RootedCON 2019 Talks & Speakers


Linux DFIR: My Way!

50 min     


La labor de triage en Linux es una tarea muy delicada. En muchos casos se utilizan scripts que ejecutan comandos propios de sistema operativo, cuya integridad puede haberse puesto en entredicho. El objetivo de la charla es mostrar una metodología que tenga en cuenta en la medida de lo posible, aquellos puntos de fallo y/o confianza en diferentes herramientas, de manera que sea lo más confiable posible los resultados de la adquisición.


Lorenzo Martínez Rodríguez


Ingeniero en informática. CTO de Securízame. Perito informático forense. Incident responder



Mission: Impossible - Forbidden Areas

50 min     


Una charla sobre exploración de videojuegos y cómo construir herramientas HTML5/CSS3/JS para llegar a lugares secretos o inaccesibles en diferentes videojuegos. La charla da un repaso sobre técnicas que existen para alcanzar esos lugares, cómo utilizar APIs de Node.js para tomar el control de un videojuego y construir layouts de harramientas que toman el control de aspectos visuales de los juegos, como color del cielo, ciclo de día y noche y otros efectos visuales. Sería la tercera y última charla de mi trilogía "Hacking de videojuegos con JavaScript". Charlas previas a esta: 1ª parte - https://www.youtube.com/watch?v=XJJS1HrV2_Y 2ª parte - https://www.youtube.com/watch?v=MTZ-ZpzBdvk


Carlos Hernandez Gomez


Programador desde una perspectiva creativa. Hago ingeniería inversa por hobby. Me gusta estudiar cómo funcionan las máquinas virtuales de JavaScript.



Hardware Hacking y uso de la herramienta obtenida para el bien (Blue Team) y el mal (Red Team)

50 min     


En ésta charla se hará una introducción al hardware hacking de una videoconsola sencilla de hardware abierto,enfocándose como si fuese hardware cerrado para que los asistentes puedan entender mejor el desarrollo y comprender los resultados de forma inmediata, así como realizar pequeñas mejoras a nivel de hardware. También se explicará como utilizar dicho hardware con firmwares propios para aplicaciones prácticas de ciberseguridad, tanto de BlueTeam (creando un gestor seguro de contraseñas mediante hardware) y RedTeam (usando el dispositivo como un BadUSB dinámico y configurable mediante menús, de forma que un atacante puede elegir y configurar el payload mediante un sencillo sistema de menús, llevando en el bolsillo toda una “navaja suiza” de ataques BadUSB automatizados y listos para usar)


Ernesto Sanchez Pano


Emprendedor e interesado en todo lo que tenga que ver con el hacking en el sentido mas amplio de la palabra, la radio, el hardware y DIY. Actualmente trabajando en Ethon Shield


Joel Serna Moreno


Ponente con experiencia en congresos como: Navaja Negra, Noconname, h-c0n, Eastmadhack y varias universidades nacionales.



Introducción a la ingeniería inversa de señales de radio

50 min     


En esta charla se detallará un caso práctico de ingeniería inversa de una señal de radio digital, suponiendo que (salvo el tipo de servicio subyacente y la frecuencia en la que trabaja) se desconocen absolutamente todos los parámetros del canal objetivo. El conjunto de herramientas desarrolladas a tal efecto será posteriormente liberado y/o integrado en herramientas existentes. La señal objetivo será el servicio abierto LRPT del satélite ruso Meteor-M N2, simulando un escenario de interceptación no cooperativo. En una primera fase se estimarán a ciegas los parámetros de modulación de la señal interceptada y se extraerá el flujo de símbolos transmitidos. En una segunda fase, y mediante el empleo de distintas técnicas estadísticas, se determinará qué códigos de corrección de errores han sido utilizados y sus parámetros específicos, lo cual permitirá descodificar los símbolos obtenidos y recuperar el flujo de bits original.


Gonzalo José Carracedo Carballal


Gonzalo J. Carracedo es consultor de ciberseguridad en Tarlogic Security, y sus intereses son el desarrollo de software a bajo nivel, la ingeniería inversa y la comunicación por radio. Es graduado en Ingeniería Técnica de Informática de Sistemas por la UDC, y tiene un máster en Ingeniería Matemática por la USC. Compagina su trabajo con el desarrollo/mantenimiento de Suscan y sus estudios de Física en su tiempo libre.



Hackers vs Cine: La loca ciberhistoria del cine. Mitos y desventuras de la ciberseguridad en el séptimo arte

50 min     


Quizá los hermanos Lumiere pueden considerarse los primeros dos grandes hackers: Hicieron creer, gracias al celuloide, que un tren… se dirigía directamente al público. Fue en su primera película en 1895 y desde entonces el cine se ha rendido a la tecnología… y desde mediados de los años 60 a la ciberseguridad. ¿Sabías que en 1951 el cine mostró en ‘Cuando los mundos chocan’ el primer ordenador… de verdad? ¿Y qué hay películas que se basan (con mayor o menor fortuna) en la vida de verdaderos hackers como Kevin Mitnick? Esta conferencia es un viaje por el mundo del cine y su lado más cyber. Y va de las verdades y mentiras que muestra el séptimo arte sobre la ciberseguridad, los hackers y tecnologías como las que mostraba Blade Runner en 1982 cuando mostró un mundo distópico….¡en 2019! Así que hablaremos de las películas que han tenido la ciberseguridad como protagonista o a los hackers en general. También, desvelaremos los detalles técnicos de sus grandes puestas en escena que, en gran parte de los casos, poco tienen que ver con la realidad. Y, por supuesto, terminaremos dando los ‘Hockscars’ a las peores películas -sí, las que nunca debieron hacerse!-, a las más ingeniosas, a las que adelantan los próximos ciberataques y a las que, por supuesto, hace que los hackers sean una de las profesiones más aspiracionales del mundo. Siéntense y disfrute -se admiten palomitas-


Francisco José Ramírez Vicente


Ingeniero/Grado en Informática de Sistemas, Técnico Superior en Electrónica Digital y Máster en Seguridad de las TIC, con más de 15 años de experiencia como administrador de sistemas, realizando múltiples proyectos internacionales en EEUU y Canadá. Desde el año 2017, trabaja como investigador de seguridad informática en el equipo de Ideas Locas CDO de Telefónica y colabora con LUCA (Big Data e IA) y ElevenPaths (Seguridad Informática). Fundador y escritor en el blog de temas geek www.cyberhades.com (nick: cybercaronte) sobre Seguridad Informática e Historia de la Informática. Co-autor de los libros "MicroHistorias: anécdotas y curiosidades de la Informática" y “Docker:SecDevOps”.


José Manuel Vera Ortiz


Periodista de investigación especializado en ciberseguridad y tendencias TIC. Apasionado de la tecnología y de los retos. Firme creyente del periodismo de valor, contrastado, útil, riguroso y al servicio del lector. Cofundador de revistas como Autofácil, One Magazine, One Hacker, entre otros medios. Actualmente trabajando, con un espectacular equipo, en la publicación de referencia en privacidad y ciberseguridad en España, Revista SIC.



