El compromiso de Grupo Sothis con las empresas y la sociedad se ha transformado en una nueva apuesta. Grupo Sothis apuesta por la ciberseguridad de las empresas como factor clave.
El pasado lunes 28 y martes 29 de Agosto Grupo Sothis tuvo el placer de formar parte de TomatinaCON 2017 como patrocinador Gold del evento. Tuvo lugar en Buñol la tercera edición de las jornadas de seguridad informática TomatinaCON; jornadas que desde el año 2015 se vienen desarrollando en los días inmediatamente anteriores a la tomatina y que este año contaban con Grupo Sothis entre sus patrocinadores.
El evento arrancaba a las 11:30 del lunes en la biblioteca municipal de Buñol con la charla de concienciación “Uso seguro y responsable de internet” que corría a cargo de Yolanda Corral y de Raul Fuentes. Ambos realizaban un recorrido por los problemas que puede acarrear el uso generalizado de Internet, redes sociales, compra on-line, etc. que cualquiera realizamos a día de hoy y exponían medidas que nos pueden ayudar a prevenir dichos problemas, tanto de índole técnica (contraseñas y segundo factor de autenticación, protección de los dispositivos personales y redes domésticas, etc.) como aquellas que apelan al sentido común y actitud crítica del usuario (precauciones en el manejo del correo electrónico y las compras on-line, valorar qué información se comparte en las redes sociales …)
Tras la parada de mediodía, comenzaba a las 16:00 el taller “Desenmascarando Identidades Digitales” en el que Eduardo Sanchez y Selva Orejón exponían técnicas y recursos para recolectar información sobre empresas o personas a partir de redes sociales, páginas web o servicios de Internet de cara a poder realizar un perfil de los mismos e intentar discernir si se trata de entidades reales o simuladas. A continuación explicaban cómo este proceso, conocido como inteligencia de fuentes abiertas (OSINT), puede ser útil en ámbitos tan dispares como el posicionamiento de marca o la investigación de delitos. Finalmente, desafiaban a los participantes a encontrar la máxima información posible a partir de un número de teléfono y quedaba patente como era posible ir encontrando más y más información del propietario sin utilizar más recursos que los disponibles abiertamente en internet.
Ya el martes por la mañana, a partir de las 10:00 y también en la biblioteca municipal de Buñol, tenían lugar cuatro charlas que abordaban diferentes aspectos, algunos poco evidentes, de la seguridad informática. Comenzaba Alberto Ruiz Rodas con la charla “Que no te la den con tomate, prevención de la ingeniería social”. En ella explicaba las bases del comportamiento humano en las que se apoyan las técnicas más frecuentes de ingeniería social y cómo estas técnicas se usan de forma combinada para inducir a usuarios legítimos a realizar acciones o revelar información forma bienintencionada y sin ser conscientes de que están siendo manipulados. Una vez expuestas las técnicas de los ingenieros sociales y cómo las usan, se apuntaban detalles y actitudes a los que prestar atención para detectar si podemos estar siendo víctimas de un intento de ingeniería social.
A continuación Rubén Martinez Sánchez presentaba “Construye tu propio robot con Deep learning y ROS” en la que, tras presentar conceptos como inteligencia artificial, red neuronal o Deep learning, se centraba en las redes neuronales convolucionales, los procesos que realizan, los resultados que permiten obtener y su aplicación en el campo de la visión artificial. Tras esto pasaba a hablar de Robot Operating System (ROS), un framework para el control de componentes robóticos, describiendo su arquitectura y dando ejemplos de aplicaciones. Y finalmente, presentaba un desarrollo propio en el que utilizaba estos dos elementos para, a partir de hardware comercial, crear un sencillo robot capaz de reconocer caras y procesar el género de la persona y su actitud (alegre, neutro, triste…) o moverse por una estancia evitando obstáculos
Tras un breve descanso, llegaba el turno de Josep Albors con su charla “No pierdas la partida: amenazas y tomates en el mundo de los videojuegos” en la que recorriendo la historia de los videojuegos, desde sus inicios hasta el día de hoy, mostraba como su evolución llevaba aparejada la de los problemas y técnicas de seguridad informática que giraban a su alrededor. Resultaba curioso descubrir (o recordar, dependiendo de la edad de cada uno) cómo desde el hacking más clásico, que había permitido la creación del primer videojuego a partir de un osciloscopio, la popularización de los videojuegos dio paso al desarrollo de hardware clónico para ofrecer dispositivos más baratos y a las copias ilegales de software que incluían modificaciones para hacer los juegos más atrayentes; o como desde ahí se pasó a las modificaciones para desactivar protecciones regionales o medidas anti-copia para, finalmente, acabar llegando al momento actual donde los usuario se pueden ver afectados por el robo de perfiles en juegos on-line, el fraude en las transacciones de objetos virtuales por dinero real, los ataques de denegación de servicio a las plataformas de videojuegos on-line o la infección de los PCs para utilizar su hardware de gráficos para la minería de criptomonedas.
