RootedCon 2026: crónica del tercer día

 Poco después de llegar me puse a jugar un poco con el lockpicking. Estuve intentándolo un ratillo y con las instrucciones de otro asistente, en poco tiempo... ¡Conseguí abrir un candado!

Yo, en RootedCon 2026, con el candado que he abierto

Verificación de edad descentralizada: Juan Hernández y Cristóbal Gazquez

RootedCon 2026 - Juan Hernández y Cristóbal Gazquez

Ha empezado presentándose. Es un creador de contenido y forma parte de una asociación de creadores. La verdad es que esta charla se me hizo un poco cuesta arriba. Habló de "la Ley de Influencers". Cualquiera en la sala puede ser un creador de contenido. También la Unión de Creadores forma parte de otra asociación internacional. La charla se fundamentó en una alternativa que ayude mejor a la regulación que se está haciendo actualmente. Después se incorporó a la ponencia Cristóbal Gazquez. Empezó a hablar de la historia de las redes sociales y cómo pasaron de movilizar a la población como revolución a convertirse en temas políticos. Seguió hablando de chat control y cómo ha evolucionado sus planteamientos. De ahí pasó a la verificación de edad. Habló de la Orden de Alejamiento Digital. También continuó con el anonimato en la red y la verificación de edad. Lo siguiente fue explicar alternativas como una cartera de verificación fría sin que haya nadie que lo gestione garantizado el anonimato. La adquisición de redes sociales por parte de empresas grandes (por ejemplo, en bolsa) fue porque se dieron cuenta que las polémicas y la polarización dan dinero. Conseguir polarizar es lo que hacen algunos creadores de contenido. La actual constitución española está desactualizada. Ahora hay que regular la máquina: buscar una constitución digital. En todo el periodo desde las redes sociales hemos perdido derechos. Ha llegado a un punto en el que ha pedido ayuda a la Comunidad para que participe a hacer una alternativa y compartir conocimiento. Hay que poner límite al monopolio digital. Bastante más adelante ha hablado de LaLiga, INCIBE, etc. 

Verificación de edad en linea...: Grego González y Alonso Rodríguez 

RootedCon 2026 - Grego González y Alonso Rodríguez

Lo primero que hicieron fue presentarse y explicar en qué áreas del proyecto han participado además de acreditar al resto del equipo involucrado. Siguieron con la línea de investigación basada en tres campos. Lo siguiente fue explicar sus motivaciones, la procedencia de otro proyecto, llamado Rayuela, que la edad de acceso a la pornografía se ha adelantado a los 8 años o los problemas que conlleva el acceso a la tecnología de los menores. Por lo que el objetivo del proyecto que estaban presentando era demostrar la edad real sin desvelar la identidad. Así llegaron a un listado de requisitos para alcanzar ese objetivo: privacidad, anonimato y usabilidad. Lo que hacen es usar una clave criptográfica y una verificación con certificado de confianza o número de teléfono. Nos enseñaron varios diagramas de flujo que muestran cómo funciona. Lo siguiente fue reproducir en un video alguna demo. Se certifica la edad tanto desde un número de teléfono como certificado digital. Sí explicaron el problema de los teléfonos de menores asociados a los padres o los menores emancipados a los cuales no les funcionaria. Terminó explicando cómo se le envía al proveedor de servicios el resultado, con las conclusiones y qué problemas tiene con las posibles soluciones. 

Cuando hubieron terminado me fui a hacer un descanso.

Resultados Hacker night: Omar Benbouazza y Lucas Varela 

RootedCon 2026 - Omar Benbouazza y Lucas Varela

Cuentan cómo empezaron a hacer los programas de bounties y cómo lo incorporaron en el evento. Contaron cómo lo vivieron: hasta las cinco de la mañana seguían dándolo todo. Explicaron cómo funciona un evento como este: las empresas saben que habrá discreción en los ataques que les van a hacer, y que el acceso que dan no se da así como así. Las empresas validan que lo que se encuentra está bien y dan premios muy golosos. Presentaron al representante del patrocinador que dio unas palabras y mostró el ranking y los premios económicos entregados. 

