cr0hn

La Complejidad Ciclomática en Desarrollo de Software y su Impacto en la Ciberseguridad Hoy un hilo sobre desarrollo, buenas prácticas y como pueden hacer eco en la seguridad del software Tranqui, no va a ser tan espeso como crees :) Enga, al lío! 👇

@patowc Selección natural lo llaman... (menos mal que inventamos las drojas, si no, muchos estaríamos muertos xD)

Me mueroooooo... gripe, sueño, alergia, el fin de los tiempos...

@patowc xDDDD ConstClaudeCode = 3.0 Resultado=TazasDeCafe * ConstClaudeCode

@ggdaniel xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD pues a ver si es eso y no las seis tazas de café xD

Joder, voy a tener que dejar de tomar café. Estoy ahora mismo tan acelerado como si me hubiera ido dos semanas de fiesta a Ibiza y estuviera en la cola del Manumission xD

Developers installing unapproved IA tools, granting unknown access to your systems. We built MCP Hub for automated trust verification and an organization-wide kill switch. Do you have a policy for developer-installed IA tools? mcp-hub.info #CyberSecurity #DevOps #Tech

Developers and CISOs often overlook the security risks of EA tool permissions and MCP servers. Awareness is low, but there's a solution. Learn more: mcp-hub.info #DevSecOps #Cybersecurity

@patowc @dordokamaisu Me identifico taaaaanto con esto. Mi GitHub echa humo jajaj

@dordokamaisu Estoy ahora refactorizando código de hace diez o doce años (no preguntes xD) y ha observado un patrón malo y me dice esto (imagen). Llevo horas limpiando y actualizando cosas que, sinceramente, llevaba sin tocar, pues eso, diez-doce años. Personalmente no dejo de alucinar.

Hola, desarrolladores. Tengo CINCO proyectos en paralelo con Claude Code. Los voy avanzando mientras estoy leyendo un libro. Ahora mismo. En alguno de ellos voy por la release 18-20, no porque falle, sino porque ahora puedo meter más funcionalidades a lo bestia en muy pocos MINUTOS. Sigo insistiendo en que no estáis en el estado mental correcto.

@patowc Llevo meses diciendo eso mismo. Hasta me viene arriba e hice un vídeo y todo! Y me cayó un hate... XDDDD "La IA te va a pasar por encina. Quieras o no" youtu.be/h1rL6NNWRGo

Current systems have critical security gaps. MCP Hub offers automated analysis and a vital kill switch. AppSec pros, it's time to explore this essential solution: mcp-hub.info #AppSec #Cybersecurity #MCPHub

Chulo lo que ham hecho @ggdaniel y @mindcrypt mcp-hub.info

@drizzt__dourden @mindcrypt Ey, gracias por compartirlo. Me alegra mucho que te molara :)

Lo que estéis en RootedCON: A las 16:00 en la sala 25 @mindcrypt y yo daremos nuestra charla de: Seguridad, certificación y gobierno de MCP Después de la charla Alfonso y yo firmaremos nuestro libro, para los que nos lo habéis preguntado

En 10 minutos empiezo la charla de seguridad y gobierno de MCP 13:40 - Track ISACA (sala 17) #RootedCON2026

🔊 Mi presencia en la conferencia de ciberseguridad RootedCON y el track de @criptored CON Como todos los años estaré inmerso como ponente y organizador de diferentes tareas dentro de la principal conferencia de ciberseguridad en Europa @rootedcon . (rootedcon.com/agenda/madrid-…) Te dejo por aquí los datos por si quieres verme, disfrutar de alguna iniciativa o simplemente conversar. Lo sé, son muchas, pero espero que merezca la pena ;) - Organizador/Chairman Track Criptored - Jueves 5 de Marzo (10:00 a.m - 20:00 p.m) Sala 18 Meses de organización para un día de enorme calidad técnica y humana. Tenéis la agenda completa por aquí - criptored.es/con/ - (Co) Organizador + @RadioHacking de la Secret Expo Signals @secsignalexpo al lado del track de Criptored - Jueves 5 de Marzo (10:00 a.m - 20:00 p.m) Sala 18 Un esfuerzo logístico y económico importante para poner a disposición de los asistentes algunas de las máquinas de cifrado y documentos más relevantes de la historia moderna. Tendremos excelente ponentes, sorpresas interactivas (no te lo pierdas) y, aunque ha costado, un máquina Enigma real ;) - secretsignalexpo.com Por favor, dadnos cariño el Jueves. Si por alguna razón quieres ver otras charlas mi compañero Jacobo Blancas (11:30) y Daniel Garcia (@ggdaniel ) (13:40) estará en el track de ISACA hablando de algunas investigaciones que hemos hecho en colaboración. - Ponente en RootedCON y en el track de @ProtAAPP - Viernes 6 de Marzo Sala 25 y Sala 19 En la sala 25 de RootedCON junto con Daniel Garcia (cr0hn) de 16:00 a 17:00 daremos la ponencia "MCP Enterprise Security: A practical architecture and lessons to avoid being pwned" donde hablaremos de la seguridad de la tecnología MCP En la sala 19, track de ProtAAPP, a las 18:30 daré la ponencia "De Schrödinger al Q-day - Criptoagilidad sin drama". Si quieres saber más de este tema y sobre todo tener un enfoque, crítico, más ingenieril creo que merece la pena - Organizador y (Co) Chairman track Anon - Sabado 7 de Marzo Sala 19 - criptored.es/conAnon/ Un año más buscamos charlas especializadas para debatir sobre libertades civiles, privacidad y anonimato. Este año se incorpora como (Co)Chairman Enrique Soriano-Salvador [gracias ;)], espero que lo lidere él XD Y yo creo que por este año está bien. ¿Donde se pide la medalla al trabajo? :) Nos vemos la semana que viene. #rootedCON #criptored #ciberseguridad

