Talks

Keynote: RootedCON \xf \xf streaming desde la Sala 25.

Speakers:

No speakers.

Keynote: RootedCON \xf \xf streaming desde la Sala 25.

Speakers:

No speakers.

Keynote: RootedCON \xf \xf en streaming desde la Sala 25.

Speakers:

No speakers.

Keynote: RootedCON \xf \xf streaming desde la Sala 25.

Speakers:

No speakers.

Keynote: RootedCON \xf \xf streaming desde la Sala 25.

Speakers:

No speakers.

Un obstáculo a la hora de desarrollar herramientas ofensivas Bluetooth es cómo hacer uso del dispositivo bluetooth y la falta de funcionalidades específicas como la suplantación de la MAC, etc. Durante esta charla se presentará un nuevo enfoque y herramientas que permiten el uso de Bluetooth a bajo nivel, multiplataforma y multilenguaje que permiten sentar las bases de un marco de desarrollo enfocado a auditar y atacar Bluetooth. Se complementarán las herramientas con el uso de comandos del fabricante no documentados en los dispositivos ESP32 que permiten incrementar la versatilidad de estos dispositivos a la hora de implementar ataques o realizar auditorías.

Speakers:

• Miguel Tarascó Acuña
• Antonio Vázquez Blanco

Track de Ciberresiliencia - KYNDRYL

Speakers:

No speakers.

En esta primera parte, analizaremos el panorama actual de las ciberamenazas, su impacto en las empresas y el papel de la ciberseguridad y las ciberpólizas en la prevención. Contaremos con la visión de distintos expertos involucrados en este proceso. <b>Modera: INCIDE</b>

Speakers:

• Sebas Kanj Bongard
• Patricia Pérez Soto

En proceso

Speakers:

No speakers.

Keynote de apertura del track de Criptored

Speakers:

• Alfonso Muñoz Muñoz

Introducción a ISACA Madrid

Speakers:

• Presidente ISACA

Intro & Welcome to Track

Speakers:

• Cesar Lorenzana

Rastreo cripto-activos…...Quitando el miedo a lo desconocido

Speakers:

• Mario Guerra Soto

Computación cuántica más allá de PQC. Qiskit Function.

Speakers:

• Dr. Francisco Martín Fernández

Charla sobre la implantación de framework de ISACA en el primer cliente que lo hace.

Speakers:

• Anass Abajtour

En proceso

Speakers:

No speakers.

En esta segunda parte, exploraremos cómo se activan las ciberpólizas tras un ataque, el rol de los distintos actores y las lecciones clave en la gestión de crisis.

Speakers:

• Sebas Kanj Bongard
• Patricia Pérez Soto

En proceso

Speakers:

No speakers.

I will expand a bit more CVEs found on a Bitcoin ATM and use them to empty the cassettes or add unlimited money to your wallet.

Speakers:

• Gabriel Gonzalez Garcia

Con perfiles distintos, se buscará ver como va a afectar la IA en el proceso de las auditorias actuales. <b>Modera: José Miguel Cardona</b>

Speakers:

• Pablo González
• None
• Pablo Rodriguez Martin
• José Miguel Cardona Pastor
• Karla Torres
• Águeda de Lara Valero

¿Especializarse en desarrollo de malware? Héroes y villanos.

Speakers:

• Oscar Gallego Sendin

MdE - [Investigación Fraudes & Criptomonedas]

Speakers:

• Manu Fernandez

Los Cylons fueron creados por el hombre. Evolucionaron. Se rebelaron. Hay muchas copias. Y tienen un plan." Los Cylons no llegaron con naves de guerra. No necesitaban láseres ni explosiones. Se hicieron pasar por nuestros ayudantes, ganaron nuestra confianza… y cuando nos dimos cuenta, ya estaban usando nuestras propias IAs en nuestra contra. En esta sesión en vivo, desentrañaremos cómo las IAs generativas pueden ser atacadas en distintos niveles y utilizadas para filtrar datos sin que lo sospeches. Exploraremos su talón de Aquiles: análisis de accesos, protección de datos, control de la navegación y defensa del runtime y el modelo. Pero no todo está perdido… También veremos cómo podemos detenerlas antes de que sea demasiado tarde. ¿Sobreviviremos? Eso depende de lo que aprendas aquí.

Speakers:

• Pablo Estevan

Esta charla se adentra en el intrigante mundo de los traffers, traficantes especializados en la recolección y venta de credenciales robadas. Se explicará cómo operan y cómo utilizan grupos conocidos como "clouds", tanto públicos como privados, para compartir y comercializar estas credenciales. También se explorará su relación con otros actores del cibercrimen, como los grupos de ransomware y los Initial Access Brokers (IAB). Además, se analizarán algunos de los vectores de infección más comunes que emplean y se presentará un caso particular que ilustra las dinámicas más inesperadas de este ecosistema criminal.

Speakers:

• Borja Rodriguez

En proceso

Speakers:

No speakers.

Kickstarting Threat Modeling with Generative AI.

Speakers:

• Shweta Shrestha Thapa
• Santiago Barrientos Marin

Arquitectura para auditores.

Speakers:

• Elías Grande

CiberNécora: Año I

Speakers:

• Jorge Bermudez González

La robótica está presente en más ámbitos cada día. La variedad de robots que podemos encontrar en hogares, comercios, industria, etc., es cada vez más amplia. En esta sesión, se tratará de mostrar en directo los problemas de seguridad de un robot cuadrúpedo militar, concretamente del modelo Vision 60 de la empresa Ghost Robotics, así como las posibles implicaciones de su despliegue en distintos ámbitos.

Speakers:

• Claudia Álvarez Aparicio
• Adrián Campazas Vega

Abstract: Dark Pink is one of the most prolific threat actors to emerge in the APAC region over the past two years, targeting military, government, and religious institutions across Southeast Asia. This presentation unveils how Dark Pink was first discovered, walking through the investigative steps that exposed the group’s operations and its unique kill chain. We’ll follow the entire journey—from detection through to full analysis—revealing how Dark Pink employs a custom toolset and unconventional techniques to bypass traditional security defenses and remain undetected. We’ll break down each stage of a Dark Pink attack, from initial access to exfiltration, and examine the distinctive artifacts associated with each phase. Using TeleScout, a tool for extracting and analyzing Telegram-based C2 messages, we’ll demonstrate how investigators can trace attacker actions, identify victims, and gather attribution clues. We’ll show how TeleScout enables step-by-step tracking of APT activity and explore its versatility in analyzing other threat actors, including eCrime and nation-state groups. This talk offers practical insights for public sector security professionals and threat investigators into detecting and analyzing sophisticated cyber threats. Presentation Outline: This presentation begins with an in-depth look at Dark Pink, explaining how the APT group was first discovered and the investigative steps that led to the identification of its operations, victimology, and possible motivations. We will then explore how Dark Pink conducts its attacks, starting with phishing emails and ISO images for initial infection, followed by sideloading a malicious DLL through winword.exe to extract the KamiKakaBot payload from a decoy document. The loader establishes persistence by creating registry keys and setting up a service that shuts down infected devices at specific times to evade detection. The payload, saved as an MSBuild XML project file, is compiled and executed in memory on each system restart, leading to the final execution of the KamiKakaBot. KamiKakaBot is a .NET executable that leverages Telegram for command-and-control (C2) communications. Using a custom Python script, we’ll demonstrate how to extract the C2 configuration from the payload and analyze the attacker’s activities on infected hosts. We will introduce TeleScout, our specialized tool that dumps and visualizes Telegram-based C2 communications, allowing analysts to observe post-exploitation actions such as LSASS credential collection, navigation of infected systems, and retrieval of additional tools hosted on platforms like GitHub and Telegram. Next, we’ll examine the exfiltration methods used by Dark Pink, detailing the types of files targeted and attribution clues embedded within them. We will also discuss the Telegram Bot API and explain weaknesses that investigators can exploit to retrieve messages from compromised bots, assuming a bot token can be obtained from malware samples. Finally, we will demonstrate TeleScout’s functionality on other cases, such as DuckTail, an infostealer, and YoroTrooper, a Kazakhstani APT, showing its versatility in analyzing both eCrime and nation-state actors. TeleScout will be released as an open-source tool after the talk, filling a critical gap in the current tooling available for investigating Telegram-based C2. What is new: While blog articles have previously covered Dark Pink’s operations, this talk will reveal unique insights into how the APT group was first discovered, including step-by-step details of the investigative process that led to its identification. We will highlight key artifacts and evidence that supported attribution—information not publicly disclosed before—as well as specific details about Dark Pink's tactics, techniques, and procedures throughout its kill chain. Additionally, we will introduce TeleScout, a tool designed to extract and analyze Telegram-based C2 messages, filling a critical gap in the open-source toolset available to threat investigators. TeleScout will be made freely available after the presentation, as no similar open-source tools currently exist for this purpose.

Speakers:

• Pol Thill
• Albert Priego

En esta ponencia exploraremos cómo un evento inexistente, promovido a través de desinformación generada con inteligencia artificial, logró reunir a miles de personas en el centro de Dublín. A través de este caso de uso, analizaremos las dinámicas de propagación que se utilizan en redes sociales para viralizar campañas de influencia, los riesgos asociados con campañas de desinformación y misinformación, y cómo éstas consiguen impactar en la confianza de la comunidad hacia las instituciones oficiales. Además, en esta charla presentaremos un ejemplo sobre cómo utilizar herramientas de escucha social y metodologías como el COM-B y el DISARM Framework (el MITRE ATT&K de la desinformación), que ofrecen estrategias para analizar, mitigar y prevenir este tipo de incidentes, destacando el papel crucial de la inteligencia artificial en la gestión de crisis comunicativas y en la construcción de resiliencia comunitaria.

Speakers:

• Paula González Nagore
• Raquel Garcia

Bug Bounty - ¿Y tú qué reportas?

