BSides Security El Salvador

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Música]

[Música] [Aplausos]

[Música]

[Música]

[Música]

[Música]

[Música] [Aplausos]

[Música]

[Música]

[Música]

[Música] [Aplausos]

[Aplausos] [Música] [Aplausos]

[Música]

[Música]

[Música]

[Música] [Música]

[Música]

[Música]

[Música] [Música] [Música]

[Música] [Aplausos]

[Música]

[Música] no fue Simplemente [Música]

[Música] [Música]

[Aplausos] [Música]

[Música]

[Música]

[Música] [Aplausos] [Música]

[Aplausos] [Música]

[Aplausos] [Música]

[Aplausos]

[Música]

[Música] [Aplausos] [Música]

[Música]

[Música]

[Aplausos] [Música]

[Música] [Música] [Aplausos] [Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Aplausos]

[Aplausos] [Música]

[Música] [Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Música] [Música]

[Música] [Música]

[Música] [Música] [Música] [Música] [Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Aplausos]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Aplausos]

[Música] [Aplausos] [Música]

[Música] [Aplausos] [Música]

[Música] [Música]

[Música]

[Aplausos] [Música]

[Música]

[Música] [Música]

[Música]

[Música] [Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Música] [Aplausos]

[Aplausos] [Música] [Aplausos]

[Música]

[Música]

[Música]

Muy buenos días a todos Bienvenidos a visage Security El Salvador Este es el primer evento que tenemos como visa es la verdad que para nosotros es un gran honor e iniciar esta esta estos eventos Y bueno ya por algunos problemas técnicos y que las disculpas del caso pues siempre todo evento en vivo se tienen estos estos problemas pero de verdad muchas gracias esperamos poder que interactuar Esperamos que puedan disfrutar de las charlas charlas de un altísimo nivel con grandes speakers internacionales y bueno iniciamos con un saludo por parte de licenciado Jorge arriesgas el director ejecutivo de la asociación salvadoreña de industriales

Un saludo para los amigos de bicis que este año van a realizar un importante evento sobre la seguridad informática estamos seguros que será de gran apoyo y utilidad para quienes queremos conocer más sobre el tema de la seguridad informática un tema de alta relevancia y en la cual es líder queremos felicitarlos por estas iniciativas por el tiempo que llevan trabajando con diferentes actores en el mercado para llevar esta cultura tan importante a las empresas nuestras más sinceras felicitaciones a nombre de la asociación salvadoreña de industriales y Les deseamos muchos éxitos en este evento y muchos éxitos en todo lo que enfrentan en relación a promover la cultura de la seguridad y la informática en el país

felicitaciones

bueno Muchas gracias al licenciado Jorge Arriaza por por ese saludo de verdad es la asociación salvadoreña industriales es ha sido un ha sido y es un un Aliado para para visa es nos ha ayudado muchísimo hemos participado en los años anteriores en este gran evento de la así innovation y Por ese motivo También tenemos una invitada muy especial y les presentamos a licenciada Carla Domínguez gerente de inteligencia industrial y líder de as innovation with Buenos días Muchísimas gracias por la invitación y también a las organizadores de de esta actividad tanto Ronald Claudia el apoyo de Alexis y bueno a cada uno de los speakers ahí un saludo a Paulino a Laura Jason a Walter Así que

definitivamente para la asociación salvadoreña de industriales es importante promover esta integración entre el sector tecnológico y la industria porque la industria manufacturera es un cliente de todos los servicios que el sector de tecnología ofrece para nosotros ante esta nueva realidad sabemos que se requieren hacer cambios tanto en las estructuras organizacionales y por ello dentro de la innovation week que es un movimiento que no sé del año 2019 y en el que también visa y se ha involucrado como un Aliado estratégico hemos querido promover toda esa cultura de seguridad informática Así que los invitamos a que estén pendientes de nuestras redes sociales el próximo siete del Siete al once de noviembre vamos a tener esta actividad

vamos a hacer un esquema virtual y también estamos evaluando también llevar una parte híbrida según vaya todo este proceso del covid porque se ha comentado que hay algunos rebrotes sin embargo virtualmente seguro que vamos a estar así que para mayor información están en nuestras redes sociales en Twitter Facebook Instagram y definitivamente invitarles a que se queden en toda esa sección porque vamos a tener una serie de invitados y que nosotros dentro de así nos sentimos muy honrados de que se de esa invitación Así que muchas gracias y a escuchar y aprender bueno Muchas gracias a Carla igual ya tienen también invitación para la asignogation week Muchísimas gracias a la asociación salvadoreña de industriales por siempre estarnos

apoyando También tenemos un saludo para para toda la comunidad para toda visa de San Salvador por parte de keren El lazari quien es fundadora de visates de la

El Salvador

[Música]

bueno Muchas gracias a Karen de la vi por el te saludo nuestro primer evento y bueno para bueno para para seguir Qué es que tenemos una pequeña presentación antes de ya continuar ya con Paulina que es poder estar esperando ya están bien su charla penique es visa visa es una comunidad de seguridad de informática una comunidad bueno de hackers para hackers en la cual se trata de romper todo esquema se trata de Como dice pensar fuera de la caja de presentaciones totalmente innovadoras y bueno tal vez para allá no quitarle mucho el tiempo porque de verdad estamos con el tiempo que no está sobre tiempo por decirlo le presentamos a un gran amigo un gran speaker nos conocimos en

Honduras y bueno él le va a contar un poquito de la isla de bueno de Cozumel un paraíso realmente fue la foto que me enseñado una grandísima persona Paulino Calderón de México Así que el líder de aguas en México Así que los dejo con con él con su charla Así que disfruten hagan preguntas y bueno Muchas gracias Paulino por por estar Joaquín gracias por la invitación Así que dale gracias a ustedes por invitarme ya aunque sea virtual pero nos podemos ver así no Ya ya se desconectó Okay creo que esto es interactivo conmigo mismo entonces gracias por la invitación Ronald ando un poco agripado hoy Entonces si me escuchan un poco chistoso ahí sonando de la nariz

preferí eso que quedar mal que darle mal al buen Ronald Pero bueno vamos a empezar a compartir pantalla y a platicar un poco de seguridad informática [Música] a ver ponerla para acá listo

un segundo ley de Murphy bueno para empezar buenos días a todos Yo espero que Próximamente podamos empezar a reunirnos físicamente como ya les dijo mi nombre es Paulino Calderón Yo soy mexicano vivo en Cozumel En una isla caribeña entre Cuba y bueno entre la Península de Yucatán y Cuba y pues he estado en seguridad informática aproximadamente quince años profesionalmente soy cofundador de una empresa que se llama webseck operamos en México y en Canadá y Norteamérica principalmente con servicios de seguridad ofensiva aparte de esto me ha gustado siempre colaborar colaborado con el software libre desde hace muchos años con el proyecto nmap llevo 11 o doce años como parte del equipo de desarrolladores oficiales he trabajado

en librerías como las de que son usadas por todos los scripts como http spidering smbb el protocolo de Windows y mi última contribución de eso Fue relacionado con protocolos médicos estuve haciendo la implementación del protocolo daicom para poder escanear para que él no había pueda enlistar pacientes imágenes de de equipo médico no me pueden encontrar en redes sociales como Calderón y y el día de hoy realmente les vengo a dar una plática que se llama o el objetivo de la plática Más bien es que estamos o qué está pasando ahorita en el espacio del software libre cómo lo pueden asegurar Cómo pueden asegurar sus proyectos y contarles un par de historias para ponerlos en contexto para la gente que

no está dedicada a la búsqueda vulnerabilidades y a tomarse el tiempo de reportarlas y todo eso para que entiendan cómo a veces el proceso es bastante tedioso o cansado difícil y como ustedes en sus pueden mejorar esto y abrir canales de comunicación que al final del día van a ser que tengan mejores programas de disclos de vulnerabilidades no de reportes de vulnerabilidades para justamente pues mejorar la seguridad de su producto no Entonces voy a hablar de de un cbe que asignaron este año en una vulnerabilidad que encontré en un producto que se llama alusio aluxio es una solución de orquestación de Big Data y Y la verdad es que yo no soy usuario de esa aplicación llegué por por

coincidencia no Entonces voy a hablar un poco de esa historia Qué herramientas utilicé y Qué herramientas están disponibles para ustedes también para que hagan Security research y para que apliquen a sus proyectos personales Y pues lo que yo Considero que podrían ser tips para que ustedes ya puedan empezar a aplicar estos procesos dentro de su organización entonces este cuatro ocho ya saben cómo suenan divertidos estos nombres pues empezó cuando en diciembre no sé si se acuerdan pero diciembre de 2021 toda la comunidad ya se preparaba para descansar irse de vacaciones cuando sale un anuncio de una vulneralidad súper crítica que le estaba pegando a todo mundo y pues este se llamaba Love no el software afectado

creo que realmente sí puso a trabajar a todos a final y a inicios de año a correr a preocuparse Entonces estuvo bastante interesante a los que no conocen este proyecto es básicamente una librería Open source que está incluida en muchísima infraestructura y muchísimos proyectos que esos proyectos son utilizados por igual muchas empresas muchos productos Entonces se estima que es muy difícil saber cuándo vamos a poder mitigar todos estos problemas causados por esta vulnerabilidad porque pues no se sabe dónde está incrustada esta librería o bueno algunos proyectos se saben Pero hay mucha superficie de ataque todavía por descubrir Creo que este meme lo lo indica bastante bien y y esta vulnerabilidad para los que no escucharon de ella es una vulnerabilidad

que era relativamente es relativamente fácil de explotar Entonces como se aprovechaba de funcionalidad donde la la aplicación o la librería simplemente guardaba bitácoras o imprimía bitácoras pues estas funciones eran muy comunes o son muy comunes en todas las aplicaciones si tú y usaste necesitas usar Love For yey seguramente pues eras vulnerable porque en algún momento estabas Llamando a invocando a esas funciones de imprimir logs no depuración entonces Creo que creo que le pegaba bastante bien y bueno en específico yo estaba buscando o estaba modelando la vulnerabilidad con él Entonces yo vulneraba modelaba la vulnerabilidad para encontrar justamente qué proyectos estaban utilizando qué proyectos Si eran vulnerables porque tomaba user input y lo metían a estas

funciones de imprimir blogs y por coincidencia pues pues está regresando básicamente servidores del OXXO y me crucé con este de de aluxio que no es la misma vulnerabilidad de Love pero en su servidor relojes también pues Tenían un problema de de serialización en Java la los problemas de seguridad de desereralización son muy serios porque normalmente pueden ocasionar ejecución remota de código entonces tiene el impacto más alto y son muy comunes está muy normalizado entre desarrolladores Java serializar objetos enviarlos y realizados y en algún momento hacen está de serialización El problema como siempre Es la falta de validación no no están validando que ese objeto ha de ser realizar pues tiene contenido malicioso y puede aprovecharse

de ciertos gadgets o funciones existentes en el resto del de la base del código para para obtener ejecución remota de códigos no entonces pues esta vulnerabilidad le pegaba básicamente a todas las versiones de de este componente que pues obviamente el componente no era el producto sino el servidor de logs pero pues el servidor de logs viene incrustado en el producto entonces básicamente siempre estaba disponible la clase afectada pues es una clase que simplemente no validaba una función a esto del read object esta función de Java de object es la que se realiza Entonces al no haber esta validación pues causaba problemas este es el código afectado bastante sencillo podemos ver como el input Stream de objetos es tomado se lee

se carga en un hilo y eventualmente pues no sé si hay mi puntero pero si se ve mi puntero eventualmente es ejecutado no realmente esta parte es una explotación bastante tradicional no teníamos que hacer ningún truco ni nada así y pues como todo pues hay que reportarla y demostrar el impacto Entonces al generar una prueba de concepto pues ya saben lo que implica para unir un investigador o para alguien que tiene que demostrarlo pues tenemos que instalar el software a ver a veces está bastante complejo de instalar configurarlo ver cómo está accesible o cómo llegas a esas funciones afectadas entonces piensen que en esta parte a veces se toma bastante tiempo y lo digo solo por

contexto de de ciertas cosas que voy a decir Pues bueno se reparó en el siguiente Release sin embargo pueden ver también que en el boletín de seguridad pues se dice únicamente el detalle pues se reparó la vulneralidad se ve dos veintitrés ochenta y cuatro ocho y hasta allá no no hay más No hay detalles de si se reparó en todos los branches si tienen que hacer porque pues estaban afectados no no hay una invitación a los usuarios a revisar sus configuración de los bitácoras del oxx Entonces sí hay varias áreas de oportunidad al tú dejarle esa tarea extra al equipo de ti o al equipo de seguridad que ellos vayan a investigar y y ahorita más

adelante vamos a ver la importancia o porque esto se vuelve más relevante Cómo encontrar la vulnerabilidad en realidad la la vulnerabilidad salió porque como les decía estaba modelando con code y code q l es la herramienta de análisis estático que adquirió recientemente y digamos que es la estrella el producto estrella de seguridad en estos momentos es muy versátil es gratis para investigadores y proyectos Open source y nos va a permitir modelar y hacer análisis de variantes de vulnerabilidades Entonces el el número de falsos positivos va a ser muy bajo porque utiliza algo que le llaman análisis de flujo de datos Entonces no hay falsos positivos en cuestión de que tú puedes saber exactamente si una unos datos de usuario

entraron Por cierta función que tú definiste y llegaron a la función vulnerable y por qué funciones pasaron no entonces realmente puedes modelar cualquier vulnerabilidad utilizando Este lenguaje También tienen una versión web donde la misma página de internet que es esta que ven en pantalla lgtm punto com pueden correrle ustedes las sentencias que escriban a a proyectos suyos o cualquier proyecto Open souls para la gente que está haciendo investigación de seguridad las sentencias son muy similares tienen una sintaxis similar a un lenguaje de sql esta que vemos en pantalla es no sé si han escuchado del del término programador de tres estrellas en C ven que pueden tener un puntero a datos Y también puedes tener un puntero al

puntero que apunta los datos Pues los programadores de tres estrellas son los que utilizan el el tercer nivel de redirección no el puntero que apunta el puntero que apunta el puntero que apunta los datos entonces La verdad es que yo no he encontrado un caso válido que digas pues sí necesitaban usar este nivel de redirección pero con esta sentencia podemos ver que que podríamos encontrar en un en una base de código todas las llamadas que estén utilizando este nivel y lo importante es que el sintaxis No si se pueden ver hasta utiliza del de dónde vamos a tomar expresión Cuáles son las limitantes o las restricciones Y qué información seleccionamos como output Entonces es bastante

si han trabajado con sql antes es bastante rápido de aprender Y es muy poderoso por ejemplo esto que estamos viendo en pantalla es la sentencia de code cuele que yo estaba escribiendo para detectar proyectos vulnerables y funciona ahorita ya publicó githubt bueno el equipo de seguridad de hip hop ya publicó una versión pues más completa no me he puesto comparar bien las diferencias pero pues está más completa que la mía no la mía funcionó bien en el momento porque sí me me ayudó a encontrar pues bastantes proyectos afectados no que por ahí anduve reportando algunos en privado otros siguen procesos no pero vean Cómo podemos definir clases Igual ahí estamos modelando paquetes nombres de paquetes donde podríamos

