Qurtuba Security Congress: Hackers sin ceros ni unos (V), a la caza del “Pirata Informático”

      La primera edición de Qurtuba Security Congress se ha celebrado los días 10 y 11 de abril en la preciosa ciudad de Córdoba, concretamente en la Facultad de Derecho y Ciencias Económicas y Empresariales de Córdoba.

     Nuevamente logré “infiltrarme” en un congreso de seguridad informática, esta vez como ponente, estaba seguro que en esta ocasión sí podría desenmascarar a los Hackers, a los piratas informáticos, esos “peligrosos ciberdelincuentes” 😉 .

Video de presentación de Qurtuba Security Congress

      Aunque en el viaje a Córdoba me encontré con otros ponentes y asistentes en la estación del AVE, representantes de Policía y Guardia Civil, de empresas líderes en el sector de las telecomunicaciones y de la seguridad informática, e incluso expertos de la abogacía, el principio de mi nueva “hackventura” no empezó demasiado bien. A medio camino el tren se detuvo, situación que se prolongó durante 50’ por problemas técnicos en un tren precedente, pero yo no me fiaba demasiado, en el tren viajaba mucha gente que se dirigía al Congreso y pude observar como alguno de ellos pulsaban constantemente en un botón “NEXT” 😉 , ¿tendría algo que ver? Justo detrás de mi asiento viajaban dos jóvenes, aparentemente chinas y que no paraban de hablar en Chino entre ellas, aunque no pude precisar por su acento si era chino mandarín o cantonés, lo que estaba claro es que cordobesas no eran. Lo que me sorprendió es que en el momento del incidente preguntaron en perfecto castellano, a uno de esos que pulsaban en el “NEXT”, si devolverían el importe del billete por el retraso. ¡Yo estaba seguro, localicé mis primeros espías a pesar de su extraordinaria caracterización!, ¡Son unos fenómenos pero encontré su primera vulnerabilidad! 😉

     regalo En la estación de Córdoba nos esperaba una representación de la organización del Congreso que nos desplazaría al hotel de concentración, allí estarían todos y yo lo tendría fácil para ir identificando y desenmascarando a cada uno de los peligrosos hackers. Esta vez el éxito estaba asegurado. Sin embargo no todo se desarrollaría como lo esperado, a nuestra llegada al hotel nos entregaron un pack de bienvenida.

.

      En el pack se incluía una carta de bienvenida que comenzaba con una cita de Linus Benedict Torvals, pero lo que me llamó la atención, llegó a descuadrarme, fueron las palabras del Presidente de ANPhacket, organizadores de Qurtuba Security Congress, en una carta de bienvenida, ¿Reconocimiento social? ¿Compartir conocimientos? ¿Sin ánimo de lucro?, pero entonces… ¿Dónde están sus maldades?

carta

      Este primer varapalo, en mi misión de buscar “piratas informáticos”, no podía detenerme, era solo el comienzo. Aunque en realidad no era el primero puesto que no llegué a tiempo de asistir a una edición de Hack&Beers.

hack&beers

      Tras instalarnos en el hotel, y una vez repuesto del “golpe”, nos volvieron a recoger para trasladarnos a un restaurante donde se celebraría una cena de ponentes, patrocinadores y amigos en general. Estaba seguro de que allí lograría identificar a los primeros “piratillas”, pero… ¡Nuevo fracaso!

      cena primer diaUna vez más en esa reunión me encontré con viejos amigos, con “ciberamigos” que desvirtualicé y con los que había compartido hangaouts de concienciación sobre el uso seguro de las TIC,s, además también había profesores, educadores, expertos en seguridad informática de GRAN prestigio a nivel internacional, componentes de cuerpos policiales, abogados y sobre todo amigos, muchos amigos.

CCNfDhcVIAArwSC.jpg large

      El viernes era el primer día del Congreso, sesión de mañana y tarde. Yo intervendría por la tarde por lo que tendría el tiempo suficiente para poder desenmascararlos y hacer públicas sus “maldades” durante mi ponencia.

inaguracion

      Comenzó el Congreso con emotivas palabras de los organizadores de Qurtuba, representantes del Ayuntamiento de Córdoba y de la Diputación de Córdoba así como del Parque Tecnológico Rabanales 21 de Córdoba

      CCN8TDXUgAEeltA.jpg largeEl hielo lo rompió mi buen amigo Lorenzo Martinez (@Lawwait), Director (CTO) de la empresa Securízame y editor de Security by Dafault, con su ponencia Memorias de un Perito Informático Forense Vol. II”, en la que nos contó de forma muy amena sus experiencias con algunos casos reales en los que he tenido que participar como perito informático forense. Nos solo nos contó las “historias” que había tras cada caso, también nos destalló el procedimiento legal para llevar a buen puerto un peritaje, y todo de forma muy comprensible para cualquiera, incluso profano en la material.

Y yo, mientras, sin encontrar señales evidentes de la existencia de “Piratas informáticos”.

