TBD
Eloy Sanz
Gabinete de Seguridad y Calidad - Agencia Digital de Andalucía.
Rocío Montalban
Subdirectora general de Transformación Digital y Relaciones con los Usuarios en la Consejería de Sanidad del Gobierno de Cantabria.
Alberto Francoso Figueredo
Jefe del Servicio de Análisis de la Ciberseguridad y Cibercriminalidad de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad.
Jose Miguel González Aguilera
Subdirector General de Servicios Digitales de Informática del Ayuntamiento de Madrid.
Miguel Ángel de Castro
Crowdstrike
IMPACT #include: Hackeando la relación Empleo y Discapacidad. GoodJob, Good feeling, Good protection!! Con la colaboración de Fundación GOODJOB e invitados
Miguel Ángel Rodríguez
Fundador de ProtAAPP
Román Ramírez
Coorganizador de RootedCON
Román Ramírez
Coorganizador de RootedCON
Abraham Pasamar
Tte. Coronel Mónica Mateos (MCCE)
Fernando Paniagua
Ignacio Pérez Helguera
CISO en Aragonesa de Servicios Telemáticos (AST)
La eclosión de la Inteligencia Artificial en los últimos años ha revolucionado el mundo de la tecnología y no se puede pensar en ningún nuevo proyecto, herramienta o servicio sin pensar en utilizar Inteligencia Artificial para hacerlo mejor, más potente o diferente. En esta charla veremos el uso de unos servicios concretos creados con IA, como son los Cognitive Services para hacer casos de uso de ciberseguridad utilizando Visión Artificial para mejorar, hacer más potentes, o simplemente de manera diferente, aplicados a la ciberseguridad con los que jugamos en el equipo de Ideas Locas de Telefónica, para pensar en características futuras de nuestros P&S.
Chema Alonso
Chema Alonso es uno de los investigadores en ciberseguridad y hacking más populares de habla hispana. Ponente en conferencias de seguridad informática y hacking por todo el mundo durante los últimos 20 años, es el actual Chief Digital Officer de Telefónica. Creó la empresa "Informática 64" con 24 años, que integró en Telefónica para crear ElevenPaths - ahora parte de Telefónica Tech -. Es doctor en Seguridad Informática por la URJC de Móstoles, universidad que en el año 2020 lo nombró Doctor Honoris Causa, e Ingeniero Técnico en Informática de Sistemas por la UPM, universidad que le nombró Embajador Honorífico de la Escuela Universitaria de Informática en el año 2012. Por su trabajo con los cuerpos de seguridad del estado fue condecorado con la Cruz del Mérito de la Guardia Civil con distintivo Blanco. Entre sus premios, fue galardonado por Microsoft como Most Valuable Professional en Seguridad Informática durante 14 años, fue elegido como uno de los 100 españoles más influyentes en el año 2017 y como uno de las 100 personas más creativas del mundo de los negocios por la revista Forbes en el año 2019. Puedes contactar con él a través de su buzón público en https://MyPublicInbox.com/ChemaAlonso
Daniel López (Marduk)
Juan Álvarez de Sotomayor
Teniente Coronel de la Guardia Civil
Pablo Estevan
Senior Systems Engineer, Palo Alto Networks
A lo largo de la sesión se profundizará en los acontecimientos pasados y actuales en lo relativo a ciberguerra que se han producido entre Rusia y Ucrania hasta llegar al conflicto actual.
Miguel Angel de Castro
Ingeniero Senior. CrowdStrike. Information Security Specialist with 14 years of experience in Ethical Hacking, Cybersecurity and Threat Intelligence. Extensive Knowledge and experience in Malware reversing, Incident Response and Threat Hunting. Wide experience leading teams and training in different Certifications. 'I think that Cybersecurity is not a job, it's a way of living'
En esta charla hablaré sobre el estado del arte en técnicas esteganográficas sobre archivos de vídeo, por qué es tán difícil hacerlo bien y el por qué apenas existen proyectos libres u open source sobre este tema. Haré un breve repaso sobre algunas opciones existentes, contaré sus debilidades e inconvenientes y finalmente explicaré y haré una demo de "Pravda", una herramienta que he desarrollado y que nos brinda una posibilidad más factible y sencilla, ocultar información en los subtítulos de los vídeos que luego podremos subir a plataformas como YouTube.
Javier Domínguez
Hacktivista, programador y radioaficionado. Actualmente trabajo en GFT para el cliente BBVA como Service Hub & Tech Lead en uno de sus CERT. También trabajo como profesor (no titular ni asociado) en la Universidad Complutense de Madrid, donde imparto clase en el Master de BigData/DataScience. Adicionalmente colaboro como miembro y divulgador de la Free Software Foundation (FSF) y la Electronic Frontier Foundation (EFF), defendiendo las libertades y derechos de los usuarios de plataformas digitales.
Las organizaciones utilizan cada vez más plataformas SaaS y nubes externas. Lo que hace que el principio de mínimos privilegios sea especialmente importante. En esta charla presentaré cómo usar PurplePanda para encontrar de forma sencilla paths para escalar privilegios dentro de un mismo cloud y a través distintas plataformas (GCP, Kubernetes y Github).
Carlos Polop
Carlos está graduado en Ingeniería de Telecomunicaciones con Master en Ciberseguridad.
Ha trabajado principalmente como Penetration Tester y Red Teamer para varias compañías, pero también como desarrollador y administrador de sistemas. Tiene varias certificaciones relevantes en el ámbito de la ciberseguridad como el OSCP, OSWE, CRTP, eMAPT y eWPTXv2.
Fue capitán de la selección Española en 2021.
Desde que comenzó ha aprender ciberseguridad ha tratado de compartir su conocimiento con la comunidad de infosec publicando herramientas open source como https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite y escribiendo un libro gratuito de hacking que cualquiera puede consultar en https://book.hacktricks.xyz
Proof of concept USB composite device which demonstrates an end-to-end solution that infiltrates an isolated-offline-network and covertly extracts data over both radio frequency or close access covert storage while hiding from forensic analysis.
David Reguera Garcia
Senior malware researcher, developing antivirus/endpoint detection and response (EDR), reversing, forensics and OS Internals, C/C++, x86 x64 ASM, hardware hacking, AVR, ARM Cortex
En cualquier distopía sanitaria, el hacking acaba apareciendo como último recurso de quien se ve en una situación límite. Veremos varios casos donde el pensamiento lateral fue clave para sobrevivir. Como práctica, aprenderemos a fabricarnos nuestro propio electrocardiógrafo IoT (ECG), las técnicas usadas para el tratamiento de la señal, así como su potencial aplicación en ciberseguridad. ¡Bienvenido al Mad Max médico!
David Meléndez Cano
David Meléndez es ingeniero de sistemas embebidos en Albalá Ingenieros, S.A. Autor del libro "Hacking con Drones", ha presentado sus trabajos sobre hardware hacking, drones y seguridad, a nivel nacional en congresos como RootedCon, NavajaNegra, etc e internacional como DefCon USA, BlackHat, NuitDuHack, Codemotion, HongKong OpenSource, etc.
La mensajería instantánea se ha convertido en un pilar fundalmental en las comunicaciones del día a día, personales, corporativas e incluso confidenciales. El auge de la privacidad ha hecho que muchas de estas tecnologías hayan tenido que ser revisadas y actualizadas con protocolos y tecnologías de cifrado. Una aplicación de mensajería instantánea habitual es Telegram usada por actores y objetivos variados. Comprender su seguridad es útil para usarla eficazmente, descartarla por otras alternativas o diseñar nuevos vectores de ataque.
En esta charla analizaremos la privacidad y criptografía utilizada en Telegram y su protocolo de comunicación MTProto 2.0. Se analizarán las ventajas, incoveninentes y los ataques actuales a esta plataforma, del mismo modo se obtendrán buenas recomendaciones de diseño de soluciones criptográficas que, por desgracia, no están implementadas en Telegram a pesar de, se desarrollará durante la ponencia, su supuesta seguridad.
Alfonso Muñoz
Head of Cybersecurity Unit & cybersecurity research | Principal Offensive Security and Cryptography/Steganography Expert
PhD in Telecommunications Engineering by Technical University of Madrid (UPM) and postdoc researcher in network security by Universidad Carlos III de Madrid (UC3M). He is a cybersecurity Tech Lead for more than 18 years and has published more than 60 academic publications (IEEE, ACM, JCR, hacking conferences…), books, patents and computer security tools. He has also worked in advanced projects with European Organisms, public bodies and multinational companies (global 500). For over a decade, he has been involved in security architecture design, penetration tests, forensic analysis, mobile and wireless environments, and information security research (leading technical and scientific teams). He created two startups: CriptoCert (focused on the development of training and technologies to improve cryptographic knowledge) and BeRealTalent (technology to detect and improve soft skills).
Alfonso frequently takes part as a speaker in hacking conferences (STIC CCN-CERT, DeepSec, HackInTheBox, Virus Bulletin, Ekoparty, BlackHat Europe, BSIDES Panama, RootedCon, 8.8, Cybersecurity Summer Bootcamp INCIBE, No cON Name, GSICKMinds, C1b3rwall academy, Cybercamp, Secadmin, JNIC, Ciberseg,X1RedMasSegura, Navaja Negra, T3chfest, Shellcon, H-c0n...) and commercial and academic security conferences (+60 talks). He is certified by CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), CEHv8 (Certified Ethical Hacker), CHFIv8 (Computer Hacking Forensic Investigator), OSWP (Offensive Security Wireless Professional), CES (Certified Encryption Specialist) and CCSK (Certificate of Cloud Security Knowledge). Several academic and professional awards (Hall Fame Google, TOP50 Spain-2020 Cybersecurity Blue Team [IDG Research], etc.). Professor in several university master's degree programs (cybersecurity)
He is co-editor of the Spanish Thematic Network of Information Security and Cryptography (CRIPTORED), where he develops and coordinates several projects about cybersecurity and advanced training, with great impact in Spain and Latam.
In this talk we describe and demonstrate multiple techniques for circumventing existing Microsoft 365 application security controls and how data can be exfiltrated from highly secure Microsoft 365 tenants which employ strict security policies.
That is, Microsoft 365 tenants with application policies to restrict access to a range of predefined IP addresses or subnets, or configured with Conditional Access Policies, which are used to control access to cloud applications. Assuming a Microsoft 365 configuration has enforced these types of security policy, we show how it can be possible to bypass these security features and exfiltrate information from multiple Microsoft 365 applications, such as OneDrive for Business, SharePoint Online, Yammer or even Exchange Online.
Juan Garrido
Juan Garrido is passionate about security. He is working at the security firm NCC Group as a consultant specializing in security assessment. During his more than ten years as a security professional, he also has been working on several security projects and court investigations. Juan has written several technical books and security tools. He is the author of the security tool voyeur and he also writes as frequent contributor on several technical magazines in Spain including, Trade Press and Digital Media.
Juan was recognized as a Microsoft Most Valuable Professional (MVP) in Enterprise Security, now called Cloud and Datacenter Management. He has participated as speaker at many conferences such as RootedCon, GsickMinds, DEFCON, Troopers, BlackHat, etc...
Desde hace mas de 10 años, las plataformas de mensajería instantanea (IM) se han convertido en la forma más habitual de comunicarnos. Este tipo de aplicaciones nos permiten una comunicación fácil y sencilla, tanto que en sus inicios desplazaron a otras formas de comunicación como los SMS e incluso a las llamadas de voz. A lo largo de este tiempo muchas de estas plataformas han sufrido distintos problemas de seguridad que han ido paliando con el tiempo.
Las plataformas de IM han ido adoptando medidas y protocolos que mejoran la privacidad en las comunicaciones de los usuarios, la mas conocida es el cifrado extremo a extremo implementado originalmente por Telegram y Signal, que fue adoptado posteriormente por WhatsApp.
Sin embargo, estas medidas no han impedido que IM estén entre las aplicaciones mas interesantes para el espionaje masivo. Noticias como los programas de espionaje masivo de la NSA o en las que agencias gubernamentales exigen acceso a las claves privadas de estas plataformas debe hacernos reflexionar sobre el alcance de dichas medidas de privacidad y si estas medidas pueden ser desactivadas a voluntad de estas agencias o del creador de la app, obteniendo así acceso a nuestros mensajes.
Este tipo de dudas impulsó unos trabajos que presenté hace años en los que mediante el uso de una VPN se podía añadir una capa de seguridad extra que protegiera las comunicaciones gracias al uso de criptografia. En este trabajo presento una nueva serie de medidas de protección que se pueden añadir dentro de las aplicaciones de IM para que las comunicaciones con este tipo de aplicaciones incluyan una capa extra de cifrado que impida que personas ajenas puedan husmear en las conversaciones que tenemos en estas aplicaciones. Añadir estas medidas junto a la aplicación de IM consigue que el uso de la criptografía sea mas fácil para el usuario final frente a propuestas anteriores. Gracias al uso de introspección de aplicaciones y técnicas de hooking se pueden lograr añadir la capa extra de seguridad. Durante la charla se mostrará de forma práctica cómo se añade esta capa extra de seguridad y su utilidad.
Pablo San Emeterio
Pablo San Emeterio es Ingeniero Informático y Master en Auditoría y Seguridad de la Información por la UPM, posee distintas certificaciones como son CISA o CISM. Es un apasionado de las nuevas tecnologías en general y de la seguridad informática en particular. Ha estado trabajando desde hace más de 20 años en distintos puestos relacionados con el desarrollo de software y la I+D+i. En el mundo de la seguridad informática lleva trabajando más de 12 años, destacando principalmente por sus investigaciones sobre la seguridad de las distintas aplicaciones de mensajería instantánea junto con trabajos sobre técnicas de hooking. Esto le ha permitido participar como ponente en los principales en eventos internacionales de renombre tales como Shmoocon (Washington) o Black Hat (Amsterdam, Sao Paulo y Las Vegas), así como repetidas ponencias en congresos nacionales de prestigio como Rootedcon, Jornadas STIC, NcN, Navajas Negras, ConectaCON, etc.
