RootedCon 2025: crónica del tercer día

Tercera y última jornada de RootedCon 2025. Volví a llegar pronto, pudiendo aparcar muy bien, como los otros días. Además de desayunar estuve hablando un buen rato con otros de los amiguetes que siempre coincidimos en estos lares. 

APT: Aprendizajes de 12 años de joputeces

Antonio Sanz (@antoniosanzalc) dio la conferencia APT: Qué hemos aprendido tras 12 años de joputeces. 

RootedCon 2025 - Antonio Sanz

Empezó presentándose. Ha hablado del HPS y nos informó que contaría cosas, pero sin dar detalles específicos para evitar problemas legales. También insistió en qué es un incidente y un grupo APT. Un incidente no es un nmap o nessus. Son "avanzados" (la 'A') cuando hace falta. A veces son finos y otras veces son muy torpes. A lo largo de la charla estuvo contando casos reales de intrusiones, accesos en los que les llegaron a cambiar la contraseña de administración... La 'P' de "persistencia". Si estás en la lista de la compra, lo estarás siempre. Y la 'T' de "threat", amenaza. Al final los grupos APT tienen recursos, tiempo y conocimiento. Para el CCNCert el APT está en lo más alto en gravedad y peligrosidad. Siguió con los aprendizajes: todos podemos ser objetivos (directos o indirectos), se conocen la infraestructura y los usuarios, juegan sucio y con toda la artillería, tienen mucha paciencia aunque son incansables. Lo siguiente fue contarnos la prevención: parchear en tiempo y forma (vigilando los trastos perimetrales). Los directorios activos a lo largo del tiempo van guardando mierda, y se queda en la base de datos del AD, a colación de un caso donde se la llevaron. Después nos dijo que el bastionado funciona. La detección es que cada vez los malos usan menos malware, e intentan pasar lo más desapercibidos posibles y les encanta el correo electrónico, lo que hace que la impersonacion sea nuestro menor enemigo. La GUI dev gestión de correos no da toda la información, lo que sí que hacen los scripts powershell. Los EDR ayudan mucho, y dan mucha información. Las aletas tempranas son importantes y a los organismos completamentes hay que hacerles caso. A la hora de comunicar el incidente no se usa el mismo medio de comunicación fuera del afectado. Hay que forzar medidas. No obstante, los malos también cometen errores, pero nosotros también. Esto es un trabajo en equipo. 

Incident handler por vocación

Diego Cordero estuvo contando Incident handler por vocación.

RootedCon 2025 - Diego Cordero

La charla iba dedicada para los equipos de incident handler. Estuvo contada a nivel personal. Empezó presentándose. La respuesta a incidentes es importante la parte técnica, pero también la psicología porque hay personas afectadas que pueden sufrir. Los que responden pueden acabar agotados con una mala alimentación mientras están resolviendo la situación y eso puede afectar al resultado. No es un gasto tener un equipo de respuesta, es una inversión. Estas brechas tienen su impacto mediático. Sin olvidarse las infraestructuras críticas como los hospitales. Hay unas expectativas de soluciones inmediatas pero hay que saber hacer las cosas con tranquilidad. Siempre está la presión del tiempo. Solo hay que fiarse de las evidenciar que se ven. El estrés provoca mayor propensión a los errores por fatiga, se es más visceral en la toma de decisiones y se provocan tensiones en el equipo de respuesta. Explicó un modelo de decisión en 3 pasos. También hay que tener un buen procedimiento estructurado, hay que ser capaz de repartir los roles, sin olvidarse de hacer pausas programadas. Habló de habilidades intangibles y de los problemas que da la fatiga. Además de reducir los problemas del agotamiento también es muy importante la cultura de equipo. Sin olvidarse de los debriefing. 

Después nos fuimos al descanso, ocasión para pillar una concha Codan.

Image-Based cryptography 

La ponencia Image-Based cryptography, an image worth a 1,000 (pass)words la presentó Jordi Puiggalí.

 

RootedCon 2025 - Jordi Puiggali

Las contraseñas se están usando para todo, con toda la complejidad que hace falta. Contó los pros y contras. Después enumeró soluciones como los gestores de contraseñas. A continuación explicó la alternativa (o complemento) de usar una imagen. 1 megapixel de información da mucha robustez. Contó los usos típicos: esteganografía y la criptografía visual. Describió como funcionarían cada una de ellas y sus pros y contras. Después contó cómo generar una clave para cifrar con imágenes. Buscan que aunque se comprima, se le ponga filtros o marcas de agua siga funcionando. Y otras propiedades como que no se detecte que esa imagen se está usando como clave aunque sea una imagen pública. Más adelante mostró su propuesta, tanto en características como en el cómo se haría. Trabajan en el dominio de las frecuencias para tratar la imagen. Una vez se tiene que clave, a la información del secreto se le pone un código de redundancia cíclica. Con todo eso explicó la codificación y la decodificación. Es muy importante recuperar todos los bits: un solo bit falla y no se recupera la información. Después puso varios ejemplos. Acabó con un resumen y los casos de uso. 

