El pasado 4, 5 y 6 de octubre se celebró en la universidad de Albacete la octava edición del congreso de seguridad Navaja Negra. Sothis ha participado como patrocinador en uno de los eventos más importantes del panorama nacional actual en materia de ciberseguridad.
El congreso ha llegado a alcanzar este año los 800 asistentes. Durante el evento, se dieron 26 charlas y 8 talleres impartidos por 45 ponentes. El objetivo de este tipo de congresos es poder compartir conocimiento de las investigaciones y experiencias, donde el público habitual suele ser profesionales y estudiantes del ámbito de la ciberseguridad. Para los que no pudieron asistir, la organización pondrá a disposición las ponencias grabadas en su canal oficial de Youtube.
Las ponencias más destacadas
– Rubén Ródenas y Rubén Garrote, que trajeron nada menos que un cajero automático de una tonelada para mostrar cómo una vez accedida a la red interna del banco y comprometer el sistema operativo del cajero, éste podía vaciarse completamente de dinero.
– Buenaventura Salcedo desoldando en directo un chip de memoria de un móvil para hacer un análisis forense y recuperar la memoria almacenada.
– Pedro Sánchez contó con detalle una respuesta a un incidente de una infraestructura industrial, donde expuso las causas de la intrusión y la falta de medidas de seguridad que podrían haber mitigado el impacto de la intrusión.
– Raúl Siles enseñó a bajo nivel las características del nuevo protocolo inalámbrico WPA3.
– Javier García mostró todos los pasos de un pentest mediante un ejemplo real, desde la enumeración inicial de activos, recolección de cuentas de usuario de empleados, ataques de fuerza bruta para acceder a la red interna, y compromiso final.
– Israel Aguilar comentó la forma poco costosa de detectar un posible tráfico encapsulado a través de un túnel DNS, analizando de forma estadística el tráfico de peticiones. Este tipo de túneles son utilizados por los ciberdelincuentes para exfiltrar información o saltarse las restricciones de portales cautivos.
– Marc Sampé explicó en su taller los métodos para comprometer tarjetas basadas en Mifare Classic, los casos de uso más extendidos y las herramientas recomendadas.
Como cada año, también se organizó un CTF de la mano de la gente de ka0labs, donde se proponían como reto distintas pruebas de reversing, criptografía, o seguridad web entre otros. Este año el primer premio se lo llevó el veterano Román Medina
Como novedad, este año el equipo de Hackers Garage trajeron una maqueta de una Smart City, donde a modo de CTF, se proponían varias pruebas interesantes usando NFC, Bluetooth, o radiofrecuencia entre otros.
Otra de las novedades que se ha lanzado este año es la ‘Navaja Negra Academy’, una serie de talleres de corta duración, de carácter práctico, y dirigidos a alumnos de secundaria y formación profesional. Los talleres trataron de vulnerabilidades típicas que se pueden encontrar en una aplicación web, como inyección SQL, Cross Site Scripting (XSS) entre otros, cómo detectarlas y evitarlas.
Una actividad de mucho interés que se lleva realizando estos últimos años son las ‘Noches de Navaja Negra‘, donde la organización pone a disposición un espacio en el salón del hotel cercano al paraninfo de la universidad, donde los asistentes puedan compartir experiencias, promover el networking y realizar charlas informales.
Desde el departamento de Ciberseguridad de Sothis queremos dar la enhorabuena al equipo de Navaja Negra por el excelente trabajo de organización del evento. A base de esfuerzo y buen hacer se ha convertido en un referente imprescindible en el panorama de la ciberseguridad en España. ¡Nos vemos el año que viene! ¡Y que no falten los miguelitos!