También colabora todos los lunes en el espacio de Ciberseguridad del programa Afterwork de Capital Radio, donde se tratan temas de actualidad del mundo de la ciberseguridad y se difunde la cultura de ciberseguridad en la sociedad. Además, es profesor del Master en Ciberseguridad de la UCAM, del Programa Superior en Ciberseguridad y Compliance de ICEMD, del curso OSINT: Investigaciones en Internet mediante fuentes abiertas de aesYc y del Master en Ciberseguridad de IEBS
Actualmente trabaja como Jefe de Evaluaciones Tecnicas en el departamento New Markets de Telefonica CyberTech.
La herencia de manejadores de objetos entre procesos en un sistema Microsoft Windows puede constituir una buena fuente para la identificación de vulnerabilidades de elevación de privilegios locales (LPE). Tras introducir los conceptos básicos alrededor de este tipo de debilidades de seguridad, se presentará una herramienta capaz de identificarlos y explotarlos, aportando a Pentesters y Researchers un nuevo punto donde focalizar sus acciones de intrusión e investigación respectivamente.
Roberto Amado Gimenez
Ingeniero en Informática y Telecomunicaciones trabaja en S2 grupo y en el mundo de la seguridad desde hace más de 14 años como Pentester, Incident Handler, ICS security analyst y APT hunter, siendo actualmente el subdirector de seguridad de la compañía. Autor de varias guías STIC (Pentesting, DNS y revisión WIFI) y con varias publicaciones en el mundo de la seguridad en redes 802.11. Esta certificado como: CISA, CISSP, GIAC-GPEN, GIAC-GICSP, GIAC-GCIH
Los ataques dirigidos de ransomware son unas de las amenazas más críticas a día de hoy en todo el mundo. Las operaciones de ransomware pasaron de distribuirse de forma indiscriminada por correo electrónico a desplegarse de forma síncrona en todos los sistemas críticos de grandes compañías, que los atacantes eligen previamente. El número de incidentes es tan alto que casi nos sabemos de memoria sus modus operandi, pero no hay tanta información sobre cómo operan los atacantes de forma interna. Esta charla explicará cómo operan los grupos de ransomware y qué recursos usan antes y después de un ataque, desde servicios de afiliados a las plataforma de "soporte a cliente". Este conocimiento es importante para saber cómo reaccionar y defenderse cuando llegue el momento, porque ese momento llegará.
Jose Miguel Esparza
Jose Miguel Esparza es responsable del área de Threat Intelligence en Blueliv, centrado en la investigación y la generación de inteligencia sobre botnets, malware y cibercriminales. Jose Miguel es un investigador de seguridad que lleva analizando amenazas en Internet desde 2007, empezando en el equipo de e-crime de S21sec, posteriormente liderando el equipo InTELL de Fox-IT hasta el final de 2017, y, finalmente, incorporándose a Blueliv para enriquecer y potenciar su oferta de Threat Intelligence. Es el autor de la herramienta de seguridad peepdf y suele escribir en eternal-todo.com sobre seguridad y amenazas en Internet cuando el tiempo lo permite. Ha tomado parte en diversas conferencias locales e internacionales como RootedCon, Cybersecurity Summer BootCamp, Source, Black Hat, Virus Bulletin, Troopers y Botconf, entre otras. Se le puede encontrar fácilmente en Twitter, @EternalToDo, hablando sobre seguridad.
A lo largo de 2021 Tarlogic ha llevado a cabo una investigación sobre fraudes y abusos utilizados hoy en día en la blockchain de Ethereum, mediante análisis BigData con técnicas de ML y el reversing de smartcontracts se ha descubierto e investigado cómo se están abusando para robar y/o defraudar el capital depositado en forma de criptomonedas o tokens.
Se tratará el funcionamiento de las criptomonedas y el blockchain, centrado principalmente en la red Ethereum y el ecosistema de tokens ERC20 y DEX (Decentralized Exchange) usados en Uniswap v2.
Se estudian diferentes tipos de fraudes: técnicas de manipulación de precios heredados del mundo de la bolsa clásica, así como otros descubiertos e identificados durante esta investigación que, abusando de esta tecnología, se están utilizando de manera activa para el secuestro de capital de usuarios que realizan compraventas de criptomonedas en esta blockchain.
Jaime Fábregas Fernández
Jaime Fábregas, R&D manager at Tarlogic, holds a BS degree in computer engineering with academic honors from the University of Santiago de Compostela and MS in software engineering, from the University of Granada. He has 20+ years of experience in the software development sector. He has worked for multinational companies developing secure communications in the banking sector with embedded systems. During his time in Tarlogic he has specialized in low and high level development of WiFi technologies and has been involved in Data Science and Blockchain technology.
Miguel Tarascó Acuña
Miguel Tarascó, cofundador de Tarlogic Security y Tarlogic Research, la empresa del grupo especializada en I+D y desarrollo de soluciones. Ingeniero Informático por la Universidad de Santiago de Compostela, tiene más de 15 años de experiencia en el campo de la seguridad informática, durante los cuales ha publicado fallos de seguridad, herramientas e impartido ponencias de cyberseguridad.
Recruiters. Encorbatados, sufridos y detestados por todo técnico que tenga LinkedIn. Soy programador con +15 años de experiencia, también he recibido quinticientas propuestas que poco tenían que ver con nosotros. Hoy, nos dedicamos a aquello que un día nos pareció el lado oscuro de la fuerza: somos Technical Recruiters en Manfred. ¿Qué carallo hacen programadores haciendo recruiting? ¿Éramos muy malos y no nos quedó otra? Te vamos a contar el secreto de por qué marca la diferencia que los técnicos participemos en la selección de nuestros equipos.
Leonardo Poza
As a continuation of the research conducted through 2019 and 2020 about smart meters and the PRIME protocol, Tarlogic has analized the technology and developed new attacks on 2021, giving as a result PLCTool, a software tool for capturing and analyzing PRIME traffic, as well as executing attacks. Functionality has been added to easily reproduce the attacks and to create new ones.
As an introduction, we will speak about how the electrical system works and the role of smart meters. Then some of the security faults of the PRIME protocol and its implementation will be explained and we will go through the advances since the last presentation on RootedCon 2020.
After the talk, a proof of concept attack will be shown to demonstrate how PLCTool works.
Jesús María Gómez Moreno
I am a computer engineer with a deep interest on software development and security issues.
La cosa está bastante complicada con la ciberseguridad, y parece que no hay vistas de que vayamos: ransomware, estafas al CEO, mineros, ciberataques alienígenas... En esta charla desgranaremos cómo responder a incidentes, pero yendo más allá de las distintas fases y ofreciendo consejos prácticos (algunos aprendidos por las malas, y otros por las peores, la experiencia es así), junto con algunos trucos y muchas batallitas. El objetivo: mejorar vuestro incidente-fú y ayudaros a patear a los malos de vuestros sistemas con extremo prejuicio.
Antonio Sanz
Ingeniero Superior de Telecomunicaciones por la Universidad de Zaragoza, con más 20 años de experiencia en el sector de la seguridad de la información. Actualmente es jefe de proyecto senior de S2 Grupo, desarrollando tareas de respuesta ante incidentes y análisis forense
Dynamic Binary Instrumentation (DBI) is a dynamic analysis technique that allows arbitrary code to be executed when a program is running. DBI frameworks have started to be used to analyze malicious applications. As a result, different approaches have merged to detect and avoid them. Commonly referred to as split personality malware or evasive malware are pieces of malicious software that incorporate snippets of code to detect when they are under DBI framework analysis and thus mimic benign behavior. Recent studies have questioned the use of DBI in malware analysis, arguing that it increases the attack surface. In this talk, we examine the anti-instrumentation techniques that abuse desktop-based DBI frameworks and existing countermeasures to determine if it is possible to reduce the exploitable attack surface introduced by these DBI frameworks. In particular, we review the related literature to identify (i) the existing set of DBI framework evasion techniques and (ii) the existing set of countermeasures to avoid them. We also analyze and compare the taxonomies introduced in the literature, and propose a new taxonomy that expands and completes the previous taxonomies. Our findings demonstrate that despite advances in DBI framework protections that make them quite suitable for system security purposes, more efforts are needed to reduce the attack surface that they add during application analysis. Only 12 of the 26 evasion techniques covered in this document have countermeasures, threatening the transparency of DBI frameworks. Furthermore, the impact in terms of performance overhead and effectiveness of these countermeasures in real-world situations is unknown. Finally, there are only proofs of concept for 9 of these 26 techniques, which makes it difficult to validate and study how they evade the analysis in order to counter them. We also point out some relevant issues in this context and outline ways of future research directions in the use of DBI frameworks for system security purposes.
Ricardo J. Rodríguez
Ricardo J. Rodríguez es Doctor en Informática e Ingeniería de Sistemas por la Universidad de Zaragoza desde 2013. Actualmente, trabaja como Profesor Contratado Doctor en la misma universidad. Sus intereses de investigación incluyen el análisis de sistemas complejos, con especial énfasis en el rendimiento y su seguridad, el forense digital y el análisis de aplicaciones binarias. Participa como ponente habitual y profesor de talleres técnicos en numerosas conferencias de seguridad del sector industrial, como NoConName, Hack.LU, RootedCON, Hack in Paris, MalCON, SSTIC CCN-CERT, o Hack in the Box Amsterdam, entre otras. Lidera una línea de investigación dedicada a seguridad informática en la Universidad de Zaragoza (https://reversea.me).
La ejecución de binarios en memoria desde una shell inversa en la maquina del objetivo es algo muy común en entornos Windows, existen decenas de formas distintas de lograr esto y muchas de ellas muy sencillas. Sin embargo, en entornos Linux no es tan frecuente, ni tan sencillo cargar cosas en memoria desde una simple sesión de bash, por ejemplo.
En esta charla vamos a presentar una novedosa técnica para cargar binarios y shellcodes en memoria desde una sesión de linux sin la necesidad de tocar el disco, permitiendo no solo ser potencialmente mas sigilosos, sino bypassear medidas como el montar el sistema de ficheros protegido con read only y/o con noexec.
Durante la charla se liberará además una herramienta que permite explotar esta técnica de forma muy sencilla.
Carlos Polop
Carlos está graduado en Ingeniería de Telecomunicaciones con Master en Ciberseguridad.
Ha trabajado principalmente como Penetration Tester y Red Teamer para varias compañías, pero también como desarrollador y administrador de sistemas. Tiene varias certificaciones relevantes en el ámbito de la ciberseguridad como el OSCP, OSWE, CRTP, eMAPT y eWPTXv2.
Fue capitán de la selección Española en 2021.
Desde que comenzó ha aprender ciberseguridad ha tratado de compartir su conocimiento con la comunidad de infosec publicando herramientas open source como https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite y escribiendo un libro gratuito de hacking que cualquiera puede consultar en https://book.hacktricks.xyz
Yago Gutiérrez
Yago estudia actualmente Ingeniería de Telecomunicaciones. Es programador de C, tolera python y tiene amplios conocimientos de Linux Internals. Es frecuente jugador de CTFs y ha participado este año en el ECSC2020 como integrante de la selección española.
En esta sesión hablaremos sobre Jupyter notebooks, qué son y como pueden ser usados para operacionalizar tareas complejas de Hunting usando una colección de bibliotecas para machine learning, visualización y análisis de datos. Así mismo entraremos al detalle de como el SOC de Microsoft utiliza esta herramienta en una variedad de casos para analizar diferentes entidades (Host, IP, Cuentas, WAF, etc.) o escenarios (Solarwinds postcompromise, detección de beacons, etc.)
Fernando Rubio
Fernando Rubio es el líder de ciberseguridad de Microsoft en el área de CSU, dirigiendo el equipo encargado de las tecnologías de seguridad, identidad y cumplimiento normativo, así como de dar una primera respuesta a los incidentes de ciberseguridad de los clientes de gran empresa. Anteriormente ha trabajado como arquitecto de seguridad, así como en respuesta a incidentes. Fernando es presentador habitual del sector de la seguridad.
Alvaro Jimenez Contreras
Alvaro Jimenez es parte del equipo de ciberseguridad en el área de CSU. Ha trabajado en múltiples eventos de seguridad críticos en clientes dando respuesta a los incidentes. Lleva trabajando en el campo de la identidad mas de 10 años y en el de la ciberseguridad más de 5 años. Alvaro lleva implementando Sentinel en las grandes empresas mas de 3 años.
Las gafas de realidad virtual son la puerta a las nuevas soluciones que nos permiten sumergirnos en entornos digitales, pero necesitamos desbloquear todo su potencial para poder comenzar a entender las nuevas reglas de este universo. ¿Cómo podemos conseguir un dispositivo que nos permita explorar los secretos de los mundos virtuales?
Antonio Pérez Sánchez
Apasionado de la tecnología con más de 5 años de experiencia en el sector de la Ciberseguridad en el campo ofensivo, actualmente en NTT DATA. Profesor del master de Ciberseguridad en la Universidad Pontificia de Comillas y estudiante de doctorado. Actualmente posee las titulaciones de CEH, Comptia Sec+, OSCP, OSCE. Disfruta resolviendo nuevos retos, aprendiendo y enseñando nuevos conocimientos con compañeros y colegas del sector.
Villaverde Prado Álvaro
Con una base de más de doce años en IT y desarrollo, he estado los 5 últimos años enfocando mi pasión por la tecnología hacia el hacking ético y la ciberseguridad, disfrutando de resolver nuevos retos, de intercambiar conocimiento con compañeros y colegas, y de comprender cada vez mejor cómo funcionan estos ábacos glorificados que llamamos ordenadores.