Military flipper  

La charla Military Flipper: dispositivos maliciosos y buses de datos en activos críticos la dio Mario Delab.

RootedCon 2025 - Mario Delab

Nos contó que iba a ir dirigida a aeronáutica. Después de presentarse hizo un sumario de lo que quería contar. Explicó el estándar de comunicaciones entre dispositivos de aviones MIL-STD-1553 relacionado con la confiabilidad. Hoy día no se instala solo en aviones, por lo que también está en drones, satélites, etc. Después explicó los componentes del bus, monitor del bus y el terminal remoto. Hay tres tipos de mensajes: comandos, datos y estados. No quiso dejarse en el tintero los sub-protolos. Más adelante siguió con la seguridad: se buscaba más la tolerancia a fallos y a la confiabilidad más que la seguridad, por lo que es susceptible a DoS y MiTM. Aunque se pueden usar IDSs, no siempre es viable, además que los ataques siempre son locales pero físicamente hay que conectarlo al bus. Enumeró la confidencialidad, integridad, disponibilidad y autenticación. Poco después enumeró los posibles ataques. Siguió hablando del flipper zero y el escenario. Hace falta una conexión física y unos ataques programados. En ese punto estuvo explicando el módulo software para flipper que ha desarrollado y qué cables y adaptadores que ha usado. Además, nos dio un listado de ataques programables que tienen listos. Hubo dificultades para que nos mostrara la demo. El soporte IA está orientado a la defensa local. Con una Raspberry tiene más medios y posibilidad de usar otros lenguajes. 

La libertad de expresión en las redes sociales

Borja Adsuara fue el encargado de dar esta charla: La libertad de expresión en las redes sociales en la Era de Trump y Musk.

RootedCon 2025 - Borja Adsuara

Los abogados se preocupan de las leyes, y analizan los fallos del código jurídico. Además, nos pueden defender de los ataques a los derechos y a otras leyes. La libertad de expresión se ha visto perjudicada con la compra de Elon Mask de Twitter. Y la Unión Europea está preocupada. La suspensión de las cuentas de Trump la debería de haber hecho un juez, no la propia red social. Después contó varias noticias sobre cómo la Comisión Europea ha reaccionado con temas legales de X y Meta. Más adelante ha explicado los orígenes de la regulación y procedencia histórica de la libertad de expresión y por otro lado de las redes sociales. No es lo mismo verdadero que veraz. Habría que buscar que han intentado ser falaces. Según los contenidos, no habría que borrarlos por ser inadecuados, sino etiquetarlos. Estuvo enumerando distintas leyes tanto de EE.UU como de Europa o España relacionadas con el derecho a la expresión y la retirada de contenidos por parte de las empresas y si pueden o no afectar a la libertad de expresión. 

Y con esta charla, finalizó la RootedCon 2025

RootedCon 2025 - Equipo de la organización y voluntarios

Un año más, ha estado genial. ¡Espero veros en las siguientes ediciones!

RootedCon 2025: crónica de la segunda jornada

Hoy he vuelto a amanecer pronto en el Kinépolis. Después de desayunar, he estado un buen rato con Víctor, hablando de cómo nos va, a qué nos estamos dedicando ahora.

Spring Dragon al descubierto 

Mark Rivero (@seifreed) nos expuso Spring Dragon al descubierto: diez años de espionaje estratégico 

RootedCon 2025 - Mark Rivero

Hubo una broma de Mark para Arantxa y Román. Después, empezó su charla. Primero hizo la introducción con la historia de una infección en un sistema con un correo que invitó con una urgencia a abrir un fichero. Siguió describiendo qué es Spring Dragon. Se sabe que están activos desde 2012. Hacen ataques a infraestructuras críticas e instituciones oficiales. Utilizaban técnicas de evasión y persistencia. Ha enumerado distintas campañas durante muchos años, como por ejemplo, usando spear phishing. Entre otras razones, envíos de emails con contenido como mujeres muy atractivas. Las embajadas también podían ser víctimas, siendo estas afectadas. Cada una de las operaciones del grupo las ha ido describiendo con la empresa que lo ha descubierto, quienes son las víctimas y las características del ataque descrito. Después de describir muchas campañas, ha explicado cómo han destripado distintos binarios y sus módulos que han estado usando desde 2012 hasta la fecha, y toda la evolución y mejoras que los cibercriminales fueron añadiendo al APT. 

La caja de Pandora 

La charla La caja de Pandora: descubriendo los cimientos de la ciberseguridad por diseño la hizo Elías Grande (@3grander).