Rootkit Busters ES

50 min     


'En un formato blue/red team, se analizará el impacto de las piezas de malware denominadas 'rootkits' en sistemas UNIX, haciendo foco en las técnicas que emplean para ocultar procesos y los métodos que se pueden emplear para desenmascararlos.' Se analizarán muestras reales y se aplicarán contramedidas disponibles en la herramienta Unhide de la que se liberará una nueva versión al terminar la charla


David Reguera Garcia


Senior Malware Researcher, C, C++, ASM, Reversing.


Yago Jesus


Profesional de la seguridad desde el 2001, ha participado en múltiples proyectos de seguridad ofensiva/defensiva para multinacionales, sector IT o Defensa. Autor de herramientas como 'AntiRansom', Patriot-NG o Unhide. Actualmente es CTO en eGarante, empresa pionera en certificación digital



IoCker - When IPv6 met malware

50 min     


¿Qué nivel de penetración tiene IPv6 en las amenazas actualmente? ¿Malware y Fraude adoptan este protocolo de forma activa? Apostamos por la creación de una fuente de datos de tipo IoC enfocada en IPv6 que permita a la comunidad detectar y mitigar las amenazas que usan este protocolo y, para ello, haremos pública la que posiblemente sea la primera fuente de IoCs especializada en IPv6 del panorama de seguridad.


Rafa Sánchez Gómez


Arquitecto de Seguridad en BBVA. Cofundador de la startup MrLooquer. Colaborador en el Capítulo OWASP Madrid y miembro de la Lista CEI de expertos de ENISA. Certificado CISM y CISA y Graduado en Ingeniería de Sistemas de Información. Profesor en Máster de Seguridad de la UCLM y UNIR.


Fran Gomez


Security Researcher. Founder of @MrLooquer. Advisor at @devo_inc. Former @telefonica. Creator of @e_Sinfonier. Member of @OwaspMadrid Chapter. Speaker in conferences as @rootedcon, @BlackHatEvents, @spark_summit, @CCNCERT, @navajanegra_ab, @CodemoAmsterdam, @nciagency (NIAS), or @T3chFest. Tweeting about security since 2008 @ffranz.



Reviving Homograph attacks using (deep learning) steroids

50 min     


Esta ponencia analiza de manera crítica el potencial de la inteligencia artificial en herramientas de seguridad ofensiva, poniendo el foco en los ataques basados en codificación unicode, especialmente con el uso de confusables. Durante la charla se liberará una herramienta de ataque mejorada basada en deep learning y transfer learning en este dirección, así como se verificará en diversos escenarios la protección real frente a este tipo de ataques.


Alfonso Muñoz Muñoz


Twitter: @mindcrypt / @criptored PhD in Telecommunications Engineering by Technical University of Madrid (UPM) and postdoc researcher in network security by Universidad Carlos III de Madrid (UC3M). He has been a senior security researcher for more than 10 years and has published more than 60 academic publications (IEEE, ACM, JCR, hacking conferences…), books and computer security tools. He has also worked in advanced projects with European Organisms, public bodies and multinational companies (global 500). For over a decade, he has been involved in security architecture design, penetration tests, forensic analysis, mobile and wireless environments, and information security research (leading technical and scientific teams). Alfonso frequently takes part as a speaker in hacking conferences (STIC CCN-CERT, DeepSec, HackInTheBox, Virus Bulletin, RootedCon, 8.8, No cON Name, GSICKMinds, Cybercamp, Secadmin, JNIC, Ciberseg, X1RedMasSegura, Navaja Negra, T3chfest, Hackron...) and commercial and academic security conferences (+60 talks). He is certified by CISA (Certified Information Systems Auditor), CEHv8 (Certified Ethical Hacker), CHFIv8 (Computer Hacking Forensic Investigator), CES (Certified Encryption Specialist) and CCSK (Certificate of Cloud Security Knowledge). Several academic and professional awards. Professor in several Universities. He is co-editor of the Spanish Thematic Network of Information Security and Cryptography (CRIPTORED), where he develops and coordinates several projects about cybersecurity and advanced training, with great impact in Spain and Latam. Specialities: Pentesting & network security, Cryptography, Steganography, Privacy, NLP, Digital Surveillance & Forensic technology and Machine Learning



Next Station: Cybersecurity

50 min     


A talk about trains, systems, networks and cybersecurity. We'll get an overview from a manufacturer who design and build solutions for automation in rail vehicles on the most common architectures for such vehicles, their evolution and the challenges they are and will face regarding cybersecurity. Charla sobre trenes, sistemas, redes y ciberseguridad. Desde el punto de vista de un fabricante que crea soluciones para la automatización en vehículos ferroviarios, haremos un repaso de las arquitecturas más comunes para dichos vehículos, su evolución y los desafíos que enfrentan y afrontarán con respecto a la ciberseguridad.


Omar Benjumea Gómez


Omar Benjumea is a Spanish Security Professional with more than 13 years in the field. After working in variety of different security roles in spanish companies Omar moved to Switzerland in 2014 where he has been building Managed Security Services for the last years. Last quarter of 2018 he moved to Selectron Systems, a Swiss provider of solutions for automation in rail vehicles. From 2016 he's also collaborating with the UOC (Open University of Catalonia). Omar lleva trabajando en cyberseguridad desde el año 2006. Después de trabajar en múltiples roles en empresas como S21sec, SIA o Caja de Ingenieros, se fue a trabajar a Suiza en 2014, dónde ha estado trabajando en construir servicios gestionados de seguridad por varios años. Desde finales del pasado año, Omar empezó a trabajar para Selectron Systems, una empresa Suiza especializada en soluciones de automatización para vehículos ferroviarios. Además, desde 2016 colabora con la UOC (Universitat Oberta de Catalunya).



Autoencoders, GANS y otros chicos del montón: La IA al servicio de la Ciberseguridad (en lo bueno y en lo malo)

50 min     


La lucha por saber qué es real y qué no está aquí. La IA de la mano de los autoencoders, GANS y otro tipo de técnicas han hecho que lo que veamos ya no sepamos si es real o no. Es una nueva amenaza que puede ser utilizada para generar noticias falsas, para realizar nuevas campañas de phishing, nuevas estafas y que pueden hacer que lo que veamos no sea la realidad. En esta charla se muestran las actuales técnicas de Inteligencia Artificial que permiten generar este tipo de estructuras y cómo funcionan. Se explicará cómo un red neuronal basada en Autoencoder o una GAN puede hoy en día comprometer la seguridad de una organización o de la sociedad. Se expondrá una prueba de concepto generada para ejemplificarlo, basándonos en la generación de una Fake New y un video con red neuronal entrenado para engañar a nuestro ojo y nuestro sentido común. Por otro lado, se hablará de cómo detectar este tipo de situaciones y entornos, cómo podemos utilizar la IA para llevar a cabo este tipo de detecciones. Además, el caso práctico que se muestra refleja cómo podemos generar este tipo de ataques de forma casera sin necesidad de un gran hardware. Como dice el título: La IA al servicio de la Ciberseguridad (en lo bueno y en lo malo...).


