RootedCon 2026: crónica del tercer día

 Poco después de llegar me puse a jugar un poco con el lockpicking. Estuve intentándolo un ratillo y con las instrucciones de otro asistente, en poco tiempo... ¡Conseguí abrir un candado!

Yo, en RootedCon 2026, con el candado que he abierto

Verificación de edad descentralizada: Juan Hernández y Cristóbal Gazquez

RootedCon 2026 - Juan Hernández y Cristóbal Gazquez

Ha empezado presentándose. Es un creador de contenido y forma parte de una asociación de creadores. La verdad es que esta charla se me hizo un poco cuesta arriba. Habló de "la Ley de Influencers". Cualquiera en la sala puede ser un creador de contenido. También la Unión de Creadores forma parte de otra asociación internacional. La charla se fundamentó en una alternativa que ayude mejor a la regulación que se está haciendo actualmente. Después se incorporó a la ponencia Cristóbal Gazquez. Empezó a hablar de la historia de las redes sociales y cómo pasaron de movilizar a la población como revolución a convertirse en temas políticos. Seguió hablando de chat control y cómo ha evolucionado sus planteamientos. De ahí pasó a la verificación de edad. Habló de la Orden de Alejamiento Digital. También continuó con el anonimato en la red y la verificación de edad. Lo siguiente fue explicar alternativas como una cartera de verificación fría sin que haya nadie que lo gestione garantizado el anonimato. La adquisición de redes sociales por parte de empresas grandes (por ejemplo, en bolsa) fue porque se dieron cuenta que las polémicas y la polarización dan dinero. Conseguir polarizar es lo que hacen algunos creadores de contenido. La actual constitución española está desactualizada. Ahora hay que regular la máquina: buscar una constitución digital. En todo el periodo desde las redes sociales hemos perdido derechos. Ha llegado a un punto en el que ha pedido ayuda a la Comunidad para que participe a hacer una alternativa y compartir conocimiento. Hay que poner límite al monopolio digital. Bastante más adelante ha hablado de LaLiga, INCIBE, etc. 

Verificación de edad en linea...: Grego González y Alonso Rodríguez 

RootedCon 2026 - Grego González y Alonso Rodríguez

Lo primero que hicieron fue presentarse y explicar en qué áreas del proyecto han participado además de acreditar al resto del equipo involucrado. Siguieron con la línea de investigación basada en tres campos. Lo siguiente fue explicar sus motivaciones, la procedencia de otro proyecto, llamado Rayuela, que la edad de acceso a la pornografía se ha adelantado a los 8 años o los problemas que conlleva el acceso a la tecnología de los menores. Por lo que el objetivo del proyecto que estaban presentando era demostrar la edad real sin desvelar la identidad. Así llegaron a un listado de requisitos para alcanzar ese objetivo: privacidad, anonimato y usabilidad. Lo que hacen es usar una clave criptográfica y una verificación con certificado de confianza o número de teléfono. Nos enseñaron varios diagramas de flujo que muestran cómo funciona. Lo siguiente fue reproducir en un video alguna demo. Se certifica la edad tanto desde un número de teléfono como certificado digital. Sí explicaron el problema de los teléfonos de menores asociados a los padres o los menores emancipados a los cuales no les funcionaria. Terminó explicando cómo se le envía al proveedor de servicios el resultado, con las conclusiones y qué problemas tiene con las posibles soluciones. 

Cuando hubieron terminado me fui a hacer un descanso.

Resultados Hacker night: Omar Benbouazza y Lucas Varela 

RootedCon 2026 - Omar Benbouazza y Lucas Varela

Cuentan cómo empezaron a hacer los programas de bounties y cómo lo incorporaron en el evento. Contaron cómo lo vivieron: hasta las cinco de la mañana seguían dándolo todo. Explicaron cómo funciona un evento como este: las empresas saben que habrá discreción en los ataques que les van a hacer, y que el acceso que dan no se da así como así. Las empresas validan que lo que se encuentra está bien y dan premios muy golosos. Presentaron al representante del patrocinador que dio unas palabras y mostró el ranking y los premios económicos entregados. 

Canciones, hackers y otras pasiones del hacking: David Fidalgo y Jorge Martínez 

RootedCon 2026 - David Fidalgo y Jorge Martínez

Lo primero fue presentarse. Ellos hicieron la BSO de este año. Siguieron contando cómo hace la música, prescindiendo de ordenador: usando muchos cacharrines. Pero para la de RootedCon usó un aparatito muy pequeño: M8. Describió cómo está construido y cómo funciona.  Como es un tracker "la música no se toca, se programa" en hexadecimal. Con esa introducción describió cómo se trabaja y compone todo. Continuó hablando de la persona que lo ha fabricado y la comunidad que colabora con él y sus aportaciones. Explicó que como no hay stock es difícil de comprar, pero también están publicadas las instrucciones para montarlo. Mostró un vídeo de la composición grabada en directo. Lo siguiente fue hablar de los paradigmas del hacking musical. Los aparatos que ayudan "son ordenadores" pero sin sistema operativo. Lo siguiente fue enumerar las cajas de ritmos y los sintetizadores. Contó qué pasó con la Roland TB-303. Las conclusiones: ser hacker no es siempre lanzar exploits, es tener pensamiento lateral.

Cazadores de mitos en la DGT 3.0: Pedro Candel aka s4ur0n

RooteCon 2026 - Pedro Candel aka s4ur0n

Costó mucho empezar la presentación por problemas técnicos. "¿Algún informático en la sala?". Estuvo contando cosas de carrerilla por el tiempo perdido. Explicó que la plataforma DGT 3.0. explicó cómo pedir acceso a esa plataforma y los datos públicos que emite la DGT. Por ejemplo, a los conos conectados. Existe una conexión a una cola con MQTT.  Analizó varios dominios encontrados y sus certificados digitales. También explicó varios aspectos legislativos, leyes, etc. Después describió los protocolos y mensajes que dicen que tienen que tener. Los datos no van directamente a la DGT. Posteriormente mostró el modelo de los datos que se envían, todo por UDP. No envía datos personales ni matrícula o similares. Continuó con el API rest. Lo siguiente fue explicar el funcionamiento, incluyendo los componentes hardware y el número de fabricantes. Mostró fotos de balizas destripadas con las placas PCB serigrafiadas y sus componentes. Entre otras cosas explicó el arranque en modo debug mostrando los datos en texto plano. Presentó varios ataques. Lo siguiente fue contar un poco de reversing. La exploitation de los datos recopilados, en XML. Por ejemplo: el mapa de balizas. Hizo una demo accediendo en directo a la web que devuelve el XML. Después enseñó un script para recuper datos y que puede generar un mapa  con los valores encontrados. También puede poner una baliza falsa donde quiera. Hizo demo de cómo saldría pero sin emitirla. 

Y con esto terminamos la última ponencia de RootedCon 2026. Digo lo mismo que todos los años: Espero poder asistir el año que viene a la siguiente RootedCon. ¡Os veo allí!

RootedCon 2026: crónica del segundo día

En esta jornada llegué pronto como de costumbre. Estuve paseando un rato por los estands hasta que llegaron los chicos de Accenture, que tenían unos candados para hacer lockpicking y estuve más de 20 minutos intentándolo sin éxito. Lo dejé pero con la idea de volver más adelante. Ese momento nunca llegó.

