Elías Grande

¡Ya está a la venta mi nuevo libro “Arquitectura de Seguridad y Patrones de Diseño Seguro”! +Info en la web de la Editorial @0xWORD: 0xword.com/es/libros/240-… #CyberSecurity #Architecture #DesignPatterns #Microservices #IoT #Book

The Hot Mess of AI: How Does Misalignment Scale with Model Intelligence and Task Complexity? alignment.anthropic.com/2026/hot-mess-…

@patowc Es que todos y cada uno de esos eventos requieren de comisiones de investigación y asesores “expertos” Román… es qué nadie va a pensar en el sueldo de los asesores!? 🤣🤣

Es maravilloso ver que todos los eventos que ocurren en el universo sirve siempre para subirnos el precio de todo. Nunca pasa nada que abarate los costes: siempre es para pagar más...

@patowc @mintradigital ¿A quién es más fácil multar y perseguir por incumplimiento? ¿A una gran corporación con más abogados que el estado o al “matao” que desconoce sus derechos fundamentales y que piensa que el abogado lo lleva colgado? Tiene mejor ROI el segundo🤣🤣

@mintradigital Si pasa por vulnerar los Derechos Fundamentales de los ciudadanos y engañarlos para que cedan en privacidad y anonimato, no, no lo queremos.

Muchos asocian las redes sociales al entretenimiento y piensan que son inofensivas. Si en un parque de atracciones nos divertimos y nos dejamos llevar es porque hay un sistema de seguridad pensado para protegernos. ¿Por qué no íbamos a querer lo mismo para el espacio digital?

@MarcosBL @patowc Mi empresa, mis normas! Que le den al mercado y a la realidad! 🤣🤣 Seguro que esos 80.000M son calderilla para este CEO con la de info que recopila de todas sus RRSS para vender

Cambiar el nombre de Facebook a Meta en 2021, porque "el futuro es el metaverso". Gastar 80.000 millones. Abandonar el producto. Ahora el futuro es la IA. Y sigue siendo el CEO. Hay una lección ahí, aunque no sé cual. 😅

We are introducing EU Inc. To make building and growing a business across the EU faster, simpler, and smarter. 🔸 Start a company in less than 48 hours 🔸 No minimum capital requirement 🔸 Fully online and borderless

@FranDiaz @e__soriano A lo mejor @mbelcrypt_vasco te puede guiar en este aspecto y te sabe decir de alguien mucho mejor que bueno 😉

@e__soriano Mil gracias, ¿sabes de alguno bueno por aquí?

Oye @e__soriano, un compañero ha publicado este cifrado y busca quien lo exprima un poco 😄 ¿Alguien de vuestro grupo se animaría a darle caña? zenodo.org/records/189082…

Otro año, un auténtico placer participar en la #rootedcon #criptoredcon. Me alegra ver que los asuntos relacionados con el hacking de sistemas siguen generando bastante interés en la era del mega hype de la IA. Paper con todos los detalles: arxiv.org/abs/2506.07827

El anonimato o se tiene o no se tiene. Cualquier forma de pseudonimato se puede deshacer con motores de IA: arxiv.org/pdf/2602.16800

@patowc La redacción de los textos jurídicos intenta cubrir de manera amplia ámbitos de tecnología a partir del lenguaje natural que es lo más ambiguo que existe. ¿Te imaginas una regulación basada en razonamiento matemático sin lugar a la interpretación? Qué fácil meter la IA ahí! 🤣

Me descojono. Otro jurista que me viene con que los que no son juristas no deben opinar sobre las leyes. En el contexto de regular tecnología... en el que ese mismo jurista se ve totalmente competente en "conocimientos y sabiduría" sobre el mundo tecnológico. Caballero, está usted errado y herrado xD

@patowc @elpady Completamente de acuerdo… pero no nos veo ganando miles de seguidores por enseñar los tobillos de manera descocada, no creo que llamase la atención🤣 Aunque claro, a saber tus tobillos… jajaja

@3grander @elpady El que pretenda negar que una imagen sexualizada no atrae la atención (tanto de hombres como de mujeres) no vive en el mundo real... La realidad te puede parecer bien o mal, pero sigue siendo la realidad xD

Enseñar axilas = x200 en tráfico. Axilas sí = 2.1M views Axilas no = 12k views Es para el algoritmo un signo de vulnerabilidad (o fetichismo, quién sabe) Imaginad el efecto de esto a escala y cómo influyen los algoritmos en lo que capta la atención.

@patowc @elpady Con este razonamiento, estamos a un paso y un movimiento con estilo de ser “boobinfluencers” 🤣🤣

@elpady Quiero pensar que tener tetas y moverlas con un gesto intencionado ayuda...

@patowc @bandaanchaeu La duda es… en esa lucha que tiene contra la libertad de expresión y los derechos fundamentales, ¿aplica sólo a nivel populacho o incluye también a las clases políticas? Porque luego ese anonimato y cifrado les permite a ellos ante los jueces usar el… “no sabía nada” 🤣🤣

Y aquí tenemos al Presidente del gobierno español posicionado en contra de la postura forma de la ONU sobre el cifrado y el anonimato: son esenciales para el libre ejercicio de la libertad de expresión y la defensa de los derechos fundamentales. Evidentemente, hay que LUCHAR CONTRA ESTA GENTE.