Enrique Blanco Henríquez


Enrique Blanco Henríquez es Licenciado en Ciencias Físicas y Máster en Astrofísica, y cuenta con 4 años de experiencia en proyectos internacionales enmarcados en diversos campos como Data Science en Smart Energy Grids e Ingeniería de Sistemas dentro del sector aeroespacial. Recientemente incorporado al departamento CDO de Telefónica, está activamente involucrado en proyectos de investigación, así como en la divulgación de contenido relacionado con Inteligencia Artificial a través del blog de la empresa LUCA de BigData y Business Intelligence.


Pablo González Pérez


Trabaja en Telefónica en el área CDO como responsable de equipo Ideas Locas. Es Director en el Máster de Seguridad de Tecnologías de la Información y de las Comunicaciones en la Universidad Europea de Madrid. También es docente en la Universidad Oberta de Catalunya, Universidad Rey Juan Carlos, Universidad de Castilla La Mancha. Trabajó en Informática64 durante 4 años en Formación, Consultoría y Auditoría. Es MVP de Microsoft desde 2017. Tiene diversas publicaciones en el ámbito de la Seguridad de la Información: Autor del libro Metasploit para Pentesters. Editorial 0xWord. 1ª ed. 2012, 2ª ed. 2013 y 3ª ed. 2014. Autor del libro Ethical Hacking: Teoría y práctica para la realización de un pentesting. Editorial 0xWord. Autor del libro Pentesting con Kali. Editorial 0xWord. Autor del libro Pentesting con Powershell. Editorial 0xWord. Autor del libro Got Root.



Windows BootKits II: Como analizar malware persistente en UEFI

50 min     


Veremos los metodos utilizados por varias soluciones de software tanto legitimas como maliciosas para realizar la persistencia en el sistema tras la infeccion del firmware. Analizaremos los distintos pasos que siguen y sus limitaciones: - computrace - vector-edk - lojax La intencion de esta charla es complementar "Windows BootKits: Como analizar malware persistente en MBR/VBR" charla que se dio en rooted2k16


Abel Valero


Analista de malware en Panda Security Jugador de CTF con el equipo Amn3s1a Colaborador del proyecto Radare2 Mas de 20 años analizando binarios



The Art of Persistence: "Mr. Windows… I don’t wanna go :("

50 min     


Si nos remontamos a la configuración de antiguos malware, su modo de persistir en un sistema Windows se basa simplemente en copiarse a sí mismo a otra carpeta y añadir una entrada en el registro bajo la clave (...)\CurrentVersion\Run, la famosa ruta donde se encuentran muchos de los programas que se inician automáticamente al autenticarse en Windows. Este método se extendió a lo largo de los años y es incluso el más utilizado hoy en día por los códigos maliciosos. Sin ir muy lejos, el comando de persistencia de Metasploit implementa esta técnica. Algunas variantes han pasado por buscar rutas de “autostart” o “Run Keys” alternativas en el registro, de ahí que algunos malware escriben su entrada bajo …\CurrentVersion\Policies\Explorer\Run o \CurrentVersion\Explorer\Shell Folders pero… ¿Es este el modo más sofisticado que podemos utilizar actualmente para lograr persistir en un sistema Windows? No. En esta charla veremos la implementación práctica de tres técnicas diferentes que poseen grandes ventajas a la hora de hacer un malware persistente.


Sheila Ayelen Berta


Sheila Ayelen Berta es una especialista en seguridad informática y desarrolladora, que comenzó a los 12 años de forma autodidacta. A la edad de 15 años, escribió su primer libro sobre Web Hacking, publicado por la editorial RedUSERS en varios países. Con el paso de los años, ha descubierto vulnerabilidades en programas y aplicaciones web populares. También ha brindado cursos de técnicas de hacking en universidades e institutos privados. Sheila actualmente trabaja como security researcher especializada en técnicas ofensivas, ingeniería inversa y escritura de exploits. También es desarrolladora en ASM (microcontroladores, x32/x64), C/C++ y Python. Sheila es speaker internacional y ha participado como oradora en importantes conferencias de seguridad como Black Hat EU 2017, DEF CON 26, DEFCON 25 CHV, HITB, HackInParis, Hack.Lu, Ekoparty Security Conference, IEEE ArgenCon, OWASP Latam Tour, entre otros.



IoP: The Internet of Planes / Hacking millionaires jet cabins

50 min     


EL IoT llegó hace años para quedarse, sobre él se ha hablado infinidad de horas. Pero este tipo de tecnologías se pueden encontrar en sistemas más complejos que una simple aspiradora: Aviones comerciales y privados. Algunos de los más modernos sistemas de control de cabina, que manejan paramétros como luces o temperatura, pueden ser controlados a través de aplicaciones móviles. Durante la charla mostraremos como aproximarse al análisis de aplicaciones móviles dependientes de dispositivos externos a los que no tenemos acceso. Asi mismo, se explicarán en detalle una serie de vulnerabilidades que pueden aprovecharse para atacar tanto los dispositivos moviles conectados como ciertas funcionalidades de los sistemas de control de cabina.


J. Daniel Martínez


Daniel Martinez (@dan1t0) es especialista en seguridad informática y pentesting trabaja de auditor de seguridad desde 2011. Actualmente forma parte del Lab de Madrid de IOActive, donde desarrolla sus habilidades como pentester en varias áreas: Web, Android, Infraestructura y Red Team.



Capacidades de next-generation threat intelligence para red teams y purple teams, centradas en defenderse frente a APTs

50 min     


El sector de la ciberseguridad proporciona cada año numerosas soluciones innovadoras e introduce nuevos términos y tecnologías ofensivas y defensivas que, aseguran, solucionarán todos nuestros problemas de seguridad actuales y nos conducirán a un futuro mucho más seguro, mitigando incluso las amenazas futuras desconocidas hoy en día, tal y como se ha demostrado a lo largo de las últimas dos décadas. La existencia de numerosos protocolos de seguridad ya consolidados en la industria, pero que habitualmente están basados en oscuros y complejos mecanismos criptográficos robustos, no acaba de resolver algunos de los múltiples y más significativos ataques de seguridad existentes. Es preferible hacer uso de soluciones llamativas, novedosas y sencillas... ¿o no? Analicemos el contexto de uno de estos protocolos, DNSSEC, profundizando en los aspectos técnicos más relevantes, los elementos a considerar para su implantación, y profundicemos en varios ejemplos prácticos de protección frente a ataques, así como en algunos escenarios de ataque todavía viables.


Monica Salas Blanco


Mónica Salas es fundadora y analista de seguridad de DinoSec. Durante más de una década ha realizado servicios técnicos de soporte, gestión de red y seguridad para organizaciones internacionales de diferentes industrias. Más información en www.dinosec.com (@dinosec).


Raul Siles


Raúl Siles es fundador y analista de seguridad de DinoSec. Durante casi dos décadas ha realizado servicios técnicos avanzados de seguridad e innovado soluciones ofensivas y defensivas para organizaciones internacionales de diferentes industrias. Raúl es uno de los pocos profesionales a nivel mundial que ha obtenido la certificación GIAC Security Expert (GSE). Más información en www.raulsiles.com (@raulsiles) y www.dinosec.com (@dinosec).