RootedCon 2025 - Elias Grande

Empieza contando con qué espera que salgamos de esta charla. Hace una similitud de hacer un análisis tocando dos teclas y después hacer un informe de 50 paginas con mirar un capó de un coche y que nos den un presupuesto de 1.000 € sin haberlo abierto. Ha hablado de la regla del 80%/20%. Ha hablado de la dicotomía bug vs feature, y de quiénes son los que tienen conocimiento del negocio: arquitectos, analistas y desarrolladores. Nos ha hablado de ecosistemas conectados y problemas en el diseño y la infraestructura. Ha continuado hablando de la interconexión de sistemas y qué problemas pudieran surgir. Ha puesto un ejemplo de un sistema con su backend, logica y frontend. A continuación a hablado de KMS para explicar el cifrado de credenciales, de los datos de carácter personal antes de persistirlo, etc. Posteriomente, incluyó los WAF. El problema está en que poco a poco los sistemas se van quedando desactualizados a nivel de diseño. Hay que hacer una seguridad business-driven. 

Active Directory bajo ataque 

Después del descanso, la charla Active Directory bajo ataque: Auditorías concienciación y estrategias de Defensa la presentaron Joel Caro, Ramsés Gallego y Lucas Puga

RootedCon 2025 - Joel Caro, Ramsés Gallego y Lucas Puga

La identidad es el principio de todo. ¿Quién tiene acceso a qué?¿Quién ha hecho qué? Es crítico saber quien. Y alrededor de eso, ha ido la charla. El directorio activo es muy importante y necesario para habilitar derechos, permisos y accesos. Si no se hacen bien las cosas, estará en jaque. Gran parte del malware va contra el directorio activo. Nos han dado estadísticas relacionadas con amenazas al AD, mala configuración, números de ataques, etc. Después explicaron ejemplos de empresas atacadas. Después han explicado por qué nos atacan según la psicóloga. Después de las motivaciones, han explicado la razón por la que atacan el AD, como por ejemplo, tener más poder, pasar desapercibido, acceso a datos sensibles, pivotar, infectar equipos, extenderse a Azure... A continuación nos han contado cómo hacen los ataques. Retomaron la psicología del ataque, en la que se aprovechan de sesgos cognitivos de las víctimas. Sabiendo cómo te van a atacar, te puedes proteger. Pusieron ejemplos de un ataque por fases contra el AD: acceso, explotación y post-explotación (donde se producen la mayoría de estos ataques), persistencia, compromiso. También están los ataques físicos como rubber ducky o flipper 0. En este punto mostraron una demo con flipper. Al finalizarla, enumeraron una serie de técnicas que unidas ayudan a protegerse: formación en seguridad, segmentación de red, gestión de contraseñas, parches, etc. Para protegernos han hecho una demo de AD VulnBuster que permite hacer una auditoría en tiempo real. 

Voces sintéticas, amenazas reales

Ignacio Brihuega (@n4xh4ck5) nos expuso Voces sintéticas, amenazas reales.

RootedCon 2025 - Ignacio Brihuega

Ha empezado explicando por qué hizo esta investigación, en relación al "fraude del sí", ataques de vishing con MS Teams, clonación de voz, etc. Ha explicado la razón por la que alguien querría clonar la voz de otra persona: altas de servicios, autenticación de voz, etc. Se busca modular la voz en directo o tener una voz clonada. Posteriotmente explicó el TTS, text to speech, una voz plana. Y el speech to speech, que clona el timbre, pausas, etc. Nos mostró varios servicios de clonación. Más adelante explicó distintos ejemplos según de dónde procede la grabación (la muestra). En este punto mostró varios ejemplos de text to speech o speech to speech. Es muy importante aislar el ruido para que no interfiera en el proceso. De todos los ejemplos, nos hizo ver varios problemas como voces planas, o no poder mantener una conversación con respuestas reales. Describió una herramienta llamada pinoccio que reduce los problemas relacionados con las respuestas. Lo siguiente fue la conversación con una IA. En preguntas y respuestas se ha preguntado sobre clonación de voces sin permiso.

Al terminar esta charla me fui a comer y descansar un ratejo.

Mesa redonda: Tebas a quedar sin fútbol 

Participaron: 

• Omar Benbouazza (@omarbv): Hizo de moderador 
• Román Ramírez (@patowc)
• Ofelia Tejerina (@OfeTG): Presidenta de la Asociación de Internautas y Dra. en derecho constitucional.
• Tomas Ledo Guerrero (@toplus): responsable de Tecnocrática.
• Javier Maestre: un abogado que está apoyando mucho en el asunto.

RootedCon 2025 - Omar Benbouzza, Román Ramirez, Ofelia Tejerina, Tomás Ledo y Javier Maestre

