Sh3llcon 2017: Evolucionar para crecer

Sh3llcon 2017

En la tercera edición del congreso de seguridad que se celebra en la capital cántabra, la organización apostó por introducir importantes cambios en la propuesta, que se han saldado con un resultado positivo.

Sh3llcon 2017Este fin de semana, entre el jueves 26 y el sábado 28 de enero de 2017, se ha celebrado el tercer congreso de seguridad informática Sh3llcon, un evento que en sus dos primeros años ganó rápidamente un merecido prestigio dentro del circuito de encuentros de ciberseguridad que se celebran en España, gracias al interés de las ponencias ofrecidas y a la cuidada organización que las acompañó.

En esta ocasión los promotores han sido sensibles a las sugerencias recibidas en los años anteriores por parte de los asistentes, entre las que destacaba aumentar el contenido práctico. Así, si en Sh3llcon 2016 ya hubo dos talleres técnicos de dos horas de duración, este año se ha potenciado esta parte práctica con seis talleres (cuatro de dos horas y dos de cuatro horas), para los que se invitó a los asistentes a acudir con sus propios equipos y entornos de pruebas pre-configurados. Esto hizo posible aprender de una manera más directa, didáctica y divertida.

Además, el conjunto de contenidos en esta ocasión se ha estructurado en tres bloques. Por un lado se agruparon las ponencias y talleres técnicos, dirigidos a profesionales, hackers y  personas muy aficionadas a la informática con inquietudes por la ciberseguridad. Esta sección duró dos días, en jornadas de mañana y tarde, y requería una inscripción con coste (25€, 40€ o 50€, según las fechas de compra).

El segundo bloque agrupó las charlas relacionadas con las labores de gestión de la seguridad informática, que se orientaron especialmente a un público formado por directores, gerentes, empresarios, responsables de departamentos de informática y responsables de ciberseguridad. En este caso se requería de una inscripción previa gratuita.

El tercer bloque estaba netamente orientado a la concienciación de un público no profesional, con dos charlas ofrecidas por el divulgador Ángel Pablo Avilés, conocido popularmente como Angelucho. La asistencia también era gratuita y en esta ocasión no era necesario realizar inscripción previa.

El congreso en su conjunto se ha saldado con un notable éxito, con entorno a 700 asistentes en global: 100 personas al foro para directivos, 200 a las actividades técnicas y cerca de 400 a las divulgativas.

Actividades divulgativas: caras de sorpresa y esperanza de toma de conciencia

Sh3llcon 2017El Guardia Civil Ángel Pablo Avilés, Angelucho, es un habitual de los encuentros de ciberseguridad y ya había participado en las dos ediciones anteriores de Sh3llcon. Su especialidad es la concienciación de personas sin una especial cualificación técnica y tiene una singular sensibilidad con los peligros que las nuevas tecnologías pueden deparar a los menores.

En esta ocasión ofreció dos talles: “¿Y si fuera yo quien sufre ciberbullying?” (jueves 26), para niños y adolescentes, y “Menores e Internet: detectar y prevenir el ciberacoso” (sábado 28), para padres y docentes.

En ambos casos los talleres se saldaron con un éxito rotundo. El ponente mostró unas habilidades innatas de comunicación, que le permitieron conectar con los dos tipos de público desde el primer instante, incluso siendo tan diferentes entre sí, y mantener su atención más allá del tiempo que estaba previsto.

Entre iniciales rostros de sorpresa, bromas que distendían los primeros momentos y recursos que permitían conectar ambos talleres (como mostrar en ambos un gráfico de Minecraft y preguntar al público si sabía lo qué era: obteniendo un sí rotundo en el primer taller y un silencio total en el segundo), logró crear una tensión creciente, con el objetivo de concienciar sobre la necesidad de hacer un uso responsable de la tecnología y, en el caso de los padres, de supervisar la utilización que hacen de ella sus hijos.

Foro para directivos: la ciberseguridad compete a toda la organización

Sh3llcon 2017En años anteriores ya se incluyeron algunas ponencias no técnicas similares a las que ahora se han agrupado en este foro. Este año ha sido un acierto unirlas en un itinerario diferente, que permitiera distinguir con facilidad al tipo de público al que estaban dirigidas y que éste acudiera a una parte u otra según sus intereses.

