Los pasados 12 y 13 de abril se celebró la cuarta edición de #CONPilar, el Congreso de Ciberseguridad de Zaragoza, que ha vuelto a ser un éxito de participación reuniendo en la capital aragonesa a grandes nombres del panorama de la ciberseguridad nacional.

Este congreso nace hace cuatro años de la mano de Susana González, abogada especialista en Compliance, Protección de Datos y Ciberseguridad, con la intención de crear un evento “diferente”, en el que aunar ciberseguridad, hacking, concienciación y derecho tecnológico, con “buen rollo”, cuidado por los detalles y un ambiente inmejorable, para lo que ha sabido rodearse de un fantástico equipo de colaboradores y partners con los que año a año se supera.

Tres eventos con un hilo conductor: la ciberseguridad

CONPilar engloba tres eventos en uno. Comienza el viernes con la edición anual de Hack&Beers Zaragoza para dar paso al congreso en sí que se desarrolla durante toda la jornada del sábado, en paralelo a Hack&Kids, un evento especialmente creado para acercar la ciberseguridad, el hacking y la concienciación a los menores.

La edición de este año, al igual que los dos anteriores, se celebró en eTopia_, centro de arte y tecnología del Ayuntamiento de Zaragoza, colaborador indispensable en la organización del evento.

La Hack&Beers by CONPilar de este año contó con la participación de Eloy Villa, Oscar Navarrete y Roberto Bazán, con 3 charlas absolutamente diversas en su temática y contenido, pero igual de apasionantes.

Eloy (@informaticaeloy) presentó un dispositivo de fabricación propia capaz de detectar, mediante hardware, si se ha conectado un USB malicioso (tipo duck) en un puerto. No existe ninguna solución similar en el mercado, lo cual ya da una idea de lo potente de su estudio y desarrollo.

Mientras los asistentes disfrutaban de sus cervezas Califa edición Hack&Beers, Oscar Navarrete (@navaguay) presentó una verdadera Master Class sobre el fraude del CEO y las distintas posibilidades de suplantación de identidad mediante correo electrónico. SPF, DKIM y DMARC, como protocolos y mecanismos de seguridad, perfectamente explicados en su funcionamiento y también en cómo “bypassearlos” (si no, esto no sería una Hack&Beers) para una charla aparentemente menos técnica, pero igual de potente.

Para cerrar la edición de Hack&Beers, aperitivo de CONPilar, Roberto Bazán (Adidas) trató de acercar el funcionamiento de las API a todos los asistentes, sus riesgos, cómo explotarlos y cómo mitigarlos, en una charla muy técnica, de un nivel muy alto, pero igualmente interesante.

Buen ambiente, buenas charlas y buena cerveza hicieron que, con 200 asistentes, se colgase el cartel de “no hay billetes”.

conpilar con pilar david melendez zaragoza drones charla ciberseguridad hacking 2019
David Meléndez, uno de los ponentes del congreso, durante su charla en CONPilar 2019 (Foto: José Fernández Sánchez)

Hacking desde todos los ángulos

El plato fuerte de CONPilar19 llegaría al día siguiente: nada menos que 10 charlas y dos talleres, un reto CTF y una Olimpiada de Programación (además del Call for Papers) en el evento principal, más 6 charlas y talleres en Hack&Kids, era la propuesta para el sábado 13. El congreso, co-presentado por Susana González y Eneko Delgado se mantuvo al nivel de la jornada anterior, que ya se preveía dada la calidad de los ponentes.

Pablo Ballarín (Balusian) y Roberto García Trillo (Telinsec) abrieron el fuego con una ponencia sobre el hackeo de dispositivos de control sensorial. Comprobar las posibilidades de que puedan adentrarse en nuestro cerebro y saber lo que pensamos es, sin duda, un buen modo de mantenernos alerta.

Con su inconfundible humor murciano, Joaquín Molina (@kinomakino), introdujo la eterna lucha entre buenos y malos y las diferencias de enfoque entre los equipos Red Team y Blue Team. Todo ello acompañado de consejos y verdades como puños para todos aquellos que quieran iniciarse en la seguridad informática.

Tras la pausa para el café, la más cruda realidad del cyberbullying, el acoso y la extorsión llegó de la mano de Ruth Sala y Carmen Basagoiti (fundadoras de LegalConsultech), quienes expusieron ejemplos y casos reales de hasta dónde pueden llegar estas prácticas.

Damián Sánchez, director de Safe Creative, continuó con una charla acerca de la obtención de evidencias objetivadas en entornos Digitales y cómo llevar a cabo una investigación y combate efectivo de las infracciones cometidas a través de la red.