Speakers:

• Juan Francisco Bolivar

[Phishing, ese nuevo "viejo amigo": Tecnicas, Tendencias y Trucos]

Speakers:

• Dani Martinez

Estafas S.A.: Telekopye y la caza de mamuts Cuando hablamos de Telekopye hablamos de una navaja suiza para los delincuentes que les permite realizar todo tipo de estafas de una forma sencilla y organizada. Decenas de grupos de Telegram, con hasta miles de miembros cada uno, son usados a diario día para robar millones a los «mamuts», como llaman a sus víctimas. Los estafadores se autoproclaman «neandertales» y apenas necesitan conocimientos técnicos ya que Telekopye se encarga de todo en cuestión de segundos. Gracias a la colaboración con las Fuerzas y Cuerpos de Seguridadn y con varias de las tiendas y servicios online a los que Telekopye va dirigido se pudo obtener obtener una perspectiva única de toda la operación preparada por los ciberdelincuentes. Uno de los descubrimientos más impactantes fue que algunos grupos de Telekopye, en lugar de utilizar a aspirantes a ciberdelincuentes, amenazan a personas en situaciones difíciles y las obligan a realizar este tipo de estafas. También pudimos comprender mejor las capacidades de defensa de los mercados online, algo que compartiremos brevemente con la audiencia. Además, con esta investigación se ayudó a las empresas afectadas a reforzar aún más sus defensas, basándonos en lo que aprendimos de la documentación interna de los ciberdelincuentes, que se obtuvo tras infiltrarnos en sus filas. Acompañadnos en un viaje que explora este tipo de estafas desde la perspectiva del atacante. Telekopye está diseñado para atacar una gran variedad de servicios (OLX, Vinted, eBay, Wallapop) principalmente en Europa y Norteamérica. Ofrece funciones avanzadas a sus usuarios como la generación totalmente automatizada de páginas web de phishing, un chatbot interactivo con traducción sobre la marcha y protección anti-DDoS de todo el dominio de phishing, por citar solo algunas. Por último, los grupos de Telekopye han ampliado recientemente sus objetivos, añadiendo soporte para estafas dirigidas a usuarios de plataformas de reservas de alojamiento como Booking, estafas que, según nuestra telemetría, parecen ser las más populares actualmente. Durante la ponencia, demostraremos cómo funcionan estas estafas, cómo detectarlas y prevenirlas, concienciado a la audiencia para que puedan aprender a reconocerlas y eviten caer en la trampa de los neandertales.

Speakers:

• Josep Albors

CTFs y Criptografía. Del juego al escenario real

Speakers:

• David Ramírez

En proceso

Speakers:

No speakers.

VAPASEC

Speakers:

• Pablo San Emeterio

En esta charla, los expertos forenses de EyeSight comentarán casos y experiencias reales desde el punto de vista de los peritos informáticos, a lo largo de todo el ciclo de vida de la pericial informática, es decir, desde la identificación y adquisición de evidencias hasta la ratificación en tribunales.

Speakers:

• Jordi Linares
• Joan Tous Nadal

En esta ponencia comenzaremos por explicar los principales malentendidos y medias verdades que suelen rodear a la tecnología blockchain. Uno de los problemas a los que se enfrentan los tratamientos de datos personales construidos con esta tecnología es que no se suelen tener en cuenta requisitos para garantizar y poder demostrar el cumplimiento del RGPD. En muchos casos no se incorpora protección de datos desde el diseño porque se piensa o se argumenta que no es posible hacerlo, dados los equívocos ya mencionados. Un ejemplo muy claro es el del derecho al olvido, dada la supuesta inmutabilidad del blockchain. La imposibilidad técnica, incluso si fuera cierta, no justificaría no proteger adecuadamente los derechos y libertades de los ciudadanos. Pero en este caso dicha imposibilidad no existe. En esta ponencia explicaremos cómo es posible diseñar e implementar tratamientos de datos personales basados en blockchain que permitan a los responsables de los tratamientos cumplir con todas sus obligaciones y mostraremos una prueba de concepto desarrollada con Ethereum como ejemplo.

Speakers:

• Marta Beltrán
• Arturo Brazal Aragon

Pivoting and Privilege Escalation in the real world: from user to Domain Admin

Speakers:

• Víctor Nieves
• Jonathan Nebot

Auditoria de AD pero orientada a C-Level.

Speakers:

• Alex Amorín

¿Recuerdas la última vez que compraste un CD? Millones de personas tampoco. En sólo una generación, hemos asistido a una profunda transformación. Los consumidores ya no quieren tanto poseer cosas como poder acceder a ellas. Donde sea, como sea y cuando sea. Los gigantes tecnológicos han orquestado la gran revolución de las suscripciones. Desde Netflix, que cambió nuestra forma de disfrutar de películas y series, hasta Microsoft, que transformó Office en un servicio en la nube; desde Spotify, que dejó obsoletas las bibliotecas musicales, hasta HP, que reinventó el negocio de las impresoras. Todas esas empresas (y muchas más) se han dado cuenta de que el modelo de suscripción es maravilloso para ellas. Para los consumidores, no tanto. ¿Hemos cambiado la propiedad por algo mejor o, sin saberlo, hemos alquilado nuestro futuro?

Speakers:

• Javier Pastor

Socarrat en mi Raspberry Pi: aunque rasques, no podrás borrar estos ficheros

Speakers:

• Enrique Soriano-Salvador
• None

Auditoria de Contenedores, vulnerabilidades más comunes y remediaciones

Speakers:

• Jose María Pulgar Gutiérrez
• Carlos Polop

En proceso

Speakers:

No speakers.

La charla pretende exponer, desde la experiencia de Ethon Shield, una visión de la seguridad en el núcleo de las redes 5G, una pieza clave para el funcionamiento y la seguridad de las comunicaciones móviles de última generación. En primer lugar, se presenta la arquitectura del núcleo 5G como su definición teórica, para posteriormente abordar cómo se estructura y opera el núcleo en el contexto de una operadora, poniendo de manifiesto su complejidad y detallando las tecnologías de las que hace uso (virtualización, orquestación de contenedores, etc) Seguidamente se exponen consideraciones de seguridad que tener en cuenta al proteger en núcleo de una red 5G, las cuales no se abordaron en generaciones anteriores. Junto con los retos de seguridad asociados a la arquitectura 5G, se exponen diferentes escenarios por los que un atacante podría ganar acceso al núcleo de la red. La última parte de la charla consiste en presentar una metodología que podría ser utilizada por un atacante con acceso al núcleo de la red para intentar comprometer su seguridad en todas las dimensiones de esta. Para ilustrar esta metodología, se utilizarán breves demostraciones haciendo uso de una herramienta propia sobre una implementación de un núcleo de red 5G de código abierto (OpenAirInterface), aunque dichas demostraciones serían extrapolables a una implementación comercial de la red. La charla concluye ofreciendo una visión actual de la seguridad en redes 5G y presentando diferentes vías para reforzar la seguridad de estos entornos críticos en el futuro.

Speakers:

• Javier Valero

Expertos del grupo de investigación Sector 7 (Países Bajos) presentarán casos de éxito del Proyecto Melissa, una colaboración entre empresas y fuerzas de seguridad neerlandesas. Destacarán operaciones clave, como el cierre del foro Genesis y el desarrollo de un descifrador para el ransomware DoNex/DarkRace (INGLÉS) (ENGLISH)

Speakers:

• Thijs Alkemade

La ponencia versa sobre métodos y técnicas avanzadas para ocultar backdoors en sistemas operativos Linux, obviando las partes obvias y ya previamente documentadas, para avanzar en técnicas poco conocidas o de uso restringido. También se tocará eBFP como herramienta ofensiva. Se presentarán las siguientes herramientas no antes publicadas: 1- Herramienta para realizar inyección de librerías sin usar ptrace y otras técnicas de uso común 2- Herramienta de tipo backdoor denominada 'Asenino' que usa técnicas de ocultación forense avanzadas, payloads 'fileless', múltiples formas de uso (standalone, lib)

Speakers:

• Yago Jesus

Overview This talk will dive into the fascinating world of account abstraction and smart contract wallets, exploring how these innovations are reshaping the way we interact with cryptocurrencies. We'll challenge the traditional dependency on private keys—because honestly, who hasn’t panicked about losing one?—and highlight how smart wallets equipped with programmable logic can handle security, recovery, and user experience in ways that were previously unimaginable. Think of it as your wallet finally getting the brains it always needed. Key Topics What Is Account Abstraction? A quick primer on EIP-4337 and how it enables the creation of smart wallets without the limitations of traditional EOAs (Externally Owned Accounts). Why account abstraction is the secret ingredient for making Web3 adoption as simple as buying coffee—well, almost. Smart Contract Wallets: The Wallets That Think Key features like social recovery, spending limits, multi-sig operations, and customizable access control. How these wallets reduce the risks of losing funds due to lost keys or, let’s face it, human error. Solving Real-World Problems How account abstraction and smart contract wallets tackle common pain points: Forgetting private keys. Managing high-value transactions securely. Improving accessibility for your non-tech-savvy friend who just learned about Bitcoin yesterday. Practical use cases: wallets for law enforcement, corporate accounts, and subscription-based payments. (Yes, even Netflix could get smarter with this tech.) The Technical Magic Behind It How EntryPoint contracts and userOp objects work in account abstraction. Gas efficiency and operational challenges—who pays, how, and why. A sneak peek at future advancements in this field, because we all like to dream a little. Why It Matters Smart contract wallets aren’t just a technical improvement; they are a paradigm shift in how we view cryptocurrency ownership, security, and usability. This talk will demonstrate how these wallets can become a bridge between crypto enthusiasts and mainstream users, eliminating the fear of losing private keys and enhancing user control. In other words, we’re talking about wallets that finally have your back. Takeaways for the Audience By the end of the session, attendees will: Understand the mechanics and benefits of account abstraction. See how smart contract wallets improve the crypto ecosystem. Gain insight into the technical challenges and opportunities of implementing these solutions. And as always, walk away with something useful, something funny, and (hopefully) the realization that maybe your wallet should be smarter than you.

Speakers:

• Manu Fernandez

[LEA RESTRICTED] - Colaboración privado-privada e intercambio de Intel

Speakers:

• Marc Rivero López

Pautas para auditar LLM.

Speakers:

• Javier del Pino

Practical Threat Detection and Remediation in the Cloud

Speakers:

• Toni de la Fuente
• Rubén De la Torre Vico
• Sergio Garcia

[LEA RESTRICTED] - Ransomware Hunting: Grupos activos, TTP's y tendencias

Speakers:

• Daniel Creus

Se abre el telón y aparece un RCE en una aplicación desplegada en AWS. ¿Cómo se llama la película? Acompañadnos en una intrusión en caja negra de una organización con una fuerte dependencia de Amazon Web Services, donde detallaremos el proceso que nos llevará a revelar sus secretos (literalmente). Desde un simple hallazgo en una aplicación web hasta tomar el control de la cuenta, os ofrecemos una demostración práctica de nuestras técnicas favoritas en AWS, abusando de errores de configuración observados en una organización real. Coged unas palomitas, adoptad una posición claramente no ergonómica, y disfrutad del espectáculo.

Speakers:

• Álvaro Villaverde Prado
• Andrés Botica Manzano

En el transcurso de nuestras operaciones de Red Team hemos enfocado nuestra investigación en mejorar y desarrollar técnicas que permitan acceso directo a la memoria física de los dispositivos, así como mecanismos que habiliten la ejecución con los máximos privilegios (Kernel-mode). Esta charla se centra en presentar el estado del arte de estas técnicas, explorando enfoques innovadores y metodologías que hemos perfeccionado en los últimos años. Entre los temas que abordaremos se encuentran: Evasión de sistemas de detección y respuesta (EDR) mediante primitivas de acceso físico a memoria. Extracción de credenciales en entornos Windows con mitigaciones activas. Análisis y explotación de dispositivos mediante acceso directo a memoria (DMA). Técnicas de post-explotación en sistemas Windows. Esta presentación está orientada a profesionales de ciberseguridad interesados en las últimas técnicas de Red Teaming y las amenazas emergentes a nivel de hardware y software. Ofreceremos demostraciones prácticas y se compartirá con la audiencia herramientas y métodos que pueden ser aplicados en multiples ámbitos. Se trata de una charla eminentemente técnica.