Hacking bluetooth at scale: Antonio Vazquez

RootedCon 2026 - Antonio Vazquez

Antonio se disculpó por Miguel Tarascó que no pudo estar. Empezó la charla con un vídeo tipo anuncio muy chulo para dar pie a la introducción. Habló de las anteriores investigaciones, entre las que está BSAM, BlueSpy y USBBluetooth con ESP32. Lo siguiente fue un repaso de BSAM y las posibles actualizaciones que pudiera necesitar. Ha hablado de un ataque muy reciente, BLERP y de cómo se hubiera aplicado BSAM a este ataque. Ha seguido poniendo otros ejemplos. Lo siguiente ha sido hablar de automatizar el análisis en algunos controles, por lo que han presentado una herramienta gratuita, BSAM checker. Tiene capacidad para dar cuatro resultados por cada control: vulnerable, no vulnerable, no concluyente y fallo. Después ha hecho algunas demos. Entre otros ataques mostrados se encontraban unos auriculares Samsung y una mochila con una pantalla del tamaño de una tablet (como mínimo). Los auriculares Samsung permiten que el atacante grabe el audio que está sonando en ellos. Otro aparato fue una mochila con BT que la analizó tanto desde el lado de bluetooth como de su aplicación: servicios vulnerables, una APP de móvil con permisos interminables abriendo una webview. Continuó haciendo más demos. Sí avisó que no todos los controles se pueden automatizar. Ha terminado con sus conclusiones. 

Cuando terminó esta charla me cambié a otra sala para la siguiente ponencia.

BaconHash: Pablo Caro Martin

RootedCon 2026 - Pablo Caro Martin

Empezó presentándose. Siguió contando cómo hace tiempo perdió una hora para encontrar una contraseña tan básica como "password". Por lo que decidió buscar una solución: guardar un montón de hashes muy fácilmente accesibles. Explicó las distintas opciones que barajó después de comprar 2 TBs  de disco en Amazon y posteriormente tenía que ver cómo guardar los datos. Nos contó las diversas tecnologías que barajó, tales como big data con Elastic Search, SQLite, etc. Pero a cada una de ellas le encontró un problema distinto. Siguió explicando qué son las lookup tables y las diferencias con las rainbow tables: el procesamiento es mucho más rápido en lookup pero ocupan mucho más que las rainbow. Creó un sistema de ficheros y explicó que cada carpeta tiene el nombre del primer byte del hash y las carpetas hijas el siguiente byte. Después fue contando cómo fue recortando los datos en los ficheros: eliminando los separadores (":") del hash vs valor de contraseña, el nombre de las carpetas... Y así fue explicando más formas de optimizar el almacenamiento de las correspondencias entre hash y contraseña. Lo siguiente fue darnos los números de sus análisis: consiguió encontrar 126 mil millones de contraseñas en base a usar máscaras tal y como se usan en hashcat. Si se sabe cuentas contraseñas se pueden encontrar con hashcat con una máscara básica y específica haciendo cálculos de combinatoria; y por dónde debería de caer la que corresponde a una contraseña... Se puede acabar calculando el índice al que le correspondería esa contraseña en el sistema que ha creado. A partir de este punto explicó cómo se puede encontrar el valor asociado a un hash especifico haciendo búsquedas por aproximación. Y llegado el momento incluso a buscar de uno en uno. Después ha comparado la "base de datos" con otras como HashKiller, Hashmob.net, ntlm.pw, BinSec o Crackstation. Los ha comparado uno a uno según cuántos hashes tienen. Ha hecho una demo en directo de la herramienta disponible en una web: baconhash.pw

Aquí es donde hice un minidescanso. 

Influencers bajo ataque: Pablo F. Iglesias

RootedCon 2026 - Pablo F. Iglesias

A la charla de Pablo llegué tarde. Estaba hablando de estafas relacionadas con influencers y famosos. Estaba casi empezando a explicar las reglas que se deberían de usar para identificar si algo es una posible estafa: quién (vigilar dominio oficial, typo squatting, etc), qué (quitar desacortadores, virus total, etc) y contexto (oferta desproporcionada, urgencia irreal...). Continuó con las medidas de protección. 

Una vez más me cambié de sala para ver otra charla más.

Attacking without attacking: Pablo González

RootedCon 2026 - Pablo González

Va a hablar de "living it the land" (LoTL) . Empezó hablando de un trabajo o proyecto que hizo allá por 2015. Y siguió contando otros proyectos realizados desde entonces. LoTL es intentar hacer que el comportamiento se parezca a un comportamiento legítimo. No es solo usar técnicas fileless. Ha presentado varios proyectos: lolbas-lolbons, loldrivers, loSaaS, gtfobins, lotc (este es "in the cloud"). Después ha contando los diferentes niveles que se le pueden asignar: aislado, funcional, estratégico. Más adelante ha hecho explicado las diferentes capacidades que hacen falta. Lo siguiente que de lo que habló fue de diversos incidentes desde 2010 relacionados con este tipo de ataques y cómo han ido evolucionando. Acto seguido hizo una demo. Entre otras cosas, haciendo un ataque de descubriento con comandos básicos como arp, ping, etc. Cuando terminó la demo, a través de un comando y parámetros,  powershell mediante, ha empezado a explicar cómo se hace la detección. Lo siguiente fue otra demo en la que se usa Machine Learning. Terminó con las conclusiones finales. 

Cuando Pablo acabó se acercaba la hora de comer y me fui con Julián a alguno de los restaurantes de la zona. Vimos que era complicado quedarnos a la charla de Juan Antonio Calles.

Copilot en la sombra: Mar Llambi

RootedCon 2026 - Mar Llambi

Empezó diciendo que "todo Copilot es un SaaS" y que todos tenemos low code en nuestra infraestructura. También que casi todos los usuarios son de negocio y no técnicos. Describió diferentes tipos de incidentes en la power platform. Insiste en no que no hay que confiar en ésta. Ha insistido que hace falta saber de cuatro elementos: Copilot studio, power automate, conectores y Entra ID. Justo después enumeró las tres entiendes involucradas en estos sistemas: usuario principal, conector/flow y agente. Lo siguiente fue mostrar unos service principal en Entra ID que se habían creado solos. Más adelante mostró un ejemplo de una exfiltración de Copilot a MSGraph y de cómo se hace. Nos enseñó la primera idea que tuvo sobre este problema (pero se le adelantaron desde grupo en publicarlo) hasta la vuelta de tuerca que pudo darle: en vez de hacer que el bot pida los permisos para actuar en nombre del usuario pudo ocultar qué permisos daría para conseguir robar su token sin informar al usuario. Lo que significa que el conector tiene todo lo necesario para actuar como ese usuario. Y que el atacante pueda llevarse el token con un web hook site. El token no se puede usar directamente con el conector, es necesario aprovecharlo de otra forma para impersonar al usuario. No se obliga a que el token esté usado por la misma aplicación que lo generó. Fue terminando con las posibles mitigaciones a este problema. 

El spam telefónico no muere, solo evoluciona: José Luis Verdeguer aka Pepelux

RootedCon 2026 - José Luis Verdeguer aka Pepelux

Se presentó nada más empezar. Lo siguiente fue hablar de estadísticas de spam en distintos países. Continuó con la historia de la telefonía: RTB (Red Telefónica Básica), la migración a la telefonía digital y la desaparición del monopolio de Telefónica o la unificación de la numeración (todos tenemos que poner los prefijos). Habló de la aparición de los dialers predictivos. La única forma de envitar el spam era descolgar el teléfono. Siguió con la aparición de las primeras leyes de protección de los usuarios. No se dejó el surgir de los call centre y la VoIP,  los robocall, el CLI spoofing, etc. Continuó con las técnicas como buscar en ListaSpam o similares. Además prosiguió hablando de las leyes que salieron en 2009 como segundo intento para parar el spam. Tampoco se dejó las leyes de 2014 para combatir los robocall. Saltó a 2018 para contar lo que sucedió con la salida del RGPD. Lo siguiente fue la ley de 2022. Pero a pesar de estas leyes se siguen recibiendo. Año 2025: ley que obliga a bloquear CLI oculto o con CLI español desde el extranjero. Total 25 años contra el spam telefónico. Por lo que hay que mirar qué se puede hacer. Ha ido contando qué se hace para ser operador en España y así poder vender números. Luego ha explicado las diversas formas en las que hacen spam: rutas grises, SIM boxes (sus diferentes tipos), vulneración de centralitas PBX mal configuradas, etc. Continuó dando ideas sobre cómo seguir combatiendo el spam. Más regulaciones y controles por parte de la CNMV o el las firmas digitales del tipo stir/shaken. 