Following in the footsteps of a cyber-criminal and uncovering their digital footprint. This is a journey inside the mind of an ethical hacker s response to a ransomware incident that brought a business to a full stop, and discovering the evidence left behind to uncover their attack path and the techniques used. Malicious attackers look for the cheapest, fastest, stealthiest way to achieve their goals. Windows endpoints provide many opportunities to gain entry to IT environments and access sensitive information. This session will show you the attacker s techniques used and how they went from zero to full domain admin compromise that resulted in a nasty CryLock ransomware incident.
In this session I will cover a real-world incident response to the CryLock ransomware showing the techniques used by the attackers. The footprints left behind and uncovering the techniques used.
Joseph Carson
Joseph Carson is an award-winning cyber security professional and ethical hacker with more than 25 years’ experience in enterprise security specialising in blockchain, endpoint security, network security, application security & virtualisation, access controls and privileged account management. Joe is a Certified Information Systems Security Professional (CISSP), active member of the cyber security community frequently speaking at cyber security conferences globally, often being quoted and contributing to global cyber security publications.
During his Black Hat 2015 presentation, James Kettle explained how template injections could lead to code execution. At the end of the talk, he recommended running application in containers with limited privileges and read-only file system. Six years later, containers are now the standard of web-app deployment and getting code execution inside a well isolated container can be seen as low impact.
This talk will explore new exploitation techniques specially crafted for hardened environment.
One overlooked aspect of SSTI is that the injected code is running in the webserver process, this allows an attacker to do in-memory attack and inject persistent malicious code without the need to touch the file system. We will dive into the internals of Flask, Django and Express to understand how a request is handled and how we can hook internal functions to steal secrets or deliver malicious code to the users.
This talk will be completed by the presentation of "parasite", a new tool made to facilitate such attacks by providing a simple GUI to explore a website internals and hook any routes.
BitK
BitK is a French security researcher, bug hunter, member of the French CTF team The Flat Network Society and Tech Ambassador at YesWeHack.
He has been doing CTF and bug bounty for over ten years with a specialty in web exploitation.
He is also the author of multiple hacking tools like pwnfox, xsstools, pwnmachine and more.
Abordaremos la historia de este campo empezando con el famoso Akinator de 2007, pasando por el desafío que fue el desarrollo de Shazam ,el Autopilot de Tesla, y el último gran logro: el Deep Fake. Veremos como se aplica el machine learning en el mundo de Ciber en el ámbito de los EDR y como a futuro los ataques de phishing se trasladaran al campo de las videoconferencias, y creerás estar hablando con alguien quien no es quien dice ser…
Jesus Dominguez Belinchon
Ingeniero en Informática por la Universidad de Alcalá de Henares. Ha desarrollado su carrera profesional como consultor de seguridad especializado en el área de Gestión de Identidades y Cuentas Privilegiadas.
Actualmente está liderando la práctica de Identidad Digital dentro del área de Cyberseguridad en DXC.Technology.
También ha participado como ponente en otros eventos del ámbito de la ciberseguridad en la Universidad de Alcalá (CIBERSEG).
Mario Muñoz Gomez
Es el Director de preventa del equipo de Cyber de DXC. Lleva más de 13 años dedicado a la seguridad, desarrollando su carrera principalmente en el área de Endpoint Security , DLP y Gestión de equipos.
Es un apasionado de las tecnologías y de la ciencia, siempre investigando y "cacharreando".
También ha participado como ponente en otros eventos del ámbito de la ciberseguridad en la Universidad de Alcalá (CIBERSEG).
We will dive into different real life scenarios of possible logic flaws in modern web applications and how to abuse them.
Ahmed Baha Eddine Belkahla
Cyber Security Specialist at Yogosha, Web Security Researcher and CTF Player at Zer0pts Team. Technical Director at Securinets Association and Cyber Security Engineering Student at INSAT.
Compartir CTI (Cyber Threat Itelligence) debería potenciar la seguridad de las organizaciones. Sin embargo a pesar de los beneficios, el intercambio de información todavía tiene margen de mejora, en tiempo, en fondo y en forma.
Emilio Rico Ruiz
Emilio Rico Ruiz es Teniente Coronel del Arma de Caballería. Es diplomado de Informática Militar, Master en Dirección de Sistemas de Información y Telecomunicaciones y CISM. Está destinado en la Fuerza de Operaciones del Mando Conjunto del Ciberespacio.
Mi nombre es Jorge Montejano Rodriguez, os contaré las diferentes formas no habituales de practicar hacking.
Jorge Montejano
Mi nombre es Jorge Montejano Rodriguez, os contaré las diferentes formas no habituales de practicar hacking.
La charla muestra al asistente las bondades de usar marcos normativos y sus controles técnicos como guías para mejorar la defensa de las organizaciones.
Más allá de la capa de gestión, existen normativas que nos ayudan con la mejore técnica.
Durante la charla se mostrarán controles interesantes para mejorar el Blue Team ( Defensa y Detección) de los populares marcos regulatorios.
Joaquín Molina
Miembro del equipo de seguridad de Verne Tech. y colaborador con varias organizaciones.
Joaquín Molina o kinomakino es un apasionado de la tecnología en general y la seguridad desde mediados de los 90. Cuenta con numerosas certificaciones y pertenece a organizaciones de reconocido nombre como ENISA o la obtención del premio Microsoft MVP los últimos años.
Ponente en numerosas conferencias enfocadas siempre a redes, comunicaciones, hacking, auditorias, threat Intelligence y todos los aspectos relacionados con seguridad defensiva.
Como me pasa con todo en mi vida, en ciberseguridad también prefiero hacer a ver cómo hacen.
Chesco Romero Ciborro
Más de veinte años trabajando en ciberseguridad y sufriendo la falta de agilidad de las Administraciones Públicas.
Los Hospitales y Cadenas de Suministro de más de 30 países, incluído España, han recibido desde 2015 varios ciberataques de un malware/APT llamado Kwampirs (Orangeworm), el cuál se ha llegado a encontrar en estaciones de trabajo conectadas a máquinas de Resonancia Magnética y de Rayos X. Shamoon es un "Wiper" que se usó contra Saudi Aramco en 2012, borrando más de 30000 discos duros y paralizando la producción de petróleo, considerándose un acto de ciberguerra. Posteriormente se han usado nuevas versiones de Shamoon incorporando nueva funcionalidad, y se han atribuído todas las campañas a grupos de APTs relacionados con APTs nation-state de Irán. Hace dos años Cylera -empresa especializada en seguridad de dispositivos médicos donde trabaja el ponente- hizo pública la relación de código entre Kwampirs y Shamoon, de la cuál se acabó haciendo eco el FBI. Ésta agencia publicó un mes más tarde 3 alertas, en meses consecutivos, alertando sobre el uso de Kwampirs contra Healthcare e ICS y la existencia de similitudes de código con Shamoon. Sin embargo una atribución técnica completa no se puede sustentar sólo por similitudes de código en dos artefactos estáticos. El código de Shamoon podía haber sido robado o reutilizado (con ingeniería inversa) para hacer Kwampirs como un elemento de falsa bandera (o simplemente atribución errónea). Por este motivo Cylera siguió investigando, tratando de contextualizar la línea evolutiva del código de Kwampirs en relación con la de Shamoon, descubriendo varios indicadores técnicos, que hasta la fecha habían pasado desapercibidos en ambas familias, y que las enlazan hasta el punto de que no se puede entender la evolución de Kwampirs sin Shamoon, ni Shamoon 2 sin Kwampirs. Esta ponencia explica en primicia las dificultades y desafíos de la investigación, los enfoques y análisis elegidos, las evidencias descubiertas y las conclusiones de la investigación.
Pablo Rincon Crespo
Pablo Rincón es VP de Ciberseguridad en Cylera, donde realiza investigaciones de amenazas en entornos sanitarios y vulnerabilidades a dispositivos IoT, especialemente IoT médico. Pablo ha trabajado en proyectos como Suricata, OSSIM/Alienvault, Emerging Threats, ha participado en IR, forenses y análisis de malware para varias empresas del IBEX35, y su perfil combina la ingeniería de soluciones de ciberseguridad, la ingeniería inversa y la Inteligencia de amenazas.
La presentación propuesta compartirá con los asistentes los resultados de la investigación con pruebas prácticas llevada a cabo sobre dos grandes áreas de las redes 5G: ataques de IMSI Catching en redes 5G (NSA y SA) y ataques de denegación de servicio a la capa de acceso 4G y 5G. Se presentarán por primera vez públicamente los resultados y metodología desarrollada en el trabajo publicado por Miguel Gallego: "Estudio de la seguridad en redes móviles 5G y vectores de ataque a las identidades de los abonados", (https://www.researchgate.net/publication/354962681_STUDY_OF_SECURITY_IN_5G_MOBILE_NETWORKS_AND_ATTACK_VECTORS_ON_SUBSCRIBER_IDENTITIES) y se mostrarán los resultados prácticos de los primeros ataques de denegación de servicio a la capa de acceso de redes móviles 4G y 5G, realizados durante las primeras auditorías a redes comerciales. El objetivo principal de la ponencia es compartir el trabajo de investigación práctica realizado por los investigadores, realizando demostraciones en el escenario, para aportar la visión práctica a todo lo presentado en los últimos años sobre la seguridad de las redes móviles 5G. A lo largo de toda la presentación se hará hincapié en las herramientas de Radio Definida por Software (SDR) utilizadas durante todo el ciclo de la investigación, para continuar fomentando en la cultura hacking el uso de estos dispositivos con el objetivo de animar a los espectadores a emprender proyectos de esta naturaleza. Para finalizar, se mostrará una comparativa de distintas soluciones para monitorizar y mitigar estos ataques desde el punto de vista de los usuarios de las redes móviles, es decir, el público.
Pedro Cabrera
Ingeniero industrial, entusiasta de la radio definida por software (SDR) y los drones, ha trabajado en los principales operadores de telecomunicaciones españoles, realizando auditorías de seguridad y pentesting en redes móviles y fijas. En los últimos años ha liderado el proyecto de EthonShield, una startup de ciberseguridad centrada en la seguridad de las comunicaciones y en el desarrollo de nuevos productos de monitorización y defensa. Ha participado en eventos de seguridad en los Estados Unidos (RSA, CyberSpectrum, Defcon), Asia (BlackHat Trainings) y España (Rootedcon, Euskalhack, ShellCON, ViCON)
Miguel Gallego
Ingeniero industrial, actualmente trabaja en vulnerabilidades de redes de código abierto no comerciales, ataques a las identidades móviles de los suscriptores a dichas redes móviles. Enfoque principal en las redes 5G. Implementación y automatización de ataques a plataformas SDR. En el último año se ha unido al proyecto de EthonShield como investigador y desarrollador en el área de telecomunicaciones.
La mayor parte de los profesionales TIC que trabajamos en áreas de administración electrónica estamos acostumbrados a generar expedientes electrónicos que, como valor probatorio, contienen las firmas electrónicas de los ciudadanos que intervienen en los procedimientos, los sellos electrónicos de los órganos gestores y, en ocasiones, las firmas electrónicas de los funcionarios que gestionan dichos expedientes.
La mayor parte de estos certificados están emitidos por organismos públicos, que otorgan certificados que permiten la firma electrónica tanto a los ciudadanos que lo solicitan como a los empleados públicos, siendo bastante habitual que cada funcionario tenga una tarjeta criptográfica que contenga su certificado de empleado público, y que se realicen firmas electrónicas avanzadas.
Estos organismos certificadores que emiten certificados digitales cualificados se encuentran dentro de los listados de los prestadores de servicios electrónicos de confianza cualificados que exige Reglamento de la UE n.º 910/2014 (Reglamento eIDAS) y que publica el estado español en la página https://sede.serviciosmin.gob.es/es-es/firmaelectronica/paginas/Prestadores-de-servicios-electronicos-de-confianza.aspx </p> <p>Todo este ecosistema se apoya principalmente en los servicios de @firma, mantenidos por la Secretaría general de Administración Digital, que actúan como garante de que las firmas electrónicas son correctas, y no están revocadas.
Entonces, si la administración pública española realiza firmas electrónicas avanzadas utilizando certificados digitales emitidos por prestadores de servicios electrónicos de confianza que emiten certificados cualificados, ¿cuál es el fallo?
El problema es que no es lo mismo tener una firma electrónica avanzada realizada con un certificado digital cualificado que tener una firma digital cualificada. La diferencia entre una y otra es que la firma electrónica cualificada es una firma electrónica avanzada realizada con un certificado cualificado emitido con un dispositivo seguro de creación de firma (QSCD). El Reglamento eIDAS exige firmas electrónicas cualificadas para las transacciones electrónicas en el mercado interior europeo. Estas firmas cualificadas son las únicas que pueden considerarse como un equivalente digital a las firmas manuscritas y que por consiguiente tienen su mismo valor legal, con lo que sólo tendremos firmas cualificadas cuando hayan sido generadas por un dispositivo seguro QSCD.
En la ponencia se pone de manifiesto que, con la excepción de aquellos organismos que firmen con los certificados del DNI electrónico, que sí son QSCD, la mayor parte de las firmas electrónicas de la administración no pueden considerarse como firmas electrónicas cualificadas.
Jorge Navas
Licenciado en informática por la Universidad Politécnica de Madrid, Master en Tecnologías de la información por la Universidad de Edimburgo. Master en Gobernanza TIC por la Universidad Libre de Bruselas. Experiencia en el sector privado (Grupo SAGEM, Telefónica Móviles, Terra) y en el público (Dirección General de Tráfico, Ministerio del Interior, Comisión Europea, Ministerio de Hacienda). Inspector de servicios habilitado de la Administración General del Estado. Especialidad en seguridad, auditoría de sistemas de información y protección de datos. Certificaciones auditor líder ISO 27001, CISA, CISM y Hacking ético.
