El congreso de seguridad informática Sh3llcon anunció su finalización en el acto de clausura de la edición del año pasado 2019. Pero hace unos meses se hizo público que la iniciativa se retomaba y así los pasados días 24 y 25 de enero se celebró 6º edición.

A muchos nos pilló por sorpresa el anuncio en el acto de despedida de la edición de 2019 que hizo Sergio Sáiz, director del congreso Sh3llcon desde su fundación, por el cual Sh3llcon finalizaba su actividad.

Aquella edición, que fue la 5ª, consiguió una notable acogida y se mantuvo el alto nivel de los ponentes. Si bien mostró significativas diferencias con las cuatro previas: la salida del principal patrocinador se llevó por delante los elementos que le daban brillo (azafatas, piscolabis en las pausas, presencia de altos cargos públicos en las inauguraciones, actividades suplementarias, etc.) centrando el encuentro en lo esencial (expertos en seguridad informática hablando a apasionados en la materia).

Personalmente fue la edición que más me gustó y en su momento publicamos un reportaje repasando en detalle lo acontecido y lamentado la despedida: “Sh3llcon 2019: La edición más cruda y un sorprendente adiós” (http://www.cantabriatic.com/sh3llcon-2019-la-edicion-mas-cruda-y-un-sorprendente-adios/).

Sin embargo, la noticia de que el proyecto se retomaba nos llegó pronto a CantabriaTIC, por los lazos que habíamos estrechado con la organización y a mediados de año ya sabíamos que la iniciativa se retomaba con una nueva persona en su dirección: Carolina Gómez Uriarte.

Carolina había formado parte del equipo de organización en todas las ediciones anteriores y lleva años profesionalmente ligada al ámbito de la ciberseguridad, trabajando actualmente como Analista de Seguridad.

Por circunstancias, he tenido la ocasión de colaborar estrechamente con el equipo organizativo en esta 6ª edición, coordinando las relaciones del congreso con los medios de comunicación y realizando la presentación del conjunto de charlas destinada a ejecutivos de empresas y administraciones públicas que se celebró el viernes 24 por la mañana.

Así, advierto al lector que en esta ocasión no dispongo de la imparcialidad de veces anteriores y que algunas de las descripciones del desarrollo de las actividades que se incluyen en este reportaje han sido aportadas por miembros de la organización.

Planteamiento de la 6ª edición

Esta 6ª edición retomaba Sh3llcon donde se dejó el año pasado y de paso recogía dos tipos de contenidos que no se ofrecieron en 2019 pero sí en los años previos.

Así, se organizó en tres secciones. La “Sección Técnica” estaba dirigida a profesionales y aficionados muy cualificados en seguridad informática, siendo el corazón del evento. Además, se denominó “Sección Empresas” a un conjunto de charlas destinadas a empresarios, autónomos y personal de Administraciones Públicas. Y la “Sección Jóvenes y Familia” ofrecería concienciación para todos los públicos.

La “Sección Técnica” se celebró tanto el viernes como el sábado, en horario de mañana y tarde. Combinaba charlas y talleres prácticos. El coste de la inscripción era de 30 euros. Y esto incluía la posibilidad de participar en prueba tipo CTF (Catch The Flag; pruebas de ingenio y habilidad empleando técnicas de hacking).

La “Sección Empresas” se celebró el viernes por la mañana. La inscripción era gratuita.

La “Sección Jóvenes y Familia”, que también era de acceso gratuito y estaba previsto que contara con representantes de la Guardia Civil, finalmente se suspendería por cuestiones logísticas.

Como todos los años anteriores, Sh3llcon se celebró en el hotel Santemar de Santander, junto a las playas de El Sardinero.

Viernes, 24 de enero 2020, mañana

La Sección Empresas se desarrolló en la sala Nixe y fue inaugurada por la directora del congreso, Carolina Gómez, quien agradeció la asistencia a los presentes, repasó brevemente la trayectoria y objetivos de Sh3llcon y los contenidos previstos para las dos jornadas.

Me presentó y dio paso, momento que aproveché para agradecer el esfuerzo que habían hecho todos los miembros de la organización durante todas las ediciones, especialmente tratándose de una asociación sin ánimo de lucro, explicar a los presentes el verdadero significado del término Hacker (¡no, no son delincuentes!) y presentar un vídeo realizado por el equipo de ciberseguridad del Gobierno de Cantabria, en el que trabajo, sobre los “Agentes de amenaza”: las personas o entidades que pueden poner en riesgo a las organizaciones por medios tecnológicos.

