BSides Colombia 2025 Training Programs

Hola a todos, muy buenas tardes. Bienvenidos a este segundo podcast, video podcast, no sé cómo llamarlo exactamente, que lo terminamos llamando huechas sinchel. No sé si recuerdan que antes teníamos todo lo de huechas, eh todo este tema de indígena de nuestra cultura muisca y era parte de esa identidad de visites y la hemos querido recuperar en este podcast. para ustedes. Y bueno, el podcast siempre estará enfocado en poder contarles más cosas de Visites Colombia, antojarlos y hoy tengo dos super invitados. Está por un lado Levi Resa, que es quien nos va a estar acompañando con el entrenamiento de Purple Team, que me imagino que ya lo han visto un montón y espero que más de

uno de ustedes ya esté inscrito. Y por el otro lado, nuestra gran sorpresa del día de hoy va a estar Cibel Oliveira, quien va a venir también desde Brasil a dictarnos otro de los entrenamientos. Pero antes de arrancar, antes de cualquier cosa, quisiera que ustedes mismos se puedan presentar, les puedan contar un poco a la audiencia de Bites Colombia, de ustedes, de su experiencia y bueno y de en general de ustedes por ahora. Ahorita empezamos a hablar de los entrenamientos. ¿Quién quiere empezar? Levi. Cibel. Cbel, por favor. Está bien. Bueno, está bien. Bueno, soy cibel de Brasil, por eso tengo un acento super raro que mezcla un chingo de acentos de varias partes de Latinoamérica. Y ya

dijo chingo, ¿no? Para que para que se note porque es muy mexicano. También es muy mexicano porque aprendí todo en México, o sea, todas palabras feas y malas. México es eso. Y bueno, soy especialista en cyber tradig doy clases acá en posgrado que más soy una de las fundadoras de la vila hacker junto con Gio en Deathcom. ¿Qué más me gusta? Gatitos y desgracias cibernéticas y así. Y mi entrenamiento va a ser de int, o sea, es como todos gustan de chisme, todos, todos. No hay que no guste de chismes. Ah, no, no me importa. Sí, todo gusto. Entonces, vamos a aprender a hacer chismes de modo profesional. O sea, así no será chismoso, será una persona que está

apenas decía que está ocurriendo en el momento. Es eso. Okay, perfecto. Gracias, Cbel, y bienvenida a la charla de hoy. Bueno, eh, y ahora, Levi, Levi, cuéntanos un poquito de ti, de tu experiencia. Ya, sibel, mira, ya estás atrasada porque por lanzar eh tarde tu entrenamiento ya te llevaste Levi ya tiene video, ya tiene página, ya tiene un montón de gente inscrita en el entrenamiento. No sé cómo cómo vamos a hacer para que tú te adelantes para para el tuyo. Ah, bueno. Eh, todo charme de mi acento raro que veces no se comprende. Vende, vende, vende, vende. Tal vez sea eso. Nos precisamos practicar nuestro portugués. Sí, con vocé. Sí, Levi. Excelente. ¿Qué tal? Buenas

tardes. No sé si todos se acuerdan, Levi ya estuvo en Bides Colombia. Levi ya conoce Medellín, estuvo hace años acompañándonos en en Visites Colombia. Entonces, no es la primera vez que nos va a estar acompañando. Ahorita ya con algunos cambios, pero Levi ya sabe cómo es la dinámica de Visides en Colombia. Sí, sí, ya tuve la oportunidad de andar por allá, creo que 2017, si mal lo recuerdo, por ahí con un con un workshop que que dimos por allá de forense, algo así era, si mal lo recuerdo. Eh, pero bueno, eh, actualmente pues me dedico a todo lo que tiene que ver con thread intelligence, thread hunting, purple team, redam, blue team, etcétera. Eh, apoyamos a las empresas a hacer este

tipo de de ejercicios. eh todo basado o partiendo por el white team, ¿no? Que muchas veces este como que se deja de lado el white team y nos enfocamos directamente al purple team o blue y red team, ¿no? Entonces eh haciendo justo thread intelligence, como de lo que especializa Cibel, eh documentarnos, ¿no? Cómo podemos estar este obteniendo información diferentes fuentes para poder esa información utilizarla, ¿no? Hacer accionable esa información que tenemos para ejercicios de Purple Team. ¿Sale? En eso este especializo eh trading, evidentemente, eh pain testing y por otro lado, pues también damos cursos de capacitación de algunas otras otras marcas, ¿no? Sale, en eso en eso andamos. Sper s. Qué bueno. Bueno, primera pregunta aquí.

No sabemos quién está ya mirándonos o quién nos va a mirar después que est estamos en live en este momento, pero después puede ser que alguien se anime y diga, "Okay, yo quiero estar en el entrenamiento." ¿Necesitan algo de conocimiento previo? ¿Sí o no? Y si lo necesitan, ¿qué necesitan? Ahí necesito que cada uno me responda. Eh, si sí necesitan conocimiento previo. Eh, si no lo necesitan, okay. Y si lo necesitan, ¿cuál sería ese conocimiento previo? Bueno, eh o sí, no, no necesariamente necesito un una computadora, un notebook y eso de de resto está más sencillo. Voy voy explico que vamos a hacer o qué no vamos a hacer. Si las si las personas que estuvieran allá tuvieran un poco más

de conocimiento, cambiamos, vamos para algo más avanzado. O si no empezamos desde el principio. Quiero todos que sean chismosos. Eso, esa es mi idea, salir de de Colombia, que saben que todos van a hacer chismes muy muy bien hechos. O sea, el que no salga chismoso de tu entrenamiento no estuvo ahí. No, por favor, no. Usted no gusta de chisme, por favor no. Así o qué es más, por ejemplo, que me gusta eh en ser especialista en trade intelligent es eso es una mezcla de una persona que faz chisme, que ve que está pasando para contar para oye, ¿sabes qué pasó con aquel trator? Entonces como una eh eh, ¿cómo se dice? Vidente. Sí, sí. Una mezcla de vidente con

chismosa. Eso. Okay. Mejor trabajo de todos. No hay no es mejor. Okay. Okay. No, porque Y cuando te pierdes el chisme, entonces, ¿qué haces? Ay, bueno, no no cómo, no existe cómo es eso. Por eso que me gusta desgracias cibernéticas porque todos los días no hay un día en esta vida que no hay una cosa que se dice, "No [ __ ] en serio, ah, ¿qué vamos a hacer?" Así desde bridg eh eh, ¿cómo cómo se dice? Eh, cuando hay brit que es la palabra en español jugas de información. Eso attacks o cualquier tipo de ataques. Amo hablar de ataques como de ataques raros de Hansonware o así ese tipo de chisme que cuando conectamos un chisme de acá, otro de

allá y conectamos o y ponemos más informaciones para para ser de hecho una inteligencia como no sé eh geopolítica y cosas así. Eh, y formamos los chisme completo. Ahí sí. Oye, jefe, está acá, ves los problemas que tienes. Por eso debe nos dar más dinero para este equipo para poder defender de eso. Esta es la idea. Entonces, listo, empezamos con el chisme de Cibel, que entonces ya todos saben, acá eh eh la invitación es el que no quiere estar volverse chismoso, no es el entrenamiento para ustedes. Y ya saben, no se necesita conocimiento previo, solamente un computador y va se va a ajustar el conocimiento, el nivel de conocimiento que se requiera dependiendo del nivel de todos los asistentes.

Entonces, exactamente, hecho para todo el público, para todo el que lo necesite y solamente necesitan su computador para poder echar chisme. Y no sé cómo como las ticas también se participa mucho o no en Colombia. Si en todos lugares son mucho menos chicas que participan. O sea, este entrenamiento es también perfecto para ellas. Bueno, conozco un chico, ¿qué quién es? ¿Qué voy a hacer? No sé nada de tu vida. O sea, tenemos que investigar a fondo para saber si no psicopata o cosas así. Este es muy importante. Es un las cosas de para la vida moderna, conocimientos para la vida moderna y para trabajo, para chamba. O sea, que es además un perfilamiento a ver si si el si si el tipo que te está

invitando a salir en Bites funciona o no funciona. Ahí ya de una vez pueden hacer la revisión tranquilos y saber si sí o no. Exacto. Exacto. Podemos hacer eso. Bueno, me imagino que también para nosotros nos sirve, ¿no? Tú sabes que no falta la loca que se nos acerque y después queda uno qui se ha metido con quién, ¿no? Sí. No es un conocimiento muy importante, ¿no? Para todo, desde descubrir, saber quién es la persona que está saliendo o no sé cuando se para un futuro trabajo, ¿qué compañía es esa? ¿Qué no es? O para informaciones también. ¿Qué chingadas es eso? No sé qué pedo eso, que qué pasa, es una información verdadera o no. ¿Cómo

voy buscar más informaciones sobre eso? O sea, eh eh sí es para chistosos, para hacer chistes, pero al mismo tiempo es en serio un conocimiento que serve para todo en la vida, desde investigadores, periodistas, personas de cyburity principalmente y o sea una habilidad que es transversal para un montón de gente y que de una u otra manera nos puede servir a todos. Exactamente. Así vamos a encaminar oye para cyber, para no sé qué. Se puede hacer de todo un poco, hasta para crimen. Sí, solo eso solo una idea. Acá por acá Mario que está conectado nos está diciendo que está el queo profesional. Entonces, exactamente por ahí por ahí va el enfoque de este training. Bueno, ahora

Levi, la misma pregunta. Y además que acá tenemos que conectar, ¿no? Tú nos estás diciendo también de trade tintel. Siel nos decía de trade tintel, entonces también acá vamos a aprender de chisme en el tuyo y cómo va a ser todo el cuento. A ver, Nivel, si las personas necesitan un conocimiento previo, uno, dos, ¿qué van a requerir para poder estar en el entrenamiento? Y bueno, nos cuentes un poquito ya qué van a aprender. Okay. Sí. Eh, carregamiento mínimo a lo mejor sería un poquito de seguridad ofensiva, hackinético básico, tampoco tienes que ser super el experto básico y el uso de la computadora tal cual, ¿no? Eh, a lo mejor uso del de Linux, de Python, que

es lo que se va a estar utilizando y listo, ¿no? Aquí a lo mejor podemos este o se juntan un poquito el tema de Decibel con el de nosotros por el tema de Trat Intelligence. Ellos tienen que buscar actores de amenaza, cómo hacen sus ataques, etcétera, este, por medio de TTPs o diferentes fits de inteligencia, habit intelligence y nosotros también no vamos a documentar de ahí, no no nos vamos a meter nosotros al chisme, ¿no? Nosotros no vamos a ir para allá, eh, porque y seguro nos van a investigar a nosotros también, ¿no? A ver qué datos tenemos publicados o que ya se filtró o cosas de este porque ya me pasó y sí me muestran un montón de

cosas de lo que de lo que hay mío en la red. Pues sí, pues al final hay que saber dónde buscar, ¿no? Que es justo lo que Cibel va enfocada, ¿no? Dónde buscar para encontrar la información, ¿no? En este caso, nosotros vamos a documentar diferentes fits para enfocarnos en actores de amenaza, por ejemplo, ¿no? Cómo obtener sus TTPs, cómo lo replico a esos TTPs, como por red team, por ejemplo, y del otro lado, ¿cómo los puedo detectar con con trading, ¿no? O sea, hacer como la la mezca con el purple team. A eso vamos a estar enfocados, conocimientos seguridad ofensiva, poquito, no vamos a hacer ataques sofisticados, más bien es como replicarlos por medio de diferentes eh

plataformas, ya sean este automatizadas o un poquito más manuales. Y también como dice Chibel, ¿no? Eh, todos los entrenamientos eh yo ha sido instructor también este sabes que hay que estar midiendo el nivel de los participantes para agarrar un punto medio, ¿no? Entonces tampoco irte muy avanzado o muy básico porque si uno se aburre, ¿no? Entonces este estar vidiendo el el punto medio para que realmente todo le tome valor ahí provecho al curso, ¿no? Totalmente de acuerdo. Bueno, por ahí si alguien de los que están conectados no saben que son TTPs, son tácticas, técnicas y procedimientos, hay una matriz que les va a servir un montón que me imagino que es la de Mitrac. Por ahí

empezarán a mirar un montón de cosas que son las que luego tratarán de replicar. Bueno, listo. Ya ahí está conocimiento básico y como esos elementos especiales y específicos que van a tener o una o una eh generalidad de lo que vamos a hacer en esos dos entrenamientos. Una pregunta así complicada, ¿por qué la gente se debería meter a su entrenamiento ahora? ¿Por qué, Levi? que empieza Levi. Espérate, deja, deja Levi a ver y tú después lo coges. Levi, ¿por qué? ¿Por qué metes entrenamiento? ¿Por qué? ¿Qué qué sería eso diferente? ¿Qué sería eso algo que animes a esas personas que están todavía por ahí? No sé si hoy tengamos por ahí personas que no se

hayan inscrito y estén diciendo, "Venga, ¿y ahora por cuál me voy a elegir? ¿Ahora cuál voy a elegir?" Entonces, acá está el momento de cuál elegir y porque están como las palabras para que hagan que esa persona se se anime. Eh, mira, tuve la oportunidad de apoyar algunas empresas a elegir su SOC, ¿sale? De acompañarlos directamente a los a los n cantidad de SOCs en México y algunos en Sudamérica o Centroamérica y ver cuáles sean las cualidades de estos. Eh, creo que en general, salvo algunas excepciones, no voy a decir nombres para que no sean esto a un tema de comercial, eh, salvo algunas excepciones, la mayoría padecen justo del purple team. O sea, le llegas y preguntas cómo hacen la

emulación de ataques, no hacen emulación de ataques. Dicen que sí tienen red teaming, pero en realidad hacen pruebas como aleatorias. Y cuando tú dices, "Bueno, ¿y quién es el actor de amenaza que está enfocado a ese cor de negocio?" No, pues no sé. Dice, "Bueno, entonces, ¿cómo cómo replicaste ese ataque si no sabes a quién a quién estás emulando?" No, entonces no saben hacer ese perfilamiento y los hacen totalmente genéricos. Dicen, "Yo tengo estas TTPs, pues ejecútalas a ver si funcionan, ¿no?" Y es lo que presentan en sus reportes. Sale. Eso por un lado, desde el punto de vista defensivo es lo mismo, o sea, cómo no tienes historias de hipótesis de amenaza o casos de uso y no

sabes cómo detectarlo tampoco, o sea, tampoco es stress hunting y hay mucha dependencia en el uso general de las herramientas, ¿no? De decir, "¿Sabes qué? Las herramientas me solucionan el problema cuando a lo mejor no necesariamente es así." Sí, o sea, sí son parte importante, es el medio para lograr un objetivo, pero no es la solución de mi problema. Entonces, confiamos mucho en esas este herramientas. Ah, que porque utilizan inteligencia artificial, que utilizan machine learning y confiamos en que porque ya trae esa tecnología son 100% confiables, pero pues no, ¿qué pasa con esos ataques Living of the Land, por ejemplo, no? Que las herramientas no los detectan. Es más, te puedo decir que cuando fui a estos a visitarlos, esa

pregunta les hice, ¿no? O sea, ¿qué haces para detectar ataques Living of the Land? solamente uno que está en Centroamérica me dijo así. los demás ni siquieran conocían el ataque, ¿no? Entonces, eso fue lo que me llamó a mí la atención, decir, bueno, tenemos que dar compartir este conocimiento para gente que lo sepa detectar, la gente que está en SOC, que está en tema de molación de ataques, cosas de ese estilo, ¿no? Realmente aportar algo diferente a lo que tradicionalmente está haciendo en el en el mercado, ¿no? En el medio. s super interesante porque ahí hablas de temas, por ejemplo, uno de como esa dependencia de herramientas y muchas veces además se terminan comprando herramientas que ni se

necesitan justamente por no saber en realidad cuáles son esos actores de amenaza, cuáles son esas técnicas, esas tácticas, cuáles son esos elementos que se deberían tener en cuenta. Adicionalmente lo que decías, por ejemplo, una técnica que pues ya es muy común, que es como ese Living of the Land, pero que mucha gente todavía no entiende, no tienen cuenta ni la tienen el radar y además que me parece una técnica espectacular para ataque cuando uno está haciendo justamente eh pruebas de penetración y esos niveles de madurez como se van probando a través del tiempo. Entonces, creo que ahí hay un montón de valor para todo lo que tú nos estás contando. Bueno, voy saludando también a las personas que se están

uniendo. Gracias por saludarnos. Eh, Ardel, Yardel, Mario y Andrés, qué bueno que estén por acá conectados. Bueno, Levi ya puso así como su parte, Sibel, ahora te tocó, te toca a ti. Bueno, además de todo charm de mi acento raro. Claro. Además de eso y y más importante que eso antes de llegar eso y aquello para shock, por ejemplo, se tiene algo que en Latinoamérica somos muy buenos así muy buenos mismo es estafa, o sea, cómo investigar una estafa antes de llegar TTP que sea, cómo investigar una estafa. Por ejemplo, eh si no sabe ah hacer una investigación o siente muy much es mucho parte de una investigación, por ejemplo, para descubrir quién es eh cómo llegar a

esta persona o a este grupo. Eh bueno, en Latinoamérica en general no tenemos como un las estafas son en WhatsApp, Telegram, Discord y cosas así, ¿no? No es bonito como de los rusos, los chinos que son super la tecnología super avanzada, ¿no? Porque ¿dónde se puede hacer ah estafar a alguien? ¿Cómo? ¿Dónde? Así los medios más sencillos, o sea, Facebook, Instagram, eso e aquelo. Por ejemplo, en la fecha de de de los talleres va a ser día de de los Valentines Day acá en Brasil. Sí, el día 12 de junio. ¿Por qué? Eh, una cosa de marketing, ¿no? Nada que ver con iglesia así. O sea, es una fecha que ha que lo que ha de más de estafas por acá, por

ejemplo, y no solo descans de venta, de alguna cosa, pero de romance también. O sea, personas están como, "Ah, necesito alguien y empiezan a hablar con una persona que bueno, ah, ¿sabes qué? Necesito un dinero, un dinero. Ahora puede enviarme. Eso se pasa mucho. Se ve como personas, oh, tengo mi novio, mi novio Brad Pitt. Estaba a poco en acá en los periódicos porque alguien envió una mensaje, empezaron a hablar de eso y la persona, "Okay, te te envío dinero y así se pasa. Estafas se parece estúpidas, tontas, pero hay algunas como algunas fear fishing muy direccionado que sí todos podemos, uy, qué [ __ ] ahora soy yo que caí en eso." Sí. Y con podemos

intentar ah también prevenir en una palabra en español prevenir porque si bueno empezamos a hablar con alguien podemos al menos averiguar quién es o esta promoción que hay acá o super se acá es como 90% de descuento. Es en serio, ¿verdad? la neta. Oh, ¿cómo vamos a ver eso? En el caso de eses, okay, descubrimos, por ejemplo, Instagram que está haciendo esta super de esto ah vamos eh pivotando una palabra en español. Puede ser, depende. Sí, si vas saltando como haciendo diferentes saltos entre diferentes diferentes de un simples eh correo, vamos para no sé qué, para no sé qué. O sea, eso que vamos a hacer con los sint este cuando hablo de chisme, eso vamos descubriendo

parte por parte o esta foto es verdadera, no es verdadera esta información para me dónde va a elevar esta información. Por eso cuando dice que servía un conocimiento que serve para todo en la vida, es desde, por ejemplo, buscar buscar eh algún trade actor, si mismo que sea más más grande de eses, no sé, super hackers o hasta Sí, claro, es mucho más eh más complejo como hacer, pero parte de lo mismo de una única información veces veces es con una imagen un poco blur es cosas así, o sea, el enfoque va a tener la posibilidad de por ahí andar lo que lo que decía por ahí Mario estalqueo profesional, además de poder revisar esos actores de amenaza con los INT, no

va a ir como tan infraestructura, sino que tú puedas empezar a identificar diferentes elementos importantes dentro del entrenamiento para entender quiénes están detrás de eso. o a veces infraestructura también, no sé dónde vamos a llegar con una información. A veces se llegan una información, oh, es una infraestructura o parte. Sí, sí. Eh, un pasito atrás de otro, ¿sabes? Sí. O sea, podemos descubrir mucha cosa con los s, mucha cosa, porque casi todos tiene alguna todos tienen alguna información disponible en línea, todos. Ni que sea solamente un nombre. Es muy raro, muy difícil no tener nada. Mesmo que no tenga redes sociales, tiene algo y de este algo que vamos buscar. Es es normal. Eso eso sí es verdad. Como

que ya el que no tenga una exposición, no sé, por allá será eh yo que sé, un equipo de 3D Intel que esté super escondido, pero en general si yo sé que todos tenemos alguna exposición y con el tiempo como que más data va quedando por ahí. Levi, hay una cosa que a mí me parece superinesante de los ejercicios de Purple Team y que he escuchado a muchas personas hablando justamente de esos ejercicios de Purple Team y es su ejecución. He visto como que muchas personas no terminan de entender cómo afinar las herramientas, cómo traer esos casos de uso adecuados para su negocio. Eh, personas que no saben tampoco eh si hay detección o no hay detección, que es

parte de esos ejercicios de Purple Team. Ahí van a tener también dentro del entrenamiento como eh justamente esos temas de ataque, defensa y de pronto cómo revisar eh la efectividad de la infraestructura o los controles que se encuentran en sitio, los controles que ustedes tienen determinados para el entrenamiento. Sí, claro. Sí, sí, sí. Eso justo es lo que nos comparte, por ejemplo, el equipo blanco, ¿no? El White Team, que nos va a decir, "Ah, ¿sabes qué? tu equipo azul, te voy a dar, por ejemplo, la parte del hipótesis de amenaza y casos de uso, ¿no? Y al equipo rojo le das historias de ataque. Entonces el equipo rojo emula el ataque de un modo que el equipo

blanco lo pueda detectar con base a esa es hipótesis, amenaza, caso de uso. Si lo detecta, bien, y si no, que entre el plan de respuesta incidentes y el trad hunting, sale para poder eh detectar, contener y demás, ¿no? Eh, con base a si las herramientas no lo detectan, sobre todo, ¿no? que muchas veces es lo que no no nos enfocamos, ¿no? Pero sí basamos esas este esas áreas que te comentas s super interesante porque creo que eso es uno de los de los temas que le da muchísimo valor. Ahora les voy a poner una en una pregunta complicada, ¿listo? La pregunta complicada acá de si va a hacer el ataque, Levi va a tratar de protegerlo,