Sorprendentemente, existen muy pocas aplicaciones que implementen adecuadamente un sistema de autorización, y casi todas las aplicaciones software lo tienen. Un sistema de autorización es la forma en la que la aplicación verifica si un usuario tiene permisos o no para hacer una acción o para visualizar una información concreta. Algo tan básico y fundamental como un sistema de logging.
En la charla se explicará con algo de humor y ejemplos muy concretos y claros, cómo ha de implementarse, con qué tablas concretas, aportando código fuente real, mostrando ejemplos de cómo no debe hacerse (hay prácticas erróneas muy habituales), y explicando las razones que existen detrás de cada decisión.
Los fallos de concepto y bugs al abordar este asunto están detrás de un alto porcentaje de los incidentes de seguridad en las aplicaciones de desarrollo propio.
Andres Aznar Lopez
Actual Subdirector de tecnologías de la información y las comunicaciones en la Comisión Nacional de los Mercados y la Competencia (CNMC), tiene una larga experiencia en el desarrollo de proyectos de muy diversa índole: infraestructuras, seguridad, comunicaciones, desarrollo software, inspecciones forenses, organizativos... Nada más finalizar la Ingeniería en Informática aprobó las oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información y las Comunicaciones, iniciando su carrera profesional en el departamento de sistemas del antiguo Ministerio de Economía y Hacienda. Desde entonces ha participado y liderado proyectos que han cambiado la forma de trabajar y de pensar en la administraciones pública.
Apasionado de la tecnología, técnico y divulgador por naturaleza, conocedor e integrador de mundos que no siempre se entienden entre sí tan bien como debieran: sistemas, seguridad, desarrollo software y dirección.
Actualmente es el Responsable de Seguridad de la CNMC, ha liderado la creación del área de seguridad, la instauración del control de calidad y seguridad en el desarrollo, e impulsado la implantación del Esquema Nacional de Seguridad.
En Abril de 2021, un ministerio de la Administración General del Estado recibió un ataque por ransomware. Un mail leído mientras subía del parking me hizo cancelar todos los compromisos de la mañana, de la tarde y de la noche. Hasta las 5 de la mañana, libramos una guerra con hamburguesas llena de investigaciones y forenses. Por suerte no se consiguió detonar el ransom. Un día así, y los dos meses posteriores de forenses, son una experiencia real en la que se aprende mucho de esta tendencia actual de ransomware. De forma muy entretenida y técnica, se contará el incidente para conocer estas obras de "arte" que son las intrusiones relámpago para cifrar las redes de las víctimas. Además, se contarán los aciertos y errores, así como lecciones aprendidas y quick wins para estar mejor protegidos. Y quizás, consigamos una entrevista en directo con uno de los operadores de ransom. Espero, que como la Metacharla de Ciberseguridad del año pasado, que no os deje indiferente la charla.
Francisco Hernández Cuchí
Ingeniero de teleco, actor, funcionario y padre de familia numerosa. Liberando CVEs cada dos años aproximadamente. Compaginando la informática con el teatro y la improvisación durante toda mi vida en diferentes formas cada cual más pintoresca. Formador en ciberseguridad en colegios, sirviente publico desde 2008 en tareas de desarrollo, sistemas y ciberseguridad. Asistente a la primera rootedCon y peregrino continuo. Tras un breve tiempo en una consultora, cambié de bando a la Oficina Española de Patentes y Marcas . Actualmente Jefe de Área de Ciberseguridad en el Ministerio de Asuntos Económicos y Transformación Digital. Y en 2020, sueño desbloqueado como ponente en la rootedCon. Y parece ser que la cosa se repite en 2022...
Tras más de 10 años de experiencia de trabajo de pentesting para muchas de las compañías globales más importantes, en esta ponencia se detallarán los principales controles de seguridad más efectivos “sufridos” para prevenir y mitigar los principales ataques que comúnmente llevan a cabo los atacantes, haciendo especial hincapié en aquellos quick-wins, generalmente accesibles sin grandes inversiones o directamente disponibles en la tecnología que ya utilizan la mayoría de las organizaciones, que harán el camino de los atacantes mucho más tedioso.
Carlos García
Carlos García García (@ciyinet) es ingeniero superior en informática y Senior Vicepresident en Kroll. Certificado OSCP. Especializado en seguridad ofensiva con gran experiencia en pruebas de intrusión para algunas de las empresas internacionales más importantes. Su especialización en las simulaciones de intrusión pasa por diversos campos y tecnologías y, en especial, equipos Microsoft Windows y entornos Active Directory.
Carlos es coautor del libro “Hacking Windows: Ataques a sistemas y redes Microsoft”, cofundador de Qurtuba Security Congress, organizador de Hack&Beers Madrid.
Además, Carlos ha publicado diferentes artículos científicos en congresos internacionales y ha dado diversas ponencias y talleres técnicos en congresos (RootedCON, MundoHackerDay, FluCON, Qurtuba…), universidades, hacklabs, etc.
Vivimos en un mundo hiperconectado a través de Internet, nuestra sociedad digital no para de crecer, cada día se prestan más y variados servicios digitales y se intercambia información vital y sensible para los ciudadanos, empresas y administraciones públicas. La pandemia de la covid-19 ha impulsado esta digitalización y con ella ha despegado el teletrabajo y el comercio electrónico.
En este contexto, de mayor exposición en Internet, los ciberataques y ciber-amenazas e incidencias de seguridad se han convertido en una de las preocupaciones principales del Estado español, de todas las Administraciones Públicas españolas y de toda la Unión Europea. Nadie está libre de sufrir un incidente de seguridad crítico o de nivel alto, y no solo hay que aumentar la protección y las capacidades de prevención para evitar que ocurran, HAY QUE ESTAR PREPADOS PARA QUE CUANDO SUCEDAN, el servicio se pueda recuperar lo antes posible, y de la mejor manera posible.
No hay mejor forma de afrontar una crisis que estar preparado, de pensar y planificar que te va a ocurrir.
Sobre esto va mi ponencia: recetas, lecciones desde la experiencia de cómo abordar una crisis en el contexto de la ciberseguridad de las redes y sistemas de una gran organización TIC.
Esther Muñoz Fuentes
Esther es Ingeniera Superior en Informática por la Universidad Pontificia de Comillas. Master en Tecnologías de la Información aplicadas a la empresa de la Universidad Politécnica de Madrid. Posee varias certificaciones especializadas en ciberseguridad como CISM.
Con más de 20 años de experiencia en el sector TIC y 10 años trabajando en puestos de trabajo especializados en ciberseguridad, seguridad de la información, en la actualidad es Subdirectora General de Ciberseguridad en Madrid Digital, principal organización TIC de la Comunidad de Madrid.
En esta charla se mostrarán las capacidades del modelo SOCless, como la conversión de herramientas de ataque a herramientas de detección y respuesta.
Fernando Quintanar
Global head of cybersecurity delivery. La ciber siempre me ha llamado la atención. Me considero una persona inquieta y tengo amplia experiencia en las herramientas que guardan información de los sisemas cedentes. Combinar la vision táctica y más legacy con una postura más novedosa ha sido la receta mágica que se materializa en una formula.
Soy el responsible de las practicas que entregan la operación especializada en SIA by Indra.
Santiago Anaya Godoy
Global head of cybersecurity detect practice. Más de 10 años en el mundo ciber, y cada día con más ganas de aprender; sin límites. Actualmente soy el responsable global de las tribus de analistas, hunters e inteligencia.
InFlight Entertainment (IFE) refers to the entertainment available to aircraft passengers during a flight, including services such as moving-maps, movies or games. Is it possible to hack the system by gaining physical access through the Seat Electronic Box?
Mario Pérez de la Blanca
Especialista en ciberseguridad, trabaja en Airbus Defence and Space desde 2010, principalmente con aviones militares, pero también en proyectos civiles y de innovación tecnológica. Formalmente fue nombrado experto en seguridad de vehículos aéreos en 2019 y participa activamente en certificaciones de aeronavegabilidad con EASA en Europa y FAA en Estados Unidos.
Los ciberataques han mostrado un incremento en cantidad y evolución. Un claro ejemplo ha sido el incremento de ataques y el cambio en el modus operandi de grupos de ransomware. Estos ataques cada vez vinculan más la publicación de datos a modo de extorsión en las redes conocidas como darknets. El análisis de esta nueva forma de operar y de sitios vinculados a grupos de ciberdelincuentes en Tor es crucial, de cara a detectar ataques recientes, empresas afectadas y dar seguimiento de estos grupos de cara a posibles atribuciones.
En esta charla se expondrá un análisis de estos grupos presentes en darknets y su seguimiento de forma automatizada. También se abordará el desarrollo y creación de una herramienta de análisis y threat intelligence, utilizando estos datos.
Javier Junquera
Carlos Cilleruelo
WiFiChallenge Lab es un laboratorio de pentesting Wifi virtualizado para aprender desde los conceptos mas basicos hasta ataques muy sofisticados sin necesidad de utilizar tarjetas WiFi fisicas, gracias al uso de mac80211_hwsim y el proyecto vwifi. WifiChallenge Lab puede ser descargado como una maquina virtual en la que las pruebas que deberan pasar los participantes cubren las distintas fases de una auditoria Wifi, desde el reconocimiento hasta la fase de ataque y explotacion, donde tendran la posibilidad de atacar tanto WPA con servidor de autenticaci6n (MGT) como con clave precompartida (PSK).
Raul Calvo Laorden
Graduado en lngenier1a Informatica, con 4 años de experiencia en ciberseguridad. Certificado en CRTP (Certified Red Team Professional) y con alto grado interes en hacking de dispositivos fisicos y redes inalambricas. Actualmente trabajando en el equipo de Seguridad Ofensiva de Telefonica Tech.
Las Campañas y APTs basan sus ataques en metodologias orquestadas usando TTP y Malware que las caracterizan. En esta charla veremos como se complementan el Threat Hunting y Malware Reversing para obtener la maxima informacion sobre como funciona un ataque para evitar que suceda, o que no vuelva a ocurrir.
Aaron Jornet Sales
Investigador de Seguridad enfocado en ingenieria inversa de Malware y analisis de amenazas, ahora parte de Telefonica Threat Hunting Team. Desde que comenzó a trabajar en ciberseguridad, pasa la mayor parte de su tiempo libre posible aprendiendo mas sobre campañas y APT con un enfoque en TTP y malware que utilizan.
Una foto de un soldado es suficiente para encontrar su red, su batallón, su familia y sus amigos a través del reconocimiento facial y mucho OSINT. ¿Qué pistas dejó este soldado? ¿Qué errores ha cometido que facilitaron esta investigación? Pistas similares te dejan tus vecinos, tu madre e incluso los famosos e influencers.
Jezer Ferreira
Formador oficial de Ciberinteligencia y OSINT para departamentos de policía e investigación forense en los siguientes países: Brasil, Argentina, Perú, Guatemala, Honduras, México y España.
Profesor de OSINT y CySA en el Máster de Ciberseguridad y Ciberdefensa de la Universidad de Santiago de Compostela, España. Coordinador de formaciones de Ciberinteligencia en Cyber Hunter Academy. Profesor de Ciberseguridad y Ciberinteligencia en distintos bootcamps. Juez y miembro del comité global OSINT Search Party CTF (Evento destinado a la búsqueda de personas desaparecidas utilizando técnicas OSINT), organizado por TraceLabs y el Departamento de Policía Federal de Toronto - Canadá. Miembro activo e Instructor de IACA – International Association of Crime Analysts. Cofundador de la comunidad OSINT & Beers. Miembro activo de la comunidad de Inteligencia Ginseg.
Proof of concept USB composite device which demonstrates an end-to-end solution that infiltrates an isolated-offline-network and covertly extracts data over both radio frequency or close access covert storage while hiding from forensic analysis.
David Reguera Garcia
Senior malware researcher, developing antivirus/endpoint detection and response (EDR), reversing, forensics and OS Internals, C/C++, x86 x64 ASM, hardware hacking, AVR, ARM Cortex
En cualquier distopía sanitaria, el hacking acaba apareciendo como último recurso de quien se ve en una situación límite. Veremos varios casos donde el pensamiento lateral fue clave para sobrevivir. Como práctica, aprenderemos a fabricarnos nuestro propio electrocardiógrafo IoT (ECG), las técnicas usadas para el tratamiento de la señal, así como su potencial aplicación en ciberseguridad. ¡Bienvenido al Mad Max médico!
David Meléndez Cano
David Meléndez es ingeniero de sistemas embebidos en Albalá Ingenieros, S.A. Autor del libro "Hacking con Drones", ha presentado sus trabajos sobre hardware hacking, drones y seguridad, a nivel nacional en congresos como RootedCon, NavajaNegra, etc e internacional como DefCon USA, BlackHat, NuitDuHack, Codemotion, HongKong OpenSource, etc.
La mensajería instantánea se ha convertido en un pilar fundalmental en las comunicaciones del día a día, personales, corporativas e incluso confidenciales. El auge de la privacidad ha hecho que muchas de estas tecnologías hayan tenido que ser revisadas y actualizadas con protocolos y tecnologías de cifrado. Una aplicación de mensajería instantánea habitual es Telegram usada por actores y objetivos variados. Comprender su seguridad es útil para usarla eficazmente, descartarla por otras alternativas o diseñar nuevos vectores de ataque.
En esta charla analizaremos la privacidad y criptografía utilizada en Telegram y su protocolo de comunicación MTProto 2.0. Se analizarán las ventajas, incoveninentes y los ataques actuales a esta plataforma, del mismo modo se obtendrán buenas recomendaciones de diseño de soluciones criptográficas que, por desgracia, no están implementadas en Telegram a pesar de, se desarrollará durante la ponencia, su supuesta seguridad.
