CHILE 2022

¿Qué pasa si hemos estado haciendo mal la ciberseguridad todo este tiempo? La ciberseguridad se enseña como la práctica de proteger las redes y los dispositivos digitales, pero ¿cómo sería la ciberseguridad si se tratara de proteger a las personas, específicamente a las personas cuyas necesidades y preocupaciones suelen dejarse de lado? Esta charla discutirá las muchas formas en que la seguridad cibernética ha fallado a las poblaciones vulnerables y marginadas y hablará sobre las formas en que podemos transformar nuestra práctica de seguridad cibernética en una que coloque a estas personas en el centro.

Una charla que te cuenta las realidades y los por menores de los ejercicios de red-team, qué casi nunca se cuenta, pero debes tener en cuenta a la hora de realizar actividades de intrusión física en una organización, lo que nadie te dice cuando decides realizar este tipo de actividades y algunas recomendaciones basadas en experiencias propias para que tu vida en este campo sea más llevadera.
Una charla que te cuenta las realidades y los por menores de los ejercicios de red-team, qué casi nunca se cuenta, pero debes tener en cuenta a la hora de realizar actividades de intrusión física en una organización, lo que nadie te dice cuando decides realizar este tipo de actividades y algunas recomendaciones basadas en experiencias propias para que tu vida en este campo sea más llevadera.

Los ciberdelincuentes y estafadores brasileños utilizan técnicas de ingeniería social y phishing con el objetivo de engañar a las víctimas y manipular la codicia de las personas, como en las estafas Pix. Abusan de la facilidad de los recibos bancarios para cometer fraudes, roban tarjetas de crédito, subvierten las protecciones bancarias, infectan dispositivos con troyanos bancarios. Estos ciberdelitos se han ido expandiendo paulatinamente a otros países de América Latina y ya han llegado a algunos países europeos.\n \n En esta charla, detallaremos las excentricidades del panorama de amenazas brasileño, describiremos cómo opera el ciberdelito brasileño, la singularidad de los troyanos bancarios hechos en Brasil, sus características, creatividad, diferencias y similitudes entre las familias de malware.
En esta charla, detallaremos las excentricidades del panorama de amenazas brasileño, describiremos cómo opera el ciberdelito brasileño, la singularidad de los troyanos bancarios hechos en Brasil, sus características, creatividad, diferencias y similitudes entre las familias de malware.

No basta con solo detectar los Phishing, también es necesario estudiarlos, catalogarlos y hacerles seguimiento como cualquier otro grupo de ciberdelincuentes. Para lograrlo, con FINSIN (Fundación de Investigación en Seguridad Informática) hemos desarrollado nuestra propia herramienta de detección de “”kits”” de Phishing, con la que hasta hemos podido investigar y clasificar a 3 grupos distintos de ciberdelincuentes, hasta ahora desconocidos.
Luego de más de 2 años de estudio del “”problema del Phishing”” en Chile y más de 10 meses de desarrollo, queremos compartir los resultados de nuestras investigaciones realizados con nuestra plataforma de libre acceso “”Phishing Checker””.
Este sistema fue desarrollado por nosotros mismos para poder responder a la falta de información que existe con respecto a la cantidad, complejidad y diseño de los Phishing que están afectando a Chile y Latinoamérica.
Con esto podemos llegar un poco más allá, logrando obtener en ciertos casos el listado de víctimas, correos de administradores, centros de comando y control (C2), y también, agrupar estos comportamientos en grupos de delincuentes que nosotros llamamos “”Fishers Constantes””, de los cuales ya tenemos identificados a 3 grupos distintos que hasta ahora eran desconocidos.
Al estar esta plataforma en “”open beta””, es de libre acceso para la comunidad. Invitamos a todos a que nos ayuden con la detección ya sea compartiendo kits nuevos, información relacionada, o simplemente mirando la plataforma e ingresando un link para la revisión.

