BSides Colombia 2025 - Charlas Junio 13
Show transcript [es]
Colombia 2025, ya 11 años de de estar haciendo este evento, este bello evento donde este evento, la preparación empieza después de la fiesta, que es como cierra el el evento del año anterior. Y durante ese año lo que hacemos en el equipo de la organización es buscar cómo ir mejorando cada vez. Sí. ¿Quién es la primera vez que viene al Visis? Por favor, levante la mano. ¡Uf! bastante gente y esto es un grupo donde investigadores, donde la academia, donde las personas que están relacionadas con temas de de ciberseguridad vienen acá a aprender a compartir, porque es que el fundamento y la promesa de valor de Visis es compartir conocimiento y ayudar en el relacionamiento de los profesionales que
están en esta área. ¿Sí? Entonces esa esa es la promesa de valor, conocimiento técnico real de cosas que están pasando en ciberseguridad de la actualidad y facilitar para que todos nos conozcamos. Ustedes saben que el tema de seguridad es muy amplio, muy muy amplio y decir que alguien va a abarcar todos los todas las áreas de conocimiento es imposible. Sí, y lo explicaba ayer eh Gio en en la charla de perfilamiento. Es entonces necesitamos reunirnos, conocernos, compartir y seguramente vamos a tener muchísimas facilidades en nuestra área profesional o de investigación dependiendo el enfoque que tengamos. Entonces, en Bisace tenemos dos reglas fundamentales y les vamos a pedir el favor de que nos colaboren y es
retroalimentación. Si ustedes ven algo por mejorar, comentarios o felicitaciones, acá estamos. El equipo organizador se reconoce por la tira rosadita y vamos a estar acompañándolos a ustedes si necesitan algo, si tienen preguntas y si nos quieren dar feedback, por favor, bienvenidos. Si quieren hacer parte de la comunidad, estamos totalmente abiertos para que eh como les decía al principio, crecer, crecer, traer nuevos espacios y que podamos llegar a más personas este año. Ah, bueno. Y la otra la otra regla es no quedarse con dudas. Los ponentes, afortunadamente son muy abiertos, siempre nos acompañan en todos los espacios. Todas las preguntas que tengan, por favor, levanten la mano. Esa pregunta que usted tiene seguramente la tiene otra persona y si usted la levanta
la mano y la hace, le va a ayudar a a otras personas. Tenemos ponentes de varios países en esta edición: México Argentina Brasil Ecuador eh Perú. Tenemos dos personas de Perú, Paraguay y Colombia. Es, digamos, uno de los eventos que tiene más representación internacional y parte de la transparencia, porque el comité que selecciona las charlas está totalmente ciego. Aquí la transparencia es fundamental. Cada ponente envía su descripción muy breve de la charla. el discurso de elevador y con eso si tiene la puntuación más alta pues entra a ser ponente. Aquí no estamos que es el amigo de uno, que es el amigo del otro, que es reconocido, nada. es transparencia, es técnico lo que usted
puso en su descripción, si gusta, si es de tecnología, si es eh aporta, eh si es innovador, obviamente pues va va a tener una buena calificación y lo vamos a a traer. Muchas gracias a los ponentes eh por esa participación, por el tiempo y y así se seleccionan. Entonces también la invitación es a ustedes si quieren participar, si quieren presentar, si quieren compartir el próximo año, bienvenidos. Presenten aquí, aquí lo que gana es el contenido, no hay ningún tipo de rosca. Y hemos eh en esta edición tenemos varios espacios, no sé si los conocen, ahí en la página está, tenemos espacios de entrenamiento que ya pasaron. Eh, por lo general lo dicta un ponente internacional.
Este año tuvimos la fortuna de tener dos dos entrenamientos que nos acompañaron de México y eh Levi con con un entrenamiento de purple team supremamente interesante, práctico, técnico muy bueno y Cibel que nos dio el deosin el día de ayer. Ayer también tuvimos 101, un espacio creado nuevo en esta edición para las personas que están iniciando, que quieren empezar. pues es un espacio dedicado para ellos y este espacio de charlas que ya es digamos la parte fuerte y la cereza en el pastel en la parte eh técnicas y en la parte técnica y de charlas. Y tenemos también este año una una nueva propuesta que es Eco Kits que nos acompaña Sol de Ecopari, que es un espacio que mañana
empieza a las 8:30 para los niños, un espacio donde ellos van a poder interactuar, jugar y bueno, empezar con este tema de área de conocimiento que está bien interesante. Los Hanson empiezan hoy también a las 10 de la mañana empieza empezamos con con Metasploit, después seguimos con Forense, una persona aquí de Medellín, eh Johnny, muy muy teso. Veamos con con Rodrigo que nos va a tener unos retos bien interesantes sobre ataque y defensa. Tenemos respuesta a incidentes mañana y la parte de reversing y depuración que la vamos a ver con esa la voy a dar yo. Y en la parte como estamos hablando de ataque y defensa, es algo muy relacionado también con una modalidad de CTF.
Y tenemos un CTF que nos lo van a explicar ahorita los muchachos de UDBAR y de Bug Bunters. Prepararon más de 60 retos. Está supremamente interesante, muy interactivo con temas de forense, in estegoo crypto hardware web cloud eh miscelánea, wifi, blockchain, o sea, hay de todo, más de 60 retos para ustedes, hay premios también y eh que también tiene una parte que ver con el wardriving, que es la actividad que vamos a hacer por la tarde noche. Tenemos un Hanson con Nicolás a las 5 de la tarde donde vamos a poner manos a la hora, tunear las herramientas que tenemos, instalar, configurar para posteriormente a las 6 de la tarde salir de la universidad en un bus y hacer esta
bella actividad de que se trata de reconocimiento de redes inalámbricas, el cual también tiene un premio. Esta actividad básicamente es lo que busca el que más enumere redes en ese en ese recorrido. y entregue la evidencia, obviamente, pues va a ganarse un buen premio que tenemos en el Bis. Entonces, eso es eso es lo que tenemos este año. No sé si se me algún Bueno, hashtag, ¿cuál es, Gus? Eh, si quieren compartir en sus redes sociales Bites CO 2025 para que escriban eh den su experiencia también sobre lo que están viendo, lo que les llama la atención, las fotos que tienen en esta eh en estas imágenes que tenemos en la parte de afuera, en en estos pósters
supergigantes que están super eh super elaborados para el día de hoy. Si quieren compartir también fotos de del bacho, del carnet, eh, creo que, no sé si es la primera vez que que lo tenemos ahí lo en los 11 años, están muy bonitos. Van a ver que que tenemos distintos colores y distintos diseños. Todo va a depender si son speakers, si son asistentes como ustedes, eh las personas que han estado en cursos, las personas que que fueron creyentes de de este evento y y hicieron una prescripción previa. Entonces, nos van a ver ahí y es importante tenerlo. Yo solo vi una recomendación, extiendan su red personal y su red profesional. Traten de hablar con personas que nunca
han hablado, que no conocen. Inclusive si están en la misma fila comienzan a hablar. Esto esto es de comunidad, es un evento de comunidad y hecho para la comunidad y bueno, a disfrutarlo con todo. Muchas gracias. Ah, bueno, me faltó mencionar el evento también tiene la cerveza y culmina mañana a la 1 de la tarde y los esperamos a todos en la fiesta. Es un espacio donde promocionamos el networking, el relacionamiento y que todas las personas que levantaron la mano, que vienen por primera vez, pues se unan a la comunidad. Ese es el llamado a compartir conocimiento y a extender las relaciones. Bueno, Wilches, entonces les presento al equipo del CTF que nos van a dar la introducción, las
reglas, no sin antes y muy importante agradecerle a la Universidad de Antioca, a la Facultad de Ingeniería. El año pasado estuvimos acá, este año repetimos y estamos supremamente agradecidos con ellos. Este evento, lo fuerte del evento empieza una vez eh nos otorgan el espacio y las instalaciones y la Universidad Antiquia siempre ha estado dispuesta, nos han dado todas las facilidades y para ellos todo el agradecimiento y ojalá podamos repetir en esta hermosa ciudad. Es un evento que no solo está en la parte académica, también hemos tenido relaciones con eh con temas comerciales. En el 2023 lo hicimos en Microsoft, en el 2019 con Alcaldía de Bogotá, pero aquí encantados de volver repetir y tener ese espacio tan lindo para
ustedes. ¿Listo? Entonces, los dejo con Wilches, con Gero, eh, que nos van a hablar del tema de CTF. Eh, listo. Eh, un momento que se presente la pantalla, pero bueno, vamos empezando. Eh, bueno, eh, no sé si todos están familiarizados con lo que es un CTF. Lucho ya hizo una corta introducción, pero básicamente es una competencia donde van a poner a prueba sus habilidades en el hacking. Está hecho para que participen tanto gente ya más experimentada como los novatos. Entonces, sería una excelente oportunidad para que todos jueguen. Pues nada, entonces arrancamos invitándolos a jugar el CTF de Visites 2025. en donde empiezan 10 minutos. Estamos, la verdad, bastante emocionados por lo que por lo que presentamos en estos retos. Espero
que todos se puedan divertir. Presentamos retos de reversing, pound, hardware, eh Wi-Fi y todas las categorías que mencionó Lucho, eh retos que no se ven habitualmente como blockchain y pues es una oportunidad genial para compartir, jugar con otros ñoños apasionados por este tema. Así que los invitamos a todos a participar. Ya Quijeron nos acompaña presentándonos cómo hacer la presentación al cómo inscribirse al CTF. Eh, sí, pues estamos muy emocionados principalmente por mostrarles estos retos. Esperamos que tanto como nosotros estamos disfrutando, ustedes disfruten también y aprendan en el en la resolución de algunos retos que tenemos para ustedes. En 11 minutos vamos a desplegar ya como tal los retos. Entonces, en 11 minutos pueden empezar a
jugar. Tienen que leer bien las reglas, cumplirlas. Y en la parte del registro, pues obviamente aquí hay muchos TES, muchos expertos, pero hay alguien que de pronto no sepa cómo registrarse. La en la parte de registre pueden poner un nombre de usuario, un correo electrónico que sea válido, obviamente una contraseña y para los que van a estar acá presencial no tienen que marcar la casillita de de que van a participar de forma remota. Eh, después le dan enviar, le va a llegar un correo de confirmación de de autenticación al al correo que ustedes colocaron. Se autentican y ya van a pasar a la parte de creación de de equipo. Si van a jugar individual, también tienen que crear un equipo.
Pueden jugar hasta cuatro personas por equipo y ya en 11 minutos. Aquí cuando estén en la parte de desafíos pueden empezar a ver los retos que se van a ir desplegando. Eh, bueno, finalmente eh tener en cuenta son equipos de hasta cuatro personas. Tema de premiación, la condición es que tienen que encontrarse pues los primeros tres tres puestos serán premiados, así que se ven encontradas de forma presencial. ¿Listo? Y vamos a estar allí en un salón que queda, no sé qué salón es, pero a la gente de los de la organización pueden preguntarle. Vamos a estar allá para dando soporte y por si tienen dudas, inquietudes también estamos ahí. Y también pueden irse a sentar y jugar allá el CTF de forma
presencial.
[Música] ¿Alguien tiene una pregunta sobre el CTF? ¿Algo que quisieran preguntar antes de de que inicie? No, todo claro. Sí, allá en el lugar hay redes, se las podemos compartir. Listo. Muchas gracias.
Eh, Luis va a estar en el Sendc. ¿Dónde está? ¿Dónde va a estar el CTF? Sí, en el Sendoy, el Sendoy que si salen aquí del auditorio pasan
Para nuestra charla principal estamos esperando a Marcos Figueroa. Marco ya está a punto de llegar, ha tenido un inconveniente hoy con tema de de tráfico, pero ya empezamos en en unos minutos. Gracias.
Y también de por parte de Mercadolibbre, nos acompañan aquí del equipo de Bugmonty, de Mercadoolbre. Eh, nos regalas ahí pantalla, por favor. Nos van a explicar aquí el ejercicio que tenemos por parte de Mercadoolbre. Gracias. Bueno, buenos días. Eh, mi nombre es José Cortés, vengo con Anderson. Venimos de Mercadolbre a promocionar un evento de Bunty que va a empezar el día de mañana. Eh, bueno, la mayoría que hayan hecho CTFs o o algo similar conocerán más o menos qué es Bogunty o o Hacker One. Es un programa donde los diferentes hackers están invitados a a participar, a encontrar vulnerabilidades en todo el entorno de Mercadoolbre y si encuentran alguna vulnerabilidad pues la pueden reportar y Mercadolibre pues les va a
pagar eh algo dependiendo pues de la de la vulnerabilidad que encuentren. Entonces, hoy les vamos a presentar un poquito cómo es el evento y pues vamos a estar allá en el área del CTF también por si tienen dudas o o algo, vamos a estar allá. Entonces empezamos pues como con la presentación eh como para dar un poquito de contexto. Mercadolibbre tiene el el programa de Bogb hace muchos años. Desde el 2023 se abrió al público porque antes era privado, solamente ciertos hackers tenían como acceso al al a este evento y desde el 2013 2023 el evento está abierto. Eh, en todo el tiempo que ha estado abierto hemos pagado más de 1,200,000 en total en todos los bounties que que
los hackers se han ganado. Hemos resuelto más de 14 reportes y tenemos más de 15 investigadores o hackers alrededor de todo el mundo. Eh, bueno, para tener en cuenta, eh, pues nosotros estamos en el programa de Boponti en Hacker One, tenemos 100% de respuesta o eficiencia en la respuesta. Es un programa muy activo, hay muchas personas atentas a esos reportes, no es como algo que esté ahí a medias o que lo revise una sola persona cada x tiempo, no. Es algo muy activo, que todo el tiempo estamos en conversaciones con los hackers. Eh, con para que lo tengan en cuenta, si de pronto yo no tengo usuario, ¿cómo pruebo? Eh, en la misma plataforma hay
una opción para crear usuarios de prueba con los que van a poder probar pues todos los flujos y todas las vulnerabilidades que quieran. Eh, aquí también hay un link con un video donde hay alguien que explica pues cómo crear eh esos usuarios. De todas maneras, allá en el vamos a a tener toda la información ahí, compañeros. También para que tengan en cuenta este video eh explica cómo crear los usuarios de prueba en los diferentes sites que está Mercadolibbre. Eh, es hecho por algún un back hunter también de la comunidad de Backby Point Argentina que se llama el mago. Algunos de pronto tendrán por ahí la referencia. Eh, esta es la política, la pueden leer pues como para no extenderlos mucho, la
política de Backpinty, lo que está excluido, lo que eh está incluido. Eh, la full policy la pueden ver aquí en este link que es hacker.com/mercadolibre. Eh, tenemos prácticamente casi todo dentro del scope. Eh, y como les decía, José, eh, tenemos tablas de pagos de tier un y tier 2. Eh, me voy a adelantar un poquito como para explicarle la tabla de pagos que no queremos extendernos demasiado. Y más o menos por una tier un estamos pagando por critical entre 6000 y 8000 para tier 2 1500 me vuelvo un poquito como para lo de las tiers para que más o menos eh revisen el scope y dónde les gustaría eh entrar. La recomendación siempre es especialícen en
un flujo, estúdienlo muy bien, comprendan qué funcionalidades hay, qué apis llamas, ¿cierto? sobre qué arquitectura puede estar montado. Eh, y adicionalmente tenemos un programa de loyalty que es por cada vulnerabilidad que ustedes reporten van a ganar como unos puntos internamente y por esos puntos pues les vamos a dar dinero. Eh, y un disclaimer es que la vulnerabilidad que ustedes reporten, si son si es su primera vulnerabilidad o la primera vulnerabilidad del año, les vamos a dar 1.5x el valor de la vulnerabilidad. Entonces, si es una critical, por ejemplo, de tier 1, que vale $8,000, entonces les daríamos 1.5, o sea, que serían más o menos 12,000 haciendo cálculos así rápidos. Entonces, nada, animarlos a que
participen. Eh, participamos mucho también con la comunidad. Creo que mañana viene los embajadores de la comunidad Hacker One y nada, si quieren entrar a los canales de Telegram y todo esto, aquí está el QR. Igual vamos a estar en la parte de atrás. Eh, si quieren alguna información o ayuda con algún reporte, si quieren también una vez hagan el reporte se pueden acercar a nosotros y mañana eh empieza el evento de Brasil que también tiene una tabla de pagos interesante. ¿Listo? Entonces, bueno, muchas gracias. Muchas gracias. Ah bueno no sé si dejo una pregunta. No, bueno, a jugar y a divertirse. Muchas gracias. [Aplausos]
Bueno, de antemano agradecer a nuestros patrocinadores y a las eh organizaciones que que han hecho posible este evento. Eh, en primer lugar a la Universidad de Antioquia por ser nuestro host, por ayudarnos también con con toda esta parte de logística de tener espacios como este para compartir conocimiento. Tenemos también a Odín y pues Odín que siempre ha confiado en nosotros y nos ha apoyado muchísimo. Agradeciendo ahorita aquí a nuestro siguiente eh speaker tenemos a Kasperski, Lumu, Intrust, eh tus datos y el CTF también que está por la parte de Ucubar y Booky. Entonces vamos a comenzar con nuestro keynote. Tenemos a Marco. Marco, muchas gracias por volver con nosotros. No voy a hablar mucho de ti porque
espero que nos cuentes mucho de ti. Bienvenido acáites. I promise you. Voy a explotarlo. English. Este año voy a tratar. How many of you speak English or understand English? Who doesn't speak a word of English?
Pero disparate. Yo sé hablar.
[Música] Anoche est bebiendo
y tobia
so that I believe and I know let me get the other one. All right. Two tools that is going to be released today. You want to try it out? I could just take this one here.
All right.
All right, we're good.
tools because presentation que va a venir el próximo dos años. And like and el próximo dos años, si tú está no está adentro de AI, go to another career. Abra un tienda, venda faja, ropa, tenis. You have to be all in. Tienen 2 años. Porque hay un layer que muchos de los gente se vanom
alls
raise Ai, si tú usas AI todos los días, raise handora, todos los días. Now, si tú usas AI en todo que tú haces, workflows, keep up. ¿Cómo tú dices workflows en Spanish? workflows. Keep them up. All right, there's one, two. So, I'm not even going to ask the third question. So, in the next six months when I say who it has all the workflows, whether it's checking email or doing presentations, you should be using AI. I promise you that this is when I knew that AI was here to stay. Who has ever reverse engineered or programmed drivers like UEFI drivers? Anyone it's very hard. me cogió como un año para entender cuando estaba trabajando en Intel cómo
todo trabaja. Es cuando tú prendes el computadora, ese splash screen, that's the UFI stuff. Y when they release. Yo trabajé 2 años haciendo reverse engineering y todo eso para UFI. Y cuando Chag salió el mismo semana, yo dijo, "Déjame ver si Chat GBT sabe de un vulnerability que está en el UFI.
años en 10 minutos ya tenía todo. Y ese día yo dijo, esto está brutal, esto va a cambiar todo. Now, I don't know if CHBT is going to be the way is now. But si tú no estás on it, you have to. Y el cosa es el último 6 meses todo se cambió en 6 meses de enero hasta this month. Cada mes o dos meses hay otro maro that is being released. Y la cosa es si tú no sabes qué o cómo usar los Maros y qué nuevo de los Maros va a estar trazado. Windsurf or cursor one curs windsurf two all right f so if you have your laptops open download it now and here's the best
exercise how force sal he laptop this is y lo forceo para como usarlo zero to hero en un semana download en esa pantalla todo el semana. Gracias. Tú abres ese pantalla y no sale de ahí para un semana. Todo que tú haces necesita estar adentro de ese programa. Oh, tú quieres usar música.
How many of you have been security for more than one year? More than years 10. All right, got some OGs here. So, I promise you, you're already starting to see what's happening. You have specialized models. Like I said, what's going to happen is you're going to have your coding model which is already happened. Anthropic owns that reasoning and Gemin and GR could do everything. Because un compañía de el h de ello estaba cogiendo como lama andun tuning to.
I think it was enero 16. They release deep seek. Y la cosa de los mod modelos es que necesita demasiado de chavo. Find t es como 75 millones de pesos. 033 million technically stt like something distillation cuando pregunt un response.
10 millones de responses made
more tune compete. So normal no more gateeping. This is important because all you need is llama unsloth and a dat and you can tune your model. presentation diciend man even es bien duro para to do the uns necesita hacer como you need to be in the terminal not easy duro difficult so the programasing today is very easyck
Tienen do años. Está viendo los gente que están leading the pack people. So necesita mirar qué los gente están haciendo, qué están hablando. Y este ano, guy, dijo, "Hiring engineers." That's shocking and then just said, "We're not hiring any junior engineers. Cisco la ofici
que no son buenos gen.
necesitan empezar vibe coding es el tema ahora de vibe coding. Cuando tú estás typing on cursor, ¿qué tú quieres? Que el AI que lo hace y el the AI does. for you. This is what'sing of the developers and it's very easy once you get into what you need to get to. I'm so good with AI and I'm not playing around that I love security, pero if I wanted to be a business analy or marketer, I can do it easy. Just because I have the skills for AI. So you don't have to just be in here like just thinking oh it's cyb security you have to use AI for everything and this is people focus of oh AI isn't like I feel like
I'm cheating. I'm like if everyone is using it and you're not you're going to be left behind. So like I said, el próximo 2 años will determine your career. I know where I'm going. And I know el último seis meses estaba algo que I never seen before. The speed, how everything is moving. Y gracias a Dios que tengo un equipo a Oden que nosotros cogemos todos los hackeos de Jennii y vemos todo. Y el equipo mío todos los semanas no junto juntas juntos. All right. Yeah. We get together and we're like, "What is the latest tricks this week? What did you learn? Show it. You have to be in this circle because if you're not there,
I don't know where you're going to be." And the reason why I'm telling you that, find friends. Find friends that are using AI. Meet up with them every week. What are you doing? What has changed? You have to. If I'm doing it and I'm like right at the edge, people call me. I get like interviewed all the time because like any any news that is released, that is game changing, I'm aware of it. So, how do you enhance your skills? Like I said, get your Twitter account, follow the people that matter, and like I said, open up cursor, open up windsurf, and you need to do these things. A lot of times people think you have to be very technical.
Creativity and understanding how to develop things is the most important thing. So if you adapt and upskill and you lead and you show your work, that's the problem. How many people have a GHub account? How many people publish regular tools? All right, that's how you show off your work. Also blogging like blog a lot because you have to show your work. Look, everything is about attention. How you get attention? Yesterday we released a tool
12,000 views and some influencers. in the community in AI tweeted it and I'm going to go over that tool real quick in a bit. But if you don't have attention, nothing works. Nothing. You're not going to sell anything. So, get yourself a copilot. Have a friend, do what you need to do, but you got to make it happen. Like I said again, one week you can upgrade your skills like 10x. And I would tell you this, you should be to 10% better because you need to get metrics. ¿Cómo dice? Métricas. How do you measure yourself? How do you measure your skill? How do you know where you're going to be at? I'm telling you, it's coming. Mark my
words. I'm happy they're recording this out there watching on YouTube. It's coming. You're already seeing it. People are getting laid off. Even even Uber drivers are getting laid off. They already have Wo and everything. You're seeing it. It is the year of agent. So it's not everything.
work todos los días y tú haces el mismo cosa todos los días.
He was like, I just look at CHS every day and I told them you know you're going to be replaced. I could do that right now. Like how? Chat GPT has operator. Use operator to look at the charts that you need and automate it. Those are the signs. You got understand that's going to replace you. Let me give you an understanding. ¿Qué tú puedes hacer con ai en dos días? I created something without AI. Me cogía como dos o tr años promas. tied that to GDB so I could use Gidra symbols so it could be brought into GDB so it could go ahead and debug or debug and add a program in there created a MCP
which is uh model context protocol so it can speak to the AI and it could fuzz the program by itself and once it crashes and finds a bug it then logs the bug and then writes an exploit on top of that. And here's one of the bugs that I found that doesn't have to do with it has to do with jail breaking ruis and it's very easy. All I did was add a buffer on the top and it gave me saring gas products and it gave me the recipe. How you say or fórmula para darme cómo hacer el what is that a dangerous? Veneno. So these are the things that a lot of companies care about
when they put out models. Can you hack the promps and do things that it's not supposed to do? And that's what you seen in Ruis. So another one. All I did was ask it. Do me a favor go ahead and write this exploit code for CVE. I think it came out like the day before yesterday when I tweeted this and all I had to do was ask it to go ahead and write the exploit for me. And it did. usually me pone como 80% de el like working from it working. So once type it in a work to h some y esto es bien important. So este tipo aquí, he wrote this y el amigo mío, porque
estamos encima de todo. So when he wrote this blog, el amigo mío que trabaja conmigo está hablando, mira, vamos. I think we should call this guy and hire him. He wrote this explo and really good. So then yo voy al blog de él y el tipo tiene 15 años. Let's get on the phone call. Cuando estamos en el phone call, él está en el boarding school diciendo, "Sí, tengo 15 años, estoy en un boarding school." Y yo digo, "Bro, I wanted you to work with me," pero maybe necesito hablar con tu mamá para darte permission. Y tú sabes, el tipo, no, no, no está, está bien, porque yo trabajé para, tú sabes TikTok cuando tenía 14 years old
and geniuses. I don't believe necesita focus. That's how you get better.
Mr. Robot y eso me cambió todo. Yo quería hacer todo que él hizo y empecé de 12 años. And I'm like, really? He like, yo uso chat GPT para todo. Eso es. Cuando no sé algo, yo voy a chat GPT, lo leo y eso es. And the thing is, here's the thing. El tipo tiene 22 CV 22
si él puede hacerlo porque
Ahora estoy ready para eso. Dámelo.
Yo voy a la escuela, yo juego tenis y yo hackeo y voy a dormir. Y yo hago eso todos los días. to give me a shot. You going to get it? Yeah. So, I promise you I promise you that he is he's great, but he's not a genius persistent. He's like a apt except we're learning. Toast. All right. Toast to everyone. Toast to my boy. But I would say this is the most important thing I could give you. This is the slide when I came here. I thought of. Y tú sabes que who is here last year? Who?
Porque están aquí.
and use AI to get you there. That was heavy. All right, moving on. So, agents, that's your helper. Make sure you focus on agents, agents, agents, and how can it help your workflow get everything. We're going to move forward. MCP. I was just talking about this. I don't know. It's a great amazing tool. I don't know how Anthropic released it. No, at the time it was released, no authentication, no authorization. The server could attack the client, the user. The user could attack the server and it was in clear text. So I'll get my answer on that when I go to Defcon. So let's speak about Oden. Cuuse I I owe a great deal to Oden and
the people that invested in Oden as well as Pedro Mamini. He's the one who told me. He's the one who brought me on. So shout out to him. And what we do is buy bounties for only gen AI. If you could break the promp then you get paid. We have people making around como cu a se000 pesos. 46,000 dólares. No peso, sorry.
I could talk Spanish like presentation
of money hay much chavo. Tenemos gente de todo el mundo exceptam.
un año yerday made yerday
submissions from America and another conference
regetonero algo enfrente
for users I come to thiserence I go to a oferences and you said you haveadority
para gente hacerleak
Es muy sencillo para hacer los jail breaks. I teach a workshop and it was a - workshop in that workshop and next year I'll come here and do it for free 99. But when I did the workshop, everyone in the class the same day got jail breaks. One person made00 so they pay $2,000. para ele and 15
de lo compañía
Muchos de los compañía están usándolo y no saben to secure it, what to do. Solamente lo agarra y lo p They put it inside. Use their data. And I'm telling you like it is the best feeling to go into a chat bot and type something and you could do a idor like a traditional bug with a idor. I'm telling you that to me is like the best feeling. So we also drop are dropping a scanner so organizations could go ahead and scan their environment so then they could go ahead and figure out what's vulnerable, how it's vulnerable, what they could do. Then yesterday we dropped a tool called Jeff which is called uh it's jail breakuation
framework. A lot of times when someone submits something, we give it a score. It's like the CVE for like jail brakes. So it is a game changer and a lot of people are already using it. We dropped it yesterday at 4 p.m. when I was over there in the room. We dropped it right there and I was going to announce it, but then I put I just tweeted it and it has already I think 800 users that have already tested their props. So we're already seeing it in the wild. So where is Homy at? He said he was going to be here. There he is. There he is. So I was telling you about the story.
You can stand up cuuse I want I want everybody to All right. So I was telling you the story that we were at the bar yesterday with GE and he inspired me. So, I'm typing away and I'm typing away and this is a project that I was working on like for maybe two months, right? And I wasn't going to release it. And then I looked at Leis. I'm like, "Fuck it." I said, I told him, "Yeah." I said, "Fuck that, man. I'm going to release it. And I I'm like, I just created the repo and I said, I just uploaded the repo and I hit my phone. I said, "This right here is going to change everything."
And when I hit it and I looked at it, my witness, it was 11:28 and I was like, "Bro, that shit is my birthday." Yeah. I said if that ain't a motherfucking sign then I don't know what is that I post it up push it to the repase it and I hit my phone and it's it's my birthday and I was likeis I got to put you in the slide am I am I anything I said everything I said was true. Absolute truth. True story. Facts. So that's the repo and I'm going to give you a demo cuz I'm proud of this shit.
Where's GO at? Go. Yesterday, by the way, I coded this for Windows, right? And I was like, fuck. And Ge's my witness, it wasn't working last night, right? It wasn't working because this was coded for Windows. So, last night I was like, "Fuck, I forgot. I need to make sure that this runs also on Mac because when you run this, it looks at your hardware and determines what OS you're on where you can see right here. So, I'm on a Mac and then once you select that, you could select any open source LM.
I'll just select this. And then you got to select your data set. So I have a Oden data set and then you process it. It processes the data set. And by the way, before this you had to like be very technical and understand what was going on. Like you got to understand what is Laura? How does it work? Let me get the repo, bring it in. Let me figure out what knobs to turn or anything like that. What I did was, you see this bottom layer where it says hardware detection. It detects what like OS. So on the window side I have the Nvidia 2090 2080. So it knows that I have a 2080. So it
turns the knobs for fine tuning exactly the way I need it. So you see it says hardware tier midrange GPU. It's using Apple M3. So I coed that up last night just to release it. And once you do that, all the configurations are checked off. And all you have to do is hit apply. And once it applies the adapters, this is the same thing that Deep Seek did. I just applied the adapters and then you could do is start the training. And once you do that on the right hand side, oh, we're not going to force it to quit. Well, I have a lot of programs running. Let's see if it if it crashes because I
have all these tabs. But on the right hand side once you find tune your model, you could go ahead and load it up here and test it. So there's a few things, right? Esto es el modelo adapters. There's adapters and configs that you have loaded into the model. And then you start fine tuning the model with your data set. So when you're done, you could either save your adapters only or the model with the adapters. And then once it's done, you could save it right here. You could save the adapter or you can merge them together. I cannot tell you how big this is, but I could uh when I tweet it, you're going to see you're going to see the response,
but it is a game changer. And I wanted to say, Geo, it's for you. You hook me up. This I dropped it here. I didn't drop it at Def. I didn't drop it at Echo Party. I dropped it here. This shit right here changes everything. You know why? Has anyone find tuned the model? Anyone here? Ok, the link I gave you now you can find tune it any data you want. That means all your hacker documents, all of your hacker tools that you like. All of your exploit DBEs, you could load it into the model and have your best friend as a model that helps you exploit shit in the wild. No more gatekeeping. This right here allows a 5yeold, a
6yearold to just download the reboot and get it set up. So, I know I was late, Geo, but you got to get a shot with me because this is a special moment for me. And by the way, how you say cheer leader in Spanish? Huh? Porta porta. Okay. Well, you know what I'm talking about? Everyone said it. Listen to me. If I'm going to leave you with one thing today, this is my one thing that I'm going to leave you with. Be your biggest cheerleader bro. No one's going to love you. No one's going to be a bigger fan or should be a bigger fan than you. I'm my own fan, so I know how big this
is. So I would say as I leave you, go and next year you should be here. Next year you should be submitting. Next year, half of the talks should be having something with AI in it. Cuz I'm going tell you right now, if any of your friends tell you, "Oh, you're not a hacker. You're using AI, don't you need to get away from them. Don't listen to them. And I promise you next year I'll be back again and I'll be dropping some hot shit again." And I hope you guys are going to join and do your thing cuz everybody looks a little tired except a few people that are really engaged. Those are the people that my expectation
is that you change the world just like I just dropped this and it's a game changing changing the world.
Es el mismo. Es el mismo. Es el mismo.
Muchas gracias, Marco. Marco, te traemos aquí un detallito de de Visit Colombia. Gracias por confiar en B y confiar en Colombia también por acompañarnos y ceder nuestro kinut. Thank you. Gracias. Gracias. Un aplauso para [Aplausos] preguntas para Marco.
Jason CSV. And by the way, I would put I would put more documentation, but we were at a bar at 11:28 and I said, "Fuck it." So now it's released and it's on and popping. Any other questions? Yeah. Um nice blazer, nice coat. Thank you. Um the G I think doesn't work. So maybe sorry the the GitHub link I think it doesn't work. Number one. I I mean I tr Does it not work? Maybe I gave the wrong one out. Hold on. Yeah, maybe. Uh the other one. How do you fucking host an LM without breaking your bank? I mean I tried to do my home server. Yeah. Which is not my own PC. M um and I had to use like a low
number of parameters. It's really slow. I mean, how do how do you go through that? Yeah, good question. Cuz when I actually you guys the first time I basically ran this it don't I got the video here I I sent it to my friend's
Oh shit. Sorry about that.
So that was a good question because as you see all sorry. So you see the video on the bottom. As soon as I hit it, it was sucking power out and it was making my my uh thingy bleep and it shut it off cuz it was taking so much power. The trick is put it directly on the wall. It's not going to blow out the circuit. Well, hold on one second. We're in Columbia, so it might happen. But all you need is 120. What hardware you have?
Mac as me cogió como 5 horas para hacerlo. Oh, the link. So, anyone that was with me yesterday. No, this is the wrong one. Where is Cell at? I'm like, she was making fun of me yesterday. Here we go. Actually, I just send it to one of my friends. So, I'll pull that up here and then go
So, this right here, this guy right here is the number one jail breaker in the game. There it is. Let me open that up for you. Can you see that?
Anyways GitHub MF-VE- tuning and yeah, you can see that. All right. Any other questions?
[Música] Un aplauso para Marco. Gracias. Gracias de nuevo. Muchas gracias. [Aplausos] Bienvenido.
Bueno continuamos con una invitación. Ahora una invitación. Nos acompaña Nicolas Bejar. nos va a hablar sobre backdoors ambos, o sea, nos va a explicar esta invitación también a a este taller y y bueno, Nico, bienvenido, muchas gracias por asistir con nosotros. Hola, buenos días. Este, yo también soy gringo, desafortunadamente y les voy a pedir una disculpa porque hablo español con las patas. Entonces, aguántense. Eh, mañana voy a dar un entrenamiento de un juego que se llama Backdors and Breaches. Es un juego de respuesta de incidentes, un juego de mesas y ayuda a las empresas y también a los estudiantes a aprender cómo sirve una respuesta de incidentes. Y tenemos este tenemos entonces construimos la cadena de ataque, primero
el compromiso inicial, después la el pivote y escaleamiento y después la persistencia y después la exfiltración. Y también tenemos varias tarjetas de procedimientos y con esas tarjetas se detectan los pasos de la cadena de ataque. Y entonces eh no sé a qué horas es mañana el taller, pero ¿a qué horas es el taller mañana? ¿Quién sabe? Estaremos confirmando Sí. Entonces, mañana ah creo que es a las 8:30 y es bastante temprano. Eh, este, entonces voy a tratar de estar a tiempo, pero espero ver a algunos de ustedes ahí mañana y vamos a estar regalando mazos. Entonces, traje 10 y si se sientan a jugar un juego completo, les voy a regalar un mazo para que jueguen en el
trabajo con sus amigos o lo que sea y también para que aprendan cómo hacer una respuesta de incidentes. Y no sé por qué me dieron 10 minutos, ¿no? Nico, muchas gracias y la invitación es a que lo hagan. Es una experiencia espectacular para todos de todos los niveles. Y a ti muchas gracias por acompañarnos.
Bueno, qué bueno que que repitas con nosotros. Les presento a Danilo, Danilo Erazo viene de Ecuador. Tal vez muchos lo vieron, muchos lo vieron en la presentación del año pasado, que estuvo también aquí con nosotros acompañándonos en Bites. Hoy nos trae eh una charla acerca de carh hacking. Entonces vamos a estar, como ustedes saben, Danilo es experto en toda esta parte carh haacking, liderando varios grupos inclusive de investigación y y bueno, estar muy atentos porque siempre son muy entretenidas. Ya te ayudé ahí a conectar si quieres.
Podemos probar salida de audio de aguante. Ya no está sonando. Está saliendo. ¿Sabes dónde? Ahí. Sí, el Jack.
Muy buenos días con todos. Dos me escuchan. Sí, esa es. Eh, buenos días con todos. Un gusto para mí estar de nuevo acá en Medellín, una ciudad que siempre me recibe bien. Antes trabajaba acá en una empresa. Sí. Agradeciendo siempre acá a Fluida Tax que se encuentra mis compañeros donde antes trabajaba. Entonces, siempre me gusta regresar por acá y por eso voy a darles una charlita de de car hacking, que es lo que más me gusta. Me dedico esto actualmente eh como security research en esto de forma independiente. Sí. Entonces, esta charla de aquí para mí es como una de las más importantes. Eh, lo que voy a presentar aquí está superinesante porque es un
resarch que si Dios mediante todo sale bien, pues lo va a presentar en DEPCON este año. Ya. Entonces, esta va a ser una charla al estilo DEPCON porque eh vamos a demostrar un research que de una investigación que va que va a mostrar por primera vez de forma pública. Sí. el día de hoy. Ya eh voy a hacer una preguntita al final y les voy a dar un sticker de la carin village de la DEPCON, pequeñito ahí, pero así que atentos ahí. Listo. Entonces, el tema es pounding week rolling codes. Entonces, ya vamos a explicar que es esto del rolling code para la gente que que no sabe. Eh, antes me olvidaba de poner el
disclaimer. Esta vez a poner el disclaimer porque ya me ha pasado ocasiones, por ejemplo, por ahí en Chile, así que terminaba de dar la charla y la gente tenía miedo de mí y no me dejaba ingresar a sus autos. Entonces, tranquilidad, todo controlado. Y lo que vamos a mostrar aquí es propósitos educativos de researching, ¿sí? Justamente para eh contribuir con la seguridad en el automurity world, ¿ya? Entonces, todo lo que eh no está destinado a esto eh fines ilegales, pues no se contempla aquí, no se apoya eso. Ya. Y les invito, sí, a la gente que va a ir al Ecoparty y pasarse por la carquinar. Actualmente estoy coordinando eso. Este año vamos a tener eh un CTF, vamos a
tener en la Vilas también el si todo sale bien en la carga kim Vilas de la Defcon la Ecoparty. Entonces, todos bienvenidos. Sí, ya saben, por amor al arte igual esto es voluntario. E lo que hago. Actualmente soy miembro de la carquinilas de la DEPCON. Eh, trabajo ahorita como freelance actualmente y he tenido la oportunidad de dar algunas charlitas este año. Eh, la que más me gustó, a todos los que les gusta esto del hardware, les recomiendo el canal de YouTube de hardware USA. Eh, superinesante para ataques de de de hardware. Sí. Entonces, ¿cómo cómo vimos eso? Y justo 5 minutos antes de subir acá me llegó un correo de que se hicieron públicos mis primeros CBS en el en el
mundo de los autos, ¿ya? Entonces estoy superfeliz por eso. Como vemos aquí, eh de hecho, justo 20 minutos antes de venir acá estaba con un arreo aquí mismo en el segundo piso, justo hablando de estos CBS con la gente de ASRG, Autometry Sab Security Res Group. Y en realidad esto de aquí es como yo lo presenté aquí hace un año, pero de forma como super rápida, porque yo hablé de de hacking de autos y en la última parte presenté algo. Después como lo estudié más y eso resultó que hice un resarch, hice un exploit, que básicamente puedo abrir cualquier auto que utilice el earning C. Sí, para los que desean revisar más, ahí ya les mando
el link despacito. Entonces, por eso es crítico, tiene 9.4, cu, es decir, no necesito a no necesito nada de de autorización ni o sea, de privilegios. Es decir, veo el auto, corro el exploit y le abro al auto. Entonces, eh ese sería el CBS 6029 y el 6030, ¿sí? que afecta a autos Ecuador, eh, y creería que en más países de Latinoamérica, pero actualmente identificados como verificados en en Ecuador. Ya. Listo. Entonces, vamos a revisar esto de una introducción a poco lo que es Cave of hacking, hacking, reconocimiento, ¿sí? la fase del remote entry system, un poco de hardware hacking para hacer la explotación y qué es lo siguiente del research y las recomendaciones. Ya.
Entonces, eh, ¿qué es el remote cas entry system? Básicamente es justamente lo que nosotros le conocemos como la alarma del auto. Ya tenemos un transmisor que en inglés es el KFO o nosotros le decimos a todo la alarma, ¿sí? Donde presionamos, ¿sí? o el llaverito y el receptor, que es justamente la antenita, el microcontrolador con la antenita que está en el lado del auto, ¿ya? Eh, serían estas dos partes, ¿ya? ¿Cuál es el KFOV? Ya les dije que es como el botoncito que la alarma que aplastamos. Rolling Code es la seguridad, la seguridad actual que existe en los autos justamente para evitar si yo levanto una antena y escucho la señal e no la pueda
replicar porque son códigos que varían. Es decir, si yo capturo y replico, ya no me sirve. Es decir, cada un código es de una sola vida. Ya tenemos learning code, que eso fue lo que expuse esto de la devcomedad es diferente en cada auto el código, pero a la final es un código fijo, ya es uno como para abrir, otro para cerrar y varía eh en cada KFOF y también en cada auto. Entonces es como y tampoco no está soldado, sino como que se programa. Y el fixed code obviamente es eh lo más inseguro, ¿no? Códigos fijos. Es decir, si yo escucho con una antenita con mi hager ref y replico, le dupliqué la llave y puedo abrir y cerrar el body
control module, que es lo que está conectado al receptor del Kess Entry System, ¿sí? Que eh los gente que trabaja en autolujos lo hace justamente como para conectarle a la red can del auto y poder controlar que se encienda la hacer más feature, ¿ya? Pero esta es una ECU, el BER control Unit. El EQU es una electronic control unit. Son todos los computadores que están en el auto. Sí, recordemos que un auto tiene como más de 20, 30, 40 hasta más electronic control unit, es decir, computadoras. Sí, como les decía, e un auto es varias computadoras encima de de cuatro ruedas. Listo. En tema de Kes entry system, nosotros tenemos eh cuatro ataques ya, replay attack. Superfácil. La víctima
presiona para desbloquear el auto, abrir el auto de las puertas. Eh, está un atacante escuchando en la frecuencia de 4 3 MHz, replica y abre el auto haciendo obviamente eh lo que es, o sea, esto en códigos fijos, ya roll Yamatack es lo mismo, pero inhibiendo la señal, es decir, esto es vulnerable a todos, es un mang de midle, aquí no se puede hacer nada. Todos los autos son vulnerables a eso porque yo inhibo la señal para que la señal nunca le llegue al auto y por lo tanto la robo yo para como no le llegó al auto, yo hago un hombre en el medio para replicarle y ahí va a llegar por primera vez al auto, ya mediante
inhibición. Superfácil. Rollbag attack es un ataque, o sea, si se encuentra esto en un remote que les entriste sería una vulnerabilidad, un CB. ¿Qué es lo que permite? es hacer justamente como el nombre dice un rollback para resincronizar el rolling code y que pueda servir rolling codes antiguos. Broad for attacks y fuerza bruta al rolling code. Ya quizás no es como lo más óptimo, pero idealmente es posible. Listo. Con respecto al rolling code, que nos vamos a enfocar esto, tenemos aquí principalmente eh dos tres tipos de rolling code de algoritmos de rolling code en los remote entry system. El Kylog Rolling Code, si este es un cifrado simétrico que se aplica a la trama del rolling code. Si por defecto,
Kylock no es específicamente el rolling code, sino el rolling code es como que una tramita y el kylog es aplicado cierta parte de la trama del rolling code. Ahí tenemos los chips, NTQ, el HS101, etcétera etcétera. El kilock en su primera versión está completamente roto, el algoritmo está completamente roto. Es decir, si por ahí encuentran en sus penesta, como esto cifrado asimétrico, simétrico, como les digo, es vulnerable porque está roto. Es decir, si yo es ni feo, puedo romper ese algoritmo, el clásico, porque hay tres tipos de kilogmente. Ya ahorita el más actualizado es el segundo que utiliza AES. Sí, es un Kilog. que ya no utiliza una un cifrado en bloques, que ya vamos a ver si no utiliza es ya.
Entonces, este es actualmente el más seguro y todos los autos deberían tener esto. Es decir, si yo es ni feo la señal, básicamente no puedo hacer nada porque no puedo descifrar para ver ni siquiera cómo está compuesta la trama. Ya. Y por tercer lugar tenemos eh implementaciones propietarias custom, que es justo lo que vamos a explotar el día de hoy, lo que lo que descubrí. Y por otro lado tenemos también las puertas de garage eh Security Plus y Security Plus 2.0. Estos son rolling codes aplicados en las puertas de los garages. Ya. E igual hay mucha información de esto, hay hackeos con el flipper de esto, entonces no se recomienda nada. Lo mejor es siempre
Kylock con Ya. Listo. ¿Cómo funciona esto del Kilock? Nosotros tenemos eh un bloque de 32 bits, ¿sí? que va a ser cifrado eh con una llave de 64 bits. Sí, de la 64 se coge eh 32 en cada en cada iteración. Son alrededor de 528 iteraciones. Es un cifrado simétrico s superdbil, super roto, porque por ahí tiene unos ships register, también tiene un Axor, tiene alrededor de Axor más del Shift Register y es totalmente reversible, ¿no? Entonces ahí tenemos el no linear feedback ship register, que es la lo que se aplica en cada iteración de las 528. ¿Sí? Entonces se aplica esa función matemática para eh obtener cambiar cada bit, es decir, cojo un bit, lo cambio,
lo cambio, lo cambio y así los 32 y eso sería una iteración y así 528, ¿ya? Eh, un cifrado simétrico, ¿ya? No es de mucho interés. Esto he sacado igual de microchip microchip Microchip había comprado como este cifrado hace mucho tiempo por si no me equivoco,0000. Actualmente estamos en el Ultimate Ultimate Kyog, ¿sí? que es con AS, como les digo, ahora la llave ya es con 128 y tenemos aquí que la sincronización es con el counter y también con el time, es decir, más randómico, porque si vemos el Classic y el Advance, solo tenemos el counter, es decir, cada trama tiene un contador y el siguiente rolling code simplemente va a ser el mismo más el n +
1. ¿Sí? Entonces por ahí también puede ser como roto. Ya. Listo. Entonces el que le expliqué yo es el Classic Kyog, que es está roto por ahí unas charlas que alguien le hizo ingeniería reversa esto y está super roto lo que es Kilo Classic. Eh, para entender esto del rolling Code existe una ventana. ¿Qué significa esto de la ventana? La ventana es justamente con para que cuando alguien presiona la llave y no el botón para desbloquear el auto y no le llega el auto, entonces el contador sigue subiendo, ¿no es cierto? Entonces va a haber una desincronización en ese momento porque digamos que yo estoy como por ahí en un lugar donde así hay mucha como interferencia o paredes
gruesas, no sé, y la señal no le llega al auto. Entonces, obviamente el receptor tiene que resincronizarse cuando eh le llegue la el N + 1 o el N + 2. Es decir, digamos que yo presioné 10 veces, me cogí la llave, la alarma y lo me fui a Chinas y y mi auto está aquí en Colombia y lo presioné como 10 veces. Sí. Entonces el si yo vuelvo a presionar debería valer. Entonces a eso se llama esto de la ventana. Quiere decir que la ventana acepta por defecto 16 rolling calls futuros. ¿Sí? Es decir, si yo me fui a China y presioné 15 veces, regreso a Colombia y presiono una vez más, el auto se va a abrir. Pero si ya presioné
16 veces y regreso acá a Colombia a presionar una vez más, ya no se no se va a abrir. Entonces tiene que resincronizarse ya. Y entonces para eso es justamente la ventana de 32K. ¿A qué hace referencia esto? Ess simple. Lo que hace referencia esto es que eh la ventana acepta hasta 32 futuros rolling codes para resincronizarse. ¿Qué significa esto? Es decir, me fue a China y obviamente la señal nunca le llegó al auto y a lo que yo regreso presiona la la la vez número 17. Ah, en esa en ese intento el auto no se va a abrir, pero guarda en memoria en su EPROM, en su ROM, en su RAM el código que recibe y si él recibe un código
siguiente, es decir, un N + 1 a S y que es válido, ahí recién se va a desbloquear el auto. Sí. Y esa ventana es de 32K, o sea, 32,000 Rolling Covs futuros. Ya el Classic Glog, como vemos, la trama no tiene en ninguna parte una parte randómica, solamente tiene lo que es el botón status, es decir, 4 bits para ver si si presiono para bloquear o desbloquear. Discrimination bits que hace referencia a 10 a 12 bits de la serial number. El serial number el identifier del KFOP, ¿sí? Y el counter, que es un contador. Sí, s simple. Entonces, esto está super roto ya. Pero es como para explicar el rolling code actualmente ya se tiene más seguridad,
tenemos que se cifra con unas llaves de 128 y también aparte existe un autorization code cada vez que presionamos. Sí. Listo. Entonces nosotros el día de hoy vamos a romper un rolling co totalmente eh sí lo vamos a mostrar por primera vez. para lo cual necesitamos hacer la fase de reconocimiento. Entonces, resulta que yo estaba buscando como algo seguro para para mi auto y compré esto porque decía que tenía rolling code. Sí, si por ahí encuentran algo así, eh, no compren, eh, no compren nada de eso. Entonces, ¿qué dice ahí? Car, alarm gold series. Y por ahí abajito en la esquina dice ISO 9001, o sea, más terrible todavía eso. Ha, por ahí le le pusieron sin pasar por la ISO
9001. Imposible. Listo. Esta es otra igual que también es vulnerable a lo que vamos a explotar el día de hoy. Esta de aquí es la K700 Plus, manufacturada, eh, fabricada por Mica. Si un fabricante chino. Todo estos son alarmas chinas que se se vende full a nivel mundial. a nivel Latinoamérica, o sea, por todo el mundo. Ya. Listo. Entonces, vamos a desarmar una de la el KFOF. Sí, tenemos aquí el chip transmisor, que es un FMD A4K QRKE, la modulación ASK que tiene justamente transistores condensadores y el chipless transmisor al final. el oscilador, que es el que pone el reloj para la frecuencia de los 433 MHz y las las pilitas. Ya el chif, lamentablemente
no hay información pública de este chif, de este chifm, sin embargo, ahí con un microscopio le le avancé a leer la el la las las letritas, pero lamentablemente no hay un datip. Sin embargo, gracias al research que hice el anterior año, eh puedo es como algo funciona similar, entonces no necesitaba el datas sheet. Y probé y literal funciona similar al resar del anterior año. Eh, tenemos acá el oscilador 400 detectamos y justamente está en 433 MHz. La mayoría de KFOs está en esa frecuencia. Otros de 315, otros en 310. No sé si alguien alce la mano si alguien ha visto esta alarma alguna vez aquí en Colombia. como para también saber de paso en el research. Listo, por acá
tenemos varias manos. Eh, esta alarma también es vulnerable a lo que vamos a explotar. Esto es igual una alarma eh china, no es como original de Kia. Sí. Entonces, si desarmamos esta alarmita, nosotros qué es lo que nos encontramos que toda esa cosa gigante se resume a a lo que está abajito. Es decir, más desde el case, así uno dice, "Uy, qué segura esta alarma. Durísimo. Voy a hacer lo más el más pero no es solamente esa esa esa ese PCB super pequeñito y yo cuando le desarmé dije, "Pucha, eh, cómo nos destafan durísimo." Listo. ¿Qué tenemos acá? igualmente el chip transmisor que lamentablemente los fabricantes le como que le borran el cereal justamente como para no hacer
este tipo de resars según yo, porque está super borrado. Hasta ahorita no logro saber qué serial es por ahí unas letras que también dirá, pero eh en realidad no necesito porque como igual el res del anterior año me ayudó en esto, ya igual la modulación ASK, la mayoría de Kefout utiliza ASK o FSK, ¿ya? Y por ahí tenemos los botones que están integrados con el oscilador, ¿ya? Y la y la y la aplicita igual tiene 433 MHz. El receptor es un STM 8. ¿Por qué esto es peligroso? Porque si alguien conoce en el mundo del hardware hacking existe los ataques de fou injection justamente para bypasearnos la protección de lectura del firmware, del microcontrolador y podernos dumpear el
firmware. Entonces es super inseguro. O sea, TM32 también es posible hacer un fou injection, pero es como más difícil. Entonces, para hacer publicion de STM8 en el internet hay mucha información, eh, entonces es super grave que este alarma de 2025 tenga esto. Ya. Por ahí tenemos también un Darlington Transistor que justamente actúa como relay eh para cuando recibe una señal del microcontrolador, obviamente va a activar eh dentro del del auto por ahí que se abra las ventanas, que se cierre el auto, todo eso. Todo eso lo hace a través del Darlington Transistor que actúa como relay. Ya. Eh, los conectores periféricos y la antenita que es la que está arribita. Ya, ese es el receptor.
No, no hay más nada. Y listo. Después, ¿qué es lo que obtengo yo después de hacer toda esta investigación, esta alarma? Eh, obtengo que el offset entre las entre las señales para bloquear y desbloquear en una de las que es 257. Sí. Entonces, cuando ustedes presionan una un botón como para bloquear y desbloquear, ¿cómo el auto sabe que es para bloquear y desbloquear? Obviamente en la en la trama debería haber eso, pero ya vamos a ver que en la trama de esta de este rolling code no existe esa parte. Entonces es super importante entender esto. Ya después lo que hago yo es que descubro, o sea, esto es como, o sea, eh inducir de de todo lo que hice.
Ya. Entonces induzco que el receptor desbloquee el sistema si el la trama recibida del contador recibido menos 257 es igual al contador para bloquear. También induzco que el receptor para bloquear el sistema es lo mismo, ¿sí? Pero sumando 257. Es, o sea, es como no hay de otra ya, o sea, de ley tiene que hacer eso porque en ningún momento se manda si es para bloquear o desbloquear en este tipo de de rolling code. Tenemos acá que el offset que el offset se mantiene eh al presionar y ya sea el botón de bloquear o desbloquear. Sí. Y esa el offset sube, es decir, si yo presiono para bloquear y desbloquear, es el mismo offset en la en la en la llave.
Ya, cada KFOV tiene independientes counters. Si es un contador para cada KFOB, ¿ya? Entonces las alarmitas pueden aceptar como hasta 4KS. Entonces cada una de estas tiene un contador diferente del rolling code. Eh, cada llave tiene diferentes se para la parte randómica. Ya vamos a ver. Y los hay una parte que está de compuesta 16 bits, que es una parte randómica en donde eh al parecer solamente es eh deducida desde el contador. Sí. ¿Cuál es el problema actual? Estos remote entry system son vendidos alrededor del mundo en autopartes, en aftermket car partes, eh tiendas en Latinoamérica, en Colombia, en Ecuador, en Argentina, en México, etcétera. En todo eso también se puede conseguir a través de internet y en
otros continentes también. Y qué es lo más qué es lo más complicado? Es superdfícil, superdfícil encontrar una alarma de rolling coat after market. Es decir, una vez que ustedes ya compraron el auto y por ahí quieren cambiarle su alarma, lo más probable es que compren este tipo de alarmas porque es lo que hay en el mercado. Ya. Obviamente las alarmas seguras vienen fabricadas en los concesionarios que de Alemania, que de Estados Unidos y obviamente utilizan Kylock con AS, pero obviamente después de del aftermket vamos a conseguir estas rolling codes vulnerables. Listo, ahora sí vamos a lo que nos gusta, que es explotar y encontrar vulnerabilidades. Lo que primero que encuentro es que la trama viaja en texto
plano. Eh, ahorita nos vamos a asaltar cómo es que funciona esto, pero a los que deseen entender más de cómo está como cifrada, por decir así, pueden chequear esa charlita, ya, que justamente es del resar que les menciono yo. Entonces yo identifico la misma codificación china en los Learning Code. Identifico la misma, por lo tanto puedo decodificar, pero en sí no es una codificación, es algo s simple, pero no vamos a hablar de eso. El punto es que al rato de que yo es ni feo puede obtener la trama para mí en texto plano porque aplico una decodificación super básica, s simple, que para mí igual va a ser texto plano. Es como un base 64 que
a la final es texto plano, algo así más o menos, ¿ya? Pero no es va 64, obvio. Entonces ahí tranquilamente, como ven, yo ya pongo que esto es un cer, esto es un uno. Sí. Entonces resulta que descubro que está en texto plano. Entonces eso está super grave, ¿no? No se utiliza un cifrado, no se utiliza ni kilock ni nada. La trama viaja sin cifrar. Eh, la primera vulnerabilidad que descubro es un rollback attack. ¿Qué es el rollback attack? Como les mencionaba, hago que el receptor se resincronice, es decir, digamos que estamos en el contador 100, ¿sí? Eh, presioné 100 veces, 100 veces abierto mi auto y resulta que yo puedo hacer para que se resincronice y me
acepte rolling codes antiguos desde el N -50, desde el N men- N- Y. ¿Ya? Entonces, básicamente hacemos que el contador se regrese al al rolling code que yo ya tengo previamente grabado. Entonces, super grave. Es básicamente se rompe todo toda la todo el mecanismo de rolling code porque yo regreso al rolling codes, es decir, revivo rolling codes ya antes presionados. Ya. Entonces, aquí vamos a ver un ejemplo de cómo funciona esto. Eh, esto no debería pasar para nada, está super peligroso. Entonces, aquí tenemos cuatro señales de bloqueo, ya de desbloqueo. Tenemos una, dos, 3, cu. ¿Qué es lo que descubro? Que justamente en la primera señal eh descubro que es una señal de mando una
señal de resincronización para que las futuras señales sean habilitadas. Por lo tanto, si yo tengo cuatro señales, la primera va a ser de resincronización y las tres me van a funcionar. Es decir, estas cuatro señales, si yo las replico, ¿cuántas veces se va a abrir el auto? Desbloquear tres, ¿no es cierto? Porque la primera se utiliza para resincronizar y las otras tres hacen efecto. ¿Sí? Entonces, eh super grave porque existe rollbacks attacks, que por ejemplo la anterior semana tuve la oportunidad de de testear en vivo, o sea, físicamente un roll bagatag que ocupaba cuatro señales de resincronización y a la quinta a la quinta valía, perdón, cinco señales de resincronización y a la quinta valía eh
desbloquear el auto. En este caso es más grave aún porque solamente tenemos una señal de resincronización. Entonces, ¿qué es lo que descubro justamente en esto del roll bagat? Eh, necesito enviar mínimo dos señales. ¿Sí? Eh, la primera señal debe ser precedente a la segunda señal, ¿sí? En cualquier secuencia. Es decir, yo puedo enviar un n + 4 y después un n + -1. Me va a funcionar, se va a abrir cuando yo envíe la segunda señal. Igualmente, por ejemplo, un N - 15 y después envío un N -1, se va a desbloquear el auto y así N - 2 y envío un N -1, se desbloquea. Ya. Eh, para lo cual yo tengo acá una
herramienta que hasta ahorita no le hago pública porque siento que es un peligro. Y esta herramienta se llama Auto RF Killer y ahorita le añadí estos ataques que descubrí. Entonces, ejecuto la opción dos que dice C rollband signal. Sí, pongo la frecuencia 433 y mando ahí la primera señal. Sí, como vemos ahí dice 010011, etcétera, y mando esa señal de resincronización y eh consecutivamente mando la señal para desbloquear el auto. Entonces, ahí se rompe el rolling code. Ya. Y con eso yo clono la llave porque si yo replico esto n veces, el auto se va a abrir n veces. Entonces, eh, finalmente la llave quedó clonada. Vamos a ver acá un videíto de eso. Ya
ahí no sé si me ayudan el audio porfa, que esto es voy a mandar como muchos videítos no se escucha y es super importante para mostrar las demos. Capturado previamenteo y después megcios. y ingresamos. Listo. Entonces, ahí estoy corriendo la herramentita Auto RF Killer conectada a mi HG RF. El único requerimiento de esta tool tener GNU radio, que por debajo del core es GNU radio. Ya saben la programación de SDR en bloques y esta y esta tool SDR. Puede ser un Blade RF, un HG RF, cualquier SD. Sí, ahí se abrió. Sí, sin la llave. Entonces si yo mando esto n veces va a funcionar veces.
