Pues de CON en CON y tiro porque me toca. Con pocos días de diferencia, lo justo para pasar por casa y volver a salir, he asistido al Congreso C1b3rwall que este año tenía como lema “Inteligencia Segura” y es que la IA se ha colado en todos o casi todos los aspectos, por lo tanto en ciberseguridad es tanto o más relevante que en el resto, por un lado por la propia seguridad de la IA y por otro lado como una herramienta tanto ofensiva como defensiva.
En un escenario como la Escuela Nacional de Policía de Ávila, coincidiendo este año con el bicentenario de la creación del cuerpo de lo que hoy es Policía Nacional, pues me he trasladado a su casa para asistir a este congreso que ha tenido lugar los días 18, 19 y 20 de junio. En este caso, soy asistente por segundo año consecutivo.
Y es que si C1b3rwall tiene algo, tanto en el congreso, como en su versión Academy, es su vocación de servicio público, el mismo que tiene Policía Nacional y solo por eso merece la pena apoyar este tipo de eventos, ya sea como ponente o como asistente. Y tal como se ha demostrado por su cantidad de ponentes y su record de asistentes tanto inscritos presenciales (más de 8000), como para streaming (más de 7000) ha sido un éxito. Gracias a Casimiro Nevado en particular, a Policía Nacional en general y a toda la organización, así como patrocinadores por que tengamos este tipo de eventos.
Y es que C1b3rwall es muy grande, tan grande como para disponer de 13 espacios para dar charlas y talleres de forma simultanea, de las cuales 4 se retransmitían en streaming.
Dicho todo esto, voy a contar mi experiencia en C1b3rwall 2024 que obviamente es única, simplemente por el hecho que he comentado, hay que escoger donde estás en cada momento, para ver y oir aquello que más te interese, porque al ser uno de los puntos fuertes del congreso (diversidad), para el asistente es uno de los puntos a veces difíciles escoger entre digamos tanta oferta. Reconozco que partía de unos fijos, los cuales no me quería perder, aunque al final dos de ellos me los acabé perdiendo por problemas de aforo, que se le va a hacer, otra vez será.
Este post quizá es más largo de lo habitual, pero quería compartir un poco mi experiencia y aunque hubo mucho más, creo que será más que suficiente.
Así que vamos a ello, dado que el evento duró 3 días, voy a comentarlo por días …
1er día (18/06)
Llegada a la Escuela Nacional de Policía, era un día fresquito, así que como iba con tiempo pues me fui andando, mochila acuestas (como siempre) para llegar y hacerme la acreditación.
Inauguración del evento: con un momento muy emotivo por la entrega de un premio a la viuda e hijo de Angelucho, persona a la que no he llegado a conocer, pero que según todo lo que he conocido ha sido una gran persona y muy relacionada tanto en su faceta de guardia civil, como ha posteriori con la ciberseguridad. De hecho, la sala auditorio donde se realizaba esta inauguración, ahora se ha rebautizado con su nombre.
Salí casi corriendo, para poder llegar al Aula 3, para poder ver la charla de Marc Rivero sobre amenazas a los sistemas Linux, era una de las que no me quería perder, aparte de por el ponente, porque hay una gran cantidad de gente que piensa que el Linux no se va a ver afectado por malware y nada más lejos de la realidad, vale, es cierto que la mayor cantidad de malware se centra en Windows, que existe poco que sea multiplataforma, pero si que existe también para Linux y por tanto hay que protegerse. Muy buena su charla, como ya nos tiene acostumbrados.
Siguiente charla, vuelve a correr porque es en la otra punta (Aula 9) y ya estaba apunto de desistir porque pensaba que no podía entrar y justo cuando me iba a marchar un policía de los que estaba para organizar las colas que se montaban y demás, dice alguien para la sala 9, estaba justo delante de él, así que allí que me fui, para ver una charla sobre “Lockpicking” y no, no es aprender a ser delincuente, es que ya he escuchado el comentario varias veces y me molesta, lo primero es que ningún conocimiento es bueno o malo en si mismo, depende de para el fin que lo use quien lo adquiere, después y como se esforzaron en explicar Mario Álvarez y Pedro Robledo en esta charla, aparte de ser un buen pasatiempo para gente que necesita hacer cosas con las manos, es un tema de salud mental (que bien que cada vez se pueda hablar más de esto y que deje de ser un tabú), tiene una gran utilidad para pruebas de intrusión física, más típicas de un Red Team. Excelente charla, aunque entre los problemas iniciales para proyectar en la pantalla y demás, se vio reducida en tiempo y contenido, pero los que os conocemos sabemos que sois unos cracks y la parte que se pudo ver demuestra lo que este campo puede dar de si mismo.