Si bien, como nada es perfecto, existen personas de intereses duales, que en esa elección han tenido que sacrificar un conjunto de actividades a las que les hubiera gustado asistir. Por lo que la organización podría plantearse para el próximo año hacer este foro en una fecha diferente al itinerario técnico, que no obligara hacer esa elección.

El foro se desarrolló durante la mañana del viernes 27. Fue inaugurado por Verónica Román, directora general de Netkia (empresa que impulsa esta parte del congreso), y Rafael de la Sierra, Consejero de Presidencia y Justicia del Gobierno de Cantabria.

La primera conferencia llevó por título “Implicaciones del Reglamento Europeo de Protección de Datos en las Empresas” y fue ofrecida por Rosario Heras, Responsable de la Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos.

En ella hizo un repaso a los aspectos más importante del Reglamento 2016/679 del Parlamento Europeo y del Consejo, que revoluciona la gestión de la protección de datos de carácter personal en todos los países de la Unión Europea, al desplazar las legislaciones nacionales.

Sh3llcon 2017La siguiente charla corrió a cargo de Juan Delfín, del INCIBE (Instituto Nacional de Ciberseguridad): “Incidentes de Ciberseguridad en Empresas: situación actual”.

Además de mostrar y explicar las cifras que describen el panorama de la inseguridad cibernética, el ponente describió algunos de los servicios que ofrece su organismo, que incluyen apoyo a las empresas, así como actividades y artefactos de formación y concienciación, dirigidos tanto al ámbito privado como a las Administraciones Públicas. Además cuenta con un CERT (Equipo de Respuesta ante Emergencias Informática).

Sh3llcon 2017El turno siguiente fue para Deepak Daswani de la empresa Deloitte, quién improvisó su intervención para afrontar lo que parecía un cambio de ponente de última hora (se había anunciado la participación de la empresa Deloitte en este franja de tiempo, pero sin especificar la persona en concreto). La charla se había titulado “Currar en seguridad: cómo, cuando, con quién y qué necesito” y aunque partió de esa referencia, supo reorientarla con soltura, aunque con unos instantes iniciales de disimulado desconcierto, a una temática previsiblemente más acorde al tipo de público al que se dirigía. Con simpatía y gracias a las tablas que le dan su dilatada experiencia como orador, supo llevar a buen puerto su intervención y dar algunos consejos para conseguir que las organizaciones sean seguras.

Sh3llcon 2017Tras un descanso, se dio paso a la ponencia que ofrecieron tres representes del Gobierno de Cantabria: “Planes de Continuidad: Prever los desastres y evitar sus consecuencias”.

Estos representantes fueron Francisco Javier Madinabeitia, del Servicio Cántabro de Empleo, Benito Fernández Rodríguez-Arango, de la Consejería de Desarrollo Rural, Ganadería y Pesca, ambos responsables sectoriales de seguridad de la información, y quien subscribe este artículo, que llevo cuatro años trabajando como responsable de la gestión global de la seguridad informática de esta institución.

En esta intervención se mostró un caso de éxito: la elaboración de los planes de continuidad, tecnológicos y “de negocio”, desarrollados en los últimos años y que en recientes auditorías han sido muy bien valorados.

Sh3llcon 2017El siguiente orador fue Luis Jiménez, Subdirector del Centro Criptológico Nacional (CCN-Cert), con la exposición “Gestión de ciberincidentes en redes corporativas”.

En ella explicó la fases en las que se desarrollan las ciberamenazas, la necesidad de detectarlas a tiempo y también de tener prevista las respuestas a dar, así como lo importante que era tener claros los distintos niveles de responsabilidad, que van desde el usuario final, a las esferas más altas de cada organización. También dio algunos consejos muy claros, como por ejemplo, que se tome conciencia de que las herramientas tecnológicas que se provean a  los empleados en las empresas y Administraciones Públicas, deben estar estrictamente dirigidos a cumplir la función de cada uno de ellos, por lo que resulta muy necesario que los distintos dispositivos estén limitados y gestionados.

Sh3llcon 2017A continuación se realizó una mesa redonda, en la que el moderador planteó varias cuestiones relacionadas con los temas tratados durante la mañana y el público asistente también realizó preguntas.