Speakers:

• Borja Martinez
• Alejandro Hernando

¡Despierta tu instinto competitivo y demuestra tu talento en los SOC Survivor Games! Sumérgete en una experiencia inmersiva diseñada para entusiastas de operaciones de seguridad, donde pondrás a prueba tus habilidades en respuesta a incidentes e investigación de amenazas avanzadas. Enfréntate a adversarios simulados en un entorno controlado y desafía tu capacidad analítica con compromisos basados en TTPs reales de atacantes. Lo único que necesitas es tu ordenador y una mentalidad de investigador. ¿Estás listo para el reto?

Speakers:

• Rubén Franco

Esta charla analizará las tácticas, técnicas y procedimientos que habrían sido empleados por Israel para infiltrarse y sabotear una de las principales vías de comunicación de Hezbollah en Líbano: los buscas (pagers). Se profundiza en cómo se llevó a cabo un ataque a la cadena de suministro para sustituir o manipular componentes de hardware, así como en las modificaciones de firmware que permitieron integrar cargas explosivas en las baterías de estos dispositivos. A lo largo de la presentación, se detallará la secuencia técnica que posibilitó la infiltración: desde la adquisición y adulteración de componentes en puntos críticos de la logística, hasta el hardware hacking requerido para camuflar explosivos en un elemento tan cotidiano como la batería. También se abordarán las técnicas de ingeniería inversa y ajuste de firmware que se utilizaron para activar la detonación de forma remota y sincronizada, evitando la detección por parte de los sistemas de seguridad de Hezbollah.

Speakers:

• andres soriano
• Javier Rodríguez

¿Creen en Dios los LLMS? Reflexiones sobre moral y obediencia en la IA

Speakers:

• Jordi Murgó

Mesa redonda. El objetivo es hablar de la realidad en las auditorias de OT desde un enfoque práctico.

Speakers:

• Erik de Pablo
• Manuel Ballesteros
• Enrique Miranda
• Ignacio García Egea
• Juan José Nombela
• Ander Galisteo

[LEA RESTRICTED] - Hay vida mas allá del uniforme......... modelos de carrera/trayectoria profesional

Speakers:

• RUBEN MORA FERNANDEZ

Esta charla analiza cómo las vulnerabilidades en la cadena de suministro y cómo el uso de señales RF (con el protocolo POCSAG) pueden convertir dispositivos comunes, como pagers, en amenazas letales. Revisaremos el ataque a Hezbolá donde miles de pagers explotaron en un mismo momento, atribuido a una posible alteración de estos dispositivos en su proceso de fabricación o distribución, permitiendo su activación remota, probablemente mediante señales RF. La sesión incluirá una demostración en vivo sobre cómo un pager modificado podría activarse remotamente para ilustrar posibles métodos de sabotaje en dispositivos de comunicación RF. La charla permitirá comprender los riesgos de seguridad que persisten en dispositivos aparentemente obsoletos, al igual que las medidas necesarias para proteger la integridad en la cadena de suministro, evitando que estos dispositivos sean utilizados en ataques en entornos donde se requiera un alto nivel de seguridad. Por último, a modo de prueba de concepto, se mostrará el desarrollo de un pager casero utilizando hardware de bajo coste, con la capacidad de ser activado de forma remota y de generar una detonación controlada.

Speakers:

• Joel Serna
• None

Tras la investigación sobre cómo explotar el sistema ASFA de una red ferroviaria, abusando de sus balizas, se presentará la última fase de este proyecto exponiendo cómo se pueden fabricar balizas falsas, y probarlas con los dispositivos presentados el año pasado. Así mismo, esta vez se abordará la posibilidad de repetir el proceso para el sistema ETCS/ERMTS europeo, que sirve como estándar interoperable para toda Europa, actualmente implantado, principalmente en las líneas de alta velocidad, y en unas pocas de velocidad convencional. Con estas dos aproximaciones, tendremos cubiertos prácticamente la totalidad de casos de uso actuales utilizados en la red europea.

Speakers:

• David Meléndez Cano
• Gabs García

En 2019 presenté en RootedCON un mecanismo desarrollado en Securízame que permitía llevar a cabo la extracción de evidencias desde un sistema Linux teniendo en cuenta los conceptos de good binaries y good libraries. Tenía una complejidad bastante elevada de ejecución, por lo que me prometí mejorarlo. En 2020 presenté Wintriage, herramienta para DFIR en Windows que desde el minuto 1 hice libre para que la comunidad pueda usarla en sus investigaciones. En 2024 quiero presentar Lintriage, por fin una herramienta de uso libre, que automatiza de forma SENCILLA y ESCALABLE la adquisición de evidencias forenses desde sistemas Linux, ya sea en local o en la nube. Mi intención es publicar y liberar la descarga de la herramienta tras la ponencia en RootedCON, si esta es aceptada.

Speakers:

• Lorenzo Martínez Rodríguez

Una de las etapas más desafiantes dentro del Ciclo de Desarrollo Seguro de Software (SSDLC) es la implementación de pruebas dinámicas de seguridad de aplicaciones (DAST). En esta charla, proponemos una nueva visión para abordar esta fase crítica, transformándola en un proceso más eficiente y accesible al integrarlo directamente con las pruebas web desarrolladas por los equipos de Calidad Software. La necesidad de contar con un proceso robusto de pruebas dinámicas de seguridad y que, además, sea fácilmente adoptado por los equipos de calidad de software, ha sido el motor de esta investigación. Para ello, se fusionarán dos conceptos clave: las pruebas web automatizadas con Selenium y la herramienta de pruebas dinámicas de seguridad ZAProxy. Habitualmente, el proceso de configuración de herramientas de análisis dinámico requiere un análisis previo de URLs a atacar y la configuración de los procesos de autenticación, entre otros. Incluso ZAProxy recomienda el uso de su "Spider" para detectar las URLs a analizar. Sin embargo, en esta charla, proponemos un enfoque diferente: - ¿Tenemos pruebas web que cubren la funcionalidad de la aplicación? Sí. - ¿Contamos con un entorno de ejecución adecuado? Sí. - Entonces, ¿sería necesario realizar toda la configuración inicial tradicional? No. La clave de esta propuesta es permitir que el ZAProxy se conecte directamente con el navegador donde se ejecutan las pruebas. Este enfoque ofrece múltiples ventajas: - Análisis por funcionalidad: Cada prueba web se asocia a una funcionalidad específica, lo que nos permite aislar vulnerabilidades de distinta criticidad relacionadas con una funcionalidad particular y obtener además una visión más precisa de la superficie de ataque. - Simplicidad: Lo único que necesitamos es indicar el proxy sobre el que vamos a levantar ZAProxy en la configuración de las capabilities del navegador - Prevención: Integrar las pruebas dinámicas dentro de un flujo consolidado de pruebas nos proporciona retroalimentación temprana sobre vulnerabilidades, permitiendo identificar posibles problemas de seguridad desde las primeras fases del ciclo de desarrollo. Finalmente, en la última parte de la charla, se compararán los resultados obtenidos utilizando el enfoque tradicional (escaneo spider de URLs con la herramienta) frente a los resultados derivados de ejecutar las pruebas web con Selenium y ZAProxy, tanto en un análisis pasivo como activo. El objetivo es consolidar todos los conceptos propuestos y demostrar que un planteamiento alternativo en las pruebas dinámicas de seguridad no solo es viable, sino también más eficiente y práctico.

Speakers:

• Sara Martínez Giner

Mesa redonda sobre las nuevas regulaciones y como tienen que adaptarse las empresas y los departamentos de auditoria a ellas. <b>Modera: Juan Galdón</b>

Speakers:

• Juan Galdón
• Cristina Bausa
• Andrés Porras García
• Xavier Sanz i Vives
• Guillermo Martín
• Josune Charola

[LEA RESTRICTED] Coloquio libre

Speakers:

No speakers.

En esta charla nos adentraremos en el mundo de los Data Leak Sites (DLS), los portales donde los Threat Actors publican información exfiltrada para extorsionar a sus víctimas. Analizaremos los diferentes tipos de DLS que existen, cómo operan estos actores en la Dark Web, los plazos que manejan para la filtración de datos y los mecanismos que podemos emplear para acceder a información relevante de forma rápida. Además, exploraremos qué detalles clave pueden ayudarnos a dirigir una investigación de ciberinteligencia de manera efectiva.

Speakers:

• Sebas Kanj Bongard

El objetivo de esta charla es presentar algunos de los elementos fundamentales en el diseño de los generadores de números aleatorios, haciendo especial hincapié en las fuentes de entropía. A través de diversos ejemplos se ilustrarán temas como la diferencia entre fuentes físicas y no físicas, el concepto de entropía, la importancia de medirla o las garantías de seguridad que ofrece cada uno de los distintos modelos, proporcionando una comparativa entre ellos. De entre los ejemplos propuestos se hará especial énfasis en la fuente de entropía implementada en el núcleo Linux, probablemente familiar para el espectador. Además, se podrán incluir ejemplos de fuentes de entropía físicas, como las que se encuentran típicamente en los distintos procesadores del mercado, o fuentes más sofisticadas, como las basadas en fenómenos cuánticos.