Buscar nuestras funciones afectadas perdón y estas mismas clases son utilizadas por el mismo framework donde ellos ya tienen pues justamente este análisis de flujo de datos entonces Esto va a ser muy poderoso la hora de automatizar la búsqueda vulnerabilidades este esta sentencia que vemos en pantalla es justamente la sentencia que la herramienta utiliza para encontrar las unidades de esterilización y fue la que fue para encontrar la unidad de Lucio Ah perdón un poquito de té para el resfriado [Música] esta esta sentencia que que ya pueden ver que hay un poco de abstracción ahí porque ya están definidas ciertas clases Pues realmente lo que pasa es que nos va a dar mucha flexibilidad porque podemos utilizar eso

como base y de ahí expandir o moldear diferentes variantes de vulnerabilidades que veamos entonces muy muy poderoso de las partes igual que que está haciendo un muy buen trabajo y debo reconocer que que estoy impresionado y me está gustando mucho el trabajo que está haciendo el equipo de seguridad de hip hop Es que la herramienta Es gratis para investigadores de seguridad como ustedes también Es gratis para cualquier proyecto Open source ya si tienen un proyecto privado Pues sí tiene un costo allá chequen la página de github la herramienta ya tiene incluida una muy buena librería para vulnerabilidades comunes hace rato les gusta el de civilización por ejemplo esta librería se está expandiendo todavía constantemente Ellos tienen un programa de recompensas

donde están todavía pagando para Pues que gente mande su sentencias Entonces si esto es algo que les interesa la verdad es que vale mucho la pena Hay buenas recompensas la herramienta además pues ya está completamente integrada con git hope entonces la pueden integrar en sus pipelines de de actions también pues se puede integrar no solo o sea en todos los proveedores principales va a tener este tipo de integración a través de git van a tener que crear por ahí un repositorio mirror privado tal vez y sus proyectos privados para poder ejecutarse pero totalmente vale la pena es Es una herramienta muy muy completa en cuestión de detecciones de la vulnerabilidades nuevas que está sacando igual están

haciendo un trabajo bastante interesante con todo y reserve que han sacado Pero además de eso están yendo todavía un paso más allá están dando asesoría gratis a cualquier proyecto Open source por ahí me parece que cierto día del mes anuncian y y pues tienes que agarrar días del calendario no Entonces si tienen proyectos Open source que ustedes requieren ayuda pues pueden alzar la mano y yo creo que con gusto se les ayuda no Además de eso pues el proyecto es bueno más bien ya tiene otros proyectos de seguridad que impactan realmente a todo el espacio yo de primera mano puedo decirles que que realmente están haciendo un cambio en la seguridad en el software libre porque

quieran o no Esto está siendo integrado automáticamente en muchos lados una de las herramientas útiles es justamente el depende que automáticamente está notificando proyectos de cualquier problema que haya en las dependencias del código si existen vulnerabilidades o no Entonces si ustedes tienen algún proyecto gico por ahí olvidado que hayan hecho en su tiempo libre probablemente les haya llegado una de estas alertas activamente también existe El Monitor de secretos cuando a los desarrolladores se les olvida quitar llaves de apis contraseñas etcétera También ya hay funcionalidad para detectar eso con un montón de proveedores de de diferentes cosas Entonces está está bastante interesante lo que están haciendo y sin duda es un buen trabajo recientemente yo creo que

han de haber visto que apareció una nueva pestañita en github justamente y es la pestaña de seguridad a través de esa ya ustedes como proyecto pueden tomar control de de los bueno hacer el manejo de alertas de de vulnerabilidades a través del sitio pueden discutirlo con el resear por privado hacer todas las mejoras que tengan y en el momento que lo quieran automáticamente también les va a asignar un cbe y pues va vas a darle crédito al researcher y y pues tú sate el mejor control y toda la información pública que eso es algo muy importante que voy a tocar a continuación y y volviendo al tema están haciendo un tan buen trabajo que hasta sin querer

están marchando vulnerabilidades esta semana o la semana pasada no más bien la semana pasada justo hice una publicación de otra vulnerabilidad que encontré en el software de Oracle que se llama gélidon este es un framework lo que quiere decir que hay muchas aplicaciones escritas en este framework que no es necesariamente el proyecto no Y esas ya saben que luego son difícil de mantener y hay un impacto alto en ese aspecto lo curioso de esta vulnerabilidad es que la encontré porque en uno de los mensajes de de un Público de de una de un parche que pusieron decía Okay vamos a introducir este código para que nos dejen de salir las alertas de falsos positivos de code ql

Entonces ellos decían la el constructor seguro ya está usado de forma implícita pero code huele pues no no lo detecta Entonces vamos a hacerlo explícito y así ya se van las alertas No pues me puse a investigar y resulta que no no que que Sí definitivamente era un problema de seguridad y como ellos no lo vieron así solo lo habían hecho para reparar las alertas Pues solo habían actualizado la última versión y la y la razón por la cual este cb no afecta a todas las versiones incluyendo hasta la última versión de desarrollo es porque el parche estaba fue sacado para callar las alertas falsas del pero en realidad Pues sí estaba la vulneralidad esto quiere

decir que la unidad seguía existiendo en todos los otras ramas y además no se le había avisado a los usuarios entonces pues el riesgo seguía ahí la gente seguía utilizando las funciones peligrosas ahí Los invito a que le den una ojeada al post para ya los detalles técnicos hay una interesante también creo que la parte de de esterilización de archivos llamo hay una prueba de concepto de cómo hacerlo funcionar en la última versión de esta librería que utilizaba Y seguramente alguien le va a ser útil en algún momento y bueno Yo realmente estoy Pues en en servicios de seguridad para empresas privadas no entonces la mayoría de mi tiempo sí es haciendo pues buscando research en productos o

Software que luego nunca puedo hablar de esto públicamente Entonces yo muy poco realmente le he dedicado tiempo a hacer bock bankings en programas públicos o o hacer esto realmente como ya activamente no pero quería compartirles estas experiencias porque creo que el proceso justamente de reportar vulnerabilidades es muy muy complicado muy doloroso a veces Entonces si ustedes para los que ya son investigadores de seguridad o han tenido que reportar vulnerabilidades seguramente ya estás muy conscientes de esto pero a veces como organizaciones o como producto yo siento que no entienden todo el trabajo que hay detrás de de esos reportes no entonces no sé si he tenido mala suerte o no pero bueno Ahorita les voy a contar Este

primer caso me pasó con Google reporté unas inyecciones de sql en proveedores de contenido que si no conoces los pruebas de contenido para Android es como una interfase por el cual pueden acceder a datos y el chiste de esta interfase es que sea accesible a diferentes aplicaciones El problema es que cuando exportan estos componentes de manera pues sin permisos y y hay información que no Debería ser exportada Sí pues puede ser abusada Pues resulta que también hay sql injections en esos proveedores no solo es en aplicaciones web también en este en este componente ipc de Android existen Entonces en ese tiempo imagínense era el 2013 todavía no existía ni siquiera un programa de recompensas de Android estaba fuera muy

nuevo ese tema pero pues eran afectados por muchas vulnerabilidades no en la versión de Android en ese tiempo era el cuatro punto dos imagínense entonces Esto fue en el 2013 mandé mi reporte por buena gente porque les digo ni siquiera había programas recompensas No yo estaba realmente mi interés era que repare la vulnerabilidad lo envié se le asignó una prioridad se le asignó severidad y en ese tiempo pues se iba a revisar no pasaron dos años cuando me doy cuenta que siguen existiendo mi reporte anterior pero pues ya es la versión cinco x no dos años después de que ellos asignaron que si era esto y de ahí pasó después lo marcan como obsoleto que no lo van a

realizar porque pues se había hecho hace mucho tiempo no nos disculpamos por no responder a tiempo estamos tratando de cerrar tickets más viejos pero como no sabemos si esta si este problema es válido reproducible en la última versión pues vamos a marcarlo como One fix o UPS Pues en el 2016 Ah bueno este es el mismo mensaje que les mandé en el 2018 me doy cuenta que Todavía siguen siendo vulnerables al mismo reporte que les había hecho en el 2013 Entonces ya ya estamos hablando de cinco años que habían pasado y y están de acuerdo que pues uno tiene cosas que hacer el trabajo esto totalmente es por amor al arte Entonces ya dedicarle tiempo a

checar algo así y acordarte unos años después fue más como por coincidencia Porque seguramente estaba dando un taller de seguridad móvil de aplicaciones móviles y dije ay a ver si el ejemplo está todavía y ahí es donde me llevaba la sorpresa no Entonces les vuelvo a escribir les digo saben qué en el 2013 lo reporté después en el 2015 seguían ahí y Para mi sorpresa hoy tres años después o cinco años después del reporte original uno de los paquetes sigue siendo afectado por la vulnerabilidad esta vez pues ya había un un programa de recompensas de Android entonces me me mandaron toda la información que sí había de nuevo que sí se había confirmado la prioridad la severidad Y

de nuevo pasó Exactamente lo mismo pasó un tiempo no lo repararon y eventualmente lo marcaron como One fix que que no que no cumplía con el mínimo para hacer un un Box no para que lo reparen sin embargo es el 2000 vean esto ya estamos 2018 al final del año veo que sacan unos visory otra compañía de seguridad ayote sobre estos módulos igual no el mismo mismo problema no de inyección de sql Entonces ya no me quedó claro si si lo repararon es el mío o o es otro que coincidentemente andaba por ahí pero el el problema lo lo sigo dejando ahí no esa falta de información hace que realmente nadie sepa si el sql injection

es el mismo No es el mismo existe o no existe no y ya de ahí dejé morir el tema no ese fue uno y también me pasó con Microsoft eventualmente no eventualmente en algún momento yo hice Hoy está cambiando esto en algún momento estaba haciendo investigación para evadir el sandbox en Microsoft para Mac los macros maliciosos que es un problema que hemos tenido por muchos años en realidad para los equipos Mac no es tanto problema porque todas las aplicaciones corren San boxeadas no tienen permisos para Acceder al sistema de archivos afuera no pueden no están captivas dentro de un contenedor de aplicación Entonces aunque el usuario ejecute un macron malicioso no puedes ver no puedes

hacer nada Útil no puedes ejecutar comandos no puedes sacar shell no puedes bueno la Chelsea sale Pero no puedes leer archivos de ningún tipo no Entonces no te sirve de nada estaba buscando Cómo evadir esto y encontré cómo evadirlo Entonces lo reporté me dijeron que sí que se lo había asignado un caso no veo que cambie Aquí está Okay yo iba a dar una conferencia y era como más o menos el mismo tema entonces quería saber si podía hablar de esto cuando cuál era su tiempo de respuesta que iba a pasar no Entonces les dije que no me habían contestado que voy a hablar en diez días de una conferencia pues que me pasen un poco más información

me contestan Sí luego luego ese mismo día que terminaron de la investigación que pueden confirmar que los macros sacan un diálogo de seguridad Entonces pues no cumple con el mínimo para ser reparado que el usuario corre un Macro Pues eso se puede considerar como malicioso Sí ya lo sabíamos no pero justamente el error que estoy diciendo es que normalmente Aunque lo ejecuten y le salga el diario de seguridad y lo ejecuten no tiene impacto pero con este error Pues sí y ya se vuelve de todo pues un vector de ataque muy interesante no que de hecho lo estuve utilizando para ingeniería social y saqué una herramienta que se llama mattfish que que es un generador

de pelo de macros maliciosos que utilizan las tres cuatro técnicas que encontré que podíamos utilizar o abusar no Bueno un año después aproximadamente bueno no unos meses después esto pasó en abril 21 del 2017 y en agosto les vuelvo a escribir Oigan qué creen bajé la última versión de Office 2016 para Mac y me doy cuenta que la función que yo abusaba que que se llama Grand Access ya fue reparada Entonces los los vectores de ataque que había reportado Ya no sirven Qué onda no me habían dicho que no lo iban a reparar sin embargo ahorita que lo estoy probando pues ya está reparado no me dijeron que no cumplía con los mínimos para para hacer un Buggy que no

iba a ser reparado pero el día de hoy me haces después ya fue reparado y yo no recibí información de eso me contestan Gracias por tu correo hubo múltiples técnicas de jardín o endurecimiento y defensa profundidad que fueron realizados para office en los últimos meses y es posible que esos lectores de ataque que tú reportaste hayan sido mitigados por uno de ellos Ah si no que coincidencia Yo creo que que si no les hubiera reportado realmente esto seguiría afectado No pero bueno no lo importante es que que fue reparado no Entonces por ejemplo en este caso que Qué es una buena respuesta a un reporte de seguridad ya les mostré un par de experiencias con fabricantes o compañías

muy grandes que que no han tenido la respuesta que uno espera de un nivel de una compañía de ese nivel pues compañías o ustedes que pueden hacer en este caso por ejemplo el proyecto aluxio parchó la vulnerabilidad bastante rápido me respondió por privado y hasta Tuvimos una junta donde conocí al fundador a su equipo de ingenieros técnicos de seguridad y y regenerar la mente estaban interesados en saber cómo encontré esa vulnerabilidad y Y cómo podían ellos pues replicar este proceso y el impacto realmente de la vulnerabilidad no entonces tuvimos reuniones sobre eso inclusive me mandaron un pequeño detalle que que la verdad no es necesario no yo creo que playeras de de conferencias de teca

todos nos sobran pero se aprecia es por ahí lo subí igual en Twitter y al final del día no solo eso me invitaron a dar una plática en uno de sus eventos de comunidad entonces a los mismos usuarios y y resto de desarrolladores y colaboradores del proyecto de Open source también tuvieron la oportunidad pues de escuchar de que era el problema no y por qué es importante o por qué les estaba mencionando eso hace rato porque no siempre la información necesaria es publicada si vamos al anuncio oficial de esta vulnerabilidad que utilicé como ejemplo podemos ver que lo único que dice es que la versión que no es las versiones afectadas no se valida una y de ahí nada

más te dice que no es la misma que que Pero no especifica por ejemplo Que si el módulo de las bitácoras está configurado de cierta manera o sea Hay ciertos detalles técnicos que ustedes tienen que recordar que no todos están familiarizados con su producto Qué pasa que en una organización normalmente el equipo de ti Tal vez es el que haga se encargue de esto o dependiendo de cómo esté estructurada pero o va a ser el equipo de ti o tal vez el equipo de seguridad es el que se encargue reportarlo Pero al final del día ninguno de los dos son el usuario de la aplicación entonces hay hay muchos detalles que ellos no conocen justamente del contexto entonces

Ellos no saben si la funcionalidad afectada se utiliza es necesario parchar porque qué tal si esa función ni siquiera se utiliza no entonces la urgencia parcial sería menor no todos esos detalles qué está pasando estás incitando o estás haciendo que ellos tengan que ir a hacer esa investigación ir a googlear ir a buscar block post ir a analizar el software no sé Y cuál es la realidad que no lo van a hacer o lo van a hacer un poco tiempo No tampoco puedes dedicarle un montón de tiempo a cada vulnerabilidad porque nunca acabarías entonces si la organización a cargo de reportar vulnerabilidades no pone la información pues nosotros tenemos que ponerla ustedes como proyecto ustedes como

organización este proyecto igual puso Mientras más información le den al usuario van a poder hacer una decisión más inteligente y más con todo el contexto no Déjenme editar esto que me dio un copy page de más seguramente Ahí está vamos a ver qué pueden hacer entonces yo yo ya les expliqué la perspectiva de un investigador de seguridad como a veces es muy difícil ya tienen herramientas ustedes para asegurar su software pero como organización o como proyecto qué pueden hacer yo yo les recomendaría el número uno sean muy claros con la comunicación dónde es el canal oficial para reportar vulnerabilidades porque no lo van a creer pero hay veces que solo el inicio de buscar quién es el contacto

correcto para reportarle la vulnerabilidad no está tan fácil no está en la hoja de contactos no está en la hoja de información de la empresa no está en en el tap de seguridad que tú esperarías que ahí esté el contacto y hay veces que estás quince veinte minutos buscando desde el inicio nada más a quién se la vas a reportar Entonces no hagan eso sean muy claros si tienen un programa de de vulnerabilidades o de vulnerabilidades sean muy claros en horas de servicio Cuál es el tiempo como respuesta Cuáles son los canales de comunicación que ustedes esperan y y recuerden esto al final del día si ustedes son un proyecto Open source tienen que entender que no

todos se van a ajustar a la manera que ustedes trabajan hay que encontrar a los colaboradores en medio no no puedes no sé repórtame la unidad solo por el canal de slack del cual tienes que peor una invitación pues no no lo va a hacer muchísima gente yo Honestamente les voy a decir que la mayoría de vulnerabilidades que encuentro por coincidencia o casualmente cuando el proceso de reportes muy complicados no lo hago porque reportarla hay que hacerla por el concepto de que pues en darle seguimiento por meses a veces Entonces es importante que mantengan estos canales de comunicación y una vez que ya hayan establecido el primer contacto Recuerden que es importante darle retroalimentación también al que te lo

reportó de que Oye ya hablamos internamente el tiempo de parche va a ser tanto Oye estamos teniendo problemas para parchar o sabes qué creemos que ya parchamos pero no estamos seguros si estamos cubriendo todos los los flujos de ejecución etcétera no pero pero tener esa retroalimentación porque en la mayoría de casos el investigador o la persona que está reportando vulnerabilidad tiene toda la disposición del mundo de darles la información es cuestión que se acerquen y se platiquen no cuando ustedes van a generar un parche porque ya confirmado En el problema sean claros díganles Cuándo va a salir porque hay muchas formas de trabajar no hay gente que utiliza el famoso full disclosure para ejercer presión es decir

nada más publican la vulnerabilidad y párrele como puedas hay gente que se guía por las políticas del equipo de Google Zero day project que es 90 días y después es full disclosure y cada quien no realmente Por ejemplo yo personalmente no tengo urgencia por reportarlas Entonces si me respondes y me dices Sabes qué me va a tomar seis meses seis meses Está bien por mí no yo yo no me interesa realmente Pues es que la repares no no gano realmente nada y digo realmente porque nosotros oyó en particular no me dedico a hacer Esto del que continuamente siempre creo que que mi respeto para los dos a los que sí se dedican full timer porque creo que ha de

ser muy desgastante justamente esto de lidiar con fabricantes no por diferentes otro punto muy importante es que la gente o las empresas le tienen miedo a los cbes es decir no quieren que su producto tenga CBS relacionados porque lo van a lo van a asociar con un producto malo o un producto ya lleno de problemas de seguridad pero la realidad o bueno lo que yo Les recomiendo Es que soliciten estos cbes aunque no sea crítica la vulnerabilidad todas las vulnerabilidades mientras mejor documentadas estén va a ser mejor para el producto no no le tengan miedo a los CBS soliciten los aunque no tenga el impacto más alto no solo pidan cbes para las críticas porque esto le va a ayudar

a al equipo y a los desarrolladores y a sus usuarios a tomar decisiones en el futuro no de que qué módulos instalar sabes qué no necesito esto es información muy muy valioso no y y justamente el último punto no les mostré el reporte oficial de la vulnerabilidad que use de ejemplo que que era solo una línea si ustedes buscan ese reporte en mi repositorio y buscan el reporte público van a ver diez veces más información no todos los detalles técnicos Cuál era el módulo porque Puerto Para que chequen qué puerto estaba expuesto la configuración del servidor o sea todos sus de Qué función era la afectada todos esos detalles importan y y si no se los das a la gente fácil de digerir

no lo van a encontrar y te pueden causar problemas ya sea porque no parcharon algo porque incorrectamente lo evaluaron o al revés no los vas a hacer correr por algo que ni te afectaba Entonces siempre publiquen la mayor cantidad de información posible y y finalmente Pues los créditos No si están en proyectos Open source son colaboradores al final del día tomen reportes de seguridad como si fuera una contribución de código también porque al final del día es gente o se le dedica tiempo desde la identificación del problema hasta escribir el reporte que todo mundo lo odia hasta generar pruebas de concepto y y todos los correos y todo lo que implica no Entonces es un buen detalle

no darle crédito a la gente que colabora con tu proyecto Entonces eso yo creo que lo principal ahí hay obviamente diferentes niveles de madurez que ciertas organizaciones pueden tener en su programa y ya habrá pues tal vez otros consejos que darle no pero yo creo que por esta plática ya llegué a mi límite de tiempo o ya muy cerca Muchas gracias Me pueden encontrar en Twitter como Calderón si quieren hacerle unas preguntas o ahí en Twitch al rato trataré de conectar un rato para pues platicar con ustedes más tiempo Gracias Paulino por la increíble charla de verdad te he estado estamos muy agradecidos desde pisa es del Salvador y bueno Nuevamente muchísimas gracias Esperamos que tenerte el otro año ya

presencialmente venga para acá gracias No no muchas gracias a ustedes ahí estaré comiendo pupusas