Para cerrar la mañana de CONPilar19, Vicente Aguilera y Carlos Seisdedos (ISEC Auditors) presentaron su estudio de ciberinteligencia sobre Twitter y su capacidad como herramienta para captar votos. Un completísimo análisis del más de medio millón de tweets de los líderes de los principales partidos, metidos de lleno en plena campaña electoral.

Interesante estudio que refleja estrategias y prácticas como el astroturfing por parte de todos los partidos con tal de intentar captar y dirigir el voto.

Tras la pausa para comer (hay que hacer mención a que, tanto la comida como los coffee-breaks, estaban incluidos en el registro del congreso, lo que es absolutamente inusual en un evento que es completamente gratuito para los asistentes), la tarde fue al menos tan potente como la mañana.

Guillermo González (KPMG), con una simulación de ataques avanzados, se adentró en el mundo de las APT con un enfoque metodológico que hizo que el auditorio (lleno pese a ser sábado por la tarde) no echara de menos la siesta.

El mundo del IoT llegó a continuación al escenario de CONPilar de la mano de Carmen Torrano (Eleven Paths). Una fantástica ponencia sobre los retos que suponen securizar la conexión entre dispositivos que inicialmente no han sido diseñados para estar conectados y cómo ello puede convertirse en la gran oportunidad de rediseñar nuestra sociedad.

Para la parte final del congreso dos charlas sobre drones igual de interesantes y, a la vez, divertidas. Julio san José (Derecho de la Red) casi quita las ganas de tener un dron a los asistentes, con su completo repaso a lo que se puede y no se puede hacer con ellos, cuándo un dron pasa de ser un juguete a una aeronave o dónde se puede volar uno y en qué condiciones, explicado de un modo muy cercano y divertido.

David Melendez (@taixonTexas) aterrizó a continuación con su Proyecto Interceptor presentado en la DefCon de Las Vegas. Pretender hacer un dron con palillos chinos ya parece una locura. Pero si además pretendes que sea capaz de hackear WiFis y, a la vez, que no sea hackeable, roza lo imposible. Pues eso exactamente es lo que es el Proyecto Interceptor de David. Increíble.

Drones y ciberseguridad: “La wifi es la mayor vulnerabilidad de un dron”

Y como cierre del congreso, y como es ya tradición en CONPilar, se ofrece al ganador del Call For papers el escenario del evento para que presente su ponencia. En esta ocasión, dlas ganadoras fueron Sheila Queralt y Selva Orejon (OnBranding) quienes expusieron las características de una investigación de lingüística forense y cómo esa especialidad les ayudó en el caso de Rodrigo Nogueira. Es verdaderamente sorprendente la cantidad de rasgos que se pueden determinar de una persona analizando la manera en la que escribe.

10 charlas de lo más variado, todas ellas enormemente interesantes y presentadas por reconocidos expertos en cada campo, de lo mejor del panorama nacional actual.

Talleres: de la teoría a la práctica

Por si fuera poco, dos completísimos talleres (de casi cuatro horas cada uno y también a coste cero para los asistentes) se desarrollaron durante la jornada del sábado.

Por la mañana, un taller enfocado a directivos sobre presencia digital en internet y cómo identificar y protegerse de los riesgos a cargo de Pablo F. Iglesias (@PYdotcom), y por la tarde, un completísimo taller de forense móvil en Android a cargo de Buenaventura Salcedo (@nomed__1).

Ambos talleres agotaron las entradas a las pocas horas de abrirse el registro y supusieron un aprendizaje increíble a quiénes tuvieron ocasión de conseguir plaza.

Como cierre, se entregaron los premios de los distintos retos (CTF y Olimpiada de Programación), hubo sorteos para los asistentes (con multitud de premios entre los que destacan una beca de ISACA y un curso de SEAS valorado en más de 1000€) y la impagable satisfacción de escuchar, de boca de los propios hackerkids, cuál habían sido sus experiencias en los talleres y charlas de Hack&Kids (que también estuvieron llenos todo el día, mañana y tarde, con más de 30 niños por charla/taller).

Escuchar sus conclusiones, lo que habían disfrutado y qué vivencias destacaban fue el perfecto y mágico colofón a dos jornadas que cumplieron con creces su objetivo: acercar y concienciar sobre seguridad a los más de 500 asistentes y colocar a Zaragoza en el mapa de la ciberseguridad española.

Susana y su equipo, junto con sus patrocinadores (Dasit, KPMG, Tecnologia EsPúblico, Proautor, Lisa Seguros, Balusian, Integra y Ceste) han colocado el listón muy alto y son, sin duda, uno de los eventos de referencia en el campo de la ciberseguridad.

Deja un comentario