Mundo Hacker Day 2017, 26 de abril en Madrid: Preparados para el salto internacional

Mundo Hacker Day 2017

Consolidado como el evento de seguridad informática más mediático de los que se celebran en España, sus organizadores se preparan para su crecimiento con dos congresos derivados: uno destinado al ámbito académico y otro que se celebrará en Colombia.

Mundo Hacker Day 2017Ya son cuatro los años en que lleva celebrándose el congreso Mundo Hacker Day, nacido inicialmente para apoyar la difusión del programa televiso Mundo Hacker, pero que con el paso del tiempo se ha consolidado de forma autónoma, hasta el punto de que este año se ha realizado sin menciones directas al programa y sin la previsión de emisión de una nueva temporada.

El éxito profesional de los hackers que son el núcleo del proyecto,  que son demandados internacionalmente, y las dificultades de la productora GlobbTV para lograr un acuerdo que mantenga los estándares de calidad alcanzados, hace que al menos en 2017 vaya a ser muy difícil disfrutar de una nueva temporada del programa.

Mundo Hacker Day 2017Como contrapartida, la buena aceptación del congreso y la gran demanda que se ha detectado tanto en España, concretamente entre los estudiantes, y en Sudamérica dentro del sector profesional, ha propiciado el próximo nacimiento de dos eventos hermanos. Por una parte se está preparando CiberAcademy, una edición especialmente orientada al ámbito académico. Por otra, está previsto que en el mes de septiembre se celebre Mundo Hacker Edición Colombia, que contará con nada más y nada menos que el apoyo institucional del Ministerio de la Información y Comunicaciones de aquel país.

Centrándonos en la edición en Madrid, del pasado miércoles 26 de abril, indicar que se volvió a realizar en el edificio Kinépolis de la Ciudad de la Imagen de Madrid, un muy espacioso edificio, con dos de sus muchas salas dedicadas al congreso: la inmensa sala plenaria y otra sala adicional cercana (en concreto la número 18).

Según datos que proporcionó la organización en la presentación inicial del evento, se esperaba a 2800 asistentes presenciales, además de superar los 1.000 seguidores online del año pasado. Por la mañana ciertamente se notaba mucho más público que en la edición anterior, aunque también se evidenció un bajón muy acusado de asistentes durante la tarde.

Mundo Hacker Day 2017Las actividades se organizaron con un único track durante la mañana, dos tracks paralelos por la tarde, además de un campeonato tipo “Capture the flag” (CTF) y un pase de acceso restringido protagonizado por Stack Overflow.

La factura del evento estuvo a la altura de la profesionalidad habitual, con una puesta escena multimedia espectacular, con luces y sonido muy cuidado, un cumplimiento bastante razonable de los horarios y la participación de dos presentadores de continuidad (Jaime García Cantero y Desireé Rodríguez, que sustituyó a la habitual Mónica Valle).

Sesión de mañana

Mundo Hacker Day 2017En la mañana, tras el saludo de los presentadores y una muy breve intervención de Victor Aznar (director de Globb TV), el fuego lo abrió Antonio Ramos, presentador del programa televiso y director de Stack Overflow, en el que reflexionó sobre la alta dependencia de las sociedades actuales de la tecnología, lo que las hace vulnerables y las pone frente a nuevas contradicciones y dilemas que resolver. A modo de muestra, un ejemplo: ¿quién comprará los productos que los autómatas fabriquen a muy bajo precio?.

La segunda actividad fue una charla a dúo de Ricardo Maté y Antonio Ruiz, de Sophos Iberia, explicando como el uso de técnicas de cifrado puede ser de gran ayuda para cumplirlo el nuevo reglamento europeo de protección de datos (Reglamento (UE) 2016/679).

Mundo Hacker Day 2017La mesa redonda que les siguió ahondó en este tema y en ella participaron Rosa Díaz (Panda), Carlos Tortosa (ESET), Pedro Garcia (Kaspersky), Melchor Sanz (HP), Isaac Gutiérrez (Prosegur), Silvia Barrera (Policía Nacional) y Juan Navarro (HPE Software), con moderación de Carlos Alberto Saiz Peña (ISMS Forum).