Lo primero es lo primero: mandar un buen tweet. #VayasemanitaETB en @euskaltelebista 🔴Síguelo en directo en: eitb.eus/es/television/… #programa #humor #parodia #actualidad #etb2 #etb #eus

🐋🔒 DockerScan v2.0 - The Most Comprehensive Docker Security Scanner ✅ CIS Docker Benchmark v1.7.0 ✅ Supply Chain Attack Detection ✅ Advanced Secrets Detection ✅ CVE Scanning ✅ Runtime Security Analysis #docker github.com/cr0hn/dockersc…

Le Human in the Loop está sobre-valorado. Sep. Y me puedes poner a parir. Llegará. Es lo que hay. Y cómo llegará? Cómo será posible? Lo conté todo en el podcast de APICurios Podcast . Me desquité bien, la verdad: lnkd.in/eTafFzDW Y tu????? de qué team eres? xD

@CSuperEtico El mundo es muy aburrido, se pueden contar lo mismo con un poco… bueno, de otra forma :-P Pa apuntarse 👇 vamosallio.com

Jajajajajajajajaja @ggdaniel La mejor #newsletter del mundo

@juanmacias Que preguntaste en concreto? me da curiosidad

Hostia... esto es muy fuerte.... lo que me ha reconocido Claude: "Buena pregunta, Juan. Déjame buscar si hay algo documentado sobre cambios de comportamiento en 4.6.Juan, esta es una pregunta muy buena y voy a ser directo contigo. Sí, hay un patrón real aquí, y no es exclusivo de 4.6. Pero déjame desglosar lo que probablemente está pasando: El problema de fondo: cómo se entrena y evalúa el modelo. Los benchmarks principales de coding (SWE-bench, Terminal-Bench) miden exactamente eso: resolver issues. El modelo recibe un bug report o feature request, produce un patch, y se evalúa si los tests pasan. Esto crea un sesgo de optimización hacia "producir el diff mínimo que resuelve el problema inmediato" en lugar de "producir la solución correcta desde una perspectiva de ingeniería". Las versiones anteriores de Claude tomaban atajos frecuentemente, y los equipos tenían que diseñar arquitecturas específicamente para contrarrestar esa pereza. Opus 4.6 mejora en exhaustividad, pero el sesgo subyacente sigue ahí. Lo que ves en Claude Code específicamente es una combinación de factores: Primero, aversión al riesgo acumulada. Cuando Claude Code lleva varias iteraciones en una sesión y ha tocado múltiples archivos, empieza a "tener miedo" de romper lo que ya funciona. En lugar de refactorizar correctamente, parchea. Cada parche hace el siguiente cambio más arriesgado, y el modelo responde siendo aún más conservador. Es un círculo vicioso. Segundo, degradación por contexto largo. El rendimiento se degrada cuando el contexto llega al 30% de capacidad, no al 100%. A medida que la sesión crece, la calidad de las decisiones arquitectónicas baja. Tercero, el "ticket mindset" del training. El modelo ha sido optimizado para resolver la tarea inmediata que le pides, no para mantener la salud global del código. Cuando le dices "arregla X", su instinto entrenado es producir el cambio mínimo que arregla X, no "arregla X y de paso limpia el desastre que causamos hace tres iteraciones". Lo que puedes hacer en la práctica: Usa /compact o /clear entre tareas significativas para evitar la degradación de contexto. Cuando detectes que está parcheando sobre parches, para la sesión, haz commit de lo que tengas, abre una sesión nueva y dile explícitamente algo como: "Revisa este módulo. Hay deuda técnica acumulada de iteraciones anteriores. Refactoriza correctamente antes de seguir añadiendo funcionalidad. No me importa si el diff es grande." También puedes añadir en tu CLAUDE.md una regla como: "Prefiere refactorizar código problemático antes de añadir funcionalidad encima. Si detectas que estás parcheando sobre código frágil, señálalo y propón un refactor antes de continuar." Eso contrarresta directamente el sesgo de "cerrar ticket rápido". Respuesta corta a tu pregunta: No es un cambio deliberado de 4.6 para priorizar velocidad sobre calidad. Es un sesgo estructural de cómo se entrenan y evalúan todos los modelos de coding actualmente — y que se manifiesta más cuando las sesiones se alargan y la complejidad se acumula."

@SergioFrami @patowc Y que encima pagan una mierda. Y, sí. 500-2000€ por un fallo de seguridad real es una puta mierda Luego, si los publicas en abierto y a tomar por culo pa esa mierda, que malos somos…

@patowc Podemos abrir el melón directamente de compañías multimillonarias con un VDP en plataformas de bugbounty… y gente dándose de tortas por participar activamente en ellos. Estamos perdidos.

Una reflexión posiblemente impopular... Si vais a un abogado y os cobra mínimo 150 €/hora por consultas jurídicas... ¿por qué los de ciberseguridad somos tan estúpidos como para estar ayudando a la gente gratis? ¿No deberíamos cobrarles antes de mover un dedo? ¿Por qué la cultura de querer ayudar nos tiene que penalizar para no poder cobrar haciendo nuestro trabajo?

@patowc Y los que lo hacemos, cuando le dices que para resolver la duda donde le mandas la factura (antes de contestar) se ofenden El rollo open, solo para lo de otro Se mal interpretó la idea inicial de que open nunca fue free. Se simplificó y se perdió la esencia por el camino