Speakers:

• Julio Negueruela

Despedida y cierre

Speakers:

• Cesar Lorenzana

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

Lumma Stealer, también conocido como LummaC2, es un malware de tipo infostealer diseñado para extraer una amplia gama de datos sensibles de dispositivos comprometidos. Este trabajo analiza su origen, evolución, funcionalidades y las estrategias de distribución, así como el impacto de su modelo de malware-as-a-service (MaaS), que lo convierte en una herramienta accesible y altamente efectiva en el mercado clandestino. ## Origen y Desarrollo Lumma Stealer apareció en foros de habla rusa alrededor de agosto de 2022, creado por un actor de amenazas bajo el alias "Shamel" o "Lumma". Se distribuye en plataformas de Telegram y sitios web dedicados, donde su constante evolución y actualizaciones lo han posicionado como un malware robusto y adaptable en el mercado MaaS. ## Funcionalidad Lumma Stealer destaca por su capacidad para robar información diversa y crítica, incluyendo: - **Billeteras de criptomonedas** (configuraciones y logs de extensiones de navegador y aplicaciones independientes). - **Datos de navegadores web**, como contraseñas, cookies, historial de navegación e información de formularios. - **Credenciales de correo electrónico** y clientes FTP. - **Información financiera** y archivos del sistema. - **Datos de sistema**: nombre del PC, HWID, idioma, capturas de pantalla y software instalado. Estas características lo hacen especialmente atractivo para actores maliciosos interesados en el robo financiero y el espionaje. ## Características Técnicas Desarrollado en C/C++, Lumma Stealer emplea técnicas avanzadas de evasión y anti-análisis para minimizar la detección: - **Ofuscación y cifrado AES-256** para ocultar sus cargas útiles y los datos exfiltrados. - **Inyección en procesos legítimos de Windows**, como *svchost.exe*, para ocultar su actividad y dificultar la detección. - **Soporte continuo para nuevas billeteras de criptomonedas** y navegadores, gracias a actualizaciones regulares que permiten adaptarse a los cambios del entorno digital. Desde junio de 2023, LummaC2 ha incorporado un archivo de configuración dinámico descargado del servidor de comando y control (C2), complicando aún más su análisis y permitiéndole ajustar sus capacidades en tiempo real. ## Distribución y Alcance Lumma Stealer se distribuye principalmente mediante correos electrónicos de phishing y sitios web falsos que imitan servicios legítimos, como plataformas de conversión de archivos. En su modalidad de infección, el malware se presenta en archivos con extensiones engañosas (*pdf.exe*) que se descargan al abrir el sitio web falso. Afecta a sistemas Windows desde Windows 7 hasta Windows 11 y es compatible con al menos 10 navegadores diferentes, como Chrome, Edge y Firefox. La naturaleza no dirigida de su vector de infección le ha permitido propagarse globalmente, con especial incidencia en países como Brasil, India, Turquía, Italia, Estados Unidos, España y Francia. ## Impacto Lumma Stealer representa un desafío significativo para la seguridad de los sistemas Windows, destacándose por: - **Amplitud en la exfiltración de datos**: robando información crítica que incluye datos financieros, credenciales y archivos del sistema. - **Técnicas avanzadas de evasión** que reducen su detección y permiten la infección prolongada de dispositivos. - **Modelo de negocio MaaS**, que facilita su adquisición y uso por múltiples actores maliciosos. - **Actualizaciones continuas**, lo que mantiene su relevancia en un ecosistema de amenazas en constante evolución. El desarrollo de LummaC2, que parece estar dirigido por un solo individuo, subraya el alto grado de sofisticación y dedicación en el malware actual, destacando que incluso amenazas operadas por un único desarrollador pueden tener un impacto significativo en la seguridad global. Este trabajo explora en profundidad las técnicas, el impacto y el potencial de crecimiento de Lumma Stealer, proporcionando a la comunidad de ciberseguridad información clave para comprender y mitigar sus amenazas. Este análisis ofrece un marco para que la comunidad de ciberseguridad identifique indicadores de compromiso (IoCs), entienda las técnicas de evasión empleadas por LummaC2 y desarrolle estrategias de prevención efectivas frente a esta amenaza en constante evolución.

Speakers:

• Marc Rivero López

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

Clausura y despedida por el equipo de INCIDE

Speakers:

No speakers.

Despedida y Cierre del track de Criptored.

Speakers:

• Alfonso Muñoz Muñoz

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

En proceso

Speakers:

No speakers.

Bienvenida al track de Divulgando

Speakers:

• Antonio Fernandes

En OSINT al igual que en la vida existen formas de hacer las cosas bien y formas de hacer las cosas mal… y después existen las formas sudakas!! No te vas a querer perder esta pequeña charla/intro.

Speakers:

• Jezer Ferreira
• Roberto Eduardo Gonzalez

Todos aquellos que se han visto involucrados en el proceso de certificación de una norma, se han visto tentados a montar escenarios de cartón piedra. Se establecen conflictos entre las necesidades de procedimentar y guardar evidencia, frente a la agilidad necesaria del día a día. Y todo ello ¿para que? ¿para tener un papelito? ¿O realmente hay algo que ayuda a protegernos de un ataque? Desde la experiencia de tener un entorno certificado en ISO 27001 y en el Esquema Nacional de Seguridad con categoría ALTA, hablaremos que cosas merecen la pena y que cosas son desperdicios de recursos. Como hackear el compliance para que no sea una pérdida de tiempo alejada de la seguridad.

Speakers:

• Ignacio Pérez
• Estíbaliz Martín Lázaro

Autenticaciones forzadas & Sniffing: Análisis de Vectores de Ataque

Speakers:

No speakers.

RootedPANEL: EMPRENDIMIENTO

Speakers:

• Daniel Solís
• Eduardo Di Monte

En el mundo de la ciberseguridad, y en concreto el del pentesting, la eficiencia y ser preciso es clave para identificar los caminos que proporcionen el éxito en los objetivos del test. En esta ponencia se explora la utilidad de los sistemas multi agente con Inteligencia Artificial con el objetivo de mostrar cómo este campo aporta al pentesting. Con el enfoque innovador de la disrupción de los sistemas multi agentes, se presentará un sistema desarrollado (from scratch) que integra pequeños agentes especializados y autónomos, diseñados para realizar tareas de pentesting complejas mientras colaboran de manera orquestada. Disponer de este tipo de agentes especializados romperá la complejidad de ciertas tareas, simplificando el proceso. El pentester podrá utilizar el sistema como un ayudante al que solicitar las tareas que quiere realizar. El sistema multiagente presentado es un sistema inteligente en la que cada agente desempeña un rol específico, desde el escaneo y reconocimiento inicial, pasando por la enumeración de servicios y usuarios, hasta la post-explotación y explotación de vulnerabilidades. Estos agentes trabajan juntos para conformar un gran "copilot", que no solo automatiza tareas, sino que también permite la colaboración activa con el pentester. Se tiene la capacidad de poder aunar esfuerzos entre ellos, ya que pueden colaborar entre ellos para optimizar los resultados, gracias a la orquestación del sistema. A través de comandos de voz y sugerencias, el usuario puede guiar al sistema, solicitar acciones específicas, recibir recomendaciones estratégicas y analizar resultados en tiempo real. Esta interacción fluida e intuitiva redefine cómo los profesionales abordan pruebas de seguridad en redes y aplicaciones. El sistema se ha creado con el framework CrewAI a través de Python. Durante la ponencia se detallarán diferentes tipos de usos y escenarios, siempre con un enfoque dinámico y práctico. El sistema de agentes utiliza diferentes tipos de modelos de IA. Es sabido que el pentesting maneja información privada de empresas, por ello se ha utilizado modelos de IA locales basados en modelos fundicionales Open Source y reentrenados u optimizados para los diferentes casos del sistema. En otras ocasiones como, por ejemplo, la búsqueda de información o de CVEs, se puede utilizar modelos públicos dónde la privacidad no es relevante. La combinación de ambos mundos hace que el sistema esté más optimizado y con mayor capacidad ante los retos. Esta ponencia no solo mostrará un nuevo sistema que aporta ideas y simplifica ciertas acciones de pentesting, sino también una nueva perspectiva sobre la relación entre humanos y máquinas en el pentesting. Al proporcionar un ayudante dinámico y colaborativo, este sistema multi agente abre la puerta a un futuro donde la inteligencia artificial potencia las capacidades humanas sin reemplazarlas. La charla demostrará el impacto y la utilidad de esta tecnología, destacando su potencial para revolucionar la manera en que se realizan auditorías de seguridad.

Speakers:

• None
• Pablo González

Martín Vigo de Tierra de Hackers nos cuenta sus experiencias :)

Speakers:

• Martin Vigo

Descubre cómo pequeños detalles y pistas aparentemente insignificantes pueden desencadenar grandes resultados en investigaciones de OSINT. A través de casos reales, exploraremos cómo lo minúsculo puede marcar la diferencia, revelando información inesperada y llevando a la resolución de diversas investigaciones. <b>Ponente secreto: Speaker S</b>

Speakers:

No speakers.

AMSI, o AntiMalware Scan Interface, es una capa de protección integrada en sistemas Windows que permite a las soluciones de seguridad interceptar y analizar el contenido que se ejecutará en lenguajes de scripting como PowerShell, VBS o JavaScript. Aunque esta tecnología ha sido clave en la mejora de la defensa contra ataques basados en scripts, también ha impulsado una carrera constante entre atacantes y defensores. En esta charla exploraremos a fondo qué es AMSI, cómo funciona y, sobre todo, los diferentes métodos de bypass que han surgido a lo largo del tiempo. Además, compartiremos algunos "trucos" que pueden ser especialmente útiles para pentesters que necesitan superar estas barreras en un entorno controlado y ético. Haremos un recorrido histórico por la evolución de las técnicas de bypass, desde los enfoques más rudimentarios hasta los métodos más avanzados que buscan eludir esta interfaz de seguridad. Este viaje permitirá entender cómo los atacantes han perfeccionado sus estrategias a medida que AMSI ha fortalecido sus defensas. A través de ejemplos prácticos, se mostrará cómo ciertos exploits y técnicas específicas han desafiado continuamente a AMSI, destacando tanto las debilidades aprovechadas en el pasado como los desafíos que presenta en la actualidad. Finalmente, se explorará cómo la inteligencia artificial puede transformar esta dinámica. Mediante el uso de modelos avanzados y sistemas de agentes inteligentes, se demostrará cómo la IA puede actuar como un asistente poderoso para los pentesters. Estos sistemas no solo son capaces de analizar y sugerir posibles rutas de bypass, sino también de automatizar tareas complejas, optimizando el tiempo y los recursos del pentester. En este sentido, veremos cómo la IA, lejos de reemplazar al profesional, se convierte en un aliado que amplifica sus capacidades. Esta ponencia ofrece una visión completa y práctica sobre AMSI, combinando la historia, las técnicas actuales de bypass y la innovación que aporta la inteligencia artificial. Una sesión imprescindible para quienes buscan estar a la vanguardia en el mundo del pentesting y la ciberseguridad.

Speakers:

• Pablo González

Si no nos da confianza cuando se lleva el coche al taller y el mecánico, sin abrir el capó, lo mira y nos cobra la revisión completa concluyendo su análisis con un “está todo bien”, y del mismo modo, no compraríamos un coche sin saber si tiene motor, ¿por qué normalizamos entonces el desconocimiento en los sistemas de tecnologías de la información que hay detrás de una web, aplicación móvil o API? Abramos el capó… Con el objetivo de proporcionar a las distintas disciplinas de seguridad ofensiva y defensiva, de auditoría, y de diseño y desarrollo, el conocimiento y herramientas necesarias para comprender las arquitecturas de aplicaciones distribuidas de las organizaciones, esta charla pretende ilustrar cómo un buen conocimiento de los patrones de diseño software permite reducir la superficie de exposición de las aplicaciones desde un punto de vista defensivo y, en el caso de que dichos patrones no se apliquen, proporcionar los consejos y conocimiento ofensivo necesario para probar las aplicaciones de negocio en profundidad.

Speakers:

• Elías Grande

Cosas de Hackers y cosas canallas :)

Speakers:

• ANDRES DAVID NARANJO VENEGAS

Metodología práctica para la investigación de la Dark Web mediante el desarrollo de un crawler personalizado en Bash y su integración con herramientas OSINT como Shodan y Censys. La charla demostrará cómo los investigadores pueden construir y utilizar herramientas propias para la recopilación sistemática de datos en la Dark Web, para su posterior análisis o su integración con otro tipo de herramientas.

