Spring Dragon al descubierto
Mark Rivero (@seifreed) nos expuso Spring Dragon al descubierto: diez años de espionaje estratégico
 |
| RootedCon 2025 - Mark Rivero |
Hubo una broma de Mark para Arantxa y Román. Después, empezó su charla. Primero hizo la introducción con la historia de una infección en un sistema con un correo que invitó con una urgencia a abrir un fichero. Siguió describiendo qué es Spring Dragon. Se sabe que están activos desde 2012. Hacen ataques a infraestructuras críticas e instituciones oficiales. Utilizaban técnicas de evasión y persistencia. Ha enumerado distintas campañas durante muchos años, como por ejemplo, usando spear phishing. Entre otras razones, envíos de emails con contenido como mujeres muy atractivas. Las embajadas también podían ser víctimas, siendo estas afectadas. Cada una de las operaciones del grupo las ha ido describiendo con la empresa que lo ha descubierto, quienes son las víctimas y las características del ataque descrito. Después de describir muchas campañas, ha explicado cómo han destripado distintos binarios y sus módulos que han estado usando desde 2012 hasta la fecha, y toda la evolución y mejoras que los cibercriminales fueron añadiendo al APT.
La caja de Pandora
La charla La caja de Pandora: descubriendo los cimientos de la ciberseguridad por diseño la hizo Elías Grande (@3grander).
 |
| RootedCon 2025 - Elias Grande |
Empieza contando con qué espera que salgamos de esta charla. Hace una similitud de hacer un análisis tocando dos teclas y después hacer un informe de 50 paginas con mirar un capó de un coche y que nos den un presupuesto de 1.000 € sin haberlo abierto. Ha hablado de la regla del 80%/20%. Ha hablado de la dicotomía bug vs feature, y de quiénes son los que tienen conocimiento del negocio: arquitectos, analistas y desarrolladores. Nos ha hablado de ecosistemas conectados y problemas en el diseño y la infraestructura. Ha continuado hablando de la interconexión de sistemas y qué problemas pudieran surgir. Ha puesto un ejemplo de un sistema con su backend, logica y frontend. A continuación a hablado de KMS para explicar el cifrado de credenciales, de los datos de carácter personal antes de persistirlo, etc. Posteriomente, incluyó los WAF. El problema está en que poco a poco los sistemas se van quedando desactualizados a nivel de diseño. Hay que hacer una seguridad business-driven.
Active Directory bajo ataque
Después del descanso, la charla Active Directory bajo ataque: Auditorías concienciación y estrategias de Defensa la presentaron Joel Caro, Ramsés Gallego y Lucas Puga
 |
| RootedCon 2025 - Joel Caro, Ramsés Gallego y Lucas Puga |
La identidad es el principio de todo. ¿Quién tiene acceso a qué?¿Quién ha hecho qué? Es crítico saber quien. Y alrededor de eso, ha ido la charla. El directorio activo es muy importante y necesario para habilitar derechos, permisos y accesos. Si no se hacen bien las cosas, estará en jaque. Gran parte del malware va contra el directorio activo. Nos han dado estadísticas relacionadas con amenazas al AD, mala configuración, números de ataques, etc. Después explicaron ejemplos de empresas atacadas. Después han explicado por qué nos atacan según la psicóloga. Después de las motivaciones, han explicado la razón por la que atacan el AD, como por ejemplo, tener más poder, pasar desapercibido, acceso a datos sensibles, pivotar, infectar equipos, extenderse a Azure... A continuación nos han contado cómo hacen los ataques. Retomaron la psicología del ataque, en la que se aprovechan de sesgos cognitivos de las víctimas. Sabiendo cómo te van a atacar, te puedes proteger. Pusieron ejemplos de un ataque por fases contra el AD: acceso, explotación y post-explotación (donde se producen la mayoría de estos ataques), persistencia, compromiso. También están los ataques físicos como rubber ducky o flipper 0. En este punto mostraron una demo con flipper. Al finalizarla, enumeraron una serie de técnicas que unidas ayudan a protegerse: formación en seguridad, segmentación de red, gestión de contraseñas, parches, etc. Para protegernos han hecho una demo de AD VulnBuster que permite hacer una auditoría en tiempo real.