Alfonso Muñoz
Head of Cybersecurity Unit & cybersecurity research | Principal Offensive Security and Cryptography/Steganography Expert
PhD in Telecommunications Engineering by Technical University of Madrid (UPM) and postdoc researcher in network security by Universidad Carlos III de Madrid (UC3M). He is a cybersecurity Tech Lead for more than 18 years and has published more than 60 academic publications (IEEE, ACM, JCR, hacking conferences…), books, patents and computer security tools. He has also worked in advanced projects with European Organisms, public bodies and multinational companies (global 500). For over a decade, he has been involved in security architecture design, penetration tests, forensic analysis, mobile and wireless environments, and information security research (leading technical and scientific teams). He created two startups: CriptoCert (focused on the development of training and technologies to improve cryptographic knowledge) and BeRealTalent (technology to detect and improve soft skills).
Alfonso frequently takes part as a speaker in hacking conferences (STIC CCN-CERT, DeepSec, HackInTheBox, Virus Bulletin, Ekoparty, BlackHat Europe, BSIDES Panama, RootedCon, 8.8, Cybersecurity Summer Bootcamp INCIBE, No cON Name, GSICKMinds, C1b3rwall academy, Cybercamp, Secadmin, JNIC, Ciberseg,X1RedMasSegura, Navaja Negra, T3chfest, Shellcon, H-c0n...) and commercial and academic security conferences (+60 talks). He is certified by CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), CEHv8 (Certified Ethical Hacker), CHFIv8 (Computer Hacking Forensic Investigator), OSWP (Offensive Security Wireless Professional), CES (Certified Encryption Specialist) and CCSK (Certificate of Cloud Security Knowledge). Several academic and professional awards (Hall Fame Google, TOP50 Spain-2020 Cybersecurity Blue Team [IDG Research], etc.). Professor in several university master's degree programs (cybersecurity)
He is co-editor of the Spanish Thematic Network of Information Security and Cryptography (CRIPTORED), where he develops and coordinates several projects about cybersecurity and advanced training, with great impact in Spain and Latam.
In this talk we describe and demonstrate multiple techniques for circumventing existing Microsoft 365 application security controls and how data can be exfiltrated from highly secure Microsoft 365 tenants which employ strict security policies.
That is, Microsoft 365 tenants with application policies to restrict access to a range of predefined IP addresses or subnets, or configured with Conditional Access Policies, which are used to control access to cloud applications. Assuming a Microsoft 365 configuration has enforced these types of security policy, we show how it can be possible to bypass these security features and exfiltrate information from multiple Microsoft 365 applications, such as OneDrive for Business, SharePoint Online, Yammer or even Exchange Online.
Juan Garrido
Juan Garrido is passionate about security. He is working at the security firm NCC Group as a consultant specializing in security assessment. During his more than ten years as a security professional, he also has been working on several security projects and court investigations. Juan has written several technical books and security tools. He is the author of the security tool voyeur and he also writes as frequent contributor on several technical magazines in Spain including, Trade Press and Digital Media.
Juan was recognized as a Microsoft Most Valuable Professional (MVP) in Enterprise Security, now called Cloud and Datacenter Management. He has participated as speaker at many conferences such as RootedCon, GsickMinds, DEFCON, Troopers, BlackHat, etc...
Desde hace mas de 10 años, las plataformas de mensajería instantanea (IM) se han convertido en la forma más habitual de comunicarnos. Este tipo de aplicaciones nos permiten una comunicación fácil y sencilla, tanto que en sus inicios desplazaron a otras formas de comunicación como los SMS e incluso a las llamadas de voz. A lo largo de este tiempo muchas de estas plataformas han sufrido distintos problemas de seguridad que han ido paliando con el tiempo.
Las plataformas de IM han ido adoptando medidas y protocolos que mejoran la privacidad en las comunicaciones de los usuarios, la mas conocida es el cifrado extremo a extremo implementado originalmente por Telegram y Signal, que fue adoptado posteriormente por WhatsApp.
Sin embargo, estas medidas no han impedido que IM estén entre las aplicaciones mas interesantes para el espionaje masivo. Noticias como los programas de espionaje masivo de la NSA o en las que agencias gubernamentales exigen acceso a las claves privadas de estas plataformas debe hacernos reflexionar sobre el alcance de dichas medidas de privacidad y si estas medidas pueden ser desactivadas a voluntad de estas agencias o del creador de la app, obteniendo así acceso a nuestros mensajes.
Este tipo de dudas impulsó unos trabajos que presenté hace años en los que mediante el uso de una VPN se podía añadir una capa de seguridad extra que protegiera las comunicaciones gracias al uso de criptografia. En este trabajo presento una nueva serie de medidas de protección que se pueden añadir dentro de las aplicaciones de IM para que las comunicaciones con este tipo de aplicaciones incluyan una capa extra de cifrado que impida que personas ajenas puedan husmear en las conversaciones que tenemos en estas aplicaciones. Añadir estas medidas junto a la aplicación de IM consigue que el uso de la criptografía sea mas fácil para el usuario final frente a propuestas anteriores. Gracias al uso de introspección de aplicaciones y técnicas de hooking se pueden lograr añadir la capa extra de seguridad. Durante la charla se mostrará de forma práctica cómo se añade esta capa extra de seguridad y su utilidad.
Pablo San Emeterio
Pablo San Emeterio es Ingeniero Informático y Master en Auditoría y Seguridad de la Información por la UPM, posee distintas certificaciones como son CISA o CISM. Es un apasionado de las nuevas tecnologías en general y de la seguridad informática en particular. Ha estado trabajando desde hace más de 20 años en distintos puestos relacionados con el desarrollo de software y la I+D+i. En el mundo de la seguridad informática lleva trabajando más de 12 años, destacando principalmente por sus investigaciones sobre la seguridad de las distintas aplicaciones de mensajería instantánea junto con trabajos sobre técnicas de hooking. Esto le ha permitido participar como ponente en los principales en eventos internacionales de renombre tales como Shmoocon (Washington) o Black Hat (Amsterdam, Sao Paulo y Las Vegas), así como repetidas ponencias en congresos nacionales de prestigio como Rootedcon, Jornadas STIC, NcN, Navajas Negras, ConectaCON, etc.
También colabora todos los lunes en el espacio de Ciberseguridad del programa Afterwork de Capital Radio, donde se tratan temas de actualidad del mundo de la ciberseguridad y se difunde la cultura de ciberseguridad en la sociedad. Además, es profesor del Master en Ciberseguridad de la UCAM, del Programa Superior en Ciberseguridad y Compliance de ICEMD, del curso OSINT: Investigaciones en Internet mediante fuentes abiertas de aesYc y del Master en Ciberseguridad de IEBS
Actualmente trabaja como Jefe de Evaluaciones Tecnicas en el departamento New Markets de Telefonica CyberTech.
La herencia de manejadores de objetos entre procesos en un sistema Microsoft Windows puede constituir una buena fuente para la identificación de vulnerabilidades de elevación de privilegios locales (LPE). Tras introducir los conceptos básicos alrededor de este tipo de debilidades de seguridad, se presentará una herramienta capaz de identificarlos y explotarlos, aportando a Pentesters y Researchers un nuevo punto donde focalizar sus acciones de intrusión e investigación respectivamente.
Roberto Amado Gimenez
Ingeniero en Informática y Telecomunicaciones trabaja en S2 grupo y en el mundo de la seguridad desde hace más de 14 años como Pentester, Incident Handler, ICS security analyst y APT hunter, siendo actualmente el subdirector de seguridad de la compañía. Autor de varias guías STIC (Pentesting, DNS y revisión WIFI) y con varias publicaciones en el mundo de la seguridad en redes 802.11. Esta certificado como: CISA, CISSP, GIAC-GPEN, GIAC-GICSP, GIAC-GCIH
Los ataques dirigidos de ransomware son unas de las amenazas más críticas a día de hoy en todo el mundo. Las operaciones de ransomware pasaron de distribuirse de forma indiscriminada por correo electrónico a desplegarse de forma síncrona en todos los sistemas críticos de grandes compañías, que los atacantes eligen previamente. El número de incidentes es tan alto que casi nos sabemos de memoria sus modus operandi, pero no hay tanta información sobre cómo operan los atacantes de forma interna. Esta charla explicará cómo operan los grupos de ransomware y qué recursos usan antes y después de un ataque, desde servicios de afiliados a las plataforma de "soporte a cliente". Este conocimiento es importante para saber cómo reaccionar y defenderse cuando llegue el momento, porque ese momento llegará.
Jose Miguel Esparza
Jose Miguel Esparza es responsable del área de Threat Intelligence en Blueliv, centrado en la investigación y la generación de inteligencia sobre botnets, malware y cibercriminales. Jose Miguel es un investigador de seguridad que lleva analizando amenazas en Internet desde 2007, empezando en el equipo de e-crime de S21sec, posteriormente liderando el equipo InTELL de Fox-IT hasta el final de 2017, y, finalmente, incorporándose a Blueliv para enriquecer y potenciar su oferta de Threat Intelligence. Es el autor de la herramienta de seguridad peepdf y suele escribir en eternal-todo.com sobre seguridad y amenazas en Internet cuando el tiempo lo permite. Ha tomado parte en diversas conferencias locales e internacionales como RootedCon, Cybersecurity Summer BootCamp, Source, Black Hat, Virus Bulletin, Troopers y Botconf, entre otras. Se le puede encontrar fácilmente en Twitter, @EternalToDo, hablando sobre seguridad.
A lo largo de 2021 Tarlogic ha llevado a cabo una investigación sobre fraudes y abusos utilizados hoy en día en la blockchain de Ethereum, mediante análisis BigData con técnicas de ML y el reversing de smartcontracts se ha descubierto e investigado cómo se están abusando para robar y/o defraudar el capital depositado en forma de criptomonedas o tokens.
Se tratará el funcionamiento de las criptomonedas y el blockchain, centrado principalmente en la red Ethereum y el ecosistema de tokens ERC20 y DEX (Decentralized Exchange) usados en Uniswap v2.
Se estudian diferentes tipos de fraudes: técnicas de manipulación de precios heredados del mundo de la bolsa clásica, así como otros descubiertos e identificados durante esta investigación que, abusando de esta tecnología, se están utilizando de manera activa para el secuestro de capital de usuarios que realizan compraventas de criptomonedas en esta blockchain.
Jaime Fábregas Fernández
Jaime Fábregas, R&D manager at Tarlogic, holds a BS degree in computer engineering with academic honors from the University of Santiago de Compostela and MS in software engineering, from the University of Granada. He has 20+ years of experience in the software development sector. He has worked for multinational companies developing secure communications in the banking sector with embedded systems. During his time in Tarlogic he has specialized in low and high level development of WiFi technologies and has been involved in Data Science and Blockchain technology.
A lo largo de 2021 Tarlogic ha llevado a cabo una investigación sobre fraudes y abusos utilizados hoy en día en la blockchain de Ethereum, mediante análisis BigData con técnicas de ML y el reversing de smartcontracts se ha descubierto e investigado cómo se están abusando para robar y/o defraudar el capital depositado en forma de criptomonedas o tokens.
Se tratará el funcionamiento de las criptomonedas y el blockchain, centrado principalmente en la red Ethereum y el ecosistema de tokens ERC20 y DEX (Decentralized Exchange) usados en Uniswap v2.
Se estudian diferentes tipos de fraudes: técnicas de manipulación de precios heredados del mundo de la bolsa clásica, así como otros descubiertos e identificados durante esta investigación que, abusando de esta tecnología, se están utilizando de manera activa para el secuestro de capital de usuarios que realizan compraventas de criptomonedas en esta blockchain.
Miguel Tarascó Acuña
Miguel Tarascó, cofundador de Tarlogic Security y Tarlogic Research, la empresa del grupo especializada en I+D y desarrollo de soluciones. Ingeniero Informático por la Universidad de Santiago de Compostela, tiene más de 15 años de experiencia en el campo de la seguridad informática, durante los cuales ha publicado fallos de seguridad, herramientas e impartido ponencias de cyberseguridad.
Recruiters. Encorbatados, sufridos y detestados por todo técnico que tenga LinkedIn. Soy programador con +15 años de experiencia, también he recibido quinticientas propuestas que poco tenían que ver con nosotros. Hoy, nos dedicamos a aquello que un día nos pareció el lado oscuro de la fuerza: somos Technical Recruiters en Manfred. ¿Qué carallo hacen programadores haciendo recruiting? ¿Éramos muy malos y no nos quedó otra? Te vamos a contar el secreto de por qué marca la diferencia que los técnicos participemos en la selección de nuestros equipos.
Leonardo Poza
As a continuation of the research conducted through 2019 and 2020 about smart meters and the PRIME protocol, Tarlogic has analized the technology and developed new attacks on 2021, giving as a result PLCTool, a software tool for capturing and analyzing PRIME traffic, as well as executing attacks. Functionality has been added to easily reproduce the attacks and to create new ones.
As an introduction, we will speak about how the electrical system works and the role of smart meters. Then some of the security faults of the PRIME protocol and its implementation will be explained and we will go through the advances since the last presentation on RootedCon 2020.
After the talk, a proof of concept attack will be shown to demonstrate how PLCTool works.
Jesús María Gómez Moreno
I am a computer engineer with a deep interest on software development and security issues.
La cosa está bastante complicada con la ciberseguridad, y parece que no hay vistas de que vayamos: ransomware, estafas al CEO, mineros, ciberataques alienígenas... En esta charla desgranaremos cómo responder a incidentes, pero yendo más allá de las distintas fases y ofreciendo consejos prácticos (algunos aprendidos por las malas, y otros por las peores, la experiencia es así), junto con algunos trucos y muchas batallitas. El objetivo: mejorar vuestro incidente-fú y ayudaros a patear a los malos de vuestros sistemas con extremo prejuicio.
