Paco Sepúlveda

Tu CI/CD también es “producción” para un atacante: un package.json con scripts de install puede intentar leer metadata services y exfiltrar credenciales temporales. Si tu pipeline tiene Internet libre y roles amplios, el impacto es inmediato. 🔗 https://t.co/9u6sdbAv0m

In serverless, “open by default” egress is the perfect channel for exfiltration or C2 if a function is compromised. Real defense starts by removing the route to the Internet and using VPC Endpoints with restrictive policies. 🔗 https://t.co/30xpjQOMPx

En serverless, el egress “abierto por defecto” es el canal perfecto para exfiltración o C2 si una función se compromete. La defensa real empieza quitando la ruta a Internet y usando VPC Endpoints con policies restrictivas. 🔗 https://t.co/huyAlRJrOL

The break-glass account is necessary when SSO/IdP fails. If it is used “for convenience,” it stops being a rescue and becomes a bypass: without attribution, without evidence, and with maximum privileges. 🔗 https://t.co/zSgqnAtIJw

La cuenta break-glass es necesaria cuando SSO/IdP falla. Si se usa “por comodidad”, deja de ser rescate y pasa a ser bypass: sin atribución, sin evidencias y con privilegios máximos. 🔗 https://t.co/Eu0Wa0lxi1

The biggest risk of SaaS is not always in the SaaS: it is in the integrations connected with OAuth, webhooks and tokens that nobody reviews. A “productivity” app with broad scopes can become persistent access to repos, chats and wikis. 🔗 https://t.co/SqwP807Dlx

El mayor riesgo de SaaS no siempre está en el SaaS: está en las integraciones conectadas con OAuth, webhooks y tokens que nadie revisa. Una app “de productividad” con scopes amplios puede convertirse en acceso persistente a repos, chats y wikis. 🔗 https://t.co/ly8bbRJqLO

Terraform helps standardize, but it is not security. As soon as someone changes an SG/IAM/route in the console, drift appears: the repo says one thing and the cloud another. If your control depends on “waiting for the next apply”, you already lost it. 🔗 https://t.co/Iz1YenfuWM

Terraform ayuda a estandarizar, pero no es seguridad. En cuanto alguien cambia un SG/IAM/ruta en la consola, aparece drift: el repo dice una cosa y la nube otra. Si tu control depende de “esperar al próximo apply”, ya lo perdiste. 🔗 https://t.co/0B8A6B5vJV

Cloud incident response plan (minimum viable): in the first 24h optimize for identity control + visibility. Contain reversibly, validate in logs, and avoid massive rotations without inventory. 🔗 https://t.co/jma8ApMHYW

Plan de respuesta a incidentes cloud (mínimo viable): en las primeras 24h optimiza por control de identidad + visibilidad. Contén de forma reversible, valida en logs y evita rotaciones masivas sin inventario. 🔗 https://t.co/zUPd8CqC5D

Cloud segmentation often fails due to combinations: broad routes + peering/hub without limits + degraded SG/NSG with “temporary exceptions”. Result: easy lateral movement from a weak environment to critical assets. 🔗 https://t.co/sgPXsXIAwR

La segmentación en cloud suele fallar por combinaciones: rutas amplias + peering/hub sin límites + SG/NSG degradados con “excepciones temporales”. Resultado: movimiento lateral fácil desde un entorno débil a activos críticos. 🔗 https://t.co/HXLdUtxfT0

Agentic C2 con Computer Use Agents cambia la defensa: menos “malware + IOC” y más control de identidad, sesiones y comportamiento en UI. La fricción útil está en entornos efímeros, egress con allowlist y credenciales de vida corta. 🔗 https://t.co/ZAoLFFGptS

Agentic C2 with Computer Use Agents changes defense: less “malware + IOC” and more control of identity, sessions, and UI behavior. Useful friction is in ephemeral environments, egress with an allowlist, and short-lived credentials. 🔗 https://t.co/uouLVnJQXr

Modern C2 no longer looks “malicious”: it uses APIs from legitimate cloud services as a mailbox for commands and results. The defense is not blocking domains, it is controlling identity, permissions, and egress with traceability. 🔗 https://t.co/vWTg4MJUvg

El C2 moderno ya no parece “malicioso”: usa APIs de servicios cloud legítimos como buzón de comandos y resultados. La defensa no es bloquear dominios, es controlar identidad, permisos y egress con trazabilidad. 🔗 https://t.co/YKqPUlnE2M

The OWASP Top 10 in cloud is not compliance: it is a map of repeated failures in production. If you don’t control IAM + the management plane, any mistake is replicated via IaC in minutes. 🔗 https://t.co/oF0hM2RbiL