Rafael Bucio 𝕏

@gnuowned @tpx_Security Se basaron en nosotros 🙈 !

Me puse a ver la de #laoficina y resulta que está en aguascalientes me pregunto si no es parodia @Bucio y @tpx_Security

Este año el evento reunirá pláticas y talleres técnicos de alto nivel, con enfoque en seguridad ofensiva, OSINT, explotación binaria, web hacking, hardware hacking, LLM security y detección para blue teams.

Llevo casi 10 años reclutando talento de ciberseguridad en México y quiero compartirles para construir mejor en ambos lados, empresas y candidatos. Estamos viendo perfiles de 22-23 años con 6-8 meses en su primer empleo pidiendo el doble de su sueldo actual para moverse. ¿Es ambición? Sí. ¿Está alineada con la realidad? No siempre. De esos 8 meses, 3 fueron inducción. Quedan 5 meses de operación real. ¿Cuántas veces ejecutaste ese proceso de respuesta a incidentes? ¿Cuántos análisis completaste de principio a fin? La experiencia no se mide en meses de nómina. Se mide en problemas resueltos. El patrón se repite: entras, te quedas 8-12 meses, saltas al siguiente empleo por más dinero. Y otra vez. Y otra vez. ¿El resultado? Un CV con muchos logos pero poco conocimiento afianzado. Difícilmente dominas algo si nunca te quedas lo suficiente para ver las consecuencias de tus decisiones. El salario en ciberseguridad es la consecuencia de tu desarrollo, no el fin. Y aquí va la parte incómoda para nosotros como empresas: también tenemos responsabilidad. Cuando inflamos títulos y posiciones para perfiles que aún están en desarrollo, les estamos vendiendo una imagen que no corresponde con su nivel real. Después se sorprenden cuando el mercado no valida esas expectativas. Un talento de 23 años no es un profesional con experiencia. Es una promesa con potencial enorme, si lo desarrollamos bien. Si estás arrancando en ciberseguridad, tres cosas que ojalá alguien me hubiera dicho antes: 1. Quédate lo suficiente para dominar, no solo para conocer. Dos años mínimo te dan ciclos completos de operación real. 2. Pregúntate: ¿estoy aprendiendo o solo estoy cobrando? Si la respuesta es "cobrando", el mercado te va a alcanzar. 3. Invierte en profundidad, no en velocidad. El profesional que resuelve problemas complejos nunca tiene que perseguir el dinero, el dinero lo persigue a él. La ciberseguridad necesita talento con urgencia. Pero necesita talento que se construya con base, no con prisa.

Me subí al tren, ahora PARAN*ID te avisa si hay alguien usando lentes inteligentes 🫣!! Esta app fue desarrollada para iOS, busco testers !! Y comentarios 🫰🏽 Gracias 🫡

Una auditoría técnica no se hace con fotos. Esto es complacencia visual. Pueden mostrarte exactamente lo que quieren que veas, no necesariamente cómo funciona el sistema bajo condiciones reales. Un sistema electoral puede tener decenas de miles de líneas y más si son 4 softwares interconectados. Pero sin posibilidad real de ejecutarlo, instrumentarlo, alterar entradas, forzar condiciones atípicas y analizar su comportamiento interno paso a paso, no es una auditoría, es una lectura pasiva u observación superficial. Y la lectura pasiva no detecta lógica condicionada, funciones que se activan por fecha, umbral o evento específico, ni modificaciones sutiles en algún algoritmo que alteren resultados sin ser evidentes a simple vista. Si existiera una manipulación, no estaría escrita de forma obvia, estaría diseñada para pasar desapercibida. El debido proceso exige documentación completa de cada uno de sus componentes funcionales, revisión exhaustiva de vulnerabilidades, puertas traseras y accesos arbitrarios más un mecanismo verificable que certifique que el mismo código auditado es el que se ejecuta o ejecutará en producción.

La verdadera prueba no es únicamente revisar el código, sino poder comprobar el día de elecciones que exactamente ese mismo software es el que está operando. Y también, ¿por qué no hacer pública la arquitectura de todo el sistema, incluyendo los hallazgos de la auditoría?

