Rafael Bucio 𝕏

@josedlujan @uaa_mx Estaría cool, ayudarles gratis 👌🏽

Ayudales @Bucio jaja caadiccsh.uaa.mx @uaa_mx

Latam siendo Latam… Ahora nos toca voltear a ver a @jofpin ! No estás solo 👌🏽!

1337 Demogorgon | by @Bucio | #daily31337 tmblr.co/ZA2zFsjI0ug3qu…

@ioannadenisova4 Надеюсь скоро вернуться, куплю себе аутфит от Adidas и выучу позу! 😄 gracias !

Мы с моим другом знакомы уже почти 10 лет, и он наконец-то прилетел в Москву! Это очень круто, когда у тебя есть друзья на другом конце земного шара. Посвятила его в русский лор, показала музей космонавтики и атом. Будем ждать тебя в гости снова!

@ioannadenisova4 Я очень рад! ✨

В Москву прилетел мой друг @Bucio из Мексики 🫶 на завтра назначена дипломатическая встреча с пивком и просмотром ВДНХ. Друзья, что помимо павильона Космос показать? Кто недавно там был, какие ещё выставки проходят интересные?

Que bugsote se traía iOS / Apple con el almacenamiento temporal de datos/archivos ! Pero fue rápido el update de hoy.

Aumenta la productividad, y como todo: Limitar alcance, Verificar resultados. Y sobre todo…. Analizar que hay detrás de lo que corres 🙈

@gnuowned @tpx_Security Se basaron en nosotros 🙈 !

Me puse a ver la de #laoficina y resulta que está en aguascalientes me pregunto si no es parodia @Bucio y @tpx_Security

Este año el evento reunirá pláticas y talleres técnicos de alto nivel, con enfoque en seguridad ofensiva, OSINT, explotación binaria, web hacking, hardware hacking, LLM security y detección para blue teams.

Llevo casi 10 años reclutando talento de ciberseguridad en México y quiero compartirles para construir mejor en ambos lados, empresas y candidatos. Estamos viendo perfiles de 22-23 años con 6-8 meses en su primer empleo pidiendo el doble de su sueldo actual para moverse. ¿Es ambición? Sí. ¿Está alineada con la realidad? No siempre. De esos 8 meses, 3 fueron inducción. Quedan 5 meses de operación real. ¿Cuántas veces ejecutaste ese proceso de respuesta a incidentes? ¿Cuántos análisis completaste de principio a fin? La experiencia no se mide en meses de nómina. Se mide en problemas resueltos. El patrón se repite: entras, te quedas 8-12 meses, saltas al siguiente empleo por más dinero. Y otra vez. Y otra vez. ¿El resultado? Un CV con muchos logos pero poco conocimiento afianzado. Difícilmente dominas algo si nunca te quedas lo suficiente para ver las consecuencias de tus decisiones. El salario en ciberseguridad es la consecuencia de tu desarrollo, no el fin. Y aquí va la parte incómoda para nosotros como empresas: también tenemos responsabilidad. Cuando inflamos títulos y posiciones para perfiles que aún están en desarrollo, les estamos vendiendo una imagen que no corresponde con su nivel real. Después se sorprenden cuando el mercado no valida esas expectativas. Un talento de 23 años no es un profesional con experiencia. Es una promesa con potencial enorme, si lo desarrollamos bien. Si estás arrancando en ciberseguridad, tres cosas que ojalá alguien me hubiera dicho antes: 1. Quédate lo suficiente para dominar, no solo para conocer. Dos años mínimo te dan ciclos completos de operación real. 2. Pregúntate: ¿estoy aprendiendo o solo estoy cobrando? Si la respuesta es "cobrando", el mercado te va a alcanzar. 3. Invierte en profundidad, no en velocidad. El profesional que resuelve problemas complejos nunca tiene que perseguir el dinero, el dinero lo persigue a él. La ciberseguridad necesita talento con urgencia. Pero necesita talento que se construya con base, no con prisa.

Me subí al tren, ahora PARAN*ID te avisa si hay alguien usando lentes inteligentes 🫣!! Esta app fue desarrollada para iOS, busco testers !! Y comentarios 🫰🏽 Gracias 🫡

Una auditoría técnica no se hace con fotos. Esto es complacencia visual. Pueden mostrarte exactamente lo que quieren que veas, no necesariamente cómo funciona el sistema bajo condiciones reales. Un sistema electoral puede tener decenas de miles de líneas y más si son 4 softwares interconectados. Pero sin posibilidad real de ejecutarlo, instrumentarlo, alterar entradas, forzar condiciones atípicas y analizar su comportamiento interno paso a paso, no es una auditoría, es una lectura pasiva u observación superficial. Y la lectura pasiva no detecta lógica condicionada, funciones que se activan por fecha, umbral o evento específico, ni modificaciones sutiles en algún algoritmo que alteren resultados sin ser evidentes a simple vista. Si existiera una manipulación, no estaría escrita de forma obvia, estaría diseñada para pasar desapercibida. El debido proceso exige documentación completa de cada uno de sus componentes funcionales, revisión exhaustiva de vulnerabilidades, puertas traseras y accesos arbitrarios más un mecanismo verificable que certifique que el mismo código auditado es el que se ejecuta o ejecutará en producción.

La verdadera prueba no es únicamente revisar el código, sino poder comprobar el día de elecciones que exactamente ese mismo software es el que está operando. Y también, ¿por qué no hacer pública la arquitectura de todo el sistema, incluyendo los hallazgos de la auditoría?

No puedo creer lo que dice Hoslander Sáenz, gerente de Informática de la Registraduría 🤯

Más información en hackeaconyess.com/xss

Si he ayudado a grandes compañías tecnológicas a fortalecer su ciberseguridad, ¿por qué no poner esa experiencia al servicio de Colombia? Ofrecí donar una auditoría independiente, sin costo para el país, en un año donde se invertirán más de $60.000 millones en auditorías tecnológicas. portafolio.co/economia/creci…

La democracia del siglo XXI se debe garantizar con ciberseguridad, ya que la transparencia electoral no debe ser confidencial, debe estar más abierta a la ciudadanía.

Estonia tiene el código abierto de su sistema electoral, permitiendo revisión pública. Cualquier ciudadano puede auditarlo, analizarlo y cuestionarlo. Eso fortalece la seguridad y la transparencia en sistemas que ayudan a definir el rumbo de un país. Si un sistema tecnológico influye en su futuro, toda su infraestructura, incluido el código, debe poder revisarse.

Grande @jofpin

🔥💪🏽