¿cómo van a hacer? O sea, Levi Cel, ¿cómo haría el ataque contra la infraestructura que Levi plantea en su entrenamiento? Y ahora Levi, ¿cómo lograría llegar a descubrir a Cibel o probar si sus eh controles llegan a protegerla? Yo sé que es difícil, pero ¿qué qué se les ocurre ahí como para que la gente se imagine también cómo puedo aplicar cada uno de los entrenamientos en en como en algo muy aterrizado a una realidad de lo que es lo que nos puede pasar? Ah, bueno, vamos a empezar. Ah. creando una persona que una persona distinta que no soy yo. Pues crea una primero vamos a explicar crear una persona, montar todo una nuestra infraestructura para que nos seamos

descubiertos. O sea, podemos utilizar una VM, algunas herramientas para dejar lo mínimo de huela. Huela, no, por allá. Huella, huella, huella. Y si empezamos con eso, pensando en nuestra propia seguridad operacional, entonces creamos un una persona. Sí, ¿quién el ataque? Voy voy a intentar hacer un ataque creando una persona si necesario, envían un correo para hacer algún tipo de ingeniería social para que, por ejemplo, se abra un correo para yo enviar un payload, por ejemplo. Sí, claro. Hay muchos pasos hasta ahí. Estoy seendo muy Sí, está bien, está bien como para pasar rápido como esos TTPs y pero estás contando en general como Sí. Voy a pensar, voy, voy buscar qué compañía es esa, qué tiene, quién son las personas,

cuál es la persona más fácil de de llegar. ¿Conozco alguien? ¿Puedo o qué puedo hacer? Vamos a buscar en en redes sociales, en LinkedIn. Ah, voy buscar saber quién es Ev, qué qué quién es este tipo, qué haces, cómo puedo llegar hasta ahí. Puedes pensar de todas las formas, desde la forma más más fácil humanas usando Hola, ¿qué tal? Oye, ¿qué pasa? Así como también podemos hacer eh virtualmente cosas más hola con correo, por ejemplo, y de un correo tentamos, no sé, encontrar una credencial que tenga sido, ¿cómo se dice? Licked, eh, filtrada, que se ha fugado, filtrada, buscan una alguna cosa, no es muy ético, pero se hace así. Busco así y así intentando llegar a la

compañía. Si cuando entramos en la red de compañía, más o menos eso. Ah, ya lo lograste. Ahí ya están como los TTPs, Levi, mostrados. El el que me preocupa mucho es cómo vas a lograr la defensa cuando llega una brasilera hablarte de no sé ahí cómo vas a lograr lación que va a ser la parte más difícil, pero bueno, te queda y a ti desde esa parte. Sí, sí. De hecho, el acento llama mucho y y en todo sentido, eh, en todo sentido pasa con los colombianos, a los mexicanos, y se ves a los argentinos, a los brasileños, etcétera, ¿no? Todos lados este nos hace quedar bien el acento, básicamente, ¿no? Sale. Eh, sí, ya tenemos las CTPs. Eh,

nosotros lo podemos ver en dos enfoques. Uno que sobre actores en específico, por ejemplo, actores de amenazas que están enfocados en el cor de negocio de una empresa en concreto, que muchas veces las mismas empresas no saben quiénes son los actores de amenaza a los que se enfrentan. Simplemente dicen, pues no sé de quién me protejo, me protejo de todos. sale, pero como que no dan prioridad a esos actores de amenaza que son los que están enfocados al cor de su negocio. No sabemos si los van a atacar o no, pero si están enfocados, por ejemplo, en entidad bancaria y nosotros trabajamos en un banco, pues probablemente nos ataque uno de un banco, ¿no? Un actor de amenaza que está

enfocado a un banco. Entonces se replicar esos esos TTPs. En el caso, por ejemplo, aquí de Cbel, que estaría haciendo a lo mejor un perfil falso de un atacante, pues con base a esas TTPs tenemos que buscarlo en diferentes fuentes para ver si están asociados a algún ataque en este anterior. Eh, si tenemos diferentes fits de los cuales podemos documentar indicadores de compromiso como el correo electrónico, a lo mejor el nombre, la dirección IP de donde viene, si ya está asociado a un ataque e incluso de alguna manera podamos este asignarlo, ¿no? A un atacante, ¿no? ¿Sabes que me estoy enfrentando a Siibel Team hacker? No sale y te ah bueno, ¿sabes qué? Sí. o es

un ataque aislado que simplemente Aibel dijo, pues voy a hacer el ejercicio a ver si pega, que también puede llegar a ser, sale. Entonces, pero con base a todos esos identificadores, indicadores de compromiso, indicador de ataque que podamos encontrando o las TTPS en general para ver si están asociados a alguien para atribuirlo a un atacante, un APT en específico y o para ver si es un atacante aislado también, ¿no? Una campaña que es nueva, por ejemplo, también, ¿no? A mí me a mí me encantaba algo y te lo pregunto, pues para los que están viendo, nos están viendo ahorita en vivo, los que nos van a ver después, Levi, ahorita Sibel nos contaba algo de

justamente esas técnicas, tácticas, procedimientos que muchas veces no van a estar en un feed de inteligencia porque son muy hechizas de nuestros países. Yo creo que a todos nos pasa en Brasil, en México y todo, que ustedes ven que nuestros ciberdelincuentes son bien creativos, se inventan cualquier huevonada ahí para atacar, o sea, que no es algo así como muy avanzado, que era lo que decía Cibel, o sea, que no vamos a tener la mega infraestructura montada ni nada, sino que es una campaña bien fácil, SMSs, WhatsApp y están robando un montón de data o una suplantación sencilla montando automatización, bueno, un montón de cosas. Cuando te enfrentas, por ejemplo, a ese tipo de escenarios, pensando en el

entrenamiento, pensando en el Purple Team y pensando en ese tema, es pregunta para los dos, ¿no? Entonces, primero para Levi. Levi, ¿cómo ves y cómo harías si si queremos hacer una simulación de ese tipo de actores de amenaza que son que no están documentados? ¿Van a poder hacerlo o o cómo podrían recolectar la información? Y luego también para Cibel, cómo hacer esa investigación detrás también de esos actores de amenaza que son como tan underground y que no va a ser tan fácil hacer el perfilamiento, que sé que hay posibilidades, pero pues requieren un par de cosas. Entonces, como para meter a las personas que están viendo el el live y a ver qué qué opinan.