Buenos días a todas las personas que nos acompañan a continuación vamos a tener una exposición de nivel va a ser completamente en inglés

Jason

[Música]

bueno mientras Jason arregla el micrófono que tenemos un pequeño problema ya regresamos para [Música] que ya estamos sí les compartimos antes de que así como se se conecta Perdón Donald aquí va la agenda pues tuvimos la participación de Paulino Y pues ahora continúa Jason luego eh más adelante vamos a tener también la participación de Lorenzo de Walter y también de Laura Así que les invitamos a que se puedan quedar el resto también del evento y tenemos una sorpresas también al evento y tenemos una sorpresas Y tenemos una sorpresas también adelante y tenemos una sorpresas Y tenemos una sorpresas Y tenemos una sorpresas Y tenemos una sorpresas Y tenemos una sorpresas tenemos una sorpresas Y tenemos una sorpresa

al final dentro y tenemos una sorpresas yo te estoy escuchando [Música]

[Música] [Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Aplausos] [Música]

[Música]

[Música] [Música] [Música]

[Música]

[Música] [Música] [Música] [Música] [Música]

[Música] Ok Good social

Claudia

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] accidente

[Música]

[Música]

[Música]

actually happy

WhatsApp

[Música]

Everybody

's created

God is the heavens and the University creator

[Música]

[Música]

thank you

bueno volvemos al español y vamos a continuar con la siguiente exposición No ni siquiera bueno continuamos con la presentación la siguiente de este año nos acompaña Lorenzo Martínez él es ingeniero informático informática por parte de la Universidad de Augusto una grandísima experiencia profesional en seguridad y actualmente es fundador y director técnico director técnico perdón de securízame una empresa española especializada en seguridad en hacking en respuesta de incidentes y análisis forense así que sin más los dejo con Lorenzo Muchas gracias Lorenzo por estarnos acompañando Muchas gracias a vosotros por contar conmigo es un placer estar en biciséis el Salvador bueno la charla que quiero presentar cuando me contactasteis Bueno quería presentar una herramienta una herramienta que empecé presentando Pues

en marzo de 2020 antes de que empezara la pandemia una herramienta que empezamos sobre todo haciendo para nosotros para securizame Para nuestras investigaciones Es una herramienta forense Es una herramienta que lo que sea de lo que de la parte en la cual trata es en la extracción de evidencias digitales de un sistema Windows como digo una vez que vi que la cosa funcionaba bien dije por qué no hacerla pública no entonces la publiqué Y la verdad es que desde entonces la empezó a utilizar un montón de gente me escribe mucha gente diciendo Oye es que me funciona muy bien o aquí me da un problema y en base a eso he ido arreglándola mejorándole cosas que saque

otra serie de cosas ha ido mejorando Gracias a la comunidad no a la ayuda de la comunidad el otro día me enteré que la guardia civil aquí en España también la utiliza para algunos incidentes dije Mira pues estupendo o sea me alegro que que algo que uno hace sea de utilidad para para otros no entonces la herramienta se llama windrías es bueno la herramienta del desfile en Windows en realidad es un poco bueno marketiniana la forma de contarlo Pero la idea es el qué le voy a sacar a una máquina Windows en caliente vale ese es un poco lo que voy a presentar aquí esto es un incidente de seguridad Esto es lo que nos encontramos en cuando cuando

vamos a una empresa una organización en la cual pues han tenido ransomware han tenido un compromiso de una máquina de uno o varios sistemas y no saben qué ha pasado entonces todo es fuego todos son nervios máquinas encadenadas en las cuales la información está secuestrada hay malware hay malware que está minando bitcoins que hacen que las máquinas vayan de una forma de grabar degradada su rendimiento entonces pues nada llegamos y llegamos con nuestro maletín de decir no nuestro maletín de decir digamos que no se sujeta con una mano o sea pesa bastante más que para llevarlo con una mano porque uno lleva ahí un montón de cosas Tú vas a un incidente de estas características y no sabes lo que te vas

a encontrar no sabes qué vas a tener que hacer Entonces qué es lo que llevamos de todo o sea es un poco como lo que lleva un aquí le llamamos un fontanero O creo que en otros países le llaman plomero o gasfitter no el que va que hay una cosa que chorrea una cañería bueno no sabes si va a tener que poner un parche y ya si va a tener que picar media pared si va a tener que cambiar tubería no sabe lo que va a tener que hacer Pues aquí pasa lo mismo vas a un incidente Entonces es importante tener en la cabeza que cuando te encuentras un sistema que has identificado que es al que le tienes que

sacar las tripas para analizarlas a posteriori siempre debemos preservar el estado en el cual se encuentra la máquina es decir si la máquina está encendida No la vamos a pagar si la máquina está apagada No la vamos a encender vamos a sacar evidencias en el estado en el que está la máquina y siguiendo un orden de extracción basado en el orden de mayor a menor volatilidad de esas evidencias es decir aquellas que sean menos más volátiles que se sobreescriban antes que se machaquen antes que se inuticen antes las vamos a extraer lo primero porque incluso nuestra propia acción a la hora de la extracción claro al final nosotros ejecutamos comandos para copiar elementos de un sitio a otro Bueno pues

eso digamos que dependiendo del orden en que lo hagamos si lo que nos llevamos al final es algo que nos incluso nuestra propia acción puede que hayamos sobre escrito parte de las evidencias que nos serían de utilidad si las hubiéramos sacado primero entonces en una máquina viva el objetivo es primero extraer aquellos elementos más volátiles que es lo más lo que más cambia en una en un sistema la memoria RAM y en la memoria RAM Hay un montón de información importante procesos que están procesos que han estado Y puede que la información no se haya machacado no se haya Perdón sobre escrito por lo tanto puede haber procesos que están escondidos a la hora incluso

de la ejecución de comandos y la máquina está ruteada si la máquina tiene algún elemento intermedio que juquee una ciscol por ejemplo al listado de una serie de ficheros por ejemplo y que te muestre todo menos lo que el atacante ha querido ocultar con comandos de sistema no sacaríamos esa información porque nos mostraría todo lo que el sistema nos devuelva sin embargo de un peando la memoria sí que vamos a poder sacar todo de la manera lo más pura posible cierto es que es posible ocultar payloads en otros procesos que están corriendo eso es cierto también y que en un listado de procesos de memoria inicialmente tampoco lo veríamos de una forma sencilla Pero bueno siempre para

eso es otras técnicas en las cuales hay que profundizar cierto es que en muchos casos el atacante no es tan bueno o no es tan sofisticado no va tan allá y te deja todo ahí andando y directamente con un listado de los procesos te lo llevas y lo ves por eso es importante extraerlo todo extraerlo en el mejor orden posible de lo más volátil a lo menos volátil para que En caso que tengamos que hacer uso de ello lo tengamos de la manera más pura posible no siempre tenemos que usarlo Pero prefiero sacar Cuanto más mejor y de la mejor forma posible Entonces primero de un pelo la ram luego ejecuto comandos de sistema le pregunto

cosas al sistema sé que es posible que la información que me devuelva el sistema no sea todo lo cura posible pero asumo ese riesgo porque si no lo es vuelco en ficheros de texto o en csv o en html mucha información que voy a poder analizar después qué voy a sacar además voy a sacar otra serie de elementos que no son tan fáciles de destripar de analizar de desmigar de interpretar no sino que voy a tener que hacer uso de otras herramientas para cada una de esas evidencias muchas veces binarias muchas veces está conformada con un formato en concreto voy a tener que utilizar otras herramientas para destriparlo analizarlo y entenderlo artefactos En mi opinión hay de tres

tipos de sistema de sistema de ficheros y de usuario aquellos que son de usuario son aquellos que generalmente los registra el sistema o incluso algunas aplicaciones pero me permiten echarle la culpa a un usuario de algo su navegación su correo electrónico su visualización de carpetas por donde ha pasado que sé yo Los ficheros recientes que abierto etcétera no usuario de sistema aquello que me puede guardar información de usuario o no pero que no es una cosa específica de un usuario sino que es de muchos a la vez pues por ejemplo los eventos de sistema el registro a nivel sistema no sé el prefects Por ejemplo si es que está habilitado en un sistema esos son

artefactos forenses de sistema y luego los de sistema de ficheros en sistemas de ficheros sobre todo ntfs que son los que nos vamos a encontrar en 99,99% de los sistemas Microsoft de los sistemas Windows está generalmente la masterfaltable y el journal Y esto es muy importante la extracción el interpretado la del destripado y el interpretado sobre todo en rangos de tiempo de la actividad de sistema sistema de ficheros unificado Con qué usuario estuvo haciendo que en un momento determinado y el hilado de todo eso es lo que nos va a permitir interpretar que ha sucedido en un sistema en ese Rango de tiempo y tirando del hilo hacia atrás llegar hasta el origen del Por qué llegó este aquí Cómo

se cargó este proceso o Por qué este usuario estaba navegando por determinados sitios o lo que sea si la máquina está apagada lo que hacemos Es un post mortem no lo encendemos hacemos una imagen de disco y analizamos o extraemos el contenido de estos artefactos de sistema de usuario de sistema de ficheros Desde esa imagen de disco obviamente una imagen de disco no le puedo sacar la memoria RAM corriendo porque no es un sistema vivo no puedo ejecutar comandos contra el propio kernel de la máquina porque está la máquina muerta no está apagado esto es interesante además como digo hacerlo porque cuando hacemos una labor de triage Es decir de extracción de estos elementos y posteriormente en

muchos casos se tira del cable de corriente y se hace una imagen de disco también para tenerlo si el sistema de discos y el sistema de ficheros en el disco se encuentra cifrado uno o varios de ellos por ejemplo con bitlocker si no hemos extraído previamente la clave de recuperación dado que muchos de los sistemas de ficheros se cifran y descifran en base a un chip que trae el propio equipo físico nos va a ser imposible descifrar el contenido del sistema de ficheros de manera offline Por lo tanto es importante que ya que tenemos la máquina arriba si hay algún sistema de ficheros que esté cifrado nos avisa y nos diga ojo que esto está cifrado

que sepas que ya te voy a sacar yo si es mi Locker las contraseña de recuperación de los sistemas de ficheros pero que si es veracry si es truck si es otra cosa ten cuidado y saca en caliente todo lo que puedas de la máquina incluso hace una imagen completa de los sistemas de fichero en caliente porque si no si apagas te vas a encontrar con un contenedor grandote un fichero cifrado con una entropía alta que al final no tienes la contraseña y el usuario o malo o atacante no te lo da pues te vas a quedar sin saber que había dentro entonces en base a esto surge windrías es decir por una parte yo

quería una herramienta que me sirva para sacar las tripas de un sistema vivo pero por otra parte incluso quería también que si estuviera una que si tuviera una imagen de disco pudiera montarlo en modo solo en lectura la unidad lógica de la del disco C de ese Windows en concreto y sacar ciertas tripas que me siempre Necesito sacar las mismas y cuando quiero ir a hacer una investigación sobre ese contenido no tengo que meterle la imagen completa a herramientas pues como pueden ser autopsi como pueden ser ex Waze como pueden ser En qué hizo cualquier otra no directamente saco y nosotros en securisa me analizamos los incidentes a mano con cada una de las evidencias y en base a

nuestra experiencia lo que el cliente nos va contando Y a lo que sabemos del caso y en base a eso por ahí vamos tirando solemos ir más rápido así que metiéndole la imagen completa en la thermomix no a la al propio a una de esas herramientas grandes que muchas veces lo único que hacen es indexar la información y luego tienes que estar buscando igualmente entonces hay herramientas libres para trias hay está Windows Live response está ahí r3 como herramientas conocidas y libres Pero ellas en concreto por lo menos por la experiencia que yo tenía usándolas no eran todo lo completas que a mí me gustaban o sea es decir una de ellas se acaba una serie de cosas otras sacaba

varias de estas y otras diferentes pero me gustaría tener una única con la suma de las dos y que además pudiera tener más cosas entonces así es como decía que surge windrías una herramienta que además Es de uso libre para trias en Windows que lo que hace es apoyarse en otras herramientas realmente es una orquestador en el cual si yo necesito copiar un fichero que está en uso por parte de Windows utilizo rau copy por ejemplo que es otra herramienta que lo que hace es ir a la masterfaitable a buscar los clusters donde se encuentra el contenido de ese fichero en concreto va lo saca y directamente me lo guarda no le pregunta a Windows Oye quiero

hacer un file copy de este fichero en concreto sino que va a buscarlo al disco lee el contenido y me dice toma Aquí está entonces eso como digo entre otras herramientas a las que hace de las que hace uso está hecha en auto it es bueno que que yo buscaba un lenguaje que fuera rápido fácil de programar y que fuera fácilmente integrable en cualquier Windows ahora veremos el porqué de esto que sea poco intrusivo la herramienta en sí no instala nada de hecho lo recomendable es ejecutarlo desde un pendrive o desde un disco duro externo o incluso desde una unidad de red O sea la idea es que obviamente se ejecuta en el kernel de esa en esa memoria RAM en

concreto del servidor donde está pasando pero no toca el sistema de ficheros ningún sistema de ficheros de la propia máquina si no se quiere es decir si no hay más remedio pues chico no habrá más remedio que copiarlo en donde sea donde menos daño haga Y ejecutarlo desde ahí vale permite una extracción completa o sea entre otras cosas permite hasta hacer una imagen entera del disco c no es lo que más se usa ni lo más recomendable porque al final vamos a tardar lo mismo vale Pero hay sí que es cierto que hay veces que bueno puede ser interesante y es respetuosa con el orden de volatilidad como decíamos primero la ram Luego si está seleccionado el prefects

el prefects porque eso además lo cambié de orden precisamente porque me di cuenta que el pre fecha al ejecutarlo yo mis propios comandos me machacaba el contenido del prefecto o sea generaba más ruido de lo que yo buscaba no Entonces es lo segundo a sacar Qué es eso qué soporta pues soporta desde Windows XP 2003 de 32 bits hasta Windows 11 y 2022 core o sea es decir todo lo que haya por medio lo soporta quería una herramienta que fuera en modo comma online y en modo online porque hay sistemas operativos en modo Core que realmente no tienen ventanas y quiero que esto funcione igualmente y por otra parte me toca muchas veces Windows XP y