Los participantes en la mesa redonda fueron: Luis Jiménez (Subdirector general del Centro Criptológico Nacional), Juan Delfin (Instituto Nacional de Ciberseguridad), María Martín (Departamento de Comunicación, Marca y Desarrollo de Negocio de Deloitte) y Florián Manuel Pérez (Responsable de Ciberseguridad del Gobierno de Cantabria).

Sh3llcon 2017El foro finalizó con unas palabras de clausura de Verónica Román, la Directora General de Netkia, que agradeció la presencia del público asistente, la labor de los ponentes y anunció que dado el éxito de convocatoria que se había alcanzado, ya habían decidido que en la siguiente edición de Sh3llcon se volvería a celebrar este itinerario especialmente dirigido a directivos y gerentes.

Actividades técnicas: impulsando los contenidos prácticos

Es algo habitual en este tipo de eventos que parte de los asistentes revindiquen una mayor presencia de contenidos prácticos. Algo que la organización de Sh3llcon ha atendido con generosidad este año, ofreciendo un total de seis talleres técnicos, en los que los asistentes tomarían parte activa.

El viernes día 27 se celebraron cuatro de estos talleres, todos de dos horas de duración. Y el sábado 28 dos talleres de cuatro horas.

Entre las 9:30 y 11:30 del sábado se realizaron en paralelo los talleres “Hacking con Metasploit” y “Entendiendo Arduino: Programación básica”.

El primero fue impartido por Pablo González, en el que ofreció un planteamiento similar al que ya realizó el año pasado (cuando ya participó con un taller de similar temática), describiendo la herramienta, sus principales usos y algunos ejercicios sobre como utilizarla. Tuve un buen éxito de convocatoria con más de ciento cuarenta asistentes.

El taller dedicado a Arduino atrajo a bastante menos gente, entorno a una decena de personas. Estuvo impartido por un representante de la empresa ElectroSDR, Rubén Castanedo, que explicó la evolución de los microcontroladores y fue guiando a los asistentes para que hicieran unas configuraciones básicas con Arduino, de manera netamente práctica. La actividad fue muy bien valorada y además el profesor pudo atender a cada asistente de manera muy personalizada.

Tras un descanso, se celebraron entre las 12:00 y las 14:00 los dos siguientes talleres paralelos del viernes.

En una de las salas fue Pablo González de nuevo quien dirigió “Postexplotación con Powershell”, centrado en el potente sistema de scripting que Microsoft ha ido implantando en todos sus sistemas operativos en los últimos años y que se planteó como una continuación de la actividad previa. Este taller atrajo a casi todos los presentes en su anterior taller, que se mostraron igual de atentos e interesados, con un buen número de preguntas en la parte final. La técnica que siguió el ponente fue la de la “práctica orientada”, pues dado el gran número de asistentes, hubiera sido muy complicado optar por que los alumnos hicieran sus propios ejercicios.

En la otra sala se ofreció “Ampliando el arsenal de hacking con routers”, donde entorno a 50 o 60 personas disfrutaron de las divertidas explicaciones de David Menéndez, un hacker que apuesta por la utilización de elementos fácilmente asequibles, bien por su bajo precio, o bien por hacer reutilización de aparatos viejos. Explicó como cambiar el firmware de routers para destinarlos a otros usos, y entre otros ejemplos, mostró como convertir un router “chino” de 10 euros en un servidor de Torrent.

Los talleres del sábado, que eran más extensos, fueron “Análisis forense” y “Exploting”.

Sh3llcon 2017El primero fue impartido por Pedro Sánchez, un especialista en técnicas forenses informáticas que dio una clase magistral, por conocimientos y habilidades de comunicación, con un acercamiento muy amplio a ese ámbito profesional, con sus entresijos y responsabilidades, las técnicas a utilizar y las herramientas más útiles para acometer con éxito las distintas tareas a realizar.

Combinó explicaciones teóricas con prácticas que el mismo fue haciendo y que los asistentes que llevaron ordenadores pudieron ir probando. Primaron  las explicaciones sobre las prácticas, si bien es algo que no se puede considerar un defecto, por lo bien que describió todo y lo cercano que en todo momento se mostró hacia el público.

