ello encontré esta web que comparto aquí hoy, se trata de una web educativa en la que podréis practicar varias certificaciones de seguridad y además gratis, su nombre skillset.



Práctica para el éxito de la certificación que desees, CISSP, PMP y CEH, CHFI o Security+ ya que este servicio cuenta con más de 100.000 preguntas de examen. Analizan nuestro progreso y determina cuando se está realmente preparado para la prueba real.



También está disponible la opción de crear prácticas personalizadas con una interfaz gráfica intuitiva, eligiendo las habilidades, nivel de dificultad, número de preguntas, etc.

Sin duda un gran aporte. El conocimiento es libre!

No seáis malos.

RootedCON 2015



Hola a tod@s

La semana que viene dará comienzo al RootedCON, como la mayoría sabéis tendrá lugar los días 5,6 y 7 de marzo y por segundo año consecutivo en el centro de congresos príncipe Felipe (hotel auditórium).


Como es habitual con ponentes de lujo como son:

  • David Pérez y José Picó – Ampliando el arsenal de ataque Wi-Fi
  • David Barroso – Infección en BIOS, UEFI y derivados: desde el mito a la realidad
  • Pablo Casais – (in)seguridad en el gran casino
  • Alejandro Ramos – Rojos y Azules: dos equipos con dos sabores
  • José Selvi – El tiempo en MIS manos
  • Alfonso Muñoz y Antonio Guzmán – Finding stegomalware in an ocean of apps…
  • Abel Valero – WEBEX: Análisis de datos en bruto
  • Ricardo J. Rodríguez y José Vila – On Relaying NFC Payment Transactions using Android devices
  • Eduardo Arriols – Physical Penetration Testing
  • Adrian Villa – Bypassing DRM Protections at Content Delivery Networks
  • Jorge Bemúdez – LECr* Service Pack 2 (* Ley de Enjuiciamiento Criminal, Criminal Procedure Act)
  • Julian Vilas – Deep inside the Java framework Apache Struts (Str-SUCK-ts)
  • Hugo Teso – El Manco: Y por último, pero no por ello menos importante…
  • Yaiza Rubio y Felix Brezo – How I met your eWallet
  • Chema Alonso – Can I play with madness
  • Christian Lopez – Bug Bounties 101
  • Sebastián Guerrero – Desmitificando Apple Pay
  • Carmen Torrano – Investigando sobre los cortafuegos de aplicaciones web
  • Raúl Siles – Android: Back to the Future (Too? or Two?)
  • Eduardo Cruz – Ingeniería inversa de circuitos integrados
  • Andrzej Dereszowski – Turla:Development & Operations – the bigger picture
  • Miguel Tarasco – Bend the developers to your will

Ya sabéis, tres días de seguridad volviendo a ver a viejos amigos y conocidos del sector. Nos vemos allí.

No seáis malos.

Tu vida puede ser hackeada

Hola a tod@s

En este post quiero concienciar a os lectores que vuestras vidas pueden ser hackeadas, todo está conectado y todos estamos conectados, con lo cual todo puede ser atacado. Absolutamente todo tiene vulnerabilidades y nuestra intimidad o seguridad están expuestas.




  • Secuestrar tu PC: ¿Os suena ramsonware? o quizás os suene más “el virus de la policía”. Aparece una ventana con un mensaje en el que te exigen un dinero y tu PC queda inhabilitado.
  • Espiarte por la webcam: Hoy en día casi todo tiene cámara, teléfonos, tablets, televisores y PC’s. Hace un tiempo realice una prueba de concepto con las cámaras de los Smartphone  y vimos que no hay diferencia con los PC´s, se pueden visualizar la cámara. Desde Estación Informática os aconsejamos proteger vuestros portátiles con Spy Block. Con esta genial solución tendréis privacidad cuando lo deseéis.
  • Hackear tu coche en 5 minutos: Ya vimos en Defcon como eran capaces de controlar remotamente un Toyota Prius. Más de uno pensará, pero ¿para qué?  Pues se podría activar o desactivar la alarma, las luces, el claxon, el cierre centralizado y un largo etc.
  • Hackear tu casa inteligente: Estuve investigando sobre este tema y las pruebas fueron claras, los sistemas domóticos son vulnerable, ya que tome el control y podría desactivar los sensores de movimiento, alarmas, cámaras, apagar o encender luces, abrir o cerrar puertas y persianas, activar, quitar o subir y bajar los grados de aire acondicionado o calefacción, etc.
  • Enviarte a la cárcel: Es sabido por todos que cuando un delincuente va actuar se tapa el rostro, pues en el  mundo virtual ocurre igual. Estos intentan ocultar sus rastros, a veces a través de usuarios inocentes. Por ejemplo si no tienes tu red WIFI bien securizada un atacante podría utilizar tu red para cometer delitos en tu nombre.
  • Regalando televisión: Aquí, en Estación Informática estuve un día de hacking con buscadores con la herramienta Shodan, mi sorpresa fue el número de sitios que tenían receptores de satélite digital de pago. Tras el estudio más del 50% iban regalando la TV por ahí.
  • Hackear aviones: Aunque parece ciencia-ficción, no lo es. Un atacante podría tomar el control de un avión. Aunque ya se ha avisado en congresos de seguridad de este hecho, las empresas de aviación lo ven muy difícil o imposible y no han mejorado la seguridad. Dios quiera que nunca ocurra nada.
  • Cámaras por el mundo: Las ciudades, edificios y establecimientos de todo el mundo están rodeados de cámaras, convirtiendo las ciudades en un gran hermano internacional. Estas cámaras se supone que están por la seguridad de los lugares, pero si están caen en delincuentes. Imaginad que unos delincuentes quieren robar en un lugar pueden monitorizar todos los movimientos o simplemente apagar la cámara.
  • Asesinarte directamente: Personajes políticos, gente influyente o con un nivel adquisitivo alto son las principales personajes que los delincuentes han fijado sus ojos. Los sistemas médicos como desfibriladores, marcapasos y sistemas de diálisis podrían sufrir ataques. Existe un caso conocido, el del hacker Barnaby Jack en una conferencia en 2011 demostró que se podía cambiar la dosis de las bombas de insulina de los pacientes. También es posible realizarlo con los marcapasos, por desgracia Barnaby falleció antes de presentar su ponencia, raro verdad...



No seáis malos.

Vulnerabilidad en Facebook permite eliminar fotos de otros usuarios

Se acaba de publicar una nueva vulnerabilidad que afecta a la red social Facebook y que permite borrar por completo un álbum de fotos de cualquier usuario sin necesidad de autenticación.

El fallo, descubierto por el investigador indio Laxman Muthiyah, reside en la API remota conocida como Graph API. Este mecanismo sirve para interactuar con tu perfil dentro de la red social mediante comandos HTTP y siempre utilizando un token de autenticación privado.

Según Laxman, utilizando su propio token generado por la App móvil de Facebook consiguió ejecutar las acciones de borrado, no solo en sus álbumes sino en los de otros usuarios de la red social, en cuestión de segundos. Para ello únicamente es necesario conocer el ID del álbum de la víctima

Este es un ejemplo de petición utilizada para explotar la vulnerabilidad:
DELETE /<Victim's_photo_album_id> HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>


Sin duda, está dando sus frutos la iniciativa Bug Bounty iniciada hace tiempo por Facebook, en la cual premia a los investigadores de seguridad que descubren vulnerabilidades en su red social, con cantidades de dinero que dependen de la criticidad de las mismas.

Tenéis más info y vídeo en la Fuente: TheHackersNews