2003 sobre todo en entornos industriales tenemos clientes que tienen máquinas que todavía corren ahí y no las pueden quitar porque El fabricante pues qué sé yo siemens o de elementos que son de dispositivos escala en redes de entornos críticos pues tiene que correr en un equipo que tiene un disco ID del año del catapún Y bueno pues Ahí está entonces arquitectura de 32 64 bits también está soportado que como digo O sea que evidencias de máquina viva o a partir de una imagen esto lo decía antes granularidad que te permite elegir que quieres Hay veces que no quieres sacarlo todo de todo entonces Windows Life response digamos que tiene tres modos de ejecución y te permite demasiada gradualidad o sea

ni tanto ni tampoco una cosa intermedia que es lo que yo buscaba y bueno Y aquí en España pues la certificación la integración con el garante también me parecía interesante o sea buscaba generar una herramienta de botón gordo que se suele decir que incluso muchas veces me suele pasar que hay clientes que son quienes tienen que ejecutar lo que no me dejan conectarme al equipo en concreto y les digo vale No te preocupes yo te voy a mandar la herramienta un alumno mío que me dijo Oye y por qué no me Por qué no me no le pones alguna forma de autoecución que aquello que quieras que se saque esté en un fichero de texto en concreto y directamente sea

hacer doble Y si existe el fichero que lo lea y y lo saque todo y lo que te saque de ahí te lo devuelva el cliente jode Qué buena idea pues Oye copiado lo implemente lo implemente un un hay un fichero que se llama auto punto txt y existe y tiene cierta sintaxis puesta pues ejecuta lo que diga esa sintaxis Y ya y es explicarle al cliente descomprimes esto le das doble click Y es que no tienes que hacer nada más Ahora si quieres que haga cosas ahora lo veremos esto sería la ejecución de wintrears en un Windows 11 vale bueno sistema vivo o sistema offline ahora haremos un par de pruebas y qué es lo que yo quiero sacar

si además quiero solamente sacar información de un usuario en concreto existe la posibilidad de que yo elija en máquina viva de quién le quiero sacar información de usuario si es una máquina que tiene por ejemplo un servidor que tiene su final Su uso es servir como servidor de terminales Windows por ejemplo nos han tocado casos de muchísimos usuarios que utilizaban esa máquina como servidor de terminales pues al final nos moríamos porque sacábamos información de gente que no nos interesaba para lo que nos pedían no entonces el poder elegir usuarios sueltos también es interesante qué es lo que sacamos Bueno pues aquí vamos a ver todo lo que sale no Por una parte identificamos si realmente los sistemas

de ficheros se encuentran o no cifrados Si hay algún sistema de ficheros de los que ahora mismo Está montado con unidad lógica que esté o no cifrado sacamos artefactos de sistema artefactos de usuario y artefactos de sistema de ficheros una alumna me comentó en un momento Oye pues estaría Genial que también sacases una una captura de tráfico de red digo pues tienes toda la santa razón a ver cómo hago yo esto porque el problema para sacar una captura de tráfico de red es que el sistema Windows tiene que tener las las winp-up vale o las npk instaladas para poderle hablar y decir Hazme un tfp vale en modo rápido y generamos un de lo que veas pasar por

esta interfaz de red Qué sucede que yo quiero que no se instale absolutamente nada Qué sucede que Windows permite en a partir de Windows 7 generar con un tsh te permite generar una captura de tráfico en formato etl stl luego se puede convertir apk no es lo más parecido un PK pero es suficiente entonces bueno Pues dentro de lo que hay también lo implementamos siempre y cuando haya ntsh todo esto ya digo que que tiene su complejidad de ejecución funcionan idiomas español si detecta que el idioma de la máquina en el que se está ejecutando es español me da igual español de España que español de cualquier país de América Latina se detective español te lo muestra todo en

español y en cualquier otro caso en idioma inglés Esto fue un lo que hizo que lo use muchísima gente porque claro yo antes lo pensé para mí entonces yo lo tenía todo hecho en español y ya pero luego dice Joel si me escribía gente que había visto charlas en otro desde otros países pero que eran de otro de habla distinta a la española dicen me gustaría utilizarlo pero es que claro está todo español no entiendo nada en algunas cosas podrías ponerlo al menos en inglés digo pues tienes toda la razón y lo hice para que funcionase en idiomas de navegadores fijaos todos los navegadores que soporta Internet Explorer el viejo Edge chromium los dos chromium cualquier

cosa basada en chromium Como por ejemplo Como por ejemplo Chrome evidentemente opera o firefox de todos esos que puedes tener incluso diferentes profiles también lo tiene en cuenta para que por cada usuario que puede tener diferentes perfiles de cada navegador también te saque la información que que es importante de hecho de un navegador lo que te saca de un browser lo que te extrae es lo que nos interesa mirar después es decir su historial de navegación sus cookies y su caché o sea donde sea que eso lo almacene Esto se lo trae y luego ahí pues herramientas de diferente índole habitualmente deirsoft para poder destripar eso y entenderlo Entonces como el tiempo aquí es muy

limitado voy directamente al al demo Time Vale Voy a ir a mostrar Cómo funciona la herramienta lo voy a mostrar en dos tipos de sistema Por una parte tengo el un Windows 2012 aquí Bueno Este es el auto punto txt que ahora mismo lo tengo renombrado con un guión para que no se ejecute solo tiene dos versiones como veis la de 32 y la de 64 bits Esto sí que lo tiene que hacer cada usuario y cuando alguien se descarga Windows por primera vez lo único que viene en la parte pública de wintreas que ahora lo explicaré es esto son los dos binarios y dos ficheros de ayuda uno en español y uno en inglés

y un directorio Tools que hay una única herramienta sin embargo wintrears requiere varias herramientas aquí dentro para funcionar estas herramientas no las incluyo Por qué no las incluyo no es que yo sea mala gente ni que quiera hacer trabajar a los demás el problema que tengo es que muchas de estas herramientas tienen una licencia que requieren que sean descargadas desde el sitio original O sea yo no la puedo distribuir así como así algunas de ellas y otras no pero para no meterme en líos directamente lo que hago es que se las descarguen todos desde cada sitio en concreto Aquí está puesto la ruta de dónde ir a buscar cada uno y cada versión porque hay algunas con

diferente sintaxis Entonces requiero que sea una versión en concreto cada alumno se lo dé a cada alumno cada profesional se lo descarga y hace uso de ello y se genera su propia carpeta con las herramientas auxiliares de las cuales hace uso windrías vale entonces sin más preámbulo lo primero que hacemos Es ejecutar Claro fijaos que lo primero que dice es que no he podido identificar si el sistema tiene anti malware activo y esto por qué es bien una de las cosas que van a pasar es que windrías primero puede ser que o windrías o alguna de estas herramientas auxiliares sea consideradas como malware por algún anti malware esto es muy típico entre otras cosas porque la

herramienta está hecha en autoit Entonces ya solo por eso Tiene bastantes puntos para que sea considerado malware Vale entonces Y es que es así O sea con pilas uno Hola mundo en autodit y lo subes a virus total y te dice que es malware prácticamente mala suerte Entonces no solamente con esto sino con alguna de las herramientas Por qué digo esto porque es conveniente en una máquina en la cual le vamos a sacar las tripas Deshabilitar el antivirus al menos durante el rato que voy a conectar ese pendrive o ese elemento para sacarle las tripas bien Por qué además esto no solamente por la utilización de buen triage que también que no sería la primera vez que

alguien conecta a un pendrive con herramientas forenses muchas de ellas son consideradas malware y el antivirus se las cepilla y las mete en cuarentena y te quedas con cara de tonto diciendo y ahora yo como le saco las tripas a la máquina esto lo he vivido entonces solución siempre Deshabilitar el antivirus Mejor dicho una de las herramientas auxiliares que llama windrías va a barrer todos y cada uno de Los ficheros que hay en el sistema en los sistemas de ficheros existan en la máquina los va a pasar a través de ellos para buscar si tienen ads alternate Data strings Qué sucede que al hacer un acceso a esos ficheros si hay anti malware en la máquina el

anti malware previamente va a decir Uy Espera que un programa un proceso me está pidiendo acceso a este fichero Entonces el anti malware va a decir a ver qué tiene este fichero ostias y esto es malware Vale entonces puede puede darse el caso que un fichero en concreto que ni siquiera tenga una DS pero que fuera malware que estuviera en la máquina que fuera lo que estamos buscando además que en su momento cuando llegó ese antimal ese malware a la máquina el anti malware no lo detectó por problemas de firmas porque no había inteligencia suficiente todavía para que ese ese de ese fichero en concreto fuera detectable por este anti malware por decir algo ahí no lo detectó Pero ahora

sí entonces lo que no el trabajo que no hizo antes el anti malware lo hace ahora justo cuando estoy extrayendo en resumen que deshabilitáis el antimado sistema vivo qué módulos voy a ejecutar aquí puedo decirle quiero Todo vale en mi caso le voy a decir no quiero nada y lo único que quiero es información de usuarios de qué usuarios Bueno aquí hay usuarios de prueba vale No quiero más que el del usuario administrador y quiero por ejemplo mft que me saca la Master Tablet y el journal de todos los sistemas de ficheros de todas las unidades lógicas excepto desde la que yo lo ejecuto si lo estoy ejecutando desde un pendrive vale lo detecta si es un elemento removible o

en este caso que estoy en la unidad c en el escritorio pues no pasará Vale entonces imaginaos que solamente quiero eso bueno por sacar el información del ntds.dit de director activo incluso de Shadow copies lo que hace es Vela Shadow copies que haya y saca toda la información toda esto toda esta de cada uno de los puntos de restauración de cada una de las Shadow copies que tenga la máquina es decir lo que ahora Puede que no exista puede que en otro momento sí existiera le voy a decir que saqué mft eventos y información de usuarios por ejemplo vale le voy a decir que el destino si yo no le digo nada me lo va a dejar aquí va a

crearme una carpeta aquí mismo pero le voy a decir que quiero que me lo deje en la unidad datos lo voy a decir que me lo deje aquí mismo vale aquí va a estar el Root y ahí me va a generar esto en concreto Entonces le voy a dar al botón triage aquí no me está dejando nada pero si me voy a datos me ha creado una carpeta nueva que pone Wind forenses el name de la máquina la fecha año mes día y la hora de inicio de la ejecución me genera un log esto lo podría quitar porque dices qué feo que esto se vea No es que me interesa saber lo que está haciendo la herramienta vale

y me deja un fichero de log con la ejecución de lo que está de lo que está haciendo Vale cuando empieza cuando termina y en mi opinión una herramienta de trias es la potencia una herramienta de trias aparte de que no requiere instalar nada viene dada entre otras cosas por la cantidad de elementos o de artefactos que sea capaz de sacar por ejemplo aquí que no le he dicho que ejecute comandos Pues el informe es no va a haber nada por ejemplo aquí le he dicho mft tiene dos unidades lógicas me saca la mft y el journal de la unidad c de la unidad e y les añade un guion bajo y la letra de unidad de lo que está

sacando le he dicho que me saque también eventos entonces aquí en eventos bueno saca eventos incluso de teamviewer de nidesk si es que hay vale fijaos que sí hay en este caso hay ni desk en vivo creo que no pues también hay vale efectivamente esta máquina también hice pruebas con teamviewer de evenlog que es al final lo que nos interesa no pero bueno saca eventos de un montón de cacharros distintos de un montón de fuentes diferentes que yo le he pedido que me saque aunque he configurado y luego en usuarios por cada usuario que he seleccionado me genera una estructura en la cual me pone el los todos los ficheros en recordad que no son esto es

el registro el user del usuario en concreto en el que estamos No pues en este caso Solamente he pedido el administrador sería el nt user.dat y todos sus transaccionales el userclass donde están las shelbacks por ejemplo fundamentalmente y todos sus transaccionales el historial de Powers si es que hay luego otros artefactos de usuario la artritis caché en un Windows 10 Si Lo tendríamos de navegadores de todos los browsers que soporta pues me sacaría historial lo que decíamos antes no por ejemplo de brave perfil de folk historial cookies y caché si tengo alguno por ejemplo con firefox tengo dos perfiles para este usuario pues me saca al final Los ficheros sqlite de cookies de history y de Place

sqlite Vale y del Play 6.0 y bueno reciente recientes de Office al final ya os digo o sea saca todo aquello que yo he considerado interesante para mí papeleras de reciclaje el fichero dólar reseca el punto Bing me saca todos los sits que hay adentro y me saca todos a los Dolar y los dólar J que tenga bien si una vez terminas si no hay ningún sistema de ficheros cifrado me dice que todo muy bien y que me peine No que ya está que ahora toca analizar y que si hay cualquier duda o cualquier cosa pues que lo diga que lo reporte a contacto arroba securisame.com esto es en un Windows 2012 voy a hacer lo mismo en un

Windows 2019 pero en Windows 2019 en el cual Sí hay elementos digamos cifrados básicamente este Windows server 2019 tiene esta unidad que es cosicas está cifrada con big Locker ahí veis el candadito y tiene dos ficheros uno que se llama gidem.tc y otro vc estos en concreto los uno es de true crime y el otro es de Veracruz y de hecho están montados ahora mismo son las unidades j y K que tienen tres tonterías dentro para hacer la prueba pero pues eso no entonces si aquí ahora mismo ejecuto wintrears 64 dando vueltas por aquí vale

le voy a decir únicamente que haga ejecución de comandos vale aquí como digo podríamos Buscar otros usuarios sólo quiero ejecución de comandos Perdón que ha quedado aquí activo esto quiero solo ejecución de comandos y voy a decir que lo haga aquí me genera un nuevo directorio con el Hot name de la máquina y como lo que le he dicho es que me saque evidencias o sea solamente quiero ejecución de comandos fijaos que al tener elementos que están cifrados aquí en algún punto veis me dice la unidad e está cifrada con bitlocker me dice que el proceso gratuito está ejecutando se salió aparte de llamar a otras herramientas también digamos que busco con técnicas diferentes y alguna

de las unidades que está aquí está en el caso de que así sea se me genera un fichero se llama beatlocker.txt que me dice que realmente es el resultado de sacar la información de bitlocker y me saca me dice que hay un identificador de sistema de ficheros cuya contraseña de recuperación que me da igual que yo tenga el chip o no es esta de hecho esta en concreto esta en concreto es la que me generó en su momento bitlocker cuando cifré el sistema de ficheros le dije Vamos a cifrarlo 22 72 no sé qué para este sistema de ficheros en concreto me saca esta información es decir si yo ahora tiro del cable de corriente y me llevo el disco y hago una

imagen del disco en concreto podría descifrar el contenido del sistema de ficheros con esta contraseña de descifrado vale como digo al final de esto en concreto me generará un informe es que me generará un informe Drive incription punto txt que me dice el resultado de haber ejecutado aparte de Edd que es una herramienta de magnet forenses de los otros elementos que me dice oye la herramienta de magnetics funciona a veces no siempre va bien y por eso precisamente implemente otras formas de llegar al mismo resultado sacar lo mismo me da igual que sea redundante prefiero tenerlo sabiéndose por diferentes técnicas a quedarme sin saberlo no Entonces esto cuando termine al final me dirá un hola se han encontrado elementos

cifrados sistemas de ficheros cifrados ten cuidado antes de tirar del cable del cable de corriente No este lo voy a dejar ejecutándose aquí y os voy a enseñar antes de terminar lo mismo de wintreach pero con una unidad de disco que se encuentre en un que se encuentre en un en una unidad en una imagen en concreto vale en una imagen en concreto ahora lo Vais a ver por ejemplo este esto que es una imagen de disco hecha a un Windows 10 en formato en Case en formato de expert vale le voy a decir quiero montarlo y me va a generar la unidad F esta unidad local vale es de solo lectura y me permite acceder a este

sistema de ficheros estos son los usuarios que no son los míos entonces si yo ahora lo único que no puedo hacer es cerrar ftk vale para acceder a esto si yo ahora directamente ejecuto Perdón ejecuto Wind le puedo decir que en vez de sistema vivo sistema offline y qué letra de unidad Quiero la f que es la que me ha generado ftk qué módulos puedo pedir hombre no puedo pedir todos ni la memoria lo que decíamos antes no pero bueno pues algo puedo pedir quiero que me saques la mft y el registro por ejemplo vale No quiero absolutamente nada más por un tema de tiempo únicamente Venga pues le doy al botón trías no le he dicho donde quiero

que me lo genere O sea no le he pedido un destino distinto por lo tanto me genera un sistema online unidades F y aquí en evidencias mft me ha sacado el log fire de la unidad DF el mft el journal y lo que le he dicho que le he pedido el registro si no me equivoco por lo tanto aquí me encuentro Pues los del registro a nivel sistema termina rápido porque pues le he pedido pocas cosas te podría pedir Sácame todo y bueno podría trabajar después con el voy a haberse terminado el otro no este otro todavía no termina entre que termina y no termina os voy diciendo dónde de dónde Descargar windrías vale windrías como decía anteriormente Es una

herramienta gratuita y básicamente dentro se descarga de la web de securízame no tiene un apartado específico porque la verdad es que nunca Empecé con esa idea dije Bueno lo publico aquí en el blog y ya Entonces qué es lo que hay que hacer hay que ir a securízame.com y directamente aquí en la lupa pues ponéis buen día y nos van a salir todas las entradas relacionadas con wintrears sé que yo cada vez que voy añadiendo alguna cosa nueva a windrías Pues voy publicando un post Vale entonces hay algunos por ahí alguno Incluso en inglés estuvimos nominados quedamos creo que segundos en el en el en el en el cómo se llama en el año pasado y Bueno pues no ganamos ganó

autopsia cosas de la vida se supone que es un concurso entre comillas en el que se publican herramientas de ese año pasado autopsi tiene más años que el hilo negro pero bueno en fin la historia está en que bueno en que aquí se explica muchas veces cada una de las cosas nuevas que se han ido añadiendo Bueno pues yo creo que al final podéis ir siguiendo la vida de gwentrears en base a esto y es lo más parecido a nuevas cosas que que van saliendo no el decir Oye pues por ejemplo vía en un post de El amigo ingeniero informático informático que donde se encuentran los los artefactos forenses de enidesk pues me fui ahí vi que era lo que sacaba y lo

implemente entonces pues cada una de estas cosas al final se van añadiendo backs que se van resolviendo vale Y esto es un poco la historia Entonces ya digo que windrías es una herramienta gratuita que no puedo poner todas las herramientas a libre disposición No porque yo quiera sino porque no me quiero buscar un problema bueno Esto todavía no termina terminará él lo que pasa es que la parte que está pues es un poco un poco larga y Bueno pues en principio Esto es lo que es wintrears en el tiempo que tengo ya digo que no da para mucho más si alguien está interesado en ello en los cursos que tenemos en modalidad online Plus Plus que se pueden hacer

desde cualquier parte del mundo entre otras cosas se habla de wildrías se utiliza nuestra propia herramienta y en el de Linux un procedimiento también interno nuestro del cual probablemente publique una herramienta ya para el año que viene con el procedimiento y la libre también limpias Y bueno pues el que le esté interesado ahí lo tiene y nada si tenéis alguna pregunta Pues aquí estoy