En estas dos actividades se subrayó que existe mucha inquietud ante en régimen sancionador que incluye el reglamento, que afectará también a las Administraciones Públicas, que por primera vez también podrán recibir cuantiosas multas económicas por incumplimientos en materia de protección de datos.

La siguiente ponencia corrió a cargo de Julien Blanchez, de Google, en la que describió las tecnologías que utiliza su compañía para mantener seguros los datos en sus servicios de cloud, con sistemas de defensa en profundidad, que incluyen sistemas de inteligencia artificial para la detección de ataques o incidentes. Defendió que los servicios de su compañía cumplen con los requisitos legales de la Unión Europea y que los “proveedores son más parte de la solución a las necesidad de seguridad, que parte del problema”.

Mundo Hacker Day 2017El turno posterior fue para Gadi Z. Naveh, de Check Point, en el que hizo un ágil repaso por la historia del cibercrimen, hasta llegar a la situación actual, en la que es posible contratar servicios de phising, exploit o ransomware, de manera que estas técnicas para hacer el mal están al alcance de cualquier persona con malas intenciones, aunque sus conocimientos informáticos sean mínimos. Finalmente explicó las ventajas de SandBlast, un producto de su compañía que se describe como una “Zero Day protection”.

Tras un descanso, en el que la organización invitó a todos los asistentes a refrescos, café y pastas, se continuó con Carlos Gómez Gallego, de HPE Aruba, que dedicó su exposición a la seguridad en entornos móviles. Dijo algunas frases que invitaba a la reflexión, entre las que cabe destacar su recordatorio de que el iPhone se lanzo hace tan sólo 10 años y desde entonces el mundo ha cambiado y también la relación de las personas comunes con la tecnología.

Mundo Hacker Day 2017El siguiente ponente fue Agustín Muñez de S21Sec, que habló de servicios gestionados y APTs, repasando algunos ejemplos reales, señalando que las personas son el punto de entrada de la mayoría de los ataques, también que hacen falta muchos profesionales con talento en el sector y defendiendo, que ante la necesidad de afrontar diversidad de retos muy cambiantes en el tiempo, las empresas, como ya he hecho la suya, necesitan cambiar el modelo de contratación tradicional por otro adaptativo (aunque pasó por alto la merma en la calidad del empleo que eso supone y como afectará, si se extiende, a los proyectos de vida de los profesionales del sector).

La última actividad de la mañana del track oficial fue una mesa redonda sobre el rol de las comunidades en la ciberseguridad, con un participación multitudinaria sobre el escenario: Esteban Dauksis (FAQin), Miguel Ángel Cazalla (Hack & Beers), Igor Lukic (Hackron), Juan Antonio Robledo (HoneyCON), David Albela y María Pita (DefCon), Luis Jurado Cano (Moscow C0n), Juan Carlos Gutiérrez (Mundo Hacker), Rubén Ródenas (Navaja Negra), María Jose Montes Díaz (Qurtuba), Sergio Sáiz García (Sh3llCon), Adrián Ramírez Correa (SEC/ADMIN) y Ángel-Pablo Avilés (X1RedMasSegura), más Raúl Riesco Granadino (INCIBE) como moderador.

Mundo Hacker Day 2017Sin embargo fui invitado a la charla “privada” de Stack Overflow y acudí a ella con curiosidad, perdiéndome esa mesa redonda. Esta empresa está dirigida por Antonio Ramos y acoge de manera directa o indirecta la actividad profesional de muchas de las personas que forman parte de Mundo Hacker. Precisamente a explicar esta actividad profesional, que es la que realmente llena su tiempo y proporciona su sustento económico, es a lo que se dedicó esta charla.

El concepto de la actividad fue atípico, con 30 invitados en exclusividad (la mayoría ejecutivos), sentados en sillas muy cerca de las tres personas que tomaron la palabra: Yago F. Hansen, Santiago López y el propio Antonio. Además, dato simpático, invitaron a los presentes a “Coca Colas mágicas”.

