APT: Aprendizajes de 12 años de joputeces
Antonio Sanz (@antoniosanzalc) dio la conferencia APT: Qué hemos aprendido tras 12 años de joputeces.
 |
| RootedCon 2025 - Antonio Sanz |
Empezó presentándose. Ha hablado del HPS y nos informó que contaría cosas, pero sin dar detalles específicos para evitar problemas legales. También insistió en qué es un incidente y un grupo APT. Un incidente no es un nmap o nessus. Son "avanzados" (la 'A') cuando hace falta. A veces son finos y otras veces son muy torpes. A lo largo de la charla estuvo contando casos reales de intrusiones, accesos en los que les llegaron a cambiar la contraseña de administración... La 'P' de "persistencia". Si estás en la lista de la compra, lo estarás siempre. Y la 'T' de "threat", amenaza. Al final los grupos APT tienen recursos, tiempo y conocimiento. Para el CCNCert el APT está en lo más alto en gravedad y peligrosidad. Siguió con los aprendizajes: todos podemos ser objetivos (directos o indirectos), se conocen la infraestructura y los usuarios, juegan sucio y con toda la artillería, tienen mucha paciencia aunque son incansables. Lo siguiente fue contarnos la prevención: parchear en tiempo y forma (vigilando los trastos perimetrales). Los directorios activos a lo largo del tiempo van guardando mierda, y se queda en la base de datos del AD, a colación de un caso donde se la llevaron. Después nos dijo que el bastionado funciona. La detección es que cada vez los malos usan menos malware, e intentan pasar lo más desapercibidos posibles y les encanta el correo electrónico, lo que hace que la impersonacion sea nuestro menor enemigo. La GUI dev gestión de correos no da toda la información, lo que sí que hacen los scripts powershell. Los EDR ayudan mucho, y dan mucha información. Las aletas tempranas son importantes y a los organismos completamentes hay que hacerles caso. A la hora de comunicar el incidente no se usa el mismo medio de comunicación fuera del afectado. Hay que forzar medidas. No obstante, los malos también cometen errores, pero nosotros también. Esto es un trabajo en equipo.
Incident handler por vocación
Diego Cordero estuvo contando Incident handler por vocación.
 |
| RootedCon 2025 - Diego Cordero |
La charla iba dedicada para los equipos de incident handler. Estuvo contada a nivel personal. Empezó presentándose. La respuesta a incidentes es importante la parte técnica, pero también la psicología porque hay personas afectadas que pueden sufrir. Los que responden pueden acabar agotados con una mala alimentación mientras están resolviendo la situación y eso puede afectar al resultado. No es un gasto tener un equipo de respuesta, es una inversión. Estas brechas tienen su impacto mediático. Sin olvidarse las infraestructuras críticas como los hospitales. Hay unas expectativas de soluciones inmediatas pero hay que saber hacer las cosas con tranquilidad. Siempre está la presión del tiempo. Solo hay que fiarse de las evidenciar que se ven. El estrés provoca mayor propensión a los errores por fatiga, se es más visceral en la toma de decisiones y se provocan tensiones en el equipo de respuesta. Explicó un modelo de decisión en 3 pasos. También hay que tener un buen procedimiento estructurado, hay que ser capaz de repartir los roles, sin olvidarse de hacer pausas programadas. Habló de habilidades intangibles y de los problemas que da la fatiga. Además de reducir los problemas del agotamiento también es muy importante la cultura de equipo. Sin olvidarse de los debriefing.
Después nos fuimos al descanso, ocasión para pillar una concha Codan.