Guau interesantísima herramienta Lorenzo La verdad es que para todo el tiempo forense es súper pero súper útil todos los que nos han mostrado buenísimo le vemos no sé Claudia o si hay alguna pregunta vamos a ver tenemos que revisar acá

por ahora no no hay preguntas parece que una pregunta soporta navegadores basados en firefox aparte del mismo firefox sí es bueno este el doctor browser vale No realmente a ver basados en Facebook no es que haya tantos Thor browser está basado en firefox pero de Thor browser no hay mucha cosa que sacar porque no guarda nada entonces pues poco hay que hacer ahí Imagino que por ahí van los tiros no de la pregunta que Claro porque si no hay no hay o sea yo no me lo puedo inventar Bueno entonces Gracias Lorenzo verdad por por tu tiempo por acompañarnos en este primer y esperamos Que bueno ya el otro año podamos tener por acá ya manera

presencial Muy bien pues muchísimas gracias a vosotros un placer por contar conmigo OK Muchas gracias saludos saludos

pues vamos a la siguiente charla solo nos dan un par de unos par de minutos y en breve regresamos [Música] [Música]

[Música]

bueno nuevamente regresamos ya con la siguiente charla ya estamos con Walter puestas de Perú de visa Perú una gran persona un gran profesional en seguridad ofensiva nos trae una buenísima charla Walter es líder de del área de investigación de seguridad ofensiva para opensek y ha participado en diversas conferencias como defcon 2018 2020 compartir limajac campus party y otros eventos como oaxlapam laptop Perdón así que sin más Muchas gracias Walter y Hola Hola a todos y gracias por por la invitación de verdad que que lo aprecio bastante o sea siempre me me gusta poder colaborar lo que es un poco con con las iniciativas de comunidades y y por eso lo lo agradezco y y bueno en particular

por por poder participar en esta edición de San Salvador no O sea creo que que al menos la gente que me conoce sabe que aprecio bastante El Salvador y me gusta y tengo muy buenos amigos allá hay cosas no tan alegres por esta pandemia se llevó uno de mis amigos también que el amigo de muchos muchos allá y bueno eso es decir lamentable pero no voy a poner este no no voy a incidir más sobre sobre esa nota triste Ah voy a ver de compartir lo que tengo de presentación [Música] Acá está precisamente Sí sí se ve bien Ahí la presentación

sí perfecto ya Okay entonces entonces le le doy a a esto en esta oportunidad de digamos quisiera quisiera hablarles acerca de algo que que es un poco más de lo que siempre uno está hablando pero con otra perspectiva ya de hecho el título de desmenuzando la seguridad ofensiva nos va a llevar hacia eso no la primera pregunta Que que podríamos tener Es que es desmenuzar No yo no sé si si yo les pediría Si de repente pueden hacer el ejercicio ahí ustedes de tratar de responder esta esta pregunta No Qué qué es desmenuzarnos Qué quiere decir desmenuzar ya Y si hacen el ejercicio o sea si de verdad lo hacen se van a encontrar con que de pronto están

haciendo algo como esto ya o sea están tratando de hacer al mismo tiempo que están explicando mover las manos sí y en verdad Esto para mí es el mejor inicio que puedo tener para para explicar esto porque hay cosas que implican formas de comunicación diferentes O sea si uno está en la capacidad de responder una pregunta puede hacerlo utilizando diferentes formas uno podría tan solo hablar uno podría utilizar gestos uno podría escribir algo por ejemplo uno podría ser algún dibujo hay diferentes formas y y canales de comunicación y y normalmente en esa comunicación uno elige lo que se considera más adecuado Pero hay momentos donde una de esas formas de comunicación no es suficiente y y Parece ser que

justamente este asunto de explicar qué es desmenuzar Es una de esas cosas que necesitan que no solamente agradecemos verbalmente sino que además gesticulemos no Y eso es un poco lo que yo Considero que está faltando dentro del rubro de seguridad específicamente en la parte de seguridad ofensiva No eso es lo que lo que estamos tratando de de poder explicar entonces claro uno se se pone a pensar Oye pero espérate otra vez en pleno 2022 vuelves a hablar de qué es seguridad ofensiva O sea sí pues no La respuesta es que sí porque hasta en pleno 2022 estamos hablando Todavía de inyecciones sql o sea y si y si es si se ocurre eso es porque son cosas que

aún no han madurado lo suficiente no o sea son temas sobre algunos tópicos que no han maduro lo suficiente y que todavía tenemos que estar hablando de eso o porque también hay mucha afluencia de gente nueva de profesionales nuevos a este rubro que necesitan conocer este tipo de cosas como quiera que sea siempre es válido hablar sobre esto la diferencia en esta oportunidad no y haciendo una una referencia a a esta canción famosa de Village people the algo de lo que en las últimas generaciones se se está hablando mucho porque ya vieron que las últimas generaciones a partir de los millennials no voy a hacer ningún comentario este adicional sobre los millennials pero a partir de los milanes hay muchas cosas

que empiezan a cambiar muchos temas que que han sido controversiales se tocan y uno de los que se toca con fuerza también es el asunto de la empatía no o sea es una un punto de recurrente en conversaciones y y precisamente lo que falta en nuestro rubro es empatía en general no empatía no solamente entre los colegas sino también empatía con respecto a los que estamos desempeñando roles diferentes no entonces el planteamiento de de todo lo que voy a explicar está orientado hacia que por ejemplo yo que en mi vida diaria me dedico a proveer servicios de pruebas de seguridad y lo voy a poner así en términos generales quiero ponerme un rato en los zapatos de

aquellos que reciben estos servicios aquellos que que contratan estos servicios aquellos que por ejemplo siempre es de la perspectiva de seguridad ofensiva consideramos que nunca van a poder defenderse adecuadamente Y entonces viene a la parte acá donde yo digo OK Pero qué necesitan ellos para que nosotros los que hacemos seguridad defensiva los ayudemos de verdad a conseguir que la seguridad de sus organizaciones mejore y ahí viene una serie de detalles que la verdad que lindan desde la definición de términos hasta aspectos muy muy técnicos o incluso hasta comportamientos personales y profesionales o sea termina siendo un asunto complejo que yo de alguna manera voy a tratar de resumir obviamente en algunos aspectos que que pueden ser los más relevantes lo primero

que que podemos ver Es A qué se refiere seguridad ofensiva se refiere en el ámbito digamos profesional vamos ponerlo de esa manera a la ejecución de pruebas de seguridad o sea pruebas que van a evaluar la seguridad principalmente de tecnología en algunos otros casos incluso de procesos en una organización y ojo que estoy hablando No de del asunto de cumplimiento de normas de regulaciones de gestión de seguridad ni que la gente que hace gestión se haya colado el rubro de ciberseguridad no estoy hablando como lo van a ver más adelante de cosas que son procesos en las organizaciones incluso puede ser el negocio pero que se someten a pruebas y están muy relacionados a la tecnología y es parte

de la seguridad ofensiva ya entonces qué Busca uno o sea por ejemplo si yo yo en lugar de proveer servicio de este tipo estuviese del otro lado o sea necesitando estos servicios qué es lo que yo busco con las pruebas de seguridad o sea lo que como digo como dije yo lo que estoy haciendo ahorita es ponerme los zapatos del otro ya entonces lo primero que yo yo me pongo a pensar es realmente por ejemplo buscamos a que conocer a los Los Mega hackers o sea conocer a gente que que nos deslumbre con sus capacidades de de quebrar la seguridad y ya es probable no O sea sí siempre es bueno conocer gente que que es muy iluminada y

cosas por el estilo Pero si lo vemos de una manera seria en realidad eso no es tan relevante luego Buscamos que que nos hagan sentir lo mal que hicimos nuestro trabajo o sea que nos den tan duro con todas las pruebas que están haciendo No que se metan por todos lados que que dan malabares con la Data y cosas por el estilo y que me enrosquen pues Mira tú hiciste tu trabajo mal pues no O sea así de simple eso no dicho ese paso de los grandes temores Acuérdese que estoy puesto en los zapatos de del otro lado no es uno de los grandes temores que que tiene uno en la organización porque Digamos si yo

soy el oficial de seguridad de la información de la organización e impulsé la contratación de un servicio de un pentés por ejemplo no que vengan y me desarmen todo o sea no es solamente que yo hice mal mi trabajo sino que también la gente de tecnología la gente de desarrollo hizo mal su trabajo y y sencillamente no no quisiéramos que vengan a decirnos eso eso es lo que genera muchas veces el hecho de que se trate de Buscar que por el contrario en lugar de de contratar a algún equipo que pueda hacer buenas pruebas de seguridad prefiero contratar a alguien que lo haga así nomás para que no me perjudique dentro de mi postura en

organización lo que es peor No es que no solamente me va a complicar de la organización y a mis colegas En la organización sino que también me va a poner en vergüenza con organizaciones similares no entonces aún como que vimos en un mundo en el cual Sabes qué es mejor que no me saques tantas cosas y mientras menos me saque Ese es mejor pero yo no me quiero quedar en eso porque eso solamente es criticar una parte de de todo el asunto no y es lo que voy a explicar un poco más adelante Ah luego cuál puede ser otro motivo o sea o qué Qué otra cosa Buscamos que nos digan No que ya sabemos

tampoco pues no O sea pagarle a alguien porque haga un servicio y me diga lo que yo ya sé no tiene un sentido o sea eso eso es absurdo no Y si en algún momento alguien revisa ese tipo de cosas puede decir Oye pero tú no sabías o sea para qué es que te que te dieron lo que tú ya sabes no Entonces cuál es la respuesta o sea qué es lo que buscamos con las pruebas de seguridad lo primero que que quiero partir o iniciar con tener como Punto de partida Es que la premisa Y esto es importante Ya la premisa de aquellos que proveen servicios de seguridad ofensiva aquellos que hacen seguridad ofensiva

Debería ser mantener las cosas simples O sea no hay éxito en realizar unas pruebas de seguridad donde yo de una explicación que deje a la gente de mi lado nuevamente Estoy en los zapatos de quien contrató no perdía en el espacio Pues no que no entienda nada no se generan en sí mismo se generan unos teléfonos malogrados múltiples sesiones para explicar lo que se ha encontrado no Ah no importa y que es un tema que vamos a hablar también un poco más adelante cuánto entrenamientos haya desarrollado no porque los entrenamientos No necesariamente son los adecuados a tenemos que pasar por algunas limitantes sobre todo en Latinoamérica hay unas limitantes para los entrenamientos lo voy a poner también simple no Empezando

por el lenguaje no O sea Lamentablemente a pesar de que uno dice Oye hay un montón de gente que habla inglés este en Latinoamérica Sí pues hay un montón de gente pero no es la mayoría pues y en seguridad pasa lo mismo no Entonces hasta que se encuentra un buen entrenamiento que esté hecho en español pasa mucho ya y No necesariamente todos son buenos Por más que aparente que son buenos entonces hay una problemática también hay que atender Entonces yo lo que digo sabes que yo yo voy a agarrar y le voy a pedir al que hizo la prueba de seguridad la primera premisa que le voy a colocar es por favor Explícamelo en simple ahí Necesito que

me lo expliques en simple porque si no no voy a poder tomar ninguna decisión Sí vamos de lo más simple si quieres a lo más complejo y detallado por supuesto No si yo soy el oficial de seguridad Yo quiero también tratar de entender y va a haber un momento en que se hablen de detalles operativos y técnicos que probablemente yo no comprenda pero ojo es mi responsabilidad integrar a la gente de mi equipo que amanezca la maneja la parte operativa y técnica sí Y hacer que estas personas también entiendan de las necesidades del negocio de las necesidades de la organización y es mi responsabilidad con ellos y y con el resto de de del mundo

de seguridad mantenerme vigente técnicamente ya o sea eso es bien bien importante es un proceso de maduración si es un proceso de maduración Esperamos que un oficial de seguridad de la información a ingeniería reversa No sí pero Esperamos que que entienda por ejemplo [Música] Cómo es que se desarrolló un flujo de un ataque no Y de qué debilidades de qué vulnerabilidad se aprovechó alguien durante unas pruebas Esperamos que sí lo entienda Esperamos que sepan cosas sobre protocolos Esperamos que que entiendan que por ejemplo el tener un puerto abierto de por sí no es un problema Esperamos que entiendan que tienen que hacerse pruebas de seguridad en formas diversas y según como va madurando la organización Esperamos que

entiendan que y esto lamentable Pero bueno tengo que decirlo no esperamos que entiendan que los vendedores de tecnología de seguridad en general de los que les van a vender algo no son sus amigos pues o sea y eso es una una problemática que que incluso se refleja muchas veces en en en varias organizaciones ayer en una conversación así muy muy coloquial no estábamos hablando por ejemplo de de dos situaciones que que pasan Perú en mi país donde por ejemplo a cargo de del asunto tecnológico a nivel del gobierno las últimas dos personas las la anterior y la actual que están a cargo de este asunto son personas que vienen de trabajar en Microsoft siendo vendedoras

entonces a uno dice Oye pero a quién se le ocurre puedes poner alguien de ventas a manejar la cuestión tecnológica en el país y la situación se agudiza porque se producen unos incidentes de seguridad con esto de conde y ese tipo de cosas no a una asociación de de bancos en la edad de Vero y agarra y sale y le dice al gobierno Oigan ustedes tienen la culpa de que se esté filtrando información de las personas bla bla bla bla Y de pronto la gente los parlamentarios no el congreso una comisión agarra y llama esta señora que está a cargo del tema Tecnológico del gobierno pedirle explicaciones y es terrible pues no es lamentable porque ninguno sabe explicar

bien las cosas no O sea hablan por acá hablan por allá preguntan sobre cosas que no entienden nadie toma la postura de empezar a explicar desde lo más simple hasta lo más complejo para que se pueda entender de qué se trata no y de la misma forma en el sector privado por ejemplo una corporación muy grande acá en nuestro país que que tiene presencia en varios países a nivel global y que cuyo producto por ejemplo en varios más vendido en su línea tiene también una persona que que trabajaba en una compañía de tecnología como vendedora y su forma de hacer negocios cuesta corporación era tratando con los dueños al final qué es lo que qué es lo que

pasa acá o sea si ya le quito las partes negativas a eso lo que ocurre es que estas personas del ámbito comercial por lo menos si le hablaban de manera simple a quienes dirigen las cosas en el gobierno o en la organización en la empresa en la corporación entonces nadie quiere estar tratando con personas que le están hablando de una forma que no Se comprende y que no se relaciona lo que están haciendo eso hace que sea importante Por lo tanto acá debe haber una exigencia o sea nosotros tenemos que exigirles a quien nos proveen estos servicios que empiezan a poner las cosas de manera simple Entonces esto nos lleva a a realmente responder la pregunta no y vamos a vamos a verlo

primero por la parte del pen testing que es digamos lo más básico elemental y continuo continuo que pueda en temas de pruebas de seguridad pónganle el nombre que quieran porque la verdad de ese asunto de Yo sé que esto no le cuadra a muchos pero ese asunto de estar atrás de la terminología precisa no y salir con las antorchas a quemar al que dijo que que hacking este y que hacker no es este usado de manera correcta porque sale en la prensa Así que deberían ser crackers sino Llamar los hackers o o nuevamente se este salir con las antorchas Pues no porque este no están utilizando adecuadamente la la terminología de ética el hacking o pente

es opente testing con respecto a análisis vulnerabilidades creo que hay que poner una pausa en eso creo que en realidad Por ejemplo si a mí me nace solicitar unas pruebas de seguridad completas y ponerle el título de análisis vulnerabilidades mientras que yo en en mi rfp o sea en mis especificaciones de cómo requiero el servicio ponga las cosas bien claras no ver ningún problema le puedo poner el título que quiera porque realmente lo que va a importar es lo que yo estoy exigiendo que se convierte literalmente en una lista de chequeo ya entonces luego de eso pueden surgir algunas preguntas al día de hoy no para ver qué es lo que buscamos justamente con las

pruebas la primera sería tengo que la infraestructura está tan digamos tan presumiblemente asegurada vamos a empezar esta parte y está tan presumiblemente trasladada a la nube uno se puede preguntar si realmente vale la pena hacer pruebas a nivel de infraestructura y La respuesta es Sí porque errores se cometen en todos lados en el centro de datos tradicional y en las nubes se cometen errores en todos lados se cometen errores en todos lados pueden ganar vulnerabilidades y no hay ningún servicio o aplicación que ejecutando en el aire pues no Ejecutan sobre infraestructura infraestructura que que hay que evaluar y que hay que evaluar de buena forma hoy en día pareciera que lo único que se se maneja

a nivel de infraestructura es ataques del lado cliente o sea el asunto de meter malware en las máquinas de los usuarios finales que es otro otro otra cosa que hay que quebrar y es un poco extenso por eso no me voy a enfocar en ellos solamente voy a decir que ya no más debería estar tratándose los usuarios finales como lo que siempre han dicho El eslabón más débil o la capa ocho no la gente técnica también es vulnerable yo soy vulnerable todos son vulnerables o sea en la medida que no hay seguridad perfecta todos somos vulnerables puntos no hay más vuelta que darle eso pero bueno a nivel de infraestructura las cosas se han cambiado porque ya no es tan