Durante la última década, varios incidentes de supuestas acciones ciberofensivas ejecutadas por el estado o patrocinadas por el estado fueron muy publicitadas. Eso ha tenido tal impacto en la opinión pública y los debates políticos que existe la creencia generalizada de que una carrera armamentista cibernética está en curso. Mientras tanto, pocos investigadores se centraron en América Latina. Como si América Latina fuera la Atlántida -el continente perdido de la mitología griega-, un pedazo pacífico y oculto del ciberespacio.
A pesar de que ocasionalmente aparece en los titulares con acciones cibercriminales y hacktivistas, existe la sensación de que los países latinoamericanos no se involucran en acciones patrocinadas por el estado. Esta presentación tiene como objetivo ampliar el conocimiento actual sobre las capacidades ciberofensivas entre los países de América Latina y crear conciencia entre sus ciudadanos.
A través del análisis de informes técnicos de proveedores privados e investigadores independientes, esta presentación abordará tres casos de acciones patrocinadas por el estado (Colombia, México y Panamá), la compra de trece países de capacidades ciberofensivas para actuar fuera de sus fronteras en el ciberespacio (Brasil,Chile, Colombia, Ecuador, El Salvador, Honduras, Guatemala, Mexico, Panama, Paraguay, Peru and Venezuela) y tres campañas de APT que tenían como objetivo principal a los países de América Latina (PackRat, El Machete y Blind Eagle/APT-C-36).
Como conclusión, si América Latina es un continente perdido en el ciberespacio, no es tan pacífico como su contraparte mitológica. Los países latinoamericanos están realizando acciones ciberofensivas y tanto los ciudadanos como los Estados-Nación deben ser conscientes de ello.

La gran mayoría de sistemas de control industrial no cuentan con unas mínimas medidas de seguridad siendo vulnerables a todo tipo de ataques. Desgraciadamente la mayoría de pequeñas y medianas empresas no son conscientes de esta situación, confiando en integradores de sistemas que no tienen en consideración unos mínimos niveles de seguridad, ni del riesgo al que exponen a diario a sus clientes al conectar dispositivos externos al realizar tareas de mantenimiento.
En esta ponencia expondremos de forma práctica y entendible como abordar un diagnóstico básico de seguridad en un entorno OT, sin poner en peligro el funcionamiento ni la seguridad de las instalaciones o las personas. Haremos un repaso de los últimos tipos de ataque dirigidos específicamente a ICS, así como las medidas que deberían tomar todas las empresas para alcanzar un nivel mínimo de ciberseguridad para evitar el acceso inicial a los ICS.

Durante los últimos 2 años, comenzando a fines de 2020, el equipo de Respuesta a Incidentes de IBM X-Force de América Latina ha estado respondiendo a varios casos de intrusiones de grandes empresas, incluido ransomware y exfiltración de información, donde la causa raíz del acceso malicioso ha sido vinculado al lanzamiento de más de 50.000 dispositivos VPN de Fortinet en el mundo con CVE-2018-13379, una vulnerabilidad de cruce de ruta para obtener credenciales válidas.
Durante el primer y segundo trimestre de 2021, el FBI y CISA advirtieron sobre las actividades de escaneo mundial activo de estos dispositivos mientras que, al mismo tiempo, X-Force Incident Response siguió respondiendo a este tipo de incidentes para las empresas y asesoraron sobre este problema alentando gestión de parches para mitigar los riesgos.
Para septiembre de 2021, se publicaron más de 500.000 credenciales sobre esta vulnerabilidad en diferentes foros de deep web hacking; esta vez la información fue más allá del lanzamiento inicial de 2020, resumiendo el dispositivo y un volcado de credenciales recopiladas. En ese momento, había 2.661 dispositivos vulnerables ubicados en América Latina.
El objetivo de esta charla es presentar los riesgos detrás de esta vulnerabilidad explotada activamente para la región durante los últimos dos años, y mostrar cómo los enfoques de gestión de parches deben comprender mejor las vulnerabilidades en el panorama actual de seguridad, dado que en algunos casos se necesitan varias actividades y acciones. El equipo de respuesta a incidentes de IBM X-Force todavía está respondiendo a este tipo de casos donde el último, a pesar de que se encontró que el parche de seguridad en el dispositivo VPN fue correctamente aplicado, el acceso malicioso fue posible por la falta de cubrimiento real del riesgo, que consistía en una actividad de cambio de contraseñas dado que estas ya se encontraban exfiltradas en la internet profunda.
Al 2022, las credenciales robadas están representando USD 3,33M de costos para la región de América Latina según el Cost of a Data Breach Report 2022 realizado por IBM y Ponemon Institute, el segundo lugar de pérdida de dinero después de las configuraciones incorrectas de la nube (3,56M). Este es solo un caso particular de estudio que sería expuesto a la comunidad sobre este tipo de vector de ataque inicial visto el panorama actual de ciberseguridad.