Inicio de la mesa redonda con la BSO de la Champions League. Entraron como futbolistas. Román contó la parte técnica de cómo funciona Cloudflare. A la pregunta a Tomás de si es posible que lo corten, debe de hacerse a través de un oficio judicial, no se cargan otros clientes. A preguntas a Javier, qué se puede hacer, explicó que LaLiga no tiene propiedad intelectual, por lo que ahora"han hackeado la ley; pues lo que tiene propiedad intelectual es la grabación". Seguió explicando un real decreto relacionado con lo que puede hacer LaLiga. Continuó leyendo varios auto judiciales. Se ha estado hablando del problema que se encuentran los operadores con que no pueden controlar el tráfico, y la neutralidad de la red. Ofelia recordó sobre cómo vivieron el tema de la SGAE en la asociación de internautas. Y que Cloudflare sí que responde a LaLiga, pero que les da igual. Le han colado un gol al juez, y ha faltado transparencia. "Tus derechos fundamentales no me importan" será lo que estarán diciendo los de LaLiga. No es un conflicto del mismo nivel. Román ha enumerado servicios, tanto colectivos en riesgo de exclusión, o docker, GitHub, etc que se han visto impactados por la situación. Habrá que buscar horas en las que se vea que no va a haber impacto. Van primero a por Cloudflare y después a por los demás. Hay personas que tienen que deshabilitar el CDN para que se pueda acceder a los servicios, y a la vez verse afectados. Pretenden cerrar páginas sin intervención judicial. También están cortando otros CDNs, es un ataque a la industria. Lo sagrado es la neutralidad de la red. O busca una solución a nivel de protocolo o estamos perdidos. Ofelia habla sobre los derechos fundamentales en juego, como por ejemplo opinión e información, tutela judicial efectiva. La propiedad intelectual no está al nivel de estos. 

Ciberseguridad industrial 

Jairo Alonso presentó Ciberseguridad industrial: una cuestión de estrategia.

RootedCon 2025 - Jairo Alonso

 Empezó con la esencia de la charla antes de presentarse. No fue una charla técnica, ni presentó productos o servicios. Quería que fuera más un reflejo de la realidad. Nos habló de estrategia y resiliencia. Dividió cada explicación relacionando la parte corporativa con los entrenamientos (su parte personal). Después habló de la resiliencia: flexibilidad, adaptabilidad y la recuperación. Además de tener que lidiar con la dirección hay que lidiar con el personal de la fábrica. Después está el perfil OT, a la hora de hablar con el cliente, se sienten solos. También explicó las dificultades de entendimiento: el mundo de la seguridad IT Vs OT, también tienen problemas. También explicó que la disponibilidad es crucial. En un caso de DFIR no se puede parar la producción como se haría normalmente en un servidor en el mundo IT. Y así, nos explicó la meta a la que se quiere llegar. Cuando se llegue a la meta hay que llegar bien.

Ayuda DANA: iniciativa solidaria 

Tuve que salir un poco a descansar. Llegué con la charla ya iniciada, pero no debía de llevar mucho tiempo en marcha. La prepararon Toño Huerta y Jorge Hernández.

RootedCon 2025 - Toño Huerta y Jorge Hernández. De fondo: instituciones voluntarias

Cuando llegué, Ximo estaba contando cómo vivió la famosa DANA de 2024. Su hermano y su sobrino de 10 años salvaron la vida de milagro. Necesitan una empresa para recuperar los datos de la tienda familiar, la cual quedó anegada, y por lo que entendí es (era) el sustento de la familia. Como su tienda, todas las tiendas han sufrido el mismo problema, además de la pérdida del género, la pérdida de los datos de los ordenadores que gestionaban cada una de las tiendas. Después Jorge y Toño empezaron a explicar cómo podían ayudar en ese sentido, pidiendo ayuda a mucha gente dispuesta a dar la ayuda. Intentaron hacerlo lo más fácil y sencillo posible. Estudiaron la disponibilidad de los voluntarios y como podían ayudar. También dieron instrucciones a los afectados para que la recuperación fuera posible y en el envío no se estropeasen más. Al ver la gente las instituciones y empresas involucradas (en la foto), confiaron y de ahí esta ONG hizo el formulario para que los afectados pudieran pedir ayuda. Han puesto de manifiesto e insistido que Román ayudó mucho. Mostraron un listado de todos los coordinadores. Presentaron a los alumnos del IES Jaume II de Valencia, que ayudaron a recuperar datos de discos. Los invitaron al escenario. Han acabado dando los números de las solicitudes que han acabado, en proceso y pendientes. 

IoT: Internet of Trolls

Adrián Crespo y Jesús Muñoz presentaron esta charla. 

RootedCon 2025 - Adrián Crespo y Jesús Muñoz

Lo primero que hicieron fue presentarse. Está relacionada con la charla de Jairo. Empezaron a contar un proyecto de investigación. Dijeron que montaron un entorno real, para poder romper cosas. Y querían detectar amenazas IT y OT. Querían saber qué es IoT. Dependiendo de a quién le preguntaban la respuesta era una u otra. Después diferenciaron entre IoT y OT. Lo que les dejaron claro es que PLC no lo es. Así, contaron cómo se mezclan los nuevos retos. Además, ahora hay aparatos con IA que identifican matrículas de coches. Existen nuevas capas de seguridad. Después siguieron explicando virtualización de los dispositivos: dispositivos gemelos. Pusieron el ejemplo del router del operador, que se configura solo. Mostraron varios casos de uso. Después de explicarlos, explicaron la monitorización del IoT con dos casos: gestión de flota de vehículos. En estas slidesn mostraron una infraestructura de red tanto cableada como inalámbrica (satélite). Lo que montaron permitía gestionar y manipular controles del vehículo. Estuvieron explicando algunas de las manipulaciones que hicieron al coche. A continuación los peligros de ese tipo de conexiones. El otro caso fue el hospitalario. Además de los pros también explicaron los peligros. Entre otros, que haya un leak del paciente. Han acabado con las conclusiones. 