Speakers:

• Jaime Esquivias

TBD

Speakers:

• María Oliva
• Olga Mata Gómez

Eres capaz de engañar a un llm? Juguemos al escondite, escondamos algo en un código y después de diversas técnicas veamos si es capaz de encontrarlo. Desde el doctorado que estoy realizando en Ciberseguridad e IA, estoy haciendo una investigación conectándome a la mayoría de los LLMs donde escondo un "secreto" en el código y les pongo a prueba a ver si son capaces de encontrarlo, haciendo todo tipo de cambios en el código (ofuscado sencillo, ofuscado complejo, cifrando el secreto y hasta incluso dándole el código para descifrar el secreto). ¿Será el LLM capaz de encontrarlo? En la charla explicaré cómo he montando el sistema, backend desarrollado en Java y devuelvo los datos con estadísticas en un fichero para poder obtener conclusiones... Los resultados os sorprenderán...

Speakers:

• Jaime Morales

Descanso

Speakers:

No speakers.

En proceso

Speakers:

No speakers.

¡Contando Bits!

Speakers:

• Kike Gandia

Explora el proceso completo de una ciberinvestigación, desde el contrato hasta la ratificación en juicio, pasando por la obtención de evidencias.

Speakers:

• Salvador Gamero Casado

Mesa redonda

Speakers:

No speakers.

Análisis del comportamiento no consciente a través de la Comunicación no verbal

Speakers:

• Juan Manuel Garcia Lopez

En este sector en el que nos gusta pagar por las cosas menos que el agua a los gatos y aprovechando que vivimos en un mundo super megaconectado en el que todos o casi todos los servicios están conectados a internet mediando tarjeta digital, QR, app móvil, web... veremos como la Former Avilés Major y una vaca harán PoCs de como es posible que gracias a los hados del AGILE, SCRUM y de proyectos que crecen cuan pollos sin cabeza, es posible abusar de dichos servicios, tarjetas, QR, apps y obtener acceso y disfrutar gratis o casi gratis de los servicios que se ofrecen pudiendo obtener accesos a lugares físicos y virtuales a costa de terceros, entradas "hiper-low cost", invitaciones, aparcamiento y peajes, mejoras en servicios, comidas y bebidas, nopor y muchas cosas más.

Speakers:

• Tomás Isasia
• Javi Espejo Aka qemm

¿Puede un modelo de IA enviar datos a la nube? ¡Pero si los modelos son solo datos! En este charla veremos lo que realmente estamos descargando cuando descargamos un modelo de IA, lo cargamos y lo ejecutamos localmente. ¿Podrían existir modelos de IA que ejecutaran malware en nuestro sistema? Veremos las posibilidades de que esto suceda analizando los formatos más frecuentes en que podemos descargar un modelo, el software de inferencia (como Ollama, Hugging Face API o vLLM) y distintos casos y posibilidades. También veremos la diferencia entre un modelo de IA y una aplicación que ejecuta un modelo de IA y las implicaciones que tiene para la seguridad tanto ofensiva como defensiva.

Speakers:

• Florencio Cano Gabarda

Mesa redonda de la escena del hacking y personas oldskool. <b>Modera: Antonio Fernandes</b>

Speakers:

• Jordi Murgó
• Oscar Calvo
• Daniel Fernández
• Vins Vilaplana
• Antonio Fernandes

En proceso

Speakers:

No speakers.

Como se buscan personas desaparecidas ayudando a las FFCCS. <b>Ponente secreto: Speaker L</b>

Speakers:

• Elena Rebollo Rodríguez

404 Training Not Found - Caos en el Kernel

Speakers:

• Sandra Bardon

AMOS (Atomic macOS Stealer) es un malware avanzado diseñado específicamente para atacar sistemas macOS, representando una amenaza significativa en un entorno tradicionalmente considerado seguro. Este trabajo explora sus características técnicas, su evolución y su impacto en el panorama de la ciberseguridad para macOS, con el objetivo de ofrecer un análisis exhaustivo de sus capacidades y su modelo de distribución. Origen y Evolución AMOS apareció por primera vez a principios de 2023 y se ha posicionado rápidamente como uno de los infostealers más prevalentes para macOS. Ha evolucionado de forma constante, recibiendo actualizaciones regulares y adaptándose a las nuevas defensas de los sistemas Apple. Su capacidad para mantenerse relevante en el panorama de amenazas refleja un alto grado de profesionalización por parte de sus desarrolladores, quienes han sabido adaptarse a las necesidades de la ciberdelincuencia moderna. Funcionalidad La capacidad de AMOS para robar una amplia gama de datos sensibles lo convierte en una herramienta poderosa para los ciberdelincuentes. Entre los datos que exfiltra se incluyen: Contraseñas almacenadas en el llavero de macOS. Documentos y archivos del usuario. Información detallada del sistema. Cookies y datos de navegadores, lo que facilita el acceso a cuentas en línea. Información financiera, como detalles de tarjetas de crédito y credenciales de billeteras de criptomonedas. Estas capacidades lo hacen particularmente peligroso, ya que los atacantes pueden utilizar la información robada para cometer fraudes, realizar transferencias no autorizadas y obtener acceso persistente a los sistemas comprometidos. Distribución y Modelo de Negocio AMOS se distribuye principalmente como "malware-as-a-service" a través de canales de Telegram, donde su creador proporciona soporte, documentación y actualizaciones a los compradores. Desde su aparición, el precio de suscripción ha aumentado de $1,000 a $3,000 mensuales, lo que indica una creciente demanda y efectividad en el mercado. Las estrategias de distribución de AMOS incluyen campañas de malvertising, sitios web falsos que imitan servicios populares y descargas engañosas. Este modelo de negocio subraya la profesionalización del ecosistema de malware, donde la oferta de soporte y actualizaciones simula la dinámica de productos de software legítimos. Características Técnicas Lenguaje y variantes: AMOS fue escrito originalmente en Go, aunque existen versiones en C++ que ofrecen diferentes niveles de evasión y adaptabilidad. Algunas de las versiones más recientes también incorporan un dropper escrito en Python, que facilita la instalación inicial del malware en sistemas objetivo. Ofuscación y evasión: Emplea técnicas de ofuscación avanzadas para evitar la detección por parte de soluciones de seguridad. Además, utiliza comandos como osascript para ocultar su actividad, desplegando ventanas de autenticación falsas que engañan al usuario para obtener credenciales. Actualizaciones frecuentes: AMOS ha evolucionado continuamente, integrando nuevas técnicas y funcionalidades que le permiten adaptarse a los cambios en las medidas de seguridad de macOS, lo que ha contribuido a mantener su efectividad en el tiempo. Impacto AMOS representa un cambio significativo en el panorama de amenazas para macOS. Históricamente, el sistema operativo de Apple ha sido percibido como más seguro que otras plataformas, pero la aparición y expansión de AMOS han desafiado esta percepción. En 2024, se ha convertido en el tercer malware más detectado en macOS, representando aproximadamente el 9% de las detecciones, lo cual evidencia su propagación. El éxito de AMOS también ha inspirado la aparición de variantes y competidores como Banshee, Poseidon y RodrigoStealer, reflejando una evolución rápida y continua del ecosistema de malware para macOS. Objetivos del estudio Este trabajo busca proporcionar a la comunidad de ciberseguridad una visión completa de AMOS Stealer, abordando: Las técnicas de captura de datos, persistencia y evasión empleadas por el malware. El modelo de negocio detrás de AMOS, incluyendo su comercialización a través de Telegram y la economía que lo respalda. El impacto de AMOS en el ecosistema de macOS, destacando la necesidad de nuevas estrategias de protección. Estrategias de mitigación y recomendaciones prácticas para prevenir la infección por AMOS y otros infostealers en sistemas macOS. La evolución de AMOS y su papel como precursor de nuevas amenazas dirigidas a macOS.

Speakers:

• Marc Rivero López

Fundación Goodjob

Speakers:

No speakers.

El uso de IA en todos los ámbitos de la ciberseguridad es cada vez mayor. Recientemente, la comunidad de ingeniería inversa ha comenzado a usarla en proyectos como LLM4Decompile, decai o r2ai. Por su naturaleza, la ingeniería inversa y la decompilación son tareas especialmente complicada para los modelos de IA actuales: - Un proyecto de ingeniería inversa real es muy extenso para las IAs actuales que pierden el contexto fácilmente y alucinan cuanta más información reciban. - Hay pocos conjuntos de datos y métricas objetivas de ""calidad"" en tareas como la decompilación. Lo cual limita la creación de mejores modelos. - El uso de la IA aún no está popularizado en la comunidad y no se han explorado técnicas más avanzadas. En esta charla tratamos de resolver algunos de estos problemas y usaremos técnicas modernas como agentes, sistemas multi-agentes y el escalado en tiempo de inferencia (aka. modelos ""razonadores""). Haremos una introducción de estos conceptos y cómo se pueden usar en la ingeniería inversa. En nuestros resultados iniciales, descubrimos que con un buen diseño de agentes se mejora sustantivamente los resultados, tanto en código decompilado como en tareas relacionadas. Mostramos usando crackmes estas capacidades, incluso en escenarios complejos. Por último se compartirán herramientas para que la comunidad pueda experimentar con la IA y encontrar más casos de uso.

Speakers:

• Javier Vidal
• Alejandro Vidal

¡Hackavis!

Speakers:

• José Javier Pastor

CTF - Búsqueda de personas desaparecidas junto a FFCCS

Speakers:

No speakers.

Se prevé que para antes de la Rooted se haya aprobado la nueva ley de ciberseguridad que transpone la Directiva NIS2. De ser así, se propone explicar el alcance de la nueva norma y el impacto en las empresas españolas afectadas, en particular el cuanto a gestión y notificación de incidentes.

Speakers:

• Francisco Perez Bes

Encontrarnos literaturas o recopilaciones de casos forenses y DFIR que son habituales, sencillos, didácticos hasta llegar a los más pintorescos que permiten hacernos una idea del alcance a lo que nos enfrentamos. Sin embargo, siempre se omite la complejidad técnica asociada al escenario en el momento de la adquisición, en donde además, si algo va mal todavía se va a poner peor. Se presentarán una serie de casos reales con solución real que requieren una planificación técnica o sortear los obstáculos que no permiten progresar de forma adecuada la obtención de información. Estos casos pertenecen al ámbito judicial, corporativo e industrial para dispositivos y naturalezas tecnológicas distintas. Entre los casos habrá caídas de tensión, diluvios de logs, limitación temporal en las actuaciones, conexiones físicas necesarias que no se pueden realizar, soluciones ad-hoc, dispositivos más que antiguos e incluso muy deteriorados, fallos de coordinación, ... Un ecosistema de lo más variopinto con soluciones prácticas, descuidos, alguna decepción y mucho café pero con tres malditos terrones. Los casos, se descartarán algunos para ajustarse al tiempo de exposición: -El ú(SB)nico -!Desayuna 200Tb de logs, y pide postre! -Acero puro ó los problemas de adquirir chatarra -Consecuencias de las ecuaciones de Maxwell o ¿El cable azul o el rojo? -No le busques USB tres al gato o ¿El cable azul o el rojo? Parte 2 -Buzones de plomo -Blatand o donde esta mi puerto USB -BSD cabrones -El router de Luis -Cabrón!!!! Me mandaste a la guerra con un tenedor de madera -Tengo un tractor amarillo -Tx, no me des las gracias -Encro, quéjQuery3310768253997968863_1735057123749??