Al acabar estuve haciendo un descanso un buen rato. Al rato me metí casi acabando en la charla de Ofelia Tejerina. En cuanto acabó todo el equipo RootedCon se ha presentado en el escenario.

Equipo RootedCon

RooteCon 2026 - Organización RootedCon al completo

Román explicando todo el mundo que trabaja en el evento. Y cada una de las actividades y tareas a las que se dedica. Román quiere que se vea que hay muchísimo trabajo que no se ve. Absolutamente todo lo hacen ellos con la ayuda de los voluntarios. Todos y cada uno de los componentes ha ido hablando explicando cómo llegaron a la organización y sus tareas.

Dark territory III : David Menéndez y Gabs García 

RootedCon 2026 - David Menéndez y Gabs García

Han hecho un disclaimer sobre los accidentes y el humor. Empiezan explicando el por qué de los ferrocarriles y la tercera charla. Ponen en contexto qué es la señalización ASFA: entre los antiguos/legacy es el mas robusto. Explicaron su esquema y funcionamiento. Pusieron el ejemplo de poder spoofear una baliza poniendo una falsa forzando a un maquinista a actuar según la información recibida. El siguiente tipo de baliza fue ERTMS: se parecen mucho a las ASFA, con alguna salvedad. Dieron algún detalle interno: cómo se energizan, dashboard del maquinista, etc. Explicaron que este tipo de balizas están muy extendidos: Europa, Casablanca o de Marraqués a la Meca. También explicaron cifras de mediciones realizadas en sus pruebas o cómo construyeron un sniffer para ese tipo de balizas. Lo siguiente fue poner un vídeo con una demo. Concluyeron con los descubrimientos: sobre el estándar, los vendedores y los drones. 

A public hacker in the age of AI: Chema Alonso 

RootedCon 2026 - Chema Alonso

Habla de las preocupaciones que tiene sobre la IA, como por ejemplo para generar miedo. Pero pueden ser cosas incluso irreales. Empezó con manipulaciones como las que movilizaron la primavera árabe, o noticias falsas (como aquella en la que alguien publicó que él mismo, Chema, si iba a Palo Alto). No se dejó el famoso escándalo de Cambridge Analytica. Tampoco se olvidó de hablar de los deepfakes. Hizo hincapié en que absolutamente todo se viraliza por las redes sociales. Lo siguiente ha sido hablar de una herramienta llamada Newsblender-LLM. La siguiente herramienta que ha enseñado ha sido 'Analizador IA". Ha enseñado unos análisis que hicieron de varios vídeos: algunos de ellos relacionados con política y entre los que se encontraban algunos falseados. Las conclusiones han estado muy relacionadas con los miedos a los que apelan los miedos para manipular a las personas según sus intereses.

Y con todas estas charlas acabé la segunda jornada del congreso, esperando a ver qué me depararía el último día.

RootedCon 2026: crónica del primer día

Un año más en RootedCon. Como de costumbre llegué muy pronto y... ¡ ya había gente esperando! También como de costumbre se me echó el tiempo encima para decidir las charlas. Cada año hay más salas con muchas más charlas. Por lo que decidir se hace mucho más complicado. Incluso decidir los descansos, importantes para poder mantener la atención como es debido.

A lo largo de la mañana conocí a Jose Luís y a Quetxacoatl (Quetza, The Arki). 

Keynote: Román Ramirez

RootedCon 2026 - Román Ramirez

Nos han mostrado un vídeo muy chulo relacionado con pacman, el tema en el que se basa RootedCon este año, y según ha explicado Román, se ha hecho con IA. Ha explicado la cantidad de tracks que se han organizado y la misión y visión de la organización. No se ha olvidado de los colaboradores ni de los patrocinadores y ha contado las distintas actividades que hay preparadas además de las charlas. Ha continuado hablando del asunto de LaLiga. Por último ha entregado el Premio Raúl Jover 2026 que ha sido para Patrick Breyer, el cual ha dado las gracias y ha empezado su charla.

Insiste the Machine: Patrick Breyer 

RootedCon 2026 - Patrick Breyer

Nos hizo un speech sobre libertad digital, control digital de lo que vemos y podemos ver en Internet. Quién está moviendo realmente las leyes relacionadas con estos controles y el hecho de que los políticos no saben qué están votando realmente. Ha hablado del control en el cifrado de las comunicaciones. Y las empresas extranjeras que consiguen manipular el sistema para hacer leyes que les benefician. También ha hablado del activismo con los políticos europeos para evitar que se hagan leyes como "chat control" que puedan afectar a la privacidad de los ciudadanos. Se están atacando nuestros derechos digitales. Si hay que justificar la edad, habrá que enseñar tu propia identidad. Se necesita que los hackers hagan las leyes, no reaccionar a ellas. 

Al finalizar Patrik, Román ha presentado a todos a Quenza, el cual ha venido de México con mucha ilusión para estar en RootedCon.

Troyanuzando Ableton: Jorge Martínez 

RootedCon 2026 - Jorge Martínez

No obstante no me quedé y fui a hacer un descanso para poder tirar el resto de charlas. Aún así, antes de irme empezó a hablar sobre dispositivos que permiten a los asistentes a eventos cambiar las luces, el ritmo de la música y demás. Justo empezó a hablar del funcionamiento del programa Ableton cuando pensé que era mejor descansar un poco.

Stranger Internet of Things: Angel Perez y Rafael José Núñez 

RootedCon 2026 - Ángel Pérez y Rafael José Núñez

Esta fue la charla de después del descanso. Hicieron una Introducción y se presentaron. Empezaron con su motivación por la investigación que les llevó a hacerla. Entre otras estaba la ley de la ciberresilencia, categorizando los distintos tipos de dispositivos. Siguieron con algunos fundamentos teóricos. Lo normal es encontrase microcontroladores en los IoTs. Después están los tipos de interfaces de comunicación, como las UARTs. SPIs, I2Cs, JTAG, etc... Para cada uno de ellos explicaron los pines más importantes. Después siguieron con las herramientas con las que trabajaron. Soldadora, multímetro, etc... A partir de ahí estuvieron contando cada uno de los distintos dispositivos que analizaron. En ocasiones no fueron capaces de adquirir una shell. Usaron la herramienta binwalk para estudiar el firmware descargado. Entre otras cosas vieron el sistema de ficheros squashfs. El siguiente aparato que explicaron fue una cámara IP básica. Extrajeron el firmware de igual forma. Accedieron al boot de la cámara pudiendo tomar control de la consola del bootloader (no del sistema operativo). Con una manipulación consiguieron acceder a otra consola, la del sistema operativo, primero en modo read-only y después con el usuario root en modo escritura. Buscaban manipular el firmware, pero sin mucho éxito. Después siguieron con una cerradura inteligente de interior. Que los pines estén identificados es una mala práctica porque ayuda a hacer los ataques pertinentes. Explicaron algunos problemas que tuvieron para acceder a los datos. Analizaron su protocolo y le hicieron spoofing del valor de la batería. Consiguieron inyectar datos y abrir la cerradura. Lo que no consiguieron hacer fue dumpear el firmware. El siguiente IoT fue otra cerradura de interior. También tuvieron dificultades para acceder al firmware, a la consola boot, etc. Así, ya explicaron cómo decompilaron su firmware. Continuaron con otra cerradura más, esta vez para una entrada principal, y mucho más cara (según indicaron). Volvieron a explicar la arquitectura y las protecciones que tiene para impedir acceder al firmware y cómo pudieron saltársela. De esta forma ya pudieron copiar el firmware y acceder como si fueran un desarrollador. Acabaron con las conclusiones. 

