Un año más en RootedCon. Como de costumbre llegué muy pronto y... ¡ ya había gente esperando! También como de costumbre se me echó el tiempo encima para decidir las charlas. Cada año hay más salas con muchas más charlas. Por lo que decidir se hace mucho más complicado. Incluso decidir los descansos, importantes para poder mantener la atención como es debido.
A lo largo de la mañana conocí a Jose Luís y a Quetxacoatl (Quetza, The Arki).
Keynote: Román Ramirez
 |
| RootedCon 2026 - Román Ramirez |
Nos han mostrado un vídeo muy chulo relacionado con pacman, el tema en el que se basa RootedCon este año, y según ha explicado Román, se ha hecho con IA. Ha explicado la cantidad de tracks que se han organizado y la misión y visión de la organización. No se ha olvidado de los colaboradores ni de los patrocinadores y ha contado las distintas actividades que hay preparadas además de las charlas. Ha continuado hablando del asunto de LaLiga. Por último ha entregado el Premio Raúl Jover 2026 que ha sido para Patrick Breyer, el cual ha dado las gracias y ha empezado su charla.
Insiste the Machine: Patrick Breyer
 |
| RootedCon 2026 - Patrick Breyer |
Nos hizo un speech sobre libertad digital, control digital de lo que vemos y podemos ver en Internet. Quién está moviendo realmente las leyes relacionadas con estos controles y el hecho de que los políticos no saben qué están votando realmente. Ha hablado del control en el cifrado de las comunicaciones. Y las empresas extranjeras que consiguen manipular el sistema para hacer leyes que les benefician. También ha hablado del activismo con los políticos europeos para evitar que se hagan leyes como "chat control" que puedan afectar a la privacidad de los ciudadanos. Se están atacando nuestros derechos digitales. Si hay que justificar la edad, habrá que enseñar tu propia identidad. Se necesita que los hackers hagan las leyes, no reaccionar a ellas.
Al finalizar Patrik, Román ha presentado a todos a Quenza, el cual ha venido de México con mucha ilusión para estar en RootedCon.
Troyanuzando Ableton: Jorge Martínez
 |
| RootedCon 2026 - Jorge Martínez |
No obstante no me quedé y fui a hacer un descanso para poder tirar el resto de charlas. Aún así, antes de irme empezó a hablar sobre dispositivos que permiten a los asistentes a eventos cambiar las luces, el ritmo de la música y demás. Justo empezó a hablar del funcionamiento del programa Ableton cuando pensé que era mejor descansar un poco.
Stranger Internet of Things: Angel Perez y Rafael José Núñez
 |
| RootedCon 2026 - Ángel Pérez y Rafael José Núñez |
Esta fue la charla de después del descanso. Hicieron una Introducción y se presentaron. Empezaron con su motivación por la investigación que les llevó a hacerla. Entre otras estaba la ley de la ciberresilencia, categorizando los distintos tipos de dispositivos. Siguieron con algunos fundamentos teóricos. Lo normal es encontrase microcontroladores en los IoTs. Después están los tipos de interfaces de comunicación, como las UARTs. SPIs, I2Cs, JTAG, etc... Para cada uno de ellos explicaron los pines más importantes. Después siguieron con las herramientas con las que trabajaron. Soldadora, multímetro, etc... A partir de ahí estuvieron contando cada uno de los distintos dispositivos que analizaron. En ocasiones no fueron capaces de adquirir una shell. Usaron la herramienta binwalk para estudiar el firmware descargado. Entre otras cosas vieron el sistema de ficheros squashfs. El siguiente aparato que explicaron fue una cámara IP básica. Extrajeron el firmware de igual forma. Accedieron al boot de la cámara pudiendo tomar control de la consola del bootloader (no del sistema operativo). Con una manipulación consiguieron acceder a otra consola, la del sistema operativo, primero en modo read-only y después con el usuario root en modo escritura. Buscaban manipular el firmware, pero sin mucho éxito. Después siguieron con una cerradura inteligente de interior. Que los pines estén identificados es una mala práctica porque ayuda a hacer los ataques pertinentes. Explicaron algunos problemas que tuvieron para acceder a los datos. Analizaron su protocolo y le hicieron spoofing del valor de la batería. Consiguieron inyectar datos y abrir la cerradura. Lo que no consiguieron hacer fue dumpear el firmware. El siguiente IoT fue otra cerradura de interior. También tuvieron dificultades para acceder al firmware, a la consola boot, etc. Así, ya explicaron cómo decompilaron su firmware. Continuaron con otra cerradura más, esta vez para una entrada principal, y mucho más cara (según indicaron). Volvieron a explicar la arquitectura y las protecciones que tiene para impedir acceder al firmware y cómo pudieron saltársela. De esta forma ya pudieron copiar el firmware y acceder como si fueran un desarrollador. Acabaron con las conclusiones.