El otro taller paralelo fue impartido por Pablo Candel, conocido en el mundo del hacking con el pseudónimo de S4ur0n, quien ofreció un interesantísimo contenido, donde las prácticas primaron con claridad sobre las explicaciones teóricas.

La cantidad de público que asistió a cada uno de los dos talleres fue similar, entorno a 100 personas, si bien se pudo advertir un espontáneo sesgo por edad: las personas más jóvenes prefirieron el taller de “exploiting” y las más maduras es el de análisis forense.

Actividades técnicas: las ponencias se concentraron en los horarios de tarde

Con los talleres planificados para las mañanas del viernes y el sábado, las tardes se destinaron a las ponencias de orientación más clásica.

Sh3llcon 2017La primera charla del viernes 27 fue impartida por el abogado Luis Jurado y se tituló “1 año de la nueva ECRIM”, versando sobre las modificaciones introducidas  a finales del año 2015 en la Ley de Enjuiciamiento Criminal (Real Decreto 14, de 1882) y como afectaban a los delitos digitales y también a la actividad de los hackers. Señaló algunos detalles curiosos, como la oportunidad que da la forma en que se ha redactado el “derecho a la llamada” de los detenidos, a desencadenar alguna acción encubridora o delictiva al ser ellos mismos los que la realizan directamente.

Después llegó Alfredo Reino, con “Big Data aplicado a la seguridad”, que repasó de forma generosa las posibilidades de utilización de las técnicas y herramientas del denominado “big data”, en el terreno de la ciberseguridad, resultando muy útil para detectar actividades anómalas y automatizar algunas respuestas.

Sh3llcon 2017Tras el descanso, Deepak Daswani ofreció “Hacking del Internet of Things”, en la que hizo una divertida exposición sobre como detectó de forma casual en una cafetería de las Islas Canarias, que era posible asaltar la mesa de mezclas de DJ “XPJ-AERO” de Pionner y las variadas acciones que esto permite: manipular remotamente todos los controles de la mesa, hacer que el aparato deje de funcionar e incluso robar canciones, tanto del dispositivo de almacenamiento conectado a la mesa, como del móvil que el “pincha” le haya emparejado.

Sh3llcon 2017La tarde finalizó con la intervención de José Aurelio García, un forense informático que relató sus investigaciones con “Forense en redes TOR”. Así, explicó las técnicas a emplear y los hallazgos que es posible conseguir cuando se analiza la utilización de las Redes TOR en equipos que empleen distintos sistemas operativos. La conclusión a la que se pudo llegar, es que si bien TOR ofrece cierto nivel de seguridad y privacidad, dista mucho de ser perfecto y es posible perseguir delitos que se cometan utilizándola, y también que las personas que la empleen en países dictatoriales, corren un riesgo nada desdeñable al usarla.

Sh3llcon 2017La sesión del sábado 28 comenzó con “Entornos web y sus principales debilidades” de María José Montes, quien lidera una bonita iniciativa,  con la que ella y otras personas imparten charlas de concienciación en materia de ciberseguridad, a cambio de alimentos que destinan a fines benéficos: Hacking Solidario.

Su exposición fue muy teórica y centrada en aspectos generales, que muy probablemente estaban alejados del alto grado de conocimientos que ya tenían la mayoría de los asistentes.

Sh3llcon 2017Después llegó el turno de Rafael Otal y Pedro Caamaño, con “Granada en mano, WIFI volando”, dos hackers aragoneses que están metidos de lleno en un proyecto para crear una herramienta para facilitar el hackeo de WIFIs, si bien advirtieron que lo hacían con intenciones didácticas y esperando que nadie la utilice para la comisión de delitos. En ese proyecto combinan una Raspberry Pi, servidores en Amazon Cloud, aplicaciones pre-existentes y desarrollos propios, con los que es posible romper redes inalámbricas con configuraciones y medidas diversas de seguridad.

A continuación dos representantes de la empresa iHacklabs mostraron brevemente sus servicios: formación online en “pentesting” y una plataforma virtual de laboratorios para realizar prácticas. Esta empresa tuvo la gentileza de dar un periodo de acceso libre a su plataforma a todos los asistentes al congreso.

