Rooted2015


Escribo esto en el trayecto de vuelta a casa, después de pasar tres días intensos (mucho que aprender, muy poco tiempo dormido), y con ganas de pillar la cama y echarme un señor descanso de varias horas.

Desde el jueves, algunos (por no decir un millar de) aficionados al hacking y la seguridad hemos estado reunidos, tramando maldades, en el hotel Auditorium de Madrid. No es la primera vez para un servidor, y seguramente no será la última.

Es quizás a nivel de España el evento del calendario que más disfruto, donde entiendo que estoy en verdad rodeado de los míos. El nivel de las charlas, como en años anteriores, ha sido sencillamente magistral. Mil gracias Román, nuevamente.

Este año tocó cubrir el evento no desde esta humilde casa, sino desde el blog del Centro de Investigación de la Gestión Tecnológica del Riesgo, jornada a jornada (ES) (si cuando lea esto todavía no están enlazados cada artículo con su siguiente/anterior, nada más llegue a casa lo soluciono EDIT: Tengo un equipo que me quiere demasiado y se ha encargado de hacerlo antes de que me diera tiempo a mí). Es lo que tiene el curro :).

¿Cuál es el precio que hay que pagar por este cambio? Que no hayamos sido los primeros en publicarlo (que yo sepa solo lo cubrimos tres bloggers y algunos medios sectoriales/generalistas), debido a la moderación institucional esperable, y eso que la estructura y el timing que manejamos es muy pero que muy flexible. Pero en todo caso, que el resultado haya salido más limpio (varios ojos ven más que dos).

Dicen que solo llegarás más rápido, pero acompañado llegarás mejor, y en este caso se cumple a la perfección.

A nivel de la organización del evento, un /clap mayúsculo. Es obligatorio dar las gracias tanto a los organizadores como a todos los colaboradores y patrocinadores que año tras año permiten crear un evento de tal magnitud. Ayuda, y mucho, el que las cosas se hagan con amor y cariño, como si de un hijo se tratase.


¿Que hemos aprendido este año?

Entrando en materia, me vuelvo con una libreta repleta de anotaciones, que iré procesando cuando “recupere el cuerpo”, y varias charlas que a priori me han encantado o sorprendido.

Por mencionar alguna, la del fiscal Jorge Bermúdez (ES), que ya el año pasado nos sorprendió gratamente exponiendo “el hacking fiscal” del código penal, y que en este aprovechó para sacar un tema tan crítico como es la nueva Ley de Enjuiciamiento Criminal, de la que seguramente dedique un mongráfico a lo largo de la semana, unido al tema, también mencionado en el Panel de la Rooted, de esa “supuesta” próxima profesionalización (o criminalización, según se vea) del mundo de la seguridad.

La de Yaiza Rubio y Félix Brezo (ES) de Telefónica Digital sobre cómo crackear el sistema criptográfico de los monederos virtuales fue corta pero intensa. Un tema que como bien sabe, me preocupa, y mucho. Todo “teórico”, claro está, pero quizás (y descontando problemas que seguramente aparezcan por controles internos de los bancos) exportable a un entorno real. Y podría enlazarla a la de Ricardo J. Rodriguez (ES) y Jose Vila (ES) sobre pagos NFC, o la de Sebastián Guerrero (ES) sobre Apple Pay. PoCs de teorías que un servidor ha defendido por estos lares.

La del amigo Alfonso Muñoz (ES) sobre stegomalware en apps de Google Play, increíble. Mira que te he oído veces, y no me canso, :). Y me encanta por la mezcla tan brillante de esteganografía y OSINT, en una investigación que tiene detrás muuuchas horas de trabajo, tanto físico como mental.

Creo que todos nos quedamos de piedra con el hobby de Eduardo Cruz (ES). El muy “salao” ha realizado ingeniería inversa a un microprocesador de las máquinas Arcade, emulándolo más tarde con Arduino. En serio… ingeniería inversa a un microprocesador de los años 90, que contará tranquilamente con miles de transistores…

Y no puedo olvidarme de los chicos de Layakk (ES), David Pérez y José Picó, que ni cortos ni perezosos se montaron un sistema de auditoría WIFI controlado en remoto en la mochila de una moto. El camuflaje perfecto para dejarla aparcada durante horas delante de una oficina… Ni de la de Eduardo Arriols (ES) sobre cómo saltarse las medidas de seguridad físicas (ya sabe, sensores de movimiento, de calor, cámaras, guardias,…) de unas instalaciones corporativas con un poco de ingeniería social y algunos utensilios disponibles en el supermercado del barrio.

Cito estas pero en la práctica no hubo ninguna que me desilusionara. Todas tenían un nivel más que aceptable, y quizás se les pueda reprochar la repetición de algunos temas, que no es culpa propia ni de los organizadores ni de los ponentes, sino de un servidor, que es difícil que se pierda estos saraos (y no hay tiempo para preparar temas totalmente disruptivos).


En fin, que voy a ir dejando de escribir a ver si me da tiempo a pegarme una cabezadita. Pido perdón de antemano por el desorden estructural del artículo (y alguna que otra patada a la RAE que seguramente habré metido). La cabeza pide a gritos descanso. ¡Buen domingo!