Valencia 2024

Break

Lunch Break

Registro

Keynote RootedValencia 2024

Cierre RootedValencia 2024

La transformación silenciosa del SOC

El SOC, tal y como lo concebimos a día de hoy, se encuentra en el mismo punto de inflexión al que se enfrentó el mundo del desarrollo de software hace muchos años con la llegada del big data. Actualmente, los centros de operaciones de seguridad, estan tratando de innovar para ser más eficientes, y más ágiles en la respuesta frente a incidentes. Y es que, el mundo de la ciberseguridad puede aprovechar las lecciones que nos deja la evolución del desarrollo del software -que pasó de un diseño monolítico a una arquitectura basada en microservicios- y aplicar estas lecciones a la ingeniería de detección. Hablaremos entre otros conceptos de: "soc as a code" y "detection as a code" dos conceptos que marcarán un antes y un después en cómo conocemos los SOCs hoy en día.

Estrategias de ciberseguridad en pruebas software

Es una realidad que los ciberataques están aumentando enormemente en la actualidad. Por tanto, ¿cómo podemos contribuir los analistas de calidad software en este entorno de ciberseguridad? ¿Es posible prevenir determinadas situaciones cruciales sin ser especialistas en ciberseguridad? En esta sesión se analizaran las principales situaciones que pueden poner en peligro nuestro software. Para ello, será fundamental comprender los principales riesgos y vulnerabilidades a los que estarán expuestos nuestros productos a lo largo de su vida útil. Es en este punto dónde, como analistas de calidad, tenemos algo que aportar. Con toda esa información a mano, junto con la ayuda de nuestra experiencia como equipo de pruebas, se desarrollarán algunas mitigaciones para fomentar el uso de análisis de código estático para identificar vulnerabilidades, localizar ciertos conjuntos de datos para obligar a casos de uso críticos, etc. . . Dicho de otra manera, encabezar la estrategia y la cultura de ciberseguridad dentro de nuestro equipo de desarrollo software.

Dos años después, ¿ha revolucionado realmente la IA el panorma del phishing y las estafas en España?

Hace dos años, cuando el gran público descubrió las capacidades de los grandes modelos lingüísticos (LLM) basados en inteligencia artificial, algunas voces advirtieron de las consecuencias que esto tendría para las campañas de phishing. Esta preocupación se basaba en ver las posibilidades que se abrían a los delincuentes con herramientas fáciles de usar y que permitían preparar campañas de phishing mucho más sofisticadas y convincentes. Ahora que ha pasado suficiente tiempo es el momento de echar la vista atrás y analizar si realmente los delincuentes han aprovechado todas las posibilidades que ofrecían esas LLM basadas en IA para sus fines delictivos o si, por el contrario, se han mantenido fieles a las tácticas, técnicas y procedimientos que tan bien les han funcionado durante años. En esta presentación analizaremos numerosas campañas de phishing llevadas a cabo a través de diferentes vectores de ataque como correos electrónicos maliciosos o publicaciones en redes sociales, centrándonos principalmente en aquellas dirigidas a usuarios y empresas españolas. Revisaremos qué cambios han adoptado los delincuentes, qué estrategias les están dando mejores resultados, las técnicas que consideramos más efectivas y cuáles tienen más probabilidades de incrementar su uso en un futuro próximo. También repasaremos qué herramientas o servicios soportados por IA utilizan actualmente los ciberdelincuentes, dando las claves a tener en cuenta para detectar estas campañas o, al menos, mitigar su impacto. Por último, pero no menos importante, presentaremos algunos posibles escenarios a los que podríamos enfrentarnos en el futuro con campañas de phishing que aprovechen al máximo las posibilidades que ofrece la IA, y cómo entrenar a nuestros usuarios y a nuestras soluciones de seguridad para reconocerlas.