No puedo creer lo que dice Hoslander Sáenz, gerente de Informática de la Registraduría 🤯

Más información en hackeaconyess.com/xss

Si he ayudado a grandes compañías tecnológicas a fortalecer su ciberseguridad, ¿por qué no poner esa experiencia al servicio de Colombia? Ofrecí donar una auditoría independiente, sin costo para el país, en un año donde se invertirán más de $60.000 millones en auditorías tecnológicas. portafolio.co/economia/creci…

La democracia del siglo XXI se debe garantizar con ciberseguridad, ya que la transparencia electoral no debe ser confidencial, debe estar más abierta a la ciudadanía.

Estonia tiene el código abierto de su sistema electoral, permitiendo revisión pública. Cualquier ciudadano puede auditarlo, analizarlo y cuestionarlo. Eso fortalece la seguridad y la transparencia en sistemas que ayudan a definir el rumbo de un país. Si un sistema tecnológico influye en su futuro, toda su infraestructura, incluido el código, debe poder revisarse.

Grande @jofpin

🔥💪🏽

#OperacionesGC | Detenidos los cuatro principales integrantes del grupo hacktivista ‘Anonymous Fénix’ por ciberataques contra organismos públicos. ▶️ Atacaban webs de Ministerios, partidos políticos e instituciones públicas. Se autodenominaban parte del grupo hacker internacional ‘Anonymous’ ▶️ Alcanzaron su punto de máxima actividad a partir de la #DANA de 2024 cuando atacaron varias webs de la Administración Pública justificando que eran “los responsables de la tragedia” ▶️ En mayo del año pasado fueron detenidos el administrador y moderador del grupo en Alcalá de Henares #Madrid y Oviedo #Asturias. Hace unos días han sido detenidos sus dos integrantes más activos en Ibiza y Móstoles (Madrid) 🔗web.guardiacivil.es/es/destacados/…

🤣

Investigadores revelaron una campaña denominada ClickFix que estaría utilizando sitios web legítimos previamente comprometidos para distribuir el malware MIMICRAT (también conocido como AstarionRAT). El esquema, atribuido a infraestructura compartida con otras operaciones similares, emplea cadenas multi-etapa en PowerShell, técnicas de evasión de ETW y AMSI, y entrega final mediante carga en memoria, con comunicación cifrada vía HTTPS hacia servidores C2. La operación, supuestamente activa en múltiples regiones e industrias, tendría como objetivo final el despliegue de ransomware o la exfiltración de datos.

La divulgación de vulneraciones se ha vuelto fuente de click bait. Cómo propongo cambiar el enfoque, no para restar responsabilidad, sino para proteger a la gente. cronica.com.mx/jalisco/column…

🚨 ÚLTIMA LLAMADA: CALL FOR PAPERS CIERRA EL 18 DE FEBRERO 🚨 En un día se cierra la convocatoria para formar parte del evento de ciberseguridad más esperado del Caribe. Si lideras proyectos, investigas amenazas emergentes o desarrollas soluciones innovadoras, esta es tu oportunidad de compartir tu experiencia con una comunidad que impulsa la estrategia y la protección digital. 🌐🔐 Sé parte del programa oficial, conecta con expertos y deja tu huella en Tropicon 2026. #Tropicon2026 #CallForPapers #Cybersecurity #CaribbeanTech

¿Sabías que hay bancos en México que cuando pierden un juicio, simplemente deciden no pagar? @banamex. Una mujer de 90 años perdió sus ahorros de toda la vida por transferencias no autorizadas. Demandamos. Ganamos. El banco perdió. Y ahora se niega a cumplir la sentencia. drive.google.com/file/d/1JoBuO4… Adjunto la sentencia pública. Abro hilo. 🧵

La versión free de PARAN*ID, te notifica cuando tu correo está expuesto en alguna alguna brecha 😎!! Esta app se desarrolló pensando en la seguridad física y digital, pronto tendremos un update para aquellos que quieran conectar sus juguetes 🫰🏽! Solo disponible en iOS 🫣!