Qué nos pueden enseñar los acorazados sobre ciberseguridad

50 min     


Las mismas mentes que antaño defendieron conceptos tan utópicos como la invulnerabilidad en los barcos de guerra, parecen estar detrás de muchas decisiones relacionadas con la ciberseguridad. Tanto desde fuera, relegándola a un segundo plano mientras dicen lo "crucial" que es, como desde dentro, defendiendo modelos obsoletos de protección ante nuevas tecnologías. Esta charla hará un recorrido por decisiones críticas llevadas a cabo en la historia de la guerra naval, y sus paralelismos con la ciberseguridad actual, analizando en definitiva, si el que la ciberseguridad esté de moda, es el panorama que tenemos.


David Meléndez Cano


David Meléndez es graduado en informática por la Universidad de Gales. Es ingeniero I+D en software de sistemas embebidos en Albalá Ingenieros, S.A. Autor del libro “Hacking con Drones”, y de varios robots que le han dado la oportunidad de ser ponente tanto en congresos nacionales como internacionales, entre los que se incluyen RootedCON, NavajaNegra, NoConName, 8.8, DEFCON o BlackHat.



"Consideraciones técnicas y de protección de datos en el referéndum catalán de independencia de 2017"

20 min     


El pasado 1 de octubre de 2017, la Comunidad Autónoma de Cataluña llevó a cabo un "referéndum" sobre la independencia respecto del Estado español. Sin embargo, semanas antes, este acto de referéndum fue declarado ilegal y advertida su imposibilidad de celebración bajo los parámetros constitucionales españoles. Desatendiendo los mandatos del Tribunal Constitucional distintos movimientos políticos alentados y colaborados por la Generalitat de Cataluña impulsaría el mismo. Ante esta situación inicial, el Gobierno de Cataluña preparó por adelantado un censo que incluye a cualquier persona que reside en Cataluña y tiene la edad adecuada para votar (en España, 18 años). En ese momento, comenzó una carrera de armamentos entre los gobiernos autónomos y centrales. En esta exposición analizamos las técnicas de censura utilizadas por el Gobierno español para hacer inviable el referéndum (principalmente, el bloqueo de sitios web), así como las técnicas de censura y resistencia utilizadas por la Generalidad de Cataluña. Además, también describimos algunas consideraciones de protección de datos según la legislación europea y española en relación con la creación del censo del referéndum.


Tamara Álvarez Robles


PhD Derecho Constitucional. PI Universidad de Vigo, Derecho Constitucional. Colaboradora Universidad de León, Derecho Constitucional.


Ricardo J. Rodríguez


Ricardo J. Rodríguez received M.S. and Ph.D. degrees in Computer Science from the University of Zaragoza, Zaragoza, Spain, in 2010 and 2013, respectively. His Ph.D. dissertation was focused on performance analysis and resource optimization in critical systems, with special interest in Petri net modelling techniques. He is currently an Assistant Professor at Centro Universitario de la Defensa, General Military Academy, Zaragoza, Spain. His research interests include performance and dependability analysis, program binary analysis, and contactless cards security. He has participated as speaker (and trainer) in several security conferences, such as NoConName, Hack.LU, RootedCON, Hack in Paris, MalCON, or Hack in the Box Amsterdam, among others.



Shodan API and Coding Skills

20 min     


The large number of assets published on the Internet which organizations are not even aware of their existence, increase the probability of services exposed that could put them at risk. As a first step towards resolving this problem we introduce ShodanSeeker. Taking advantage of Shodan's crawlers, ShodanSeeker analyzes historical records on-the-fly to discover differences between previously performed scans in order to identify new published services. Enhancing the capabilities of Shodan's real-time stream of data, our fully customizable solution monitors and generates notification messages once a new risk service is discovered.


Laura Garcia


Laura holds a 5-years degree in Computer Engineering and master's in Computer Security from the Polytechnic University of Madrid. With more than 10 years of experience in the field of Computer Security. Currently working as Security Architect at Deloitte Hacking Team (Spain), executing controlled real world attacks against systems, products and facilities in the banking, insurance, telecommunications, energy and services sectors. Designing and performing penetration tests on various technologies, such as web applications, infrastructures, mobile applications (iOS and Android), wireless media, among others. Speaker at RootedCON Madrid 2016 and MalCon 2016 Spain. Passionate about computer security, science, movies and comics.



Purple brain, purple brain ...

50 min     


Esta charla trata del enfoque purple de la ciberseguridad a través de ejercios reales de red team y cómo al finalizar los mismos se aplican medidas correctoras para mejorar el nivel de seguridad de la organización a través de la colaboración entre ambas áreas Red y Blue. En el aspecto técnico hablaremos de la evasión de las medias perimetrales y desmitificaremos algunos conceptos como inspección SSL, AV y especialmente EDR. También hablaremps de exploits, powershell, LOLbins y su abuso. El enfoque purple consiste en que la seguridad ofensiva y el DFIR se retroalimenten con el objetivo de encontrar los mejores resultados en ambas disciplinas y de este modo asegurar la mejora continua de las medidas de seguridad.


Abraham Pasamar Navarro


Abraham Pasamar es Ingeniero Superior por la Universidad de Zaragoza y Máster en Seguridad de Tecnologías de la Información por la Universidad de La Salle, Barcelona. Cuenta con 14 años de experiencia en el campo de la Ciberseguridad. Especializado en DFIR y Red Team, con especial interés en la evasión de detecciones de AVs y EDRs. Es socio fundador y director de la empresa INCIDE. Es un colaborador habitualmente en medios de comunicación y es profesor de los Masters de seguridad de la Universidad Politécnica de Catalunya (UPC), UPC-VIU (UPC-Universidad Internacional de Valencia) , Instituto Empresa (IE), Universidad de Barcelona (UB) y Universidad Internacional de Catalunya (UIC) y otros.


Carlos Fernández Sánchez


Carlos Fernández es el Coordinador Técnico del deparamento de Auditoría en INCIDE. Es Graduado en Ciencias y Tecnologías de Telecomunicaciones por la Universidad Politécnica de Catalunya (UPC) y Offensive Security Certified Proffessional (OSCP). Su experiencia va desde el Análisis Forense y Respuesta de Incidentes hasta el Penetration Testing y los ejercicios de Red Team, incluyendo el desarrollo de herramientas propias para realizar estas tareas.



Pentesting Active Directory Forests

50 min     


“Pentesting Active Directory Forests” tiene como intención aclarar el desconocimiento que existe sobre las relaciones de confianza entre dominios padre/hijo y bosques y pondrá de manifiesto los riesgos, a menudo desconocidos, que las diferentes relaciones de confianza conllevan para las organizaciones y cómo un atacante podría aprovecharse de ello para comprometer los dominios y bosques involucrados. Se mostrará de manera eminentemente práctica las distintas técnicas y herramientas a utilizar para llevar a cabo dichos ataques como parte de un test de intrusión.