User Agent spoofing detection. Una aproximación basada en IA

Una de las primeras acciones que realiza un atacante o un Pentester durante una intrusión, es la modificación del User-Agent de las herramientas que utiliza para no disparar alertas de seguridad en los dispositivos de monitorización del objetivo. En este sentido y desde el punto de vista defensivo es interesante poder detectar también estas acciones. Para ello, mediante el uso de un algoritmo no supervisado de clustering (K-Means), se pretende poder modelar las características de comunicación de las diferentes aplicaciones que pueden estar comunicándose con Internet en una red y de esta manera poder identificar cuando una aplicación está haciéndose pasar por otra, es decir está tratando de engañar a los defensores

El Arte de desanonimizar perfiles de RRSS con técnicas OSINT (sin IA)

En esta charla de OSINT (Open Source Intelligence), exploraremos técnicas avanzadas para desanonimizar perfiles en redes sociales como Facebook, Instagram, Telegram, Twitter y TikTok. El objetivo principal es enseñar a los asistentes cómo descubrir la identidad real detrás de cuentas aparentemente anónimas utilizando (casi siempre) métodos éticos y legales de recopilación de información pública. El pivoting aplicado a redes sociales y otras técnicas tiene ayudado a vincular perfiles, trackear individuos y parar ataques de todos los tipos. En esta charla profundizaremos en la relación entre Telegram y las actividades cibercriminales, y cómo abordar la desanonimización en esta plataforma cada vez más utilizada para conductas ilícitas.

Pentesting in the field: Auditorías con Rogue Hardware en Entornos Desconectados

Auditar activos de una infraestructura presenta desafíos únicos cuando no se dispone de acceso remoto, especialmente al tratar con equipos desconectados de la red, como los sistemas OT. En esta charla, se explora cómo llevar a cabo auditorías in situ trasladándo la oficina del cliente a tu escritorio mediante el uso de. dispositivos hardware especializados.

Understand Your Attackers: The Role of Sandboxing in Threat Intelligence

In the face of a rapidly evolving threat landscape, understanding attackers and proactively mitigating threats has become imperative. This technical talk delves into the symbiotic relationship between sandboxing technologies and cyber threat intelligence (CTI), emphasizing the use of dynamic malware analysis to gain a deeper understanding of attackers and fortify organizational defenses. The presentation is structured into four key sections: 1. The Significance of Threat Intelligence: This section explores the fundamental reasons for collecting threat intelligence and its practical applications. 2. Choosing the Right Sandbox: Not all sandboxes are created equal. This section provides insights into the selection of a sandboxing solution, considering factors such as integration capabilities, avoiding vendor lock-in, and effective benchmarking. 3. The Value of Indicators of Compromise (IOCs): We discuss the critical role of IOCs in threat intelligence, comparing public and in-house sources, and how they contribute to a comprehensive understanding of threats. 4. Maximizing the Value of Threat Intelligence: The final section focuses on practical applications, demonstrating the effective utilization of threat intelligence, including the automation of threat data collection using platforms like MISP and the deployment of block rules to devices such as routers and proxy servers to prevent threats from advancing. Defending against today's vast array of malware and phishing attempts can be daunting. This session will explore practical ways to integrate sandboxing technologies into threat intelligence workflows, emphasizing a proactive approach to defense that complements existing expertise.

Vulnerabilidades en TMP y BitLocker, CTF Hardware

En esta charla analizaremos el estado actual de BitLocker, el estándar de cifrado nativo de Microsoft, explorando sus mecanismos de seguridad y la integración con el hardware. Examinaremos cómo BitLocker utiliza el Trusted Platform Module (TPM) para ofrecer una capa adicional de protección, y profundizaremos en las diferentes versiones y funcionalidades del TPM, así como la importancia de que el Trusted Computing Group (TCG) proporcione directrices claras a los fabricantes de placas base. Se abordarán posibles escenarios de ataque, como la vulnerabilidad Man-in-the-Middle (MiTM) entre BitLocker y TPM, explicando cómo y por qué este tipo de ataque es factible con una demo. Se presentará un Capture the Flag (CTF) hardware que usa el TPM 2.0, la versión aprobada para Windows 11, lo que permite experimentar con un entorno real para explorar vulnerabilidades y entender mejor las interacciones entre BitLocker y el hardware de seguridad.

La transformación silenciosa del SOC

El SOC, tal y como lo concebimos a día de hoy, se encuentra en el mismo punto de inflexión al que se enfrentó el mundo del desarrollo de software hace muchos años con la llegada del big data. Actualmente, los centros de operaciones de seguridad, estan tratando de innovar para ser más eficientes, y más ágiles en la respuesta frente a incidentes. Y es que, el mundo de la ciberseguridad puede aprovechar las lecciones que nos deja la evolución del desarrollo del software -que pasó de un diseño monolítico a una arquitectura basada en microservicios- y aplicar estas lecciones a la ingeniería de detección. Hablaremos entre otros conceptos de: "soc as a code" y "detection as a code" dos conceptos que marcarán un antes y un después en cómo conocemos los SOCs hoy en día.