En esta charla podremos comprobar las vulnerabilidades que tienen los aviones/avionetas/ULMs… donde desde hace muchos años han sido catalogados como “riesgo asumible”, etc… en cuanto a todas las comunicaciones aeronáuticas y los sistemas “automatizados” para recibirlas y/o emitirlas, principalmente en vuelo instrumental (IFR).
Estas comunicaciones se dirigen y se emiten/reciben de forma usual sin cifrar y/o firmar por lo que cualquier persona puede realizar una interceptación de ellas, puede modificarlas e inyectar nuevas señales como si fuera una aeronave legítima o pertenecer al ATC (Air Traffic Control).

En esta charla contamos nuestro proceso de análisis del router más vendido de Argentina y cómo esto nos llevó a encontrar una vulnerabilidad que afecta múltiples modelos de distintos fabricantes. La misma permite la ejecución de código remoto sin autenticación ni intervención del usuario a través de la interfaz WAN de los routers afectados (CVE-2022-27255).
Hablaremos sobre cómo encontramos dicha vulnerabilidad y cómo nos dimos cuenta que el código afectado era parte del SDK de Realtek para routers basados en el sistema operativo eCos. Luego, discutiremos estrategias de explotación y post-explotación en este tipo de dispositivos. Compartiremos una prueba de concepto que muestra cómo se podría utilizar la vulnerabilidad para ejecutar código arbitrario y usaremos el router para escanear puertos dentro de la red local.
Posteriormente mostraremos cómo automatizamos la detección de esta vulnerabilidad dada una imagen de firmware, lo que nos permitió identificar otros dispositivos vulnerables. En la mayoría de los casos, la funcionalidad que presenta la vulnerabilidad no está documentada y no se puede desactivar desde la interfaz web de configuración del router. Por este motivo, constituye una superficie de ataque oculta en este tipo de dispositivos.
Finalmente, discutiremos por qué esta vulnerabilidad no fue reportada anteriormente a pesar de que es un buffer overflow relativamente sencillo de detectar, que está presente en muchos dispositivos, y que es crítico. Nuestra investigación revela las falencias del proceso de desarrollo de firmware, ya que el código vulnerable introducido en las primeras etapas del proceso puede llegar a los dispositivos finales sin ser detectado. Esto constituye una oportunidad para que los atacantes encuentren bugs de alto impacto con baja inversión y poco conocimiento previo.

El dispositivo AirTag IoT es una herramienta de seguimiento desarrollada por Apple y diseñada para ayudar a las personas a encontrar objetos extraviados. Sin embargo, incluso cuando Apple afirma que la tecnología AirTag se usa únicamente para rastrear elementos, un número creciente de personas malintencionadas se aprovechan de la simplicidad para instalarlo y configurarlo para rastrear objetivos desconocidos, en otras palabras, personas.
Es posible detectar esos dispositivos AirTag de rastreo no deseados con terceros dispositivos especiales. Al analizar los datos publicitarios de AirTag, un usuario objetivo puede escanear e identificar características especiales que hacen que AirTags sea único. Sin embargo, algunos atacantes desactivan las AirTags cuando descubren la ubicación deseada del objetivo para evitar cualquier detección futura. Deshabilitar el dispositivo evitará que los usuarios de iPhone o Android detecten el AirTag oculto con las metodologías de Apple aplicadas. Este problema con herramientas limitadas y mecanismos deficientes está conduciendo a la comunidad en la dirección de un nuevo problema de privacidad que es laborioso y difícil de enfrentar, y de esto se trata esta ponencia.

Las charlas de Memorias de un Perito Informático Forense describen casos reales de incidentes de seguridad o peritajes informáticos. Se intenta explicar de forma anonimizada cómo transcurre el caso desde el encargo, los findings técnicos que se van encontrando en la investigación del mismo y los resultados finales.

Esta charla trata sobre el proceso y detalles técnicos del proceso de reportar responsablemente vulnerabilidades a proyectos. Compartiré algunas de las lecciones aprendidas como investigador de seguridad que ha tratado con multiples proyectos de software libre y mis ideas sobre como organizaciones y proyectos pueden mantener un proceso exitoso de manejo de reportes de vulnerabilidades. Acompáñame para aprender más acerca de desarrollar software seguro!

Qué sucedería si un día te levantas y tienes el control de los parquímetros de tu ciudad? En esta charla vamos a hablar sobre un problema que encontré en el sistema de parquímetros de mi ciudad, y que luego me di cuenta que era usado en varias ciudades más de Argentina. Esta charla incluye nfc, sql, ingeniería reversa y otras hierbas.