Laife get's better

Chema Alonso (@chemaalonso),  Laife get's better. 

RootedCon 2025 - Chema Alonso

Vuelve a las ideas locas. No todas son para ciberseguridad, pero en la presentación fue lo que hizo. Ha hecho referencia a la película Tron. Con la llegada de la IA lo que tardaba en hacer meses ahora lo hace en unos minutos. Puso de ejemplo su proyecto de fin de carrera. Integraron ChatGPT en un emulador de Amstrad. La siguiente película que ha mencionado es Blade Runner. Enlaza la película comparando la búsqueda de replicantes con la búsqueda de deep fakes. El producto: sentimetrics. Lo siguiente que mostró fue HashVoice, para detectar clonado de voz. Mostró otra película más: Interstellar. Relacionado con el sarcasmo y los LLMs. Han hecho pruebas con Aura y el sarcasmo (en pruebas). Otra película: Yo, Robot. En LLM el system prompt es como las leyes de la robótica. Pero se pueden saltar con inyección de prompt. Con esos robots de la peli, hay que pensar en qué se les puede hacer. Hicieron pruebas con el problema del prisionero. Ha mostrado varias pruebas en las que el policía debía identificar si los prisioneros se iban a fugar o no.  La última película: Terminator. Airgapping: pasar información entre dos equipos que no están conectados. 

Y aquí está la segunda jornada de RootedCon 2025. ¡Seguro que la tercera y última estará genial!

RootedCon 2025: Crónica del primer día

Empezamos el primer día como de costumbre, llegando muy pronto, saludando a todo el equipo y viendo a los amigos de siempre. 

Entrada RootedCon 2025

Keynote

La inauguración fue de manos de Román (@patowc), Arantxa y Omar:

RootedCon 2025 - Roman, Arantxa y Omar

Explicó la historia y las razones por las que iniciaron el evento y qué esperan en un futuro: casi 15.000 personas. Cómo y qué han aprendido o cómo ha ido creciendo el evento, incluyendo la creación de los tracks. Nos han hablado de derechos y deberes. Han hablado de la Hackernight. Justo después nos han puesto un vídeo mostrando un "homenaje al pasado". Evidentemente, se han mencionado los patrocinadores. Y cambios en la organización, tanto en la web con una newsletter. Finalizando con una broma sobre LaLiga, Tebas y Cloufarre. Después entregaron el premio Raúl Jover 2025 a Ofelia Tejerina, presidenta de la Asociación de Internautas. 

Tarlogyc: Attacking Bluetooth the easy way

Miguel Tarascó y Antón Vázquez(@antonvblanco) de Tarlogyc: Attacking Bluetooth the easy way.

RootedCon 2025 - Antonio Vázquez y Miguel Tarascó

Han empezado contando cómo empezaron hace años la investigación sobre el protocolo bluetooth y una metodología que crearon (BSAM). Han continuado contado la situación actual: problemas con APIs desactualizadas, hardware específico (flipper 0), dongle genérico, específicos y las APIs muy especializada. Han buscado a través de BSAM cómo hacer algo lo más sencillo posible con el lenguaje de programación más cómodo para nosotros y con tu hardware más genérico que podamos. Han recordado la arquitectura hardware de bluetooth. Entre medias han mostrado un vídeo broma con la pistola de plástico que nos han regalado. Han continuado enumerando cómo instalar el driver que han publicado. Han hecho una demo. No se han olvidado las limitaciones, como que para ciertos ataques hace falta un hardware especializado. Después han seguido con el hardware avanzado, aunque lo deseable es que tenga mucha disponibilidad, lo que se necesite sea fácil de compra, que sea barato y que soporte los dos modos bluetooth: classic y BLE. Uno de los chips mencionados es el ESP32, que cubre todas las necesidades. Descubrieron que ese chip no se puede poner en modo monitor. Han explicado cómo han usado Ghidra para hacer reversing al firmware y qué han descubierto desde dentro, como una función interesante y comandos propietarios. Algunos que pueden, por ejemplo, cambiar la MAC del dispositivo. Se hizo una segunda demo. Ejemplos de ataques, por ejemplo, desde una bombilla inteligente. 

Después del descanso asistí a la charla de las SIMs

SIM-ply hacked

Esta charla la dieron Miguel Ángel de Castro y Maialen Zabala; SIM-ply hacked: visible, vulnerable and compromised.