      CCN_8GNUkAEQ1ka.jpg largeLa siguiente ponencia corrió a cargo también una vieja conocida, Sílvia Barrera (@sbarrera0) Inspectora de la Policía Nacional (@policia), Jefa de Grupo de Redes de la Unidad de Investigación Tecnológica, que participó con la ponencia “Delitos cometidos a través de redes sociales, investigación y medios de prueba” y que pese a los problemas técnicos, a los que incluso sacó partido en tono de humor, demostró su excelente conocimiento del tema que nos presentó, explicando su rutina diaria profesional y la forma de obtener los medios de prueba durante una investigación “digital”. El inicio de la ponencia fue la parte más emotiva, con la que llegó al corazón de los asistentes, mostrándonos los aberrantes comentarios y actitudes que demuestran algunos desalmados usuarios de la Red.

Y yo, mientras, sin encontrar señales evidentes de la existencia de “Piratas informáticos”.

      CCOPp--UsAACsh_.jpg largeTras un pequeño receso para un café, llegó el turno de, mi también buen amigo, Pablo González (@pablogonzalezpe), que trabaja en ElevenPaths, fundador del Blog Flu Project, y autor de varios libros técnicos que se convierten en indispensables para los que se dedican a la auditoría de páginas o servicios web. Pablo nos ofreció, para mí la charla más técnica “Give me a powershell and i will move your world” (Dame un powershell y moveré el mundo), con la que nos dejó a todos con la boca abierta con su conocimiento de la herramienta Powershell, dándonos pautas y trucos para utilizarla de forma más o menos sencilla para la realización de auditorías de seguridad.

Y yo, mientras, sin encontrar señales evidentes de la existencia de “Piratas informáticos”.

      CCObI1IUwAA-MkO.jpg largeLlegaba el turno ahora de Óscar de la Cruz, Comandante de la Guardia Civil (@guardiacivil), y Jefe de mi querido Grupo de Delitos Telemáticos (@GDTGuardiaCivil). En está ocasión nos habló sobre el cibercrimen en Rusia, con su ponencia “русский киберпреступности”. Dar mi opinión objetiva, sobre la ponencia y el ponente, no creo que fuese posible de forma objetiva, sin embargo creo que, con su intervención, dejó de manifiesto su excelente conocimiento de la cibercriminalidad y la GRAN labor que desempeña el GDT en su quehacer diario.

Y yo, mientras, sin encontrar señales evidentes de la existencia de “Piratas informáticos”.

      CCPDZchUgAIM3pN.jpg largeTras la comida, ya en la sesión de tarde, llegaba el turno de Alberto Ruíz Rodas (@Alberto_Sophos) de Sophos Iberia, que nos alertó sobre la INseguridad en los “cacharros” que tenemos conectados a Internet, con su ponencia Hacking IoT (Hacking en el Internet de las cosas), con la que nos concienció, con ejemplos en directo, sobre la importancia de securizar nuestros dispositivos con conexiones a Internet que ponen en riesgo potencial no solo nuestra seguridad, también nuestra privacidad y nuestros datos personales.

Y yo, mientras, sin encontrar señales evidentes de la existencia de “Piratas informáticos”.

      CCPLlj7VEAA3WJY.jpg largeOtra vieja amiga se subió a continuación a la “palestra”, Ruth Sala (@Ruth_legal), abogada penalista experta en Delitos Tecnológicos y Prueba Digital y Directora de Legalconsultors, con la ponencia “Mírame a los ojos o quédate con mi cara”, con la que nos mostró el “encontronazo” entre los derechos a la intimidad contra los avances tecnológicos y las lagunas legales que se genera ante la falta de legislación específica. Sin duda un ejemplo de abogada “friki”, como ella misma se definió, en nuevas tecnologías.

      CCPbcP_UsAAdEqP.jpg largeLlegó mi turno y yo no tenía ninguna prueba de la existencia de “Piratas informáticos” en el congreso. NO PODÍA DESENMASCARLOS durante la charla que tenía preparada por lo que tuve que improvisar una charla, durante 50’, que no desvelase mis verdaderas intenciones de “quitarles la careta”, suerte que me había informado sobre las pautas que deben utilizarse en este tipo de eventos, que eran hablar en inglés, hablar de hackers, ser raro, y contar algún que otro chiste de informática, en realidad la temática era lo de menos siguiendo estas pautas esenciales, así que sobre la marcha me inventé la charla “El usuario, es el eslabón más débil”, incluso me inventé un “romance” con una rica heredera para salir del paso, al menos… ¡Lo intenté!, esperando encontrar alguna vulnerabilidad en el Congreso que me ayudase a desenmascarar a los peligrosos “piratas informáticos” que allí, supuestamente, se daban cita.