Carlos García García


Carlos García (@ciyinet) es ingeniero en informática y certificado OSCP especializado en seguridad ofensiva con gran experiencia en pruebas de intrusión para algunas de las empresas internacionales más importantes. Además, su especialización en las simulaciones de intrusión pasa por diversos campos y tecnologías y, en especial, equipos Microsoft Windows y entornos Active Directory. Carlos es coautor del libro “Hacking Windows: Ataques a sistemas y redes Microsoft”, cofundador de Qurtuba Security Congress y organizador de Hack&Beers Madrid. Además, Carlos ha publicado diferentes artículos científicos en congresos internacionales y ha dado diversas ponencias y talleres técnicos en congresos (RootedCON, MundoHackerDay, Qurtuba, CiberSeg…), universidades, hacklabs, etc.



Análisis de redes sociales (ARS) y detección de comunidades virtuales

50 min     


Se presentará una metodología de análisis de redes sociales (ARS) así como la aplicación de la misma mediante ejercicios prácticos en vivo para la detección de comunidades virtuales y su representación visual. Se mostrará la relevancia de dichas comunidades en diversos aspectos como: la difusión de contenido, la identificación de actores de poder y capacidad de influencia, procesos de acercamiento a objetivos, fugas de información, o detección de amenazas entre otros. Su utilidad es extrapolable a un amplio conjunto de sectores: análisis de la reputación, análisis de campañas publicitarias, análisis de candidatos a un proceso de selección, extracción de información para tareas de ingeniería social o pentesting, etc.


Vicente Aguilera Díaz


En el sector de la ciberseguridad desde 2001, socio-cofundador de Internet Security Auditors, fundador y presidente del capítulo OWASP Spain y miembro del Consejo Técnico Asesor de la revista RedSeguridad. Colaborador en diversos proyectos open-source (OWASP Testing Guide, OWASP Top 10, WASC Threat Classification, OSSTMM, ISSAF), es autor de la herramienta “tinfoleak” orientada a analistas de inteligencia para el análisis de redes sociales. Ha publicado vulnerabilidades en productos y servicios de Oracle, Google, Facebook y LinkedIn, entre otros. Es ponente habitual en eventos de seguridad (BlackHat, DeepINTEL, Cybercamp, OWASP, No con Name, IBM Software Summit, Expo:QA, Qurtuba Security Congress, Security Forum, Overdrive Hacking Conference, etc.), y ha colaborado como profesor en Masters de seguridad en múltiples universidades (Universitat Politècnica de Catalunya, Universitat de Barcelona, Universidad Internacional de la Rioja, y Universidad Católica de Murcia).


Carlos Seisdedos Semulue


Analista de inteligencia en materia de seguridad internacional y ciberseguridad, tanto desde el ámbito de análisis operativo, táctico y estratégico. He colaborado como docente, investigador y analista con distintos organismos de los Ministerios de Interior y Defensa. Profersor en el curso Analista de Inteligencia: Introducción y Técnicas, de la Universidad Internacional de Andalucia y del curso Fases de obtención y producción de Inteligencia de la Universidad de Málaga. He participado como ponente en múltiples congresos sobre la utilización del ciberespacio por los terroristas y sobre el uso de la ciberinteligencia para combatirlos, tanto a nivel nacional como internacional. Autor de múltiples artículos sobre ciberseguridad y ciberterrorismo.



When anti shoulder surfing techniques meet deep learning

20 min     


En las últimas décadas hemos observado la mejora continua de los sistemas de defensa digital como contrapartida a los nuevos métodos de ataque. Sin embargo, en muchos casos, problemas clásicos no son abordados con medidas de seguridad accesibles y económicas para el usuario final. En esta charla propondremos medidas de seguridad para abordar uno de estos ataques clásicos, ataque de shoulder surfing, mediante el uso de deep learning. Se explicará y se realizarán diferentes demos con una herramienta de software libre desarrollada y disponible para los asistentes: https://github.com/assap-org/assap


Ruth González Novillo


Graduada en Ingeniería en Tecnologías de Telecomunicación por la UPNA y doble Máster en Ingeniería de Telecomunicación e Ingeniería Telemática por la UC3M. Apasionada por las nuevas tecnologías, la seguridad y el cloud. Ha sido premiada en diferentes ocasiones por su trabajo como en Cybercamp 2018 o el Premio Mejor Trabajo de Fin de Máster en Tecnología y Educación por el COIT 2017. Recientemente tramitada patente sobre monitorización, registro y validación de certificados digitales en redes privadas sin conexión a Internet por la BBVA Global Patent Office. Actualmente trabaja en el laboratorio de seguridad de BBVA Next Technologies investigando en nuevas tendencias de ciberseguridad y desarrollando aplicaciones y pruebas de concepto.


Nerea Sainz de la Maza Doñabeitia


Ingeniera en Telecomunicaciones por la Universidad de Deusto. Ha empleado los últimos años de su carrera profesional en multinacionales españolas, aplicando su conocimiento en tecnologías de análisis de grandes fuentes de información, procesamiento, normalización y uso de Inteligencia Artificial para la detección automatizada de fraude. Ha sido premiada con diferentes reconocimientos por su trabajo como finalista en el reto ISACA y el hackathon de Cybercamp y ha presentado en conferencias internacionales como CECC. En la actualidad trabaja en el laboratorio de ciberseguridad de BBVA Next Technologies.



Another Bad Email (:-

50 min     


Desafortunadamente todavía a día de hoy no es raro leer noticas relacionadas con fugas de información o ataques sufridos por parte de compañías, los cuales tienen su origen en el correo electrónico. Es por ello que nos parece importante desarrollar diferentes estudios sobre las campañas de malware que utilizan el correo electrónico para su difusión y trabajar en el desarrollo de herramientas que permitan prevenir estos ataques. Durante la charla presentaremos los resultados de los estudios realizados sobre diferentes amenazas que de una forma u otra utilizan los correos electrónicos como parte de su campaña. En este estudio se han analizado tanto muestras de malware que utilizan el correo electrónico en alguna parte de su código, como correos electrónicos propiamente dichos que han acabado en plataformas de análisis online. Para llevar a cabo este estudio hemos desarrollado una plataforma que permite detectar cuales son los dominios más afectados por una campaña, infraestructura empleada por los atacantes, generar alertas ante nuevas campañas o fuga de datos asociadas al correo electrónico También se presentarán análisis sobre piezas de malware que no eran detectadas por la gran mayoría de soluciones de seguridad en el momento del análsis encontradas en el contexto de estas investigaciones


Miguel Ángel de Castro Simón


Especialista en Seguridad de la Información con más de 12 años de experiencia en Hacking Ético e Inteligencia de Amenazas. Amplia experiencia en reversing de malware, respuesta a incidentes, hunting, HUMINT y OSINT. Actualmente es analista senior de ciberamenazas y líder tecnológico del servicio MDR de Telefónica en ElevenPaths. De 2012 a 2016 Auditor Senior de Seguridad de Telefónica Ingeniería de Seguridad. De 2006 a 2010 Profesor del Máster en Seguridad de la Información y Hacking Ético de la UAL. De 2015 a 2018 es profesor de CEH y COMPTIA en los centros CICE. Master Class de reversing de malware el Master de Ciberseguridad de la UCM. Técnico Superior en Administración de Sistemas, Master en Seguridad y Administración en sistemas Windows y Linux en UAL, GIAC (GPEN) SANS, CCS-T y CCSP-SP (UAM), ganador de RADWARE'S HACKERS CHALLENGE SPAIN EDITION 2018. Autor de diferentes publicaciones en blogs y revistas especializadas.