Antonio Sanz
Ingeniero Superior de Telecomunicaciones por la Universidad de Zaragoza, con más 20 años de experiencia en el sector de la seguridad de la información. Actualmente es jefe de proyecto senior de S2 Grupo, desarrollando tareas de respuesta ante incidentes y análisis forense
Dynamic Binary Instrumentation (DBI) is a dynamic analysis technique that allows arbitrary code to be executed when a program is running. DBI frameworks have started to be used to analyze malicious applications. As a result, different approaches have merged to detect and avoid them. Commonly referred to as split personality malware or evasive malware are pieces of malicious software that incorporate snippets of code to detect when they are under DBI framework analysis and thus mimic benign behavior. Recent studies have questioned the use of DBI in malware analysis, arguing that it increases the attack surface. In this talk, we examine the anti-instrumentation techniques that abuse desktop-based DBI frameworks and existing countermeasures to determine if it is possible to reduce the exploitable attack surface introduced by these DBI frameworks. In particular, we review the related literature to identify (i) the existing set of DBI framework evasion techniques and (ii) the existing set of countermeasures to avoid them. We also analyze and compare the taxonomies introduced in the literature, and propose a new taxonomy that expands and completes the previous taxonomies. Our findings demonstrate that despite advances in DBI framework protections that make them quite suitable for system security purposes, more efforts are needed to reduce the attack surface that they add during application analysis. Only 12 of the 26 evasion techniques covered in this document have countermeasures, threatening the transparency of DBI frameworks. Furthermore, the impact in terms of performance overhead and effectiveness of these countermeasures in real-world situations is unknown. Finally, there are only proofs of concept for 9 of these 26 techniques, which makes it difficult to validate and study how they evade the analysis in order to counter them. We also point out some relevant issues in this context and outline ways of future research directions in the use of DBI frameworks for system security purposes.
Ricardo J. Rodríguez
Ricardo J. Rodríguez es Doctor en Informática e Ingeniería de Sistemas por la Universidad de Zaragoza desde 2013. Actualmente, trabaja como Profesor Contratado Doctor en la misma universidad. Sus intereses de investigación incluyen el análisis de sistemas complejos, con especial énfasis en el rendimiento y su seguridad, el forense digital y el análisis de aplicaciones binarias. Participa como ponente habitual y profesor de talleres técnicos en numerosas conferencias de seguridad del sector industrial, como NoConName, Hack.LU, RootedCON, Hack in Paris, MalCON, SSTIC CCN-CERT, o Hack in the Box Amsterdam, entre otras. Lidera una línea de investigación dedicada a seguridad informática en la Universidad de Zaragoza (https://reversea.me).
Las organizaciones utilizan cada vez más plataformas SaaS y nubes externas. Lo que hace que el principio de mínimos privilegios sea especialmente importante. En esta charla presentaré cómo usar PurplePanda para encontrar de forma sencilla paths para escalar privilegios dentro de un mismo cloud y a través distintas plataformas (GCP, Kubernetes y Github).
La ejecución de binarios en memoria desde una shell inversa en la maquina del objetivo es algo muy común en entornos Windows, existen decenas de formas distintas de lograr esto y muchas de ellas muy sencillas. Sin embargo, en entornos Linux no es tan frecuente, ni tan sencillo cargar cosas en memoria desde una simple sesión de bash, por ejemplo.
En esta charla vamos a presentar una novedosa técnica para cargar binarios y shellcodes en memoria desde una sesión de linux sin la necesidad de tocar el disco, permitiendo no solo ser potencialmente mas sigilosos, sino bypassear medidas como el montar el sistema de ficheros protegido con read only y/o con noexec.
Durante la charla se liberará además una herramienta que permite explotar esta técnica de forma muy sencilla.
Carlos Polop
Carlos está graduado en Ingeniería de Telecomunicaciones con Master en Ciberseguridad.
Ha trabajado principalmente como Penetration Tester y Red Teamer para varias compañías, pero también como desarrollador y administrador de sistemas. Tiene varias certificaciones relevantes en el ámbito de la ciberseguridad como el OSCP, OSWE, CRTP, eMAPT y eWPTXv2.
Fue capitán de la selección Española en 2021.
Desde que comenzó ha aprender ciberseguridad ha tratado de compartir su conocimiento con la comunidad de infosec publicando herramientas open source como https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite y escribiendo un libro gratuito de hacking que cualquiera puede consultar en https://book.hacktricks.xyz
La ejecución de binarios en memoria desde una shell inversa en la maquina del objetivo es algo muy común en entornos Windows, existen decenas de formas distintas de lograr esto y muchas de ellas muy sencillas. Sin embargo, en entornos Linux no es tan frecuente, ni tan sencillo cargar cosas en memoria desde una simple sesión de bash, por ejemplo.
En esta charla vamos a presentar una novedosa técnica para cargar binarios y shellcodes en memoria desde una sesión de linux sin la necesidad de tocar el disco, permitiendo no solo ser potencialmente mas sigilosos, sino bypassear medidas como el montar el sistema de ficheros protegido con read only y/o con noexec.
Durante la charla se liberará además una herramienta que permite explotar esta técnica de forma muy sencilla.
Yago Gutiérrez
Yago estudia actualmente Ingeniería de Telecomunicaciones. Es programador de C, tolera python y tiene amplios conocimientos de Linux Internals. Es frecuente jugador de CTFs y ha participado este año en el ECSC2020 como integrante de la selección española.
En esta sesión hablaremos sobre Jupyter notebooks, qué son y como pueden ser usados para operacionalizar tareas complejas de Hunting usando una colección de bibliotecas para machine learning, visualización y análisis de datos. Así mismo entraremos al detalle de como el SOC de Microsoft utiliza esta herramienta en una variedad de casos para analizar diferentes entidades (Host, IP, Cuentas, WAF, etc.) o escenarios (Solarwinds postcompromise, detección de beacons, etc.)
Fernando Rubio
Fernando Rubio es el líder de ciberseguridad de Microsoft en el área de CSU, dirigiendo el equipo encargado de las tecnologías de seguridad, identidad y cumplimiento normativo, así como de dar una primera respuesta a los incidentes de ciberseguridad de los clientes de gran empresa. Anteriormente ha trabajado como arquitecto de seguridad, así como en respuesta a incidentes. Fernando es presentador habitual del sector de la seguridad.
En esta sesión hablaremos sobre Jupyter notebooks, qué son y como pueden ser usados para operacionalizar tareas complejas de Hunting usando una colección de bibliotecas para machine learning, visualización y análisis de datos. Así mismo entraremos al detalle de como el SOC de Microsoft utiliza esta herramienta en una variedad de casos para analizar diferentes entidades (Host, IP, Cuentas, WAF, etc.) o escenarios (Solarwinds postcompromise, detección de beacons, etc.)
Alvaro Jimenez Contreras
Alvaro Jimenez es parte del equipo de ciberseguridad en el área de CSU. Ha trabajado en múltiples eventos de seguridad críticos en clientes dando respuesta a los incidentes. Lleva trabajando en el campo de la identidad mas de 10 años y en el de la ciberseguridad más de 5 años. Alvaro lleva implementando Sentinel en las grandes empresas mas de 3 años.
Las gafas de realidad virtual son la puerta a las nuevas soluciones que nos permiten sumergirnos en entornos digitales, pero necesitamos desbloquear todo su potencial para poder comenzar a entender las nuevas reglas de este universo. ¿Cómo podemos conseguir un dispositivo que nos permita explorar los secretos de los mundos virtuales?
Antonio Pérez Sánchez
Apasionado de la tecnología con más de 5 años de experiencia en el sector de la Ciberseguridad en el campo ofensivo, actualmente en NTT DATA. Profesor del master de Ciberseguridad en la Universidad Pontificia de Comillas y estudiante de doctorado. Actualmente posee las titulaciones de CEH, Comptia Sec+, OSCP, OSCE. Disfruta resolviendo nuevos retos, aprendiendo y enseñando nuevos conocimientos con compañeros y colegas del sector.
Las gafas de realidad virtual son la puerta a las nuevas soluciones que nos permiten sumergirnos en entornos digitales, pero necesitamos desbloquear todo su potencial para poder comenzar a entender las nuevas reglas de este universo. ¿Cómo podemos conseguir un dispositivo que nos permita explorar los secretos de los mundos virtuales?
Villaverde Prado Álvaro
Con una base de más de doce años en IT y desarrollo, he estado los 5 últimos años enfocando mi pasión por la tecnología hacia el hacking ético y la ciberseguridad, disfrutando de resolver nuevos retos, de intercambiar conocimiento con compañeros y colegas, y de comprender cada vez mejor cómo funcionan estos ábacos glorificados que llamamos ordenadores.
Following in the footsteps of a cyber-criminal and uncovering their digital footprint. This is a journey inside the mind of an ethical hacker s response to a ransomware incident that brought a business to a full stop, and discovering the evidence left behind to uncover their attack path and the techniques used. Malicious attackers look for the cheapest, fastest, stealthiest way to achieve their goals. Windows endpoints provide many opportunities to gain entry to IT environments and access sensitive information. This session will show you the attacker s techniques used and how they went from zero to full domain admin compromise that resulted in a nasty CryLock ransomware incident.
In this session I will cover a real-world incident response to the CryLock ransomware showing the techniques used by the attackers. The footprints left behind and uncovering the techniques used.
Joseph Carson
Joseph Carson is an award-winning cyber security professional and ethical hacker with more than 25 years’ experience in enterprise security specialising in blockchain, endpoint security, network security, application security & virtualisation, access controls and privileged account management. Joe is a Certified Information Systems Security Professional (CISSP), active member of the cyber security community frequently speaking at cyber security conferences globally, often being quoted and contributing to global cyber security publications.
During his Black Hat 2015 presentation, James Kettle explained how template injections could lead to code execution. At the end of the talk, he recommended running application in containers with limited privileges and read-only file system. Six years later, containers are now the standard of web-app deployment and getting code execution inside a well isolated container can be seen as low impact.
This talk will explore new exploitation techniques specially crafted for hardened environment.
One overlooked aspect of SSTI is that the injected code is running in the webserver process, this allows an attacker to do in-memory attack and inject persistent malicious code without the need to touch the file system. We will dive into the internals of Flask, Django and Express to understand how a request is handled and how we can hook internal functions to steal secrets or deliver malicious code to the users.
This talk will be completed by the presentation of "parasite", a new tool made to facilitate such attacks by providing a simple GUI to explore a website internals and hook any routes.
BitK
BitK is a French security researcher, bug hunter, member of the French CTF team The Flat Network Society and Tech Ambassador at YesWeHack.
He has been doing CTF and bug bounty for over ten years with a specialty in web exploitation.
He is also the author of multiple hacking tools like pwnfox, xsstools, pwnmachine and more.
We will dive into different real life scenarios of possible logic flaws in modern web applications and how to abuse them.
Ahmed Baha Eddine Belkahla
Cyber Security Specialist at Yogosha, Web Security Researcher and CTF Player at Zer0pts Team. Technical Director at Securinets Association and Cyber Security Engineering Student at INSAT.
Abordaremos la historia de este campo empezando con el famoso Akinator de 2007, pasando por el desafío que fue el desarrollo de Shazam ,el Autopilot de Tesla, y el último gran logro: el Deep Fake. Veremos como se aplica el machine learning en el mundo de Ciber en el ámbito de los EDR y como a futuro los ataques de phishing se trasladaran al campo de las videoconferencias, y creerás estar hablando con alguien quien no es quien dice ser…
Jesus Dominguez Belinchon
Ingeniero en Informática por la Universidad de Alcalá de Henares. Ha desarrollado su carrera profesional como consultor de seguridad especializado en el área de Gestión de Identidades y Cuentas Privilegiadas.
Actualmente está liderando la práctica de Identidad Digital dentro del área de Cyberseguridad en DXC.Technology.
También ha participado como ponente en otros eventos del ámbito de la ciberseguridad en la Universidad de Alcalá (CIBERSEG).
Abordaremos la historia de este campo empezando con el famoso Akinator de 2007, pasando por el desafío que fue el desarrollo de Shazam ,el Autopilot de Tesla, y el último gran logro: el Deep Fake. Veremos como se aplica el machine learning en el mundo de Ciber en el ámbito de los EDR y como a futuro los ataques de phishing se trasladaran al campo de las videoconferencias, y creerás estar hablando con alguien quien no es quien dice ser…
Mario Muñoz Gomez
Es el Director de preventa del equipo de Cyber de DXC. Lleva más de 13 años dedicado a la seguridad, desarrollando su carrera principalmente en el área de Endpoint Security , DLP y Gestión de equipos.
Es un apasionado de las tecnologías y de la ciencia, siempre investigando y "cacharreando".
También ha participado como ponente en otros eventos del ámbito de la ciberseguridad en la Universidad de Alcalá (CIBERSEG).
Compartir CTI (Cyber Threat Itelligence) debería potenciar la seguridad de las organizaciones. Sin embargo a pesar de los beneficios, el intercambio de información todavía tiene margen de mejora, en tiempo, en fondo y en forma.
Emilio Rico Ruiz
Emilio Rico Ruiz es Teniente Coronel del Arma de Caballería. Es diplomado de Informática Militar, Master en Dirección de Sistemas de Información y Telecomunicaciones y CISM. Está destinado en la Fuerza de Operaciones del Mando Conjunto del Ciberespacio.
Mi nombre es Jorge Montejano Rodriguez, os contaré las diferentes formas no habituales de practicar hacking.
Jorge Montejano
Mi nombre es Jorge Montejano Rodriguez, os contaré las diferentes formas no habituales de practicar hacking.
La charla muestra al asistente las bondades de usar marcos normativos y sus controles técnicos como guías para mejorar la defensa de las organizaciones.
Más allá de la capa de gestión, existen normativas que nos ayudan con la mejore técnica.
