Madrid ha sido estos días un punto de encuentro para expertos en ciberseguridad, ingenieros informáticos y hackers dentro del evento RootedCON 2024. La XIV edición del congreso ha batido récord de asistencia en Madrid con más de 6.000 profesionales, superando los 4.000 asistentes de la edición anterior.
RootedCON 2024 ha sacado a la luz numerosos temas importantes para la ciberseguridad española, entre los que están vulnerabilidades significativas en infraestructuras críticas españolas, tales como la red ferroviaria, el sistema eléctrico o los peligros del phishing.
Según palabras de Arantxa Sanz, presidenta de RootedCON, ha declarado que “estamos muy satisfechos con la acogida de esta edición y ser cada vez un referente más sólido para los profesionales en ciberseguridad, no sólo en España sino también fuera de nuestras fronteras. Este 2024, además, habrá grandes anuncios como nuestro salto internacional para acercarnos aún más a este público. Panamá y Portugal son nuestras próximas fechas confirmadas, pero atentos, porque no será la única novedad este año”.
Por su parte, Román Ramírez, uno de los fundadores de RootedCON, ha explicado que “este año RootedCON 2024 ha sido testigo de anuncios y novedades alucinantes con ponencias de primer nivel. Temas de inteligencia, hacking… Entre todos ellos, destacar la nueva tendencia que va a imperar en el mundo de la ciberseguridad, el hacking de hardware. El software cada vez está más controlado y poco a poco con el hardware vamos a abrir un nuevo horizonte de cosas que se pueden hackear”.
Vulnerabilidades críticas en infraestructuras
En este sentido, uno de los temas a tener en cuenta comentado por expertos en RootedCON ha sido la exposición de fallos en la seguridad en infraestructuras críticas. Por ejemplo, la de ciertas balizas de la red ferroviaria española. La posibilidad de que estas balizas sean hackeadas podría paralizar sectores importantes del transporte en tren, según explicaron David Meléndez Cano y Gabriela García.
Por otro lado, el sistema eléctrico también presenta vulnerabilidades que podrían ser explotadas para realizar sabotajes. Miguel Ángel Sánchez y Sergio Valle, de la firma de ciberseguridad Arteche, hicieron hincapié en cómo ciberataques dirigidos a redes eléctricas están frecuentemente motivados por tensiones geopolíticas. Un fallo en el sistema eléctrico no solo causaría pérdidas millonarias, sino que también detendría actividades esenciales de la sociedad.
Marc Rivero y Sandra Bardón presentaron un análisis detallado del grupo APT MuddyWater, conocido por sus ataques cibernéticos, que se extendieron a Medio Oriente, Europa y Estados Unidos.
Chema Alonso volvió a RootedCON un año más para presentar las nuevas propuestas en ciberseguridad que se han realizado en Telefónica relacionadas con la Web, GenAI y la red en su charla “Crazy {Web|GenAI|Net} Cybersec Ideas”.
Por su parte, Pablo San Emeterio abordó las tecnologías de monitorización de la superficie de exposición en la ponencia «ASM & IA, What’s next?»
El factor humano en la ciberseguridad
En el congreso también se trató la importancia del factor humano en ciberseguridad. Las personas son a menudo el eslabón más débil en la cadena de defensa contra ciberataques. El phishing, una técnica de ingeniería social, se aprovecha precisamente de esto, al engañar a los usuarios para que revelen información confidencial, como contraseñas o datos bancarios, a través de correos electrónicos o mensajes que parecen provenir de fuentes legítimas.
RootedCON además de para descubrir vulnerabilidades en infraestructuras críticas, también ha servido para analizar el comportamiento de los usuarios en el entorno digital y el phishing. Desde la utilización continua del bluetooth en dispositivos móviles hasta patrones predecibles en la creación de contraseñas, los usuarios a menudo dejan abiertas puertas traseras a su privacidad. Jezer Ferreira ofreció una perspectiva sobre cómo estos comportamientos pueden facilitar el trabajo de ciberdelincuentes con intenciones maliciosas.
La educación y la concienciación sobre ciberseguridad son esenciales para fortalecer este eslabón, enseñando a los individuos a reconocer y responder adecuadamente ante intentos de phishing y otras amenazas similares, minimizando así los riesgos asociados al factor humano.
El congreso abarcó otros muchos temas alrededor de la ciberseguridad, como el emprendimiento. La mesa redonda “RootedPanel de EMPRENDIMIENTO” en la que participaron referentes como Daniel Solís, Santiago Moral, Juan López Santamaría, Eduardo Di Monte y Román Ramírez abordó cómo emprender y crear un nuevo proyecto y lograr financiación y apoyo. También contaron con la presencia de Pedro Castillo, fundador del único unicornio español, Devo, y fundador y CEO de Onum.
Ofelia Tejerina, presidenta de la Asociación de Internautas, ofreció una charla sobre las novedades de la Asociación, titulada «Desde 1998 en Internet: remember, rethink & AI revival».
Asimismo, Mónica Valle impartió la ponencia “Take the Red Pill: “Que la realidad no te estropee un buen cibertitular”, en la que abordó el tratamiento de los temas relacionados con ciberseguridad en los medios, mostrando la relación entre el periodismo, la ciberseguridad y el hacking.
Brechas de seguridad en cascos inalámbricos Bluetooth
El congreso también fue escenario de demostraciones de brechas de seguridad. Investigadores españoles Jesús María Gómez y Antonio Vázquez de Tarlogic pusieron de manifiesto una de estas amenazas al demostrar cómo pueden tomar el control de dispositivos Bluetooth, incluidos auriculares inalámbricos, pulseras y relojes inteligentes, sin que los usuarios sean conscientes. Activando la prueba durante el congreso, lograron sortear las conexiones de una veintena de dispositivos, incluyendo auriculares, televisores y routers.
Esta muestra, parte de una práctica conocida como «revelación responsable», destaca una vulnerabilidad crítica que permite a los atacantes activar el micrófono de los dispositivos, exponiendo datos personales y secretos industriales. La clave de esta vulnerabilidad radica en el mantenimiento de conexiones Bluetooth sin el conocimiento del usuario, un riesgo que persiste tanto en entornos personales como corporativos, donde los dispositivos pueden permanecer conectados durante toda la jornada laboral.
Aunque la firma presentó una metodología de seguridad para mitigar estos riesgos, la responsabilidad principal recae en los fabricantes, quienes deben mejorar las protecciones de sus dispositivos. Para los usuarios, desconectar el Bluetooth puede ser una medida preventiva, pero la urgencia de la acción recae en la industria para garantizar la seguridad de los dispositivos frente a estos ataques, incluso cuando se promocionan como seguros.
La revelación de esta vulnerabilidad destaca la necesidad continua de vigilancia y acción en el ámbito de la ciberseguridad, donde la protección de datos personales y la seguridad digital se vuelven cada vez más críticas en un mundo interconectado.
En el propio contexto de la RootedCON también tuvo lugar la HackerNight. Un evento nocturno donde más de 110 hackers pasaron la noche buscando bugs y vulnerabilidades en plataformas privadas y fueron recompensados económicamente por cada una de ellas. El año pasado hubo en juego un millón de euros, cifra que se ha superado este año alcanzado un fondo de un millón cuatrocientos mil euros.