Sí, sí, sí, sí. Justo es donde te decía, ¿no?, que la principal fuente de nosotros de información va a ser el trade intelligence al final, ¿no? A lo mejor no nada más fit, sino buscar también en en underground, en la DI y en la la dark web, buscar por ahí todo ese tipo de de cosas, incluso información que ya fue exfiltrada, ¿no? También con diferentes herramientas, eh, y para poder encontrarlos, ¿no? Me ha tocado últimamente hacer unos respuestas incidentes justo de ataques de ese estilo. Eh, y son complejos, son complejos de de identificarlos. Eh, en muchas cosas, muchas veces nosotros tenemos que generar perfiles así como dice falsos y hacer la la replicación de los de los ataques como lo están

haciendo, ¿no? Y uno también como atacante, por ejemplo, como Pente, tocarías si tienes este estás utilizando esta herramienta, detectaste, no sé, un proc Dom, ¿no? Después de ahí, ¿qué harías tú para seguir adelante, no? Entonces, replicaríamos eso y eso nos abra un poquito el panorama para también poder hacia dónde hacia dónde buscar, ¿no? Generar hipótesis de de lo que pueden estar haciendo los atacantes con base experiencia de como como penest, "Ah, ¿sabes qué? por aquí se pudo mover por acá o o ya se movieron por acá, ya usaron esta otra herramienta porque ya vi que hay antecedentes sobre el uso de x o y herramienta, ¿no? Entonces eh ahí es un poquito más aljor de de expertiz,

de como de feeling, de saber cómo tunearlo ahí, ¿no? De por dónde le buscamos con base a lo que tú harías, ¿no? Hacia dónde te ha dónde te enfocarías en la búsqueda, ¿no? O sea, que ahí está la importancia de tener como ese pensamiento. Yo me acuerdo mucho y algo que yo hacía siempre en mis clases era en las de penest como se van a dar cuenta fue hace poquito, yo leí al Hacking Expose y pero me acuerdo que al principio el hacking expos decía algo que decía think evil y para mí eso se me quedó un montón y creo que es mucho lo que tú dices, ¿no, Levi? Que es como piensa así como de manera

maliciosa para poder encontrar lo que necesitas. Es correcto. Así es. Sí, sí. Sí. hacer un perfilamiento. De hecho, es algo de lo que de lo que hacemos en la respuesta al incidente también, ¿no? De que ya encontramos esto, eh vamos a generar una hipótesis para ver hacia dónde voy a acotar mi área de búsqueda, ¿no? Con base a los hallados que vamos teniendo. Así es. S. Listo. Miguel, ¿qué dices tú? Bueno, ya para buscar estas informaciones, sea para atacar o defender como para crear una persona, en general los atacantes, los tradors tienen un perfil en muchos fórums underground, mesmo que no utilicen tanto, pero siempre están presentes. O sea, en la cosa más importante es tener una persona que

creamos en diversos diferentes forums para buscar. Siempre hay, como dice, siempre hay alguna cosa, siempre majuela en algún lugar suelto, está por allá. Y si por ejemplo ah entrar en fórums y hacer preguntas y proponer, oye, pu ayudar y hacerlo creando relaciones, porque todo no se pasa, se pasa por relaciones para descubrir cosas. esto que está la gran la parte maravillosa de enñaría social que está mucho incluido en porque no sé si está muy claro para todos cuando hablamos de intensource intelligence es como una un paraguas muy grande que abajo de ese muchos tipos de inteligencia pero todo se pasa en crear algún tipo de relación para intentar ah conseguir informaciones de otro, o sea,

desde como dice buscar informaciones de satélite, de boats, no sé, barcos y cosas así, eh, hasta de personas y también hace parte hacer en ingeniería social, o sea, cómo puedo eso se puede pasar físico o intermediado por un computador, por tecnología, cómo hacer una ingeniería social para llegar hasta la hacer utilizar todo que se puede usar de herramientas y que se sabe claro para buscar informaciones que están bueno si estamos de un lado, buscamos solamente informaciones abiertas que están disponibles, mismo que tengamos que pagar por alguna cosa o si estamos de otro lado, podemos hacer como tal vez una invasón, una invasión acá para descubrir informaciones. pensando que estamos de lado correcto. No sé, correcto, no es una buena

palabra, tal vez estamos de ese lado. Adecuado, adecuado dependiendo de la investigación. Para el momento, adecuado para el momento. Sí, vamos a buscar acá, o sea, informaciones en Deep, Dark Web. As veces muchos fórums están en surface y grupos, o sea, todo se va a pasar por relacionamiento, algún tipo de relación que no basta apenas estar mirando, esperando la información venir, se tiene que buscar activamente, ¿entiendes? O sea, así que vamos buscando informaciones y creando inteligencia, porque una información solo un un hash no serve para absolutamente nada. Ah, a veces un correo no sirve para mucho, pero a partir de esto vamos crear, vamos creando inteligencia para descubrir, o sea, quién es atacante, eh, quién es, quién

no es y así se pasa. Okay. Sí, sí, sí. Como todas esas capacidades adicionales que te permiten hacer el el perfilamiento. Sería genial. Sí. Lo la lo más perfecto sería las cosas, las personas hacer ese de inple thing sería perfecto, lo mejor de los mundos porque ah se hace así. Bueno, entonces puedo aplicar acá. Sí, es como una continuación, como que podrías adquirir más habilidades para ya aplicar todo eso del purple desde dentro. Sí, sí, es una habilidad también. Total, totalmente de acuerdo. Bueno, ahí podríamos ya hablar y miramos a ver si sacamos un espacio en el Hanson. uno chiquitico en un algo rapidito para que tú les dictes a los que están ahí. Eh,

podría pasar otro de los espacios que vamos a tener el viernes, o sea, el viernes vamos a tener las charlas principales, también van a haber espacio de handsome por ahí para los VIP de Bites, entonces va a haber ese espacio. Entonces, por ahí podemos invitar a Siel un ratico, a Levi para que se echen una charlita también para los que no pudieron entrar al entrenamiento completo. Bueno, tengo por acá una pregunta que dice, ¿cuál es el proceso de entrenamiento que proporcionan a sus analistas? No sé si va como enfocado en las personas que van a asistir, en qué temas los capacitan y qué habilidades quieren que desarrollen. Me me imagino que por acá Andrés lo está enfocando