Pedro Sanchez fue a Davos a decir que X tiene que exigir KYC para abrir una cuenta "Propongo poner fin al anonimato en redes sociales"

@patowc @adsuara @rlimong @el_pais Calla calla… que nos ponen otro impuesto inter-generacional para crear cursos de formación que nivele el conocimiento 🤣🤣🤣

Vaya, ¿no sabía más el diablo por viejo que por diablo? ¿Y toda esa enorme sabiduría que los ancianos atesoran sentados en una silla mirando una pared durante décadas? ¡Oh, no! Dime que no van a ser topicazos y que el edadismo es otra forma de elitismo sin nada racional que lo sustente (xD)

¿Sabe distinguir un ‘deepfake’? 🤔 Un cuestionario para discernir una imagen real de otra artificial desvela mayores problemas con la edad - los jóvenes detectan el 80% de los casos - los mayores de 65 años aciertan sólo la mitad elpais.com/tecnologia/202… Por @rlimong en @el_pais

Denmark’s Military Intelligence (FE) warned officials to stop using Bluetooth headphones on duty due to eavesdropping risks, advising them to completely power off devices. This appears to be related to recent vulnerabilities in BT pairing. whisperpair.eu

@patowc La versión oculta de KDP del captcha de Google. Alguna IA estarán entrenando 🤣🤣

@3grander xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD es el puto KDP y su forma de marcar las edades xD

¡Hola, red! Acabo de publicar este libro sobre bootloaders en x86 y BIOS Legacy en Amazon: - Tapa dura: amazon.es/dp/B0GFNVSK5J - Versión Kindle: amazon.es/Jugando-bootlo… También tenéis el repositorio donde he ido añadiendo el fuente de pruebas y distintas cosas que he ido desarrollando para mi proceso de aprendizaje y que espero que os resulten útiles: github.com/juliusdeane/bo… Vaya por delante que no soy experto y que es un libro donde lo que he querido hacer es reflejar mi proceso de aprendizaje :) Estoy trabajando para publicar la semana que viene la segunda parte centrada en BIOS UEFI (x86). Y, en cuanto esté completado, me centraré en terminar el tercer tomo sobre ARM, MIPS, Arduino y otros. ¡GRACIAS!

El lado del mal - Balizas v16: Los árboles que no dejan ver el bosque elladodelmal.com/2026/01/baliza… #Iot #DGT #Balizas #Privacidad #GDPR

¡300 ejemplares vendidos de mi libro “Arquitectura de Seguridad y Patrones de Diseño Seguro” de @0xWORD! 🎉 Gracias a todos los que habéis leído, recomendado o regalado el libro 😊 Si aun no lo tienes: 0xword.com/es/libros/240-… #Cybersecurity #Architecture #DesignPatterns #IoT

An incredibly awful security vulnerability just got revealed in MongoDB. So much that it got named after HeartBleed. MongoBleed is a vulnerability affecting all MongoDB versions from 2017 to... today. The exploit is simple. It's a buffer over read bug due to compression. Here's how it works 👇 Clients can send compressed requests to MongoDB. The client helpfully includes the uncompressed size of the message so the server knows exactly how much memory to allocate when decompressing. The server allocates a memory buffer with the given space. Due to how memory management and garbage collection in programs work, this allocated memory may already contain sensitive information that was copied earlier and is considered garbage now (eg because it's unreferenced). This is technically fine - every computer program works that way because it is assumed that whatever unclaimed memory exists there will be overwritten. Unfortunately that’s exactly where the bug lies. 🙃 The server stupidly trusts the client’s provided uncompressed size. When a malicious client lies about the uncompressed size - e.g the actual decompressed size is 100 bytes, but the client says its 1MB - Mongo will treat the full 1MB block as the message. It will unload the 100 byte decompressed msg into the buffer, yet treat the full 1MB block as the msg. This is extremely problematic if you can get the server to return back parts of the 1MB block, because it could contain data you may not have access to. That is exactly what the exploit does - it sends a badly-formatted BSON message. The server fails to parse it, and "helpfully" returns an error message containing the invalid message. The invalid message can be that whole 1MB block of foreign data. To understand the exploit a bit better, you need to understand the MongoDB protocol. • Mongo also uses its own TCP wire format (i.e doesn't use HTTP, gRPC or the like). • BSON is Mongo's message format passed within the TCP wire format. BSON is basically JSON in binary form • Commands in Mongo don't have particular endpoints or RPC names - rather, they are simply JSON-like messages. The action is inferred from the first key of the JSON. For example, an insert request looks like this: `{ "insert": "users", "documents": [ { "name": "alice", "age": 30 } ] }` Every request to the server is therefore decoded into the BSON format as it’s parsed. Critically, BSON parsing of field names (which are strings) work by parsing the field until you hit a null terminator byte (0x00). It works exactly like strings in C, which have their own rich history of vulnerabilities. We can now tie things together: 1. The client lies to the the server that its request has a big uncompressed size, so the server allocates a large block of memory 2. The client sends an invalid BSON with a field which does NOT contain the null terminator (0x00) 3. The server naively tries to parse the BSON field in that allocated block until it hits the first null byte. The first null byte is encountered in some foreign data since the BSON literally doesn't have it 4. The server realizes this is a completely invalid BSON message so it responds with an error. 5. The error response contains the invalid BSON "field". Critically, the server parsed garbage data from the heap in step 3), so it returns that data in the response. Congrats. If the garbage contains passwords or other sensitive info, you’ve hacked MongoDB! Hackers exploit this by sending many malicious requests per second and then attempting to reconstruct the pieces of garbage they received back. What’s critical about this vulnerability is that it works on ANY internet-accessible unpatched instance of MongoDB. 💀 You don’t need to authenticate with the server, because this whole request/response parsing cycle happens before the server can even authenticate. Obviously you can’t authenticate a malformed request which doesn’t contain credentials - so that path of the code never gets executed. The server simply responds with an error response. It just so happens that this error response can contain sensitive data. 🤷‍♂️ Merry Christmas

Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers arxiv.org/abs/2411.11194