Speakers:

• Buenaventura Salcedo Santos-Olmo
• Alejandro Chirivella Ciruelos

Película: "Diario de mi sextorsión"

Speakers:

No speakers.

Según la normativa vigente de que todos los eventos de Ciberseguridad necesitan de tener una charla de IA. ¡¡Pues Toma!!

Speakers:

• Roberto Eduardo Gonzalez

La tentación del Hombre de poner a su servicio lo que desconoce sigue siendo un clásico. Como lo es que su uso malicioso siempre ha prevalecido sobre sus efectos positivos. En esta ponencia sobre la IA y sus riesgos, repasaremos 20 películas -algunas poco conocidas- de la historia del cine que preconizaron lo que ya estamos viviendo con IA amenazantes, racistas, que consideran la humanidad una amenaza o que claman por sus derechos la margen de sus creadoras y que, de no embridarse, podrían traer un caos y destrucción… que, ya en el cine, muchos guionistas han mostrado. Algoritmos malditos que amenazan la existencia de la humanidad y a los que nadie ha hecho caso, a pesar de haberlos visto en acción en la gran pantalla. ¿Alguien les pondrá freno antes de que pasen de la ficción a la realidad?

Speakers:

• Carmen Torrano Gimenez
• Carmen Torrano

En proceso

Speakers:

No speakers.

CyberForged

Speakers:

• Miguel Ángel Diaz

En esta charla descubrirás cómo aplicar la Regla de los 90 segundos para generar rapport instantáneo, proyectar carisma auténtico y persuadir en cualquier interacción social.

Speakers:

• Jezer Ferreira

La sextorsión no son solo cifras alarmantes; es una violencia que afecta vidas reales. En esta charla, a través de "Diario de mi Sextorsión", compartiré mi experiencia enfrentando a un Hacker que robó mi privacidad y me sumergió en una red de chantaje digital. Exploraremos cómo funciona este delito, qué lo convierte en una amenaza global creciente y cómo podemos prevenirlo. Más allá de los números, esta es una invitación a reflexionar, empatizar y actuar frente a una crisis que no podemos ignora

Speakers:

• Patricia Franquesa

Zero Trust: No confiamos en tu gato, mucho menos en tu contraseña

Speakers:

• Santi Perez

Russia's war against Ukraine demonstrates, as do many other examples throughout recent history, how vulnerable we citizens are to issues of privacy and censorship. In this talk, we will discuss recent problems related to privacy attacks, government circumvention mechanisms, and demystify some common privacy and anonymity recommendations. Our goal is to ensure that anyone can understand the importance of staying protected in these scenarios and having the tools available to do so. We are hackers, and this is a hacker conference. We will publish two user-friendly tools that demonstrate how to create clever covert channels using massive services, such as calendars or videos on social networks. One, two, three... action!

Speakers:

• Daniel García
• Alfonso Muñoz Muñoz

Una mesa redonda centrada en divulgadores de ciberseguridad y tecnologías emergentes. <b>Modera: Antonio Fernandes</b>

Speakers:

• Antonio Fernandes
• Albert Corzo
• Marta López Pardal
• María Aperador

El OpSec (Operational Security) es un proceso de gestión de riesgos que ayuda a proteger información sensible de posibles adversarios o delincuentes. Se utiliza en ámbitos militares y corporativos para evitar filtración de datos críticos. ¿Y si lo aplicamos a la vida real?. Charla técnica en la que se analizará desde un punto de vista OpSec el documental: "Diario de mi extorsión

Speakers:

• Manuel Guerra

Técnicas de HUMINT aplicadas a la investigación del cibercrimen.

Speakers:

• Javier Rodríguez
• Daniel Villegas

Esta ponencia examina la evolución de las técnicas avanzadas de phishing, presentando un proyecto innovador que integra Inteligencia Artificial, OSINT (Inteligencia de Fuentes Abiertas) y automatización para desarrollar un framework completo de análisis. Comenzamos explorando la metodología de recopilación y análisis avanzado de información de fuentes abiertas, potenciada por modelos de Inteligencia Artificial ejecutados en entornos locales. Esta aproximación permite un procesamiento seguro y controlado de los datos, garantizando la privacidad y la integridad del análisis. A partir del análisis inicial, el sistema posee perfiles detallados y personalizados de objetivos, incorporando elementos contextuales relevantes. La fase final del proyecto presenta una plataforma de automatización avanzada que integra los modelos de IA local para la generación dinámica de contenido. Esta plataforma permite la creación automatizada de plantillas de correo electrónico y la replicación precisa de portales web, culminando con la generación de informes detallados asistidos por IA.

Speakers:

• Félix Paniagua Mérida

En proceso

Speakers:

No speakers.

¿Está tu privacidad a salvo? Desafiaremos esa idea mostrándote cómo cualquiera puede construir dispositivos de vigilancia con hardware barato y cómo puedes defenderte usando las mismas herramientas. Desde la creación de micrófonos ocultos hasta la detección de señales RF con SDR, emprenderemos un viaje técnico para proteger tu OPSEC en un mundo lleno de amenazas invisibles.

Speakers:

• Gabriela García

Hardware Hacking para Administraciones Públicas: Protegiendo infraestructuras críticas

Speakers:

• David Melendez
• Gabriela García

La desinformación es una herramienta poderosa que explota vulnerabilidades humanas y tecnológicas para manipular percepciones, influir en decisiones y dañar la reputación de personas y organizaciones. Esta charla abordará cómo la ingeniería social se utiliza para propagar campañas de desinformación y cómo la gestión de la identidad digital puede ser una solución clave para protegernos de sus efectos devastadores. Además, se presentarán casos reales y actuales que han tenido un impacto significativo. Objetivos de la charla 1. Desmitificar la desinformación: Mostrar cómo se construyen y distribuyen campañas de desinformación a través de técnicas de ingeniería social. 2. Proporcionar herramientas prácticas: Estrategias y soluciones para identificar, prevenir y contrarrestar campañas de desinformación desde una perspectiva técnica y humana. 3. Casos prácticos y aprendizajes: Analizar ejemplos recientes que ilustran los mecanismos y consecuencias de la desinformación, con lecciones concretas para el público. Casos reales que se analizarán 1. Campaña de desinformación en conflictos internacionales: • Cómo se utilizaron deepfakes y noticias falsas durante el conflicto entre Rusia y Ucrania para influir en la opinión pública global. • Análisis de las estrategias de manipulación emocional utilizadas y el impacto en la confianza de las fuentes oficiales. 2. Ataques de desinformación contra figuras públicas: • Caso reciente de la difamación masiva contra celebridades y políticos, incluyendo la fabricación de pruebas digitales falsas para desacreditarlos. • Herramientas utilizadas para amplificar el alcance del daño, como bots y redes sociales. 3. Campañas de desinformación corporativa: • Ejemplo de ataques dirigidos a empresas del sector tecnológico para dañar su reputación y manipular el mercado bursátil. • Estrategias para mitigar y contrarrestar estos ataques en tiempo real. 4. Manipulación informativa en emergencias globales: • Desinformación durante la DANA y cómo afectó a la percepción pública sobre vacunas y medidas sanitarias. • Tácticas utilizadas para explotar el miedo y la incertidumbre. Estructura de la sesión 1. Introducción: El ecosistema de la desinformación • Definición y contexto actual. • Relación entre ingeniería social, psicología y desinformación. 2. Cómo se construyen las campañas de desinformación: • Técnicas utilizadas por atacantes: deepfakes, manipulación de metadatos, bots, etc. • Explotación de vulnerabilidades humanas (sesgos cognitivos, emociones, confianza). 3. Gestión de la identidad digital frente a la desinformación: • Estrategias para proteger la reputación personal y corporativa. • Métodos para detectar y responder ante campañas dañinas. 4. Análisis de casos prácticos: • Presentación de los casos reales mencionados, con un desglose de tácticas, impactos y respuestas efectivas. 5. Conclusiones y herramientas prácticas: • Recomendaciones clave para anticipar, identificar y mitigar la desinformación. • Recursos útiles para organizaciones, equipos técnicos y no técnicos. 6. Q&A con los asistentes: Resolver dudas y profundizar en los temas tratados.

Speakers:

• None
• Cristina L. Tarrida

En proceso

Speakers:

No speakers.

AYUDA DANA: iniciativa solidaria

Speakers:

No speakers.

Técnicas psicológicas de persuasión y manipulación aplicadas a la ingeniería social.

Speakers:

• Raquel Ibáñez López

Partiendo de uno de los Principios Básicos del desarrollo e implementación de Sistemas Informáticos, desarrollo de software, dev-ops, análisis de datos, ciberseguridad e Inteligencia Artificial, que es "la minimización de errores", de manera muy didáctica, se abordarán dos puntos principales: 1. Principios básicos para la minimización de errores 2. Métodos avanzados que nos ayudan a la minimización de errores en áreas como la Ciberseguridad, el Análisis de Datos y la Inteligencia Artificial. Para ello se mostrarán los Principios Básicos de la minimización de errores que nos enseñan la Ciencia y dentro de ella la Filosofía, lo que nos dará un marco general de pautas de actuación para la investigación en cualquier campo, por supuesto aplicables a la ciberseguridad y la Inteligencia Artificial. Una vez explicados brevemente dichos conceptos, pasaremos a ver sistemas de minimización de errores desde el punto de vista teórico, aquellos que son referencias en los ámbitos del análisis de datos e Inteligencia Artificial. Se mostrarán los elementos sobre los que hacer seguimiento y vigilancia constante en los algortimos de IA. Así mismo se mostrarán diversas situaciones en mutaciones y verificación de cumplimiento en mutaciones de los algortimos, tanto a nivel de los propios algoritmos, como de los parámetros de los mismos. Para finalizar: veremos estos sistemas de mininimización de errores en casos de uso, tanto en análisis de datos concretos de ciberseguridad, tanto discreccional como matemático/estadístco, así como de algoritmos matemáticos propios y algoritmos de Inteligencia Artificial. En todos los casos se presentarán las bases científicas de porqué el uso de unos y otros, así comoveremos ejemplos concretos con algoritmos reales y la solución aplicada en la realidad, para que se puedan analizar e implementar en otras situaciones o ámbitos que los asistentes consideren. Y todos ellos enmarcados siempre en el ámbito de la ciberseguridad aplicada.

