En esta jornada llegué pronto como de costumbre. Estuve paseando un rato por los estands hasta que llegaron los chicos de Accenture, que tenían unos candados para hacer lockpicking y estuve más de 20 minutos intentándolo sin éxito. Lo dejé pero con la idea de volver más adelante. Ese momento nunca llegó.
Hacking bluetooth at scale: Antonio Vazquez
 |
| RootedCon 2026 - Antonio Vazquez |
Antonio se disculpó por Miguel Tarascó que no pudo estar. Empezó la charla con un vídeo tipo anuncio muy chulo para dar pie a la introducción. Habló de las anteriores investigaciones, entre las que está BSAM, BlueSpy y USBBluetooth con ESP32. Lo siguiente fue un repaso de BSAM y las posibles actualizaciones que pudiera necesitar. Ha hablado de un ataque muy reciente, BLERP y de cómo se hubiera aplicado BSAM a este ataque. Ha seguido poniendo otros ejemplos. Lo siguiente ha sido hablar de automatizar el análisis en algunos controles, por lo que han presentado una herramienta gratuita, BSAM checker. Tiene capacidad para dar cuatro resultados por cada control: vulnerable, no vulnerable, no concluyente y fallo. Después ha hecho algunas demos. Entre otros ataques mostrados se encontraban unos auriculares Samsung y una mochila con una pantalla del tamaño de una tablet (como mínimo). Los auriculares Samsung permiten que el atacante grabe el audio que está sonando en ellos. Otro aparato fue una mochila con BT que la analizó tanto desde el lado de bluetooth como de su aplicación: servicios vulnerables, una APP de móvil con permisos interminables abriendo una webview. Continuó haciendo más demos. Sí avisó que no todos los controles se pueden automatizar. Ha terminado con sus conclusiones.
Cuando terminó esta charla me cambié a otra sala para la siguiente ponencia.
BaconHash: Pablo Caro Martin
 |
| RootedCon 2026 - Pablo Caro Martin |
Empezó presentándose. Siguió contando cómo hace tiempo perdió una hora para encontrar una contraseña tan básica como "password". Por lo que decidió buscar una solución: guardar un montón de hashes muy fácilmente accesibles. Explicó las distintas opciones que barajó después de comprar 2 TBs de disco en Amazon y posteriormente tenía que ver cómo guardar los datos. Nos contó las diversas tecnologías que barajó, tales como big data con Elastic Search, SQLite, etc. Pero a cada una de ellas le encontró un problema distinto. Siguió explicando qué son las lookup tables y las diferencias con las rainbow tables: el procesamiento es mucho más rápido en lookup pero ocupan mucho más que las rainbow. Creó un sistema de ficheros y explicó que cada carpeta tiene el nombre del primer byte del hash y las carpetas hijas el siguiente byte. Después fue contando cómo fue recortando los datos en los ficheros: eliminando los separadores (":") del hash vs valor de contraseña, el nombre de las carpetas... Y así fue explicando más formas de optimizar el almacenamiento de las correspondencias entre hash y contraseña. Lo siguiente fue darnos los números de sus análisis: consiguió encontrar 126 mil millones de contraseñas en base a usar máscaras tal y como se usan en hashcat. Si se sabe cuentas contraseñas se pueden encontrar con hashcat con una máscara básica y específica haciendo cálculos de combinatoria; y por dónde debería de caer la que corresponde a una contraseña... Se puede acabar calculando el índice al que le correspondería esa contraseña en el sistema que ha creado. A partir de este punto explicó cómo se puede encontrar el valor asociado a un hash especifico haciendo búsquedas por aproximación. Y llegado el momento incluso a buscar de uno en uno. Después ha comparado la "base de datos" con otras como HashKiller, Hashmob.net, ntlm.pw, BinSec o Crackstation. Los ha comparado uno a uno según cuántos hashes tienen. Ha hecho una demo en directo de la herramienta disponible en una web: baconhash.pw
Aquí es donde hice un minidescanso.