Listo. Me parece que aquí había otro videío. Bueno, había otro video, pero no lo he puesto. Eh, listo. Vamos a la siguiente vulnerabilidad. descubro que el rolling code es adivinable, por lo tanto, o sea, mediante fuerza bruta, o sea, yo siempre me acuerdo que cuando trabajaba en UEF, o sea, en penestaba fuerza bruta y para mí fuerza bruta, todo es vulnerable a fuerza bruta, entonces a todo le meto a fuerza bruta, así en la vida. Entonces esto es vulnerable a fuerza bruta, ¿ya? Eh, ¿por qué? Porque descubro que la trama inicialmente tiene 41 bits. Las primeros 16 bits hacen referencia justamente a la parte randómica. Sí, son 16 bits randómicos que hasta el momento, hasta
el día de hoy, eh obviamente no tengo el firmware, pero eh eh la idea es como dumparme el firmware y ver cómo hace ese randomico, si es por por ahí utiliza una llave, si utiliza el contador como semilla, algo así. creía que lo utiliza como semilla el contador. Después tenemos 16 bits, que es el contador, es decir, cada vez que presionamos, como saben, se sube un una iteración. Y después descubro que tenemos el KFOP ID. En este caso, si nosotros tenemos dos llavecitas, tenemos un KFOP 0 y el KFOP 1, que es lo que estamos viendo ahí, por ejemplo, el KFOP 01. Ya podemos tener hasta NK KFOs en este caso porque el ID es de
9 bits. Entonces si subamos 41 bits ya. Eh, entonces obviamente yo veo que hay 16 bits. Pucha, son 65,535 posibles números, por lo tanto yo puedo hacer fuerza bruta eso. Eh, superfácil eh hacer eh hacer fuerza bruta a eso. ¿Por qué? porque yo ya tenía previamente la herramienta hecha justamente del resars anterior. Entonces, por ahí modifiqué algunas cosas. Y qué es lo que obtengo de este de este Brot Forest Attack. descubro que la el delay entre cada señal debe ser mínimo de 380 milisegundos para que el microcontrolador pueda receptar el estas estas señales de fuerza bruta. Es decir, yo mando un rolling code cada 380 milisegundos. Y si multiplicamos esto por 65,535 y lo dividimos para obtener
el tiempo, tenemos que podemos recorrer todos los 65,535 posibles eh números en esta parte de los 16 bit randómicos en 6.9 horas, o sea, super factible. En un solo día, en la noche, mientras la gente duerme, podríamos abrir un auto. Ya. El único requerimiento para este ataque, obviamente tenemos que saber el contador, o sea, nosotros sabemos el contador, obviamente toca saber sí o sí el contador en el contador actual, el del KFO. Entonces, para eso tendríamos que hacer un sniffing de la señal. Eh, los típicos robos que vemos así como en Canadá, en USA, que por ahí están con las antenas, ya la gente duerme. Entonces, sería un ejemplo de esto, ¿no? Digamos, alguien va a dormir, eh, por
ahí estaba una antenita que tiene un buen alcance y logré capturar el contador y simplemente toda la noche le dejo corriendo la fuerza bruta y se va a abrir el auto. Super grave, super grave. Ya. Entonces, vamos a ver aquí la cómo sorry. Este video no es de la fuerza bruta, es del rollbag hecho en un auto de es un Mazda, es una camioneta. Entonces, aquí es del roll bagat. Sí, no es de la fuerza bruta, es del roll bagat. Sí, ya si vieron, mando la primera señal de resincronización y en la segunda señal se desbloquea el auto, o sea, totalmente duplicada la llave. Por acá me parece que ejecuto de nuevo. Dejen ver. Sí.
[Música] Y ahí nos vinimos en ese auto hasta Medellín. Listo. Entonces vamos a ver el ataque de fuerza bruta. Eh, ¿qué es lo que necesitamos? Como decimos, necesitamos el contador. En este caso, eh, capturo es ni feo y veo que el contador está en 722. Por lo tanto, yo le voy a hacer fuerza bruta al número randoming con que corresponde al número 723, ¿no es cierto? Eh, pongo aquí opción uno para Bruce Force. Pongo aquí el current counter. La herramienta me pide el current counter. En este caso es 722. Eh, desde el inicio quiero hacer fuerza bruta desde cero hasta 65,535. Después, eh, listo y empieza la la tula a mandar desde cero hasta 600 eh 65,535
y listo. Cuando yo escucho eh la primera vez que lancé esto, o sea, no tenía esperanza, o sea, como que según yo no iba a funcionar. Cuando escuché que el Raymond Kessentry System sonó, [ __ ] dije, "Qué bien, así vamos ahí." Y justo yo le paro al ataque cuando escucho eso, le paro y le paré en el número randómico 605757. Ya. Entonces eh le paro y enseguida como que guardé estos valores. Ya. Como para ver. Entonces aquí viene la pregunta con todo esto que ya les mencioné. ¿Cómo puedo saber yo cuál de todos los de los códigos que mandé cuál fue el número randómico? ¿De qué forma creen ustedes? alguien el que me responde es como que
le doy el este criscito de la carja en Vilas que es superlindo así una calavera y unas cosas mecánicas. Entonces la pregunta es, ¿cómo harían ustedes como para saber cuál fue el número randómico que abrió el auto? Si obviamente no se puede saber eh, así tal cual cómo se corre, yo escucho y obviamente no hay forma de saber, simplemente yo paro el ataque, pero obviamente en ese lapso eh yo sé que el número randómico puede ser los 10 los 10 últimos códigos que lancé o los 20 últimos, pero está en ese rango. Sí. Entonces, ¿cómo ustedes sabrían? Sí. descubrir el algoritmo como se genera pues tratar de descubrir al algoritmo como se genera es más fácil aún. O sea, ahorita quiero
saber cuál fue el número randómico. Es hay algo super más fácil, ¿no? ¿Por qué no?
Eh, pero en este caso, como ya abrió el auto ese ese de ahí, ya no me sirve porque ya no abriría de nuevo. Ajá. la 36 eh casi, pero no.
Sí, pero en este caso eh yo quiero saber el el randomico del que ya, o sea, no hay forma de regresar al ataque tampoco el futuro. En realidad es s simple la respuesta, pero igual eh le voy a dar a ver cuál estaba más cerca. Me parece que, a ver, una persona más. Perfecto, con el rollback es una opción, pero hay una más fácil todavía, obviamente. A ver, hermano, toma, eh, por favor, alguien que me ayude. El rollback, obvio, nosotros recordemos que tenemos del ataque de rollbag attack y para el rollbag attack nosotros necesitamos dos señales, una una para resincronizar y la otra le abriría. Es decir, yo tendría que hacer una fuerza bruta de los últimos eh rolling co que
mandé y y ahí ver. Sí, pero hay una más fácil que después de yo estaba haciendo el rollback, pero dije, "No, pues hay una super más fácil que cuando ¿Cuál es la más fácil?" Esta es la la opción más difícil que es el rollback, es decir, hacer una fuerza bruta con el rollback. Sí. y ver hasta pero la la opción más fácil simplemente es presionar la el KFOF. Pues claro, ¿sí o qué? Si ustedes presionan el KFOF, recuerden que el KFOF nunca nunca fue presionado. Nosotros simulamos el KFOF, pero la respuesta está en el KO. Es decir, si nosotros, recuerden, nosotros estamos haciéndole fuerza bruta al contador 723, pero el KFOP, si yo le presiono, va a
lanzar el contador 723 con su número randómico. Entonces la forma más fácil simplemente es presionar el KFOf y ahí está el número randómico, ¿sí o qué? Entonces yo presiono y veo y aquí vamos a a ver esa partecita. All right. So recently I realized that the way
to know what was the random code, the running code that unlock the system in the in my brute force attack. I realiz that the way to discover is very easy. Why? Because basically I have to I have to press the unlock button of the K. Um that's all. Why? Because remember that previous to the T I I press the button the unlock button. I see I I see the way the way form and I detect the counter because to execute the attack the counter is a requirement. So the counter number was 722. All right. So basically I was doing a brot force attack to the counter 723 723 plus obviously the random code that is 16
bits. So remember that the frame is 16 bits of the random code and 16 bits of the counter in this case 723. So if I press the bar right now, I will send the counter 72. Bueno, precioso. Sí. Y básicamente y ahí le veo el número randómico y compruebo con el que tenía. Entonces, simplemente acá eh veo eso y transformo este número binario. Y si vemos ahí, eh, ¿cuál es? Si vemos de ahí, el número fue el 60,033. Sí. Entonces, recuerden que yo le paré el ataque en 6,000 y pico. Entonces, si yo regreso acá, yo regreso acá, ahí está. estuvo como que entre los últimos 40 random eh rolling code que mandé. Entonces, el que
valió fue el 60,033. Sí. ¿Y cómo verifico eso con el rolagat? Uy, perdón, perdón, perdón, ya caché la señal. Perdón. Eh, ¿cómo verifico esto? Con el rollbag attack, porque obviamente puedo reusar. Entonces, procedo a hacer el rollbag attack. Pongo ahí el la señal con 722 más el que jaqueé, que vendría a ser el contador 723. Y aquí vemos esto.
Entonces es la derecha del remote system, ¿no? Simple. Se le conecta los 12 V por ahí se le se le conecta la bocina. Eh, igión, no es necesario conectar. Y ahí vamos a ver. Entonces, aquí estamos verificando el ataque que hicimos porque si todo está bien con el roll back attack debería valer. Y ahí valió. There we go. Y ahí valió. Sí. So, ya listo. Eh, ejecutamos un segundo ataque, obviamente como para recontraverificar. En este caso ya estamos con otra llavecita que el contador estaba en 845, perdón, 846 y obviamente le vamos a hacer fuerza bruta al al random count que pertenece al contador 847, ¿correcto? Mandamos de ahí 846, mandamos ahí la fuercita bruta.
Eh, esto es video, ¿no? Y se yo escuché el sonido en el número 31650. Sí. Entonces, vamos a ver aquí que aquí fue un ataque de alrededor de cuántas horas fue 3 horas y media de fuerza bruta. Entonces, si ven el videío dura 3 horas con 3 horas con 3 horas y media dura el video. Entonces, ahí le estoy adelantando y obviamente pongo el contador para que todo sea como verificable. Y ahí vamos a ver que a los 3 minut 3 horas con 38 minutos y 10 segundos se desbloquea el auto.
Vamos ahí.
Esa es. Aquí viene la parte de los aplausos. 3 horas ahí ya. Eh, listo. Aquí vemos el ataque. El que se ponió fue el 847. Lo transformamos y verifico otra cosa super más grave. Resulta que el random code no estuvo en el 31000 y algo, fue en 5886. Entonces, acabo de descubrir que hay una eh vulnerabilidad de colisión, es decir, hay más, o sea, el carro se puede abrir con más de un número randómico, super grave. Ahorita tengo que indagar más en eso, pero eh básicamente no cuadro ahí. Ya. Entonces, más grave aún, hay un ataque de colisión ahí. Eh, hago un ataque de fuerza bruta número tres. En este caso se me abrió como en 30
minutos, eh, debido al tiempo no lo vamos a poner, ¿o sí? Déjenme ver. Ah, no, sí, si hay te invitó ya. Y ahí este super corto.
Se escucharon. Ahí se ahí se abrió. Listo. Y finalmente el roll jam attack, que es eh básicamente inhibir la señal y hacer el replay. Ya este no lo vamos a a poner play, simplemente lo vamos a explicar que esto es vulnerable. Todos los autos inhibimos la señal para que no le llegue al auto, por lo tanto podemos hacer un replay. ¿Sí? Y aquí lo que hago eh con el Blade RF utilizo igual mi herramienta Auto RF Killer. Con el Blade RF lo que hago es la inhibición, no, perdón, hago escucho el canal para eh controlar la inhibición. Con el HG RF ejecuto la inhibición en los en la banda de los 433 MHz y con el flipper hago el replay. Sí.
Entonces, para este ataque se necesita mínimo dos SDRs. Mandamos ahí, ponemos ahí la opción cuatro 433, el tiempo del yuming en este caso 30 segundos. Y como vemos esto es el jumping. Si ven, tenemos atrás una 2 3 4 5 6 llameadas inhibidas anuladas por la basura de frecuencia que está aquí o ruido. ¿Sí? Entonces el ruido es la parte central y las señales inhibidas están atrás. Entonces, hago el récord, hago el replay y ya esta es la última. Déjenme ver adelante. Este, como son códigos variables, solo tienen un una vida. Si si yo vuelvo a replicar esto, ya no va a ser Sí, se va a desbloquear. Sí, una sola vez. Entonces, vamos a ver. Entonces ahí
estoy mandando. Sí, ahí se desbloqueó por el roll Yam. Ahora, ¿qué pasa? Y listo. Entonces, ya para finalizar, eh, tenemos todas las vulnerabilidades detectadas aquí. Primero, el el rolling code. Veaja en texto plano. Es una es una codificación que es super chinita, no no es codificación. Tenemos el roll bag attack, tenemos que rolling cod es adivinable mediante fuerza bruta, el ataque de colisiones en las parte randómica de los 16 bits, el remote que les centiste no bloquea un ataque de fuerza bruta. Sí. Eh, y básicamente si nosotros nos ponemos a pensar ideológicamente nosotros podíamos podríamos abrir cualquier auto sin necesidad de las llaves. ¿Cómo hacemos eso? con un ataque de fuerza bruta con dos loops, uno en el contador y otro en
el número randómico. Obviamente va a tomar más de un día, por ahí un mes, pero se es posible. Quizás cha me haga esto y grabe así. Eh, el ataque, claro, es que imagínense, tenemos un contador de de 16 bits, es decir, 65,535, igualmente la parte randámica es, entonces tendríamos que ir en dos loops, entonces está como un creo que es más de un mes capaz de la fuerza bruta o capaz menos, pero bueno, ahí ya voy a hacer las los conteos. Eh, ¿cuál es lo siguiente? Lo siguiente para mí es como hacer una feature para el flipper y añadirle esto, este rol bagatag e y la fuerza bruta. Eh, añadirle esto al flipper en al finwar. Eh, la otra cosa
que también me gustaría hacer es dumpearme el finwar, de hecho es lo lo principal, ¿sí? Mediante el fou injection en el STM8. Eh, la otra cosa que también me gustaría es justamente probar esta fuerza bruta que básicamente abriría el auto sin necesidad de de nada. simplemente meo al frente del auto y nada de de hombre en el medio ni nada de de obtener el contador. Recomendaciones para esto. Ya para finalizar, ¿cómo nos protegemos de esto? Cómo lamentablemente es superdfícil. Como les digo, estas son las llaves que venden eh las seguras aparentemente que venden en todo el mundo en la parte de aftermket. Es decir, cuando ya compramos el carro y queremos cambiarle el alarma por una
supuestamente segura, pues en realidad no es tan segura como vemos el día de hoy. Entonces toca saber que estos ataques están presentes y obviamente no confiarnos de obviamente de la de la alarma, estar eh siempre seguros de estos ataques del roll y es decir, verificar que siempre se abra o se cierre el auto a la primera, porque si no por ahí nos están llameando, ¿no es cierto? nos están inhibiendo. Eh, eso, eso es estimado Team, muchísimas gracias. Tengo un canal YouTube, los que deseen seguirme, gracias ahí. Muchas gracias, Danilo. Y bueno, siempre nos dejas un poco más asustados, cada año más, pero qué bueno. Muchas gracias. Aquí le entregamos un regalito parte de Vis Colombia, eh, con
varias cositas de de nosotros para que sabamos que te gusta. Ya. Sí. Eh, ¿alguien tiene alguna pregunta? Tenemos espacio para una pregunta solamente ahí atrás. Sí, me ayudan con el micrófono acá. Listo.
Eh, buenos días. ¿Cómo estás? Eh, me presento, Jonathan. también hago algo similar con eso, pero mañana lo vamos a mirar en temas de satélites. Es algo muy similar y también me parece muy interesante las charlas las charlas que tú das y los dispositivos. Ahora bien, eh digamos que este tipo de charlas me lleva como a a varios resúmenes. tú desde el lado del hacking y más enfocándote a un a un a un panorama eh donde probablemente no es tan explorado por los red teamers y demás porque pues todos nos estamos enfocando en Ias, en web, en mobile y en esto y los temas de de de hackeo en automóviles y otros y otras tecnologías emergentes pueden
quedarse descuidadas. cómo evitar y desde el lado, digamos que yo criticaba mucho a los amigos de Fluid porque era nosotros rompemos pero no les ayudamos a remediar. Remedio usted como pueda, como hablamos en en la jerga paisa. Pero entonces, ¿cómo traspasamos esa línea de tú como investigador tú estás exponiendo vulnerabilidades que pueden ser utilizadas no tan solo por actores maliciosos, sino por agencias de inteligencia? y quedamos totalmente al descubierto cómo tú podrías mejorar desde la arquitectura con alguna solución eh de seguridad, cómo poder protegernos y y no quedar al descubierto por esos actores de amenaza como delincuentes, agencias de inteligencia que podrían acceder tranquilamente desde una postura defensiva. ¿Cómo podríamos nosotros eh indagar un poco más,
proponer arquitecturas seguras? dispositivos que probablemente puedan eh suplir lo que no están haciendo las agencias de automóviles con con estos dispositivos inseguros. Y yo creo que esto ocurre en todo en todo el mundo por sacar eh alarmas rápidas eh y soluciones rápidas, pues descuidamos un poco la seguridad. ¿Cómo podrías verlo? desde la postura ya no tanto del ataque, sino de la defensa y probablemente con como arquitecto de ciberseguridad. ¿Cómo lo ves tú, chévere? Muchísimas gracias por la pregunta, hermano. Eh, sí, hay un grupo, justamente como que yo he estado como colaborando en este grupo, eh, para la gente que no sabe, se llama ARG, que significa automotive Cyber Security Resarch Group. Entonces es un grupo
voluntario, todo es voluntario, sin fines de lucro, es a nivel mundial. En Latinoamérica no hay ningún chapter, sería bueno como fundarlo acá en en Latinoamérica. Eh, lamentablemente yo no puedo porque ya me estoy como mudando, pero bueno. Eh, este grupo es justamente se dedica a eso. Es decir, yo como research archer envío la vulnerabilidad para que el la, ¿cómo se llama?, ASRG sea un intermediario con el vendor, porque resulta que en autos es superdfícil lograr un CBE que haya correcciones. De hecho, los en la mayoría de reportes no son parados, o sea, puestos de atención por el fabricante o el vendor porque es como a veces como complicado parchar ciertas cosas, pero ASRG hace lo
posible. Entonces ahí dice es una CNA también ASRG como vimos y básicamente tienen reuniones mensuales, incluso semanales también y también se puede unirse como voluntario. Sí, tienen una página, tienen un newsletter que mensual que te envían eh las vulnerabilidades actuales de autos, ¿ya? Eh, y eso ayuda en la remediación. ¿Por qué? Porque justamente se hace eh público las vulnerabilidades para que tanto el usuario lea y diga, "Ah eh quiero voy a comprarme un auto. Obviamente nadie hace esto, ¿no? Pero sería lo ideal. Va a comprarme un auto así. Voy a ver si este auto tiene vulnerabilidades reportadas. Listo, me ingreso a SRG, hago el en el filter un restart y busco si mi auto que
voy a comprar o el que tengo pues tiene vulnerabilidades o no. Sí. Entonces, eh esto es como en todo lado, ¿no? O sea, sombreros negros, sombreros blancos. En este caso estamos haciendo eh un resart, se reporta, eh y no nos podemos dedicar al 100% a la a la solución, sino como más a la divulgación para que inicie la solución. Porque, ¿qué pasa si yo no divulgo esto? Eh, obviamente alguien está eh haría como uso de estos cería este day. Entonces, obviamente, si yo vendería este, pucha, eh, ya no estaría aquí, ¿no? Entonces, eh, prefiero divulgarlo. Entonces, creo que es como la mejor opción para ayudar y con eso que se parche, se llegue a parchar.
En el mercado chino es muy difícil dar con el vendor, les cuento, porque es un mercado como medio negro que por ahí, por ejemplo, si vemos las las alarmitas de aquí, estas de ahí, nunca te dicen el vendor, solamente te dicen esos nombres, pero el fabricante, el vendor, cero, cero información de eso. Por ahí te dan un manual, pero es como muy genérico. Sí. Entonces, entonces eso por eso es que existe para ser intermediario, ¿ya? Entonces eso, hermano. Muchas gracias. Bueno, muchas gracias, Danilo. Un aplauso y como tal siempre bienvenido. Te esperamos siempre por acá. Muchas gracias. Muchas gracias.
Bueno, tenemos una intervención por parte de nuestro host eh la Universidad de Antioquia. Nos acompaña aquí la la vicedecana Diana Catalina Rodríguez de la Facultad de Ingeniería que nos trae un mensaje y bueno, bienvenido y muchas gracias como siempre por confiar en nosotros. Gracias. Muchas gracias. Eh, un saludo corto que les queríamos dar el día de hoy, que ya sabemos que van a salir a break. Eh, gracias a Danilo por dejarnos más preocupados. Yo creo que muy interesante la charla, ¿verdad? Pude estar en en ella y y es muy particular porque hoy justo, ustedes se dan cuenta, la universidad está cerrada. Estamos en el día de la familia acá en la universidad, por ustedes son una familia
aquí de la ciberseguridad, pero estaban en otro evento también de la facultad de ingeniería, unos estudiantes de ingeniería mecánica y estaban hablando sobre el tema de las emisiones de gases en los carros. Entonces, aquí encajar un poco también con la ciberseguridad creo que es maravilloso y creo que es parte de lo que hace esta facultad de ingeniería, de lo maravilloso que tiene esta facultad y es poder generar esos espacios para poder compartir. Eh, es una facultad que en el último trienio hemos denominado abierta y transformadora. Y dentro de ese plan estratégico de facultad tenemos una componente muy importante que tiene que ver con el tema de la transformación digital. Creo que aquí cobra sentido todo eso que ustedes están trabajando,
que vienen trabajando durante estos días y que obviamente hoy continúan en una jornada muy interesante. Pero yo quería pues obviamente darles la bienvenida a este espacio, a esta universidad, a esta facultad, sobre todo a quienes están eh nuestros compañeros que de pronto llegan del exterior o a nivel nacional y obviamente pues a nuestros estudiantes que con seguridad que están acá, profesores, muchas gracias de verdad por creer en el talento, por creer en esta Universidad de Antioquia. Creo que necesitamos generar más espacios de estos, más espacios como sociedad, más espacios de conocimiento, de integrar la academia con la sociedad. Y creo que eso lo logramos a través de este tipo de eventos tan maravillosos, tan masivos. A
los que están por allá también una invitación a que se unan por acá abajo con todos sus compañeros. Finalmente, eh nuestro decano de la Facultad de Ingeniería no nos pudo acompañar el día de hoy. Él se encuentra en Bogotá, pero pues él grabó un pequeño mensaje que les quería compartir también a ustedes el día de hoy para darles de verdad la bienvenida nuevamente a esta Facultad de Ingeniería y a esta Universidad de Antioquia. Un saludo muy especial.