      CCPlUnKUMAAJ4om.jpg largeLlegó la última ponencia de la mano de Míriam García (@MiriamG_), abogada especialista en privacidad, protección de datos y reputación online en Legalitas, que nos ofreció la conferencia con título “Big data, el valor de nuestros datos en la red”. Otra charla a todas luces con interés de concienciar, en este caso sobre la importancia de nuestros datos personales y profesionales que tan “gratuitamente” regalamos de forma masiva y que se han convertido en una extraordinaria fuente de ingresos tras su utilización comercial pero también en un indicador, en materia de prevención, para poder “predecir” con antelación cualquier acontecimiento.

      diputacion.jpg largeTras el término de la primera jornada del congreso toca el regreso al hotel, “frustrado” al no haber conseguido mi misión, y a la espera que durante la noche pudiera tener la oportunidad de llevarla a buen fin. La verdad que la cosa no pintaba bien, por la noche nos agasajaron con exquisitos manjares cordobeses, excelente jamón, vino de Montilla-Moriles, exquisito salmorejo, todo ello precedido de palabras de agradecimiento por parte, nuevamente, de la organización y organismos oficiales patrocinadores del Congreso.

       cervesDurante la recepción, también tuvimos el regalo de una extraordinaria cata de cervezas artesanales ofrecida por “Cervezas Califa” (@CervezasCalifa), patrocinadora de Hack&Beers con una edición especial de cerveza que se repartió en el evento y que guardaba un mensaje “secreto” en su etiqueta.

cervezas

      Por la noche… aburrimiento, monotonía 😉 y además sin rastro de los “delincuentes

CCQ8qh7WEAAxsU0.jpg large

      El segundo y último día del Congreso se desarrolló con la realización de talleres técnicos con docentes de primer nivel.

      CCTWxC2XIAAQu3n.jpg largeTaller de la mano de los amigos de este Blog, los chicos de “Flu Project” y que dividieron en dos partes, la primera la condujo Pablo González, con el taller “Los niños y los pentesters nunca mienten: use Metasploit”, la segunda mi buen amigo Juan Antonio Calles (@jantonioCalles), Director de Zink Security, que nos dio una taller “sorpresa” que se escondía en una caja con la que nos mostró la forma de hacer búsquedas efectivas y automatizadas en Internet.

CCS8doMWIAA_7BP

    Jorge Corona (@JorgeWebsec), Socio fundador de QuantiKa14 y pentester, en su taller ¡illo revienta ya el WordPress! Nos enseñó a securizar un WordPress aprendiendo también sus puntos débiles.

.

 CCTWpe8WYAET6xY.jpg largeDaniel Medianero (@dmedianero) responsable del Departamento de Hacking Ético de Buguroo, ofreció el taller “Análisis forense con DEFT Linux”, en el que enseño la utilización de diversas herramientas para realizar análisis forenses del sistema operativo Windows.

.

      daboDavid Hernández (@daboblog), el GRAN Dabo, editor de los Blogs Editor de DaboBlog, Daboweb, y Debian Hackers,  impartió el taller “Hackeando servidores GLAMP” en el que enseñó cómo realizar hardening (proceso de asegurar un sistema mediante la reducción de vulnerabilidades) de servidor Linux para optimizar recursos y evitar diferentes ataques, entre ellos Denegación de servicios.

CCPUuSlUIAE8czv.jpg large

     En la clausura del Congreso, la organización, lanzó agradecimientos a patrocinadores, ponentes y asistentes al mismo, asistencia que también pudo ser virtual gracias al patrocinio y al extraordinario despliegue de medios de la empresa TekPyme (@Tekpyme) y del canal divulgativo HangoutON (@HangoutON) que hizo posible la difusión en directo del Congreso.

      Si no pudiste asistir o seguir por streaming el Qurtuba Security Congress, #qurtuba2015, la organización y patrocinadores te dan la opción de hacerlo en diferido a través del canal de Youtube de HangoutON

Ponencias del viernes por la mañana

Ponencias del Viernes por la tarde

     Creo que esta entrada la debería haber titulado Crónica de un fracaso anunciado en la caza del Hacker (Pirata Informático)”, pero quién sabe si algún día alguien conseguirá encontrarlos en algún congreso de seguridad.

ORGANIZACION

       La verdad es que lo que sí pude hacer es “desenmascarar” a los responsables de Qurtuba Miguel Ángel Arroyo (@Miguel_Arroyo76), Eduardo Sánchez (), Mª José Montes (@MMontesDiaz) y Enrique Palacios (@enripalacios), que hicieron posible gracias al apoyo de un GRAN equipo, la ejecución de un Congreso de Seguridad en Córdoba donde ya aclaman la organización de una edición en 2016.

      En el viaje de vuelta me encontraba con sentimientos contrapuestos, por un lado el nuevo “fracaso”, pero por otro el de la satisfacción del deber cumplido al haber intentado concienciar en el buen uso de las nuevas tecnologías teniendo en cuenta que en Internet…

Nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus.

      Un fuerte abrazo a los amigos que desvirtualicé y a los que allí conocí.

      Nos vemos en la Red…

X1RedMasSegura

email

4 pensamientos en “Qurtuba Security Congress: Hackers sin ceros ni unos (V), a la caza del “Pirata Informático”

  1. Comparto tu frustración Angel, yo tampoco he encontrado todavía a ningún pirata informatico o algún ciberdelincuente en ANPhacket (Asociación Nacional de profesionales del hacking ético) a pesar de ser un abogado rodeado de hackers … Gracias por tu magnífica y detallada crónica de Qurtuba Congresos Security. Ha sido un placer y un honor conocerte. Un fuerte abrazo.

  2. Pingback: Bitacoras.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *