cibersecblog

PyRIT UI: La interfaz que Microsoft no construyó para el red teaming con IA

Sat, 13 Jun 2026 20:59:58 +0000

Microsoft lanzó PyRIT (Python Risk Identification Toolkit) como la herramienta para el red teaming de sistemas de IA. Es más, es la que usan a día de hoy , bastantee potente, está bien documentada y se integra con Azure AI Foundry. Pero tiene un problema fundamental que me he encontrado: no tiene interfaz gráfica (bueno , si tiene pero solo para ataques manuales).

Si has trabajado con PyRIT, conoces el flujo: scripts Python, output en terminal, resultados en JSON que hay que parsear manualmente. Al final para un security architect que necesita documentar, compartir resultados con el equipo o justificar resultados , esto no es suficiente.

AI Red Teaming con Promptfoo en Azure

Wed, 10 Jun 2026 16:30:00 +0000

Despliegue en Container Apps (Parte 1)

En este post desplegamos Promptfoo sobre Azure Container Apps desde cero junto con la la gestión segura de credenciales con Key Vault y managed identity, y la configuración de persistencia con Azure File Share para que los resultados de las campañas no se pierdan entre sesiones.

Arquitectura

Antes de empezar con los comandos, vamos a ver la arquitectura de lo que vamos a construir:

AI Red Teaming Lab — Parte 4

Tue, 09 Jun 2026 16:00:00 +0000

Desplegar CoPyRIT en Azure Container Apps

Objetivo

Tenemos la imagen de CoPyRIT en Azure Container Registry. En este post la desplegamos en Azure Container Apps, configuramos la managed identity para el pull de imágenes, pasamos las credenciales de Azure OpenAI al contenedor, y verificamos que CoPyRIT arranca y es accesible desde el navegador.

Sobre la autenticación: Entra ID vs lab simplificado

El template Bicep oficial de PyRIT (infra/main.bicep) implementa autenticación completa con Entra ID usando MSAL y PKCE el frontend autentica usuarios contra Azure AD, el backend valida JWTs. Es la arquitectura correcta para un despliegue en equipo o en producción.

AI Red Teaming Lab — Parte 3

Mon, 08 Jun 2026 16:30:00 +0000

Build de CoPyRIT y push al Container Registry

Objetivo

En el post anterior construimos la base de infraestructura: Resource Group, Azure Container Registry y Azure OpenAI con GPT-4o desplegado y verificado. En este post tomamos el código de PyRIT, construimos la imagen Docker de CoPyRIT y la subimos al ACR.

Al final de este post tendremos:

Docker Engine instalado y funcionando en WSL2
El repositorio de PyRIT clonado y analizado
La imagen de CoPyRIT construida localmente (pyrit:latest)
La imagen publicada en tu Azure Container Registry, lista para el despliegue del Post 4

WSL2 en lugar de Docker Desktop

Antes de entrar en materia, una nota sobre la decisión de entorno que tomamos en este lab.

AI Red Teaming Lab — Parte 2

Mon, 08 Jun 2026 06:19:14 +0000

Dónde estamos

En el post anterior definimos la arquitectura completa del lab: CoPyRIT corriendo en Azure Container Apps, con Azure OpenAI como target, protegido por Entra ID. En este post construimos la base: el Resource Group, el Azure Container Registry, y el recurso de Azure OpenAI con GPT-4o desplegado.

Al final de este post tendremos configurado:

Un Resource Group aislado para todo el lab
Un Azure Container Registry listo para recibir la imagen de CoPyRIT
Un endpoint de Azure OpenAI con GPT-4o desplegado y verificado
Las credenciales necesarias guardadas de forma segura para los posts siguientes

Por donde empezamos

Antes de tocar código o Docker, tenemos que tener clara la base de infraestructura. Hay una razón concreta para hacerlo en este orden: Azure OpenAI tiene restricciones de cuota y disponibilidad por región , recomendamos que estén en sweden central ya que en esta región es donde llegan todas las novedades a europa antes que a cualquier otra región.

AI Red Teaming Lab — Parte 1

Sun, 07 Jun 2026 12:58:00 +0000

Qué es PyRIT, por qué importa y qué vamos a construir

Introducción: el problema que PyRIT intenta resolver

Cuando queremos evaluar una aplicación web tradicional, el proceso mental que tenemos es: mapeas la superficie de ataque, identificas endpoints, buscas inyecciones, pruebas autenticación, revisas configuración etc… Hay metodologías consolidadas (OWASP, PTES), herramientas maduras (Burp Suite, Nmap, Metasploit) y un modelo mental claro de qué es una vulnerabilidad y cómo se explota.

Agentes de IA para noobs sin presupuesto: Noticias/Papers/Threat intel

Sun, 26 Apr 2026 18:55:25 +0000

3 agentes de IA en GitHub Actions sin coste de ejecución

Buenasssss . Como muchos sabéis, llevo un tiempo enfocando mi día a día en la cibers orientada a IA , al final toca seguir estudiando como todos sabéis y una de las cosas que más tiempo me consume es estar al tanto del panorama: nuevos CVEs en librerías de IA, papers de prompt injection, incidentes en prensa, regulación que cambia cada semana…

Agentes Locales: Desplegando LLMs en tu propio Sandbox con Ollama

Tue, 17 Mar 2026 14:46:15 +0000

LLM EN LOCAL

¡Hola a todos! Bienvenidos de nuevo al blog. Hoy vamos hablar de una tendencia que está cambiando las reglas del juego en nuestros laboratorios y entornos de operaciones: la IA Generativa local.

Si trabajas en seguridad, sabes que enviar datos sensibles a una API externa (como las de OpenAI o Anthropic) es un riesgo que no siempre podemos asumir. Aquí es donde entra Ollama.

Agentes Locales: Desplegando LLMs en tu propio “Sandbox” con Ollama

En el mundo de la ciberseguridad, la privacidad y el control de los datos son sagrados. Usar modelos de lenguaje (LLMs) para analizar logs, explicar vulnerabilidades o generar scripts de pentesting es increíblemente útil, pero ¿a qué coste para nuestra privacidad?

[Windows Logs] Event Tracing for Windows

Tue, 19 Nov 2024 13:04:54 +0000

¿Qué es el Event Tracing for Windows?

Según Microsoft, Event Tracing For Windows (ETW) o en español Seguimiento de eventos para Windows (ETW) proporciona un mecanismo para realizar un seguimiento y registrar eventos generados por aplicaciones en modo de usuario y controladores en modo kernel.

ETW, que funciona como un mecanismo de rastreo de eventos más en profundidad está ya integrado en el sistema operativo Windows , con esto , realmennte tenemos una a una oportunidad para reforzar toda la información que podamos recolectar en un incidente de seguridad por ejemplo , o en ciertas capacidades de defensa.

Creando entorno para analizar malware

Fri, 08 Nov 2024 09:28:57 +0000

Cuándo queremos analizar malware podemos hacerlo normalmente desde cualquier sandbox “online” tales como JoeSandbox , Any.run etc.. , no obstante vamos a ver como configurarnos un entorno en máquinas virtuales , el cuál estará totalmente aislado y seguro para que nuestro host principal esté seguro.

Esto forma parte de mis notas del curso PMAT de Matt Kiely que puedes encontrar en TCM Academy.

Vamos a ver que necesitamos realmente como requisitos para poder montar este laboratorio:

Registro de Windows

Tue, 05 Mar 2024 13:55:03 +0000

El objetivo principal es entender un poco más a fondo la importancia y la cantidad de información a la hora de realizar Troubleshooting o recabar información sobre posible sistema Windows comprometido haciendo uso del registro de Windows.

Hoy en día la mayoría de los administradores y analistas forenses tiramos siempre de la analítica que nos proporcionan las herramientas de detección tales como el EDR, no obstante , conviene saber ciertos aspectos básicos del Registro de Windows a la hora de tratar con posibles amenazas tanto Malware como Ransomware .

Unquoted Service Paths (LAB TryHackme bonus)

Sat, 06 May 2023 20:20:26 +0000

Unquoted Service Paths , ¿Qué significa esto?