Canciones, hackers y otras pasiones del hacking: David Fidalgo y Jorge Martínez 

RootedCon 2026 - David Fidalgo y Jorge Martínez

Lo primero fue presentarse. Ellos hicieron la BSO de este año. Siguieron contando cómo hace la música, prescindiendo de ordenador: usando muchos cacharrines. Pero para la de RootedCon usó un aparatito muy pequeño: M8. Describió cómo está construido y cómo funciona.  Como es un tracker "la música no se toca, se programa" en hexadecimal. Con esa introducción describió cómo se trabaja y compone todo. Continuó hablando de la persona que lo ha fabricado y la comunidad que colabora con él y sus aportaciones. Explicó que como no hay stock es difícil de comprar, pero también están publicadas las instrucciones para montarlo. Mostró un vídeo de la composición grabada en directo. Lo siguiente fue hablar de los paradigmas del hacking musical. Los aparatos que ayudan "son ordenadores" pero sin sistema operativo. Lo siguiente fue enumerar las cajas de ritmos y los sintetizadores. Contó qué pasó con la Roland TB-303. Las conclusiones: ser hacker no es siempre lanzar exploits, es tener pensamiento lateral.

Cazadores de mitos en la DGT 3.0: Pedro Candel aka s4ur0n

RooteCon 2026 - Pedro Candel aka s4ur0n

Costó mucho empezar la presentación por problemas técnicos. "¿Algún informático en la sala?". Estuvo contando cosas de carrerilla por el tiempo perdido. Explicó que la plataforma DGT 3.0. explicó cómo pedir acceso a esa plataforma y los datos públicos que emite la DGT. Por ejemplo, a los conos conectados. Existe una conexión a una cola con MQTT.  Analizó varios dominios encontrados y sus certificados digitales. También explicó varios aspectos legislativos, leyes, etc. Después describió los protocolos y mensajes que dicen que tienen que tener. Los datos no van directamente a la DGT. Posteriormente mostró el modelo de los datos que se envían, todo por UDP. No envía datos personales ni matrícula o similares. Continuó con el API rest. Lo siguiente fue explicar el funcionamiento, incluyendo los componentes hardware y el número de fabricantes. Mostró fotos de balizas destripadas con las placas PCB serigrafiadas y sus componentes. Entre otras cosas explicó el arranque en modo debug mostrando los datos en texto plano. Presentó varios ataques. Lo siguiente fue contar un poco de reversing. La exploitation de los datos recopilados, en XML. Por ejemplo: el mapa de balizas. Hizo una demo accediendo en directo a la web que devuelve el XML. Después enseñó un script para recuper datos y que puede generar un mapa  con los valores encontrados. También puede poner una baliza falsa donde quiera. Hizo demo de cómo saldría pero sin emitirla. 

Y con esto terminamos la última ponencia de RootedCon 2026. Digo lo mismo que todos los años: Espero poder asistir el año que viene a la siguiente RootedCon. ¡Os veo allí!

RootedCon 2026: crónica del segundo día

En esta jornada llegué pronto como de costumbre. Estuve paseando un rato por los estands hasta que llegaron los chicos de Accenture, que tenían unos candados para hacer lockpicking y estuve más de 20 minutos intentándolo sin éxito. Lo dejé pero con la idea de volver más adelante. Ese momento nunca llegó.

Hacking bluetooth at scale: Antonio Vazquez

RootedCon 2026 - Antonio Vazquez

Antonio se disculpó por Miguel Tarascó que no pudo estar. Empezó la charla con un vídeo tipo anuncio muy chulo para dar pie a la introducción. Habló de las anteriores investigaciones, entre las que está BSAM, BlueSpy y USBBluetooth con ESP32. Lo siguiente fue un repaso de BSAM y las posibles actualizaciones que pudiera necesitar. Ha hablado de un ataque muy reciente, BLERP y de cómo se hubiera aplicado BSAM a este ataque. Ha seguido poniendo otros ejemplos. Lo siguiente ha sido hablar de automatizar el análisis en algunos controles, por lo que han presentado una herramienta gratuita, BSAM checker. Tiene capacidad para dar cuatro resultados por cada control: vulnerable, no vulnerable, no concluyente y fallo. Después ha hecho algunas demos. Entre otros ataques mostrados se encontraban unos auriculares Samsung y una mochila con una pantalla del tamaño de una tablet (como mínimo). Los auriculares Samsung permiten que el atacante grabe el audio que está sonando en ellos. Otro aparato fue una mochila con BT que la analizó tanto desde el lado de bluetooth como de su aplicación: servicios vulnerables, una APP de móvil con permisos interminables abriendo una webview. Continuó haciendo más demos. Sí avisó que no todos los controles se pueden automatizar. Ha terminado con sus conclusiones. 