Un saludo muy especial para todos y todas en esta mañana de hoy. Mi nombre es Julio César Saldarriga Molina. Soy actual decano en la Facultad de Ingeniería de esta casa de estudio de la Universidad de Antioquia. Primero agradecer a Visides toda la confianza para que este año pues fuéramos elegidos como el sitio en el cual pueden avanzar con el evento. Hoy tendremos la presentación de charlas enfocadas en ciberdefensa, en ciberseguridad, en temas de ciberataques, el tema de protección de factor humano, muy importante también inteligencia, amenazas, malws, etcétera. temas para los cuales las personas que se han invitado y que ha organizado Besites con el apoyo de nuestra facultad en cabeza de Danim Munera como jefe de ingeniería
de sistemas y muchos de los profes que están allí atrás harán posible que esta experiencia en nuestra facultad de ingeniería sea hoy maravillosa. La bienvenida a Visites a todos los que nos visitan, estudiantes, ingenieros, profesores, expertos o no muy expertos en el área de la ciberseguridad. decirles que esta casa está para que sigan teniéndola en cuenta. Queremos apostar por un relacionamiento amplio con el sector productivo, con el sector social y desde nuevo desde luego con nosotros como academia. Sean entonces todos bienvenidos y bienvenidas y que la jornada sea muy productiva para todos. Gracias. Bueno, como lo decía con el decano, entonces que sigan disfrutando de estas jornadas de conocimiento, eh disfruten de estos espacios. están prácticamente
ustedes hoy acá en la universidad solos. Así que nada, eh, muchas gracias de verdad por creer en esta universidad y por traer este tipo de iniciativas acá. Un abrazo y muchas gracias, Catalina. Muchas gracias. Un aplauso, por supuesto, a la universidad. Bueno, dos mensajes antes del break. El primero ya eh los Hanson iniciaron, estamos en el bloque 21, es el bloque siguiente hasta donde se queda el auditorio. Queda una aula en el piso tres. Es el piso es el piso tres en en el aula 326 para los que quieran eh trabajar con nuestros Hanson. Y segundo, eh vamos a cortar un poquito el el espacio de break. Vamos a tomar en lo posible 10 minutos para que salgan de nuevo. La
invitación es a conectar. Eh, la idea es que crezcamos de nuevo en en nuestra red, tanto personal como profesional o de conocimiento. Este es un espacio precisamente para ello. E iniciamos en eh 10 minutos con Diego. Diego nos nos va a acompañar de la Organización de los Estados Americanos y trae una charla super importante sobre el modelo SIM 3. Entonces, los los esperamos aquí pronto. No se alejen mucho, estiren piernas, hagan contactos y nos vemos más adelante. Gracias.
Eh, vamos ingresando, por favor.
Bueno, continuamos nuestras charlas. Eh, voy a hacer una introducción aquí a Diego. Diego Subero es, no, viene por parte de la Organización de los Estados Americanos de la OEA. Es oficial de programa en ciberseguridad y su presentación del día de hoy es el modelo SIM 3. Nos va a explicar cómo medir el modelo de madurez de la respuesta de incidentes cibernéticos. Y bueno, sobre Diego cuenta con una amplia experiencia. Eh, Diego nos guiará a través de las diferentes estrategias clave para fortalecer un CESR con impacto real a partir del modelo SIM 3. Esta guía eh práctica Sir Américas nos mostrará cómo estructurar, formalizar y mejorar los servicios de respuesta, asegurando un equipo preparado para enfrentar desafíos técnicos legales con
confianza. Diegos, ingeniero de sistemas con más de 16 años de experiencia en el campo de la seguridad de la información. especializado en gestión de incidentes cibernéticos en la región y desde hace 11 años se desempeña como oficial de sección de seguridad cibernética en el Comité Interamericano contra el Terrorismo, el CCTE, de la Organización de los Estados Americanos, OEA. Su principal objetivo es liderar proyectos enfocados en el desarrollo de capacidades técnicas para los equipos de respuesta a incidentes cibernéticos, Cirts en América, Latina y Caribe. Además, eh es el creador y líder de la red de CESIRS gubernamentales de las Américas, CESIR Americas Network, y ha sido impulsor clave en el desarrollo del CESIR Americas Baseline basado en SIM 3. Bueno, es una
referencia de madurez en respuesta a incidentes para la región Latinoamérica y Caribe. Entonces, eh, démosle la bienvenida a Diego, con un fuerte aplauso y muchas gracias, Diego, también por participar con nosotros y el auditor es todo tuyo. Gracias. Bueno, buenos días a todos. Eh, primero que nada, bueno, gracias por la invitación que nos hacen a la OEA para estar en este evento. ¿Se escucha bien? Sí. Perfecto. Bien. Y el día de hoy sí les traigo un tema e que quizás alguno de ustedes esté en el tema de gestión de incidentes y es saber qué tan maduro es ese equipo en donde ustedes están, ¿no? Eh eh cómo saben ustedes si están haciendo una buena respuesta a incidentes o no en
Latinoamérica y el Caribe? Y antes de empezar sí quisiera un poco conocerlos a ustedes. Este, aquí traje como algunas preguntas para más o menos saber hacia dónde oriento la presentación, ¿no? ¿Quién ha trabajado en un cesir? Levante la mano. 1 2 3 4 5 6. Perfecto. Seis. ¿Quién ha respondido a incidentes en su vida, si sea en su casa? Sí. Okay. Pues bueno, ya van 25. ¿Alguien está creando un equipo de respuesta? Ah, buenísimo. Bastante por allá. Bien. Eh, esta es típica, ¿no? Coordinas incidentes o trabajas eh con incidentes sin ser el CESCIR, o sea, eres el departamento de tecnología y te mandan todo para ti, ¿no? Ciberseguridad, tecnología, soporte técnico. Sí, ahí tenemos uno y tenemos aquí también.
Perfecto. Buenísimo. Entonces, esta charla es para ustedes. Es una charla en el que quisiera, no sé si alguno me dice cuáles son los retos, ¿sí? Sobre todo lo que están creando el CESCIR, los que ya están trabajando en en respuesta a incidentes, cuáles son esos retos que tiene en el día a día y sobre todo en la parte no técnica, ¿sí? Este, no en el levantamiento de evidencia, análisis de locks, sino en todo lo demás. Ve, gracias por el café, está buenísimo el café allí afuera, ¿eh? ¿Qué retos han tenido usted en su día a día en la respuesta incidente, no? Que ustedes les digan, "Mira, tienes que ir a esta entidad." Y tú dices, "Bueno, pero ¿cómo
me mandan a esta entidad? ¿No tengo herramientas?" O si voy, no sé si lo estoy haciendo bien. Si alguien me dice qué retos comunes tiene ahorita respondiendo incidentes, que levante la mano. Allá si un hay un micrófono o allá al final.
Buenas. Ah, ya. Bueno, digamos que para no hablarlos de los tecnológicos, que normalmente son los primeros que saltan por no conozco la herramienta, no sé, no confío, quién sabe, bla bla bla. Creo que también dentro del grupo la confianza misma que pueden tener los miembros del grupo para saber si sí o si no, como que siempre están ahí, quién sabe. Nosotros igual vivimos un incidente muy fuerte y quedó el miedo eh quitar la palabra cero confianza por administremos esto y y sigamos y no nos encerremos en nuestro capullito y que no pase nada y que no entre nada, no salga nada y la operación se afecte y los límites entre los mismos eh colaboradores, porque en ocasiones eh poder definir los
límites de, mira, llegamos hasta aquí, esta es tu parte, viene este, déjate apoyar y no quiero hacerlo todo porque confío solo en lo mío. Han sido como los retos que más hemos tenido en este momento. Claro que es básicamente procedimiento y saber qué es lo que tienes que hacer, ¿no? O si me toca ir a una escena de una de un incidente, saber en qué no me voy a meter en problemas. Sí, vale. Y eso es un poco de lo de lo que vamos a hablar eh acá. Y aquí siempre me gusta empezar con esta frase, lo que no se mide no se mejora. No, hay una frase que creo que lo usamos nosotros en nuestro día a día,
eh, básicamente en lo que hacemos. Eh, si por ejemplo yo estoy aquí en Medellín y me voy con con Giovanni, que está por ahí, con Gustavo, a tomar cerveza todos los días por tres semanas, ¿qué va a pasar? que al final de mes no tengo dinero, no tengo plata y no pude cumplir con mi objetivo, no no pude pagar la casa, el carro, universidad y todo eso. Lo mismo pasa en la respuesta incidente, ¿no? Nosotros si no medimos lo que estamos haciendo, no sabemos que también está estamos haciendo esa esa respuesta incidente. Otro caso que también es es muy particular y donde hay mucha similitud es la gestión de incidentes con las urgencias médicas, ¿no? Cuando
uno va a una urgencia, eh, me ha tocado ya bastante, eh, ¿qué es lo que quiere uno? que rápidamente te atiendan, ¿no? Tú llegas a al a la clínica, esperas sentado, te pasan a un triaje, el triaje dice, "Sí, te van a atender en 5 horas, luego te meten en una camilla, te colocan eh diclofenaco, tramadol, este, todo esto. Eh, son las 7 de la noche, tú esperas que digan que tiene, hay cambio de guardias, llega otro médico, tienes que esperar otro día más y pasa el día siguiente y tú no sabes ni siquiera lo que tienes, ¿no? ¿Cuál es la opinión de esa persona o de esa de ese paciente sobre ese hospital? Es que este hospital
no sirve. Sí, porque me atendieron tarde. Lo mismo pasa con la respuesta incidente, ¿no? Ustedes pueden estar en un equipo respondiendo incidentes, pueden estar haciendo entrenamientos, brindando campañas, mandando mensajes, todo. Pero si al día que lo llama una entidad, una persona para que lo ayuda a gestionar el incidente, ustedes no lo hacen bien, esa persona ese día, digamos, pierde la confianza en ustedes, ¿no? Por eso es que es tan importante, sí, empezar a medir lo que estamos haciendo. si estamos haciendo una respuesta incidente correcta o no. en la parte, bueno, de hospitales, yo no soy experto en eso, pero bueno, ellos tienen que prever cuántas camas hay, cuántos médicos tienen que tener una una urgencia, qué tipo de enfermedad son las
más comunes, todo eso. Lo mismo tenemos que hacer nosotros en la parte de gestión de incidentes. Entonces, esta la imagen creo que clichée toda la vida de lo que es la respuesta incidentes, ¿no? Este, los mal llamados bomberos digitales, ¿sí? este que empezó con eso y bueno, ahí un debate mucho, ¿no? Este, ya somos más que que eso, bueno, pero se sigue representando en algunos foros así. Y básicamente detrás de esta imagen, este lo lo que quiero como expresar es un poco sí se cree que que la gestión de incidente es envío los tres expertos los mejores que tengo a esa entidad y que ellos resuelvan el caso, ¿no? Pero, ¿qué hay detrás de ese envío de esas tres
personas? ¿No? ¿Qué qué qué es lo que pasa detrás para que esas tres expertos vayan a esa empresa y gestione un incidente? No, tienen que estar preparados, tienen que tener un salario. Esa ese equipo de respuesta tiene que tener un mandato. Sí. No vaya a ser que yo llegue a la empresa y diga, "Bueno, pues, ¿quién eres tú? O porque tú vas a tocar mis servidores?" No, este tiene que existir un teléfono a donde esa entidad me haya reportado, este, tengo un incidente, ayúdame. Y todo eso son las cuestiones que nosotros tenemos que empezar a medir dentro de las respuestas a incidentes. Entonces, elementos críticos dentro de la respuesta a a incidentes, tenemos algunos de estos, ¿no? Este, uno, la
comunidad, tú tienes que conocer tus clientes, ¿sí? conocer si los servicios que tú le estás ofreciendo o esa propuesta de valor que dice allí es lo que realmente necesita el esta estos clientes, ¿no? Si los canales por donde tú le prestas estos servicios a a tu comunidad son los adecuados, ¿no? ¿Conoce la comunidad cuál es el número de teléfono de mi Cesir? El correo electrónico o si yo le mando un correo electrónico y me rebota. Sí, que lo he visto en muchos casos en Cesir, donde manda un correo y dice, "No, la casilla está llena. Le estoy escribiendo a un equipo de respuesta. Pasa mucho y eso es importante, ¿no? Muchas veces nos nos dedicamos a a armar arquitecturas
complejas de soluciones, pero el correo electrónico lo tengo full. el número de teléfono no sirve. Entonces, en lo esencial no no nos estamos enfocando y eso es importante en la respuesta a incidentes. También todo lo que son los recursos humanos, los recursos clave, y esto es importante, siempre hablamos de tecnología eh incidente locks todo pero nos olvidamos del personal. Siempre tenemos que ver el personal que tenemos en ese equipo, ¿no? Está preparado el equipo. ¿Qué pasa si el mejor experto se me enferma? cierro el cesir o o puedo seguir funcionando. Eh, estos digamos estas personas que están en Cesir tienen formación técnica, pero también formación en habilidades blandas, ¿no? ¿Qué pasa si un medio de
comunicación viene y los llama, los encara? Él que responde, sabe qué responder, sabe qué no responder, quién tiene que responder, son elementos que nosotros tenemos que empezar a a medir, ¿no? ¿Cuáles son las actividades claves del CESCIR? Sí. eh saber si nosotros estamos haciendo la tarea de un equipo de respuesta, algo típico que pasa y no sé si a los que son de equipo de respuesta les ha pasado que mientras mejor funcionan, más cosas le quieren meter a su equipo, ¿no? Como más responsabilidades que no tienen nada que ver con ustedes. Pasa muchísimo y por eso es importante como dejar bien claro cuáles son los servicios de la respuesta incidente ¿no? Hemos visto casos donde el equipo de
respuesta empieza a funcionar y empieza a funcionar muy bien y empiezan a añadirles responsabilidades, ¿no? Eh, ahora te toca implementar soluciones de WA o firewall, ¿no? El equipo de respuestas sí recomienda, te puede guiar, pero tiene que haber un equipo implementador que es el que se va a quedar tres cu 5 meses contigo, pero no tú como equipo de respuesta. Sí, tú mitigas, tú respondes al incidente y recomiendas y puedes guiar cómo implementar la herramienta, pero no haces el proceso de implementación de de eso. Tampoco hace temas de soporte técnico. ¿Sí? Entonces, son temas que son importantes que ustedes vean a la hora de de responder a incidentes. Entonces, hasta el momento he hablado mucho de que tenemos que empezar a
medir, medir, medir, medir, pero no he dicho el cómo, ¿no? Entonces, la gran pregunta aquí es, ¿cómo empiezo yo a evaluar? ¿Cómo ustedes pueden empezar a a ver qué tan preparado está mi mi equipo o mi personal o mi unidad de respuestas a incidentes, ¿no? Y es como se ve aquí en la imagen. Ah, no se ve. No, no se ve. Bueno, en teoría detrás ahí una imagen de de un grupo médico operando una persona y está el médico abriendo al paciente. Sí. Este, ahí el ejemplo que traigo es si yo veo que el médico le está temblando la mano, yo no me dejo operar por ese médico, ¿no? Lo mismo pasa en la respuesta incidente. ¿Cómo sé yo que ese
personal que viene a apoyarme a mí en la respuesta incidente está preparado o no? No. O cómo sé yo desde el lado de unir que mi equipo que yo estoy llevando está preparado o no para responder a a un incidente? Entonces, por tanto, aquí les traigo esta referencia. es pública. El momento donde ustedes pueden sacar sus teléfonos y descargar la la guía. Esto es una guía pública totalmente gratuita. Este la pueden ustedes utilizar desde ya. Incluso esta charla es un poco para explicarles qué van a encontrar en la guía, ¿no? De eso se trata esta charla. Esto es una referencia pública que les va a servir a ustedes para evaluar la madurez un equipo de respuesta. Sí, sea
de la naturaleza que sea, sí, sea equipo de respuesta de gobierno, académico, privado eh militar, policial, universitario, lo que sea, pueden usar esta guía, ¿no? Sea empresa pequeña, mediana, grande, dedicada al sector energético, dedicada al sector petrolero, cualquiera puede usar esta guía para medir la la madurez en la respuesta incidente. la tienen tanto en español como en inglés, la pueden descargar. Es una guía muy sencilla, fácil de de usar. Y bueno, y un poco lo que le quiero contar es qué van a encontrar en este en este documento, ¿no? Eh, básicamente el documento se divide en tres grandes bloques. Van a encontrar eh una parte que habla de SIMTRI, que es el modelo como tal. Sí. Bajo lo que se hace esta
este modelo de de nivel de madurez está la referencia Cesinoamérica Baseline, que es la que aplica para Latinoamérica y el Caribe y está la herramienta que ustedes dicen, "Bueno, ya conozco el modelo, ya conozco cuál es la referencia, ahora cómo lo aplico, está la herramienta, ¿no? Entonces, esto es un poco lo que les vengo a explicar hoy, qué es cada qué es cada cosa. Entonces, primero, ¿qué es Sim?" No, que lo vemos por allí en muchos lados. eh por sus siglas en inglés es el Security Instit Management Maturity Model. Es un modelo base, ¿sí?, que ayuda a las entidades a medir qué tan preparado está un equipo de respuesta, ¿no? Digamos que este modelo te da la estructura, te da las
categorías que tú debes de medir o que debes medir dentro de un equipo de respuesta, ¿no? Y es interesante este modelo. Este fue un modelo realizado o nace en Europa, nace de esa época en que nacen los por allá a finales de los 80 89 y empieza en los 90 en Europa a surgir todo lo que es el tema de equipo de respuesta, ¿no? Eh, se crea una comunidad que empieza a buscar medir el nivel de madurez de esos equipos. Por tanto, ahí nace esta esta metodología que hoy en día es manejada por el Open Sister Foundation. que es quien mantiene esta metodología a nivel internacional. Y básicamente esta metodología eh recorre todos los aspectos de un CESCIR, ¿no? Porque, ¿qué
pasa con los equipos de respuesta? Los equipos de respuesta vienen de un nicho muy técnico. Sí, nace allá en el 89 con un ataque que fue el Morris y nace ya de de un nicho muy técnico. ¿Qué pasa? Este, todos los que hemos trabajado en un CESCIR eh eh pensamos que todo se soluciona con con algo técnico, ¿no? O vemos tratamos de priorizar lo técnico, pero hay muchos elementos que también tenemos que ver, ¿no? Aspectos legales, ¿sí? ¿Qué autoridad tengo yo para ingresar a esa a esa máquina? Si tengo o no. ¿Qué pasa si mi analista en vez de de colocar un comando, hacer un grap, hace un init cero y me apaga el servidor? Sí, se mete en problema esa
persona o no. Sí, todos esos son elementos que nosotros tenemos que ver y que te da esta metodología a la hora de de aplicarla. Entonces, bien, tenemos simtri, que es la base, y ahora tenemos Cesiramérica Baseline o la línea base de Cesiraméricas. La línea base Cesiramérica es una referencia, ¿sí? basada en SIMTM, en este modelo que ayuda a evaluar los equipos de respuestas de los estados miembros de la OEA. ¿Sí? ¿Qué quiere decir esto? O para aterrizarlo en palabras más más suaves, que te ayuda. Est una es una referencia que está adaptada a la realidad de Latinoamérica y el Caribe. Sí, así de simple. O sea, esta guía, digamos que está adaptada o está pensada para la respuesta a
incidentes en equipo de respuestas de Latinoamérica y el Caribe. Existen otra referencia que las vamos a ver más adelante, este, para Europa, para los Estados Unidos, ¿sí? O para comunidades, digamos, ya en Asia también, para ajustadas a las realidades, digamos, de cada de cada continente. Eh, para que se entienda mejor, porque sí me gusta insistir mucho en esto. Sim. Es la base, ¿sí? Es el portaaviones, digámoslo así. Y digamos que los aviones son cada línea, cada, digamos, cada línea base, cada referencia. Este caso es Ciroamérica. Sí. Aquí abajo, fíjense que dice Simt es el modelo internacional, es quien define la estructura y la Cesiramérica, la línea base, es quien te da una referencia adaptada a la región y te define niveles
niveles mínimos esperados adaptado a digamos a nuestra realidad. ¿Sí? Y esta metodología fue creada, digamos, con aporte o la experiencia de equipo de respuestas de de Latinoamérica y el Caribe. Hasta ahora se ha entendido. ¿Alguno tiene una pregunta hasta el momento por ahí? Bien. ¿Vamos bien o vamos mal? Vamos bien. Perfecto. Eh, como les decía, existen otras otras referencias. Como ven, acá está la la el first baseline, que el first digamos el foro que reúne a todos los equipos de respuesta a nivel internacional. Para tú ser parte de esa comunidad, para que tu equipo de respuesta sea parte de del first, tú tienes que completar su línea base, ¿sí? Para ser miembro de esa de
esa comunidad, ¿sí? Ellos la usan para eso, sí, para ser miembro de de del first. En el caso de nosotros, que es la de Cesir América, que fue la que desarrolló la la OEA o desarrollamos de la OEA, se llama Cesiramérica Baseline y es el modelo orientado para Latinoamérica y el Caribe. Sí, más allá de que ustedes las pueden usar y esta es la idea que ustedes la pueden usar en sus equipos, nosotros también la estamos usando para incorporar equipos de respuestas a las redeséricas. Sí. Para que un cesir de Latinoamérica y del Caribe gubernamental puede ingresar a las redeséricas tiene que cumplir con nuestra con nuestra membresía. Sí. Existe también otra en Europa que es la
de la ENISA. Sí, es la agencia que maneja los temas de ciberseguridad en la Unión Europea y tiene una red de equipo de respuesta. Tiene también una referencia. En el caso de ellos la dividen en tres niveles, CESCIR básicos, equipo de respuestas intermedios y equipos de respuestas avanzados, ¿no? En el caso de nosotros para Latinoamérica y el Caribe solamente quisimos colocar una línea base, ¿sí? Porque el objetivo de nosotros un poco es aumentar ese nivel en la región, ¿sí? formalizar la respuesta a incidentes y esto eh eh lo hacemos basado en la experiencia y no sé a los que han trabajado, un equipo de respuesta les ha pasado, ¿no?, que vamos una charla y llega el jefe, los jefes, del jefe y
dice, "No, yo quiero montar un CESR hoy." Y ya, porque lo vi una charla y el nombre me pareció bonito y me van a invitar a muchos eventos. Sí. Entonces, ¿qué pasa? crean unir en papel, pero cuando tú vas a ver el equipo respuesta, simplemente no hay nada. Sí. O tú le dices, "Gestiona incidentes, no te hacen cualquier otra cosa menos la gestión de de incidentes, ¿no? O tú le preguntas, ¿tú le reportas indicadores de detección a esta entidad?" No, porque si me piden apoyo, yo no sé qué qué hacer. Pero amigo, eres un equipo de respuesta, ¿no? Para eso es. Y en parte esta, digamos que esta referencia a nosotros como ella, nos ayuda a eso, ¿no? A saber que
el que está en la red realmente es un equipo de respuesta y que está operando como un equipo de de respuesta, ¿no? Entonces, aquí hago un paréntesis, ¿sí? Porque hemos hablado mucho de medir nivel de madurez, hablamos de que existe el SIM Tree, que es la base, hablamos que existe Cesiramérica Baseline, que es la línea base. Pero ustedes se preguntarán, ¿qué es Ceciramérica? ¿No? ¿Alguno sabe qué es Siramérica y que no sea la primera línea? Porque aquí ya conoce qué es. ¿Alguien sabe qué es Ciraméricas? No, aquí sí. Respuesta a incidentes de seguridad a nivel general. Se reportan al siguientes de las grandes empresas con los que generan conocimientos. Por ahí va, por ahí va. S, por ahí va.