RootedCon 2025 - Miguel Ángel de Castro y Maialen Zabala

Resumieron qué van a contar. Han empezado hablando de exposición Ha dado unas estadísticas de llamadas tipo vishing y otros tipos de ataques. Han continuado con el problema: mal configurado, que se accede probando contraseñas (tanto por fuerza bruta como sin ella) o empresas que exponen sus servicios a través de una tarjeta SIM. También está el problema de direcciones IP dinámicas que no se pueden identificar si son nuestras o no, y accesos a protocolos (RDP, FTP, SSH) sin control de contraseñas. Han seguido con los vectores de acceso fantasma. Las redes móviles usan CG-NAT. El problema está en que al poner la tarjeta SIM en el dispositivo se exponen sus servicios. Están, por ejemplo, los adaptadores para conectarse a internet desde el portátil, obteniendo una dirección IP pública. Y aunque se tenga el firewall, por ejemplo, RDP pudiera quedar expuesto. Han continuado con los adversarios, describiendo los tipos y algunos específicos. A continuación han explicado la caza y respuesta de los atacantes. Hay que buscar los eventos para estudiar cómo nos están atacando, por ejemplo, inicios de sesión fallidos. Han mostrado ejemplos de queries para buscar indicadores de compromiso. Hay que customizarlas para hacer las reglas específicas para nuestros casos para poder tomar medidas, incluso poderlas automatizar: un ejemplo podría ser bloquear la conexión o pedir un MFA. Han finalizado dando una serie de consejos. 

Los Cylons no roban datos...

Esta charla, los Cylons no roban datos, solo preguntan y tu IA responde, la expuso Pablo Estevan.

RootedCon 2025 - Pablo Estevan

Su introducción es sobre cómo usan los atacantes la IA y cómo podemos protegernos. Por ejemplo, suplantación de identidad o la velocidad y escala de los ataques. Otros tipos de ataques como los relacionados con la manipulación del prompt o manipulación del entrenamiento para que tenga sesgos, entre otros muchos. Ha seguido con la explicación de la arquitectura de una IA y las amenazas de una aplicación que la tenga.  Ha mostrado varias demos de ataques. Algunos relacionados con conseguir información que no debería darnos o incluso tumbar el servicio de IA. Ha seguido con cómo podemos protegernos. Por poner uno de los ejemplos, control de los prompts o permisos de accesos. Nos ha mostrado una demo de un navegador web que protege de cosas como de copiar y pegar datos sensibles. Además, también está la remediación automática. 

Problemas de seguridad en robótica 

Esta ponencia la dieron Claudia Álvarez (@claudiacataplau) y Adrián Campanas (@gripapc)

RootedCon 2025 - Claudia Álvarez y Adrián Campanas

Al empezar tuvieron problemas con el vídeo. Mientras, fueron enseñando por encima el robot que trajeron. Empezaron mostrando un robot militar teledirigido. Han descrito qué características tiene, como un GPS con una precisión de 1cm, sensores de profundidad, 4 cámaras y se opera con una aplicación Android. Además de tener puerto ethernet, USB-C, wifi propia y para tarjeta SIM. Pesa más de 50 kg, cuesta poco menos de 200.000 €. Aunque es de ámbito militar, tiene IP68 (polvo y agua), pero ellos lo usan para gestión de ganado y detectar amenazas como por ejemplo lobos. Han contado un poco para qué están estudiando este tipo de robots, y qué aplicaciones pueden tener: dar soporte a las personas, no quitar trabajos. En este punto pudieron mostrar las presentaciones en pantalla. Han nombrado el ROS2, un estándar de robótica de servicios. Permite abstraerse del hardware y solo centrarse en el comportamiento. Lo primero fue hacer el ataque perimetral: WPA-2 y credenciales hardcodeadas en la APK del móvil. Además, hay robots que no se pueden cambiar porque dejarían de funcionar. Otra demo en directo permite conectar un AP y crear una red wifi permitiendo acceder al robot desde su wifi. Para poder manipular el robot, hace falta un valor llamado ros_domain_id, y nos mostraron la ejecución del script para obtenerlo y como administrarlo con ese dato. Todo esto es sin autenticación habilitada: no estaban dentro del robot, sino desde la red. Han seguido haciendo más demos como por ejemplo deshabilitar el control de colisión. Han acabado con sus conclusiones. 

Estafas S.A

Josep Albors expuso Estafas S.A: Telekopye y la caza de mamuts.

RootedCon 2025 - Jodep Albors

Ha empezado explicando términos como mamut (victima), neandertal (atacante) y Telekopye. Este último es un bot de Telegram. Ha descrito cómo funcionan esos grupos y cómo reclutan a la gente. A veces hacen de vendedor en las que suplantan la pasarela de pago. Pero a veces hacen de comprador. Ahí es donde también hacen alguna suplantación del tipo de pasarla o forzar a que el vendedor use una mensajería para mandar el paquete pero siendo ese servicio falso. Dio detalles de cómo funciona Telekopye: campañas, pagos al atacante, etc. El contraataque está en las acciones policiales y las defensas que las plataformas han ido implementando. Nos ha mostrado varios ejemplos de cómo funciona el bot. Para finalizar nos ha recordado las acciones para protegerse.

Cuando Josep terminó, me fui a comer y descansar, aunque los tracks seguían. Eran las 15:30 y no tuve tiempo de parar desde el descanso.