Los tres explicaron en qué consiste el trabajo de su empresa, que en gran parte se corresponde con labores de “Red Team” (hacking ético extremo para detectar fallos de seguridad de manera exhaustiva).

Aunque esta presentación se puede considerar una maniobra de venta de sus servicios, lo cierto es que son tan atípicos y el grado de demanda que tiene es tan alto, que no se puede considerar una acción de marketing estándar, porque de hecho, en el turno de preguntas les planteé la cuestión de si los clientes ellos les buscaban o les llegaban y la respuesta de Antonio Ramos fue que nunca habían hecho marketing, salvo en esta ocasión y todos los clientes les encontraban a ellos, basándose en la experiencia de otros clientes o en una necesidad perentoria que les había surgido, que principalmente habían buscado explicar cual era su actividad profesional “real”, porque muchos se pensaban que vivían exclusivamente del programa de televisión y no era así.

Por último destacar una frase de Yago, cuando respondía a uno de los asistentes que preguntó sobre la existencia de algún código deontológico para los hackers: “La mentalidad de un hacker, es una mentalidad artística de romper un sistema”.

Sesión de tarde

Mundo Hacker Day 2017En la sesión de tarde se realizaron dos tracks paralelos de actividades y ante la imposibilidad de acudir a ambos, opté por el que se desarrollaría en la sala principal, que me pareció con una programación más atractiva.

La primera actividad de la tarde corrió a cargo de David Marrugán, que explicó como la tecnología para el espionaje se había abaratado y dispositivos que hace unas décadas sólo estaban a alcance de servicios secretos, hoy en día están al alcance de cualquier persona y a muy bajo precio. Mostró las posibilidades de diversos aparatos, algunos de muy poco euros, y también de las técnicas y dispositivos que se utilizan para rastrear y tener la seguridad de que no existen micrófonos u otros elementos espiándonos. Al final dejó un mensaje: “Cuidado, el espionaje no es un juego”.

Mundo Hacker Day 2017El siguiente participante fue Carlos Loureiro, que se centró en la realización de análisis de la deep web y como era posible rastrear IPs y usuarios. Algo nada sencillo, pero posible, por lo que los ciberdelicuentes que la usan no pueden estar tranquilos. Pero tampoco los ciudadanos que las emplean en regímenes dictatoriales para escapar de la censura y la represión.

Después apareció en el escenario Alberto Cartier, con un taller muy atípico, alejado de la seguridad, en el que mostró técnicas de memorización, con ejemplos prácticos que resultaron más que sorprendentes. Tuvo ocasión de describir cómo recordar palabras en nuevos idiomas y como recordar largas secuencias de números, pero dedicó la mayoría del tiempo a poner en práctica la memorización de listas de palabras inconexas, elegidas por el público. Una actividad muy curiosa y que descubre un campo en el que profundizar a quien necesite utilizar intensamente la memoria.

Yago F. Hansen (Mundo Hacker y Stack Overflow) fue el siguiente ponente, exponiendo técnicas de filtración de información utilizando debilidades en el funcionamiento de protocolos WIFI. Las estrategias que expuso son realmente difíciles de detectar, basándose en el empleo de paquetes 802.13 mal conformados, que los elementos estándar rechazan, pero que pueden ser recibidos por elementos configurados para tal propósito.

Mundo Hacker Day 2017Después participaron Pedro Candel (Deloitte) y Carlos Barberto (Mundo Hacker y Micro Focus), relatando el segundo el uso de Beef Project para asaltar dispositivos móviles y el primero como romper Microsoft Edge. Nociones interesantes e inquietantes.

Deepak Daswani volvió a uno de sus temas estrella, Whatsapp, con siete técnicas distintas para espiar su contenido: shoulder fishing (fisgar), hackear el correo (muchos usuarios tienen habilitados backups de los mensajes al correo), clonar SIM y registrar Whatsapp en otro dispositivo, ataques de señalización (SS7), usando troyanos o keyloggers en Whataspp de escritorio, emplearlos en el dispositivo móvil y realizar ataques dirigidos adaptados a la condiciones específicas de una víctima.