también mucho a esas capacidades que va como en nice conference, de nice framework, de conocimientos y habilidades con los que van a salir al fin y al cabo las personas que van a asistir en el entrenamiento. A ver si nos pueden contar un poquito al respecto. Sí, Belel, por favor. Bueno, además de groseros, también somos caballeros los mexicanos. Ah, bueno, que la capacidad exactamente eso de investigación que esto una cosa que sí tiene que tener un feeling, pero cómo tener un feeling aprendiendo y haciendo haciendo intentando desde vamos entendo, es seguindo es esto. Vamos que van a aprender a hacer investigaciones con intermedio. Si de persona para persona se necesitamos tener esta, por ejemplo, hablar con alguna

persona, cómo son nuestra creatividad también, que es muy importante, cómo desarrollar esta creatividad para hacer ingeniería social, que esa cosa muy muy importante que vamos a utilizar siempre, siempre. para la vida y para investigaciones cyberseguridad, pero en algún momento vamos principalmente eh se está en trade intelligence, se usa muchísimo esta parte de investigaciones y bueno, aprender a investigar desde el punto de vista de una, no sé, una persona que está siendo ah estafada hasta punto de vista que tenemos que llegar trabajando en una en compañía, en una gran compañía. ¿Cómo defender haciendo eso? Porque todos los días se se filtran, por ejemplo, datos de personas VIPs, por ejemplo, director, CEO, no podemos permitir eso. ¿Y cómo

cómo hacer eso? ¿Cómo hacer una búsqueda? ¿Cómo saber que este nombre que no que la nuestra plataforma de inteligencia o de o de ciberseguridad no dicen que está en algún forum? Por ejemplo, esto que vamos a hacer s super. No sé si está muy claro. Se hablé, hablé, hablé y no dice nada. No es no. Pero pero a ver, de lo que yo te entiendo es como van a recoger como todo lo que sería el proceso, van a hacerlo desde el principio como hasta el final y de poder recolectar un montón de información, tener la comprensión de cómo hacer el proceso de in que eso además te sirva para hacer thread intelligence. O sea, que no es solamente

o in, sino que va a tener un montón de cosas. O sea, que los que dijeron que solamente venían de chisme, ya se van a saber que van a aprender un montón de cosas más. Sí, no, el chisme claro, porque sirve para hacer un peque peque acerca de la persona que tiene un crush, pero también para trabajar. Claro, es para ciberseguridad o otra forma, abogados, periodistas que tienen intereses, es muy necesario eso para buscar informaciones que sea chisme aplicado, o sea, chisme exactamente para cosas. Mira que ahorita eh eh al por interno me estaba escribiendo uno de los miembros de de equipo de inteligencia amenazas de la empresa y diciéndome yo a los no le

diría chisme que es como algo que ellos siempre dicen esto no es chisme pero yo sé que son son esas percepciones. Y Levi por ahí te está saludando Jersa también por interno está diciendo que saludos de de Jersa no lo vi conectado, solamente me está escribiendo por por interno. Y también saludos a Jersa que anda por ahí. Ah, ya, ya. Sí. Saludos igual, Jersa. Sí. Eh, de mi lado, ¿qué estaremos viendo de entrado un codo un contexto general de hacia dónde vamos? sale para saber dónde estamos parados. Vamos a ir siguiendo este durante el curso la la impartición de de los temas que vamos a llegar a tener. Conceptos muy muy específicos, a lo mejor más

específicos de lo que estamos platicando ahorita de white team, de blue team, de red team, de amenazadas a casos, todo es ese tip TTPs, qué son los fits, diferentes fits, etcétera. Muy muy general para tener un contexto general de todo lo que vamos a lograr y después ya nos vamos a lo particular, ¿no? Y partimos, okay, vamos a documentarnos de fuentes de información para darle juego a los dos equipos que al final se convierte en un en un purple team. Sale. Entonces, para ya iríamos, ¿no?, que tenga capacidad de poder perfilar un adversario, sacar sus TTPs, saber quiénes son los actores de amenaza que están este enfocados en X en X o y este sector o sí sector de del

empresarial. Eh, después ya este poder replicarlos ya sea con herramientas automatizadas. Muchos son herramientas o la mayoría son herramientas open source, no nos basamos sobre herramientas este de paga, todo va a ser sobre herramientas open source y para que puedan replicar los los ataques y ya después con reglas en lojor, reglas y reglas sigma, reglas de suricata, puede estar identificando ese tipo de de ataques por medio de la de la generación de estas reglas ya muy específicas, ¿no? S. O sea, que acá personas de equipos ofensivos, equipos defensivos entran dentro del entrenamiento y a para todos hay como un espacio específico que les va a servir un montón para que les quede claro a los que a los que están viendo.

Bueno, listo. Yo les decía que no nos íbamos a morar tanto, igual se alargó, ha estado muy bueno, se nos pasó super rápido el tiempo. Lo último que quisiera pedirles a cada uno de ustedes antes de despedirnos es una invitación, de verdad, una invitación como muy especial de parte de ustedes a esas personas interesadas en los entrenamientos de Visites Colombia 2025 y ¿qué les dicen ese mensajito final antes de de hacer el cierre? ¿Quieres hacerle? Lo los dos. Adelante, adelante. Bueno, por favor, chicos ticas que están mirando, pensando, sí, de venir a mi entrenamiento y claro, son distintos entrenamientos complementares, pero distintos mi entrenamiento. ¿Por qué? Primero, ¿cómo dice mi acento? Rarísimo. Segundo, ¿qué pienso que cómo

regreso de Las Vegas? Cuando voy a Las Vegas para Blackhead, por ejemplo, que regreso con 100 playeras. ¿Qué pienso que sé? No sé. A mí a mí el año pasado hasta me regaló eh swag así como que ¿Qué piensa que cómo yo logro tener tantas cosas en llenaría social? En serio, de Alexa a Google Key o playeras o que que sea enería social, así y no de hecho este tipo de entrenamiento serve para desde para no calir en estafas, evitar calir en estafas hasta hacer un trabajo muy serio de inteligencia, que eso es la parte fundamental, ¿sí? Esencial. Entonces sería genial que voy desde Brasil hasta por la primera vez a Colombia y es en

