Cabe destacar el notable crecimiento y aceptación de estas jornadas. En sólo tres ediciones, ya han conseguido superar los 600 inscritos al evento y, además de las conferencias y talleres (actividades que ya se llevaron a cabo en la anterior edición), este año han incorporado, como novedad, la realización de un CTF (capture-the-flag) de tipo jeopardy, donde los participantes debían resolver determinadas pruebas de distinta tipología para obtener puntos, sin necesidad de defender su propio sistema.
En esta ocasión, las jornadas fueron inauguradas por parte de D. Félix Sanz Roldán, secretario de Estado director del Centro Nacional de Inteligencia, y el Excmo. Sr. D. Fernando Galván Reula, Rector Magnífico de la Universidad de Alcalá.
Además de numerosos estudiantes, al evento acudieron profesionales de la seguridad y tecnologías de la información en general, así como numerosos miembros de distintos cuerpos y fuerzas de seguridad del estado, entre otros asistentes.
Tras una breve bienvenida e introducción a cargo del Rector de la UAH, el secretario de Estado director del CNI nos ofreció una interesante reflexión sobre el estado de la ciberseguridad en España y, entre otros aspectos, nos reveló que dispone de una máquina Enigma en su despacho, momento que aprovechó para comentar su punto de vista sobre la conocida película The Imitation Game.
Como primer ponente de las jornadas, hablé sobre técnicas OSINT. En primer lugar, comentando aspectos relacionados sobre la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, mostré un análisis sobre los atentados de París utilizando la última versión de mi herramienta Tinfoleak.
La segunda ponencia ("Hacking Web: Attacks and Tips") a cargo de Iván Sanz de Castro, tuvo un enfoque práctico sobre un problema ya conocido pero no por ello menos relevante: el de las deficiencias en el código de las aplicaciones, su detección y posterior explotación. Con este enfoque, presentó riesgos recogidos en el Top 10 de OWASP, con un carácter divulgativo y con una gran exposición.
Tras el descanso, llegó el turno de Lorenzo Martínez y su presentación "Memorias de un Perito Informático Forense". Esta presentación, considerada el volumen III de lo que parece ser una larga serie de memorias, nos revela las experiencias de Lorenzo en el mundo del análisis forense. Sobra decir, para quienes conocemos a Lorenzo, que sus exposiciones son muy ilustrativas a la par que divertidas. En esta ocasión, nos expuso otro de los casos con los que ha tenido que lidiar últimamente, siguiendo con detalle los pasos realizados en su investigación que, naturalmente, finalizó con éxito.
El siguiente ponente, al que también tengo el placer de conocer, fue Deepak Daswani y llevó a cabo la presentación "Hack your life for fun and profit". Por desgracia, tuve que ausentarme en esta presentación, por lo que no puedo aportar mi visión sobre la misma, aunque intuyo que debió ser realmente interesante.
Ya en la tarde, tras la comida, Óscar Pastor nos presentó "Los ciberejercicios como herramienta de protección y sensibilización ante las ciberamenazas". Expuso diversos escenarios en los que ISDEFE ha venido trabajando en los últimos años, simulando ataques contra infraestructuras críticas. Estos ciberejercicios, ejecutados por un grupo heterogéno de profesionales, pretenden simular la capacidad de respuesta frente a un ataque real, así como conocer el nivel de protección de las infraestructuras críticas en España. Destacó la ciberamenaza creciente a los sistemas de control industrial, y comentó alguno de los ciberjercicios que se han llevado a cabo desde 2012, incluyendo el último relacionado con un escenario de control ferroviario.
A continuación, tuvo lugar la miniferia de empleo en ciberseguridad. Esta miniferia estaba formada por stands de empleo de algunas de las principales empresas del sector de nuestro país donde, como no podía ser de otra forma, se encontraba Internet Security Auditors. Este espacio, de gran aceptación por los asistentes a juzgar por el número de visitas e interés mostrado, sirvió para poner en contacto a estudiantes y profesionales del sector, con destacadas empresas del sector de la ciberseguridad.
La dos siguientes sesiones, corrían a cargo de antiguos estudiantes de la UAH con dos interesantes presentaciones. En la primera de ellas ("OWADE Reborn"), Carlos Cilleruelo presentaba un proyecto que ya conocía por ser uno de los proyectos que se desarrollaron en el Hackathon de Cybercamp en el que tuve el honor de participar como jurado. Se trata de un fork de OWADE y es una herramienta de código abierto que permite obtener contraseñas de Chrome y Firefox, historial y descargas, Outlook así como contraseñas de sistema operativo, SSIDs y contraseñas de redes WiFi de sistemas Windows 7 y Windows 8. En la segunda sesión, Luís Linazasoro nos presentó "Whatsapp Privacy?", exponiendo sus experiencias en la investigación de las comunicaciones de la archiconocida herramienta de mensajería. Presentó algunos problemas de privacidad que había identificado en el pasado, así como los sistemas de cifrado que ha implementado Whatsapp, pero que aún sufren deficiencias que permiten identificar, entre otros, datos privados como el número de móvil simplemente analizando las comunicaciones. Esta información podría servir, como indicaba el propio Luís, para ser utilizada por otras herramientas (como las desarrolladas por Deepak Daswani en esta línea).
La última ponencia de las jornadas ("Scanning and Port-Knocking: 1F authentication + 1F authorization") fue impartida por Pablo González. A pesar de su juventud, se ha convertido en un clásico de los eventos de ciberseguridad y al que muchos conocemos. Su presentación versaba sobre cómo facilitar la labor de los administradores de sistemas, protegiendo los servicios expuestos a Internet. En concreto, como revela el título de la presentación, presentaba la técnica port-knocking para llevar a cabo procesos de autenticación (basado en el puerto y la IP origen) combinado con la herramienta Latch para verificar el nivel de autorización. Su presentación culminó con una prueba de concepto que, a pesar de no resultar exitosa, permetía conocer las posibilidades comentadas durante su presentación.
Sin lugar a dudas, unas jornadas muy interesantes cuya evolución habrá que seguir muy de cerca. Mi enhorabuena a la organización de CIBERSEG16 por el éxito conseguido.
Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader.
Director Departamento de Auditoría.