Demerzel Project: Robot UGV.  Miguel Ángel de Castro 

RootedCon 2026 - Miguel Ángel de Castro

Presentó el robot que programó enteramente con IA. Explicó qué es este proyecto: cómo funciona, tanto el hardware como el software. Resumió de una forma rápida los componentes electrónicos que tiene. Y cómo se comporta según qué tipo de conexiones están activas: local mode, LAN e Internet. Además de operar según la conexión es capaz de identificar su entorno, emociones de las personas, etc. Lo siguiente fue contarnos qué software y librerías forman parte del sistema. No se dejó qué modelos de IA utilizó para cada una de las necesidades. Siguió con las muchas capacidades que tiene. Continuó con el proceso para hacer este proyecto. Lo siguiente fue hacer hincapié en los riesgos de la IA: las palabras son las nuevas armas. Acabó con las ideas de evolución y sus reflexiones, además de hacer una demo en directo. 

Tras esta charla me fui a comer a un foodtrack y a descansar un buen rato. También me tomé un té y una rica tarta de manzana.

El fantasma de la infraestructura: Sergio García

RootedCon 2026 - Sergio García García

Primero se presentó. Continuó en cómo empezó su investigación. Primero explicó qué son las Bedrock API keys y sus tipos: long-term y short-term. Los de short duran máximo 12 horas. Y se crean desde cliente (el navegador). Las de long-term pueden durar entre un día y nunca caducar. Estas últimas generan un patrón que codifica en base64 y además crea un usuario casi de la nada. Se pueden ver las características del usuario junto a su API key. Antes de seguir hizo un resumen de todo lo explicado anteriormente. Continuó enumerando las políticas que Amazon adjuntó, entre otras la capacidad de borrar objetos o la de listar y mapear datos críticos. Si alguien crea access keys estas se podrán usar. Los tokens de tipo short-term codificados en base64 están firmados con SigV4. Siguió explicando lo mismo pero con los tokens de tipo long-term. Mostró una demo en la que mostró decodificadas decodificó un token de cada tipo. A partir de ahí mostró los escenarios de ataque. Refirió a que los usuarios siguen persistiendo a pesar de que la clave esté caducada. Habló del LLMJACKING. Ya aquí siguió con formas de detectar posibles problemas, cómo evitar que se produzcan y cómo trabajar muy bien con SCPS. Prosiguió con contramedidas y presentó una herramienta open-source llamada bedrock-keys-security. Terminó con sus conclusiones. 

Al acabar me volví a la sala grande. 

Houston, we have a vuln! Jesús Muñoz, David Bernal y Gabriel de la Morena

RootedCon 2026 - Jesús Muñoz, David Bernal y Gabriel de la Morena

Jesús Muñoz Martínez y David Bernal Agüera dieron esta ponencia. Empezaron por presentarse y hablando de la comercialización del acceso al espacio: con más satélites y operadores se amplía la superficie de ataque. Ejemplo: MiTM. Ha hablado de órbitas o áreas. Los "satélites" tienen tres segmentos: estación tierra/, fabricante, usuario (gateway y dispositivos) y el espacio. Nos ha hablado de Mitre. También han resumido anteriores ataques a infraestructuras satelitales. Han explicado cómo han hecho el pentest en el segmento de misión de un satélite. Han reconocido que como norma general estaba bastante securizado si bien encontraron ciertas vulnerabilidades. Han mostrado un vídeo sobre este análisis. Lo siguiente fue pasar al segmento de usuario. Han explicado varios análisis para este segmento, como por ejemplo, uno relacionado con un coche. Después han seguido con una demo para descargar un firmware, que han analizado con Hydra. 

Al terminar la charla me fui a hablar con David (EsferaRed) y Pablo F. Iglesias.

Charla sin nombre porque la web no funcionaba: Kike Fontán y Pablo García 

RootedCon 2026 - Kike Fontán y Pablo García

Kike Fontán se presentó. Pero Pablo García no pudo venir. Empezó explicando que la charla iba sobre una metodología que tienen en NTT para hacer las pruebas de DoS. La disponibilidad no es algo que se le dé mucha importancia en las auditorías de seguridad. Utilizó tres términos importantes: abstracción, entorno y la observabilidad. Todas las diapositivas estuvieron hechas como viñetas de TBOs (sí! comics está también bien!). Puso como ejemplo la cantidad de clientes que acaban degradando un servicio en un bar. Con su experiencia han creado la una guía, que aún está en desarrollo. Entre otros puntos que explicó está el modelado de amenazas. Después fue contando uno a uno los controles. Alguno de los ataques está relacionado en buscar el equilibrio entre enviar muchos paquetes más o menos rápido y otros más lentos pero a su vez bastante más grandes. Más adelante ha hablado de protocolos y los posibles de ampliación o reflexión. No se olvidó de los ataques de paquete mal formados. Sin dejarse aquellos en los que fuerzan bucles infinitos. Después siguió con la categoría de los recursos: memoria, CPU, etc. Otra categoría de la que habló fue la física, como el jamming y las interferencias radioeléctricas. 

Después de esta charla decidí que por mi parte podía cerrar la primera jornada de RootedCon 2026.  

RootedCon 2025: crónica del tercer día

Tercera y última jornada de RootedCon 2025. Volví a llegar pronto, pudiendo aparcar muy bien, como los otros días. Además de desayunar estuve hablando un buen rato con otros de los amiguetes que siempre coincidimos en estos lares. 

APT: Aprendizajes de 12 años de joputeces

Antonio Sanz (@antoniosanzalc) dio la conferencia APT: Qué hemos aprendido tras 12 años de joputeces. 

RootedCon 2025 - Antonio Sanz

Empezó presentándose. Ha hablado del HPS y nos informó que contaría cosas, pero sin dar detalles específicos para evitar problemas legales. También insistió en qué es un incidente y un grupo APT. Un incidente no es un nmap o nessus. Son "avanzados" (la 'A') cuando hace falta. A veces son finos y otras veces son muy torpes. A lo largo de la charla estuvo contando casos reales de intrusiones, accesos en los que les llegaron a cambiar la contraseña de administración... La 'P' de "persistencia". Si estás en la lista de la compra, lo estarás siempre. Y la 'T' de "threat", amenaza. Al final los grupos APT tienen recursos, tiempo y conocimiento. Para el CCNCert el APT está en lo más alto en gravedad y peligrosidad. Siguió con los aprendizajes: todos podemos ser objetivos (directos o indirectos), se conocen la infraestructura y los usuarios, juegan sucio y con toda la artillería, tienen mucha paciencia aunque son incansables. Lo siguiente fue contarnos la prevención: parchear en tiempo y forma (vigilando los trastos perimetrales). Los directorios activos a lo largo del tiempo van guardando mierda, y se queda en la base de datos del AD, a colación de un caso donde se la llevaron. Después nos dijo que el bastionado funciona. La detección es que cada vez los malos usan menos malware, e intentan pasar lo más desapercibidos posibles y les encanta el correo electrónico, lo que hace que la impersonacion sea nuestro menor enemigo. La GUI dev gestión de correos no da toda la información, lo que sí que hacen los scripts powershell. Los EDR ayudan mucho, y dan mucha información. Las aletas tempranas son importantes y a los organismos completamentes hay que hacerles caso. A la hora de comunicar el incidente no se usa el mismo medio de comunicación fuera del afectado. Hay que forzar medidas. No obstante, los malos también cometen errores, pero nosotros también. Esto es un trabajo en equipo. 

Incident handler por vocación

Diego Cordero estuvo contando Incident handler por vocación.

RootedCon 2025 - Diego Cordero

La charla iba dedicada para los equipos de incident handler. Estuvo contada a nivel personal. Empezó presentándose. La respuesta a incidentes es importante la parte técnica, pero también la psicología porque hay personas afectadas que pueden sufrir. Los que responden pueden acabar agotados con una mala alimentación mientras están resolviendo la situación y eso puede afectar al resultado. No es un gasto tener un equipo de respuesta, es una inversión. Estas brechas tienen su impacto mediático. Sin olvidarse las infraestructuras críticas como los hospitales. Hay unas expectativas de soluciones inmediatas pero hay que saber hacer las cosas con tranquilidad. Siempre está la presión del tiempo. Solo hay que fiarse de las evidenciar que se ven. El estrés provoca mayor propensión a los errores por fatiga, se es más visceral en la toma de decisiones y se provocan tensiones en el equipo de respuesta. Explicó un modelo de decisión en 3 pasos. También hay que tener un buen procedimiento estructurado, hay que ser capaz de repartir los roles, sin olvidarse de hacer pausas programadas. Habló de habilidades intangibles y de los problemas que da la fatiga. Además de reducir los problemas del agotamiento también es muy importante la cultura de equipo. Sin olvidarse de los debriefing. 

Después nos fuimos al descanso, ocasión para pillar una concha Codan.

Image-Based cryptography 

La ponencia Image-Based cryptography, an image worth a 1,000 (pass)words la presentó Jordi Puiggalí.

 

RootedCon 2025 - Jordi Puiggali

Las contraseñas se están usando para todo, con toda la complejidad que hace falta. Contó los pros y contras. Después enumeró soluciones como los gestores de contraseñas. A continuación explicó la alternativa (o complemento) de usar una imagen. 1 megapixel de información da mucha robustez. Contó los usos típicos: esteganografía y la criptografía visual. Describió como funcionarían cada una de ellas y sus pros y contras. Después contó cómo generar una clave para cifrar con imágenes. Buscan que aunque se comprima, se le ponga filtros o marcas de agua siga funcionando. Y otras propiedades como que no se detecte que esa imagen se está usando como clave aunque sea una imagen pública. Más adelante mostró su propuesta, tanto en características como en el cómo se haría. Trabajan en el dominio de las frecuencias para tratar la imagen. Una vez se tiene que clave, a la información del secreto se le pone un código de redundancia cíclica. Con todo eso explicó la codificación y la decodificación. Es muy importante recuperar todos los bits: un solo bit falla y no se recupera la información. Después puso varios ejemplos. Acabó con un resumen y los casos de uso. 

Military flipper  

La charla Military Flipper: dispositivos maliciosos y buses de datos en activos críticos la dio Mario Delab.

RootedCon 2025 - Mario Delab

Nos contó que iba a ir dirigida a aeronáutica. Después de presentarse hizo un sumario de lo que quería contar. Explicó el estándar de comunicaciones entre dispositivos de aviones MIL-STD-1553 relacionado con la confiabilidad. Hoy día no se instala solo en aviones, por lo que también está en drones, satélites, etc. Después explicó los componentes del bus, monitor del bus y el terminal remoto. Hay tres tipos de mensajes: comandos, datos y estados. No quiso dejarse en el tintero los sub-protolos. Más adelante siguió con la seguridad: se buscaba más la tolerancia a fallos y a la confiabilidad más que la seguridad, por lo que es susceptible a DoS y MiTM. Aunque se pueden usar IDSs, no siempre es viable, además que los ataques siempre son locales pero físicamente hay que conectarlo al bus. Enumeró la confidencialidad, integridad, disponibilidad y autenticación. Poco después enumeró los posibles ataques. Siguió hablando del flipper zero y el escenario. Hace falta una conexión física y unos ataques programados. En ese punto estuvo explicando el módulo software para flipper que ha desarrollado y qué cables y adaptadores que ha usado. Además, nos dio un listado de ataques programables que tienen listos. Hubo dificultades para que nos mostrara la demo. El soporte IA está orientado a la defensa local. Con una Raspberry tiene más medios y posibilidad de usar otros lenguajes. 

La libertad de expresión en las redes sociales

Borja Adsuara fue el encargado de dar esta charla: La libertad de expresión en las redes sociales en la Era de Trump y Musk.

RootedCon 2025 - Borja Adsuara

Los abogados se preocupan de las leyes, y analizan los fallos del código jurídico. Además, nos pueden defender de los ataques a los derechos y a otras leyes. La libertad de expresión se ha visto perjudicada con la compra de Elon Mask de Twitter. Y la Unión Europea está preocupada. La suspensión de las cuentas de Trump la debería de haber hecho un juez, no la propia red social. Después contó varias noticias sobre cómo la Comisión Europea ha reaccionado con temas legales de X y Meta. Más adelante ha explicado los orígenes de la regulación y procedencia histórica de la libertad de expresión y por otro lado de las redes sociales. No es lo mismo verdadero que veraz. Habría que buscar que han intentado ser falaces. Según los contenidos, no habría que borrarlos por ser inadecuados, sino etiquetarlos. Estuvo enumerando distintas leyes tanto de EE.UU como de Europa o España relacionadas con el derecho a la expresión y la retirada de contenidos por parte de las empresas y si pueden o no afectar a la libertad de expresión. 

Y con esta charla, finalizó la RootedCon 2025

RootedCon 2025 - Equipo de la organización y voluntarios

Un año más, ha estado genial. ¡Espero veros en las siguientes ediciones!

RootedCon 2025: crónica de la segunda jornada

Hoy he vuelto a amanecer pronto en el Kinépolis. Después de desayunar, he estado un buen rato con Víctor, hablando de cómo nos va, a qué nos estamos dedicando ahora.

Spring Dragon al descubierto 

Mark Rivero (@seifreed) nos expuso Spring Dragon al descubierto: diez años de espionaje estratégico 

RootedCon 2025 - Mark Rivero

Hubo una broma de Mark para Arantxa y Román. Después, empezó su charla. Primero hizo la introducción con la historia de una infección en un sistema con un correo que invitó con una urgencia a abrir un fichero. Siguió describiendo qué es Spring Dragon. Se sabe que están activos desde 2012. Hacen ataques a infraestructuras críticas e instituciones oficiales. Utilizaban técnicas de evasión y persistencia. Ha enumerado distintas campañas durante muchos años, como por ejemplo, usando spear phishing. Entre otras razones, envíos de emails con contenido como mujeres muy atractivas. Las embajadas también podían ser víctimas, siendo estas afectadas. Cada una de las operaciones del grupo las ha ido describiendo con la empresa que lo ha descubierto, quienes son las víctimas y las características del ataque descrito. Después de describir muchas campañas, ha explicado cómo han destripado distintos binarios y sus módulos que han estado usando desde 2012 hasta la fecha, y toda la evolución y mejoras que los cibercriminales fueron añadiendo al APT. 

La caja de Pandora 

La charla La caja de Pandora: descubriendo los cimientos de la ciberseguridad por diseño la hizo Elías Grande (@3grander).

RootedCon 2025 - Elias Grande

Empieza contando con qué espera que salgamos de esta charla. Hace una similitud de hacer un análisis tocando dos teclas y después hacer un informe de 50 paginas con mirar un capó de un coche y que nos den un presupuesto de 1.000 € sin haberlo abierto. Ha hablado de la regla del 80%/20%. Ha hablado de la dicotomía bug vs feature, y de quiénes son los que tienen conocimiento del negocio: arquitectos, analistas y desarrolladores. Nos ha hablado de ecosistemas conectados y problemas en el diseño y la infraestructura. Ha continuado hablando de la interconexión de sistemas y qué problemas pudieran surgir. Ha puesto un ejemplo de un sistema con su backend, logica y frontend. A continuación a hablado de KMS para explicar el cifrado de credenciales, de los datos de carácter personal antes de persistirlo, etc. Posteriomente, incluyó los WAF. El problema está en que poco a poco los sistemas se van quedando desactualizados a nivel de diseño. Hay que hacer una seguridad business-driven. 

Active Directory bajo ataque 

Después del descanso, la charla Active Directory bajo ataque: Auditorías concienciación y estrategias de Defensa la presentaron Joel Caro, Ramsés Gallego y Lucas Puga

RootedCon 2025 - Joel Caro, Ramsés Gallego y Lucas Puga

La identidad es el principio de todo. ¿Quién tiene acceso a qué?¿Quién ha hecho qué? Es crítico saber quien. Y alrededor de eso, ha ido la charla. El directorio activo es muy importante y necesario para habilitar derechos, permisos y accesos. Si no se hacen bien las cosas, estará en jaque. Gran parte del malware va contra el directorio activo. Nos han dado estadísticas relacionadas con amenazas al AD, mala configuración, números de ataques, etc. Después explicaron ejemplos de empresas atacadas. Después han explicado por qué nos atacan según la psicóloga. Después de las motivaciones, han explicado la razón por la que atacan el AD, como por ejemplo, tener más poder, pasar desapercibido, acceso a datos sensibles, pivotar, infectar equipos, extenderse a Azure... A continuación nos han contado cómo hacen los ataques. Retomaron la psicología del ataque, en la que se aprovechan de sesgos cognitivos de las víctimas. Sabiendo cómo te van a atacar, te puedes proteger. Pusieron ejemplos de un ataque por fases contra el AD: acceso, explotación y post-explotación (donde se producen la mayoría de estos ataques), persistencia, compromiso. También están los ataques físicos como rubber ducky o flipper 0. En este punto mostraron una demo con flipper. Al finalizarla, enumeraron una serie de técnicas que unidas ayudan a protegerse: formación en seguridad, segmentación de red, gestión de contraseñas, parches, etc. Para protegernos han hecho una demo de AD VulnBuster que permite hacer una auditoría en tiempo real. 

Voces sintéticas, amenazas reales

Ignacio Brihuega (@n4xh4ck5) nos expuso Voces sintéticas, amenazas reales.

RootedCon 2025 - Ignacio Brihuega

Ha empezado explicando por qué hizo esta investigación, en relación al "fraude del sí", ataques de vishing con MS Teams, clonación de voz, etc. Ha explicado la razón por la que alguien querría clonar la voz de otra persona: altas de servicios, autenticación de voz, etc. Se busca modular la voz en directo o tener una voz clonada. Posteriotmente explicó el TTS, text to speech, una voz plana. Y el speech to speech, que clona el timbre, pausas, etc. Nos mostró varios servicios de clonación. Más adelante explicó distintos ejemplos según de dónde procede la grabación (la muestra). En este punto mostró varios ejemplos de text to speech o speech to speech. Es muy importante aislar el ruido para que no interfiera en el proceso. De todos los ejemplos, nos hizo ver varios problemas como voces planas, o no poder mantener una conversación con respuestas reales. Describió una herramienta llamada pinoccio que reduce los problemas relacionados con las respuestas. Lo siguiente fue la conversación con una IA. En preguntas y respuestas se ha preguntado sobre clonación de voces sin permiso.

Al terminar esta charla me fui a comer y descansar un ratejo.

Mesa redonda: Tebas a quedar sin fútbol 

Participaron: 

• Omar Benbouazza (@omarbv): Hizo de moderador 
• Román Ramírez (@patowc)
• Ofelia Tejerina (@OfeTG): Presidenta de la Asociación de Internautas y Dra. en derecho constitucional.
• Tomas Ledo Guerrero (@toplus): responsable de Tecnocrática.
• Javier Maestre: un abogado que está apoyando mucho en el asunto.

RootedCon 2025 - Omar Benbouzza, Román Ramirez, Ofelia Tejerina, Tomás Ledo y Javier Maestre

Inicio de la mesa redonda con la BSO de la Champions League. Entraron como futbolistas. Román contó la parte técnica de cómo funciona Cloudflare. A la pregunta a Tomás de si es posible que lo corten, debe de hacerse a través de un oficio judicial, no se cargan otros clientes. A preguntas a Javier, qué se puede hacer, explicó que LaLiga no tiene propiedad intelectual, por lo que ahora"han hackeado la ley; pues lo que tiene propiedad intelectual es la grabación". Seguió explicando un real decreto relacionado con lo que puede hacer LaLiga. Continuó leyendo varios auto judiciales. Se ha estado hablando del problema que se encuentran los operadores con que no pueden controlar el tráfico, y la neutralidad de la red. Ofelia recordó sobre cómo vivieron el tema de la SGAE en la asociación de internautas. Y que Cloudflare sí que responde a LaLiga, pero que les da igual. Le han colado un gol al juez, y ha faltado transparencia. "Tus derechos fundamentales no me importan" será lo que estarán diciendo los de LaLiga. No es un conflicto del mismo nivel. Román ha enumerado servicios, tanto colectivos en riesgo de exclusión, o docker, GitHub, etc que se han visto impactados por la situación. Habrá que buscar horas en las que se vea que no va a haber impacto. Van primero a por Cloudflare y después a por los demás. Hay personas que tienen que deshabilitar el CDN para que se pueda acceder a los servicios, y a la vez verse afectados. Pretenden cerrar páginas sin intervención judicial. También están cortando otros CDNs, es un ataque a la industria. Lo sagrado es la neutralidad de la red. O busca una solución a nivel de protocolo o estamos perdidos. Ofelia habla sobre los derechos fundamentales en juego, como por ejemplo opinión e información, tutela judicial efectiva. La propiedad intelectual no está al nivel de estos. 

Ciberseguridad industrial 

Jairo Alonso presentó Ciberseguridad industrial: una cuestión de estrategia.

RootedCon 2025 - Jairo Alonso

 Empezó con la esencia de la charla antes de presentarse. No fue una charla técnica, ni presentó productos o servicios. Quería que fuera más un reflejo de la realidad. Nos habló de estrategia y resiliencia. Dividió cada explicación relacionando la parte corporativa con los entrenamientos (su parte personal). Después habló de la resiliencia: flexibilidad, adaptabilidad y la recuperación. Además de tener que lidiar con la dirección hay que lidiar con el personal de la fábrica. Después está el perfil OT, a la hora de hablar con el cliente, se sienten solos. También explicó las dificultades de entendimiento: el mundo de la seguridad IT Vs OT, también tienen problemas. También explicó que la disponibilidad es crucial. En un caso de DFIR no se puede parar la producción como se haría normalmente en un servidor en el mundo IT. Y así, nos explicó la meta a la que se quiere llegar. Cuando se llegue a la meta hay que llegar bien.

Ayuda DANA: iniciativa solidaria 

Tuve que salir un poco a descansar. Llegué con la charla ya iniciada, pero no debía de llevar mucho tiempo en marcha. La prepararon Toño Huerta y Jorge Hernández.

RootedCon 2025 - Toño Huerta y Jorge Hernández. De fondo: instituciones voluntarias

Cuando llegué, Ximo estaba contando cómo vivió la famosa DANA de 2024. Su hermano y su sobrino de 10 años salvaron la vida de milagro. Necesitan una empresa para recuperar los datos de la tienda familiar, la cual quedó anegada, y por lo que entendí es (era) el sustento de la familia. Como su tienda, todas las tiendas han sufrido el mismo problema, además de la pérdida del género, la pérdida de los datos de los ordenadores que gestionaban cada una de las tiendas. Después Jorge y Toño empezaron a explicar cómo podían ayudar en ese sentido, pidiendo ayuda a mucha gente dispuesta a dar la ayuda. Intentaron hacerlo lo más fácil y sencillo posible. Estudiaron la disponibilidad de los voluntarios y como podían ayudar. También dieron instrucciones a los afectados para que la recuperación fuera posible y en el envío no se estropeasen más. Al ver la gente las instituciones y empresas involucradas (en la foto), confiaron y de ahí esta ONG hizo el formulario para que los afectados pudieran pedir ayuda. Han puesto de manifiesto e insistido que Román ayudó mucho. Mostraron un listado de todos los coordinadores. Presentaron a los alumnos del IES Jaume II de Valencia, que ayudaron a recuperar datos de discos. Los invitaron al escenario. Han acabado dando los números de las solicitudes que han acabado, en proceso y pendientes. 