0x800080: las dos caras de la IA

Ya, a las 16:30, me metí en esta ponencia, que la dieron Luis Suárez y Xavier Nogues.

RootedCon 2025 - Xaview Nogues y Luis Suárez

Querían buscar cómo pueden trabajar los equipos de purple. Primero se presentaron. Para hablar de IA ha recordado los tipos de machine learning: supervisado y no supervisado. Después ha estado hablando de estadísticas relacionadas. Después ha seguido hablando de deep learning y natural language processing. Para poder pedirte al LLM crear un ataque nuevo, hay que ir un poco al pasado. Esa sería la parte ofensiva. En ese punto han empezado a hablar sobre detección de QRs (maliciosos) en correos. Si pidiendo algo al chat no quiere por seguridad, proposieron que se dividiera la solicitud pudiéndolo a trozos. Y ese fue uno de los ejemplos que pusieron: ocultar un QR en un correo. La IA no es solo lenguaje, puede ser también para reconocimiento de imágenes. Más adelante han estado enumerando detecciones de malware con machine learning. 

From RCE to Owned:: An AWS tale

Después de la merienda, Álvaro Villaverde y Andrés Botica empezaron esta charla. 

RootedCon 2025 - Álvaro Villaverde y Andrés Botica

Después de presentar la empresa, se han presentado ellos mismos como ponentes. En un acompañamiento con un cliente encontraron un RCE en un AWS. Antes de seguir han contado cómo funciona el modelo de identidades en AWS. Uno de los objetivos es asumir un rol IAM. Han ido explicando cómo se hace de forma legítima. Después, cómo hacerlo de forma ilegítima. Después empezaron a describir su caso, tras lo cual hicieron una demo. Lo siguiente que contaron fue cómo determinar los permisos de un rol IAM, haciendo otra demo. También hicieron otra demo más para tirar de funciones lamda para seguir extrayendo información. Han hecho otra demo contra ECR consiguiendo elevar a admin. La siguiente sido la del abuso de IAM. Con la última demo ha accedido al panel de control vía web usando el usuario y contraseña obtenidos. Para finalizar han enumerado algunas mitigaciones. 

Máster de la Complutense 

Javier Domínguez ha presentado el máster de ciberseguridad de la Universidad Complutense 

RootedCon 2025 - Javier Dominguez

Ha explicado el programa del máster en ciberseguridad muy rápido. Y nos ha mostrado los distintos profesores que participarán en él. Para muestra la imagen en la presento a Javier. 

Dark territory II

David Meléndez (@TaiksonTexas) y Gabriela García presentaron esta charla, Dark territory II: paralizando la red ferroviaria de alta velocidad.

RootedCon 2025 - Gabriela García y David Meléndez

Gabriela ha empezado dando contexto sobre lo explicado el año pasado. Ahora están haciendo una poc usando balizas ASFA. Crearon una baliza de estas, que cumple las especificaciones reales. Sobre el estándar mínimo de lo que tienen que cumplir, lo sobrepasa. Han estado mostrando cómo están instaladas en el suelo y en la locomotora. No funcionan por RF, sino por inducción. Realmente son bovinas que "contactan" con la del tren. Han mostrado un vídeo en directo para hacer la demo. "La baliza es un alambre enrollado en un cartón". Hay que conseguir que obtenga la frecuencia que buscamos y lo difícil que es afinarla. En el casero, no hace falta poner un condensador que las originales sí que les hace falta. La siguiente baliza que nos mostraron fue ERTMS/ETCS.  Se supone que tiene que sustituir a ASFA y que son interoperables. Estas nuevas son digitales, y eso significa que son vulnerables. También se las llama Eurobalizas, son como tags RFID enormes. Fundamentalmente, nos han dicho que se puede leer una baliza de un tren fácilmente, incluyendo leer el checksum. Han remarcado el requisito de la velocidad con la que detecta el ASFA la señal o qué datos le entrega la Eurobaliza al tren. Teniendo un sdr se podría leer la baliza, pero también emitirle datos, los cuales viajan en claro. Han mostrado una demo para este caso. Finalizando, han puesto de manifiesto contramedidas. 

Y con todo esto, acabamos la primera jornada de este año 2025. 

ProtonVPN en Mikrotik

 Después de mucho tiempo sin escribir con alguna que otra investigación voy a documentar cómo voy a configurar el router Mikrotik hAP ax^3 que tengo. Recordad, si no lo conté en su momento, que no está conectado directamente a la fibra, pero todas las conexiones pasan por él. 

No obstante, como fuente de información voy a utilizar la oficial de Proton. ¡Ah! También recalcar que en esas instrucciones tiran de consola y ya veré si lo hago tal cual lo explican o lo traslado a interfaz gráfica. Como de costumbre, pondré capturas o los comandos introducidos con su la tipografía que habitualmente pongo.

Una vez creada una cuenta (gratuita), hay que ir a la página de descargas y buscar "wireguard" para generar un fichero de configuración:

Creando fichero Wireguard en ProtonVPN

En mi caso quiero seleccionar que voy a configurar un enrutador. El resto de valores los voy a dejar por defecto. Ojo, porque alguno de ellos pudiera hacer falta pagar la suscripción pertinente. 