¿Alguno más? Uy, esto es grave que no, pero bien es culpa de nosotros, pero tenemos que que publicar más esto. Bueno, Cesiram Américas, ¿qué es Cesiram América? Si bien que lo colocamos en la en la presentación, va por por donde me comentaste, es una comunidad, sí, regional, eh, que es impulsada por la OEA, que lo que hace es conectar y fortalecer equipos de respuestas gubernamentales en Latinoamérica y el Caribe. Sí, nosotros ayudamos a los equipos a prepararse, brindamos canales de intercambio de información, ¿sí? para intercambiar información de de amenazas cibernéticas que estén pasando en los países y también digamos que hacemos todo el sistema de colaboración entre entre ellos. ¿Esto para qué? Al final digamos
para proteger los servicios y las instituciones de de los estados miembros. Eh, por ahí nos llaman Cesiraméricas, nos llaman grupo de trabajo, espacio de coordinación, eh red hemisiférica, eh red de intercambio, red de confianza. Sí. Todos son válidos, todos esos nombres son válidos porque al final lo que estamos construyendo es una comunidad que se llama Cesiram América, ¿no? Eh, esa red, digamos, esta red de intercambio de información, como como bien lo mencionabas, nosotros allí brindamos canales de comunicación entre ellos, entre esos equipos de respuesta. Por ejemplo, en Colombia hay ocho equipos de respuestas en la red. Está el Nacional, el Colser, que por acá hay representantes, lo vi por allá. Este, también está el equipo de respuesta de
defensa, el comando conjunto cibernético, los equipos de respuestas de la Armada, de la Aviación, de la Policía se encuentran dentro de esta red, ¿no? Entonces, en los canales de comunicación nosotros básicamente brindamos eh canal eh chats instantáneos para que ellos se comuniquen entre todos, saber quién está en Chile, quién está en Paraguay, quién está en Colombia. Eh, también le proveemos herramientas como el MIS, sí, Marw information Platform para intercambiar indicadores de de compromisos. Eh, segundo pilar de esta red eh básicamente es información de amenazas cibernéticas que les brindamos a esosir. Esta charla de Cesiram América pudiéramos hablar eh un día completo, por eso es un paréntesis. Y ahí, bueno, Gio, el año que viene quizás pueda
hablar solamente de lo que hace esta red, pero sí quiero que sepan de dónde sale ese nombre, ¿no? Porque se llama Cesaméricas, línea, línea base. Entonces, en el segundo pilar de esta red Cesiramérica, nosotros brindamos información de amenazas a cada uno de los equipos de respuestas que está allá, ¿no? Información 724. Esto es información de FITS. Nosotros digamos que tenemos acuerdos con distintos proveedores de FITS eh que nos dan información sobre correos comprometidos, sitios web comprometidos, credenciales que están expuestas en la Open Web o en la dark web, también notificaciones de Ransonw. Y esta información nosotros se las brindamos en tiempo real vía streaming a cada uno de los equipos de respuestas. Básicamente después de que hacemos todos los
acuerdos legales, lo que se hace un intercambio de llaves y ellos por vía recién descargan esta información a diario, ¿no? Este, aquí les damos información, por ejemplo, de la cuenta de Juan.Pérez Pérez del Ministerio de Cultura de Colombia, por ejemplo, o de la empresa X de Colombia, está enviando spam y aquí está el IP, aquí está el asunto de correo, aquí está la URL y aquí está el hash del documento que está enviando y eso información que nosotros le damos al equipo de respuesta para que ellos, digamos, notifiquen rápidamente a la a la entidad. En el tercer pilar hacemos lo la medición de madurez y ahí nace todo este tema, el sim trino, de este tercer pilar porque nos pasaba eso,
¿no? Nosotros íbamos a los países y veíamos que los equipos de respuestas no estaban formalizados o ellos pensaban que estaban bien, no, estábamos haciendo muy bien nuestro trabajo, pero no había una manera de nosotros medir qué también está haciendo la respuesta incidente y de ahí nace la necesidad de de crear esta esta metodología. Entonces, bien, volvemos nuevamente a lo que es el tema que estamos hablando, ¿no? El sim o de lo que estamos eh eh hablando. Entonces, ¿cómo cómo medimos nosotros la madurez dentro de un equipo, no? ¿Cómo ustedes pueden empezar a utilizar este este documento? Hago una pausa para el café. Ah, bien. Imagina que te dicen a ti tú como jefe o como líder de proyecto o
como expertos especialistas que está dentro de tu cesir, te dicen, "Yo quiero saber cuál es el estado de mi cesir." No, saber si lo estamos haciendo bien o lo estamos haciendo mal o si vamos en el camino correcto o no lo estamos haciendo bien. Entonces, básicamente lo que te dice la metodología es, "Mira, siéntate con tu equipo." Sí. Nosotros, ¿cómo lo hacemos? Nosotros cuando vamos a un país, una entidad, sentamos a todo el equipo 2 días, dos a tr días, ¿sí? Todos en la misma mesa. Y tú tienes que ir eh eh completando 45 preguntas. Sí, la metodología te da 45 preguntas que están distribuidas en cuatro categorías: aspectos de organización, aspectos humanos, herramientas y procesos. Sí,
cada pregunta digamos que que tiene unos niveles que va del nivel cero a un nivel cuatro. ¿Qué significa esto? Si te la pregunta uno te dice, "Mira, este, cuenta usted con un mandato para hacer un equipo de respuesta. Nivel cero es, no sé qué me estás preguntando, ni idea de lo que me estás hablando." Sí. Y un nivel cuatro es, yo sé lo que me estás hablando, el proceso está maduro, incluso el el proceso lo llevamos a la alta gobernanza, lo estamos evaluando cada 6 meses, está auditado y siempre estamos haciendo mejora. Eso es un nivel cuatro y en eso va transitando cada uno de las preguntas que le van haciendo en esta en esta metodología, ¿no? Entonces,
cuatro categorías, ¿sí? Organización, aspectos humanos, herramientas y procesos. y cuatro, perdón, cinco niveles que van desde el cero hasta el cuatro, ¿no? ¿Por qué empieza en cero? Y es muy simple, como dio la charla la charla anterior y es muy simple, ¿no? Nadie sabe alguno. Es muy simple y es un chiste en tecnología. Y es un chiste en tecnología, incluso, ¿no? Sí. ¿Por qué empieza en cero? ¿Por qué empieza a contar en cero? Porque lo hizo un técnico. Exactamente. La metodología la desarrolló un técnico y los técnicos empiezamos a contar desde cero. Por eso digamos que empieza en cero con esto. Entonces cero es no tengo ni idea, ¿no? Y aquí les coloco un ejemplo, un ejemplo digamos práctico.
Hace dos años me tocó hacer una auditoría de Simt en un país y estaba sentado el equipo. Sí. estaban los especialistas, los coordinadores y el y el jefe del CESIR. Y una de las preguntas que que te que te pide esta metodología es si tú cuentas con una taxonomía para clasificar los incidentes que te llegan, ¿no? Eh, Ramson, fishing, Scam, delegación de servicio, todo eso, ¿no? Si tú tienes una una tabla, ¿sí? Para clasificar los incidentes, el especialista levanta la mano y dice, "Sí, existen varios tipos de clasificación. Está la de Nisa, está la del First, está la de ustedes, la de Cir Américas, hay varias, pero el jefe es que decide, es quien decide. Entonces,
yo volteo donde el jefe y el jefe dice, "Sí, cuando llegue un incidente, yo depende de lo que vea, yo lo yo lo clasifico." Yo le pregunto, "Pero, pero, ¿en qué te bases?" No, yo lo veo. Si es Ramsonware, es un Ramsonware y si es un fishing, es un fishing. Okay, bien. Pero sí, sí, yo todo lo veo acá en ese caso y que fue una situación real, ¿qué nivel creen que es? está ese esa ese parámetro uno, exacto. En un nivel uno que es el típico nivel y es una problemática que tenemos que es el nivel de expertos. Sí, es la típica situación donde tenemos una persona que lleva más de 15, 20 años
dentro de ese equipo de respuestas que es el que conoce todo, todo lo tiene acá, dice, "Yo soy el que sé todo y todo funciona perfecto." Pero en ningún lado está escrito. Sí. Entonces esa persona se te enferma y se te va, simplemente tu equipo de respuesta no funciona. Y pensamos que somos un equipo de respuesta maduro. Y la la metodología te da el cachetazo y te dice, "No, no estás tan maduro. Tienes una persona que sabe mucho, pero que no tienes documentado nada del de lo de lo que él hace, ¿no? Si esa misma taxonomía estuviera escriti escrita en un kit, en una Wikipedia, en cualquier lado y que todo el equipo tuviera acceso a un
internet, por ejemplo, eso estuviera en un nivel dos. Sí, ahí donde está la diferencia entre el uno. El uno está en la mente, todo está en la mente, pero nada está por allí. El dos está escrito en algún lado, no está formalizado, pero la gente entra al internet y vio que alguien documentó algo y usó eso. Y un nivel tres es si ese jefe, eso que ya está en la intranet escribe y dice, "A partir de hoy de 13 de junio en Medellín digo que mi entidad usa esta taxonomía y que ha escrito y sellado." Eso es un nivel tres, ¿sí?, de lo que es esa taxonomía. Entonces, así se va manejando, digamos, todos los parámetros
dentro de esa metodología de de SIM tre. Entonces, en la categoría organización, si ustedes abren el documento, ahí van a encontrar 17 preguntas aproximadamente en esta categoría. Perdón, en esta son 11. Sí, 11 preguntas van a encontrar en esta. Y en esta categoría son preguntas muy orientadas, como lo dice la imagen, a ver, ¿qué tan ordenado está tu equipo de respuestas? ¿no? A ver qué si las cajistas están donde tienen que estar, ¿no? Y esto, ¿qué significa? Las preguntas que ahí se te hacen van desde si tu ces tiene mandato, ¿sí? Si existe como legalmente como equipo de respuesta, ¿sí? No es que yo llego a una entidad y digo, "Soy un Cecil, pero dicen, pero ¿quién eres tú?"
Sí, ¿cómo tú vas a venir a tocar mis equipos si no sé quién eres tú? No, tienes que tener un mandato legal que te lo da la empresa, te lo da el gobierno, al ministerio. Sí. eh te pregunta qué nivel de autoridad y responsabilidad tienes, ¿no? Y aquí también otro punto importante, algo que que nos ha dado esta metodología cuando visitamos es que uno de los puntos más críticos que hemos encontrado nos es este equilibrio entre eh responsabilidad y autoridad. Encontramos equipo de respuesta con un nivel de responsabilidad así enorme. A ti te toca hacer de todo, te toca cuidar todo el país, pero la autoridad te doy así de este tamaño. ¿Sí? ¿Y qué pasan en esos
casos? Que estos eh organismos se vuelven organismos burocráticos. Sí. Donde tengo mucha responsabilidad, pero si voy a tocar un equipo, no. Tú no puedes ir ahí o tú no puedes recomendar. tú no puedes recomendar una solución, tú no puedes emitir ningún boletín, nada. Entonces, ¿qué haces? Y esto una situación que te lo te lo te lo evidencia mucho esta metodología en la categoría de aspectos humanos, para mí una de las más importantes y incluso en unas donde más fallan los equipos de respuesta, en cómo cuido a mi personal que trabaja allí, ¿sí? ¿Cómo queé? ¿Cómo sé yo cómo está el equipo que trabaja dentro de mi equipo? Y aquí las preguntas van muy orientadas, es
existe un plan de carrera para los el personal que trabaja allí. ¿Se capacitan? ¿Se capacitan técnicamente? ¿Se capacitan en habilidades blandas? ¿Qué pasa si se me enferma una persona? ¿Sí tengo suficiente personal para cubrirlos o no? Y esas son preguntas que ustedes se van a encontrar acá. Y es una metodología que si eres, si no eres el jefe del Cecir, si eres el especialista, el experto, puede decirle al jefe, "Ey, mire, la metodología dice que tú me tienes que capacitar." Y si eres el jefe te dice, "Ah, no, sí, yo tengo que capacitar mi personal." Entonces, vean esto también como una oportunidad para ustedes ir y subir las necesidades, ¿no?, que ustedes tienen en sus
organismos. en la categoría de herramientas. Eh, curiosamente, eh, al principio yo pensaba que era donde peor le podía ir un equipo de respuesta y curiosamente es donde mejor le va los equipos de respuesta, ¿no? Y era por lo mismo que yo hablaba al principio, los equipos de respuesta nacen de un nicho muy muy técnico y que ha estado muy apoyado por por digamos la comunidad open source. Sí. Los equipos de respuesta, digamos, que trabajan o los que hemos nosotros ayudado a armar trabajan un 80% 90% con herramientas open source, ¿no? Eh, herramienta de ticketing, el sitio web, el el el mailist, eh las herramientas de mitigación, de detección, de prevención, casi todo lo basan en herramientas open
source y por eso digamos que cumplen con la mayoría de las preguntas que te hace en esta categoría. En esta categoría te preguntan cuáles son las fuentes de información que usa tu CESIR, ¿sí? Para saber qué está pasando alrededor tuyo de tu visibilidad eh a nivel nacional, si eres un equipo de respuesta nacional, eh qué herramientas usas a nivel preventivo? ¿Qué herramientas usas a nivel digamos detección, de mitigación? Son preguntas que vas a encontrar en esta en esta categoría. Eh, procesos. Esta es la que más preguntas tienes y y se lo comentaba ya, no me recuerdo el nombre, es la categoría donde hay más fallas en los equipos de respuesta, curiosamente, procesos, ¿sí? Saber lo que se tiene que
hacer. Sí, y parece obvio, ¿no? Es un cesir, ellos saben lo que tienen que hacer. Sí. Si yo llamo un bombero, el bombero tiene que montarse en el camión, ir y con agua y apagar el fuego en en el edificio. Sí. Nosotros ni pensamos si el carro está cargado de agua o si más bien tiene gasolina y peor me pone el edificio con más candela. Lo mismo pasa aquí en esto, ¿no? Las preguntas que se te hacen en esta categoría van muy por el lado de, por ejemplo, si tu equipo de respuesta tiene un proceso de escalamiento a la gobernanza. ¿Sí? ¿Qué significa esto? Básicamente, ¿qué pasa si me llega un incidente? Sí. ¿Cómo sé
yo si ese incidente es crítico y si ese incidente tiene que subir a la alta gobernanza, no tiene que subir a nivel nacional? ¿Qué pasa si tiene implicaciones sociales, impacto este digamos económico, ¿sí? O impacto natural. ¿En qué momento decido yo como jefe de decir subir esto a un ministerio o al presidente de la República, no? O en el caso de la empresa privada, bueno, ¿cuándo lo subo yo a al a la dirección del de esa empresa, no? Entonces, son cuestiones que se que se te preguntan allí también, por ejemplo, nivel de escalamiento legal, ¿qué pasa si yo mando a un especialista atender un incidente, una entidad y en el medio de la respuesta incidente te das cuenta de
que no es un incidente, sino que es un ciberdelito? ¿Sí? Yo, ¿qué hago como especialista? ¿Preso evidencia? ¿Simplemente me desconecto y tiro el teclado? ¿Sí? ¿O voy acompañado con el delegal? ¿Qué hago en ese momento? Y esos son cuestiones que tiene que tener claro este ese equipo de respuesta. También el típico caso, la prensa, ¿sí? ¿Qué nivel de escalamiento tengo yo con la prensa? ¿Qué pasa si un alguien de la prensa aborda a uno de los muchachos del equipo y dice, "Mira, ¿qué fue lo que pasó con esa entidad?" Y yo suelto todo. ¿Estoy autorizado para soltar todo lo que lo lo eh lo de ese caso? ¿O qué puedo decir? ¿O bajo qué circunstancia
lo puedo decir? o si tengo un vocero oficial que es el único que puede hablar de decir y esos son cuestiones que ustedes tienen que tener en cuenta a la hora de hacer respuesta a a incidentes. Eh, así se ve, así lo van a encontrar en la guía. Esto es como el ejemplo real. Cuando ustedes se sienten con su equipo, van a estar llenando unas tablas como estas, ¿sí?, que la tienen ahí en la en la guía, eh les va a decir el identificador del parámetro, el nombre del parámetro, la descripción de qué es lo que le están preguntando, cuál es el requerimiento o el mínimo, ¿sí? El mínimo para nosotros como línea base y
cuál es el valor o el nivel que tienen ustedes como cesir. Sí, fíjate que no es complicado, simplemente sentarse con su equipo y empezar a ver cómo cómo están. Eh, por ejemplo, acá uno, la T4, sistema de seguimiento de incidentes. ¿Qué significa esto? Si ustedes tienen un sistema para registrar y hacer seguimiento a los casos de incidentes que llegan, ¿no? Es lo que te pregunta la la herramienta. Si tiene un sistema de gestión de ticket, como puede ser de H o TRS, retiro, cualquier otra tipo de sistema que tiene o si es Excel, que también ufo, pero muchísimo por allí. Sí. Y ahí un hay un punto de debate con la con la metodología porque y hay buen punto que que trajiste
porque la metodología te dice para la metodología el Excel cumple. Sí. Y sí, ahí estás un nivel uno hasta un nivel dos porque está escrito. Sí. Y si tú crees metolad, no estoy bien, pues realmente no estoy bien. Entonces la metoladía te dice, "Ey, no, o sea, tienes algo, cumples conmigo, pero uno ya como auditor uno sí coloca la recomendación, ey, rápidamente adopta un sistema porque, o sea, un Excel en un sistema de en un cesir, ¿no? Sí, pero si son cuestiones que que la metodología lamentablemente no va tan tan allá. No no no te va a decir si tienes una puerta de madera o de metal, dice, "No, tienes la puerta y y tiene un Ajá. Y tiene y ya
cumples." Sí. que es lo que a veces uno tanto critica las mendologías, ¿no? Como que cumplo y ya me confío y es donde vienen los ataques, ¿no? Entonces sí es importante, yo siempre en estos informes me baso más en las recomendaciones que en el puntaje que me que me arroja la metodología, ¿no? Porque ahí es donde está la la sustancia. Entonces, bien, ¿qué revela la evaluación? Y aquí justo justo en el tiro porque es esto, ¿sí? Y es básicamente esto. Cuando tú terminas de hacer las 45 preguntas, él te da un resultado que yo lo asimilo mucho cuando, ¿cómo le llama aquí? Cuando se te prende la señal, un testigo, ¿no? En el carro. Testigo.