Tras el video y una breve intervención junto a Carolina, presenté a Iker Catalán, tremendo experto en el apasionante (y recién descubierto por mí) campo de la cerrajería, que cuenta con laboratorio propio, varias certificaciones, premios, experiencia como formador y perito judicial, además de dirigir su propio negocio: Peritajes Catalán.

Con mucho desparpajo y naturalidad explicó muy eficazmente lo importante que resulta no olvidar la seguridad física cuando se presta atención a la seguridad tecnológica. Concienció en extremo a los presentes. También atendió una pregunta del público sobre el ámbito hogareño y me costa que alguno de los asistentes ya ha cambiado la cerradura de su domicilio particular atendiendo a los consejos dados por Iker. Para redondear su participación, agasajó a cada uno de los asistentes con una botella de vino rioja de cepa propia de su empresa que se entregó al final de la sesión.  Sin duda, su charla la recordará el público por mucho tiempo.

El siguiente ponente fue Enrique Domínguez Fernández, actual director estratégico en Entelgy Innotec Security y habitual ponente y colaborador en revistas especializadas, que ofreció una interesante charla sobre los retos que deben afrontar las organizaciones en la actualidad y el papel que pueden desempeñar los denominados “Red Team” para aumentar su resistencia ante ataques externos.

En el turno de preguntas, uno de los asistentes le planteó dos afiladas cuestiones: ¿quién protegerá a las organizaciones del conocimiento acumulado por los “Red Team”? ¿existe la posibilidad de que las empresas del sector de la ciberseguridad estén detrás de las campañas de ataques para mantener el negocio?

Enrique argumentó que las certificaciones oficiales y la valoración de clientes previos es una garantía más que suficiente de la profesionalidad de las empresas del sector. Si bien la segunda pregunta no recuerdo que la respondiera…

Nota del redactor: Los informes de fuentes fiables arrojan datos tan abrumadores de la actividad criminal en el campo tecnológico, que no es necesario que las empresas del sector se corrompan para conservar la rentabilidad de su actividad.

Tras un descanso, llegó el turno de Daniel González, director de operaciones en Zerolynx, socio en OSANE Consulting y formador para los certificados CSX de ISACA, quien explicó las estrategias básicas que cualquier organización deberían plantease para cuidar de su información y sus activos tecnológicos.

El último participante fue Lorenzo Martínez, perito informático forense y director de Securízame, que con gran simpatía expuso como prevenir los ataques de Ransomware, la solución mágica para superarlos (tener la precaución de haber hecho previamente backups fiables) e incluso como afrontar la dramática situación de haber sufrido un secuestro digital y no contar con esa solución mágica, lo que desemboca en la difícil decisión de dar por perdida toda la información o negociar con los delincuentes moviéndose en la frontera de la legalidad.

Para cerrar esta sección destinada a empresarios, autónomos y personal de Administraciones Públicas, intervinieron Carolina Gómez y Sergio Sáiz (actual y anterior directores de Sh3llcon respectivamente), se invitó a los presentes a compartir conversación, intercambiar experiencias y datos de contacto (eso que los “modernos” llaman “networking”) y se hizo entrega del original detalle en forma de botella de vino aportado por Peritajes Catalán.

Aproveché para sondear a parte del público y todos coincidían en que las charlas habían resultado muy interesantes, amenas y realistas (incluso el vídeo sobre los “Agentes de amenazas” había gustado). Así que ¡bravo por esta “Sección Empresas” de Sh3llcon!

En paralelo esta mañana del viernes se celebraron talleres técnicos y pruebas de CTF dirigidas por la hacker C4T.

En el salón Palma los expertos Edu Satoe y Rafa Sojo dieron un taller sobre Powershell y BadUSB, de un nivel muy asequible, destinado a chicos de instituto, con 80 jóvenes que siguieron interesados las explicaciones y ejemplos.

Después Pablo González, de ElevenPaths, reunió a 60 personas entorno a técnicas para hackear dispositivos bluetooth, con ejemplos tan resultones como el hackeo de un patinete eléctrico.

En el salón Valencia abrió la mañana Lorenzo Martínez, con un taller muy técnico al que se acercaron unas 35 personas y que se llamaba “DFIR en Windows, ¿qué me llevo?”.

Tomó el relevo Nacho Brihuega, con los mismos asistentes en la sala, para realizar prácticas con Metasploit, para primero identificar vulnerabilidades con varias técnicas y después explotarlas. “Pentesting4ever” fue el título elegido por Nacho que se antojó perfecto para el contenido.