Sh3llcon 2017Tras el descanso, Josep Albors mostró un gran dominio del escenario, elevando significativamente el grado de atención del público respecto a las dos charlas anteriores, y haciendo un interesantísimo repaso a las diversas investigaciones y técnicas que se han ido descubriendo para el hackeo de los coches de última generación, que cada vez incorporan más elementos tecnológicos y que, en gran medida, se pueden considerar “ordenadores con ruedas”. En su exposición, tuvieron un lugar destacado las investigaciones y experimentos realizados por Charlie Miller y Chris Valasek.

Sh3llcon 2017El nivel de calidad y dominio del escenario se mantuvo con Pablo Candel, que en “Tempest en OSX”, explicó en que consistían las técnicas “tempest” de filtración de información, basadas en emanaciones energéticas, y realizó varias demostraciones en las que se pudo ver como era posible enviar mensajes o “robar” ficheros de un ordenador, aprovechando las ondas espurias que produce la CPU (distintas para cada operación que realiza) y la amplificación de la placa base, para luego recibirlas con un simple receptor de radio de onda media.

Esta ponencia entusiasmó a los presentes y fue un gran colofón para el congreso.

Sh3llcon 2017Tras ella se realizó la entrega de premios del reto de hacking (CTF / Capture The Flag), que fueron cedidos por Innjoo e Interbox y que fueron a parar a: N4varr0 (tercer puesto), Lucky86 (segundo puesto) y Madril (ganador).

Finalmente, Sergio Sáiz, director del evento, y gran parte del resto del personal organizador, subieron al escenario para proceder a la clausura del congreso.

Balance y conclusiones

Sh3llcon 2017Sh3llcon es ya un congreso consolidado, bien considerado a nivel nacional y que ha encontrado una vía de evolución que le permite tener la perspectiva del camino a seguir en los próximos años: profundizar en el desarrollo de talleres prácticos y potenciar el foro para directivos.

El grado de asistencia ha sido un éxito, los contenidos ofrecidos por lo general han sido de un gran nivel y la organización ha vuelto a ser tan buena como en los años anteriores.

Por otra parte, como sucede en el resto de eventos de similares características que se celebran por el país, tiene el reto de encontrar nuevos ponentes interesantes, que combinen cualificación con habilidades de comunicación, para así diversificar los nombres del programa. Pues un porcentaje nada desdeñable de los ponentes de este año, son personas habituales en el “circuito de eventos de ciberseguridad” y que ya habían participado en ediciones anteriores. Esto es algo que puede generar en breve un desinterés en el público por este tipo de encuentros, que actualmente están viviendo un momento muy dulce y que han de saber mantener.

Este reportaje ha sido redactado por Florián Manuel Pérez, recogiendo impresiones propias y de Luis Montoya, Paco García-Fraile, Pablo González y Tomás Sierra.

Las fotos fueron realizadas por Francisco Herrán Gómez (salvo las imágenes 11, 19 y 20, realizadas por Florián Manuel Pérez).

Más información:

Reportaje sobre Sh3llcon 2016: “Sh3llcon 2016: Técnicas, herramientas y desafíos en seguridad”.

Página web oficial de Sh3llcon: https://www.sh3llcon.es/

La visión de Sh3llcon 2017 de un asistente: http://securityproyect.blogspot.com.es/2017/01/experiencia-sh3llcon-2017.html?m=1

La visión de Sh3llcon 2017 de uno de los organizadores: https://tomassierra.com/sh3llcon-2017-dia-despues/

Nota aclaratoria: El congreso de seguridad informática Sh3llcon está organizado por la Asociación Sh3llCON , una organización sin ánimo de lucro. Entre la entidades que colaboran para financiar los gastos de organización del congreso están varias empresas e instituciones, entre las que destaca Netkia como su principal patrocinador. El hecho de que algunas personas formen parte de la citada asociación, y participen en la organización del evento de forma altruista, a la vez que trabajan en la empresa Netkia, ha llevado a algunos medios de comunicación a deducir, equivocadamente, que el congreso está organizado por esta empresa. Incluimos aquí esta nota a título informativo y para aclarar la situación ante asistentes y patrocinadores o colaboradores presentes o futuros del evento.

 

Post By Florián Manuel Pérez Sánchez (61 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

,

No comments yet.

Deja un comentario

Leave your opinion here. Please be nice. Your Email address will be kept private.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Translate »