Durante la charla se mostrarán controles interesantes para mejorar el Blue Team ( Defensa y Detección) de los populares marcos regulatorios.
Joaquín Molina
Miembro del equipo de seguridad de Verne Tech. y colaborador con varias organizaciones.
Joaquín Molina o kinomakino es un apasionado de la tecnología en general y la seguridad desde mediados de los 90. Cuenta con numerosas certificaciones y pertenece a organizaciones de reconocido nombre como ENISA o la obtención del premio Microsoft MVP los últimos años.
Ponente en numerosas conferencias enfocadas siempre a redes, comunicaciones, hacking, auditorias, threat Intelligence y todos los aspectos relacionados con seguridad defensiva.
Como me pasa con todo en mi vida, en ciberseguridad también prefiero hacer a ver cómo hacen.
Chesco Romero Ciborro
Más de veinte años trabajando en ciberseguridad y sufriendo la falta de agilidad de las Administraciones Públicas.
Los Hospitales y Cadenas de Suministro de más de 30 países, incluído España, han recibido desde 2015 varios ciberataques de un malware/APT llamado Kwampirs (Orangeworm), el cuál se ha llegado a encontrar en estaciones de trabajo conectadas a máquinas de Resonancia Magnética y de Rayos X. Shamoon es un "Wiper" que se usó contra Saudi Aramco en 2012, borrando más de 30000 discos duros y paralizando la producción de petróleo, considerándose un acto de ciberguerra. Posteriormente se han usado nuevas versiones de Shamoon incorporando nueva funcionalidad, y se han atribuído todas las campañas a grupos de APTs relacionados con APTs nation-state de Irán. Hace dos años Cylera -empresa especializada en seguridad de dispositivos médicos donde trabaja el ponente- hizo pública la relación de código entre Kwampirs y Shamoon, de la cuál se acabó haciendo eco el FBI. Ésta agencia publicó un mes más tarde 3 alertas, en meses consecutivos, alertando sobre el uso de Kwampirs contra Healthcare e ICS y la existencia de similitudes de código con Shamoon. Sin embargo una atribución técnica completa no se puede sustentar sólo por similitudes de código en dos artefactos estáticos. El código de Shamoon podía haber sido robado o reutilizado (con ingeniería inversa) para hacer Kwampirs como un elemento de falsa bandera (o simplemente atribución errónea). Por este motivo Cylera siguió investigando, tratando de contextualizar la línea evolutiva del código de Kwampirs en relación con la de Shamoon, descubriendo varios indicadores técnicos, que hasta la fecha habían pasado desapercibidos en ambas familias, y que las enlazan hasta el punto de que no se puede entender la evolución de Kwampirs sin Shamoon, ni Shamoon 2 sin Kwampirs. Esta ponencia explica en primicia las dificultades y desafíos de la investigación, los enfoques y análisis elegidos, las evidencias descubiertas y las conclusiones de la investigación.
Pablo Rincon Crespo
Pablo Rincón es VP de Ciberseguridad en Cylera, donde realiza investigaciones de amenazas en entornos sanitarios y vulnerabilidades a dispositivos IoT, especialemente IoT médico. Pablo ha trabajado en proyectos como Suricata, OSSIM/Alienvault, Emerging Threats, ha participado en IR, forenses y análisis de malware para varias empresas del IBEX35, y su perfil combina la ingeniería de soluciones de ciberseguridad, la ingeniería inversa y la Inteligencia de amenazas.
La presentación propuesta compartirá con los asistentes los resultados de la investigación con pruebas prácticas llevada a cabo sobre dos grandes áreas de las redes 5G: ataques de IMSI Catching en redes 5G (NSA y SA) y ataques de denegación de servicio a la capa de acceso 4G y 5G. Se presentarán por primera vez públicamente los resultados y metodología desarrollada en el trabajo publicado por Miguel Gallego: "Estudio de la seguridad en redes móviles 5G y vectores de ataque a las identidades de los abonados", (https://www.researchgate.net/publication/354962681_STUDY_OF_SECURITY_IN_5G_MOBILE_NETWORKS_AND_ATTACK_VECTORS_ON_SUBSCRIBER_IDENTITIES) y se mostrarán los resultados prácticos de los primeros ataques de denegación de servicio a la capa de acceso de redes móviles 4G y 5G, realizados durante las primeras auditorías a redes comerciales. El objetivo principal de la ponencia es compartir el trabajo de investigación práctica realizado por los investigadores, realizando demostraciones en el escenario, para aportar la visión práctica a todo lo presentado en los últimos años sobre la seguridad de las redes móviles 5G. A lo largo de toda la presentación se hará hincapié en las herramientas de Radio Definida por Software (SDR) utilizadas durante todo el ciclo de la investigación, para continuar fomentando en la cultura hacking el uso de estos dispositivos con el objetivo de animar a los espectadores a emprender proyectos de esta naturaleza. Para finalizar, se mostrará una comparativa de distintas soluciones para monitorizar y mitigar estos ataques desde el punto de vista de los usuarios de las redes móviles, es decir, el público.
Pedro Cabrera
Ingeniero industrial, entusiasta de la radio definida por software (SDR) y los drones, ha trabajado en los principales operadores de telecomunicaciones españoles, realizando auditorías de seguridad y pentesting en redes móviles y fijas. En los últimos años ha liderado el proyecto de EthonShield, una startup de ciberseguridad centrada en la seguridad de las comunicaciones y en el desarrollo de nuevos productos de monitorización y defensa. Ha participado en eventos de seguridad en los Estados Unidos (RSA, CyberSpectrum, Defcon), Asia (BlackHat Trainings) y España (Rootedcon, Euskalhack, ShellCON, ViCON)
La presentación propuesta compartirá con los asistentes los resultados de la investigación con pruebas prácticas llevada a cabo sobre dos grandes áreas de las redes 5G: ataques de IMSI Catching en redes 5G (NSA y SA) y ataques de denegación de servicio a la capa de acceso 4G y 5G. Se presentarán por primera vez públicamente los resultados y metodología desarrollada en el trabajo publicado por Miguel Gallego: "Estudio de la seguridad en redes móviles 5G y vectores de ataque a las identidades de los abonados", (https://www.researchgate.net/publication/354962681_STUDY_OF_SECURITY_IN_5G_MOBILE_NETWORKS_AND_ATTACK_VECTORS_ON_SUBSCRIBER_IDENTITIES) y se mostrarán los resultados prácticos de los primeros ataques de denegación de servicio a la capa de acceso de redes móviles 4G y 5G, realizados durante las primeras auditorías a redes comerciales. El objetivo principal de la ponencia es compartir el trabajo de investigación práctica realizado por los investigadores, realizando demostraciones en el escenario, para aportar la visión práctica a todo lo presentado en los últimos años sobre la seguridad de las redes móviles 5G. A lo largo de toda la presentación se hará hincapié en las herramientas de Radio Definida por Software (SDR) utilizadas durante todo el ciclo de la investigación, para continuar fomentando en la cultura hacking el uso de estos dispositivos con el objetivo de animar a los espectadores a emprender proyectos de esta naturaleza. Para finalizar, se mostrará una comparativa de distintas soluciones para monitorizar y mitigar estos ataques desde el punto de vista de los usuarios de las redes móviles, es decir, el público.
Miguel Gallego
Ingeniero industrial, actualmente trabaja en vulnerabilidades de redes de código abierto no comerciales, ataques a las identidades móviles de los suscriptores a dichas redes móviles. Enfoque principal en las redes 5G. Implementación y automatización de ataques a plataformas SDR. En el último año se ha unido al proyecto de EthonShield como investigador y desarrollador en el área de telecomunicaciones.
La mayor parte de los profesionales TIC que trabajamos en áreas de administración electrónica estamos acostumbrados a generar expedientes electrónicos que, como valor probatorio, contienen las firmas electrónicas de los ciudadanos que intervienen en los procedimientos, los sellos electrónicos de los órganos gestores y, en ocasiones, las firmas electrónicas de los funcionarios que gestionan dichos expedientes.
La mayor parte de estos certificados están emitidos por organismos públicos, que otorgan certificados que permiten la firma electrónica tanto a los ciudadanos que lo solicitan como a los empleados públicos, siendo bastante habitual que cada funcionario tenga una tarjeta criptográfica que contenga su certificado de empleado público, y que se realicen firmas electrónicas avanzadas.
Estos organismos certificadores que emiten certificados digitales cualificados se encuentran dentro de los listados de los prestadores de servicios electrónicos de confianza cualificados que exige Reglamento de la UE n.º 910/2014 (Reglamento eIDAS) y que publica el estado español en la página https://sede.serviciosmin.gob.es/es-es/firmaelectronica/paginas/Prestadores-de-servicios-electronicos-de-confianza.aspx </p> <p>Todo este ecosistema se apoya principalmente en los servicios de @firma, mantenidos por la Secretaría general de Administración Digital, que actúan como garante de que las firmas electrónicas son correctas, y no están revocadas.
Entonces, si la administración pública española realiza firmas electrónicas avanzadas utilizando certificados digitales emitidos por prestadores de servicios electrónicos de confianza que emiten certificados cualificados, ¿cuál es el fallo?
El problema es que no es lo mismo tener una firma electrónica avanzada realizada con un certificado digital cualificado que tener una firma digital cualificada. La diferencia entre una y otra es que la firma electrónica cualificada es una firma electrónica avanzada realizada con un certificado cualificado emitido con un dispositivo seguro de creación de firma (QSCD). El Reglamento eIDAS exige firmas electrónicas cualificadas para las transacciones electrónicas en el mercado interior europeo. Estas firmas cualificadas son las únicas que pueden considerarse como un equivalente digital a las firmas manuscritas y que por consiguiente tienen su mismo valor legal, con lo que sólo tendremos firmas cualificadas cuando hayan sido generadas por un dispositivo seguro QSCD.
En la ponencia se pone de manifiesto que, con la excepción de aquellos organismos que firmen con los certificados del DNI electrónico, que sí son QSCD, la mayor parte de las firmas electrónicas de la administración no pueden considerarse como firmas electrónicas cualificadas.
Jorge Navas
Licenciado en informática por la Universidad Politécnica de Madrid, Master en Tecnologías de la información por la Universidad de Edimburgo. Master en Gobernanza TIC por la Universidad Libre de Bruselas. Experiencia en el sector privado (Grupo SAGEM, Telefónica Móviles, Terra) y en el público (Dirección General de Tráfico, Ministerio del Interior, Comisión Europea, Ministerio de Hacienda). Inspector de servicios habilitado de la Administración General del Estado. Especialidad en seguridad, auditoría de sistemas de información y protección de datos. Certificaciones auditor líder ISO 27001, CISA, CISM y Hacking ético.
Sorprendentemente, existen muy pocas aplicaciones que implementen adecuadamente un sistema de autorización, y casi todas las aplicaciones software lo tienen. Un sistema de autorización es la forma en la que la aplicación verifica si un usuario tiene permisos o no para hacer una acción o para visualizar una información concreta. Algo tan básico y fundamental como un sistema de logging.
En la charla se explicará con algo de humor y ejemplos muy concretos y claros, cómo ha de implementarse, con qué tablas concretas, aportando código fuente real, mostrando ejemplos de cómo no debe hacerse (hay prácticas erróneas muy habituales), y explicando las razones que existen detrás de cada decisión.
Los fallos de concepto y bugs al abordar este asunto están detrás de un alto porcentaje de los incidentes de seguridad en las aplicaciones de desarrollo propio.
Andres Aznar Lopez
Actual Subdirector de tecnologías de la información y las comunicaciones en la Comisión Nacional de los Mercados y la Competencia (CNMC), tiene una larga experiencia en el desarrollo de proyectos de muy diversa índole: infraestructuras, seguridad, comunicaciones, desarrollo software, inspecciones forenses, organizativos... Nada más finalizar la Ingeniería en Informática aprobó las oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información y las Comunicaciones, iniciando su carrera profesional en el departamento de sistemas del antiguo Ministerio de Economía y Hacienda. Desde entonces ha participado y liderado proyectos que han cambiado la forma de trabajar y de pensar en la administraciones pública.
Apasionado de la tecnología, técnico y divulgador por naturaleza, conocedor e integrador de mundos que no siempre se entienden entre sí tan bien como debieran: sistemas, seguridad, desarrollo software y dirección.
Actualmente es el Responsable de Seguridad de la CNMC, ha liderado la creación del área de seguridad, la instauración del control de calidad y seguridad en el desarrollo, e impulsado la implantación del Esquema Nacional de Seguridad.
En Abril de 2021, un ministerio de la Administración General del Estado recibió un ataque por ransomware. Un mail leído mientras subía del parking me hizo cancelar todos los compromisos de la mañana, de la tarde y de la noche. Hasta las 5 de la mañana, libramos una guerra con hamburguesas llena de investigaciones y forenses. Por suerte no se consiguió detonar el ransom. Un día así, y los dos meses posteriores de forenses, son una experiencia real en la que se aprende mucho de esta tendencia actual de ransomware. De forma muy entretenida y técnica, se contará el incidente para conocer estas obras de "arte" que son las intrusiones relámpago para cifrar las redes de las víctimas. Además, se contarán los aciertos y errores, así como lecciones aprendidas y quick wins para estar mejor protegidos. Y quizás, consigamos una entrevista en directo con uno de los operadores de ransom. Espero, que como la Metacharla de Ciberseguridad del año pasado, que no os deje indiferente la charla.
Francisco Hernández Cuchí
Ingeniero de teleco, actor, funcionario y padre de familia numerosa. Liberando CVEs cada dos años aproximadamente. Compaginando la informática con el teatro y la improvisación durante toda mi vida en diferentes formas cada cual más pintoresca. Formador en ciberseguridad en colegios, sirviente publico desde 2008 en tareas de desarrollo, sistemas y ciberseguridad. Asistente a la primera rootedCon y peregrino continuo. Tras un breve tiempo en una consultora, cambié de bando a la Oficina Española de Patentes y Marcas . Actualmente Jefe de Área de Ciberseguridad en el Ministerio de Asuntos Económicos y Transformación Digital. Y en 2020, sueño desbloqueado como ponente en la rootedCon. Y parece ser que la cosa se repite en 2022...