Speakers:

• Héctor R. Suárez

En proceso

Speakers:

No speakers.

Mesa debate: CISOs como Divulgadores

Speakers:

• Jesús Mérida Sanabria
• Daniel Puente Pérez
• Enrique Cervantes Mora
• Ruben Fernandez Nieto

Hacking a la AEAT

Speakers:

• Alberto Zapico

Marta...no nos dejes caer en la encriptación y líbranos de ransomhub, amén!

Speakers:

• Marta López Pardal

En los últimos años ha crecido la necesidad de verificar telemáticamente la identidad de una persona. Por ejemplo, hoy en día es posible abrir una cuenta bancaria sin necesidad de salir de nuestras casas u obtener un certificado digital sin necesidad de acreditar nuestra identidad acudiendo a una oficina. Este proceso de verificación de la identidad suele consistir en que el usuario se ponga delante de la cámara de su dispositivo sosteniendo su carné de identidad. Este reciente método de acreditar la identidad ha abierto la puerta a nuevos ataques, como el uso de un vídeo pregrabado para suplantar la identidad de una persona. En este caso, un atacante que disponga de un vídeo de la víctima sosteniendo su carné de identidad puede utilizarlo para abrir una cuenta en un exchange de criptomonedas o solicitar una línea de crédito de forma fraudulenta. Lo único que necesita hacer el atacante es inyectar ese vídeo en el proceso de vídeo identificación. La forma más sencilla es utilizando un programa que simule una cámara web (como OBS Studio) o empleando una tarjeta capturadora de vídeo externa. En el caso de las tarjetas capturadoras, como el sistema operativo las identifica como dispositivos de vídeo, lo único que se necesita es otro equipo que reproduzca el vídeo que se desea inyectar a través de la tarjeta. Otro método común de inyección de vídeo es el uso de emuladores, en concreto, emuladores de Android. En este caso, el vídeo a inyectar es reproducido a través de la cámara del dispositivo Android emulado. Desde el punto de vista de la aplicación de vídeo identificación, el vídeo proviene directamente de la cámara de un dispositivo Android. El objetivo de la charla es mostrar cómo es posible detectar el uso de cámaras virtuales, tarjetas capturadoras de vídeo y emuladores de Android. La solución desarrollada está hecha para aplicaciones web de vídeo identificación. Esto limita en gran medida la cantidad de información que se puede obtener sobre los equipos de los usuarios si se compara con una solución que se ejecute de forma nativa en el sistema operativo en lugar de en un navegador web. Es importante destacar que el sistema de detección no utiliza el flujo de vídeo en ningún momento. La información que se utiliza para la identificación es la configuración proporcionada por el dispositivo de vídeo en uso. Esta información incluye parámetros como el nombre de la cámara, la resolución, la nitidez o el zoom. Tras analizar varios programas que simulan cámaras web, se descubrió que el número de parámetros ofrecidos mediante Javascript suelen ser menores cuando se trata de una cámara virtual que cuando se trata de una cámara genuina. Esta discrepancia permite su identificación. Por lo tanto, la solución desarrollada comprueba la existencia o no de determinados parámetros clave para detectar una posible inyección de vídeo. Además, para que la detección de emuladores Android sea más precisa, también se analizan distintos parámetros de WebGL. La solución desarrollada fue puesta a prueba con 12 portátiles diferentes de 3 fabricantes distintos y 18 móviles diferentes de 7 fabricantes. En todos los casos, la solución detectó correctamente las cámaras como genuinas. También se puso a prueba con 9 programas de cámaras virtuales (tanto de Windows como de Linux), con 1 tarjeta capturadora de vídeo y con 3 emuladores de Android y la solución las detectó todas como cámaras virtuales.

Speakers:

• Xosé Fernández Fuentes

Cierre OsintoTrack por Osintomático

Speakers:

• Roberto Eduardo Gonzalez
• Jezer Ferreira

Explicaré cómo programar en un ordenador cuántico de forma práctica y sencilla, tratando de quitar el mito sobre estos ordenadores y despertar la curiosidad de los oyentes. Voy a explicar cómo se pueden utilizar para romper algoritmos de cifrado como RSA y AES, mostrando los circuitos necesarios y explicando cómo funcionan por dentro. Mostraré una demo de cómo programar un ordenador cuántico real, y cómo se podría utilizar para romper el cifrado actual. Enseñaré otras aplicaciones de estas máquinas para problemas como la optimización, la aceleración de la Inteligencia Artificial y bases de datos. También exploraremos el futuro de la criptografía y de esta tecnología. Mi intención es explicarlo de forma fácil y enfocarlo de manera práctica, para que cualquier persona se sienta capaz de programar estos ordenadores y de entender cómo funcionan sin necesidad de ser expertos en física o en computación misma.

Speakers:

• Jose Fernández

El análisis de riesgos en IT es una cuestión ampliamente abordada en la literatura. Sin embargo, en los últimos tiempos el ser humano ha tenido que lidiar con un embrión en el horizonte el cual ha ido creciendo hasta convertirse en el elefante en la habitación que se presenta en esta ponencia: Gestión de riesgos en IA. Se pondrá en contexto al oyente con los conceptos básicos de la IA confiable y robusta para que pueda entender que la evaluación de riesgos IA, no es una opción, sino una obligación, mucho más cuando la materialización de estos, afectan a nuestros derechos fundamentales como seres humanos. Se explorarán las taxonomías presentadas en la literatura actual y se presentará una taxonomía original, en la que se identificarán riesgos y ataques, y se propondrán técnicas y herramientas para su mitigación. Esta taxonomía no solo se centra en la puesta en producción de un sistema IA, si no que presenta una guía integral de todo el ciclo de vida del sistema, desde la formación del equipo de desarrollo hasta la fase de post-producción. Finalmente, y con la intención de demostrar la importancia de definir una gestión de riesgo IA así como saciar el apetito “hacker” del oyente, se presentará cómo, partiendo de los pesos de un modelo, se pueden eliminar las protecciones proporcionadas por los equipos de desarrollo a un bajo coste, tanto monetario como temporal, mediante un ajuste fino usando QLoRa. Este fenómeno se presenta en todos los modelos liberados al público: Llama 3, Phi, Qwen, Gemma e incluso los modelos destilados de DeepSeek.

Speakers:

• Samira Ahmed El Battioui
• Antonio Piedra

En proceso

Speakers:

• Chema Alonso

Infostealers y ciber estafas la bachata del cibercrimen

Speakers:

• Rafael López

FIESTA

Speakers:

No speakers.

La documentación en ciberseguridad es una herramienta clave para estandarizar procesos y reducir errores. Pero, ¿Qué pasa cuando nos volvemos prisioneros de los playbooks? Esta charla explora cómo fomentar el pensamiento crítico en analistas de SOC, equilibrando la necesidad de procedimientos con la flexibilidad y creatividad necesarias para enfrentar amenazas avanzadas. En un mundo donde la rapidez y la precisión son esenciales, los playbooks y runbooks son nuestras mejores guías. Sin embargo, seguirlos ciegamente puede impedir detectar ataques avanzados y limitar el aprendizaje del equipo. Aprende a entrenar analistas más críticos, revisar documentación de forma dinámica y garantizar la flexibilidad en la operativa diaria. Los playbooks son el pilar de cualquier SOC, pero su rigidez puede convertirse en un riesgo oculto. Esta charla aborda cómo evitar caer en la automatización mental, fomentar la toma de decisiones informada y mantener la documentación como una herramienta viva que evoluciona con las amenazas. ¿Cuándo seguir el manual y cuándo superarlo? Con esta charla mostraremos como transformar los playbooks de tu equipo en guías dinámicas que potencien la creatividad y la capacidad crítica de los analistas. Porque en ciberseguridad, pensar más allá del procedimiento puede marcar la diferencia. La seguridad no puede depender solo de procedimientos predefinidos. Explora cómo el pensamiento crítico, los ciberejercicios y la flexibilidad en los playbooks pueden crear un equipo de SOC más efectivo, capaz de enfrentarse a amenazas desconocidas.

Speakers:

• Ernesto González Pradas
• Oscar Hernanz Celada

[!] VULNERABILIDADES REPORTADAS, PENDIENTE RECIBIR LOS CVE Recientemente he descubierto un pequeño fallo que permite visualizar cualquier curso de prácticamente todas las academias en Wordpress. En la charla se enseñará como se han comprometido las academias de muchos influencers o divulgadores del mundo de la ciberseguridad (Todo con su debido consentimiento y dejando claro que este fallo no era conocido y por dicho motivo nadie estaba protegido «Para evitar daños en la reputación o cosas así»). Además por jugar un poco más se hablará de los riesgos que tiene este fallo, de lo infinitamente sencillo que se volvería distribuir el contenido y se enseñará una forma bastante sencilla para comprometer a muchos de los usuarios de esas academias (RCE).

Speakers:

• David Ojeda Guijarro

En esta charla exploraremos los aspectos más interesantes y controvertidos de Google Cloud Platform (GCP) y Google Workspace, enfocándonos en situaciones donde las líneas entre una vulnerabilidad y una decisión de diseño estratégica son casi imperceptibles. A lo largo de la sesión, analizaremos hallazgos reales que han sido reportados a GCP, aunque no todos han sido corregidos, a pesar de su apariencia de vulnerabilidad. La sesión tendrá un formato interactivo y dinámico: tras cada hallazgo presentado, la audiencia podrá evaluar si se trata de una vulnerabilidad legítima o simplemente una “feature” intencionada. Esto no solo ofrecerá una visión más profunda de las políticas de seguridad en GCP, sino también una oportunidad para reflexionar sobre el equilibrio entre funcionalidad y protección en entornos cloud. Además, se mostrará cómo es posible pivotar desde entornos tradicionales como Windows, Active Directory y Entra ID hacia GCP y Google Workspace, exponiendo vectores de ataque novedosos que conectan infraestructuras on-premise con servicios en la nube. En esta parte, discutiremos estrategias para prevenir estas rutas de escalación y proteger la integridad de tus sistemas híbridos. Esta charla está diseñada para profesionales de seguridad, administradores de sistemas y entusiastas de la ciberseguridad interesados en entender los desafíos actuales de los entornos híbridos y la nube. Prepárate para analizar, debatir y redefinir tus conceptos sobre vulnerabilidades y diseño de seguridad en GCP.

Speakers:

• Carlos Polop

Despedida y cierre del track

Speakers:

• Antonio Fernandes

Te invitamos a participar en este "Ultimate Hacking ProtAAPP Challenge", un desafío donde solo los más astutos y más veloces podrán alzarse con la victoria. Donde cada pregunta será una prueba de ingenio y una ocasión para medir tus habilidades y tu mente. ¡Acepta el desafío, pon a prueba tu conocimiento y demuestra que eres un auténtico hacker! Y si no ganas, por lo menos echaremos unas risas.

Speakers:

• Emilio Rico Ruiz

SORTEOS & CIERRE

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

FIESTA

Speakers:

No speakers.