Estrategias de ciberseguridad en pruebas software

Es una realidad que los ciberataques están aumentando enormemente en la actualidad. Por tanto, ¿cómo podemos contribuir los analistas de calidad software en este entorno de ciberseguridad? ¿Es posible prevenir determinadas situaciones cruciales sin ser especialistas en ciberseguridad? En esta sesión se analizaran las principales situaciones que pueden poner en peligro nuestro software. Para ello, será fundamental comprender los principales riesgos y vulnerabilidades a los que estarán expuestos nuestros productos a lo largo de su vida útil. Es en este punto dónde, como analistas de calidad, tenemos algo que aportar. Con toda esa información a mano, junto con la ayuda de nuestra experiencia como equipo de pruebas, se desarrollarán algunas mitigaciones para fomentar el uso de análisis de código estático para identificar vulnerabilidades, localizar ciertos conjuntos de datos para obligar a casos de uso críticos, etc. . . Dicho de otra manera, encabezar la estrategia y la cultura de ciberseguridad dentro de nuestro equipo de desarrollo software.

Dos años después, ¿ha revolucionado realmente la IA el panorma del phishing y las estafas en España?

Hace dos años, cuando el gran público descubrió las capacidades de los grandes modelos lingüísticos (LLM) basados en inteligencia artificial, algunas voces advirtieron de las consecuencias que esto tendría para las campañas de phishing. Esta preocupación se basaba en ver las posibilidades que se abrían a los delincuentes con herramientas fáciles de usar y que permitían preparar campañas de phishing mucho más sofisticadas y convincentes. Ahora que ha pasado suficiente tiempo es el momento de echar la vista atrás y analizar si realmente los delincuentes han aprovechado todas las posibilidades que ofrecían esas LLM basadas en IA para sus fines delictivos o si, por el contrario, se han mantenido fieles a las tácticas, técnicas y procedimientos que tan bien les han funcionado durante años. En esta presentación analizaremos numerosas campañas de phishing llevadas a cabo a través de diferentes vectores de ataque como correos electrónicos maliciosos o publicaciones en redes sociales, centrándonos principalmente en aquellas dirigidas a usuarios y empresas españolas. Revisaremos qué cambios han adoptado los delincuentes, qué estrategias les están dando mejores resultados, las técnicas que consideramos más efectivas y cuáles tienen más probabilidades de incrementar su uso en un futuro próximo. También repasaremos qué herramientas o servicios soportados por IA utilizan actualmente los ciberdelincuentes, dando las claves a tener en cuenta para detectar estas campañas o, al menos, mitigar su impacto. Por último, pero no menos importante, presentaremos algunos posibles escenarios a los que podríamos enfrentarnos en el futuro con campañas de phishing que aprovechen al máximo las posibilidades que ofrece la IA, y cómo entrenar a nuestros usuarios y a nuestras soluciones de seguridad para reconocerlas.

Pentesting in the field: Auditorías con Rogue Hardware en Entornos Desconectados

Auditar activos de una infraestructura presenta desafíos únicos cuando no se dispone de acceso remoto, especialmente al tratar con equipos desconectados de la red, como los sistemas OT. En esta charla, se explora cómo llevar a cabo auditorías in situ trasladándo la oficina del cliente a tu escritorio mediante el uso de. dispositivos hardware especializados.

Pentesting in the field: Auditorías con Rogue Hardware en Entornos Desconectados

Auditar activos de una infraestructura presenta desafíos únicos cuando no se dispone de acceso remoto, especialmente al tratar con equipos desconectados de la red, como los sistemas OT. En esta charla, se explora cómo llevar a cabo auditorías in situ trasladándo la oficina del cliente a tu escritorio mediante el uso de. dispositivos hardware especializados.