Para la siguiente y al no salir corriendo, nos tuvimos (hablo en plural porque iba con un compañero del Curso de 0 a 1 en Seguridad Ofensiva) que esperar en el pasillo porque ya no se podía entrar en las salas y tampoco era cuestión de entrar en cualquiera a medio empezar.
Pero la siguiente estuvo muy bien también, una charla sobre IA como no, ya llegaba la primera, sobre los deepfakes, en este caso la clonación de voz. Ya había visto una charla previa en RootedCON de este Team formado por Antonio Fernándes y Daniel Fernández que nos enseñaron los 4 niveles de clonación de voz con un equipo domestico, todo en local y con un sistema de IA entrenado por ellos mismos con muestras de voz, en este caso del presidente del gobierno Pedro Sanchez y como último ej. de Javier Milei (actual presidente de Argentina). Por una lado fenomenal la parte técnica y por otro lado, a los que nos dedicamos entre otras cosas a dar charlas de concienciación es un tema a tener muy en cuenta, porque no es que sea fácil, es muy fácil que te la cuelen porque los resultados son casi perfectos. Maravillado por la técnica y horrorizado pensando en los malos usos que se pueden hacer, pero precisamente ese era el objetivo de la charla, en mi opinión cumplido con creces, sobresaliente.
Después de la comida y un poco de descanso, empezamos la tarde con la charla de Marta Barrio (profesora, divulgadora y referente en ciberseguridad) y Xuqiang Liu Xu profesional en pentesting, ambas en representación de ISACA Madrid en el Aula 2, donde pudimos ver dos vertientes relacionadas con las aplicaciones móviles por un lado demostraciones prácticas de pentesting en aplicaciones móviles y por otro lado, los peligros de instalar aplicaciones de dudosa procedencia, mucha concienciación y consejos prácticos para evitar problemas en estos dispositivos que se han vuelto inseparables para la gran mayoría de nosotros, que por tanto hay que proteger porque de lo contrario podemos sufrir problemas de los gordos. Con tanto contenido y en el tiempo previsto, aún quedó tiempo para preguntas y comentarios de los asistentes. Qué más puedo decir, grandes profesionales, ejecución y temática inmejorables.
O no, toca correr!! Siguiente charla en sala 11, al final del todo de la Escuela Nacional de Policía, aunque ya la había visto en Málaga (UAD360), es una charla que en este momento me interesa profesionalmente hablando y por tanto no me la quería perder, la charla a cargo de Mercedes Muñoz con el título “HACK-IN”, a los que la conocemos nos encanta su sentido del humor, lo cual vaya por delante no le quita ningún ápice de profesionalidad, muy al contrario, un contenido muy bueno y transmitido de una forma amena, además con un montón de herramientas y compartió una recopilación de las mismas que para todos los que nos gusta el OSINT es una delicia. Como ya he comentado era la segunda vez que veía la charla y ya sabía lo que iba a ver, pero es que se supero a si misma, casi la misma charla me pareció nueva y refrescante, me encantó, pero no solo a mi, sino a todo el público que entró en la sala porque acabamos muchos sentados en el suelo por donde pudimos, pero se metió a los asistentes en el bolsillo.
2o día (19/06)
En el autobus (sí, con menos ganas de caminar que el primer día, que la Escuela Nacional de Policía es muy grande), de camino al congreso me encuentro con Vicente Aguilera, como la mayoría sabrá reputado profesional de la ciberseguridad con muchos años de experiencia y además una de las personas que junto con su empresa apostó por la ciberinteligencia cuando todavía el termino no estaba ni acuñado. Este año no vi su charla en C1b3rwall, pero si tuve la oportunidad de asistir a una MasterClass en el master de Seguridad Ofensiva que estoy cursando. Al igual que Carlos Seisdedos (cuya ponencia si vi en UAD360), me dieron mi segundo curso sobre investigación en fuentes abiertas en plena pandemia (formato online con videoconferencias), curso del que tengo muy buenos recuerdos y del cual fue una lastima no pudiera ser presencial, pero las circunstancias eran las que eran.
Ya en el congreso, primera charla de la mañana, con otro gran y reputado profesional Javier Espejo, con su diario de un pentester, ponencia basada en experiencias propias de su día a día sobre las vulnerabilidades en las APIs y como todos sabéis y se recalcó en esta charla, es que hoy en día casi todo es una API y está muy bien, facilita mucho el trabajo, pero como bien dijo da mucha vidilla a cualquier pentester y es una gozada encontrar ciertas cosas (tal como lo explicaba él, de forma casi fácil), pero es que con su experiencia no me extraña nada, huele las vulnerabilidades a la legua. Ponencia amena y divertida, super didáctica y con un pequeño troleo de DelfínAdorable, que como le pude comentar fue sin premeditación y sin ninguna mala intención (lo respeto mucho). Esto me hizo empezar el día con unas expectativas muy altas porque no pude salir más contento de dicha charla, mereció totalmente la pena levantarse “relativamente” pronto para estar allí a primera hora y escucharle, un gran referente.