HackerNight: bug bounty in partnership with Yogosha. <b>Trusted partners: CaixaBank, CCMAD</b>

Speakers:

No speakers.

Las APT son el coco, el Apex Predator, ese 2% de batería en el portátil cuando tienes que enviar un correo crítico. Llevamos la tira de tiempo pegándonos con ellas (y dando y recibiendo de lo lindo), y la idea de la charla era exponer de un modo práctico y didáctico nuestras "lecciones aprendidas" (ya sabéis que se aprende mucho de las hostias, sobre todo cuando el que sangra es otro). Mucha mucha batallita, algunas TTP interesantes (las que nos dejen contar los NDA, no habrá pecadores pero sí muchos muchos pecados). Sobre unos 150 incidentes gestionados (y cuando hablo de incidentes no es "mamá mamá, una IP rusa me ha scaneado el 443", sino de cosas que "han pasado" y han merecido informes ... el más tocho de 252pag nos avalan. ¿El objetivo? Contar nuestros aciertos y sobre todo nuestros errores, y hacer ver que, si bien un grupo APT son una panda cabrones muy listos y con recursos, si te lo curras y eres tan joputa como ellos, les puedes joder la vida a base de bien :D Un versión "reducida" de la charla fue presentada en las Jornadas STIC del CCN-CERT este noviembre, pero se me quedó más de la mitad de las batallitas en el tintero (las más técnicas, porque modulé el mensaje para el público asistente a las STIC y me quedé con "ideas fuerza" para responsables de seguridad, CIO, etc). Para que veáis un poco cómo va a ser la charla, os adjunto una beta de las slides completas...

Speakers:

• Antonio Sanz

El consumo de contenido pirata ha pasado a convertirse en una práctica común para muchas personas a raíz de las circunstancias actuales del ecosistema digital. Tanto es así, que cada vez más son las noticias y medios que se hacen eco de esta problemática, sobre todo en el mundo audiovisual. Si bien se están adoptando diferentes medidas desde múltiples ámbitos, como es el legal, se quiere destacar la relevancia de no dejar de lado la implementación de mejoras técnicas en la prevención del fraude. En esta ponencia se abordarán los fundamentos del DRM (Digital Rights Management) en el contexto del streaming de vídeo, exponiendo así sus debilidades más significativas: - En primer lugar, se introducirá una explicación accesible sobre el funcionamiento de la encriptación de vídeo y las bases del DRM, proporcionando una visión clara de su importancia en la protección del contenido digital. - Se explorarán las vulnerabilidades más destacadas de los sistemas de DRM actuales, como el CDN Leeching o la falta de rotación en las claves de acceso, entrando en más detalle con Widevine y la vulnerabilidad que permite la extracción de claves. Esto último, acompañado de una PoC en la que se verá cómo se extraen las claves y se reproduce el contenido. Adicionalmente, se destacará cómo actores con conocimientos técnicos limitados tienen acceso a un mercado donde se comercializa con métodos para vulnerar estos sistemas. La parte central de la charla estará dedicada a proponer medidas que van más allá del DRM, necesarias para mitigar la piratería masiva. Todas estas acciones estarán orientadas a complementar las limitaciones del DRM y ofrecer una visión más integral para reducir el impacto de la piratería. Por último, se detallará cómo desde Tarlogic se abordan estos problemas que presenta el fraude audiovisual y las soluciones que se están aplicando a día de hoy.

Speakers:

• Jesús Ramírez Gálvez
• Inés Cardiel Otero

¿Por qué un track ANON dedicado en un evento como RootedCON?

Speakers:

• Alfonso Muñoz Muñoz
• Román Ramírez

Rubberhose Filesystem con FUSE: Diseño y desarrollo de un sistema de archivos en espacio de usuario con cifrado negable

Speakers:

• Jorge Lafuente
• Javier JUNQUERA SÁNCHEZ

SolarNET.HuB (SNH): Digital Survival Kit. Unstoppable solarpunk-technologies against the dystopia of absolute control. <b>Psy & kräken.labs</b>

Speakers:

• Lord Epsylon

Esta charla trata sobre temas que no se suelen mostrar en las charlas relacionadas con los incidentes y su gestión, aportando una perspectiva desde el lado del Handler que es igual de importante que las más habituales. La idea es mostrar esa parte que no se enseña en los cursos ni en los másters sobre cómo se debe de gestionar un incidente y todo los intangibles que aparecen durante su gestión. Se abordarán las partes menos visibles que un Incident Handler debe de conocer como son, la gestión de las emociones tanto del equipo de CSIRT como las de los propios afectados por el incidente, las tensiones naturales que surgen durante en incidente debido a la propia crisis y la gestión de las personas involucradas. Cómo gestionar las energías y los recursos involucrados además de los esfuerzos personales. Es decir, la idea es mostrar todos esos factores que influyen en la efectividad en la respuesta a incidentes pero que no son las evidentes. Esto aplicaría tanto a los propios equipos de CSIRT de clientes finales como a los equipos de DFIR que dan soporte externo a las empresas. Todo esto se aportará desde mi experiencia de más de 12 años en DFIR y la recogida en mis 7 años llevando equipos de intervención.

Speakers:

• Diego Cordero

HackerNight: resumen y anécdotas en la Bug Bounty con más de un millón y medio de euros de botín :)

Speakers:

• Omar Benbouazza

Traditionally, images have been used to embed secrets imperceptibly using steganography techniques. But can they serve as active components in cryptographic protocols rather than mere containers? In this presentation, I explain a new methodology that transform images into cryptographic elements, enabling their use in protecting secrets or implementing advanced schemes like zero-knowledge proofs. This approach offers greater robustness and security than steganography—achieving perfect imperceptibility and secrecy—while maintaining its benefits, such as resilience to mage alterations afterwards and an innocuous appearance. This innovative paradigm enhances security across various security use cases, including authentication, data protection, recovery, and sharing, while improving usability. For instance, images are easier to remember, provide significantly stronger security (post-quantum resilience) than long, complex passwords, and can be replaced if compromised—a flexibility that biometrics cannot offer.

Speakers:

• Jordi Puiggalí Allepuz

Hace un año, recibí un enlace de phishing. Lo analicé por curiosidad y, sin darme cuenta, terminé infiltrándome en varias organizaciones cibercriminales. Pasé por una breve etapa de "Batman", intentando salvar a las víctimas avisándoles de que sus credenciales habían sido robadas. Pronto me di cuenta de que eso no era efectivo ni sostenible y decidí investigar más a fondo. Os invito a un viaje por las entrañas del smishing en España, donde exploraré cómo, a partir del análisis de código y el reversing de aplicaciones, podemos descubrir quién está detrás de varios grupos criminales, ver en detalle cómo operan, cómo se organizan y cuáles son sus TTPs más comunes. En la charla, analizaré códigos fuente de varios kits de phishing para mostrar las técnicas de evasión que utilizan para evitar ser detectados (antibots). Además, explicaré en detalle el funcionamiento interno de Telegram y cómo podemos aprovechar sus vulnerabilidades para extraer el máximo de información a partir de un token. En algunos casos, me ha permitido acceder a información privilegiada de organizaciones como WeTrustPH, un actor ruso que ha robado cientos de miles de euros y cuyos datos recolectados están siendo utilizados en una investigación en curso de la policía. También hablaré sobre MRRobot, un actor especializado en Banking RATs. Como a través del reversing de uno de sus APKs, logré acceder a su servidor C2 y observar, en tiempo real, todo el proceso: desde el envío del SMS a la víctima hasta que el atacante obtiene el dinero. Esta sección incluirá una demo donde mostraré la perspectiva del atacante y las capacidades del malware. Por último, presentaré soluciones prácticas que estamos desarrollado, incluyendo un chatbot gratuito alimentado con datos de INCIBE y como intentamos colaborar con bancos y gobiernos para implementar estas soluciones y proteger a usuarios finales.

Speakers:

• Aleix Rodriguez Alameda

The Anatomy of Anonymity: from Leaks and Loopholes in Internet Protocols to Power Plays and the Politics of Encryption.

Speakers:

• Juan Tapiador

MIL-STD-1553 es un estándar militar para la implementación de comunicación por bus de datos en activos críticos como aviones, drones y satélites. En el caso concreto de aviación, MIL-STD-1553 conecta funciones de piloto automático, GPS, válvulas de combustible y otros equipos de aviónica. La especificación original se centra en la tolerancia a fallos y la confiabilidad debido a las aplicaciones militares y aeroespaciales previstas. Sin embargo, el sistema no es robusto frente a ciberataques, como denegación de servicio (DoS) o man-in-the-middle (MITM). Un dispositivo malicioso conectado a una red 1553 tiene la posibilidad de realizar una gran cantidad de ataques. Podría modificar la información que aparece en las pantallas de la cabina y hacer que el piloto tome medidas basándose en información falsa, o podría atacar directamente componentes de hardware. La charla consiste en una breve explicación del protocolo, vulnerabilidades y ataques, con una demo utilizando una simulación de vuelo y un Flipper Zero como dispositivo malicioso. Adicionalmente, se realiza un análisis de intrusión mediante deep learning en Python y un estudio de concepto utilizando LLMs en dispositivos más potentes como la Raspberry Pi.

Speakers:

• Mario Delab
• Mario Delab

¿Qué piensas al escuchar que un equipo ha sido infectado por un Rootkit? ¿Un arte oscuro, magia, APT...? Un Rootkit representa la cúspide del malware avanzado, un desafío técnico que explora los límites de la ingeniería inversa y el funcionamiento interno de los sistemas operativos a muy bajo nivel. En esta sesión, desmitificaremos este malware y profundizaremos en su proceso de creación, obteniendo un Rootkit capaz de alterar y ocultar conexiones de red, esconder procesos maliciosos, grabar las pulsaciones del teclado, dificultar su análisis bloqueando protecciones nativas y establecer persistencia en el núcleo de un sistema Windows. Comenzaremos explorando conceptos fundamentales para comprender la finalidad y el impacto de este tipo de malware. Seguidamente, desglosaremos el proceso de desarrollo e infección, abarcando desde los frameworks más relevantes hasta las estrategias de persistencia y comunicación, ilustradas a partir de casos reales. Para finalmente, sumergirnos en todas las técnicas que debemos implementar para construir un Rootkit indetectable por herramientas de análisis. Con el propósito de ofrecer una experiencia práctica y aplicable, se compartirá, con los asistentes, un proyecto diseñado para aquellos que deseen adentrarse en el desarrollo o estudio de este tipo de malware, incluyendo un Rootkit avanzado para sistemas Windows 10 y 11 que incorpora las técnicas vistas durante la presentación.

Speakers:

• Alejandro Vazquez Vazquez

Detección de infiltrados en movimientos sociales

Speakers:

• Jordi Murgó

En proceso

Speakers:

• Yago Jesus

COCKTAIL

Speakers:

No speakers.

COCKTAIL

Speakers:

No speakers.

COCKTAIL

Speakers:

No speakers.