Demerzel Project: Robot UGV. Miguel Ángel de Castro
 |
| RootedCon 2026 - Miguel Ángel de Castro |
Presentó el robot que programó enteramente con IA. Explicó qué es este proyecto: cómo funciona, tanto el hardware como el software. Resumió de una forma rápida los componentes electrónicos que tiene. Y cómo se comporta según qué tipo de conexiones están activas: local mode, LAN e Internet. Además de operar según la conexión es capaz de identificar su entorno, emociones de las personas, etc. Lo siguiente fue contarnos qué software y librerías forman parte del sistema. No se dejó qué modelos de IA utilizó para cada una de las necesidades. Siguió con las muchas capacidades que tiene. Continuó con el proceso para hacer este proyecto. Lo siguiente fue hacer hincapié en los riesgos de la IA: las palabras son las nuevas armas. Acabó con las ideas de evolución y sus reflexiones, además de hacer una demo en directo.
Tras esta charla me fui a comer a un foodtrack y a descansar un buen rato. También me tomé un té y una rica tarta de manzana.
El fantasma de la infraestructura: Sergio García
 |
| RootedCon 2026 - Sergio García García |
Primero se presentó. Continuó en cómo empezó su investigación. Primero explicó qué son las Bedrock API keys y sus tipos: long-term y short-term. Los de short duran máximo 12 horas. Y se crean desde cliente (el navegador). Las de long-term pueden durar entre un día y nunca caducar. Estas últimas generan un patrón que codifica en base64 y además crea un usuario casi de la nada. Se pueden ver las características del usuario junto a su API key. Antes de seguir hizo un resumen de todo lo explicado anteriormente. Continuó enumerando las políticas que Amazon adjuntó, entre otras la capacidad de borrar objetos o la de listar y mapear datos críticos. Si alguien crea access keys estas se podrán usar. Los tokens de tipo short-term codificados en base64 están firmados con SigV4. Siguió explicando lo mismo pero con los tokens de tipo long-term. Mostró una demo en la que mostró decodificadas decodificó un token de cada tipo. A partir de ahí mostró los escenarios de ataque. Refirió a que los usuarios siguen persistiendo a pesar de que la clave esté caducada. Habló del LLMJACKING. Ya aquí siguió con formas de detectar posibles problemas, cómo evitar que se produzcan y cómo trabajar muy bien con SCPS. Prosiguió con contramedidas y presentó una herramienta open-source llamada bedrock-keys-security. Terminó con sus conclusiones.
Al acabar me volví a la sala grande.
Houston, we have a vuln! Jesús Muñoz, David Bernal y Gabriel de la Morena
 |
| RootedCon 2026 - Jesús Muñoz, David Bernal y Gabriel de la Morena |
Jesús Muñoz Martínez y David Bernal Agüera dieron esta ponencia. Empezaron por presentarse y hablando de la comercialización del acceso al espacio: con más satélites y operadores se amplía la superficie de ataque. Ejemplo: MiTM. Ha hablado de órbitas o áreas. Los "satélites" tienen tres segmentos: estación tierra/, fabricante, usuario (gateway y dispositivos) y el espacio. Nos ha hablado de Mitre. También han resumido anteriores ataques a infraestructuras satelitales. Han explicado cómo han hecho el pentest en el segmento de misión de un satélite. Han reconocido que como norma general estaba bastante securizado si bien encontraron ciertas vulnerabilidades. Han mostrado un vídeo sobre este análisis. Lo siguiente fue pasar al segmento de usuario. Han explicado varios análisis para este segmento, como por ejemplo, uno relacionado con un coche. Después han seguido con una demo para descargar un firmware, que han analizado con Hydra.
Al terminar la charla me fui a hablar con David (EsferaRed) y Pablo F. Iglesias.
Charla sin nombre porque la web no funcionaba: Kike Fontán y Pablo García
 |
| RootedCon 2026 - Kike Fontán y Pablo García |
Kike Fontán se presentó. Pero Pablo García no pudo venir. Empezó explicando que la charla iba sobre una metodología que tienen en NTT para hacer las pruebas de DoS. La disponibilidad no es algo que se le dé mucha importancia en las auditorías de seguridad. Utilizó tres términos importantes: abstracción, entorno y la observabilidad. Todas las diapositivas estuvieron hechas como viñetas de TBOs (sí! comics está también bien!). Puso como ejemplo la cantidad de clientes que acaban degradando un servicio en un bar. Con su experiencia han creado la una guía, que aún está en desarrollo. Entre otros puntos que explicó está el modelado de amenazas. Después fue contando uno a uno los controles. Alguno de los ataques está relacionado en buscar el equilibrio entre enviar muchos paquetes más o menos rápido y otros más lentos pero a su vez bastante más grandes. Más adelante ha hablado de protocolos y los posibles de ampliación o reflexión. No se olvidó de los ataques de paquete mal formados. Sin dejarse aquellos en los que fuerzan bucles infinitos. Después siguió con la categoría de los recursos: memoria, CPU, etc. Otra categoría de la que habló fue la física, como el jamming y las interferencias radioeléctricas.
Después de esta charla decidí que por mi parte podía cerrar la primera jornada de RootedCon 2026.