esta semana es la fecha de mi cumpleaños. Así que un regalo, si él viene a a a regalarnos sus mejores tips con sus ciberpoderes, además a celebrar con nosotros y a dictar este entrenamiento. Entonces, miren a ver algo interesante que les había dicho eu, una sorpresa para los que atiendan y los que estén acá. Vamos a tener esta semana, solamente esta semana, por una sola semana vamos a tener un precio super especial del entrenamiento de Cibel. Eh, les acabamos de compartir por el chat el link donde se pueden inscribir. Solamente van a tener una semana a este valor, ¿listo? Solamente una semana para los primeros que se inscriban. Son cupos e limitados, entonces no se pierden la

oportunidad. Ya conocieron a Cel, ya saben un poquito de cómo va a ser este entrenamiento. Entonces, todos superinvitados. Ahora, Levi, sí, pues igual, ¿no? Invitarlos al entrenamiento, los que tienen un poquito, a lo mejor ya más experiencia de de penest a lo mejor les gusta entrarse o adentrarse más al tema de red teaming, que yo lo veo así, ¿no? Siempre el pen tester a lo mejor en algún momento va a terminar llegando a decir sus emulaciones de ataque, pero muchos no sé por dónde empezar, ¿no? Entonces, ¿cómo me puedo adentrar a esa área de de red teaming con base a diferentes fuentes de amenazas para poder replicar algo que realmente aporte valor a la empresa y no agarrar TTPs a lo loco por

ahí, quién se como aparecieron, los ejecutas y listo, ¿no? Ya cuando ves los resultados o los reportes que presentas a la compañía dices, "Bueno, ¿y esto de qué me sirvió?" No, no, realmente no está aportando ningún valor, no sale todo eso sería, ¿no? Cómo hacer ese perfilamiento para poder este darle realmente un valor a nuestros ejercicios reales, ¿no? Sale. Es un curso totalmente agnóstico, ¿sale? No vamos a enfocarnos a ninguna herramienta en específico ni recomendar herramientas como tal, ¿sale? Es un poquito más manual básicamente, ¿sale? Y si lo queremos poner, por ejemplo, sobre algún nivel de conocimiento, yo creo pondría en un básico intermedio, ¿sale? para gente así básico, intermedio, a ese a ese tipo de gente estaría enfocado el

entrenamiento. También estaremos llevando por ahí algunas cositas. El otro platicaba con con Roberto Martínez y me decía que a ver si podía llevar algunos libros para regalar ahí, a lo mejor sortearlos, ya sea en el entrenamiento o directamente en Bites, eh, y pues algunos otros este regalitos tequil evidentemente para festejar así obviamente te iba a decir que por favor nos vas a dar sin tequila. Con mucho gusto que sí. Bueno, no s. Yo no sé si alguien de los que nos está están en el conectados tienen alguna otra pregunta para Levi o para Cibel, que se ve importante antes de cerrar el espacio. De verdad, les quiero agradecer mucho primero que todo por eh la disposición de venir, por

venir a disfrutar. Ustedes saben que la vamos a pasar muy bien. Algo que por ahí no saben, de pronto los que eh se están inscribiendo es que ustedes van a entrar, o sea, los que estén atendiendo los entrenamientos ese jueves apenas terminemos vamos a ir. Van a tener la oportunidad de probar los primeros que van a probar la cerveza oficial de este año y además compartir con speakers y sponsors en un espacio que tenemos pensado que solamente va a ser reservado speakers. sponsors y las personas que están tomando los entrenamientos. Entonces, es un un espacio muy especial que van a tener adicional a todo lo que van a aprender. Entonces, ya van allá, se toman un par de cervezas, ya se les

olvida. No, mentiras, no. La idea es que descansen y se relajen un poquito porque eh eh va seguramente y conociendo a estos dos van a conocer, van a aprender un montón de cosas y van a ser entrenamientos muy buenos, que es lo que hemos querido eh compartirles este año. Y bueno, y para las personas, ya saben que eh estamos ahorita en Creyentes, no sé si saben que es Creyentes, pero Creyentes vamos a tener una camiseta que es única, solamente la vamos a sacar para las personas que la compren los que no la compren, pues se van a quedar sin su camiseta de creyentes, que es un diseño especial que hemos creado. Van a ver todo lo que

tenemos de nuevos diseños dentro de este año. Y eh nada, pues los estamos esperando. vamos a tener muchísimas sorpresas, que es parte de lo que estamos organizando para Bits, además de los entrenamientos, eh vamos a tener ward driving, vamos a tener las fiestas, vamos a tener CTFs, vamos a tener además espacios para 101 para los que están empezando a aprender, vamos a tener espacios eh para niños. Entonces, alístense que este año viene un Bets preparado y cargado con muchísimas muchísimas sorpresas. Levi Cbel. Muchas gracias por acompañarme, muchas, muchas gracias de verdad por estar acá, por habernos contado sus entrenamientos y nada, ya los vamos a estar esperando acá en un mes. Estamos de fiesta, ya saben

que vamos a estar por allá, quién sabe cómo. Entonces, alístense porque ya falta muy poco tiempo para Bites Colombia 2025. Gracias, gracias por la invitación, gracias. Nos vemos prontito en mes. Ah, sí, sí, sí. Ya falta un mes. Entonces también para todos los que nos están viendo ahí, los que no han tomado la decisión de los entrenamientos, es el momento. Ya están esos entrenamientos, tanto el de Levi, que ya todos lo han recibido en los correos, eh tienen toda la información. Si necesitan algo más, no duden en escribirnos a info@bisitesco.org, ahí les podemos entregar toda la información acerca de los entrenamientos. Y nada, los esperamos. Gracias a ustedes y nos vemos en Medellín del 11 al 14 de junio.

Muchas gracias. y que tengan muy buena noche todos. Gracias. Saludos.