En cuanto al CTF, esta mañana participaron 12 personas, que se enfrentaron a unos retos realmente complicados, hasta el punto que algunos de ellos quedaron desiertos.

Viernes, 24 de enero 2020, tarde

En la sesión de tarde del viernes abrió fuego Pablo González, de ElevenPaths, con una exposición de largo título: “GANs & Roses: waponizing the CEO scam fraud with AI and Autoencoders”.

En ella fue repasando el potencial de la Inteligencia Artificial, en su estado del arte actual, aplicada al campo de la ciberseguridad, tanto para hacer el mal como para contrarrestarlo.

Las “fake news”, el “machine learning”, los paradigmas de aprendizaje, las redes neuronales, los autocoders o las GANs (Generative Adversial Networks) tuvieron sus minutos de protagonismo y además expuso varios casos reales, hizo un ejemplo con la participación del público y finalizó con unas inquietantes conclusiones: Si no somos capaces de distinguir lo real de lo falso esteremos desprotegidos; Engañar sale barato; I.A. y ciberseguridad van de la mano; aún no se han vislumbrado los límites de la I.A. y el conocimiento es poder.

La siguiente ponencia fue ofrecida por Juan Antonio Calles y Jesús Alcalde, con el título “Next QUIC 2.0: Aún más rápido”.

Se trató de un contenido muy técnico, en el que se hizo un repaso de la evolución de las diferentes versiones del protocolo https, para después entrar en el detalle del uso de QUIC (Quick UDP Internet Connections). También se expusieron técnicas para hacker QUIC con la herramienta Merlin para conseguir un “command and control”. Para finalizar con conclusiones y las “lecciones aprendidas”.

Llegó el turno de Telmo Miguel Xavier con “RedTeam (El Arte de la Guerra)”, una charla de corte filosófico, en el que iba comparando las moralejas que incluye el legendario libro “El arte de la guerra” de Sun Tzu, con las estrategias a seguir por los “Red Team”.

Entre los contenidos se incluyeron explicaciones referidas a la duplicación de tarjetas NFC, conseguir infectar ordenadores con una simple foto PNG, un software útil para romper hash, ataques a PLCs, minado de criptomonedas, anulación de antivirus y mucho más.

Una charla densa y extensa, aunque ciertamente interesante, con un lema para recordar: “Estamos ya en guerra”.

Tras el descanso subió al escenario Martina Matarí con “Wargames: nunca dejes de jugar”, en la que expuso su experiencia diseñando CTFs, donde su habilidad para el “making” quedó más que patente.

En los ejercicios diseñados por ella que explicó, el contexto escénico tenía mucha importancia. Elabora guiones sugerentes y en uno de ellos incluso se simulaba una ciudad en tamaño reducido sobre un panel, con muchos aparatitos y bastante ingenio.

También fue repasando los tipos de retos que inserta en esos elaborados CTFs: análisis forense de Rasberry Pi, interpretación de evidencias de un dron, definición de IOCs, etc. Además de explicar los sistemas de puntuación que emplea.

Estos CTF que diseña no solo sirven para adornar encuentros de ciberseguridad, sino que se utilizan en la empresa en que trabaja para captar talento.

Además, dejó una moraleja en formato de acertijo y reflexión: “¿Y tu impresora qué tal?

La tarde terminó con el simpático Juan Garrido, que cerveza en mano desplegó su buen sentido del humor habitual para explicar a fondo configuraciones a emplear en Azure y Office 365 para definir buenas cotas de seguridad, donde el empleo de Powershell ofrece mucho potencial para cualquier administrador de sistemas que quiera fortificar los activos que tiene a su cargo.

Con esto se llegó al final de la jornada para parte del público, con un buen balance, una cantidad record de asistentes (superando ampliamente las 130 personas en algunos momentos) y la sensación de que esta edición de Sh3llcon era una continuidad natural de las anteriores.

Pero otra parte del público se trasladó hasta Max Sports Café, local de comida rápida muy recomendable, en el que se realizaron talleres adicionales en un formato más distendido y cercano.

Sábado, 25 de enero 2020, mañana

El sábado en la sesión matutina se ofrecían dos tracks alternativos. En la sala Convención se desarrollaría un taller de cuatro horas titulado “Threat Hunting” impartido por Diego León y David Jiménez. En la sala Palma, primero llegó el taller “Weaping Scapy” de Álvaro Alonso y luego “Intrusión física, introducción al ganzuado y análisis forense”, de Mario Álvarez e Iker Catalán, ambos de dos horas.