Voces sintéticas, amenazas reales
Ignacio Brihuega (@n4xh4ck5) nos expuso Voces sintéticas, amenazas reales.
 |
| RootedCon 2025 - Ignacio Brihuega |
Ha empezado explicando por qué hizo esta investigación, en relación al "fraude del sí", ataques de vishing con MS Teams, clonación de voz, etc. Ha explicado la razón por la que alguien querría clonar la voz de otra persona: altas de servicios, autenticación de voz, etc. Se busca modular la voz en directo o tener una voz clonada. Posteriotmente explicó el TTS, text to speech, una voz plana. Y el speech to speech, que clona el timbre, pausas, etc. Nos mostró varios servicios de clonación. Más adelante explicó distintos ejemplos según de dónde procede la grabación (la muestra). En este punto mostró varios ejemplos de text to speech o speech to speech. Es muy importante aislar el ruido para que no interfiera en el proceso. De todos los ejemplos, nos hizo ver varios problemas como voces planas, o no poder mantener una conversación con respuestas reales. Describió una herramienta llamada pinoccio que reduce los problemas relacionados con las respuestas. Lo siguiente fue la conversación con una IA. En preguntas y respuestas se ha preguntado sobre clonación de voces sin permiso.
Al terminar esta charla me fui a comer y descansar un ratejo.
Mesa redonda: Tebas a quedar sin fútbol
Participaron:
 |
| RootedCon 2025 - Omar Benbouzza, Román Ramirez, Ofelia Tejerina, Tomás Ledo y Javier Maestre |
Inicio de la mesa redonda con la BSO de la Champions League. Entraron como futbolistas. Román contó la parte técnica de cómo funciona Cloudflare. A la pregunta a Tomás de si es posible que lo corten, debe de hacerse a través de un oficio judicial, no se cargan otros clientes. A preguntas a Javier, qué se puede hacer, explicó que LaLiga no tiene propiedad intelectual, por lo que ahora"han hackeado la ley; pues lo que tiene propiedad intelectual es la grabación". Seguió explicando un real decreto relacionado con lo que puede hacer LaLiga. Continuó leyendo varios auto judiciales. Se ha estado hablando del problema que se encuentran los operadores con que no pueden controlar el tráfico, y la neutralidad de la red. Ofelia recordó sobre cómo vivieron el tema de la SGAE en la asociación de internautas. Y que Cloudflare sí que responde a LaLiga, pero que les da igual. Le han colado un gol al juez, y ha faltado transparencia. "Tus derechos fundamentales no me importan" será lo que estarán diciendo los de LaLiga. No es un conflicto del mismo nivel. Román ha enumerado servicios, tanto colectivos en riesgo de exclusión, o docker, GitHub, etc que se han visto impactados por la situación. Habrá que buscar horas en las que se vea que no va a haber impacto. Van primero a por Cloudflare y después a por los demás. Hay personas que tienen que deshabilitar el CDN para que se pueda acceder a los servicios, y a la vez verse afectados. Pretenden cerrar páginas sin intervención judicial. También están cortando otros CDNs, es un ataque a la industria. Lo sagrado es la neutralidad de la red. O busca una solución a nivel de protocolo o estamos perdidos. Ofelia habla sobre los derechos fundamentales en juego, como por ejemplo opinión e información, tutela judicial efectiva. La propiedad intelectual no está al nivel de estos.
Ciberseguridad industrial
Jairo Alonso presentó Ciberseguridad industrial: una cuestión de estrategia.
 |
| RootedCon 2025 - Jairo Alonso |
Empezó con la esencia de la charla antes de presentarse. No fue una charla técnica, ni presentó productos o servicios. Quería que fuera más un reflejo de la realidad. Nos habló de estrategia y resiliencia. Dividió cada explicación relacionando la parte corporativa con los entrenamientos (su parte personal). Después habló de la resiliencia: flexibilidad, adaptabilidad y la recuperación. Además de tener que lidiar con la dirección hay que lidiar con el personal de la fábrica. Después está el perfil OT, a la hora de hablar con el cliente, se sienten solos. También explicó las dificultades de entendimiento: el mundo de la seguridad IT Vs OT, también tienen problemas. También explicó que la disponibilidad es crucial. En un caso de DFIR no se puede parar la producción como se haría normalmente en un servidor en el mundo IT. Y así, nos explicó la meta a la que se quiere llegar. Cuando se llegue a la meta hay que llegar bien.