Image-Based cryptography
La ponencia Image-Based cryptography, an image worth a 1,000 (pass)words la presentó Jordi Puiggalí.
 |
| RootedCon 2025 - Jordi Puiggali |
Las contraseñas se están usando para todo, con toda la complejidad que hace falta. Contó los pros y contras. Después enumeró soluciones como los gestores de contraseñas. A continuación explicó la alternativa (o complemento) de usar una imagen. 1 megapixel de información da mucha robustez. Contó los usos típicos: esteganografía y la criptografía visual. Describió como funcionarían cada una de ellas y sus pros y contras. Después contó cómo generar una clave para cifrar con imágenes. Buscan que aunque se comprima, se le ponga filtros o marcas de agua siga funcionando. Y otras propiedades como que no se detecte que esa imagen se está usando como clave aunque sea una imagen pública. Más adelante mostró su propuesta, tanto en características como en el cómo se haría. Trabajan en el dominio de las frecuencias para tratar la imagen. Una vez se tiene que clave, a la información del secreto se le pone un código de redundancia cíclica. Con todo eso explicó la codificación y la decodificación. Es muy importante recuperar todos los bits: un solo bit falla y no se recupera la información. Después puso varios ejemplos. Acabó con un resumen y los casos de uso.
Military flipper
La charla Military Flipper: dispositivos maliciosos y buses de datos en activos críticos la dio Mario Delab.
 |
| RootedCon 2025 - Mario Delab |
Nos contó que iba a ir dirigida a aeronáutica. Después de presentarse hizo un sumario de lo que quería contar. Explicó el estándar de comunicaciones entre dispositivos de aviones MIL-STD-1553 relacionado con la confiabilidad. Hoy día no se instala solo en aviones, por lo que también está en drones, satélites, etc. Después explicó los componentes del bus, monitor del bus y el terminal remoto. Hay tres tipos de mensajes: comandos, datos y estados. No quiso dejarse en el tintero los sub-protolos. Más adelante siguió con la seguridad: se buscaba más la tolerancia a fallos y a la confiabilidad más que la seguridad, por lo que es susceptible a DoS y MiTM. Aunque se pueden usar IDSs, no siempre es viable, además que los ataques siempre son locales pero físicamente hay que conectarlo al bus. Enumeró la confidencialidad, integridad, disponibilidad y autenticación. Poco después enumeró los posibles ataques. Siguió hablando del flipper zero y el escenario. Hace falta una conexión física y unos ataques programados. En ese punto estuvo explicando el módulo software para flipper que ha desarrollado y qué cables y adaptadores que ha usado. Además, nos dio un listado de ataques programables que tienen listos. Hubo dificultades para que nos mostrara la demo. El soporte IA está orientado a la defensa local. Con una Raspberry tiene más medios y posibilidad de usar otros lenguajes.
La libertad de expresión en las redes sociales
Borja Adsuara fue el encargado de dar esta charla: La libertad de expresión en las redes sociales en la Era de Trump y Musk.
 |
| RootedCon 2025 - Borja Adsuara |
Los abogados se preocupan de las leyes, y analizan los fallos del código jurídico. Además, nos pueden defender de los ataques a los derechos y a otras leyes. La libertad de expresión se ha visto perjudicada con la compra de Elon Mask de Twitter. Y la Unión Europea está preocupada. La suspensión de las cuentas de Trump la debería de haber hecho un juez, no la propia red social. Después contó varias noticias sobre cómo la Comisión Europea ha reaccionado con temas legales de X y Meta. Más adelante ha explicado los orígenes de la regulación y procedencia histórica de la libertad de expresión y por otro lado de las redes sociales. No es lo mismo verdadero que veraz. Habría que buscar que han intentado ser falaces. Según los contenidos, no habría que borrarlos por ser inadecuados, sino etiquetarlos. Estuvo enumerando distintas leyes tanto de EE.UU como de Europa o España relacionadas con el derecho a la expresión y la retirada de contenidos por parte de las empresas y si pueden o no afectar a la libertad de expresión.
Y con esta charla, finalizó la RootedCon 2025
 |
| RootedCon 2025 - Equipo de la organización y voluntarios |
Un año más, ha estado genial. ¡Espero veros en las siguientes ediciones!