Tras más de 10 años de experiencia de trabajo de pentesting para muchas de las compañías globales más importantes, en esta ponencia se detallarán los principales controles de seguridad más efectivos “sufridos” para prevenir y mitigar los principales ataques que comúnmente llevan a cabo los atacantes, haciendo especial hincapié en aquellos quick-wins, generalmente accesibles sin grandes inversiones o directamente disponibles en la tecnología que ya utilizan la mayoría de las organizaciones, que harán el camino de los atacantes mucho más tedioso.
Carlos García
Carlos García García (@ciyinet) es ingeniero superior en informática y Senior Vicepresident en Kroll. Certificado OSCP. Especializado en seguridad ofensiva con gran experiencia en pruebas de intrusión para algunas de las empresas internacionales más importantes. Su especialización en las simulaciones de intrusión pasa por diversos campos y tecnologías y, en especial, equipos Microsoft Windows y entornos Active Directory.
Carlos es coautor del libro “Hacking Windows: Ataques a sistemas y redes Microsoft”, cofundador de Qurtuba Security Congress, organizador de Hack&Beers Madrid.
Además, Carlos ha publicado diferentes artículos científicos en congresos internacionales y ha dado diversas ponencias y talleres técnicos en congresos (RootedCON, MundoHackerDay, FluCON, Qurtuba…), universidades, hacklabs, etc.
Vivimos en un mundo hiperconectado a través de Internet, nuestra sociedad digital no para de crecer, cada día se prestan más y variados servicios digitales y se intercambia información vital y sensible para los ciudadanos, empresas y administraciones públicas. La pandemia de la covid-19 ha impulsado esta digitalización y con ella ha despegado el teletrabajo y el comercio electrónico.
En este contexto, de mayor exposición en Internet, los ciberataques y ciber-amenazas e incidencias de seguridad se han convertido en una de las preocupaciones principales del Estado español, de todas las Administraciones Públicas españolas y de toda la Unión Europea. Nadie está libre de sufrir un incidente de seguridad crítico o de nivel alto, y no solo hay que aumentar la protección y las capacidades de prevención para evitar que ocurran, HAY QUE ESTAR PREPADOS PARA QUE CUANDO SUCEDAN, el servicio se pueda recuperar lo antes posible, y de la mejor manera posible.
No hay mejor forma de afrontar una crisis que estar preparado, de pensar y planificar que te va a ocurrir.
Sobre esto va mi ponencia: recetas, lecciones desde la experiencia de cómo abordar una crisis en el contexto de la ciberseguridad de las redes y sistemas de una gran organización TIC.
Esther Muñoz Fuentes
Esther es Ingeniera Superior en Informática por la Universidad Pontificia de Comillas. Master en Tecnologías de la Información aplicadas a la empresa de la Universidad Politécnica de Madrid. Posee varias certificaciones especializadas en ciberseguridad como CISM.
Con más de 20 años de experiencia en el sector TIC y 10 años trabajando en puestos de trabajo especializados en ciberseguridad, seguridad de la información, en la actualidad es Subdirectora General de Ciberseguridad en Madrid Digital, principal organización TIC de la Comunidad de Madrid.
En esta charla se mostrarán las capacidades del modelo SOCless, como la conversión de herramientas de ataque a herramientas de detección y respuesta.
Fernando Quintanar
Global head of cybersecurity delivery. La ciber siempre me ha llamado la atención. Me considero una persona inquieta y tengo amplia experiencia en las herramientas que guardan información de los sisemas cedentes. Combinar la vision táctica y más legacy con una postura más novedosa ha sido la receta mágica que se materializa en una formula.
Soy el responsible de las practicas que entregan la operación especializada en SIA by Indra.
En esta charla se mostrarán las capacidades del modelo SOCless, como la conversión de herramientas de ataque a herramientas de detección y respuesta.
Santiago Anaya Godoy
Global head of cybersecurity detect practice. Más de 10 años en el mundo ciber, y cada día con más ganas de aprender; sin límites. Actualmente soy el responsable global de las tribus de analistas, hunters e inteligencia.
InFlight Entertainment (IFE) refers to the entertainment available to aircraft passengers during a flight, including services such as moving-maps, movies or games. Is it possible to hack the system by gaining physical access through the Seat Electronic Box?
Mario Pérez de la Blanca
Especialista en ciberseguridad, trabaja en Airbus Defence and Space desde 2010, principalmente con aviones militares, pero también en proyectos civiles y de innovación tecnológica. Formalmente fue nombrado experto en seguridad de vehículos aéreos en 2019 y participa activamente en certificaciones de aeronavegabilidad con EASA en Europa y FAA en Estados Unidos.
Los ciberataques han mostrado un incremento en cantidad y evolución. Un claro ejemplo ha sido el incremento de ataques y el cambio en el modus operandi de grupos de ransomware. Estos ataques cada vez vinculan más la publicación de datos a modo de extorsión en las redes conocidas como darknets. El análisis de esta nueva forma de operar y de sitios vinculados a grupos de ciberdelincuentes en Tor es crucial, de cara a detectar ataques recientes, empresas afectadas y dar seguimiento de estos grupos de cara a posibles atribuciones.
En esta charla se expondrá un análisis de estos grupos presentes en darknets y su seguimiento de forma automatizada. También se abordará el desarrollo y creación de una herramienta de análisis y threat intelligence, utilizando estos datos.
Javier Junquera
Los ciberataques han mostrado un incremento en cantidad y evolución. Un claro ejemplo ha sido el incremento de ataques y el cambio en el modus operandi de grupos de ransomware. Estos ataques cada vez vinculan más la publicación de datos a modo de extorsión en las redes conocidas como darknets. El análisis de esta nueva forma de operar y de sitios vinculados a grupos de ciberdelincuentes en Tor es crucial, de cara a detectar ataques recientes, empresas afectadas y dar seguimiento de estos grupos de cara a posibles atribuciones.
En esta charla se expondrá un análisis de estos grupos presentes en darknets y su seguimiento de forma automatizada. También se abordará el desarrollo y creación de una herramienta de análisis y threat intelligence, utilizando estos datos.
Carlos Cilleruelo
WiFiChallenge Lab es un laboratorio de pentesting Wifi virtualizado para aprender desde los conceptos mas basicos hasta ataques muy sofisticados sin necesidad de utilizar tarjetas WiFi fisicas, gracias al uso de mac80211_hwsim y el proyecto vwifi. WifiChallenge Lab puede ser descargado como una maquina virtual en la que las pruebas que deberan pasar los participantes cubren las distintas fases de una auditoria Wifi, desde el reconocimiento hasta la fase de ataque y explotacion, donde tendran la posibilidad de atacar tanto WPA con servidor de autenticaci6n (MGT) como con clave precompartida (PSK).
Raul Calvo Laorden
Graduado en lngenier1a Informatica, con 4 años de experiencia en ciberseguridad. Certificado en CRTP (Certified Red Team Professional) y con alto grado interes en hacking de dispositivos fisicos y redes inalambricas. Actualmente trabajando en el equipo de Seguridad Ofensiva de Telefonica Tech.
Las Campañas y APTs basan sus ataques en metodologias orquestadas usando TTP y Malware que las caracterizan. En esta charla veremos como se complementan el Threat Hunting y Malware Reversing para obtener la maxima informacion sobre como funciona un ataque para evitar que suceda, o que no vuelva a ocurrir.
Aaron Jornet Sales
Investigador de Seguridad enfocado en ingenieria inversa de Malware y analisis de amenazas, ahora parte de Telefonica Threat Hunting Team. Desde que comenzó a trabajar en ciberseguridad, pasa la mayor parte de su tiempo libre posible aprendiendo mas sobre campañas y APT con un enfoque en TTP y malware que utilizan.
Una foto de un soldado es suficiente para encontrar su red, su batallón, su familia y sus amigos a través del reconocimiento facial y mucho OSINT. ¿Qué pistas dejó este soldado? ¿Qué errores ha cometido que facilitaron esta investigación? Pistas similares te dejan tus vecinos, tu madre e incluso los famosos e influencers.
Jezer Ferreira
Formador oficial de Ciberinteligencia y OSINT para departamentos de policía e investigación forense en los siguientes países: Brasil, Argentina, Perú, Guatemala, Honduras, México y España.
Profesor de OSINT y CySA en el Máster de Ciberseguridad y Ciberdefensa de la Universidad de Santiago de Compostela, España. Coordinador de formaciones de Ciberinteligencia en Cyber Hunter Academy. Profesor de Ciberseguridad y Ciberinteligencia en distintos bootcamps. Juez y miembro del comité global OSINT Search Party CTF (Evento destinado a la búsqueda de personas desaparecidas utilizando técnicas OSINT), organizado por TraceLabs y el Departamento de Policía Federal de Toronto - Canadá. Miembro activo e Instructor de IACA – International Association of Crime Analysts. Cofundador de la comunidad OSINT & Beers. Miembro activo de la comunidad de Inteligencia Ginseg.
Miguel Ángel Rodríguez
Fundador de ProtAAPP
Román Ramírez
Coorganizador de RootedCON
Abraham Pasamar
Tte. Coronel Mónica Mateos (MCCE)
Fernando Paniagua
TBD
Eloy Sanz
Gabinete de Seguridad y Calidad - Agencia Digital de Andalucía.
TBD
Rocío Montalban
Subdirectora general de Transformación Digital y Relaciones con los Usuarios en la Consejería de Sanidad del Gobierno de Cantabria.
TBD
Alberto Francoso Figueredo
Jefe del Servicio de Análisis de la Ciberseguridad y Cibercriminalidad de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad.
TBD
Jose Miguel González Aguilera
Subdirector General de Servicios Digitales de Informática del Ayuntamiento de Madrid.
TBD
Miguel Ángel de Castro
Crowdstrike
Juan Álvarez de Sotomayor
Teniente Coronel de la Guardia Civil
Ignacio Pérez Helguera
CISO en Aragonesa de Servicios Telemáticos (AST)
La eclosión de la Inteligencia Artificial en los últimos años ha revolucionado el mundo de la tecnología y no se puede pensar en ningún nuevo proyecto, herramienta o servicio sin pensar en utilizar Inteligencia Artificial para hacerlo mejor, más potente o diferente. En esta charla veremos el uso de unos servicios concretos creados con IA, como son los Cognitive Services para hacer casos de uso de ciberseguridad utilizando Visión Artificial para mejorar, hacer más potentes, o simplemente de manera diferente, aplicados a la ciberseguridad con los que jugamos en el equipo de Ideas Locas de Telefónica, para pensar en características futuras de nuestros P&S.
Chema Alonso
Chema Alonso es uno de los investigadores en ciberseguridad y hacking más populares de habla hispana. Ponente en conferencias de seguridad informática y hacking por todo el mundo durante los últimos 20 años, es el actual Chief Digital Officer de Telefónica. Creó la empresa "Informática 64" con 24 años, que integró en Telefónica para crear ElevenPaths - ahora parte de Telefónica Tech -. Es doctor en Seguridad Informática por la URJC de Móstoles, universidad que en el año 2020 lo nombró Doctor Honoris Causa, e Ingeniero Técnico en Informática de Sistemas por la UPM, universidad que le nombró Embajador Honorífico de la Escuela Universitaria de Informática en el año 2012. Por su trabajo con los cuerpos de seguridad del estado fue condecorado con la Cruz del Mérito de la Guardia Civil con distintivo Blanco. Entre sus premios, fue galardonado por Microsoft como Most Valuable Professional en Seguridad Informática durante 14 años, fue elegido como uno de los 100 españoles más influyentes en el año 2017 y como uno de las 100 personas más creativas del mundo de los negocios por la revista Forbes en el año 2019. Puedes contactar con él a través de su buzón público en https://MyPublicInbox.com/ChemaAlonso
Daniel López (Marduk)
Pablo Estevan
Senior Systems Engineer, Palo Alto Networks
A lo largo de la sesión se profundizará en los acontecimientos pasados y actuales en lo relativo a ciberguerra que se han producido entre Rusia y Ucrania hasta llegar al conflicto actual.
Miguel Angel de Castro
Ingeniero Senior. CrowdStrike. Information Security Specialist with 14 years of experience in Ethical Hacking, Cybersecurity and Threat Intelligence. Extensive Knowledge and experience in Malware reversing, Incident Response and Threat Hunting. Wide experience leading teams and training in different Certifications. 'I think that Cybersecurity is not a job, it's a way of living'
En esta charla hablaré sobre el estado del arte en técnicas esteganográficas sobre archivos de vídeo, por qué es tán difícil hacerlo bien y el por qué apenas existen proyectos libres u open source sobre este tema. Haré un breve repaso sobre algunas opciones existentes, contaré sus debilidades e inconvenientes y finalmente explicaré y haré una demo de "Pravda", una herramienta que he desarrollado y que nos brinda una posibilidad más factible y sencilla, ocultar información en los subtítulos de los vídeos que luego podremos subir a plataformas como YouTube.
Javier Domínguez
Hacktivista, programador y radioaficionado. Actualmente trabajo en GFT para el cliente BBVA como Service Hub & Tech Lead en uno de sus CERT. También trabajo como profesor (no titular ni asociado) en la Universidad Complutense de Madrid, donde imparto clase en el Master de BigData/DataScience. Adicionalmente colaboro como miembro y divulgador de la Free Software Foundation (FSF) y la Electronic Frontier Foundation (EFF), defendiendo las libertades y derechos de los usuarios de plataformas digitales.