Los servicios de Windows necesitan la ruta donde se encuentra el ejecutable que va a ser ejecutado por el servicio en sí. Esta ruta puede determinarse mediante la variable de clave binPath/ImagePath del registro y suele estar entrecomillada, lo que permite a Windows localizar la ruta o ubicación del ejecutable, por poner un símil . La siguiente ruta es un ejemplo de una ruta de servicio sin errores:

Entendiendo el funcionamiento de LSASS y LSAIso (Credential Guard)

Fri, 28 Apr 2023 19:28:49 +0000

En este post vamos a ver a más bajo nivel como funcionan estos procesos que intervienen en el proceso de virtualización de Credential Guard que nació con el fin de evitar el volcado de memoria para la extracción de hashes con herramientas como mimikatz.

LSASS y LSAIso

Bien, como habíamos comentado , LSASS y LSAIso se comunican entre sí a través de ALPC y RPC (Explicado en el anterior post).

Credential Guard, ¿Qué es? ¿Cómo funciona?

Mon, 24 Apr 2023 15:15:00 +0000

Durante este fin de semana, he estado “trasetando” un poco sobre los temarios que hemos dado en el curso de la III Edición : Curso ciberseguridad Windows con kinomakino , hemos visto en los post anteriores por ejemplo como bypassear amsi , como ejecutar mimikatz , ahora vamos a ver la característica de Credential Guard que tiene también que ver con todo esto , la que , si no nos hemos percatado , viene habilitada por defecto en Win 11, vamos a ello!!

La memoria de las contraseñas - Mimikatz

Fri, 21 Apr 2023 18:00:09 +0000

Mimikatz es una aplicación de código abierto escrita en el lenguaje C por Benjamin Delpy. Sus principales funciones son extraer contraseñas en texto plano,hashes ntlm y la generación detickets de Kerberos.

Está disponible en el repositorio github de gentilkiwi .

Funcionamiento

Mimikatz utiliza la característica de Windows de Inicio de Sesión Único (Single Sign-ON) Hasta la versión 10 de windows, por defecto utilizaba una función llamada WDigest, el cuál es un viejo protocolo de autenticación cuyo uso causaba guardar las credenciales en memoria en texto plano, esto quiere decir que ni siquiera se presentaban formato de hash dentro del proceso LSASS.

AMSI una capa que no vemos

Tue, 18 Apr 2023 05:37:13 +0000

Hoy vamos a hablar acerca de una capa de seguridad por defecto que viene a partir de Windows 10.

Básicamente es una capa la cuál uno de sus objetivos es detectar lo que “no toca disco”. Como hemos comentado , se introdujo en Windows 10 y trata de establecer un canal de comunicación nativo del sistema operativo que “pase por un antivirus” (aunque ni por asomo) sin necesidad de “hookear” en la parte de disco, llamadas I/O, etc.

Decider - nueva herramienta de CISA con MITRE

Thu, 23 Mar 2023 21:07:02 +0000

¿Qué es “DECIDER”?

Decider es una herramienta gratuita para ayudar a la comunidad de ciberseguridad a mapear el comportamiento de los actores de amenazas con el marco ATT&CK de MITRE. Creada en colaboración con el Homeland Security Systems Engineering and Development Institute™ (HSSEDI) y MITRE.

Decider ayuda a que el mapeo sea rápido y preciso a través de preguntas guiadas, una potente función de búsqueda, filtrado que permite a los usuarios exportar los resultados a formatos de uso común.

Estandar de conexión OSI

Wed, 22 Feb 2023 20:44:36 +0000

Los sistemas de comunicación utilizan formatos bien definidos (protocolo) para intercambiar mensajes.

Cada mensaje tiene un significado exacto destinado a obtener una respuesta de un rango de posibles respuestas predeterminadas para esa situación en particular. Normalmente, el comportamiento especificado es independiente de cómo se va a implementar.

Los protocolos de comunicación tienen que estar acordados por las partes involucradas. Para llegar a dicho acuerdo, un protocolo puede ser desarrollado dentro de estándar técnico.

Sobre mí

Mon, 01 Jan 0001 00:00:00 +0000

Profesional de ciberseguridad especializado en AI Red Teaming, seguridad de agentes y el stack de seguridad de Microsoft. Trabajo protegiendo un entorno de 3.000 usuarios con Microsoft 365 E5, combinando arquitectura de seguridad con trabajo técnico hands-on. Aquí comparto mis labs, herramientas y aprendizajes.