Si hay un evento ineludible a nivel mundial para el mundo de la ciberseguridad, ese es sin duda el #DEFCON27.
Franck CECILE fue nuestro enviado especial al evento y nos cuenta sus impresiones personales sobre la #DEFCON27.
Por Franck Cecile – TheExpert Cybersécurité Squad
> Para leer también:
- El equipo en la #DEFCON27 (2/3): Mi experiencia
- El equipo en la #DEFCON27 (Parte 3/3): Mis impresiones
Aviso legal
Quiero aclarar que este artículo refleja mi punto de vista personal y solo me compromete a mí, teniendo muy presente que:
- Los problemas relacionados con el idioma pueden haber dado lugar a una falta de comprensión de ciertos aspectos técnicos,
- Debido a la cancelación de un vuelo, solo pude pasar dos días allí, por lo que no pude verlo todo (teniendo en cuenta que era mi primera convención de este tipo),
- Mis conocimientos puramente técnicos en el ámbito del hacking son bastante limitados, en comparación con los de visitantes muy expertos en la materia.
Por lo demás, espero que el artículo os guste, ¡al menos tanto como me gustó a mí la DEF CON!
Índice:
- ¿Qué es la DEF CON?
- ¿Qué es eso?
- ¿De qué trata?
- ¿Cómo?
- ¿Dónde y cuándo es?
- ¿Para quién es?
- Mi experiencia en la DEF CON
- ¿Qué hice allí, qué vi allí?
- ¿En detalle?
- Mi opinión personal.
1. ¿Qué es DEF CON?
¿Qué es eso?
Para quienes no lo sepan, vamos a citar a Wikipedia: «DEF CON es la convención de hackers más conocida del mundo. Se celebra cada año en Las Vegas. La primera convención DEF CON tuvo lugar en 1993». Así que participé en la #DEFCON27, que tuvo lugar justo después/durante la BLACK HAT, otra gran convención de hackers, también en Las Vegas. Con más de 20 000 participantes en los últimos años, la DEF CON es una de las mayores convenciones de seguridad informática del mundo. Y no es poca cosa.
¿De qué trata?
Sobre el hacking. Bueno, dicho así suena un poco genérico, pero precisamente de eso se trata. ¡El punto fuerte de la DEF CON es que se habla del hacking en general! A modo de recordatorio, el hacking consiste en buscar formas de eludir las medidas de seguridad, protección o defensa establecidas en un sistema (o conjunto de sistemas) informático, digital, o incluso electrónico o físico.
Por lo tanto, DEF CON pone de relieve el descubrimiento de vulnerabilidades y las posibilidades de explotación de equipos de infraestructura de red, ordenadores, teléfonos inteligentes, sistemas de control industrial (ICS/SCADA), cámaras, componentes electrónicos, objetos conectados/IoT (aspiradoras, frigoríficos, lámparas, cerraduras, termostatos, relojes, juguetes sexuales… sí, sí, has leído bien, hubo una presentación sobre pruebas de penetración —sin doble sentido— en un plug anal… los chicos saben divertirse), drones e incluso cerraduras físicas (sí, una cerradura clásica de las de toda la vida). Y todo ello, independientemente de los entornos en los que se utilicen estos sistemas:
- Sistema de información empresarial (TI: informática de oficina y servidores)
- Sistema de información industrial (OT: presas hidráulicas, control de procesos de una planta, sistema de gestión de infraestructuras urbanas, etc.)
- Domótica
- Barco / Avión / Coche
- Puertos marítimos
- Etc. …
En resumen, es amplio. Muy amplio, de hecho. Por cierto, una particularidad de Francia es que el mercado de la ciberseguridad se dirige principalmente a las empresas que desean proteger sus sistemas de información. Además, eventos como Le Hack hacen mucho más hincapié en las metodologías para explotar vulnerabilidades relacionadas con las tecnologías de la información. Hasta tal punto que se nos olvida el abanico de posibilidades.
La DEF CON nos recuerda que, en definitiva, la informática no representa más que una pequeña parte de la seguridad digital, y que es sumamente importante redoblar los esfuerzos para proteger cualquier equipo expuesto a riesgos cibernéticos —cuyo funcionamiento nominal puede verse alterado por una capa lógica—. Es probable que nuestros colegas al otro lado del Atlántico vayan un paso por delante y que hayan comprendido perfectamente que las vulnerabilidades no solo están presentes en las infraestructuras informáticas de las empresas. Habrá que ver cómo evoluciona el panorama de la ciberseguridad de aquí a unos años. Wait & See, como se suele decir.