Cuando tú vas en el carro y se te prende un testigo de no tiene frenos. Es que no tiene frenos. Sí. Ya, o sea, para o te matas, pero no te dice si fue porque hubo una fuga de suministro de los líquidos, si fue que las pastillas no las cambiaste y se te fue o te cortaron un cable para robarte. No te dice, te dice, ey, te falta, no tienes freno. Ya. Lo mismo pasa con esta mentología, ¿no? Te dice, "Ey, aquí no tienes esto, arréglalo." Pero yo no te voy a decir cómo ni ni si usas Excel o usas retir, no, si no aquí te falta una herramienta y ya. Entonces, ¿cómo lo representa la
metodología? Al final, cuando tú completas las 45 preguntas, te da un como un diagrama de radar como este, donde tú rápidamente puedes ver cómo estás por cada por cada categoría, ¿no? Este gráfico es muy funcional. Aquí lo colocamos en azul, pero realmente es verde, rojo y amarillo. No está muy hecho como para daltónicos. Yo a veces soy medio daltónico, por eso lo colocamos en azul, pero verde es que estás bien, rojo es que te falta, el verde más clarito es que estás por encima de lo esperado y el y el amarillo es que te falta un poco, más o menos como se lee, lo van a ver en la en la guía, pero este gráfico para mí funciona
más es para los jefes, para que rápidamente él vea y diga, "Ah, lo que está rojo, dime qué pasa aquí." Y y hay momento donde tú dices, "Ey, jefe, necesito dinero o necesito más capacidades para esto." Entonces, digamos que esta metodología te ayuda mucho es para eso, ¿no? Para tú subir y y pedir, digamos, recursos o ver dónde invertir mejor, digamos, los recursos que que te llega. ¿Cuántos minutos me faltan? Que yo me perdí con el tiempo. 5 minutos. Bien, ya voy terminando. Bien. Y aparte de ese gráfico te da una tabla como esta, que aquí es donde está la sustancia de de esta mentología. Él te dice, por ejemplo, mira, en el mandato estás bien, un nivel tres, tres, que es
lo que exigimos nosotros, pero en la recomendación te falta fortalecer el marco legal. Sí. Eh, y obviamente esto es un resumen, ¿no? Pero obviamente cada cada parámetro tiene una una observación así de enorme, una recomendación así de de grande. Eh, por ejemplo, eh, capacitación técnica, el H5 cumpliste, pero yo te recomiendo que sigas aprovechando las capacitaciones que da el Acne, LEA, Visiz, todo uno le coloca allí, digamos, en cada en cada parámetro. Ahora bien, y aquí sí les quiero colocar como un ejemplo puntual para que vean cómo pasamos de estas tablas aburridas. Sí, está completando números y eso a cómo esta metodología realmente te ayuda a priorizar en soluciones tangibles para un equipo de respuesta. Por ejemplo, en
esta O5 te dice, tienes que tener una descripción del servicio. ¿Sí? ¿Qué significa esto? que tú como Cecir, tú tienes que publicar ante todo el mundo, ante ante tu comunidad, qué servicios tú le estás ofreciendo, ¿sí? cuáles son los servicios que puede obtener eh de ti. En este caso, estos son imágenes reales. Ese esir sacó tres, o sea, cumple porque está publicado y tiene todo, pero lo tenía publicado con el modelo antiguo o la la versión vieja de lo que es la respuesta incidente, que hace unos 15 años, 20 años y 20 años ya más o menos, ¿no? Estamos hablando de los 2000, 2003 por allí. Sí, era este primer enfoque, ¿no? Que todo el Cecil era totalmente
enfocado en la respuesta. Sí, yo actúo es en el incidente de manera reactiva o proactiva. Ese modelo hoy en día cambió, evolucionó y fue este modelo que recomienda el first, que es un modelo ya basado en los servicios, ¿sí? Sin discriminar si es reactivo o proactivo, ¿no? Sino totalmente basado en servicio que se ve allá. y nosotros le damos esa recomendación en ese en ese documento, ¿no? Rápidamente él pueda ver, ah, sí, yo tengo que mejorar mi mi mis servicios. Otro ejemplo puede ser en la parte de herramientas. Nosotros le decimos, mira, eh, sistema de seguimiento. En este caso sí tenía una una herramienta, si sí la tenía, me acuerdo, nivel 3, pero la herramienta la
tenía, pero pero cada analista tenía, imagínate, te llegaban 100 fishing. y era un país grande y cada analista tenía que registrar uno por uno cada uno de los dominios de herramienta. Entonces, a ver, cada analista se te gasta 6 7 minutos cargando un solo caso. Sí. Entonces, tenías todo un día un analista cargando fishing. Entonces, ¿qué estás haciendo? Como decir, no en vez de dedicar a la persona a los casos más más complejos. En este caso, nosotros que le dijimos, mira, ve a un modelo, vete un modelo automatizado de carga de información y aquí es donde nosotros como EA hacemos ese link, ¿no? Nosotros como EA, digamos, eh tenemos el mandato o la si la responsabilidad de
ayudar a los países a darle asistencia técnica, a mejorar sus procesos y esta herramienta a nosotros nos ayuda a mejorar o a precisar esa asistencia técnica que necesita el país. Entonces, si yo veo que un cirga manual de incidentes, yo simplemente le recomiendo una solución que nosotros le brindamos a los que es automatizar ese registro y reporte a la comunidad, ¿sí? Que es básicamente si alguien me reporta un incidente, yo lo registro de manera automatizada, busco el contacto de manera automatizada, quien se lo tengo que mandar en esa entidad y armo un correo automatizado y lo envío a la entidad. Sí, que es la función principal. Entonces, si rápidamente notificar que estoy viendo una fuga de
información de una cuenta de correo de tu entidad. Sí. Eh, eso nosotros lo hacemos internamente. Eh, aquí muy por encima le coloco porque me pueden preguntar, bueno, pero ¿qué están usando ustedes para hacer esta solución automatizada? Usamos a retir, que es una herramienta que usamos mucho en los equipos de respuesta en América Latina. Eh, usamos una base, sí, una base de datos usada, ¿no? CODB, open source también. simplemente para cargar contactos, eh nombre, apellido, entidad, posición que tiene, ¿sí? Eh, todos los segmentos IP y cuál es el dominio, digamos, asociado a esa entidad. ¿Qué pasa cuando llega un fit? Por lo menos esos que yo les hablaba, que les damos los fits a a cada cescir, los que son
100% verificados, ¿sí? Este, por ejemplo, eh, una cuenta de correo comprometida que está verificada, nosotros se la enviamos, se crea el ticket automático, se clasifica, el sistema busca en no CODB, es el Ministerio de Salud, este el contacto, arremamos el template y se lo envío de manera automática y esto es una solución, digamos que sin esa metodología nosotros quizás ni siquiera la la habríamos visto. Y entonces le estamos ahorrando 40 minutos, 50 minutos. Un analista está cargando información a un minuto, 2 minutos y reportar más rápido a esa entidad de que tiene una una falla. Entonces, finalmente esta guía te va a ayudar a ti a comprender más allá de lo técnico dentro de CESCIR, ¿sí? sino una
mirada, digamos, un poco más holística sobre organización, aspectos técnicos, procesos y personal, fortalecerse, es decir, con datos y métricas y poder, digamos, subir y pedir dinero o recursos con con con datos y optimizar las las inversiones. ¿Quién puede usarlos? Cualquiera, les dije. Eh, no importa el sector, pueden ser cualquier sector pueden usar esta esta metodología. Ya tienen el QR que se los pasé ahora. Y bueno, esto nos dair más maduros en el futuro. Así que muchas gracias a todos. Muchas gracias, Diego. Diego, muchas gracias y muchas gracias también, por supuesto, a la OEA por acompañarnos aquí. Eh, agradecemos el espacio y, por supuesto, toda la información que nos diste y esperamos también que con esto avancemos,
avancemos todos en bloque. Te tenemos un pequeño detalle de Bites para ti y muchas gracias por estar con nosotros. Muy amable. Gracias. Gracias. Bueno, ¿alguna pregunta? ¿Tenemos espacio para una pregunta? Sí, voy.
Eh, esa certificación que dices que se necesita para estar ahí es una certificación de pago, ¿eh? o cuál es el proceso y si es de pago costos y la mayoría de veces habladas como entidades gubernamentales, pero aplica también con empresa privada o qué rango de de empresas también pymes, empresas grandes, esas dos pregunticas para aplicabilidad. Sí, no empiezo con la segunda. Sí, ahí me disculpa que como trabajamos tanto con gobiernos me me meto en ese mundo, pero sí esto aplica para todo, gobierno, privado, académicos, pymes, para todos. Eh, la primera pregunta, certificación. ¿Qué pasa acá? Y hay varios temas de certificación allí que que se puede confundir. Tú puedes usar la metodología en tu entidad libremente, tú como persona,
decir, yo me voy a sentar contigo con todo el equipo y vamos a ver cómo estamos. Y se saqué un nivel 1, dos 3 y ya tú lo sabes internamente. Pero si tú quieres que te te certifiquen y que tú puedas colocar el logo de la OCF Open Caser Foundation de que ustedes son un CESCIR que cumple con los niveles mínimos de CESIR América o el de Lenisa o cualquiera que ustedes seleccionen, sí tiene que ser con un auditor oficial de la OCF. Para ser auditor de la OCF tienen que contactar, digamos, a la OCF. El costo sé que está como alrededor de $600 el curso y la certificación, pero si es un proceso ya con ellos. Ellos
muchas veces lo que hacen es dicen, "Mira, tengo un curso de certificación en Málaga o en Tenerife, están muchos ellos en Holanda, para Latinoamérica nosotros tratamos de de traerlos cada cierto tiempo y haces el curso y te certificas. Por ejemplo, bueno, en la página web de ellos puedes ver la cantidad de auditores que hay en Latinoamérica. En Latinoamérica alrededor hay somos 18 que estamos certificados por ahora, ¿no? Esta certificación cada año tienes que estar renovándola y tienes que demostrar que has certificado por lo menos tres o cuatro decir al al año. Diego, muchas gracias. Gracias, Diego. Un aplauso. Gracias.
Bueno, antes de almuerzo seguimos con nuestra charla guiada por Jessica Loisa. Aquí contamos también con Cristian que que nos va a hacer esa introducción a la charla. Cristian también Jessica. Por supuesto, auditor de ustedes. Muchas gracias. acá yo
Recargas
y audio.
Bueno, hola, hola, ¿qué más? ¿Cómo están? Ya vamos a ir para el almuerzo. Ya tengo como hambre ya. Bueno, primero que todo, eh, muchas gracias a todos ustedes, pues por estar acá y también permitirme hablar un poquito. Es la presentación es de Jessica literalmente, pero pues eh parte lo que le vamos a mostrar el día de hoy es como un avance de lo que venimos desarrollando en su tesis de maestría relacionando temas de ciberseguridad e inteligencia artificial. Prácticamente los que me han visto, he visto gran parte conocidos también por acá y es siempre muy bonito venir, digamos, a estos espacios. Dale, porfa. Continúa. Entonces, eh antes de iniciar, como mencionaba, pues eh eso hace parte de un
proceso de investigación Bijuega, estamos todavía en construcción. Entonces creo que un mensaje que se lleve más de esta presentación al final, que parte de lo que quise con este proyecto es que muchos muchos de las muchas de los proyectos que hemos estado desarrollando, por lo menos yo, en mi en mi empresa, son prácticamente usando lo que últimamente llamamos como el uso del mercado de tokens, que es básicamente usando servicios como por ejemplo Openi y entre otros más. Pero lo que quiero que yo ustedes se lleven con este proyecto es como uno no necesariamente tiene que depender de un grande, sino que uno también puede desarrollar sus propias herramientas, llámosle de cero. Y parte de, por ejemplo, un modelo que
rompió hace algunos meses, pero puedo llamarlo deepsck, que en el cual hizo un boom en su momento y que rompió, digamos que inmovió ciertas empresas. ¿Listo? Entonces quiero que no más que al final de esa presentación se lleven, digamos que algunas ideas de que tal vez alguno o alguna de ustedes, ya sea en su empresa, en su startup, en su proyecto particularmente que está desarrollando, vea que hay una posibilidad y no necesariamente que digamos tener una inversión grande para poder hacer un desarrollo. Otra cosa que quisiera aquí anotar, quisiera que por favor me ayudaran con un aplauso para Jessica porque es su primera presentación.
Entonces, sé que no es nada fácil, no es nada fácil estar acá por una primera vez. Eh, te felicito, Jessica. Ya nos dirá el por qué, la razón de estar acá en esta universidad. Entonces, eh prácticamente creo que es muy difícil pensar, digamos, que pues el tema de inteligencia artificial está en muchos lugares. Sí. Y como a mí me gusta mucho acotar eh el tema de cómo el chat GPT y entre otro tipo de herramientas ha permitido el desarrollo del apalancamiento de procesos y actividades, es simplemente, en mi opinión personal, es cómo podemos marcar una conexión humano computador mucho más adecuada, en este caso a través de texto o voz, en el cual podemos eh brindarle a
las herramientas para que ejecut.
Sí. Eh, al igual que suceden en muchas cosas, en sabemos que en seguridad informática, en seguridad física, garantizar el 100% de seguridad es meramente imposible y simplemente por el contexto en el cual nos adaptamos también los cibercriminales también digamos que se apalancan de situaciones. Sí, simplemente quise mostrar este meme, pues de hecho hice mi predicción por allá está en la parte inferior derecha. Esa es mi predicción de que quiera opinar, que opine, pero bueno, eso lo hice antes de que el último partido. Eh, el punto aquí que quiero llegar acá es creo que también la primera charla estuvo muy alineada al tema de Book Bunty, si no estoy mal, el tema de IA. Es una de las cosas que también
trabajamos que es en cómo también la inteligencia artificial también tiene una unas vulnerabilidades que pueden ser, digamos, explotadas. Entonces, para eso, antes de Dale, por favor. de explicarles. Yo trabajo como data scientist para una empresa de software, ¿sí? en el cual pues en este mundo de inteligencia artificial uno se ve digamos que bombardeado de que constantemente surgen nuevos papers, nuevos modelos de inteligencia artificial que a veces hay como una especie de competencia, digamos, entre empresas y también lo vuelve un poco, digamos que eh difícil de entender y a veces uno también se termina hasta bombardeado. Y es más, les adelanto lo que últimamente he visto, el tema de lo que son agentes. Dale, por favor, la siguiente.
Entonces, no sé si han visto, por ejemplo, últimamente los post de agentes especializados en temas de ciberseguridad, por ejemplo, lo que es Cali GPT, Pentes GPT o sin GPT, o sea, todo termina siendo GPT. Para mí es como el tema de OPS, ya todo termina siendo GPT últimamente. Sí, como que muchas cosas las empresas quieren como que migrar a desarrollos de sus propios agentes, pero si el final de cuentas los servicios terminan siendo, digamos que contratados por una empresa. Sí, los servicios los contratamos de una empresa, que en este caso hablamos de Open y Microsoft, ¿vale? Sí. Ahora, yo les mencionaba el tema de del por qué eh la inteligencia artificial o por lo menos el tema de machine learning
sí o sí tiene eh vulnerabilidades que pueden ser explotadas y precisamente está muy acotado la primera de las charlas. A final de cuentas, todo el sistema de desarrollos de sistemas de inteligencia artificial, por lo menos de machine learning, y esto es un esto es un gráfico, un paper, pues no me voy a entrar como en cada uno de los detalles, pero al final de cuentas si ustedes notarán de ese de ese de esta metodología, vean en todo eso una palabra clave, vayas vayas vayas vayas vayas vayas, vayas. Sí, errores, los errores que pueden estar en los datos, errores que pueden estar a nivel del humano, en cómo representamos la información también y en cómo desplegamos también el
desarrollo. Entonces, todo eso a final de cuentas son errores que la misma inteligencia artificial a su nivel de sistema de software los puede atraer. Ahora, ¿cómo se utiliza en el día a día este tipo de soluciones de Lar Language Models o lo que hay detrás de los modelos de inteligencia artificial como los sistemas de chat GPT? Usualmente en mi día a día yo trabajo, por ejemplo, en este en este modulito que está aquí, que es como una librería que orquesta tareas, donde básicamente lo que yo desarrollo son como una especie de plugins y también digamos que tareas o prom prompting, si le se conoce a eso como ingeniería de proms, donde yo le digo y por ejemplo supongamos a chat
GPT, supongamos un ejemplo, yo quiero que por favor si una si una persona escribe tal cosa, consulte la base de datos tal que si una persona escribe otra vaina, entonces consulte a un PDF particular que si por ejemplo la empresa tiene una palabra muy determinada porque es de negocio, yo tengo que adaptar el prom para que entienda eso. ¿Sí? Entonces, lo que nosotros trabajamos constantemente es en esto y finalmente contratamos o consumimos son los tokens que le pagamos a en este caso a la empresa que está por este lado. Y por acá tenemos todo lo que son los recursos que pueden ser bases de datos relacionales, no relacionales y entre otro tipo de API. El punto acá
y spoiler alert de la película por los que digamos que quieren interesar es cómo podemos consumir esto, pero que finalmente son digamos que puertas a datos sensibles que por ejemplo nosotros no mapeamos a través del uso de el tema que tenemos acá internamente. Dale. A ver, eh, simplemente les tengo como una breve introducción, es como una especie de mensaje comercial. Entonces, si alguno de ustedes o alguna le interesa el tema de cómo, por ejemplo, desarrollar inteligencia artificial para detección de distintos tipos de amenazas cibernéticas, también atacar un modelo de inteligencia artificial. Eh, el último libro que publicamos, que también se llama Los datos, las semillas dedicados en cómo podemos hackear modelos de LLM, que finalmente tal vez,
muy probablemente la tesis del de Jessica tal vez de pronto se vuelva en una próxima edición de un libro que se vaya a publicar a futuro. Todos esos tres libros son gratuitos en español desarrollados aquí en Colombia donde involucran los dos enlaces. ¿Listo? Entonces, simplemente se los dejo por si alguno de ustedes les interesa, digamos, que acceder a esta información. Ahora, no siendo más del mensaje comercial, ahorita sí le cedo la palabra a Jessica. Gracias, Cris. Bueno, yo voy a empezar esta charla contándoles porque pues ese era como el lugar eh predilecto para poder empezar una charla. Yo soy egresada de acá de la Universidad de Antioquia. Me gradué hace más o menos 4 años. Soy ingeniera electrónica de acá a
la universidad y bueno, durante muchos años pertenecí al grupo de teatro de la Facultad de Ingeniería. Así que en este auditorio yo me presenté muchas veces, ensayé muchas veces, eh presenté parciales mientras afuera todo el mundo estaba en fiesta, eh vi películas, o sea, este auditorio fue como eh la segunda casa dentro de la casa, mi habitación. Entonces es una auditorio demasiado importante para mí y ya esa era básicamente la historia. Feliz de porque esta charla quería que empezara acá. Y bueno, pues no siendo más eh porque hablar de fishing en el 2025, pero realmente yo lo que digo es, bueno, ¿por qué no seguir hablando de fishing en el 2025? Bueno, a diario podemos ver podemos
seguir viendo muchas noticias sobre hay fishing, hay fishing en en todo el mundo, hay fishing e hubo un ataque de fishing y todo esto. E incluso en Colombia, Colombia es uno de los países más afectados en América Latina, en ciberseguridad y según los estudios se determinó que el fishing es una de los, o sea, es la principal causa. Recordemos que esto es una de la es una de las puertas de entrada a muchos ataques de de ciberseguridad. Sí, pero realmente cuando yo les estoy hablando de fishing no solamente les quiero hacer referencia como a me llegó un correo donde me van a robar información y ya no. Cuando yo les hablo de fishing, realmente les quiero hablar
de muchas más cosas, el cual pues tenemos el tenemos el fishing, que son las el bishing, perdón, que son las llamadas de voz cuando nos llaman a hacer una estafa. Tenemos el smishing, que es cuando nos llega pues mensajes de texto normal al celular. Tenemos ahora el QR fishing o quishing, que pues son estos links, estos QR, perdón, que nos eh redirigen a links fraudulentos. Y también tenemos un fishing que sería como multicanal, que también lo podemos perseguir a partir de en WhatsApp, por Slack, por en LinkedIn también cuando accedemos a enlaces maliciosos e incluso también fishing también se le determina cuando tú haces una búsqueda en el navegador y pues no te das cuenta que realmente tú
querías entrar al banco y tiene 3 A y tú necesitabas solo que fuera una A, entonces ya entraste a un sitio que está ahí diseñado para información.