User Agent spoofing detection. Una aproximación basada en IA

Una de las primeras acciones que realiza un atacante o un Pentester durante una intrusión, es la modificación del User-Agent de las herramientas que utiliza para no disparar alertas de seguridad en los dispositivos de monitorización del objetivo. En este sentido y desde el punto de vista defensivo es interesante poder detectar también estas acciones. Para ello, mediante el uso de un algoritmo no supervisado de clustering (K-Means), se pretende poder modelar las características de comunicación de las diferentes aplicaciones que pueden estar comunicándose con Internet en una red y de esta manera poder identificar cuando una aplicación está haciéndose pasar por otra, es decir está tratando de engañar a los defensores

User Agent spoofing detection. Una aproximación basada en IA

Una de las primeras acciones que realiza un atacante o un Pentester durante una intrusión, es la modificación del User-Agent de las herramientas que utiliza para no disparar alertas de seguridad en los dispositivos de monitorización del objetivo. En este sentido y desde el punto de vista defensivo es interesante poder detectar también estas acciones. Para ello, mediante el uso de un algoritmo no supervisado de clustering (K-Means), se pretende poder modelar las características de comunicación de las diferentes aplicaciones que pueden estar comunicándose con Internet en una red y de esta manera poder identificar cuando una aplicación está haciéndose pasar por otra, es decir está tratando de engañar a los defensores

El Arte de desanonimizar perfiles de RRSS con técnicas OSINT (sin IA)

En esta charla de OSINT (Open Source Intelligence), exploraremos técnicas avanzadas para desanonimizar perfiles en redes sociales como Facebook, Instagram, Telegram, Twitter y TikTok. El objetivo principal es enseñar a los asistentes cómo descubrir la identidad real detrás de cuentas aparentemente anónimas utilizando (casi siempre) métodos éticos y legales de recopilación de información pública. El pivoting aplicado a redes sociales y otras técnicas tiene ayudado a vincular perfiles, trackear individuos y parar ataques de todos los tipos. En esta charla profundizaremos en la relación entre Telegram y las actividades cibercriminales, y cómo abordar la desanonimización en esta plataforma cada vez más utilizada para conductas ilícitas.

Understand Your Attackers: The Role of Sandboxing in Threat Intelligence

In the face of a rapidly evolving threat landscape, understanding attackers and proactively mitigating threats has become imperative. This technical talk delves into the symbiotic relationship between sandboxing technologies and cyber threat intelligence (CTI), emphasizing the use of dynamic malware analysis to gain a deeper understanding of attackers and fortify organizational defenses. The presentation is structured into four key sections: 1. The Significance of Threat Intelligence: This section explores the fundamental reasons for collecting threat intelligence and its practical applications. 2. Choosing the Right Sandbox: Not all sandboxes are created equal. This section provides insights into the selection of a sandboxing solution, considering factors such as integration capabilities, avoiding vendor lock-in, and effective benchmarking. 3. The Value of Indicators of Compromise (IOCs): We discuss the critical role of IOCs in threat intelligence, comparing public and in-house sources, and how they contribute to a comprehensive understanding of threats. 4. Maximizing the Value of Threat Intelligence: The final section focuses on practical applications, demonstrating the effective utilization of threat intelligence, including the automation of threat data collection using platforms like MISP and the deployment of block rules to devices such as routers and proxy servers to prevent threats from advancing. Defending against today's vast array of malware and phishing attempts can be daunting. This session will explore practical ways to integrate sandboxing technologies into threat intelligence workflows, emphasizing a proactive approach to defense that complements existing expertise.

Vulnerabilidades en TMP y BitLocker, CTF Hardware

En esta charla analizaremos el estado actual de BitLocker, el estándar de cifrado nativo de Microsoft, explorando sus mecanismos de seguridad y la integración con el hardware. Examinaremos cómo BitLocker utiliza el Trusted Platform Module (TPM) para ofrecer una capa adicional de protección, y profundizaremos en las diferentes versiones y funcionalidades del TPM, así como la importancia de que el Trusted Computing Group (TCG) proporcione directrices claras a los fabricantes de placas base. Se abordarán posibles escenarios de ataque, como la vulnerabilidad Man-in-the-Middle (MiTM) entre BitLocker y TPM, explicando cómo y por qué este tipo de ataque es factible con una demo. Se presentará un Capture the Flag (CTF) hardware que usa el TPM 2.0, la versión aprobada para Windows 11, lo que permite experimentar con un entorno real para explorar vulnerabilidades y entender mejor las interacciones entre BitLocker y el hardware de seguridad.