Además, durante todo el día los interesados en el CTF pudieron dedicarle tiempo, por su cuenta o en una sala habilitada para compartir la experiencia con otros concursantes en los diversos resto.

Opté por asistir a la segunda opción de talleres, por lo que puede escuchar a Álvaro Alonso relatando los pormenores de la utilización de la herramienta Scapy para  manipular paquetes ICMP y ARP, mediante diferentes técnicas: ICMP Fuzz, ICM Fragmentado, ICMP Black Nurse, ARP Sync Flood Attack, etc.

Fue haciendo ejemplos de los ataques y muchos de los asistentes fueron repitiendo los ejercicios por sí mismos.

El taller de Mario Álvarez e Iker Catalán resultó entretenidísimo, primero con Mario explicando los fundamentos de cerraduras, llaves y demás elementos de cerrajería, trufando su disertación con divertidas anécdotas.

Después llegó el turno de Iker, para la parte netamente práctica, en la que las cerca de 60 personas que asistíamos pudiéramos experimentar el uso de tensores y ganzúas para abrir cerrojos.

Se repartieron cerraduras y las herramientas a usar formaban parte del pack de cortesía que había entregado la organización el día anterior entre los inscritos a la sección Técnica.

El personal se aplicó con entusiasmo a la sorprendente labor, aunque pocos lograron abrir el mecanismo. Por mi parte, tardé 45 minutos en hacerlo, por lo que teniendo en cuenta que era un modelo excepcionalmente sencillo y que los expertos lo abren en pocos segundos, me auguro a mí mismo poco futuro en esta disciplina, deportiva o profesional paras las gentes de bien y delictiva para los que no lo son.

A destacar que Mario e Iker explicaron muy bien las implicaciones legales del uso de las técnicas que mostraron, además de señalar las virtudes de usarlas como deporte y entretenimiento o bien optar por iniciarse en esta disciplina para convertirse en un futuro profesional del gremio.

En el track paralelo Diego León y David Jiménez contaron con cerca de 30 participantes, a los que se les enseñó los fundamentos del denominado “Threat Hunting”, consistente en el empleo de técnicas activas para detectar amenazas en las infraestructuras tecnológica de una organización, realizando ejemplos que fueron replicados por parte del público en el escenario de máquinas virtuales que se les ofreció para instalar en sus equipos.

Y llegó el final de la mañana, con mucha satisfacción por parte de los inscritos en esta sección Técnica.

Sábado, 25 de enero 2020, tarde

La tarde se afrontaba con ganas, aunque también con cierto cansancio por las intensas horas vividas durante la mañana y el día anterior.

Primero saltó a escena Pedro Cabrera, un ingeniero industrial enamorado de las ondas de radio, que ofreció unas interesantísimas explicaciones sobre el apasionante mundo de los satélites, relatando las normas que rigen su funcionamiento, los protocolos que utilizan y algunos casos en que fueron hackeados, además de algunas técnicas y herramientas útiles para recibir datos de los satélites.

En segundo lugar apareció el ínclito David Marugán, ponente de gran éxito en los eventos en los que interviene, por sus amplios conocimientos de la tecnología basada en comunicaciones analógicas y las historia tan curiosas que cuenta de escenarios de conflicto (especialmente los situados en la Guerra Fría).

David no defraudó a quienes le esperaban y sorprendió a los que le conocieron aquella tarde, con una nutritiva exposición en la que hizo un recorrido por el lado oscuro de la radio, donde hubo lugar para rivalidad entre países, ejércitos crueles, terroristas, actividades encubiertas y ejemplos  históricos reales de lo más inquietantes (la palma se la llevó la “Matanza de Srebrenica” en la que se pudieron escuchar las conversaciones reales de los mando serbios y nos explicó como la desesperado huida por las montañas de los habitantes de la población, con un líder en cada columna haciendo comunicaciones puntuales vía walkie-talkie, fue la sentencia de muerte para miles de personas, pues señalizaban involuntariamente su posición al ejército que les perseguía con nefastas intenciones).

El siguiente ponente fue Yago Hansen, muy conocido por formar parte del equipo de Mundo Hacker, con la presentación “Red Team Procedure Demos”, en la que explicó los procedimientos y recursos tecnológicos que él utiliza en su labor profesional dedicada al “Red Team”.

De su provechosa intervención se pueden destacar la diapositiva en la que mostraba las diferencias entre el espía clásico y el actual (ante gabardina y acciones físicas, ahora tecnología y hacking), además de algunas frases simbólicas: “Todo sistema es vulnerable en capa 7, porque depende de nosotros”; “Hay que especializarse, no podemos saber de todo” o “Para dedicase al ‘red team’ hay que saber mucho Linux y algo de programación”.