Al hacer click sobre el botón crear aparecerá una ventana emergente con todos los datos que te harán falta. Tendrás que copiarlos y pegarlos en un fichero de texto antes de cerrarla porque, tal y como te indican, muchos de esos valores no se volverán a mostrar teniendo que generar otro nuevo (si es que te deja con la suscripción que tengas).

Fichero de configuración Wireguard creado

Desde la herramienta Winbox, vamos a crear una interfaz Wireguard. Un recordatorio más: Mikrotik lo soporta nativamente desde la versión 7. Una vez hemos accedido al router, seleccionamos Wireguard en el menú de la izquierda. Nos abrirá otra ventana donde seleccionaremos el botón "+". En la ventana que nos aparezca podremos decidir cambiar el nombre de la interfaz que tendrá. Lo que sí o sí hay que hacer es poner la clave privada que nos hayan generado.

Creando interfaz Wireguard desde Mikrotik

Con la interfaz creada hay que asignarle una dirección IP, una dirección de red, etc.

Configurar direccionamiento IP en interfaz Wireguard

En el ejemplo del manual están ejecutando estas líneas:

/ip address

add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0

Con estos datos configurados hay que configurar el router como cliente (lo que llaman peer). Eso se hace desde la pestaña peer en la ventana de Wireguard. Habrá que indicar el nombre descriptivo (es opcional), la interfaz (en nuestro caso wireguard1) y los valores que podrás encontrar en el fichero generado (public key, IP y puerto del endpoint). El valor de keepalive lo pondremos a 25 segundos. Si no pones el valor de allowed addresses no te dejará aplicar esta configuración.

Configurando Mikrotik como peer / cliente

Lo siguiente que hay que hacer es configurar el masquerade, que es el que hace que una tarjeta de red con una dirección IP se oculte detrás de otra. Es lo que comúnmente llamamos NAT. En mi caso, como ya tengo más entradas, me pudiera encontrar con que falle y no funcione, o que incluso para conexiones internas me deje de funcionar o que haga otras cosas más extrañas. Sólo voy a poner un ejemplo de cómo seria. Yo he puesto tantos como casos me corresponden:

Configurando NAT para Wireguard en Mikrotik

Lo siguiente que hay que hacer es crear a mano dos entradas de enrutamiento más. Nada más aplicar los cambios de este paso, tal cual estamos, la conexión a Internet deja de funcionar y no queda otra que deshabilitar esas entradas. En caso contrario, no hubiera podido subir las capturas ni guardar los cambios de este post:

Primera configuración de tabla de enrutado para Wireguard en Mikrotik 

Segunda configuración de tabla de enrutado para Wireguard en Mikrotik 

El siguiente paso sería configurar los DNSs. Si bien te indican que pongas el suyo, 10.2.0.1 (que acaba siendo el gateway propio del sistema), en teoría se pueden usar otros, al menos es lo que parece si probamos a hacer ping a los que queremos usar: 9.9.9.11. 

Además del DNS, te indican que configures el cliente dhcp de la tarjeta de red conectada al router de Internet (entiendo que también sería la ONT, etc). Esta parte la ignoré porque no estaba activándolo pero he tenido muchos problemas y parece que va mejor si se pone. En este caso, lo que he hecho ha sido ejecutarlo por consola y después desde la GUI activarlo (ya que precisamente esa entrada la tenía desactivada). El comando que he ejecutado ha sido:

/ip dhcp-client

set 0 use-peer-dns=no

Lo último es configurar una entrada más en la tabla de enrutado en el que se pone la dirección IP que se indica en el campo endpoint del fichero que hemos descargado en el campo dst address y el gateway la dirección IP específica del router hacia Internet. Recuerdo que este no está conectado directamente a la fibra. 

En este punto, si hacemos ping contra Quad9 y después habilitamos las tres entradas que hemos creado veremos que se produce un pequeño corte pero después vuelve una conexión, pero se ve que la respuesta es más lenta:

Probando Wireguard en Mikrotik usando ping contra Quad9

En teoría, con toda esta configuración, debería de funcionar. No obstante: me he encontrado con problemas. Tuve que desactivar el DoH (DNS over HTTPS). Otro problema es que según le daba, al menos hasta que he configurado el DHCP-client, es que precisamente haciendo ping a veces iba como un tiro y en otras ocasiones dejaba de funcionar, tanto llamando a una dirección IP como a una URL. 

Llevaba mucho tiempo queriendo probar esta historia, y aprovechando la historia de Cloudfare, ya me he puesto a buscar. 

Lo voy a dejar aquí. Al final estoy aplicando lo que dicen en el manual oficial en mi sistema. Pudiera ser que acabe de escribir estas líneas, quiera guardar y publicar este post y me deje mal. Aún así, no descartaría que en algún momento se me ocurra probar otro servicio o intente afinar la configuración.