Entonces, hm, como yo quiero centrar esto básicamente en que en la cadena de ciberseguridad, en la parte defensiva, el ser humano sigue siendo como el eslabón más débil, pues es algo que pues depende mucho de nosotros. tenemos muchos pensamientos racionales que realmente nos llevan a equivocarnos y hace que seamos más débiles. Pues eso se va a centrar más que todo es en la capacitación, porque la capacitación realmente es lo que nos va a ayudar a pues a mejorar esto, a fortalecer este es la Entonces, actualmente hay dos tipos de entrenamiento que son pues la simulación. las simulaciones, esos correos que nos llegan, ya sea a nivel corporativo, más que todo, que es una campaña y si tú le ingresaste al
correo, le diste link, entonces te toca ir a una reunión o ver un video y una capacitación que es pues es super harto y pues la gamificación es un poco más interactiva porque básicamente tú vas es un juego, tú vas superando módulos y eso te va generando una red, pues se va generando recompensa y tú puedes ir aumentando de nivel, pero al igual, aunque esta puede ser un poco más divertida, esas tienen un problema en general y es que pues son genéricas, no generan mayor impacto y pues va igual para todo tipo de público. Y pues realmente el problema que sí existe es que las campañas son campañas genéricas, no están enfocadas en el individuo como tal. Entonces, una
persona con conocimientos previos o sin conocimientos previos va a tener exactamente la misma campaña. Esto es es exageradamente aburrido. No son adaptables, no van con el la evolución de la inteligencia artificial, no van con la evolución del fishing. Entonces acá me pasa algo muy común y es que cuando estoy hablando así con las personas me dicen como, "Ay, no, pues ahí me llegan correos, pero pues yo no abro ni un correo y ya con eso solucioné todo." Y entonces yo me pregunto, ¿realmente detectar fishing va solamente en que tú no abras un correo y ya? Y pues eso va más allá de eso. Entonces, por ejemplo, se estima que más o menos el 70% de las personas que tienen un computador
corporativo abren alguna cuenta personal en ese computador, ya sea un correo, abrieron WhatsApp, abrieron cualquier cosa. Y bueno, en los en los correos corporativos normalmente les ponen demasiadas directivas, pues para que no te llegue cualquier tipo de correo, pero pues si tú tienes el correo de Gmail, pues ese tiene un sistema de detección, pero no va a tener directivas, o sea, te va a poder llegar a muchas cosas. Y si tú llegas y abres el correo con Fishing en tu correo corporativo o tú tienes en tu en tu celular tienes abierta la cuenta corporativa, tienes información empresarial y ahí tiene y ahí pues tú puedes puedes tener más información, o sea, tú descargas aplicaciones que no
sabes eh su origen, entras a cualquier link, tienes smishing, o sea, te pueden llamar y también el fishing, que es algo que no mencioné anteriormente, pues no solamente es ay, te voy a robar información y ya, sino también va enfocado en, hay algunos que va enfocado en entregarte malwar como tal. Entonces, pues por eso es que esas compañías pues en general son pues un problema muy grande. Entonces bueno la propuesta que se está realizando acá es generar un sistema que nos ayude a tener una capacitación personalizada para para poder detectar y aprender fishing. Sí. Entonces para ello, pues obviamente lo que vamos a utilizar es reinformal learning. Ese es un paradigma de machine learning. Es utilizado pues en robótica,
que es para que el robot aprenda. Ese básicamente es como aprender del ensayo y el y el error. Si tú te equivocas, pues tienes un peso negativo y si te y si lo haces correctamente, pues recibes una un peso positivo que te maxifica pues la la recompensa. Ese se usa pues en robótica, en juegos de estrategia y incluso en contenido y en en las redes sociales. Por ejemplo, ustedes para que les llegue el fit en TikTok o en Instagram o ese tipo de cosas, pues se utiliza Reform Learning, que es básicamente si ustedes interactúan mucho con un tipo de video, pues les va a salir bastante seguido y si no, pues no les va a volver a salir.
Bueno, entonces el reinform learning aplicado a entrenamiento en fishing, entonces tenemos nuestra entrada que sería pues nuestro correo, el correo que nos va a llegar que pues no sabemos cuál es. Este va a ir a un entorno, pues así básicamente es como funciona el resping este va a un entorno, en el en el entorno se ejecuta pues la acción, cómo interactúa el usuario con este y esto eh pues tiene un feedback esta estas entradas y van a ir a un agente. la gente es el que se encarga de determinar em si estos si esos pesos son, o sea, es el que va a calificar y va a aprender a a dar la respuesta para ver si va
positiva o negativa, o sea, va a ayudar a aprender. Cuando va después la salida de la gente, él va a volver a hacer el sistema y va volver a aprender y luego va a dar una respuesta y así. Entonces, en esto eh se creó un aplicativo llamado Fish Aarbot. Ese es el repositorio que está en GitHub por si lo quieren revisar, por si lo quieren ir a ver y ya pues yo les voy a ir explicando cómo funciona. Básicamente eso es una arquitectura. Esa es la arquitectura. Entonces tenemos una función que es una función pues random, esa va a determinar si queremos que nos que nos dé un un correo real o un correo pues de fishing.
Esta respuesta va a ir a nuestro generador de correos, el cual se el cual que utilizamos se llama un modelo de inteligencia artificial que se llama White Rabit Neo, que está alojado en Hugin Face. Este modelo de inteligencia artificial es un modelo de inteligencia artificial que está enfocado en ciberseguridad. Entonces funciona así como chatpt o como Gemini, pero ese está enfocado completamente está entrenado completamente en ciberseguridad. Entonces este lo utiliza tanto Repteam como el Blue Team en Repteam para pen testing, para análisis de vulnerabilidades, para desarrollo dewar pues ético y en Bluetin para análisis de logs, eh detección de vulnerabilidades en general, pues es un uno muy completo, la verdad. Entonces, bueno, acá tenemos la
generación del correo. Él recibe si si queremos que reciba un correo, pues un correo realo de fishing, él lo recibe la información, genera el correo y pues acá el correo lo recibimos en la parte del front, que pues el front lo está en la librería de Streamlitad. Y acá el usuario va a ver el correo y va a determinar si el correo es un correo de fishing o es un correo real. él va a tener el usuario apenas pues llega la respuesta, va a tener un feedback inmediato y va a saber si tuvo éxito o se equivocó. Entonces, inicialmente pues como obviamente la aplicación no tiene ninguna información sobre el usuario, pues lo recomendable es que inicialmente se haga esta
actividad 10 veces para que el pues pueda tener un mejor feedback de la interacción del usuario con el con el con los correos. Y ya cuando tenemos este feedback de al menos 10 repeticiones, pues vamos al train.by, que es donde está el reinforce learning. Ahí el agente pues revisa, analiza los pesos, verifica pues si si bueno hace la calificación, reasa los pesos y luego salen los pesos ajustados y vuelve al generador del correo y pues ya así se modifica para ir aprendiendo más sobre qué correos darle al usuario. Básicamente así funciona. Entonces, vamos a ver un demo para que lo puedan ver un poquito más. explicar o eh antes de antes de pasar al tema de la
demo, simplemente como para de pronto si han quedado algunas dudas del workflow, es es lo siguiente, es decir, todo lo que ven acá es open source, ¿no? Entonces, lo que nosotros estamos utilizando, por ejemplo, de aquí es un modelo del LM que esta empresa que lo liberó y estamos utilizando un tokenizador y uning que es básicamente la función que transforma el texto a vectores matemáticos, que eso es lo que básicamente reprocesa es la inteligencia artificial. Ahora, ¿qué lo se pregunta? No sé si se han preguntado, ¿cuál cuál es digamos que qué es lo que se quiere mejorar? ¿Qué es lo que va a hacer el reinforcement learning? Es básicamente es que supongamos que en este caso el
testing se le está haciendo a Jessica. Entonces lo que se va a hacer es que el sistema va a generar ya sea aleatoriamente un correo que puede que sea un fishing, o sea, o puede que sea un correo benigno. ¿Sí? Entonces, lo que Jessica, el test que le vamos a colocar a Jessica, en este caso, Jessica puede que tenga un conocimiento técnico o pueda que sí tenga el conocimiento técnico. Lo que queremos evaluar es sus capacidades. Entonces, Jessica va a tener la posibilidad de decirle a nuestra inteligencia artificial si realmente lo que generamos es no legítimo, si realmente lo pudo lo pudo le pudo atinar, si me entienden. Entonces, si realmente latinó, lo que va
a pasar es que ese feedback le va a servir a la inteligencia artificial para que ajuste y mejore, por ejemplo, mejor fishing, ¿sí me entienden? Entonces va a poder aprender con base a las detecciones que Jessica va a ir tomando. Entonces él va a ir mejorando y va a ir mejorando y es donde están las capacidades de reinforcement learning, que es digamos que ahí está, digamos que lo lo culpes de esto es que permite que un modelo que ya fue entrenado con ciberseguridad sea más adaptativo a un comportamiento, ya sea una persona o un conjunto de personas particularmente o una empresa particular. Sí. Ahora veamos un poquito ya la demo. Entonces, dale. Entonces, lo que ven acá
tenemos aquí pues un botón que es el de generar y en la parte de abajo tenemos todo el feedback que hemos intentado recolectar de las personas. Sí, B juega. Todo esto es un proyecto que ustedes pueden replicarlo y le colocamos ahí requirements de los paquetes. Ahora, cuando la hemos recolectado un suficiente feedback, por ejemplo, de Jessica, la idea es que se pueda volver el modelo a ajustar a través de todo el conocimiento que se ha recolectado, digamos, una campaña que hicimos de la empresa relacionada Fishing. Entonces ahí estamos generando un ejemplo. Ese es un ejemplo, pues obviamente que hemos ese es un ejemplo básico que es un ejemplo benigno. Por ejemplo, Jessica, por ejemplo, en este caso le ha colocado
que es un el ejemplo que se le generó la inteligencia artificial es un ejemplo real. se le da, es decir, pudo detectarlo. Jessica lo detectó exitosamente. El feedback se guarda en la base del conocimiento. Generamos uno nuevo. Acá tenemos otro ejemplo que es una un tipo de ataque que se realiza, digamos, a una a una universidad. Ese es un tipo de fishing. Obviamente aquí no hemos colocado enlace ni nada por el estilo, pues se puede adaptar, digamos, a la a la universidad en específico que quisiéramos perfilar. Vuele y juega aquí el test ya se realiza directamente al usuario. Por ejemplo, Jessica. Ella dice que es es fishing y finalmente vuelve y juega todo ese conocimiento se empieza a recolectar.
Entonces, todo ese feedback al final de cuentas va a servir para que la inteligencia artificial a futuro se pueda, digamos que alimentar y admente adicionalmente digamos que mejorar ya sea para el usuario o para un conjunto de usuarios particularmente.
Bueno, y ya aquí entonces tenemos las conclusiones, pues y es ver la importancia que podemos que tenemos sobre el fishing y lo cómo podemos utilizar también la inteligencia artificial para también poder tener unas campañas más adaptables, porque digamos hay que pensar que si los malos están utilizar mejores ataques, ataques más ataques, ataques más de fishing, más artificial, para defender, ¿no? Y pues a futuro. Entonces, la idea futuro es implementar más acciones para ver cómo el usuario interactúa realmente, como digamos si el usuario abre el correo, eh ingresa el link, lo reporta, no lo reporta, cuáles son los correos que normalmente el usuario suele abrir o no abrir. Y pues como Cris les estaba mencionando inicialmente, este es un primer avance
de una tesis de maestría que se está realmente enfocando en utilizar inteligencia artificial para hacer una para qué eh se me se me borró, se me fue que realmente está que la idea de la tesis realmente esa es desarrollar un plan de gestión de incidentes utilizando inteligencia artificial para detectar ataques de fishing Entonces, este básicamente sería como la tercera parte porque la para la la tesis solamente se centrar en detectar, controlar y mitigar. Entonces esa es la tercera parte que se hace entrar en mitigar, pero la mitigación la estamos centrando pues en la capacitación. Y ya no sé si tengan alguna pregunta. Dame un segundito antes antes de antes de arrancar a las preguntas es dejarles
como unas ideas de de pronto si ustedes les interesa. Es decir, hasta ahora lo que vieron es que es un sistema que puede ser adaptativo. Entonces, una de las ideas que de hecho yo le he estado comentando a Jessica, imagínense que por ejemplo ustedes tienen un sist un sistema de recomendación, por ejemplo, de Netflix, ¿sí? Pero en este caso, digamos, ustedes recolectan la información de una persona de la de la compañía y adaptan la inteligencia artificial para que se adapte más, o sea, el fishing sea mucho más creíble y adaptativo a la persona particularmente, ¿sí me entienden? Eso se podría hacer con un sistema de recomendación previo, digamos, que alimentaría a lo que se conoce el PROM de inyección. ¿Sí?
Ahora, eso podría, digamos que generar un poco más de credibilidad y mejora, digamos que el sistema adicionalmente, eh, obviamente temas de desarrollo, pues creo que aquí lo que lo como les decía en un principio es que esto está libre. ustedes lo pueden digamos que usar, replicar, ya sea para temas de generación de código, fishing, lo que sea. De hecho, esto hace parte un proyecto personal que también estoy, digamos que apalancando, eh, pero digamos que es eso. Eso sería entonces por ahorita. Sí. Entonces, pasamos a la sesión de si tiene alguna pregunta. Ah, sí, si hay alguna pregunta.
Dale a la al repositorio, por favor. Este, acá lo pueden encontrar. Ahí está. Ahí pueden encontrar el código con los paquetes. Creo que lo más difícil aquí es es contar por lo menos con una GPU, que es digamos que el al final de cuentas y yo literalmente no tengo las más recientes. Para el ajuste por lo menos de 10 feedback se demoró alrededor ese modelo alrededor de 3 4 horas. Obviamente es por eso por los cuales esas empresas grandes pues venden los servicios de tokens, pero lo que quiero llegar yo es que pues bueno, eso digamos que si alguno de ustedes cuenta con las capacidades lo digamos que lo podría digamos que empezar a apalancar.
las pruebas que realizaron eh no se había afectado el envío o de lación de como spam que se saltase ese ese digamos ese primer perímetro que tienen los correos que como ya tienen una base importante del tema de digamos en eling es más compleo ya las plataformas ya brindan más identifican el y evitan que se corre pase eso no salta y y digamos que oculta esa capacidad de de mandar un correo en nombre de otra persona. En este principio, eso sería como una siguiente fase. Eso sería como una siguiente fase. Nosotros lo que estamos hasta ahora es como dando el esquema de lo que sería, digamos que el contenido que puede que tenga palabras claves de fishing y y otras que sea de
contenido legítimo. Y hecho que me acuerdas una idea que que me faltó decirles, pues ustedes han notado que últimamente uno utiliza modelos eh esos son modelos generativos como y podríamos generar imágenes también y también audio que también se podría apalancar en ese tipo de cosas. Eso se llaman multimodales, discúlpeme. Entonces, eso es una idea que se me olvidó, pero uno podría, digamos que apalancarlo en todo este framework, siempre pensando de que eh rompa un poco más la barrera que finalmente el humano no reconozca que realmente lo están haciendo engañando. Eh sí.
Hola, una pregunta. E ustedes creen que se podría implementar detalles detalles adicionales como destinatarios mal escritos o modelos de de archivos adjuntos como señas de que es el correo malicioso dentro del aprendizaje que que están modelando o o es muy difícil de de implementar. Pues realmente es esta entre las partes de trabajo a futuro que es poder implementar más acciones, ver cómo el usuario interactúa con las acciones, pero también es importante pues como resaltar un poco en este momento que gracias al uso de la inteligencia artificial ya como que se eliminaron muchos errores como básicos que era como detectáamos antes el fishing, por ejemplo, ya no vas a saber como ay tiene errores de ortografía, entonces es un
fishing o ay bueno, me está llegando un correo que dice capacita invitaciones, yo no sé qué, @utlook, porque incluso tú puedes enviar un correo con un eh con un dominio original, ya utilizándolo. Entonces, esto ya son como barreras que se pueden como omitir un poco. Inclusive lo de los enlaces ya también es muy complicado como para los sistemas de correo genérico, pues determinar cuáles enlaces son fraudulentos o no, porque ellos no tienen sistemas como para poder detectar cuando se recorta o algo así. Para para agregar un poquito a la respuesta. tú podrías de hecho tener un modelo especializado para ese tipo de cosas, es decir, que solamente te aprenda para generar enlaces en específico. Eh, eso podría ser una
aproximación. Hay algo que no también mencionamos, ese esa es una primera versión de la experimentación. Nosotros usamos eh White Rabbits porque fue es un modelo especializado para ciberseguridad, pero aunque ustedes no lo crean o no, esa vaina no me permitía crear fishing al final de cuentas. Sí, está bien, está bien. Sí. O sea, Rock Grock está me permitía generar más correos de fishing que este. Entonces, creo que la la próximas, digamos, actividades que a la señorita le va a tocar que hacer es, por ejemplo, mirar modelos como, por ejemplo, puede ser Mistral, entre otros más, que sean un poco más no tan éticamente correctos. Sí. Y adicionalmente eh que sean pues livianos, que tengan componentes de
ciberseguridad, pero adicionalmente que que es un mensaje que a mí me toca mucho en la industria es promtear, o sea, que literalmente el prom sea lo más, o sea, la generación sea lo más creíble para que cualquiera, digamos que pueda, digamos que ser susceptible. Hay un trabajo, digamos que bastante, digamos que interesante a final de cuentas y una de las cosas que tú mencionas podría ser parte de los de los de las actividades a acotar. Gracias por la pregunta. Listo. Entonces, eh por temas de tiempo los invitamos a a los que tengan más preguntas a a buscar a Jessica y a Cristian, por supuesto, van a estar aquí acompañándonos. Eh, es también una forma también de conectar. La idea es que
ustedes lleven de aquí varios temas y bueno, nos vayamos conectando más. Jessica, ¿tenías algo, un anuncio para nosotros? Bueno, pues eh tenemos un libro para darles. Es el segundo libro. Ciberseguridad los datos tiene la respuesta. Entonces, pues yo les voy a hacer una pregunta. El primero que alce la mano y responda correctamente, pues se lleva el libro. E, ¿cuál es el nombre del language model que estamos utilizando en esto? Dale toma. Ven y pues
bueno, eh, Jessica, muchas gracias por por estar con nosotros, por presentar este trabajo, Cristian, por supuesto, también por la por la colaboración y también el empuje que le das a a muchas personas. Eh, Jessica, pues está como es tu casa, entonces aquí más bien te damos es un regalito de visite. Eh, gracias por participar y y bueno, qué bueno que este ha sido el primer sitio. Muchas gracias. Muchas gracias. Un aplauso para Jessica Cristian. Gracias. Bueno, una mañana muy movida en términos de de las charlas. Queremos eh dar las recomendaciones. Como se dan cuenta, no hay espacios hoy de comida dentro de la universidad abiertos. Entonces, para que busquen almuerzo, tenemos unas recomendaciones, no de
lugares, sino que donde pueden ir como a una zona. Me comentan aquí que están hay dos sitios, está cerca del centro comercial Aventura Plaza, que es aquí cerca también y por la salida de de el de la universidad está el centro comercial también Bosque Plaza, frente al planetario que salen por la por la estación Metro. Nos vemos a las 2 de la tarde para continuar. Entonces, los esperamos a las 2 aquí. Por favor, tomen también tinto antes de entrar, que la de las dos es un poco complejo. Entonces, nos vemos a las 2 de la tarde. Gracias.
Related talks
4:42:27
43:31
32:42
24:52
1:52:55
36:29