Pablo San Emeterio Lopez


Pablo San Emeterio es Ingeniero Informático y Master en Auditoría y Seguridad de la Información por la UPM, posee distintas certificaciones como son CISA, CISM o OCA. Es un apasionado de las nuevas tecnologías en general y de la seguridad informática en particular. Ha estado trabajando desde hace más de 17 años en distintos puestos relacionados con el desarrollo de software y la I+D+i. En el mundo de la seguridad informática lleva trabajando más de 10 años, destacando principalmente por sus investigaciones sobre la seguridad de las distintas aplicaciones de mensajería instantánea junto con trabajos sobre técnicas de hooking. Esto le ha permitido participar como ponente en los principales en eventos internacionales de renombre tales como Shmoocon (Washington) o Black Hat (Amsterdam, Sao Paulo y Las Vegas), así como repetidas ponencias en congresos nacionales de prestigio como Rootedcon, Jornadas STIC, NcN, Navajas Negras, ConectaCON, etc. Actualmente trabaja con un doble rol en ElevenPaths, la unidad de ciberseguridad de Telefónica. En su primer rol trabaja como analista de innovación dentro del Lab de innovación, investigando y desarrollando nuevas soluciones de seguridad y en su segundo rol desarrolla la labor de embajador jefe de seguridad (CSA) asistiendo a congresos y ayudando en la divulgación de la cultura de ciberseguridad. Además, es profesor del Master en Ciberseguridad de la UCAM, del Máster en Ciberseguridad y Seguridad de la Información de la Universidad de Castilla La Mancha, del Programa Superior en Ciberseguridad y Compliance de ICEMD



Fuzzing and Reversing your Car. Are you sure?

50 min     


Desde hace años nos desplazamos por las carreteras mediante sistemas informáticos dispuestos de dos o cuatro ruedas. Algunos de los nuevos modelos disponen de redes internas como Ethernet, RF, CAN, MOST, LIN, FLEXRAY... Existen modelos donde la llave no se ha de colocar en el contacto, va por radio frecuencia, otros modelos tienen conexión exterior mediante cliente WiFi a redes preestablecidas o privadas del usuario, o 4G para la conexión permanente. Pero todos disponen de un bus de datos conocido como CAN Bus. En la ponencia se mostrará su la estructura y funcionamiento, así como los resultados de realizar una escucha constante de los datos que circulan en el bus estándar. Se verá que técnicas se han llevado a cabo para la construcción e inyección de manera semi-aleatoria (fuzzing) de algunas tramas de datos para activar y ver algún comportamiento en el vehículo. También, desde otra perspectiva, el reversing, se verá cuál ha sido el resultado del análisis de parte de software presente en las Unidades de Control del Vehículo y qué información se puede inferir a partir de aquí para la obtención de patrones de las tramas CAN Bus y para la modificación del comportamiento por defecto de un vehículo.


Amador Aparicio de la Fuente


PostGraduado en Seguridad de las Tecnologías de la Información y Comunicación. Ingeniero Superior en Informática por la Universidad de Valladolid. Profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato. Profesor en el Máster de Ciberseguriad y Seguridad de la Información de la Universidad de Castilla la Mancha. Mentor/Seleccionador dentro del programa Talentum Startups de Telefónica. Coautor del libro “Hacking Web Tecnologies” (http://0xword.com/es/libros/81-hacking-web-technologies.html) Noticias en medios de comunicación: -Badoo destapa a sus usuarios: http://cadenaser.com/ser/2014/07/22/ciencia/1405995866_850215.html – Hasta la cocina de las Gasolineras Españolas: http://es.gizmodo.com/el-grave-fallo-de-seguridad-que-permite-hackear-miles-d-1699671722 http://www.eleconomista.es/tecnologia/noticias/6656994/04/15/Descubre-un-fallo-informatico-que-pone-en-jaque-a-miles-de-gasolineras.html – La ciberseguridad de la industria española es un sainete: https://www.elconfidencial.com/tecnologia/2017-03-20/ciberseguridad-industria-espanola-infraestructuras-criticas_1350398/ Artículos en blogs especializados en seguridad: – El lado del Mal (http://www.elladodelmal.com/): http://www.elladodelmal.com/search?q=amadapa – Security By Default: http://www.securitybydefault.com/2015/03/hasta-la-cocina-de-las-gasolineras.html http://www.securitybydefault.com/2016/01/fugas-de-informacion-en-los-routers.html http://www.securitybydefault.com/2014/06/las-consecuencias-de-un-servicio-ftp.html



Android's Download Provider: Discovering and exploiting three high-risk vulnerabilities

50 min     


En esta charla se publicarán en primicia tres vulnerabilidades descubiertas por el ponente, cuya explotación permite el acceso de lectura y escritura a todas las descargas e incluso el robo de sesiones, sin necesidad de ningún permiso. Millones de dispositivos Android con las versiones más recientes, al menos desde la 5 hasta la 9, han estado afectados durante años. Todos estos fallos de seguridad fueron identificados en el proveedor de descargas del Framework de Android, usado por innumerables aplicaciones como Google Chrome, Gmail, Play Store o el propio sistema operativo, entre otras muchas. Las vulnerabilidades fueron reportadas a Google en junio de 2018, habiendo sido aceptadas y catalogadas por el equipo de seguridad y VRP de Android como de alto riesgo. Aunque sus correspondientes parches ya han sido liberados tanto por Google como por otros fabricantes, no todos los usuarios habrán actualizado sus dispositivos, por diversos motivos. Veremos a qué considerables riesgos se podrían estar exponiendo a diario dichos usuarios y cómo mitigarlos. Apta para todo tipo de audiencia (independientemente del nivel de experiencia previa en Android y conocimientos técnicos en general), a lo largo de la charla se explicará el enfoque con el que se encontraron dichas vulnerabilidades, así como todos los detalles técnicos, paso a paso y de forma didáctica, ya que la misma metodología se podría aplicar en cualquier otro contexto o programa de recompensa de vulnerabilidades (bug bounties). Además, se mostrarán las diversas herramientas que se desarrollaron como prueba de concepto para su explotación, las cuales serán liberadas al finalizar la charla y puestas a libre disposición del público, código fuente incluido.


Daniel Kachakil


Daniel Kachakil es Ingeniero en Informática y Máster en Dirección y Gestión de Sistemas de Información por la Universidad Politécnica de Valencia. Con más de 10 años de experiencia en ciberseguridad y 15 en arquitectura y desarrollo de software, también ha sido ponente en varios congresos de seguridad, así como en talleres y cursos de formación. Participante habitual en decenas de competiciones de tipo Capture The Flag (CTFs), en remoto y presenciales, a nivel individual y como miembro cofundador del prestigioso equipo nacional “int3pids”, habiendo ganado u obtenido puestos destacados en muchas de estas competiciones tanto nacionales como internacionales. Actualmente trabaja en IOActive como Consultor Senior en Seguridad de la Información, ofreciendo servicios multidisciplinares a grandes empresas de diferentes sectores a nivel mundial, así como en proyectos de investigación.