Vi unas cuantas charlas más esa mañana, pero no quiero mencionar nombres, porque fueron un poco decepcionantes al menos para mí, no me aportaban nada nuevo y tampoco tenían una exposición digna de mencionar, pero bueno, es lo que hay, si eliges mal pues el resultado puede ser ese, una perdida de tiempo. Aunque estoy seguro que quizá a otras personas que estaban en esas aulas les fueron de utilidad, como no puede ser de otra manera solo puedo expresar una opinión personal.
La última charla de la mañana a la que asistí fue de Caixabank, de la mano de su CTSO Jordi Andre y como utilizaban la IA para luchar contra el fraude bancario, charla interesante con algunos dejes sobre el uso de la IA en ciberseguridad, pero como digo centrada en el uso que se hace en la entidad como tecnología antifraude.
A la vuelta de la comida, gran decepción, no pude entrar en la charla de Jezer Ferreira y eso que estábamos allí (éramos tres personas que íbamos juntas) con antelación, pero al parecer no la suficiente y nos quedamos con tristeza fuera de la charla (después me comentaron que era la misma o parecida a la que dio en Osintomático 2024), pero bueno íbamos a verle a él y pedirle que nos firmara su recientemente publicado libro, pero no pudo ser.
Lo que vino en su lugar, aunque al menos una de las ponencias fue amena y divertida, creo que no merece la pena mencionarla y la última del día, aún fue más decepcionante, pero bueno se había terminado el segundo día (al menos en lo referente a ponencias).
Insisto, son juicios de valor personales, el segundo día estoy seguro que hubieron charlas super interesantes a las que no asistí y no quiero deslucir para nada el congreso, para nada implica que el evento no tuviera calidad y buenísimos ponentes, es solo que igual no escogí bien dentro de mis intereses.
3er día (20/06)
Se olía ya el ambiente de despedida a primera hora de la mañana al llegar al Congreso, pero nos esperaba un día cargado también de muy buenas ponencias.
Empezamos con Carlos Loureiro (Policía Nacional) y otro gran referente del mundo ciber. Con su charla sobre Ciberataques y ciberoperaciones de influencia, empezó con una base teórica que cimentaba el resto de su charla, es un tema muy de actualidad en el panorama geopolítico actual, siempre que puedo asisto a sus charlas porque me parecen muy interesantes.
Después asistí a una charla sobre lo que la IA puede hacer en temas de deepfakes con solo dos minutos, con varios ejemplos prácticos para demostrar lo fácil que es y con herramientas online, la charla iba un poco de concienciar sobre los malos usos de la IA y que se debería controlar su uso, aunque ya igual es un poco tarde, se trataba el tema de que hoy cualquiera sin conocimientos técnicos de ciberseguridad podía pedirle a una IA que le genere un malware o que le genere scripts para realizar cualquier tipo de ataque.
No digo que no sea cierto, abrir al uso del público general de esta tecnología ha creado nuevos riesgos que antes no existían, como los que puede puede generar el día que haya computación cuántica en manos de ciberdelincuentes (porque los actores Estado, serán los primeros que se hagan con ella). Pero como le comenté al final de la charla, antes de salir, el problema sigue siendo para mi el mismo, que sigamos teniendo protocolos inseguros, algunos por ser muy antiguos y no tener ninguna capa de ciberseguridad y que no tengamos mecanismos de defensa o no los suficientes, porque hay que asumir el escenario actual y los que vengan como lo que son, que la IA al final había puesto más fácil esto a cualquiera que quiera hacer el mal, es verdad, pero como todos sabemos, también quien se dedica a ciberseguridad usa la IA como una herramienta, es como poco una charla controvertida y que daría mucho juego en un debate.
Nos volvimos a quedar fuera en otra de las charlas que tenía como fijas, de Ainoa Guillen y Jorge Testa, a quienes tuve la suerte de ver, en una de las mejores charlas para mi, de Osintomático 2024 y que por tanto me generaba muchas expectativas, pero no pudo ser.
Descartada la charla por problemas de aforo, nos apuntamos a una de backup, pero que resultó bastante interesante de Pablo Martinez sobre Bug Bounties, CVEs y Responsive Disclosure. Estuvo interesante, dado que habló de su experiencia en este campo.
La última charla del día fue de Pablo San Emeterio, al que también había visto en Málaga hacía unos días en UAD360, pero en este caso su charla era diferente, más ligera técnicamente hablando, pero no por ello menos interesante, fue un buen final de congreso.
Y ya para finalizar la jornada y el congreso (no vimos la clausura) para poder ir a comer y llegar a tiempo a la Estación para la vuelta a casa.