Cuando terminó esta charla me cambié a otra sala para la siguiente ponencia.

BaconHash: Pablo Caro Martin

RootedCon 2026 - Pablo Caro Martin

Empezó presentándose. Siguió contando cómo hace tiempo perdió una hora para encontrar una contraseña tan básica como "password". Por lo que decidió buscar una solución: guardar un montón de hashes muy fácilmente accesibles. Explicó las distintas opciones que barajó después de comprar 2 TBs  de disco en Amazon y posteriormente tenía que ver cómo guardar los datos. Nos contó las diversas tecnologías que barajó, tales como big data con Elastic Search, SQLite, etc. Pero a cada una de ellas le encontró un problema distinto. Siguió explicando qué son las lookup tables y las diferencias con las rainbow tables: el procesamiento es mucho más rápido en lookup pero ocupan mucho más que las rainbow. Creó un sistema de ficheros y explicó que cada carpeta tiene el nombre del primer byte del hash y las carpetas hijas el siguiente byte. Después fue contando cómo fue recortando los datos en los ficheros: eliminando los separadores (":") del hash vs valor de contraseña, el nombre de las carpetas... Y así fue explicando más formas de optimizar el almacenamiento de las correspondencias entre hash y contraseña. Lo siguiente fue darnos los números de sus análisis: consiguió encontrar 126 mil millones de contraseñas en base a usar máscaras tal y como se usan en hashcat. Si se sabe cuentas contraseñas se pueden encontrar con hashcat con una máscara básica y específica haciendo cálculos de combinatoria; y por dónde debería de caer la que corresponde a una contraseña... Se puede acabar calculando el índice al que le correspondería esa contraseña en el sistema que ha creado. A partir de este punto explicó cómo se puede encontrar el valor asociado a un hash especifico haciendo búsquedas por aproximación. Y llegado el momento incluso a buscar de uno en uno. Después ha comparado la "base de datos" con otras como HashKiller, Hashmob.net, ntlm.pw, BinSec o Crackstation. Los ha comparado uno a uno según cuántos hashes tienen. Ha hecho una demo en directo de la herramienta disponible en una web: baconhash.pw

Aquí es donde hice un minidescanso. 

Influencers bajo ataque: Pablo F. Iglesias

RootedCon 2026 - Pablo F. Iglesias

A la charla de Pablo llegué tarde. Estaba hablando de estafas relacionadas con influencers y famosos. Estaba casi empezando a explicar las reglas que se deberían de usar para identificar si algo es una posible estafa: quién (vigilar dominio oficial, typo squatting, etc), qué (quitar desacortadores, virus total, etc) y contexto (oferta desproporcionada, urgencia irreal...). Continuó con las medidas de protección. 

Una vez más me cambié de sala para ver otra charla más.

Attacking without attacking: Pablo González

RootedCon 2026 - Pablo González

Va a hablar de "living it the land" (LoTL) . Empezó hablando de un trabajo o proyecto que hizo allá por 2015. Y siguió contando otros proyectos realizados desde entonces. LoTL es intentar hacer que el comportamiento se parezca a un comportamiento legítimo. No es solo usar técnicas fileless. Ha presentado varios proyectos: lolbas-lolbons, loldrivers, loSaaS, gtfobins, lotc (este es "in the cloud"). Después ha contando los diferentes niveles que se le pueden asignar: aislado, funcional, estratégico. Más adelante ha hecho explicado las diferentes capacidades que hacen falta. Lo siguiente que de lo que habló fue de diversos incidentes desde 2010 relacionados con este tipo de ataques y cómo han ido evolucionando. Acto seguido hizo una demo. Entre otras cosas, haciendo un ataque de descubriento con comandos básicos como arp, ping, etc. Cuando terminó la demo, a través de un comando y parámetros,  powershell mediante, ha empezado a explicar cómo se hace la detección. Lo siguiente fue otra demo en la que se usa Machine Learning. Terminó con las conclusiones finales. 