IoT: Internet of Trolls

Adrián Crespo y Jesús Muñoz presentaron esta charla. 

RootedCon 2025 - Adrián Crespo y Jesús Muñoz

Lo primero que hicieron fue presentarse. Está relacionada con la charla de Jairo. Empezaron a contar un proyecto de investigación. Dijeron que montaron un entorno real, para poder romper cosas. Y querían detectar amenazas IT y OT. Querían saber qué es IoT. Dependiendo de a quién le preguntaban la respuesta era una u otra. Después diferenciaron entre IoT y OT. Lo que les dejaron claro es que PLC no lo es. Así, contaron cómo se mezclan los nuevos retos. Además, ahora hay aparatos con IA que identifican matrículas de coches. Existen nuevas capas de seguridad. Después siguieron explicando virtualización de los dispositivos: dispositivos gemelos. Pusieron el ejemplo del router del operador, que se configura solo. Mostraron varios casos de uso. Después de explicarlos, explicaron la monitorización del IoT con dos casos: gestión de flota de vehículos. En estas slidesn mostraron una infraestructura de red tanto cableada como inalámbrica (satélite). Lo que montaron permitía gestionar y manipular controles del vehículo. Estuvieron explicando algunas de las manipulaciones que hicieron al coche. A continuación los peligros de ese tipo de conexiones. El otro caso fue el hospitalario. Además de los pros también explicaron los peligros. Entre otros, que haya un leak del paciente. Han acabado con las conclusiones. 

Laife get's better

Chema Alonso (@chemaalonso),  Laife get's better. 

RootedCon 2025 - Chema Alonso

Vuelve a las ideas locas. No todas son para ciberseguridad, pero en la presentación fue lo que hizo. Ha hecho referencia a la película Tron. Con la llegada de la IA lo que tardaba en hacer meses ahora lo hace en unos minutos. Puso de ejemplo su proyecto de fin de carrera. Integraron ChatGPT en un emulador de Amstrad. La siguiente película que ha mencionado es Blade Runner. Enlaza la película comparando la búsqueda de replicantes con la búsqueda de deep fakes. El producto: sentimetrics. Lo siguiente que mostró fue HashVoice, para detectar clonado de voz. Mostró otra película más: Interstellar. Relacionado con el sarcasmo y los LLMs. Han hecho pruebas con Aura y el sarcasmo (en pruebas). Otra película: Yo, Robot. En LLM el system prompt es como las leyes de la robótica. Pero se pueden saltar con inyección de prompt. Con esos robots de la peli, hay que pensar en qué se les puede hacer. Hicieron pruebas con el problema del prisionero. Ha mostrado varias pruebas en las que el policía debía identificar si los prisioneros se iban a fugar o no.  La última película: Terminator. Airgapping: pasar información entre dos equipos que no están conectados. 

Y aquí está la segunda jornada de RootedCon 2025. ¡Seguro que la tercera y última estará genial!

RootedCon 2025: Crónica del primer día

Empezamos el primer día como de costumbre, llegando muy pronto, saludando a todo el equipo y viendo a los amigos de siempre. 

Entrada RootedCon 2025

Keynote

La inauguración fue de manos de Román (@patowc), Arantxa y Omar:

RootedCon 2025 - Roman, Arantxa y Omar

Explicó la historia y las razones por las que iniciaron el evento y qué esperan en un futuro: casi 15.000 personas. Cómo y qué han aprendido o cómo ha ido creciendo el evento, incluyendo la creación de los tracks. Nos han hablado de derechos y deberes. Han hablado de la Hackernight. Justo después nos han puesto un vídeo mostrando un "homenaje al pasado". Evidentemente, se han mencionado los patrocinadores. Y cambios en la organización, tanto en la web con una newsletter. Finalizando con una broma sobre LaLiga, Tebas y Cloufarre. Después entregaron el premio Raúl Jover 2025 a Ofelia Tejerina, presidenta de la Asociación de Internautas. 

Tarlogyc: Attacking Bluetooth the easy way

Miguel Tarascó y Antón Vázquez(@antonvblanco) de Tarlogyc: Attacking Bluetooth the easy way.

RootedCon 2025 - Antonio Vázquez y Miguel Tarascó

Han empezado contando cómo empezaron hace años la investigación sobre el protocolo bluetooth y una metodología que crearon (BSAM). Han continuado contado la situación actual: problemas con APIs desactualizadas, hardware específico (flipper 0), dongle genérico, específicos y las APIs muy especializada. Han buscado a través de BSAM cómo hacer algo lo más sencillo posible con el lenguaje de programación más cómodo para nosotros y con tu hardware más genérico que podamos. Han recordado la arquitectura hardware de bluetooth. Entre medias han mostrado un vídeo broma con la pistola de plástico que nos han regalado. Han continuado enumerando cómo instalar el driver que han publicado. Han hecho una demo. No se han olvidado las limitaciones, como que para ciertos ataques hace falta un hardware especializado. Después han seguido con el hardware avanzado, aunque lo deseable es que tenga mucha disponibilidad, lo que se necesite sea fácil de compra, que sea barato y que soporte los dos modos bluetooth: classic y BLE. Uno de los chips mencionados es el ESP32, que cubre todas las necesidades. Descubrieron que ese chip no se puede poner en modo monitor. Han explicado cómo han usado Ghidra para hacer reversing al firmware y qué han descubierto desde dentro, como una función interesante y comandos propietarios. Algunos que pueden, por ejemplo, cambiar la MAC del dispositivo. Se hizo una segunda demo. Ejemplos de ataques, por ejemplo, desde una bombilla inteligente. 

Después del descanso asistí a la charla de las SIMs

SIM-ply hacked

Esta charla la dieron Miguel Ángel de Castro y Maialen Zabala; SIM-ply hacked: visible, vulnerable and compromised.

RootedCon 2025 - Miguel Ángel de Castro y Maialen Zabala

Resumieron qué van a contar. Han empezado hablando de exposición Ha dado unas estadísticas de llamadas tipo vishing y otros tipos de ataques. Han continuado con el problema: mal configurado, que se accede probando contraseñas (tanto por fuerza bruta como sin ella) o empresas que exponen sus servicios a través de una tarjeta SIM. También está el problema de direcciones IP dinámicas que no se pueden identificar si son nuestras o no, y accesos a protocolos (RDP, FTP, SSH) sin control de contraseñas. Han seguido con los vectores de acceso fantasma. Las redes móviles usan CG-NAT. El problema está en que al poner la tarjeta SIM en el dispositivo se exponen sus servicios. Están, por ejemplo, los adaptadores para conectarse a internet desde el portátil, obteniendo una dirección IP pública. Y aunque se tenga el firewall, por ejemplo, RDP pudiera quedar expuesto. Han continuado con los adversarios, describiendo los tipos y algunos específicos. A continuación han explicado la caza y respuesta de los atacantes. Hay que buscar los eventos para estudiar cómo nos están atacando, por ejemplo, inicios de sesión fallidos. Han mostrado ejemplos de queries para buscar indicadores de compromiso. Hay que customizarlas para hacer las reglas específicas para nuestros casos para poder tomar medidas, incluso poderlas automatizar: un ejemplo podría ser bloquear la conexión o pedir un MFA. Han finalizado dando una serie de consejos. 

Los Cylons no roban datos...

Esta charla, los Cylons no roban datos, solo preguntan y tu IA responde, la expuso Pablo Estevan.