sencillo como era antes a ver hago mi escaneo automatizado de puertos y servicios mi escaneo automatizado vulnerabilidades Y como minnesos me dijo Oye mira hay un módulo en mete exploit no entonces Yo corro el mete exploi lanzo y mete exploit Ah no funcionó Okay entonces corro a googlear a ver si es que encuentro algún que funcione hoy día no es tan sencillo en la mayoría de casos en infraestructura hoy en día hay un encadenamiento de vulnerabilidades y el poder progresar de una vulnerabilidad hacia otra y unas cadenas que son muchas veces bastante largas lo del próximo por ejemplo fue fue uno de los de los casos que a mí me gustó más porque tenía tantas variantes que que era bien

peculiar y no tenía que que o modificar los scriptos no encontraba o finalmente desarrollar alguno para el caso específico que me pareció probablemente de lo más ejemplar y lo más interesante que que pueda haber para mostrar como en servicios de infraestructura se tiene que saber de vulnerabilidades en aplicaciones de vulnerabilidades a nivel de del del servicio como tal a nivel de infraestructura de lenguajes de scripting de entender comportamientos Y cómo los comportamientos no son uniformes a lo largo de diferentes versiones o diferentes instalaciones o de reparaciones vamos a poner lo de las cosas que se han encontrado como vulnerabilidades y que no han sido completadas de la manera adecuada Porque todos sabemos menos mal el dos que ese

asunto de parchar actualizar se dice fácil y no se hace fácil no entonces lo que uno Busca realmente en las en las pruebas de infraestructura es que se han exhaustivas no O sea que no se limiten a lo más básico y elemental y que no se les trate con desdén luego vale la pena evaluar las aplicaciones Sí pues o sea de hecho que sí porque lo que lo que más hoy en día cunde son aplicaciones no hay hay un fuerte movimiento hacia las aplicaciones desde antes de la pandemia por asuntos de transformación digital eh se ha mantenido con todo este universo grande que hay de Star Apps y y la pandemia hizo que se incremente más pues

no entonces Cuáles son los problemas que Este es otro punto interesante no O sea tenemos algo como como las guías de pruebas de owas y todo el montón de cosas que que nos provee obras que que ayudan un montón la verdad no pero no necesariamente se está haciendo las pruebas como deberían hacerse siempre no hay algunos hay un par de aspectos solamente que quisiera por ejemplo mencionar está bien Buscar las vulnerabilidades tradicionales que están más ligados a lo tecnológico hay cosas que que uno debe Buscar pero que casi no se encuentran y lo pueden ver por todos lados o sea más allá de las noticias fabulosas en redes sociales es fácil averiguar por ejemplo que a nivel

de aplicaciones conseguir ejecución de de código no es algo que se dé todos los días no y hay vulnerabilidades en las aplicaciones que técnicamente pueden sonar alucinantes y muy bacán leer Cómo se consigue explotar una vulnerabilidad pero que cuando uno lo lleva Porque tienes una aplicación dentro de tu organización porque te resuelve alguna situación de negocio no no entonces Y con esa vulnerabilidad que se encontraba puedes afectar al negocio No Entonces de qué sirve o sea tienes que resolverla sí no tienes que calificarle alguna manera no tienes que ponerlo en tu lista de cosas que tengas un solo lugar Sí pues no lo pones en el top Pues no porque lo primero que tú tienes que agarrar y son

aquellas vulnerabilidades que le pueden impactar al negocio No que le pueden impactarle la organización que pueden hacer que una empresa pierda dinero o deje de ganar dinero que puede hacer que un servicio al ciudadano deje de funcionar deje de operar adecuadamente no que que puede ser muy muy grave no Entonces ese tipo de cosas hacen que uno diga así pues las aplicaciones tienen que ser probadas pero pero también se tiene que probar si están seguras en términos de las funcionalidades que implementan y si no se pueden quebrar las reglas establecidas en esa funcionalidades porque si se quiebran Esas reglas Entonces se pueden cometer muchos delitos a punta de alterar parámetros no Y para saber qué parámetros alterar y

cómo alterarlos no basta solamente con saber usar un Barbie interceptar los recuerdos y los respondes O sea tienes que también tener una mentalidad de cómo un delincuente se aprovecharía de ese tipo de cosas para cometer un delito no para quebrar una de esas reglas y eso es lo que debemos Buscar Entonces nosotros no solamente alguien que no sea un escaneo automatizado de las aplicaciones o que de repente cuando está probando una aplicación móvil vea que dentro de al consumir un Api por ejemplo dentro del https además todo está encriptado y y no se tomen el esfuerzo dentro de un pente es no de reversar la aplicación en el móvil de que si estás buscando tratar

de buscarla de ver si la forma el método de encriptación que han utilizado se puede revertir o cometer algún error como meter la clave de encriptación ahí por ejemplo que todo sea simétrico nada más y de repente si uno encuentra todo eso Entonces uno puede agarrar y meterse y empezar a seguir con las pruebas no entonces hay varias cosas que uno les debe exigir a quienes están haciendo las pruebas y eso es lo que uno Espera Ya eh luego sirven los informes del pente es eso es otra cosa que también o sea este año no lo he escuchado todavía pero el año pasado sí lo escuché no O sea un informe de una empresa que yo

obviamente no no voy a decir nombres no pero que se anuncia así como muy grande y muy experto y ofrecen diferentes formas de de pentecostín les Le entregó un banco bastante grande a un reporte donde por ejemplo la encontraron una inyección de sql en una aplicación y y la recomendación decía Ah tienes que validar adecuadamente tus datos de entrada punto No hay más entonces claro como Es lógico agarran y y le dicen al proveedor Oye pero o sea Dime algo más pues no O sea exactamente cómo no Ah no con el servicio contratado eso hasta ahí nomás O sea si quieres más tenemos otro tipo de servicios que también te podemos vender Entonces yo digo no hubo en algún

momento en las comunicaciones antes de la contratación o al inicio del servicio donde nosotros les dijimos a ellos Oye y las recomendaciones las necesito de esta forma pues Tendría que haber pues no y si no lo digo yo o sea si yo no lo pido a quien estoy contratando debería decírmelo debería sugerirme Cómo debe ir eso porque finalmente En verdad lo más valioso del informe son esas recomendaciones es lo que al final va a ayudar a que se puedan resolver los problemas que han encontrado así hay una serie de cosas que son bien bien importantes de manejar una serie de cosas que que incluso nos llevan hasta el asunto de validar si la vulnerabilidad fue resuelta Sí o no hace

rato que esto sí es bueno porque hay muchas empresas por ejemplo que rompieron el esquema de yo te entrego el informe si tú quieres que yo valide luego si lo resolviste bien o no me tienes que contratar nuevamente rompió hace rato lo que se está rompiendo todavía y que no todos lo rompen pero hay varias grandes que lo han hecho y algunas pequeñas también es que decían a ver cada penteez incluye un solo retes a un solo retes no entonces okay Me avisas cuando haya resuelto todos a los que quiero resolver Y yo voy verifico si están bien o no Ya eso está cambiando afor para que incluso por cada vulnerabilidad se tenga que hacer todos

los rités que sean necesarios para ver que sí efectivamente se hayan resuelto los problemas reportados los nuevamente Estamos buscando mejorar la postura de seguridad eso es lo que buscamos con esta prueba de seguridad y lo otro que que uno se puede preguntar es bueno pero cómo priorizo no o sea las calificaciones de criticidad o riesgo que me están entregando realmente me están ayudando y ese es un enredo Monumental la verdad es un enredo Monumental porque todo el mundo habla de todo lo que quiere en algunos casos los estándares las regulaciones como la de pci dss nos pueden ayudar haciendo un mapeo entre cbss y y unos valores cualitativos y y el estándar decirnos Mira este con esta puntuación o sea en

este nivel cualitativo no vas a pasar la auditoría pero con eso ya casi la puedes pasar o sea no pero no se encuentra mucho eso no entonces uno uno tiene que hacer ese mapeo entre otras razones es por eso que que este mismo estándar pci dss le pide a las organizaciones que contratan que Ela su propia metodología de pruebas de seguridad dentro de esa metodología que se la deben compartir a quien va a ejecutar las pruebas debería estar la parte de calificación o sea esa eso resulta siendo algo importante he visto yo gente que le mete unos algoritmos y unas fórmulas bien locas a todo el asunto y parece una más de de mareo y te demuestro que yo soy súper

bueno en estas cosas pero al final no ayuda entonces este es el tipo de cosas que uno uno va buscando a través de la de las pruebas de depenetración no O sea de los servicios de pentecoso Como dicen como como finalmente quieran llamarlos Entonces no se pregunta Y ahora quién podrá defenderme Ah la Triste realidad que vamos a tener que defendernos entre nosotros nomás Y esa es una de las cosas que que sí quiero dejar como mensaje o sea cada vez es más importante el tema de hacer networking entre las personas se nos ha complicado con el tema de la pandemia cierto Pero afortunadamente también ya cada vez más está volviendo a las reuniones presenciales Y eso tiene

que darse No necesariamente se tienen que formar grandes comunidades grandes grupos se pueden formar grupos pequeños de aquellas personas que están por ejemplo probablemente en el mismo rubro y con los que se llevan bien no con los que son afines para empezar a desarrollar pero también Acá hay mucho de iniciativa propia iniciativa profesional la gente tiene que que tratar de cambiar la y no conservar las cosas que ha desarrollado Como si fuese su gran tesoro no sino por el contrario aperturarlas como digo si quieren una aperturan así de manera totalmente pública No si quieren las aperturas en un círculo pequeño por lo menos para recibir feedback y para que le sirva a los demás y en la medida que uno le da

algo a la comunidad a la comunidad de devuelve aunque normalmente sea al revés normalmente las comunidades le proveen a uno y más bien uno termina en la obligación de proveerle a la comunidad lo cual o sea es totalmente justo ya pero eso es lo que deberían tratar de hacer Ya ya no estamos en una etapa en la que se pueda decir por ejemplo de contrato a la empresa tal para que me haga la consultoría y me diga cómo tengo que proceder ni voy y llevo mi maestría eso no le va a gustar a muchos pero bueno es la verdad pues o sea va a ser una maestría donde te enseñan los Súper capos que nunca estuvieron en tus

zapatos O sea si tú me dijeras que vas a una maestría de ciberseguridad donde los que los que te van a enseñar lo que te dicen que te van a enseñar son personas que

pero son promesas de de futuro no y acá Viene otra cosa que que no puedo dejar de de mencionar y de hablar acerca de esto que es el tema de retiming o sea es la moda pues no solo que está de moda y la verdad de las cosas es que nuevamente estamos Este complicados con esto pues no O sea a una de las cosas que yo veo que está mal con este asunto retiming es ya no ya o sea insisto yo no soy purista de la terminología pero si en el mal uso de la terminología nos llevamos de encuentro a gente que no sabe exactamente estos temas de seguridad o sea nuevamente en los zapatos de quien recibe los servicios si

me confunden entonces estoy bien complicado pues no O sea ya yo yo prefiero que no usen eso no nos ha pasado por ejemplo no de que como alguien les habló de estos ejercicios retiming o incluso porque yo les hablé de temas de retiming y le sonó Oye eso sí es más real no o sea es así Esa prueba de seguridad sí son más reales a los ataques más más Perdón similares a los ataques de verdad no O yo quiero eso porque Claro en el pente es yo te estoy diciendo Cuál es el alcance yo te estoy diciendo hasta dónde vas a llegar yo te estoy diciendo Durante cuánto tiempo yo te estoy definiendo un montón de cosas no

Y eso no me pasa con con los que me van a atacar o sea los que me van a atacar yo no les voy a poner limitantes a ni nada por el Entonces yo quiero eso ya pero la cuestión es que no todas las organizaciones están preparadas para esto pues y Y entonces se encuentras que hay también muchos que hoy en día Ya dejaron de hablar depende es dejaron de hablar de de seguridad ofensiva y todo lo han convertido en retín no O sea eso es un absurdo total entonces llega al extremo y esto lo he contado donde uno puede encontrar organizaciones que son grandes pero no están listas tienen muchos años pero no están listas o

también podemos encontrar organizaciones que recién inician no y que dijeron No vamos a pasar con lo lo más avanzado en prueba de seguridad re streaming Hey aguanta o sea ni siquiera has empezado ni siquiera has montado lo más básico infraestructura es más ni siquiera es diseñado tu arquitectura infraestructura ni el de tus aplicaciones Y tú ya estás pensando en pedir un servicio de retiming aguantan o sea Ahí estamos mal no O sea quien te dijo eso te confundió Tal vez ellos también están confundidos pero que te dijo eso te confundió ya entonces otra vez Para qué me sirve el retiming vamos a mantenerlo simple nuevamente ya esencialmente para medir dos cosas tiempo para detectar y tiempo para

mitigar no vean más tiempo para detectar tiempo para mitigar no es para ver si los servicios de protección que he contratado No sé mi socke lo que ha comprado de ips waf etcétera etcétera están funcionando no no si funcionan o no lo veo cuando me están haciendo los pentes Ahora quiero medir cuán bien funcionan mis procedimientos ante incidentes de seguridad ante ataques quiero medir calidad por lo tanto lo que quiero medir es el tiempo para detectar y el tiempo para mitigar eso es lo importante acá se pueden medir algunas cosas adicionales sí se puede mirar uno adicionales no me vendieron Pues el cuento de Machine learning no quiero ver si de verdad funciona No yo

así también puede ser pero lo más importante son estos dos objetivos de de pruebas en un asunto de retinio eso nos va a llevar al hecho que Aparentemente Pues suena como que sí pues yo quiero eso pues no Yo quiero eso o sea la gente como que opcionila Y eso pasó también en mi país por eso pongo esta imagen no quiero los rojos no y ahora tenemos un inepto de presidente no que está dañando todo en el país pues no me la salto rápido porque es muy feo esto digo la situación la persona no la califico físicamente la situación es muy fea en mi país con con este presidente que tenemos entonces Cómo podemos saber si

estamos listos para un retambing hay que hacer un análisis previo de la madurez de la gestión de seguridad sobre todo viendo las pruebas de seguridad Cómo se han desarrollado los resultados que han dado o sea está bien yo puedo agarrar y haber establecido unos programas de pruebas de seguridad de los estoy cumpliendo adecuadamente en sus fechas pero me están sirviendo de verdad O sea mi postura de seguridad está mejorando con esas pruebas de seguridad o no está mejorando para nada sí O sea estoy cumpliendo nada más con lo que me pide alguna regulación o con lo que algún miembro del directorio exigió o o de verdad me están sirviendo y vemos que vamos mejorando la postura de seguridad

vemos que no se están cometiendo los mismos errores en el desarrollo de las aplicaciones vemos que cada vez es menos factible que puedan hacerme un ataque a nivel de infraestructura Sí porque se están deteniendo por algunos componentes de protección o porque mantengo los sistemas actualizados y bien configurados no a mi segmentación de red la hice bonita bacán y le estoy manteniendo adecuadamente y durante las pruebas de penetración no están pudiendo pasarse de una vlan a otra por ejemplo No ni acceder a recursos para los cuales no tienen autorización O sea hay varios indicadores que están más ligados hacia las pruebas de seguridad para saber cuál es mi nivel de madurez igual cada uno puede definir una escala de niveles de

madurez y actuar de acuerdo a ello no lo otro que que uno tiene que tener en cuenta es que no todas las organizaciones son iguales entonces uno no puede tomar Así no más referencias de otra organización Por más que sea grande o sea un poco como como lo que he colocado ahí o sea ni siquiera un banco es igual a otro banco hay tantas variables tantas variantes que uno no puede considerar que los objetivos son iguales entonces este asunto todavía del retiming es un asunto como que traje hecho a medida no O sea no hay una forma en la que tú no puedas decir este y como nos preguntan a nosotros muchas veces no cómo hacen ustedes los ejercicios de

retiming y que lo que le decimos nosotros a ver tenemos estos modelos de madurez definidos podemos hacer emulación de amenazas podemos hacer simulación de adversarios tenemos un framework definido que está documentado y luego si quieren escopio el repo de YouTube donde está todo documentado el framework que hemos creado para hacer ejercicios de retiming o sea tenemos una serie de cosas pero en verdad lo que necesitamos es saber un poco de la organización saber qué pasa con organización y hacer ese traje a medida para hacer estas operaciones de retiming no todas las organizaciones son iguales algo que sí puede darse para todos porque no es intrusivo porque a ejercitarlo ayuda a aprender inclusive es hacer tablet Services O sea que en

buena cuenta son ejercicios de mesa donde en un modelo si quieren de caja blanca vamos a llamarlo de esa manera no Nosotros le vamos a proveer información a aquí al Equipo Rojo No que viene a realizar el ejercicio y vamos a utilizar un framework como atac por ejemplo no que para esto sí sirve atac no porque tiene un conjunto de apts documentadas y podemos utilizarlo como el Navidad y toda una herramienta provista también por mitre para atac donde yo voy a poder encontrar apt similares a mi organización o a ciertos procesos de mi organización y empezar a mapear las tácticas técnicas y procedimientos que sean aplicables entonces puedo desarrollar eso bajo un marco teórico hacer una emulación de amenazas todo en