Ayuda DANA: iniciativa solidaria
Tuve que salir un poco a descansar. Llegué con la charla ya iniciada, pero no debía de llevar mucho tiempo en marcha. La prepararon Toño Huerta y Jorge Hernández.
 |
| RootedCon 2025 - Toño Huerta y Jorge Hernández. De fondo: instituciones voluntarias |
Cuando llegué, Ximo estaba contando cómo vivió la famosa DANA de 2024. Su hermano y su sobrino de 10 años salvaron la vida de milagro. Necesitan una empresa para recuperar los datos de la tienda familiar, la cual quedó anegada, y por lo que entendí es (era) el sustento de la familia. Como su tienda, todas las tiendas han sufrido el mismo problema, además de la pérdida del género, la pérdida de los datos de los ordenadores que gestionaban cada una de las tiendas. Después Jorge y Toño empezaron a explicar cómo podían ayudar en ese sentido, pidiendo ayuda a mucha gente dispuesta a dar la ayuda. Intentaron hacerlo lo más fácil y sencillo posible. Estudiaron la disponibilidad de los voluntarios y como podían ayudar. También dieron instrucciones a los afectados para que la recuperación fuera posible y en el envío no se estropeasen más. Al ver la gente las instituciones y empresas involucradas (en la foto), confiaron y de ahí esta ONG hizo el formulario para que los afectados pudieran pedir ayuda. Han puesto de manifiesto e insistido que Román ayudó mucho. Mostraron un listado de todos los coordinadores. Presentaron a los alumnos del IES Jaume II de Valencia, que ayudaron a recuperar datos de discos. Los invitaron al escenario. Han acabado dando los números de las solicitudes que han acabado, en proceso y pendientes.
IoT: Internet of Trolls
Adrián Crespo y Jesús Muñoz presentaron esta charla.
 |
| RootedCon 2025 - Adrián Crespo y Jesús Muñoz |
Lo primero que hicieron fue presentarse. Está relacionada con la charla de Jairo. Empezaron a contar un proyecto de investigación. Dijeron que montaron un entorno real, para poder romper cosas. Y querían detectar amenazas IT y OT. Querían saber qué es IoT. Dependiendo de a quién le preguntaban la respuesta era una u otra. Después diferenciaron entre IoT y OT. Lo que les dejaron claro es que PLC no lo es. Así, contaron cómo se mezclan los nuevos retos. Además, ahora hay aparatos con IA que identifican matrículas de coches. Existen nuevas capas de seguridad. Después siguieron explicando virtualización de los dispositivos: dispositivos gemelos. Pusieron el ejemplo del router del operador, que se configura solo. Mostraron varios casos de uso. Después de explicarlos, explicaron la monitorización del IoT con dos casos: gestión de flota de vehículos. En estas slidesn mostraron una infraestructura de red tanto cableada como inalámbrica (satélite). Lo que montaron permitía gestionar y manipular controles del vehículo. Estuvieron explicando algunas de las manipulaciones que hicieron al coche. A continuación los peligros de ese tipo de conexiones. El otro caso fue el hospitalario. Además de los pros también explicaron los peligros. Entre otros, que haya un leak del paciente. Han acabado con las conclusiones.
Laife get's better
Chema Alonso (@chemaalonso), Laife get's better.
 |
| RootedCon 2025 - Chema Alonso |
Vuelve a las ideas locas. No todas son para ciberseguridad, pero en la presentación fue lo que hizo. Ha hecho referencia a la película Tron. Con la llegada de la IA lo que tardaba en hacer meses ahora lo hace en unos minutos. Puso de ejemplo su proyecto de fin de carrera. Integraron ChatGPT en un emulador de Amstrad. La siguiente película que ha mencionado es Blade Runner. Enlaza la película comparando la búsqueda de replicantes con la búsqueda de deep fakes. El producto: sentimetrics. Lo siguiente que mostró fue HashVoice, para detectar clonado de voz. Mostró otra película más: Interstellar. Relacionado con el sarcasmo y los LLMs. Han hecho pruebas con Aura y el sarcasmo (en pruebas). Otra película: Yo, Robot. En LLM el system prompt es como las leyes de la robótica. Pero se pueden saltar con inyección de prompt. Con esos robots de la peli, hay que pensar en qué se les puede hacer. Hicieron pruebas con el problema del prisionero. Ha mostrado varias pruebas en las que el policía debía identificar si los prisioneros se iban a fugar o no. La última película: Terminator. Airgapping: pasar información entre dos equipos que no están conectados.
Y aquí está la segunda jornada de RootedCon 2025. ¡Seguro que la tercera y última estará genial!
No hay comentarios:
Publicar un comentario