Mundo Hacker Day 2017Simon Roses (Vulnex), hizo un repaso a los distintos tipos de puertas traseras que inundan la tecnología que usamos, que afectan a algoritmos, dispositivos y aplicaciones. Muchas de ellas introducidas por los fabricantes a petición de sus gobiernos, de manera que en los dispositivos móviles, por ejemplo, es posible que se hayan introducido puertas traseras en toda la cadena de suministros, desde el fabricante de los chips, al proveedor de telecomunicaciones que hace la venta final.

Javier Espejo (Raipson Seguridad y Sistemas) explicó lo que es un Red Team y las dificultades a las que se enfrenta para que su trabajo sea comprendido por los equipos informáticos internos de las organizaciones, que muchas veces se atemorizan ante la posibilidad de ver cuestionado su trabajo y perder su empleo, en lugar de verlo como oportunidades para mejorar las instalaciones y aprender nuevos hábitos profesionales.

Mundo Hacker Day 2017Lorenzo Martínez (Securizarme) ofreció un repaso a la historia de las APTs (Amenazas Persistentes Avanzadas), con descripciones de hackeos memorables (de Aurora a Shadow Brokers, pasando por Stuxnet, Duqu, Careto o Lazarus), explicó que detrás de ellas hay hacktivistas, mafias y gobiernos. Y ofreció unos consejos finales, entre los que destacaban algunos sacrificios importantes a hacer, como dejar de usar y eliminar de los equipos Internet Explorer, Adobe Flash y Java.

Gabriel Lazo destinó su turno a hablar de ciberguerra, exponiendo que la OTAN ha reconocido al ciberespacio como un nuevo campo militar, junto a los tradicionales de tierra, mar y aire, además del espacio que se reconoció hace ya unos años. Esto significa que las acciones malintencionadas entre naciones en el campo del ciberespacio pueden ser consideradas acciones de guerra y significar una respuesta en cualquiera de los otros cuatro campos.

Mundo Hacker Day 2017También habló de la asimetría de la seguridad, siempre es más sencillo atacar que defender, y relató algunos actos recientes de ciberguerra.

Finalmente el evento se cerró con la participación de Enrique Serrano (Mundo Hacker y Cazadores de Trols), con una charla sobre el peligro que representan las extensiones de apps y como estas pueden ser usadas para realizar ataques bancarios.

Ya sólo quedó tiempo para una distendida fiesta, con música y algunas bebidas, en la que se pudo hablar de tú a tú con los ponentes y todos los miembros del equipo de Mundo Hacker.

Balance y conclusiones

Asistir a Mundo Hacker Day es una buena forma de esta al tanto de las novedades en el campo de la ciberseguridad, escuchando a ponentes interesantes y descubriendo ámbitos y técnicas en las que indagar con más tiempo y detenimiento a posteriori.

Tras cuatro años, y si has asistido a todas las ediciones, se ha perdido el factor sorpresa, pero se ha logrado mantener el nivel y el interés.

La jornada resulta extremadamente intensa y agotadora, arranca a las 8 de la mañana y termina a las 9 de la noche, más el añadido de la fiesta, pero bien merece la pena asistir si trabajas en el sector de la ciberseguridad o tienes un especial interés por él.

Fotos por CantabriaTIC, salvo foto 11 (Carlos Barbero y Pedro Candel) que aparece por cortesía de Mundo Hacker.

También puedes leer el reportaje de la edición 2016 de Mundo Hacker Day: “Mundo Hacker Day 2016, 27 de abril en Madrid: Más de 2.000 personas se dieron cita en un interesante y entretenido evento sobre ciberseguridad”

Web oficial de Mundo Hacker Day: www.mundohackerday.com

Post By Florián Manuel Pérez Sánchez (59 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

,

One Response to “Mundo Hacker Day 2017, 26 de abril en Madrid: Preparados para el salto internacional”