Zarancón City: ciudad bastionada

20 min     


El objetivo de la ponencia es poner de manifiesto la problemática en la que se encuentran las pequeñas organizaciones del sector público y, en particular, los Ayuntamientos españoles. Un escenario creciente de amenazas unido a las carencias organizativas en las que se encuentran, hace que la tendencia de riesgo sea creciente y preocupante para todos. La ponencia se desarrollará mediante un caso de uso de un municipio ficticio, Zarancón City, un Ayuntamiento pequeño/mediano con un grado de madurez en ciberseguridad equiparable a Ayuntamientos reales de ese tamaño. El núcleo de la ponencia se basará en proponer medidas técnicas de seguridad o arquitecturas de defensa para proteger una ciudad “tipo”. Es necesario cubrir el espacio que requiere la seguridad defensiva (ahora bajo el término de moda Blue Team) en la Rooted CON ya que hay organizaciones que por su grado de madurez actual perciben las sesiones de hacking o reversing como ciencia ficción.


Jose Angel Alvarez Perez


Ingeniero Superior en Informática. Funcionario de la Administración General del Estado. Cuenta con 18 años de experiencia en el sector de la ciberseguridad. Inició su carrera profesional en el lado ofensivo (pentesting), evaluando la seguridad de sistemas clave para la seguridad nacional, como el DNI electrónico. En 2015 se pasó al lado defensivo, incorporandose al Ministerio de Defensa para proteger sus redes y sistemas. Recientemente, ha sido nombrado Jefe del Departamento de Seguridad de la Información del Organismo Autónomo Informática del Ayuntamiento de Madrid. Ha sido ponente en diferentes eventos del Ministerio de Defensa y de la fundación SOCINFO. Miembro activo de ProtAAPP, comunidad de empleados públicos que trabajan en Ciberseguridad.


Guillermo Obispo


Funcionario TIC y miembro de @ProtAAPP. Hago cosas con la seguridad de la información. Soy friki a tiempo parcial, unos días monto en bici y otros llevo capucha.


Miguel Ángel Rodríguez Ramos


Miguel Ángel Rodríguez Ramos, Ingeniero en Informática y Máster en gestión pública de las TIC, CISM, y 10 años de experiencia en proyectos de ciberseguridad en el sector público. Ponente habitual en congresos de seguridad como Cybercamp, Jornadas CCN-CERT o Securmática. Fundador de la comunidad ProtAAPP: Protege las Administraciones Públicas y, anteriormente, Vicepresidente de ASTIC (Asociación de Cuerpos Superiores TIC de las Administraciones Públicas).



Medusa, El nacimiento de los ICS

50 min     


Medusa es un servicio cuyo único propósito es el contraatacar a cualquier usuario malicioso que esté intentando causar algún daño a nuestra infraestructura utilizando para ello exploits DoS (Denial of Service), es decir, sería un paso más allá de los sistemas IPS que existen a día de hoy en el mercado con vistas a convertirlos en un nuevo concepto denominado: Sistemas ICS. La activación de este servicio seguiría el patrón de Circuit Breaker descrito en el producto Hystrix de Netflix (obviamente se ha modificado dicho patrón a nuestro caso concreto), es decir, se activaría sí y sólo sí nuestra infraestructura se viese atacada y el IPS, tras detectar la firma del ataque, se lo derivaría al servicio de Medusa que le devolverá como regalo un bonito exploit DoS para dejar fuera de juego al atacante.


Elías Grande


Elías Grande es Arquitecto de Seguridad en BBVA. Además, está cursando estudios de Doctorado por la URJC en el ámbito de la Seguridad en Tecnologías de la Información y de las Comunicaciones. También imparte clase en el Máster de Ciberseguridad y Privacidad de la URJC, y en el Máster en Ciberseguridad y Seguridad de la Información de la UCLM. Elías cuenta con más de 6 años de experiencia en el sector de la seguridad, entornos distribuidos y Cloud, y con un Máster Universitario en Seguridad de Tecnologías de la Información y de las Comunicaciones por la UEM. Finalmente añadir también que es coautor del libro "Docker: SecDevOps" publicado en la Editorial 0xWord.


Jorge Nuñez


Jorge Núñez es Ingeniero de Telecomunicaciones graduado por la Universidad Rey Juan Carlos de Madrid y tiene un Master en Seguridad de la Información y las Tecnologías expedido por la Universidad Europea de Madrid. Actualmente es Arquitecto de Seguridad en la empresa BBVA Next Technologies y está especialmente interesado en la definición y estudio de arquitecturas basadas en la protección de la información.



Detección de amenazas a escala con osquery

50 min     


Osquery es una herramienta de código abierto que utiliza lenguaje SQL para abstraer la extracción de información del sistema operativo y analizar el estado de la máquina. Fue creada inicialmente por el equipo de Seguridad de Facebook, para la búsqueda proactiva de anomalías en sus redes y sistemas. Su uso se ha extendido en la industria para recolectar datos de los sistemas en funcionamiento, detectar la persistencia de malware, y explorar en busca de indicadores de compromiso conocidos. La detección de actividades maliciosas con osquery y su despliegue a escala, resulta clave para una respuesta a incidentes efectiva. Desde su uso en sistema individuales, con logs almacenados localmente, hasta formar parte de una red compleja con cientos/miles de hosts, y con gestión bidireccional centralizada.


Javier Marcos


Twitter: @javutin Javier Marcos es ingeniero de seguridad con experiencia en posiciones de seguridad tanto ofensiva como defensiva, en organizaciones de la talla de Facebook, Uber o Airbnb. Actualmente forma parte del equipo de seguridad del mayor exchange de criptomonedas del mundo (BitMEX), centrándose en el liderazgo de detección de amenazas (externas e internas) y seguridad de producto.



Vacaciones en la costa del SOC

50 min     


Aventuras y desventuras de una analista de seguridad navegando entre océanos de eventos, mares de incidentes y tormentas de falsos positivos, que ha venido a destripar el funcionamiento de los SIEM y a contar batallitas.


Marta López Pardal


Ex-administradora de sistemas y analista de seguridad. Leo logs, libros y PCAPs, no necesariamente por ese orden.



Seguimiento de actores cibercriminales en Dark Web y foros underground

50 min     


La charla hablará sobre un sistema de monitorización de Dark Web, en el cual se incluye monitorización de redes TOR, I2P y foros. Concretamente se centrará en el proyecto de extracción de datos relacionados con foros de hacking y cibercrimen, con el principal objetivo de obtener topics, conversaciones y relaciones entre actores del cibercrimen. Todo este proceso se realiza mediante un sistema capaz de identificar tipos de foros; extraer datos y entidades; la aplicación de NLP para procesar los contenidos de los foros, y finalmente, modelar los datos con bases de datos orientadas a grafos para obtener información de relaciones entre actores y contenidos. Es gracias a este proyecto que los investigadores de Blueliv son capaces de buscar información relevante en la deep web sobre actores y potenciales amenazas.