papel y si quiero ver no O sea qué pasaría realmente con lo que yo tengo en la organización bueno puedo aplicar también alguna herramienta tipo vas no de brillo a taximulation donde armó un pequeño laboratorio que simule algunas partes de mi organización las que soportan un proceso las que soportan un área o o la parte más crítica en fin lo que quiera Probar con este tipo de ejercicios y utilizo estas herramientas que me permiten hacer esta simulaciones en base a ciertos frameworks o escenarios personalizados lo interesante es que voy a tener una idea completa Sin meterme en líos que pueda hacerlo todas las veces que yo quiera no y que sí tengo que tener una preparación previa

entendimiento previo Sí pero no es tan complejo el poder hacer este tipo de cosas no O sea se mantiene simple de todas maneras O sea si alguien quiere hacer esto perfecto puede hacerlo o sea pero a cualquiera también puede decir que una operación de retiming no es exactamente esto por eso que nosotros esto lo llamamos emulación de amenazas y una una operación de régimen es una simulación de adversario no o sea son cosas diferentes otra de las cosas que que son importantes en todo esto es que yo digo a ver nosotros necesitamos aprender a defendernos o sea bueno es lo que hemos venido haciendo pues no O sea cada cosa que hemos recibido de entrenamiento

ha sido como aseguro el Windows Cómo configuro el ips a cómo aplico el Terrible mamotreto que nadie entiende Pero que todo el mundo se llena la boca con con el framework no todo se va a defender hay algunos cambios que uno tiene que hacer y se han empezado a cero obviamente O sea hay mucho entrenamiento hay mucho aprendizaje sobre seguridad ofensiva hace rato que el mensaje de para defender adecuadamente tienes que saber cómo se comporte el atacante pero yo creo que eso es lo que nos lleva justo está hablando más temprano con con un buen amigo de de muchos Mauricio Velasco sobre el hecho de que cada vez más la figura de Purple Team es la que

está predominando donde las personas en equipo primero es bien difícil que alguien sea Blue y red al mismo tiempo eh una sola persona me refiero No pero en equipo sí puede distribuirse esos roles aprenda de todo pero por ejemplo o sea esto es un asunto de que el que va a defender o el que va a ayudar a defender tiene que aprender a atacar no y de hecho lo que yo pongo acá de ejemplo para mí no tiene que hacer mucho con eso porque en muchos países no se permite tener armas de fuego por ejemplo para defensa personal Entonces ese de la parte contraproducente no O sea aguanta O sea tú me estás diciendo que para defender

tu vida o la de tus seres cercanos tú tienes que aprender a ir en contra de la vida de otro no pero esa es la realidad pues en ciertas circunstancias se va a dar y es bien importante recibir entrenamiento al respecto saber cómo es el manejo adecuado de un arma porque si no de lo contrario uno lo que va a hacer es dañarse uno mismo o dañar a los seres que uno quiere proteger entonces obviamente en esto que está en riesgo Sí o sí la vida humana tiene uno que tener mucho cuidado ese no es tan simple como pareciera y la diversidad de de armamento y situaciones es muy grande pero es lo mismo que pasa con el mundo

en el que vivimos digamos en la seguridad tecnológica no O sea hay una diversidad tan grande de tecnología de herramientas que uno puede terminar haciendo daño a pero en en ciertas circunstancias el el Aprender adecuadamente a manejar armas y pasar por un proceso de de aprobación en demostrar que uno sabe manejarlo correctamente es lo que va a ayudar a prevenir a lo que va a ayudar a tomar conciencia de muchas cosas y lo que obviamente va a ayudar a reaccionar no o sea esto esto empieza a determinar algunos conceptos que que resultan importantes y que tal vez con ejemplos de la vida diaria como este se entienden fácilmente no O sea si uno tiene una

licencia para por otra arma para defensa personal por ejemplo no y está aportando el arma y le van a robar el auto a uno bueno que se lo roben pues así tenga seguro no tenga seguro que se lo roben no sin embargo si van a están atentando contra la vida de uno no o de algún ser querido algo por el estilo O o van a cometer algún daño físico hacia uno o algún ser sí algún ser que que permita el ámbito la licencia de defensa personal proteger Bueno pues es mejor tener el es mejor saber usarla adecuadamente no Y eso es literalmente seguridad ofensiva para una buena defensa eso puede llevarnos entonces Ah okay sí debo

certificarme Bueno creo que el meme el meme dice lo que lo que yo pienso hoy en día de la certificaciones no O sea mi opinión sobre la certificaciones es que si uno las va a tomar como un reto personal y profesional está bien pero si uno va a hacer lo que hace la gran mayoría de gente hoy en día porque es o sea las evidencias están por todos lados y yo no sé por qué la gente se calla tanto la boca con esto no Pero danos exámenes en grupo compran los exámenes resueltos algunos hasta los regalan hay suplantación de las personas que dan los exámenes hay exámenes que están exacerbados y no si fue muy difícil no y

al final no no era nada difícil Y por último por último muchos son exámenes que no tienen nada que ver con el mundo real pues no O sea no ayudan para nada en el mundo real Entonces yo insisto entrenamiento sí certificaciones y es un reto personal profesional y hasta ahí deberíamos quedarnos no Debería ser un indicador cualquier otra cosa con ello obviamente puede surgir la pregunta de Bueno entonces cómo me preparo pues no Y la verdad de las cosas que la única forma de hacerlo en el mundo real y a lo que apunta este este meme que se ve acá por ejemplo es que tiene que haber esa integración entre gente que está empezando y gente que tiene experiencia

tiene que darse esa integración que se pueden cometer errores Sí pues se van a cometer errores menos si están controlados si están supervisados dirigidos asesorados por gente con experiencia pero no hay forma en la que se vaya a reemplazar eso ya o sea Esa es la la forma correcta de prepararse y bueno para para terminar algunas sugerencias si me lo permiten alguna las he mencionado no la la primera de ellas es cada networking Ah Acá hay varias cosas que dejo abiertas por ejemplo he estado viendo el canal de Twitch y veo que que no había muchas preguntas en la charlas anteriores Y yo digo no hagan preguntas si no las pueden hacer ahorita luego busquen la manera de hacerlas en una red

social Pero no se queden con dudas por ejemplo no reciban entrenamiento Sí pero también provéanlo créanme que hasta lo más básico que ustedes puedan aprender hasta cómo funciona de verdad un ping es importante para muchas personas que no lo saben no hay que subestimar a nadie pero sobre todo Creo yo que no hay que sobreestimar que es algo que lamentablemente pasa mucho nuestro rubro O sea no hay que sobreestimar a nada no hay hidros ni hay alguien que sepa de todo absolutamente Así que hay que estar muy claros en eso no Ah y tomen la seguridad como una parte vital en todo lo que se hace Es algo que que es sumamente sumamente importante porque si

falla de seguridad va a fallar todo y y esos hay casos por todos lados no así que eso es lo que lo que tenía para compartir con ustedes y y Bueno gracias por por permitirme hacerlo Gracias Walter interesantísima La charla de verdad aprender muchísimo más sobre seguridad ofensiva sobre rating qué se puede entender realmente como y bueno de verdad muchas gracias a Walter y bueno pasamos a la sería la última charla no así que Claudia ahorita bienvenida Laura Hola se me escucha vamos a proyectar Sí pero queremos proyectar Ah aquí la puedo proyectar tengo la presentación

Ahorita estaba súper interesante el evento

Bueno a continuación Laura nos nos va a hablar un poco sobre los ataques cibernéticos y desde un punto de vista técnico jurídico Así que te dejamos Laura para que nos expliques un poco más de su ejercicio y qué podemos hacer ante este tipo de ataques gracias me comentas si puedes compartir la presentación si no acá podemos sí Bueno ahorita voy a voy a seguir intentando sin embargo para no no demorarme más Bueno yo me gustó bastante ahorita la la intervención de Walter está bastante alineada con con lo que me gustaría compartirles este día y creo que tal vez me voy a apartar un poquito de de lo más técnico que han estado hablando los demás

los demás compañeros pues porque yo soy abogada Entonces no no voy a hablar específicamente o muy detalladamente de las cuestiones técnicas más que todo quisiera enfocarme digamos en en o quisiera compartirles un poco mi experiencia desde digamos desde el área legal y como especialista en tecnologías si Quizás te voy a pedir ayuda haciendo la presentación Clau porque no no me aparece aquí la pantalla entonces bueno yo lo que le quería compartir es un poco hablar dirigirme como a al sector privado a quienes tienen negocios quienes tienen empresas de independientemente del tamaño grandes corporaciones en El Salvador o o en cualquier parte del mundo Pero principalmente me quiero dirigir al sector privado en el área regional

aquí en Centroamérica contarles un poco darles tal vez algunas recomendaciones compartir con ustedes algunas dudas que que a mí me han trasladado durante de mi experiencia como abogada algunos desafíos que yo también he identificado a la hora de de trabajar cuestiones relacionadas con seguridad informática por ejemplo relacionadas con la mitigación de riesgos cibernéticos y cuál pudiera ser la normativa aplicable que que eso pues bueno es Es una de las de las dudas que casi siempre se tienen no solamente quienes dirigen o están al frente de de estos negocios sino que también del otro lado por ejemplo los informáticos que están trabajando dentro de las empresas o que de alguna manera identifican algún algún riesgo Cibernético tienen esta duda también de

de que tanto pudiera aplicárceles alguna normativa relacionada con delitos informáticos que tanto ellos pudieran ayudar o mitigar dentro empresas o a dónde está ese límite en donde pudieran estar cometiendo un delito informático Y esto es así porque pues la normativa en materia de delitos informáticos suele ser bastante punitiva en el caso de la de la de la normativa así de manera general centroamericana en la región es bastante punitiva entonces y por otro lado está lo que hablaban algunos de los de los expositores hay bastante miedo bastante desconocimiento del trabajo que hacen los informáticos Sí yo te voy avisando Clau entonces Bueno voy a hablar un poquito de esto y cuáles pudieran ser algo voy a hablar un

poco de las recomendaciones que yo puedo darles tanto a quienes dirigen estos negocios como a los informáticos que que puedan llegar a estar involucrados quieran realizar actividades de este tipo para que tengamos un poquito de conocimiento de esta normativa y Y cómo pudiéramos ir trabajando de manera conjunta entonces este básicamente como una introducción a lo que quiero hablarles este día que es con el objetivo de crear esta cultura de seguridad informática dentro de los negocios dentro de nuestras de nuestras empresas dentro de nuestros de nuestro trabajo lugar de trabajo siguiente porfa entonces bueno no me presente Mi nombre es Laura natalier Hernández como le mencionabas soy abogada soy abogada en el en nobis estudio legal somos una firma regional

que estamos en varios países de Centroamérica en Guatemala Honduras Nicaragua Costa Rica El Salvador siguiente por favor y pues yo vengo trabajando en el área de tecnologías ya de hace más de diez años y uno de los desafíos es prevenir como les decía verdad Creo que que cuando o más bien un desafío así personal como especialista en tecnologías es caer un poco mal y bajar tratar de bajar un poco ese sobre entusiasmo que que a veces hay sobre las tecnologías y dirigir ese entusiasmo a la prevención porque los riesgos cibernéticos están ahí o sea siempre como decía Walter si vale la pena o no vale la pena verificar la seguridad Sí vale la pena y

me gustó lo que él decía todos somos vulnerables Entonces esta Esto es algo que que siempre resistir Entonces siempre va a valer la pena poner en duda la tecnología que desarrollamos la tecnología que estamos implementando en nuestros lugares de trabajo en nuestros negocios entonces este enfoque de prevención creo que que lo tenemos que tener en cuenta siempre no solamente a lanzar esta tecnología a una tecnología al implementar un una tecnología un sistema informático al utilizar una base de datos etcétera lo que sea pero esto siempre tiene que ser Digamos como como nuestro principal enfoque entonces siguiente por favor Entonces ese es un poco la tarea que yo hago como como abogada y bueno otra de las de las áreas

en las que yo me relaciono y trabajo bastante es en la protección de datos de la protección de datos personales obviamente desde Lo legal porque está estrechamente vinculada con con la seguridad informática entonces bueno en nuestros negocios nos apoyamos en sistemas informáticos en bases de datos en herramientas tecnológicas que van procesando van resguardando esta información entonces esta información que puede ser confidencial o personal entonces estas vulnerabilidades estos riesgos cibernéticos pueden llegar a afectar esta información que está siendo procesada o que está siendo almacenada por estos sistemas por estas por estas tecnologías Entonces es ahí donde donde Por ejemplo yo trato de combinar un poco ambos conocimientos en seguridad informática un poco lo técnico un poco Lo legal y

también el conocimiento en la protección de datos personales es decir cuál Cómo se debería de utilizar esa información cómo se debería de resguardar qué tanta información deberíamos de pedir porque por ejemplo entre más información se procesa se puede incrementar el riesgo de que esta información Se sea expuesta que llega a manos indebidas etcétera entonces eso pues por ejemplo cuando cuando se sufre un atentado cuando cuando hay algún tipo de ataques Cibernético por ejemplo esto puede también poner el riesgo la confidencialidad la integridad la disponibilidad de esos datos Y también de los sistemas del de las redes etcétera dentro del negocio entonces otra de las preguntas que que suelen hacerme es por ejemplo cuáles son las

consecuencias verdad Cuáles son las consecuencias sobre todo como como abogada Cuáles son las consecuencias legales de de sufrir este tipo de de riesgos entonces identificar este tipo de de de consecuencias no es así como no es fácil tampoco poder identificar el origen o identificar un un incidente Cibernético Entonces esto requiere de de digamos de de un análisis detallado es decir requiere de tiempo no no es fácil dar uno una opinión sin conocer exactamente por ejemplo como como el negocio estaba operando quienes qué se yo como sucedió como sucedieron los eventos antes de sufrir un incidente por ejemplo Entonces qué tipo de información también se procesaba o se almacenaba en estos sistemas en estas bases de datos entonces dependiendo de

de todos esos detalles Así pueden ser las consecuencias legales entonces eso se tiene que que analizar en base al al caso concreto como la mayoría de las cosas en el ámbito legal entonces así se van a ir identificando estos riesgos legales que pudieran derivar en sanciones que estas sanciones pudieran ser civiles sanciones administrativas o incluso sanciones penales este día yo yo me he querido enfocar en en las sanciones penales porque Considero que son digamos las sanciones más fuertes sin embargo Pues también una sanción administrativa una sanción civil es es no es digamos de de verla para verla de menos Entonces si es es importante que antes de que de que sucedan este tipo de incidentes que

estemos preparados que que estemos primero conscientes verdad de que de que estos son son eventos son situaciones que le pueden suceder a cualquiera bueno hace poco le sucedió también al al gobierno de Costa Rica que que realmente bueno Costa Rica tiene una una política de ciberseguridad desde hace varios años yo Considero que que también en en la parte normativa tienen tienen buenas herramientas también herramientas legales creo que también la cultura en materia de seguridad informática pudiera estar mejor pero pero creo que no no está mal tampoco sin embargo Eh Pues siempre se dio este ataque a varias instituciones públicas entonces creo que sí eso eso como que ese tipo de eventos como que hace bueno hace hace tambalear a cualquier

organización verdad a cualquier institución Entonces si bien se puede tener prevención pero también hay hay que saber gestionar ese tipo de riesgos entonces esa es la otra parte en la que yo me quiero enfocar este día siguiente por favor bueno quizás antes de de pasar a la normativa regional quería quizás voy a voy a como hacer un pequeño resumen aunque también me parece que Walter ya habló un poco de de cómo debería de ser esta gestión de riesgos Yo realmente me gustaría no solamente hablar de de la gestión de los riesgos sino que también de la detección de esto de la prevención de estos riesgos y ahí es donde donde por ejemplo me gustó también lo que

decía Walter Verdad que es que es importante saber reaccionar saber prevenir y saber reaccionar y también creo que es importante saber identificar saber reaccionar saber mitigar entonces Y esto Cuál es la idea de de digamos de de considerar eso tomar en cuenta esto para construir estos planes que sí coincido también con él que deben de ser a la medida Entonces ahí es donde donde existe una oportunidad por ejemplo para para que las empresas los negocios busquen a especialistas tanto en el en el área legal como en el área informática que puedan ayudarles o que puedan servirles como como ese apoyo como un equipo que les les diseñe o que les les ayude a a a

gestionar estos estos planes de riesgos de gestión de riesgos o que les ayude a diseñar un plan de prevención de riesgos informáticos entonces Y esto es importante hacerlo por ejemplo como como algo como como una medida preventiva porque cuando ya un negocio es víctima de de un ataque entonces prácticamente los informáticos sobre todo y también los abogados tenemos que correr contra el tiempo para tratar de de de de que esto se haga se haga peor verdad que se expanda en los daños ya sea al mismo negocio o a terceros a tratar de proteger la información los sistemas la base de datos Entonces es una carrera contra el tiempo entonces por eso es que es bien importante que

que como la mayoría de de negocios ahora utilizan algún tipo de tecnología es importante tener esto verdad estar conscientes de que existen este este tipo de riesgo pero que también es importante tener un plan de de prevención para que si llega ese momento en que es necesario mitigar entonces que lo podamos hacer de manera más efectiva Entonces cuál sería el objetivo digamos desde el punto de vista legal de tener este tipo de de plan ya sea de prevención o de o de mitigación proteger la confidencialidad la integridad y la disponibilidad de los datos y sistemas como les decía identificar las diferentes fases de acción y de colaboración entre los equipos que tengan intervenir Esto va a depender

también de de cómo está estructurada la Organización de las capacidades de las necesidades de estas eh imaginarnos o o tratar de de identificar Cuáles son esos esos daños posibles daños que pudieran que pudiera sufrirse ella sea daños a la imagen daño a la reputación de la empresa del negocio las consecuencias legales y ahí es donde donde los abogados tenemos esta oportunidad de poder identificar estos estos riesgos sanciones económicas sanciones administrativas terrenales como les decía antes Cuáles son las consecuencias económicas también y finalmente también este plan nos va a ayudar a Identificar y adoptar Cuáles esas medidas correctivas y preventivas ya sea en lo técnico o en lo organizacional Entonces esto es digamos eh gestionando estos riesgos de manera

preventiva y también de manera reactiva y quizás hoy sí voy a pasar a la siguiente Claudia como les mencionaba anteriormente otra de las dudas o de las preocupaciones más que todo que más que todo tienen tiene las empresas cuando ya han sufrido este tipo de de incidentes o ataques es que Cuáles son esas consecuencias verdad O sea lastimosamente es digamos la la primer como la primer reacción es decir cuál que cuál cuál pudiera ser la la consecuencia legal es decir voy a tener que pagar algún tipo de sanción eh Qué dice la normativa y y Este es otro desafío también porque a veces los equipos legales quienes están al frente de algunas empresas no conocen de la de

la normativa aplicable y este ah no voy a voy a hablar ahorita de la normativa no sé si tal vez Si podés retroceder una gracias entonces Y pues también los informáticos necesitan saber cuál es la normativa aplicable para saber cómo actuar verdad entonces en la región como les decía voy a hablar de de la región centroamericana existe normativa aplicable no solamente en materia de delitos informáticos sino que también en materia de protección de datos personales y voy a mencionar así de manera rápida Cuál es esta esta normativa en en El Salvador Guatemala Honduras Nicaragua y Costa Rica y por ejemplo en el caso del del Salvador nosotros no tenemos una ley de protección de datos

personales y bien existe normativa dispersa que o sectorial que regula de alguna manera los datos financieros Perdón los datos financieros los datos personales sensibles etcétera entonces pero no tenemos una una ley de protección de datos personales eh hasta esta fecha sin embargo sí ha habido proyectos de ley pero no tenemos una actualmente una ley vigente existe un reconocimiento al derecho en sí el derecho a la autodeterminación informativa los derechos arcos vía jurisprudencia de la sala de lo constitucional de la Corte Suprema de Justicia y pues ese es como el parámetro que es que es una sentencia bastante bonita para nosotros los abogados y sobre todo quienes nos especializamos en materia de protección de datos personales es es una sentencia muy buena

y bueno Guatemala no cuenta con una ley de protección de datos personales pero también según el caso podría aplicar otra normativa especial en el caso de de Costa Rica tiene una ley de protección de la persona frente al tratamiento de datos personales y un reglamento y también tiene una ley de información no divulgada en el caso de de Nicaragua tiene la ley siete ocho siete de protección de datos personales y Honduras no cuenta con una ley de protección de datos personales pero también según el caso podría aplicar otra normativa especial y eso es importante por lo que les decía verdad cuando cuando se sufre un un ataque existe una una podría existir una exposición de la

información que pudiera ser información confidencial y pudiera ser información personal Entonces es importante saber cuáles son las consecuencias y hasta dónde podría llegar ese daño es decir si únicamente sería un daño a la información de la empresa de que la empresa es propietaria o si También estamos hablando de que pudiera haber una vulneración de la información personal de terceros entonces por eso es importante saber cuál es la normativa que pudiera entrar en juego en materia de protección de datos personales ahora sí pudieran haber sanciones civiles administrativas por ejemplo ley de protección al consumidor ley de de sobre el uso de tarjetas de crédito o del sistema financiero etcétera yo quería enfocarme en la normativa aplicable en materia de

delitos informáticos y por ejemplo en el caso de El Salvador los delitos informáticos cibernéticos están tipificados en una ley especial que es la ley de delitos informáticos y conexos El Salvador no es dignatario del convenio de budapest Sin embargo sí ha habido interés en adherirnos como país y también el signatario del llamamiento de París para la confianza y la seguridad en el ciberespacio en el caso de Guatemala el código penal en el artículo 274 y una serie de literales tipifican algunos delitos que pudieran aplicarse en el caso de una exposición de datos tampoco es dignatario del convenio de de budapest también ha expresado interés en adherirse como país es también signataria del signatario del llamamiento de de París y en el caso de

Costa Rica los delitos cibernéticos van a estar tipificados en el en la ley noventa cuarenta y ocho de delitos informáticos y conexos que vino a reformar el código penal Como le decía Costa Rica en materia de de ciberseguridad creo que está un poco mejor porque tiene su política de ciberseguridad Pero además también ha ratificado el convenio de budapest de hecho es considerado un país Hub de la acción Mundial contra los delitos cibernéticos y este Bueno creo que que es digamos en en general o en cuanto a cultura de de seguridad informática y y la normativa creo que está un poco mejor Costa Rica Nicaragua en el va a tener algunos delitos cibernéticos tipificados en el código penal tampoco signatario

del convenio de budapest y finalmente Honduras Igualmente van vamos a encontrar algunos delitos informáticos en el código penal y no designatario del convenio de budapest entonces esto es básicamente O sea sí de manera bien resumida Cómo está la región en material normativa de protección de datos personales y de delitos informáticos creo que es importante también conocer esta normativa pero estudiar como decía al principio estudiar Cómo ha sido digamos el incidente que ha sufrido una empresa o por ejemplo si estamos queriendo prevenir en esta emulación de de riesgos que nos imaginemos el tipo de ataque Y qué tipo de datos pudieran llegar a a exponerse etcétera como para saber cuál es esta normativa aplicable entonces para eso es va a ser importante

y ahí sí voy a pasar a la otra diapositiva Clau va a ser importante apoyarnos en un equipo que pueda darnos este este enfoque que yo creo que es va a ser muy importante y es quizás como una de las de recomendaciones que les quiero dejar este día poder contar con un equipo que nos dé tanto un enfoque legal como un enfoque técnico pero que también nos dé un enfoque preventivo como un enfoque reactivo es decir que nos ayude a a mitigar estos riesgos entonces Y creo que esto es bien importante es es un desafío primeramente convencer a quienes a los propietarios o a los que dirigen empresas y negocios de la importancia de esto y lastimosamente se

ve la importancia o se ve esa necesidad hasta que ya se ha sufrido las consecuencias Pero en este día pues como estamos tratando de crear cultura en materia de seguridad informática Pues ese es el consejo verdad hacerlo antes así como como nos lo diría un doctor en medicina o sea curarnos en salud prevenir estos riesgos identificar quienes pueden ayudarnos en en ambos aspectos en lo técnico en Lo legal y creo que esto ha sido digamos una de las cosas que que me ha gustado también de este evento que podemos ir identificando a personas porque sí también a veces existe bastante temor o desconfianza desconfianza y quienes podemos apoyarnos precisamente porque porque por desconocimiento porque no sabemos

exactamente Más allá de la certificaciones quizás como decía Walter también eh en quienes podemos confiar verdad quién es Quiénes son informáticos que que trabajan con ética que pueden que pueden realmente asesorarnos no para vendernos un producto sino que para prevenir estos riesgos para mitigar riesgos entonces es bien importante que que vayamos también conociendo un poco más sobre estos temas conociendo a las personas y buscando diseñar estos planes antes de que de que nos pueda suceder un riesgo Porque no como como como pudieron ver O sea no solamente vamos a sufrir un riesgo técnico o los negocios están Digamos como con esa posibilidad de de sufrir un riesgo técnico sino que también pudieran haber consecuencias legales entonces sin embargo el desafío

es es generar esta confianza otro desafío es conocer o sea permitir que que las que las entidades que que las organizaciones que las empresas abran Esa esa puerta para que para que un equipo para que un abogado en informático pueda ayudarle de esta manera Entonces ese es otro de los desafíos y pues yo quedaría con esto no sé si si alguien tiene una duda si no pues para mí es digamos es un placer y al mismo tiempo es es un desafío abrir esta estas puertas generar confianza hacer conciencia sobre estos temas Pero al final yo creo que que todos salimos ganando no solamente los negocios porque esto Pues sí puede tener como les decía antes puede tener varias

consecuencias quizás uno de los de los que más preocupan a los negocios es el daño reputacional porque obviamente eso implica o pudiera implicar una Falta de confianza en en el negocio mismo y de la en lo posible es es bueno que que digamos que que no existe este tipo o que podamos prevenir este tipo de de daño reputacional y que si si sucede este este evento que por lo menos se proteja un poco más los intereses la reputación de la empresa y que y que sea digamos que esto se demuestre mediante la gestión de estos riesgos verdad porque Bueno podemos podemos sufrir algo pero si podemos demostrar o o le demostramos al público que lo hemos gestionado de la manera más

responsable pues eso habla bien también del del negocio entonces me quedaría con eso último y les agradezco bastante por haber organizado este evento y y a los demás a los hackers por haber participado también y por habernos compartido un poco de todo el conocimiento que tienen Muchas gracias Laura por tu participación Bueno creo que solamente hay hay una pregunta que digamos tú hablas de este tipo de apoyo queríamos Cómo debería estar conformado este tipo de apoyo y digamos en el caso de Pues los abogados y de las abogadas Como debería decir como ese perfil que lo conformes Sí fíjate que es súper buena esa pregunta porque por ejemplo cuando a mí me han buscado han pedido mi

opinión o quieren saber si si les podemos dar algún tipo de asesoría o si yo les puedo dar una asesoría Quizás mi mi primer respuesta sería yo sola no puedo darles una asesoría que sea integral porque tiene que haber digamos eso o yo prefiero creo que es lo mejor dar una asesoría integral que implique tanto lo técnico como lo legal y en lo técnico creo que va a depender quizás Ronald pudiera contestar mejor verdad o o algún otro de los de los hackers pueden pueden contestar mejor quién Cuál es el perfil que debería de ser el más adecuado y aquí yo por ejemplo cuando me llegan este tipo de de preguntas yo siempre pregunto primero a

los informáticos como que bueno Quiero saber qué es lo que tú me recomendás qué es lo que le podemos recomendar a esta a este negocio a esta persona a esta empresa y desde el punto de vista legal va a depender también de la naturaleza del negocio es decir a qué se dedica Qué tipo de información eh resguarda utiliza si es información que que es de sus propiedades Qué tipo de personas también atiende Qué tipo de clientes eso va a depender también de de digamos del de del conocimiento que pueda tener un abogado más bien de la asesoría que le pueda dar un abogado Porque por ejemplo eh casi siempre yo busco aliarme con con abogados que sean especialistas en

materia en derecho corporativo o derecho de consumo pero pudiera ser que estemos hablando de una empresa o una organización que atienda bastante a por ejemplo a grupos específicos pudiera ser grupo de de niños niñas adolescentes entonces ahí va a haber un tratamiento tiene que haber un tratamiento diferente de la información y pudieran pudiera haber normativa en materia de de niños niñas y adolescentes que que también aplique entonces creo que va a depender también de de esos detalles sin embargo yo creo que entre entre más especializado este este equipo creo que va a ser mejor y ahí es donde también pues uno como abogado como como informático tiene que tener esa apertura para guiarnos también y buscar ese

talento esos perfiles que nos que puedan apoyar cada una de nuestras áreas pudiera ser necesario también la colaboración de un penalista etcétera entonces sí creo que lo importante es esto verdad como como saber que que vamos muy probablemente a necesitar de un equipo de varios especialistas y que esa va a ser como la recomendación general verdad tanto en Si queremos prevenir como si queremos mitigar o sea decirle hacerle saber a los negocios que que un solo abogado o un solo informático probablemente no va a poder hacer todo el trabajo que necesite Entonces si no tener esta apertura dar esa recomendación para que al final se pueda atender Digamos como un mejor resultado un resultado más efectivo que sea

duradero en el tiempo verdad que que permita también prevenir otros incidentes en el futuro De acuerdo muchas gracias por la respuesta Laura y bueno ahora ya estamos llegando al final de este evento nos sentimos súper agradecidos por su participación por tener ponentes de alto nivel y bueno dejo a Ronald y vamos a proyectar aquí algunas noticias que les tenemos así como una sorpresa que había quedado hasta el final

bueno Muchas gracias de verdad Laura por por tu charla Gracias por compartirnos todo la parte legal y normativa Gracias de verdad ha sido para nosotros ha sido bueno un gran esfuerzo de reunir no solamente a todos los los speakers Y como dijo Laura y como la verdad Ahí hay que decirlo y no se asusten a todos estos saques y como ya lo dijo Jason todos nacemos Ah Pues todos esos nuestro primer evento de visa y Security Gracias de verdad gracias a Claudia con quien hemos estado durante ya un par de meses haciendo todo este todo este evento organizando todo para qué les dejamos bueno parte de de nuestros contactos Pues igual si quieren tanto a personas como a Laura quieren

contactar por cualquier tema igual relacionado en el caso de Laura relacionado a temas también de de legales y siempre en tecnología seguridad también un agradecimiento a nuestros aliados que bueno sin ellos la verdad que siempre están más nos han estado apoyando Gracias Muchísimas gracias tanto a Tech lovers FM que no ha estado dando el el apoyo la parte siempre de la de la comunicación en su programa de radio Muchas gracias a novios estudios legal como parte de Laura que igual siempre estamos de la mano visa y trabaja mucho de la mano y con Novis Muchas gracias a fortinet que también se se ha unido con nosotros y bueno vamos a tener una sorpresa por parte de fuerte para todos

los que se registraron y Bueno muchísimas gracias a la asi a la asociación salvadoreña industriales ya lo saben ya de los ya se los anunciaron las innovation viene pronto tal vez y ojalá también estemos como como innovation así que de verdad muchas gracias a nuestros aliados y bueno vamos a finalizar con algo Bastante especial que va a ser una rifa porque me han dejado Bueno no los tengo para acá pero no han dejado ahí bolsos y un termo me dijeron por parte de fortinet Igual muchas gracias nuevamente y cómo vamos a voy a presentarles a ver si me deja porque he tenido bastantes problemas

vamos a ver

y solo me avisan si me pueden ver

Claudia no sé me notifica si me puedes ver por ahí Si puedes si estoy proyectando la la Okay Perfecto perfecto okay vamos a tener más este sorteo un un una rifa van a tener vamos a tener dos ganadores obviamente por por los productos y para que nos digan de que yo me estoy inventando que ya al azar verdad vamos a tener que tenemos a 60 personas así que vamos a ver No son los ganadores a confirmar

y estos son los ganadores Álvaro Elmer Lucas Torres para que no se nos vaya a olvidar y María milagro Alicia González de Reyes Así que muchas felicidades quién se ganaron por lo menos era un Bolsón creo y un y un vaso Qué chévere así que de verdad Nuevamente muchas gracias a por la rifa gracias a nuevamente nuestros aliados Novis ah innovation wick así ya Take lovers FM que se viene antes de terminar qué se viene para a partir ya esperamos estamos en mayo verdad A partir de junio porque ya tenemos que comenzar a hacerlo ya tenemos y hasta no una nueva comunidad arte Box Mira El Salvador comenzamos vamos a estarlo haciendo los sábados vamos a hacer

para comenzar platicar con máquinas para que se puedan unir ya les vamos a dar siempre por atreve por lo menos ahorita por la a través de El tweet de Twitter de Security ahí les vamos a estar comunicando un poco ya vamos a crear las redes sociales para hacked box Mira comenzamos con reuniones virtuales pero ahí vamos a llevar a nivel presencial Así que muy pendientes de esto muy pendientes de Mira El Salvador ya iniciamos con eso ya estamos ya oficialmente y Bueno terminamos verdad muchas gracias de verdad muchas gracias a todos y tengo un agradecimiento bastante especial va para para Perú Muchísimas gracias para Alexis Torres que de visas en Perú que nos ha estado ayudando toda esta

semana para la transmisión de todo este evento nos ha tenido una paciencia increíble para para llevar a cabo todo esto toda esta transmisión para todos ustedes así que de verdad Muchísimas gracias Alexis esperamos tenerte el otro año para visa aquí para pupusas Así que verdad muchas gracias y muchas gracias a todos ya se los dijeron y se los vuelvo a repetir se los han dicho en las diferentes charlas seguridad ofensiva ayuda con seguridad defensiva no olvidemos las normativas olvidemos siempre pedir la esas esos consejos esas asesorías tanto a por parte legal Sí ahí tienen a Laura y tienen a Claudia quienes les pueden solicitar total ayuda en el tema y obviamente hay aquí en el

país y igual tenemos la ayuda de todos nuestros speakers toda la cantidad de hackers Así que tienen par tenemos para Por decirlo darnos gusto asesorando y mejorando la seguridad no solo en esas empresas sino que del país sí que verdad Muchísimas gracias terminamos aquí y puedo terminar con aquellas vidas A qué absolutamente la sociedad aquí en todo lo que estén haciendo y haz de Planet gracias y nos estamos viendo gracias

[Música] [Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música]

[Música] [Música]

[Música] [Aplausos] [Música]

[Música] [Música]