Netkia estuvo presente en la 5ª edición de la RootedCon, uno de los congresos de seguridad informática más importantes de España, que se celebró en Madrid los días 6, 7 y 8 de marzo. A diferencia de otros años, esta edición del evento profesional ha tenido una proyección más internacional, algo que repercutió en el número de asistentes, superando los 1.000.
RootdCon que reunió a estudiantes, empresarios, inversores, académicos, profesionales de la ciberseguridad, fuerzas de la ley, servicios secretos e incluso el ejército analizando, entre otros aspectos, la ciberguerra actual.
Día 1
Así, el primer día analizábamos la herramienta de Inteligencia de la Información Sinfonier: Storm Builder for Security Investigations de la mano de Francisco Jesús Gómez y Carlos Juan Díaz.
Además, Alfonso Muñoz nos enseñó cómo ocultar comunicaciones en lenguaje natural, haciendo uso de diccionarios, sustitución de sinónimos en archivos de texto y análisis sintáctico.
Pau Oliva presentó su tool para Android hotspot-bypass, con la que es posible saltarse la seguridad de los portales cautivos que muchas empresas ofrecen a sus clientes (hoteles, bares y restaurantes, etc).
Antonio Ramos nos aconsejaba sobre la implantación de Agile y sus metodologías en el ámbito de la seguridad en el entorno empresarial.
Raj Shah nos mostró el funcionamiento de APT, donde el malware especializado en espionaje es capaz de exfiltrar datos de una empresa.
Pablo González y Juan Antonio Calles de Eleven Paths nos presentaban «Cyberwar: Looking for.. touchdown!», donde demostraron la posibilidad de un Estado de competir en una ciberguerra contra mafias organizadas con relativamente pocos recursos.
Ese mismo día, Alberto Cita nos presentaba la historia de Skype en materia de seguridad y privacidad. Y, por su parte, el fiscal Jorge Bermúdez nos hablaba sobre cómo son los procesos judiciales centrados en nuevas tecnologías y el hacking.
El día terminaba con el Rooted Panel sobre ciberarmas, una mesa redonda en la que altos cargos del ámbito militar, Guardia Civil, el investigador de Seguridad Jaime Sánchez y el propio organizador del congreso, Román Ramirez, analizaron las «ciberarmas», los «cibersoldados» así como otros agentes de este entorno.
Día 2
El segundo día comenzaba con Jose Luis Verdeguer y Victor Seva, con su ‘Secure Communications System’, un sistema de comunicaciones móviles seguras con servidor de la comunicación y el cifrado de la misma autocontrolable.
Por su parte, Joaquín Moreno Garijo, hacía un análisis forense a bajo nivel en Mac OS X y Jorge Ramió abordó la historia, evolución y situación actual en cuanto a cifrado y longitudes de claves de RSA.
José Luis Quintero y Felix Estrada profundizaban en Ciberguerra: de Juegos de Guerra a La Jungla 4 tratando la evolución de las herramientas de hacking en el ámbito ofensivo.
Jeremy Brown y David Seidman hablaron sobre cómo convertirse en un «finder», un investigador de seguridad, con el fin de encontrar vulnerabilidades y bugs en productos comerciales.
Después, el archiconocido hacker Chema Alonso nos presentaba Latch, un sistema de «cerrojos» para proteger el acceso a cuentas de usuario de diferentes servicios y nos adelantó varias funcionalidades extendidas aún en desarrollo.
Miguel Tarascó nos presentaba un análisis de conexiones WiFi de forma nativa en Windows a través de una herramienta propia y su integración con Wireshark o Cain & Abel, entre otros.
Su hermano Andrés Tarascó nos explicaba cómo realizar un ataque dirigido con APT’s WiFi, y cómo conseguir la filtración de información de una corporación al exterior.
Seguidamente, Roberto Baratta mostraba en qué consiste la monetización de la seguridad y cómo mejorar este aspecto dentro de la empresa.
Finalmente, Cesar Lorenzana y Javier Rodríguez, integrantes del Grupo de Delitos Telemáticos de la Guardia Civil, hablaron sobre una exitosa operación en la que se desmanteló una pequeña red de fraude con tarjetas SIM.
Día 3
El último día comenzó de la mano de Manu Quintans y Frank Ruiz, que presentaban «50 shades of crimeware», un análisis de los diferentes aspectos del crimen en Internet y de la estructura del mundo underground.
El genial Hugo Teso nos presentó cómo hackear un avión comercial con pruebas muy realistas en drones.
José Picó y David Pérez, de Taddong, hablaron sobre las vulnerabilidades de la tecnología 3G, que podrían llevar a la obtención de datos identificativos de un terminal (código IMSI).
Borja Berastegui mostraba en Handware Hacking los peligros de las malas configuraciones de los cajeros automáticos, quioscos digitales y terminales de check-in.
Juan Vazquez y Julián Vilas, de Rapid7, nos diseccionaban un sistema comercial SCADA y la forma de descubrir y aprovechar sus vulnerabilidades y Aladdin Gurbanov demostró la facilidad para clonar una tarjeta de crédito o débito y su uso posterior.
Después, Raúl Siles enseñó la facilidad para saltarse las medidas de seguridad de las actualizaciones de iOS, mediante las cuales Apple no permite hacer un downgrade o bajar de versión el sistema operativo instalado en dispositivos iPhone y iPad.
Los investigadores de seguridad Jaime Sánchez y Pablo San Emeterio nos desvelaban algunas vulnerabilidades de WhatsApp, demostrando la interceptación de mensajes por un tercero. Además, desgranaron el sistema de cifrado WhatsApp Privacy Guard, encargado de cifrar los mensajes utilizando un algoritmo propio, como vía para solventar esa debilidad.
RootedCon vuelve a poner de manifiesto las vulnerabilidades de muchos de los productos comerciales actuales así como la necesidad de aprovechar el talento nacional para avanzar hacia un mundo digital y, por tanto, un mundo real más seguro.