Para terminar esta ronda de la mañana, Álvaro Núñez-Romero presentaba su charla “¿Micro? Tomatuino” en la que presentaba su análisis de los componentes electrónicos del pendrive-teclado USB Rubber Ducky y daba unas pinceladas del lenguaje de scripting con el que se programa lo que el teclado va a escribir cuando el USB se conecte al PC; para luego analizar otros dispositivos alternativos a Rubber Ducky que se comercializan en el mercado y acabar proponiendo un do-it-yourself en el que se desarrolla un dispositivo con las mismas capacidades de Rubber Ducky tomando como base un microcontrolador Arduino.
Finalizadas ya las charlas más formales, llegaba el turno de las charlas más breves y en un entorno más desenfadado con Hack&Beers Tomatina el martes tarde en el pub Wins. La primera presentación, a cargo de María José Montes , volvía a incidir en la ingeniería social y sus técnicas, ilustrándolas con ejemplos tomados de diferentes películas y haciéndonos conscientes de que el eslabón más débil de la seguridad informática suele ser el ser humano.
A continuación recogía el testigo nuestro compañero de ERIS-CERT Sothis Alex Casanova, quien había preparado una presentación sobre sistemas embarcados y como éstos suponen una valiosa asistencia para los buques pero también pueden servir como vector para ataques, dirigidos tanto contra el propio buque como contra las redes informáticas de las navieras que los operan; bien mediante la recopilación de información que proporcionan sistemas como AIS o los proveedores de servicios de comunicaciones por satélite o bien tratando de inyectar datos falsos en dichos sistemas para, por ejemplo, modificar ubicación que reporta la instrumentación del buque o incluso hacer que éste pudiera seguir un rumbo diferente al programado.
Continuaba Rafa Otal, quien apoyado por dos jovencísimos colaboradores, hacía una breve introducción a las redes WiFi y sus medidas de seguridad para luego mostrar como utilizando Python+Scapy, un receptor WiFi y otro GPS de propósito general, una Raspberry Pi con pantalla y basándose en los ejemplos del libro Python Scapy Dot11 había preparado un dispositivo con el que poder recoger diferentes datos de redes WiFi tales como nombre, geoposicioamiento, potencia, algoritmos de seguridad, etc. de forma similar a como ya lo hacen ciertos proveedores de servicios.
Con una charla que casi podría ser continuación de la anterior de Rafa Otal, cerraba el evento Eduardo Sanchez quien, tomando como punto de partida los acontecimientos ocurridos en la tomatina de 2015 en la que un coche de Google quedó destrozado, explicaba los diferentes datos que Google recoge de las redes wifi y las redes de telefonía móvil, tanto con sus coches de Google Street View (y sus diferentes variantes como mochilas para senderismo, carritos para museos e incluso motos de nieve) como con los teléfonos Android, para luego hacer demostraciones prácticas de cómo estos datos pueden ser usados para determinar con bastante precisión la posición de los usuarios de móviles Android; incluso con la interfaz wifi del teléfono apagada y solo por el hecho de estar conectado a la red móvil.
Acabadas ya las charlas, algunos ponentes tenían que marcharse, la mayoría quedaban para compartir cena y repasar las situaciones o datos más curiosos expuestos a lo largo de las dos jornadas y los más valientes pasaban la noche en Buñol para participar al día siguiente en el evento que sirve como excusa para organizar las jornadas y del que toman su nombre: la tomatina de Buñol.