Cuando Pablo acabó se acercaba la hora de comer y me fui con Julián a alguno de los restaurantes de la zona. Vimos que era complicado quedarnos a la charla de Juan Antonio Calles.

Copilot en la sombra: Mar Llambi

RootedCon 2026 - Mar Llambi

Empezó diciendo que "todo Copilot es un SaaS" y que todos tenemos low code en nuestra infraestructura. También que casi todos los usuarios son de negocio y no técnicos. Describió diferentes tipos de incidentes en la power platform. Insiste en no que no hay que confiar en ésta. Ha insistido que hace falta saber de cuatro elementos: Copilot studio, power automate, conectores y Entra ID. Justo después enumeró las tres entiendes involucradas en estos sistemas: usuario principal, conector/flow y agente. Lo siguiente fue mostrar unos service principal en Entra ID que se habían creado solos. Más adelante mostró un ejemplo de una exfiltración de Copilot a MSGraph y de cómo se hace. Nos enseñó la primera idea que tuvo sobre este problema (pero se le adelantaron desde grupo en publicarlo) hasta la vuelta de tuerca que pudo darle: en vez de hacer que el bot pida los permisos para actuar en nombre del usuario pudo ocultar qué permisos daría para conseguir robar su token sin informar al usuario. Lo que significa que el conector tiene todo lo necesario para actuar como ese usuario. Y que el atacante pueda llevarse el token con un web hook site. El token no se puede usar directamente con el conector, es necesario aprovecharlo de otra forma para impersonar al usuario. No se obliga a que el token esté usado por la misma aplicación que lo generó. Fue terminando con las posibles mitigaciones a este problema. 

El spam telefónico no muere, solo evoluciona: José Luis Verdeguer aka Pepelux

RootedCon 2026 - José Luis Verdeguer aka Pepelux

Se presentó nada más empezar. Lo siguiente fue hablar de estadísticas de spam en distintos países. Continuó con la historia de la telefonía: RTB (Red Telefónica Básica), la migración a la telefonía digital y la desaparición del monopolio de Telefónica o la unificación de la numeración (todos tenemos que poner los prefijos). Habló de la aparición de los dialers predictivos. La única forma de envitar el spam era descolgar el teléfono. Siguió con la aparición de las primeras leyes de protección de los usuarios. No se dejó el surgir de los call centre y la VoIP,  los robocall, el CLI spoofing, etc. Continuó con las técnicas como buscar en ListaSpam o similares. Además prosiguió hablando de las leyes que salieron en 2009 como segundo intento para parar el spam. Tampoco se dejó las leyes de 2014 para combatir los robocall. Saltó a 2018 para contar lo que sucedió con la salida del RGPD. Lo siguiente fue la ley de 2022. Pero a pesar de estas leyes se siguen recibiendo. Año 2025: ley que obliga a bloquear CLI oculto o con CLI español desde el extranjero. Total 25 años contra el spam telefónico. Por lo que hay que mirar qué se puede hacer. Ha ido contando qué se hace para ser operador en España y así poder vender números. Luego ha explicado las diversas formas en las que hacen spam: rutas grises, SIM boxes (sus diferentes tipos), vulneración de centralitas PBX mal configuradas, etc. Continuó dando ideas sobre cómo seguir combatiendo el spam. Más regulaciones y controles por parte de la CNMV o el las firmas digitales del tipo stir/shaken. 

Al acabar estuve haciendo un descanso un buen rato. Al rato me metí casi acabando en la charla de Ofelia Tejerina. En cuanto acabó todo el equipo RootedCon se ha presentado en el escenario.

Equipo RootedCon

RooteCon 2026 - Organización RootedCon al completo

Román explicando todo el mundo que trabaja en el evento. Y cada una de las actividades y tareas a las que se dedica. Román quiere que se vea que hay muchísimo trabajo que no se ve. Absolutamente todo lo hacen ellos con la ayuda de los voluntarios. Todos y cada uno de los componentes ha ido hablando explicando cómo llegaron a la organización y sus tareas.

Dark territory III : David Menéndez y Gabs García 

RootedCon 2026 - David Menéndez y Gabs García

Han hecho un disclaimer sobre los accidentes y el humor. Empiezan explicando el por qué de los ferrocarriles y la tercera charla. Ponen en contexto qué es la señalización ASFA: entre los antiguos/legacy es el mas robusto. Explicaron su esquema y funcionamiento. Pusieron el ejemplo de poder spoofear una baliza poniendo una falsa forzando a un maquinista a actuar según la información recibida. El siguiente tipo de baliza fue ERTMS: se parecen mucho a las ASFA, con alguna salvedad. Dieron algún detalle interno: cómo se energizan, dashboard del maquinista, etc. Explicaron que este tipo de balizas están muy extendidos: Europa, Casablanca o de Marraqués a la Meca. También explicaron cifras de mediciones realizadas en sus pruebas o cómo construyeron un sniffer para ese tipo de balizas. Lo siguiente fue poner un vídeo con una demo. Concluyeron con los descubrimientos: sobre el estándar, los vendedores y los drones. 

A public hacker in the age of AI: Chema Alonso 

RootedCon 2026 - Chema Alonso

Habla de las preocupaciones que tiene sobre la IA, como por ejemplo para generar miedo. Pero pueden ser cosas incluso irreales. Empezó con manipulaciones como las que movilizaron la primavera árabe, o noticias falsas (como aquella en la que alguien publicó que él mismo, Chema, si iba a Palo Alto). No se dejó el famoso escándalo de Cambridge Analytica. Tampoco se olvidó de hablar de los deepfakes. Hizo hincapié en que absolutamente todo se viraliza por las redes sociales. Lo siguiente ha sido hablar de una herramienta llamada Newsblender-LLM. La siguiente herramienta que ha enseñado ha sido 'Analizador IA". Ha enseñado unos análisis que hicieron de varios vídeos: algunos de ellos relacionados con política y entre los que se encontraban algunos falseados. Las conclusiones han estado muy relacionadas con los miedos a los que apelan los miedos para manipular a las personas según sus intereses.

Y con todas estas charlas acabé la segunda jornada del congreso, esperando a ver qué me depararía el último día.

RootedCon 2026: crónica del primer día

Un año más en RootedCon. Como de costumbre llegué muy pronto y... ¡ ya había gente esperando! También como de costumbre se me echó el tiempo encima para decidir las charlas. Cada año hay más salas con muchas más charlas. Por lo que decidir se hace mucho más complicado. Incluso decidir los descansos, importantes para poder mantener la atención como es debido.

A lo largo de la mañana conocí a Jose Luís y a Quetxacoatl (Quetza, The Arki). 

Keynote: Román Ramirez

RootedCon 2026 - Román Ramirez

Nos han mostrado un vídeo muy chulo relacionado con pacman, el tema en el que se basa RootedCon este año, y según ha explicado Román, se ha hecho con IA. Ha explicado la cantidad de tracks que se han organizado y la misión y visión de la organización. No se ha olvidado de los colaboradores ni de los patrocinadores y ha contado las distintas actividades que hay preparadas además de las charlas. Ha continuado hablando del asunto de LaLiga. Por último ha entregado el Premio Raúl Jover 2026 que ha sido para Patrick Breyer, el cual ha dado las gracias y ha empezado su charla.

Insiste the Machine: Patrick Breyer 

RootedCon 2026 - Patrick Breyer

Nos hizo un speech sobre libertad digital, control digital de lo que vemos y podemos ver en Internet. Quién está moviendo realmente las leyes relacionadas con estos controles y el hecho de que los políticos no saben qué están votando realmente. Ha hablado del control en el cifrado de las comunicaciones. Y las empresas extranjeras que consiguen manipular el sistema para hacer leyes que les benefician. También ha hablado del activismo con los políticos europeos para evitar que se hagan leyes como "chat control" que puedan afectar a la privacidad de los ciudadanos. Se están atacando nuestros derechos digitales. Si hay que justificar la edad, habrá que enseñar tu propia identidad. Se necesita que los hackers hagan las leyes, no reaccionar a ellas. 

Al finalizar Patrik, Román ha presentado a todos a Quenza, el cual ha venido de México con mucha ilusión para estar en RootedCon.

Troyanuzando Ableton: Jorge Martínez 

RootedCon 2026 - Jorge Martínez

No obstante no me quedé y fui a hacer un descanso para poder tirar el resto de charlas. Aún así, antes de irme empezó a hablar sobre dispositivos que permiten a los asistentes a eventos cambiar las luces, el ritmo de la música y demás. Justo empezó a hablar del funcionamiento del programa Ableton cuando pensé que era mejor descansar un poco.

Stranger Internet of Things: Angel Perez y Rafael José Núñez 

RootedCon 2026 - Ángel Pérez y Rafael José Núñez

Esta fue la charla de después del descanso. Hicieron una Introducción y se presentaron. Empezaron con su motivación por la investigación que les llevó a hacerla. Entre otras estaba la ley de la ciberresilencia, categorizando los distintos tipos de dispositivos. Siguieron con algunos fundamentos teóricos. Lo normal es encontrase microcontroladores en los IoTs. Después están los tipos de interfaces de comunicación, como las UARTs. SPIs, I2Cs, JTAG, etc... Para cada uno de ellos explicaron los pines más importantes. Después siguieron con las herramientas con las que trabajaron. Soldadora, multímetro, etc... A partir de ahí estuvieron contando cada uno de los distintos dispositivos que analizaron. En ocasiones no fueron capaces de adquirir una shell. Usaron la herramienta binwalk para estudiar el firmware descargado. Entre otras cosas vieron el sistema de ficheros squashfs. El siguiente aparato que explicaron fue una cámara IP básica. Extrajeron el firmware de igual forma. Accedieron al boot de la cámara pudiendo tomar control de la consola del bootloader (no del sistema operativo). Con una manipulación consiguieron acceder a otra consola, la del sistema operativo, primero en modo read-only y después con el usuario root en modo escritura. Buscaban manipular el firmware, pero sin mucho éxito. Después siguieron con una cerradura inteligente de interior. Que los pines estén identificados es una mala práctica porque ayuda a hacer los ataques pertinentes. Explicaron algunos problemas que tuvieron para acceder a los datos. Analizaron su protocolo y le hicieron spoofing del valor de la batería. Consiguieron inyectar datos y abrir la cerradura. Lo que no consiguieron hacer fue dumpear el firmware. El siguiente IoT fue otra cerradura de interior. También tuvieron dificultades para acceder al firmware, a la consola boot, etc. Así, ya explicaron cómo decompilaron su firmware. Continuaron con otra cerradura más, esta vez para una entrada principal, y mucho más cara (según indicaron). Volvieron a explicar la arquitectura y las protecciones que tiene para impedir acceder al firmware y cómo pudieron saltársela. De esta forma ya pudieron copiar el firmware y acceder como si fueran un desarrollador. Acabaron con las conclusiones. 

Demerzel Project: Robot UGV.  Miguel Ángel de Castro 

RootedCon 2026 - Miguel Ángel de Castro

Presentó el robot que programó enteramente con IA. Explicó qué es este proyecto: cómo funciona, tanto el hardware como el software. Resumió de una forma rápida los componentes electrónicos que tiene. Y cómo se comporta según qué tipo de conexiones están activas: local mode, LAN e Internet. Además de operar según la conexión es capaz de identificar su entorno, emociones de las personas, etc. Lo siguiente fue contarnos qué software y librerías forman parte del sistema. No se dejó qué modelos de IA utilizó para cada una de las necesidades. Siguió con las muchas capacidades que tiene. Continuó con el proceso para hacer este proyecto. Lo siguiente fue hacer hincapié en los riesgos de la IA: las palabras son las nuevas armas. Acabó con las ideas de evolución y sus reflexiones, además de hacer una demo en directo. 

Tras esta charla me fui a comer a un foodtrack y a descansar un buen rato. También me tomé un té y una rica tarta de manzana.

El fantasma de la infraestructura: Sergio García

RootedCon 2026 - Sergio García García

Primero se presentó. Continuó en cómo empezó su investigación. Primero explicó qué son las Bedrock API keys y sus tipos: long-term y short-term. Los de short duran máximo 12 horas. Y se crean desde cliente (el navegador). Las de long-term pueden durar entre un día y nunca caducar. Estas últimas generan un patrón que codifica en base64 y además crea un usuario casi de la nada. Se pueden ver las características del usuario junto a su API key. Antes de seguir hizo un resumen de todo lo explicado anteriormente. Continuó enumerando las políticas que Amazon adjuntó, entre otras la capacidad de borrar objetos o la de listar y mapear datos críticos. Si alguien crea access keys estas se podrán usar. Los tokens de tipo short-term codificados en base64 están firmados con SigV4. Siguió explicando lo mismo pero con los tokens de tipo long-term. Mostró una demo en la que mostró decodificadas decodificó un token de cada tipo. A partir de ahí mostró los escenarios de ataque. Refirió a que los usuarios siguen persistiendo a pesar de que la clave esté caducada. Habló del LLMJACKING. Ya aquí siguió con formas de detectar posibles problemas, cómo evitar que se produzcan y cómo trabajar muy bien con SCPS. Prosiguió con contramedidas y presentó una herramienta open-source llamada bedrock-keys-security. Terminó con sus conclusiones. 

Al acabar me volví a la sala grande. 

Houston, we have a vuln! Jesús Muñoz, David Bernal y Gabriel de la Morena

RootedCon 2026 - Jesús Muñoz, David Bernal y Gabriel de la Morena

Jesús Muñoz Martínez y David Bernal Agüera dieron esta ponencia. Empezaron por presentarse y hablando de la comercialización del acceso al espacio: con más satélites y operadores se amplía la superficie de ataque. Ejemplo: MiTM. Ha hablado de órbitas o áreas. Los "satélites" tienen tres segmentos: estación tierra/, fabricante, usuario (gateway y dispositivos) y el espacio. Nos ha hablado de Mitre. También han resumido anteriores ataques a infraestructuras satelitales. Han explicado cómo han hecho el pentest en el segmento de misión de un satélite. Han reconocido que como norma general estaba bastante securizado si bien encontraron ciertas vulnerabilidades. Han mostrado un vídeo sobre este análisis. Lo siguiente fue pasar al segmento de usuario. Han explicado varios análisis para este segmento, como por ejemplo, uno relacionado con un coche. Después han seguido con una demo para descargar un firmware, que han analizado con Hydra. 

Al terminar la charla me fui a hablar con David (EsferaRed) y Pablo F. Iglesias.

Charla sin nombre porque la web no funcionaba: Kike Fontán y Pablo García 

RootedCon 2026 - Kike Fontán y Pablo García

Kike Fontán se presentó. Pero Pablo García no pudo venir. Empezó explicando que la charla iba sobre una metodología que tienen en NTT para hacer las pruebas de DoS. La disponibilidad no es algo que se le dé mucha importancia en las auditorías de seguridad. Utilizó tres términos importantes: abstracción, entorno y la observabilidad. Todas las diapositivas estuvieron hechas como viñetas de TBOs (sí! comics está también bien!). Puso como ejemplo la cantidad de clientes que acaban degradando un servicio en un bar. Con su experiencia han creado la una guía, que aún está en desarrollo. Entre otros puntos que explicó está el modelado de amenazas. Después fue contando uno a uno los controles. Alguno de los ataques está relacionado en buscar el equilibrio entre enviar muchos paquetes más o menos rápido y otros más lentos pero a su vez bastante más grandes. Más adelante ha hablado de protocolos y los posibles de ampliación o reflexión. No se olvidó de los ataques de paquete mal formados. Sin dejarse aquellos en los que fuerzan bucles infinitos. Después siguió con la categoría de los recursos: memoria, CPU, etc. Otra categoría de la que habló fue la física, como el jamming y las interferencias radioeléctricas. 

Después de esta charla decidí que por mi parte podía cerrar la primera jornada de RootedCon 2026.