Influencers bajo ataque: Pablo F. Iglesias
 |
| RootedCon 2026 - Pablo F. Iglesias |
A la charla de Pablo llegué tarde. Estaba hablando de estafas relacionadas con influencers y famosos. Estaba casi empezando a explicar las reglas que se deberían de usar para identificar si algo es una posible estafa: quién (vigilar dominio oficial, typo squatting, etc), qué (quitar desacortadores, virus total, etc) y contexto (oferta desproporcionada, urgencia irreal...). Continuó con las medidas de protección.
Una vez más me cambié de sala para ver otra charla más.
Attacking without attacking: Pablo González
 |
| RootedCon 2026 - Pablo González |
Va a hablar de "living it the land" (LoTL) . Empezó hablando de un trabajo o proyecto que hizo allá por 2015. Y siguió contando otros proyectos realizados desde entonces. LoTL es intentar hacer que el comportamiento se parezca a un comportamiento legítimo. No es solo usar técnicas fileless. Ha presentado varios proyectos: lolbas-lolbons, loldrivers, loSaaS, gtfobins, lotc (este es "in the cloud"). Después ha contando los diferentes niveles que se le pueden asignar: aislado, funcional, estratégico. Más adelante ha hecho explicado las diferentes capacidades que hacen falta. Lo siguiente que de lo que habló fue de diversos incidentes desde 2010 relacionados con este tipo de ataques y cómo han ido evolucionando. Acto seguido hizo una demo. Entre otras cosas, haciendo un ataque de descubriento con comandos básicos como arp, ping, etc. Cuando terminó la demo, a través de un comando y parámetros, powershell mediante, ha empezado a explicar cómo se hace la detección. Lo siguiente fue otra demo en la que se usa Machine Learning. Terminó con las conclusiones finales.
Cuando Pablo acabó se acercaba la hora de comer y me fui con Julián a alguno de los restaurantes de la zona. Vimos que era complicado quedarnos a la charla de Juan Antonio Calles.
Copilot en la sombra: Mar Llambi
 |
| RootedCon 2026 - Mar Llambi |
Empezó diciendo que "todo Copilot es un SaaS" y que todos tenemos low code en nuestra infraestructura. También que casi todos los usuarios son de negocio y no técnicos. Describió diferentes tipos de incidentes en la power platform. Insiste en no que no hay que confiar en ésta. Ha insistido que hace falta saber de cuatro elementos: Copilot studio, power automate, conectores y Entra ID. Justo después enumeró las tres entiendes involucradas en estos sistemas: usuario principal, conector/flow y agente. Lo siguiente fue mostrar unos service principal en Entra ID que se habían creado solos. Más adelante mostró un ejemplo de una exfiltración de Copilot a MSGraph y de cómo se hace. Nos enseñó la primera idea que tuvo sobre este problema (pero se le adelantaron desde grupo en publicarlo) hasta la vuelta de tuerca que pudo darle: en vez de hacer que el bot pida los permisos para actuar en nombre del usuario pudo ocultar qué permisos daría para conseguir robar su token sin informar al usuario. Lo que significa que el conector tiene todo lo necesario para actuar como ese usuario. Y que el atacante pueda llevarse el token con un web hook site. El token no se puede usar directamente con el conector, es necesario aprovecharlo de otra forma para impersonar al usuario. No se obliga a que el token esté usado por la misma aplicación que lo generó. Fue terminando con las posibles mitigaciones a este problema.
