Tras el parón por la pandemia, la conferencia de ciberseguridad RootedCon Valencia ha regresado al calendario de eventos del sector, con más fuerza aún que antes. Se celebró el pasado 24 de septiembre y Tecnología y Sentido Común estuvo allí.
Rooted es una asociación sin ánimo de lucro, dirigida a entusiastas de la seguridad de los sistemas de información y a los mecanismos para comprobarla, lo que en el argot se denomina pentesting. Esta asociación organiza eventos (o ‘Cons’) para reunir a los interesados en el tema, y comenzó organizando uno anual en Madrid en 2010, y en 2015 comenzaron a organizar también uno en Valencia para, en 2021, organizar su primera edición en Málaga. Los eventos RootedCon se caracterizan por ser eventos muy técnicos pero desenfadados, donde la participación de los asistentes es un hecho, y a los que suele preceder una jornada de diferentes formaciones en aspectos muy concretos, que cuentan con un elenco de docentes de primerísimo nivel del sector.
La edición de este año de Valencia se celebró el pasado 24 de septiembre en el Museo de las Ciencias de la Ciudad de las Artes y las Ciencias de Valencia, y fiel a su cita desde prácticamente la primera temporada, Tecnología y Sentido Común asistió al evento para trasladar a sus lectores lo más relevante del mismo.
El evento se inició con unas palabras de Román Ramírez, histórico fundador de la asociación, y para algunos, “el mejor hacker de España”. Román dio la bienvenida a los asistentes, y les trasladó una reflexión vehemente sobre la supuesta escasez de talento en ciberseguridad, los (bajos) niveles salariales actuales del sector, pese a esa supuesta escasez, y las facilidades que el trabajo full remote pueden dar a los profesionales de la materia para ejercer sus funciones en empresas de cualquier parte del globo que sí puedan pagar los salarios que estos profesionales merecen.
En la primera charla de la jornada, a cargo de Jorge ‘Testa’ Jiménez, y titulada “Threat Congnitive. La verdad”, el ponente calificó el statu quo del riesgo actual como ingobernable, y mostró algunos datos relevantes, tales como que en la empresa en la que presta sus servicios han identificado a más de 370 actores maliciosos estables, de los cuales atribuyen unos 90 a grupos patrocinados o respaldados de alguna manera por diferentes gobiernos extranjeros. Jorge centró su charla en explicar el mecanismo Threat Cognitive que han implantado en su organización para gestionar el conocimiento de sus áreas (o ‘tribus’ como se autodenominan) de inteligencias, búsqueda (hunting) y analítica de amenazas, todo orientado a mejorar la seguridad de sus clientes. Otro interesante dato que facilitó fue que, como resultado de esta iniciativa, habían podido colegir que existe una cierta tendencia a ‘segmentar’ los objetivos de los diferentes grupos de adversarios, y donde los grupos rusos estaban más orientados hacia el objetivo monetario rápido (ransomware, por ejemplo), mientras que los grupos asiáticos estaban más interesados en mantenerse ocultos en las redes corporativas a la espera de poder obtener información y secretos industriales.
La segunda charla, a cargo de Miguel Ángel de Castro, y titulada ‘Adversary tooling deep dive’ fue una detallada taxonomía de las herramientas que cada tipología de adversarios utiliza más habitualmente. Hizo una presentación muy técnica y pormenorizada, con ejemplos de intrusiones reales. Recalcó la enorme dificultad actual para la atribución de los ataques, debido al fenómeno del Ransomware-as-a-Service y las relaciones cruzadas entre grupos de delincuencia. Además, también dio algún dato de interés, como que hace sólo cuatro años, el tiempo medio para comprometer un sistema estaba en torno a 1h y 38 minutos, y en la actualidad se están viendo casos en los que se tarda 1 minutos y 38 segundos, gracias al avance en las herramientas que usan estos grupos.
Tras el primer descanso, la tercera charla corrió a cargo de David Alcaraz, bajo el título ‘ASR rules as 0-days neutralizers’, en la que explicó como utilizar herramientas ya incluidas en algunos productos de Microsoft, pero grandes desconocidas, para evitar malware procedente de macros de Office, scripts, etc.
La cuarta charla, “Tainting the way: automatizando DOM XSS a gran escala”, fue protagonizada por Diego Bernal, y se trató de una charla extremadamente técnica, a cargo de un bug hunter que, literalmente, dijo que “le gustaba automatizar el bug hunting. porque así podía ganar dinero mientras dormía”. El contenido de su charla se centró en uno de los tipos de ataques de Cross Site Scripting, y cómo realizarlos, primero de form manual, y luego de forma automatizada, para detectar páginas web vulnerables en los trabajos de pentesting.
Tras la comida, la quinta charla, a cargo de Sara Martínez y Fran Ramírez fue la única que podrñiamos decir que no fue técnica, pero no por ello fue menos interesante. Bajo el título “Mujeres hackers: el legado de la hechicera de los números”, los ponentes explicaron a la audiencia los logros de diferentes mujeres en temas tecnológicos, mujeres desconocidas para la mayoría, pero que pueden ser referentes de las jóvenes actuales para dedicar su carrera profesional a trabajos STEM. Desde Ada Lovelace Byron hasta Susan Kare, pasando por Hedy Lamarr o Grace Hooper, sus trabajos definieron el primer programa de ordenador, el lenguaje Cobol, las comunicaciones wifi o la llegada de la humanidad a la Luna.
La sexta charla (“Kill -9 Windows Defender”) volvió a la senda de la elevada complejidad técnica, y en la que Roberto Amado explicó cómo evadir al antivirus Windows Defender cuando se realiza un trabajo de pentesting.
Tras el último descanso, se realizaron tres charlas más cortas, a cargo de José Miguel Gómez-Casero, Federico Pacheco y Tomás Isasia, respectivamente, y en las que se trataron diversos temas. En la primera se comentó cómo descubrir los vectores a través de los cuales se producen las intrusiones. En la segunda, se presentó una plataforma de software libre para realizar ejercicios simulados de incidentes de seguridad, para mejorar la respuesta de los equipos antes los mismos. Y en la tercera, que cerraba la jornada, de una forma totalmente desenfadada y humorística, su autor explicó cómo había logrado utilizar una aplicación de análisis de aplicaciones móviles (MobSF) en Windows, cuando estaba construida para ejecutarse en Linux o Mac.
En conclusión, una jornada enriquecedora tanto desde el punto de vista de los conocimientos como por el networking que se hace entre profesionales y empresas del sector en los diferentes descansos. TYSC estuvo allí, y allí espera estar en su edición de 2023.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.