¿Cómo?
¿Cómo se habla de todo esto en la DEF CON? Como no soy un asiduo a este tipo de eventos, debo admitir que eso fue lo que más me preocupó al preparar mi visita. ¿Qué voy a ver? En resumen, lo principal es:
- Las conferencias: En la DEF CON hay, como mínimo, 200 personas por conferencia, en salas de gran aforo. Y hay cuatro salas, ocupadas continuamente por ponentes. Mucha gente, muchos temas, muy variados, en todo momento. No es poca cosa.
- Talleres: ejercicios técnicos; las plazas son más escasas (unas treinta por taller) y hay que inscribirse con antelación (las plazas se agotan a las pocas horas de abrirse las inscripciones, parece que estuviéramos en un concierto de AC/DC). Hay que traer el propio ordenador y practicar para descubrir, explotar o comprender vulnerabilidades. Se requiere un mínimo de conocimientos, pero la mayoría de los talleres son accesibles para principiantes.
- Los «Villages»: Esta es la parte que más me ha intrigado. Un Village no es más que un espacio dedicado, con uno o varios stands, sobre un tema concreto, en el que se puede intercambiar opiniones, asistir a charlas (miniconferencias), probar productos o sistemas, o ver cómo funcionan (simuladores de vuelo, simuladores marítimos…), o participar en CTF (Capture The Flag). Los fabricantes y editores también aprovechan para organizar programas de recompensas por errores, lo que les permite poner a prueba sus productos a un menor coste.
- Competiciones: Principalmente CTF, pero también otras competiciones, entre ellas una relacionada con la insignia de la DEF CON, que se renueva cada año
- Demostraciones técnicas
- Y muchas cosas más interesantes: grandes fiestas, películas, espacios de trabajo y de intercambio, puestos de venta (nos referimos a puestos dedicados al mundo del hacking, incluyendo vendedores de ropa, libros, pegatinas, peluqueros, pero sobre todo vendedores de equipos electrónicos específicos… adiós a los grandes proveedores de infraestructura como Cisco, CheckPoint, Palo Alto, Microsoft...), un «Wall Of Sheep», que muestra a los usuarios menos asiduos que han sido hackeados durante la DEF CON, y un largo etcétera.
¿Dónde y cuándo es?
Las Vegas. En este caso, la edición de 2019 se celebró del 8 al 11 de agosto en cuatro hoteles, y no en cualquiera. Nos referimos al Paris, al Bally’s, al Planet Hollywood y al Flamingo, cuatro de los hoteles más prestigiosos del North Strip. Por lo tanto, no siempre es fácil desplazarse entre las diferentes zonas de la convención, sobre todo cuando se pasa de un hotel a otro bajo el calor sofocante de Las Vegas (más de 40 °C). Cabe destacar que ahora existe una DEF CON China en Pekín, que se celebra a finales de mayo y principios de junio.
¿Para quién es?
Sin duda, para cualquier persona que se defina como hacker o que se mueva en el mundo del hacking, ya sea por motivos profesionales o por pasión.
«¡Un momento!», me dirán, «¿no es esto válido también para cualquier persona que trabaje en el ámbito de la seguridad informática o la ciberseguridad?». Pues bien, en mi opinión, sí y no. Se puede decir perfectamente que un consultor de ciberseguridad, un integrador de redes, un gestor de riesgos, un responsable de SOC, etc., tiene todo el sentido de estar en este tipo de eventos. Pero (¡porque hay un pero!) está claro que ese no es el público objetivo.
DEF CON es DE y PARA los HACKERS.
En la DEF CON, nos movemos en un microcosmos apasionante y efervescente, compuesto por personas con perfiles muy variados (desde aficionados a la informática hasta expertos profesionales, desde personas tímidas y discretas hasta hackers completamente excéntricos —que no faltan). Pero a todos les une una pasión común por las nuevas tecnologías, el hackeo informático y la seguridad OFENSIVA (o incluso defensiva), y cuentan con competencias técnicas (muy) avanzadas.
Para quienes no encajan en esta descripción, el evento sigue siendo, en cualquier caso, una cita ineludible en el ámbito de la ciberseguridad. Así que no hay de qué preocuparse: aunque no seamos los más indicados para participar en los talleres o nos veamos limitados técnicamente a la hora de analizar una vulnerabilidad, la DEF CON ofrece sin duda alguna oportunidades para conocer gente, aprender y descubrir este apasionante universo.