Ramon Vicens Lillo


Ramon tiene más de 10 años de experiencia trabajando en el campo de la ciber seguridad. Ha trabajado en proyectos de honeypots, incident handling, forensics, análisis de malware y pentesting. A día de hoy tiene un papel de liderazgo en el desarrollo de producto de la solución de monitorización de amenazas de Blueliv como CTO y VP Threat Intelligence.


Antonio Molina García-Retamero


Graduado como Ingeniero de Software en la universidad de Alicante en 2014 y especializado en computación, Antonio Molina partició en un projecto para la clasificación automático de documentación de software para el CERN en ginebra. Después participó en la Universidad de Alicante en la POC de una tesis sobre orquestación de servicios web para el modelado de procesos de producción industrial. Más tarde pasó dos años colaborando en el desarrollo de un traductor multilingüe especializando en procesamiento del lenguaje natural y técnicas de vectorización de texto. Hoy en dia lidera el equipo de Python y el proyecto de deep web en Blueliv.



DevSecOps y la caída de Babilonia: cómo olvidarse de lo básico

50 min     


Babilonia fue una de las ciudades más grandes y poderosas de la Antigüedad. Sin embargo, su caída fue legendaria ya que se dice que fue tomada en una sola noche sin librarse batalla alguna. Se desconoce exactamente cómo los enemigos consiguieron tal hazaña, pero se cree que pudieron ser un conjunto de factores, todos ellos como consecuencia del caos de la ciudad y una mala gestión interna de los gobernantes. Extrapolando a nuestros días, y al igual que en Babilonia, ciertas organizaciones tienden a pensar que son inexpugnables gracias a sus medidas de seguridad perimetral. Sin embargo, en ocasiones existen activos descontrolados y procesos internos mal gestionados desde un punto de vista de seguridad, que llevan a facilitar la tarea a un potencial atacante. Las organizaciones suelen buscar vulnerabilidades en el código y en los servidores que alojan aplicaciones expuestas a Internet, pero es común descuidar los servidores de uso interno y los entornos de desarrollo, considerando que no son un vector de ataque habitual. El objetivo es presentar errores comunes desde un punto de vista de seguridad en el despliegue de escenarios DevSecOps. Estos escenarios conllevan la incorporación de nuevas herramientas y entornos que presentan diversas problemáticas: desde controles de acceso inadecuados, servidores mal configurados o expuestos, y vulnerabilidades de software sin parchear.


Daniel González Gutiérrez


Daniel González es director de operaciones de la compañía Zerolynx y socio director de ciberinteligencia de OSANE Consutling. Anteriormente ha sido mánager y responsable del Laboratorio de Ciberseguridad de KPMG España y supervisor en PwC España. Es Ingeniero en Informática de Gestión por la UPM y Postgrado en Ciberseguridad por la UOC. También colabora como profesor oficial del certificado CSX y es coordinador de las formaciones de ciberseguridad de ISACA. Cuenta con diversas certificaciones como CEH, CSX y CISM.


Helena Jalain Bravo


Helena Jalain es ingeniera de Telecomunicación y trabaja como hacker ético senior. Comenzó como investigadora en la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de la UPM mientras estudiaba el Máster de Telecomunicación en la misma universidad. Cuenta con experiencia en servicios técnicos de threat mitigation y seguridad ofensiva, colaborando en la actualidad en proyectos de seguridad en entornos DevOps.



Impostores, Duning-Krugers, rockstars y otras strings: Qué está en tu mano para hacer mejor a la comunidad de la ciberse

20 min     


Existen una serie de sesgos cognitivos y características más o menos inherentes del ser humano que condicionan su vida en comunidad (el plan de ser reemplazados por shell scripts ha sido un completo fracaso, y queda bastante tiempo hasta que el deep learning con extra de blockchain acabe con nosotros). La idea de la charla es poner encima de la mesa (siempre desde un punto de vista realista, honesto y constructivo) algunos aspectos de interés que afectan a la comunidad de ciberseguridad, y proponer acciones para que sea un poquito mejor.


Antonio Sanz Alcober


Ingeniero Superior de Telecomunicaciones por la Universidad de Zaragoza, con más de 15 años de experiencia en el sector de la seguridad de la información. Actualmente forma parte del equipo de respuesta ante incidentes de S2 Grupo, desarrollando tares de respuesta ante incidentes, análisis forense, inteligencia de amenazas y threat hunting.



Análisis dinámico de aplicaciones en iOS sin Jailbreak

50 min     


Durante el proceso de auditoria de caja negra en aplicaciones de iOS, nos encontramos con que en ciertas aplicaciones se requiere el uso de las últimas versiones del sistema operativo y estas no disponen de Jailbreak público. Durante la ponencia, se mostrará a los asistentes como es el proceso de inyección de Frida en una aplicación de iOS y realizarle ingeniería inversa y hooking para poder saltarse las medidas de seguridad que suelen integrar o hacer que la aplicación funcione conforme a nuestras necesidades. Todo ello sin disponer de Jailbreak en el dispositivo, sin perder la funcionalidad de Apple Watch y mostrando algunos secretos poco conocidos que nos facilitarán la tarea.


Arán Lora


Arán, con más de 10 años de experiencia en el campo de la seguridad informática, trabaja en el equipo de Hacking Ético de Deloitte como Senior Security Analyst realizando pentesting de sistemas y aplicaciones web y móviles a empresas de distintos sectores como banca, telecomunicaciones, administraciones públicas, automoción y energía entre otros. Es especialista en seguridad web y móvil, un apasionado de la seguridad informática desde muy temprana edad y eventual jugador de CTF como miembro del Amn3s1a Team.



Kernel exploitation. ¿El octavo arte?

50 min     


Durante la charla repasaremos algunos conceptos básicos de kernel y explotación, para posteriormente introducir conceptos más avanzados. También veremos algunos de los mecanismos de protección que se han ido introduciendo con el fin de mitigar o dificultar la explotación. Por ultimo mostraremos el proceso de explotación de alguno de los bugs con los cuales me he encontrado durante los últimos años.


Jaime Peñalba Estébanez


Jaime lleva mas de una década y media trabajando en diferentes áreas relacionadas con la informática. En la actualidad Jaime trabaja como investigador de seguridad del kernel de Linux y dedica la mayor parte de su tiempo a este área buscando y explotando bugs, así como desarrollando las herramientas necesarias para llevar acabo estas tareas.



Cache and Syphilis

50 min     


In this talk we will review part of the necessary background for understanding many recent micro-architectural attacks, like cache side-channel, rowhammer, and attacks based on speculative execution. Armed with this knowledge, we will turn our attention towards the problem of finding minimal eviction sets: sets of addresses that collide in the cache. A key primitive that enables some of these micro-architectural attacks from constrained environments, like web browsers. Finally, if the time permits, we'll see a working implementation in WebAssembly, and discuss some of its benefits when compared to plain JavaScript.


Pepe Vila


Pepe Vila es Ingeniero Informático por la Universidad de Zaragoza, ha trabajado como consultor e ingeniero de seguridad y actualmente es estudiante de doctorado en IMDEA Software Institute. Sus intereses incluyen, la informática, la exploración espacial, y la creación de una IA que subyugue a la raza humana. Cuando le queda tiempo también juega CTFs con ID-10-T.