Tras el descanso, Miguel Hernández y Jose Ignacio mostraron sus conocimientos sobre los recursos existentes actualmente para hacer frente a los “fake news”.

Explicaron la evolución histórica de la manipulación de imágenes, los métodos para la generación automática de contenidos (textuales y audiovisuales), el estado del arte en la actualidad y lo que se apunta para un futuro próximo, así como la gravedad que pueden tener este tipo de campañas. Y como conclusiones señalaron: vivimos en una sociedad mayoritariamente conectada, cada vez es más sencillo generar contenido sintético y siempre es necesario contrastar la información (nunca debemos fiarnos de una sola fuente).

La tanda de charlas de la tarde finalizó con Joel Serra y “Bypass of air gap enviroments”.

El “air gap” consiste en el aislamiento de equipamiento informático de las redes de alta difusión pública para así proteger información sensible. Joel explicó el concepto y fue relatando diversas técnicas que permiten la filtración de datos de entornos de este tipo, con técnicas como el “mosquito” (transmisiones ultrasónicas emitidas por los altavoces estándar de un equipo), el empleo de frecuencias GSM, fluctuaciones de tensión conseguidas en base a variaciones del consumo de CPU, la realización de manipulaciones térmicas, transmisión de ondas de radio en equipos que carecen de chip de radio, etc. Además, mostró estrategias para conseguir alterar los equipos para que quedasen listos para las filtraciones: atacar la cadena de suministros, contar con usuarios “maliciosos”, aprovecharse de empleados manipulables, “troyanizar” hardware, emplear dispositivos físicos especiales, hackear la WIFI, etc.

Tras las charlas, a las que asistieron un número oscilante de entre 50 y 80 personas, intervino Carolina Gómez, para agradecer la asistencia al público y la participación de todos los ponentes, presentar a los premiados en el CTF y clausurar la edición, con las miras ya puestas en el año que viene.

Balance y conclusiones

Fue muy buena noticia que el proyecto Sh3llcon se reflotara a los pocos meses de anunciar su finalización, de manera que ni tan siquiera ha habido un año de parón, por lo que aquello con el paso del tiempo se quedará en mera anécdota.

El equipo de organización se ha renovado profundamente, con nuevas caras que han dado el relevo a una parte del grupo y el ya comentado traspaso de la dirección por parte de Sergio Saiz a Carolina Gómez.

La esencia y el concepto de Sh3llcon se ha mantenido de forma natural y muy eficaz, hasta el punto que los asistentes que no fueran conocedores de esa “trastienda”, no habrán percibido ninguna diferencia.

Ha sido muy buena idea recuperar las charlas destinadas a ejecutivos, la llamada Sección Empresas, y fue una lástima que se suspendieran las citas destinadas a los jóvenes y las familias.

Las charlas y talleres volvieron a resultar muy interesantes y aunque un número significativo de ponentes ya habían participado en ediciones anteriores, fue muy alto el número de nuevos expertos y además no se repitieron contenidos, pues incluso cuando se abordaron temáticas ya expuestas, se hizo con nuevas aproximaciones.

Y no hay que olvidar que ha sido el año en que más asistencia ha tenido el congreso, gran muestra de que se está recogiendo lo que se sembró durante las ediciones anteriores y que ese anunció de parón, posteriormente anulado, no ha afectado al devenir del evento.

En definitiva, una gran edición de Sh3llcon, por la que hay que felicitar a todos los implicados en su organización y ojalá la edición de 2021 sirva para consolidar el proyecto de forma definitiva y mantenerlo como cita fija para profesionales y apasionados de la ciberseguridad de todo el país durante al menos un buen número de años más.

Más información:

– Web oficial: https://www.sh3llcon.es/

– Twitter oficial: https://twitter.com/Sh3llCON

Reportaje por Florián Manuel Pérez Sánchez. Fotografías de Arturo Salazar Alvarez, aparecen por cortesía de Sh3llcon.

Reportajes publicados sobre las anteriores ediciones de Sh3llcon:

Sh3llcon 2019: La edición más cruda y un sorprendente adiós.

Sh3llcon 2018: El año de la consolidación.

Sh3llcon 2017: Evolucionar para crecer.

Sh3llcon 2016: Técnicas, herramientas y desafíos en seguridad.

Sh3llcon 2015: Conferencia El gran botín – Cibercriminales al asalto de las Administraciones Públicas

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

Ciberseguridad, Seguridad Informática, sh3llcon