RootedCon 2025 - Pablo Estevan

Su introducción es sobre cómo usan los atacantes la IA y cómo podemos protegernos. Por ejemplo, suplantación de identidad o la velocidad y escala de los ataques. Otros tipos de ataques como los relacionados con la manipulación del prompt o manipulación del entrenamiento para que tenga sesgos, entre otros muchos. Ha seguido con la explicación de la arquitectura de una IA y las amenazas de una aplicación que la tenga.  Ha mostrado varias demos de ataques. Algunos relacionados con conseguir información que no debería darnos o incluso tumbar el servicio de IA. Ha seguido con cómo podemos protegernos. Por poner uno de los ejemplos, control de los prompts o permisos de accesos. Nos ha mostrado una demo de un navegador web que protege de cosas como de copiar y pegar datos sensibles. Además, también está la remediación automática. 

Problemas de seguridad en robótica 

Esta ponencia la dieron Claudia Álvarez (@claudiacataplau) y Adrián Campanas (@gripapc)

RootedCon 2025 - Claudia Álvarez y Adrián Campanas

Al empezar tuvieron problemas con el vídeo. Mientras, fueron enseñando por encima el robot que trajeron. Empezaron mostrando un robot militar teledirigido. Han descrito qué características tiene, como un GPS con una precisión de 1cm, sensores de profundidad, 4 cámaras y se opera con una aplicación Android. Además de tener puerto ethernet, USB-C, wifi propia y para tarjeta SIM. Pesa más de 50 kg, cuesta poco menos de 200.000 €. Aunque es de ámbito militar, tiene IP68 (polvo y agua), pero ellos lo usan para gestión de ganado y detectar amenazas como por ejemplo lobos. Han contado un poco para qué están estudiando este tipo de robots, y qué aplicaciones pueden tener: dar soporte a las personas, no quitar trabajos. En este punto pudieron mostrar las presentaciones en pantalla. Han nombrado el ROS2, un estándar de robótica de servicios. Permite abstraerse del hardware y solo centrarse en el comportamiento. Lo primero fue hacer el ataque perimetral: WPA-2 y credenciales hardcodeadas en la APK del móvil. Además, hay robots que no se pueden cambiar porque dejarían de funcionar. Otra demo en directo permite conectar un AP y crear una red wifi permitiendo acceder al robot desde su wifi. Para poder manipular el robot, hace falta un valor llamado ros_domain_id, y nos mostraron la ejecución del script para obtenerlo y como administrarlo con ese dato. Todo esto es sin autenticación habilitada: no estaban dentro del robot, sino desde la red. Han seguido haciendo más demos como por ejemplo deshabilitar el control de colisión. Han acabado con sus conclusiones. 

Estafas S.A

Josep Albors expuso Estafas S.A: Telekopye y la caza de mamuts.

RootedCon 2025 - Jodep Albors

Ha empezado explicando términos como mamut (victima), neandertal (atacante) y Telekopye. Este último es un bot de Telegram. Ha descrito cómo funcionan esos grupos y cómo reclutan a la gente. A veces hacen de vendedor en las que suplantan la pasarela de pago. Pero a veces hacen de comprador. Ahí es donde también hacen alguna suplantación del tipo de pasarla o forzar a que el vendedor use una mensajería para mandar el paquete pero siendo ese servicio falso. Dio detalles de cómo funciona Telekopye: campañas, pagos al atacante, etc. El contraataque está en las acciones policiales y las defensas que las plataformas han ido implementando. Nos ha mostrado varios ejemplos de cómo funciona el bot. Para finalizar nos ha recordado las acciones para protegerse.

Cuando Josep terminó, me fui a comer y descansar, aunque los tracks seguían. Eran las 15:30 y no tuve tiempo de parar desde el descanso.

0x800080: las dos caras de la IA

Ya, a las 16:30, me metí en esta ponencia, que la dieron Luis Suárez y Xavier Nogues.

RootedCon 2025 - Xaview Nogues y Luis Suárez

Querían buscar cómo pueden trabajar los equipos de purple. Primero se presentaron. Para hablar de IA ha recordado los tipos de machine learning: supervisado y no supervisado. Después ha estado hablando de estadísticas relacionadas. Después ha seguido hablando de deep learning y natural language processing. Para poder pedirte al LLM crear un ataque nuevo, hay que ir un poco al pasado. Esa sería la parte ofensiva. En ese punto han empezado a hablar sobre detección de QRs (maliciosos) en correos. Si pidiendo algo al chat no quiere por seguridad, proposieron que se dividiera la solicitud pudiéndolo a trozos. Y ese fue uno de los ejemplos que pusieron: ocultar un QR en un correo. La IA no es solo lenguaje, puede ser también para reconocimiento de imágenes. Más adelante han estado enumerando detecciones de malware con machine learning. 

From RCE to Owned:: An AWS tale

Después de la merienda, Álvaro Villaverde y Andrés Botica empezaron esta charla. 

RootedCon 2025 - Álvaro Villaverde y Andrés Botica

Después de presentar la empresa, se han presentado ellos mismos como ponentes. En un acompañamiento con un cliente encontraron un RCE en un AWS. Antes de seguir han contado cómo funciona el modelo de identidades en AWS. Uno de los objetivos es asumir un rol IAM. Han ido explicando cómo se hace de forma legítima. Después, cómo hacerlo de forma ilegítima. Después empezaron a describir su caso, tras lo cual hicieron una demo. Lo siguiente que contaron fue cómo determinar los permisos de un rol IAM, haciendo otra demo. También hicieron otra demo más para tirar de funciones lamda para seguir extrayendo información. Han hecho otra demo contra ECR consiguiendo elevar a admin. La siguiente sido la del abuso de IAM. Con la última demo ha accedido al panel de control vía web usando el usuario y contraseña obtenidos. Para finalizar han enumerado algunas mitigaciones. 

Máster de la Complutense 

Javier Domínguez ha presentado el máster de ciberseguridad de la Universidad Complutense 

RootedCon 2025 - Javier Dominguez

Ha explicado el programa del máster en ciberseguridad muy rápido. Y nos ha mostrado los distintos profesores que participarán en él. Para muestra la imagen en la presento a Javier. 

Dark territory II

David Meléndez (@TaiksonTexas) y Gabriela García presentaron esta charla, Dark territory II: paralizando la red ferroviaria de alta velocidad.

RootedCon 2025 - Gabriela García y David Meléndez

Gabriela ha empezado dando contexto sobre lo explicado el año pasado. Ahora están haciendo una poc usando balizas ASFA. Crearon una baliza de estas, que cumple las especificaciones reales. Sobre el estándar mínimo de lo que tienen que cumplir, lo sobrepasa. Han estado mostrando cómo están instaladas en el suelo y en la locomotora. No funcionan por RF, sino por inducción. Realmente son bovinas que "contactan" con la del tren. Han mostrado un vídeo en directo para hacer la demo. "La baliza es un alambre enrollado en un cartón". Hay que conseguir que obtenga la frecuencia que buscamos y lo difícil que es afinarla. En el casero, no hace falta poner un condensador que las originales sí que les hace falta. La siguiente baliza que nos mostraron fue ERTMS/ETCS.  Se supone que tiene que sustituir a ASFA y que son interoperables. Estas nuevas son digitales, y eso significa que son vulnerables. También se las llama Eurobalizas, son como tags RFID enormes. Fundamentalmente, nos han dicho que se puede leer una baliza de un tren fácilmente, incluyendo leer el checksum. Han remarcado el requisito de la velocidad con la que detecta el ASFA la señal o qué datos le entrega la Eurobaliza al tren. Teniendo un sdr se podría leer la baliza, pero también emitirle datos, los cuales viajan en claro. Han mostrado una demo para este caso. Finalizando, han puesto de manifiesto contramedidas. 

Y con todo esto, acabamos la primera jornada de este año 2025.