El spam telefónico no muere, solo evoluciona: José Luis Verdeguer aka Pepelux
 |
| RootedCon 2026 - José Luis Verdeguer aka Pepelux |
Se presentó nada más empezar. Lo siguiente fue hablar de estadísticas de spam en distintos países. Continuó con la historia de la telefonía: RTB (Red Telefónica Básica), la migración a la telefonía digital y la desaparición del monopolio de Telefónica o la unificación de la numeración (todos tenemos que poner los prefijos). Habló de la aparición de los dialers predictivos. La única forma de envitar el spam era descolgar el teléfono. Siguió con la aparición de las primeras leyes de protección de los usuarios. No se dejó el surgir de los call centre y la VoIP, los robocall, el CLI spoofing, etc. Continuó con las técnicas como buscar en ListaSpam o similares. Además prosiguió hablando de las leyes que salieron en 2009 como segundo intento para parar el spam. Tampoco se dejó las leyes de 2014 para combatir los robocall. Saltó a 2018 para contar lo que sucedió con la salida del RGPD. Lo siguiente fue la ley de 2022. Pero a pesar de estas leyes se siguen recibiendo. Año 2025: ley que obliga a bloquear CLI oculto o con CLI español desde el extranjero. Total 25 años contra el spam telefónico. Por lo que hay que mirar qué se puede hacer. Ha ido contando qué se hace para ser operador en España y así poder vender números. Luego ha explicado las diversas formas en las que hacen spam: rutas grises, SIM boxes (sus diferentes tipos), vulneración de centralitas PBX mal configuradas, etc. Continuó dando ideas sobre cómo seguir combatiendo el spam. Más regulaciones y controles por parte de la CNMV o el las firmas digitales del tipo stir/shaken.
Al acabar estuve haciendo un descanso un buen rato. Al rato me metí casi acabando en la charla de Ofelia Tejerina. En cuanto acabó todo el equipo RootedCon se ha presentado en el escenario.
Equipo RootedCon
 |
| RooteCon 2026 - Organización RootedCon al completo |
Román explicando todo el mundo que trabaja en el evento. Y cada una de las actividades y tareas a las que se dedica. Román quiere que se vea que hay muchísimo trabajo que no se ve. Absolutamente todo lo hacen ellos con la ayuda de los voluntarios. Todos y cada uno de los componentes ha ido hablando explicando cómo llegaron a la organización y sus tareas.
Dark territory III : David Menéndez y Gabs García
 |
| RootedCon 2026 - David Menéndez y Gabs García |
Han hecho un disclaimer sobre los accidentes y el humor. Empiezan explicando el por qué de los ferrocarriles y la tercera charla. Ponen en contexto qué es la señalización ASFA: entre los antiguos/legacy es el mas robusto. Explicaron su esquema y funcionamiento. Pusieron el ejemplo de poder spoofear una baliza poniendo una falsa forzando a un maquinista a actuar según la información recibida. El siguiente tipo de baliza fue ERTMS: se parecen mucho a las ASFA, con alguna salvedad. Dieron algún detalle interno: cómo se energizan, dashboard del maquinista, etc. Explicaron que este tipo de balizas están muy extendidos: Europa, Casablanca o de Marraqués a la Meca. También explicaron cifras de mediciones realizadas en sus pruebas o cómo construyeron un sniffer para ese tipo de balizas. Lo siguiente fue poner un vídeo con una demo. Concluyeron con los descubrimientos: sobre el estándar, los vendedores y los drones.
A public hacker in the age of AI: Chema Alonso
 |
| RootedCon 2026 - Chema Alonso |
Habla de las preocupaciones que tiene sobre la IA, como por ejemplo para generar miedo. Pero pueden ser cosas incluso irreales. Empezó con manipulaciones como las que movilizaron la primavera árabe, o noticias falsas (como aquella en la que alguien publicó que él mismo, Chema, si iba a Palo Alto). No se dejó el famoso escándalo de Cambridge Analytica. Tampoco se olvidó de hablar de los deepfakes. Hizo hincapié en que absolutamente todo se viraliza por las redes sociales. Lo siguiente ha sido hablar de una herramienta llamada Newsblender-LLM. La siguiente herramienta que ha enseñado ha sido 'Analizador IA". Ha enseñado unos análisis que hicieron de varios vídeos: algunos de ellos relacionados con política y entre los que se encontraban algunos falseados. Las conclusiones han estado muy relacionadas con los miedos a los que apelan los miedos para manipular a las personas según sus intereses.
Y con todas estas charlas acabé la segunda jornada del congreso, esperando a ver qué me depararía el último día.
No hay comentarios:
Publicar un comentario