Una plataforma de jornadas de ciberseguridad creada por y para estudiantes en la que pretendemos compartir conocimientos relacionados con la Seguridad Informática.
Ciberseguridad en Blockchain y Smart Contracts: Explorando los desafíos y soluciones
En la actualidad, la tecnología blockchain y los smart contracts están revolucionando la forma en que interactuamos con la información y realizamos transacciones. Sin embargo, esta innovación no está exenta de desafíos en cuanto a la ciberseguridad se refiere. En esta charla, exploraremos los desafíos desde el punto de vista de la ciberseguridad en blockchain y smart contracts, así como las soluciones y enfoques para mitigar los riesgos asociados. A medida que continuamos adoptando estas tecnologías disruptivas, es fundamental comprender y abordar adecuadamente los aspectos de seguridad para minimizar los posibles riesgos. Entre los puntos a tratar podemos destacar:
1. Fundamentos de Blockchain y Smart Contracts
2. Desafíos de Seguridad en Blockchain
3. Seguridad en Smart Contracts
4. Auditorías y Pruebas de Seguridad en smart contracts
Phish and tricks: Consejos y trucos para preparar/Evitar un phishing
Phish and tricks: Consejos y trucos para preparar/Evitar un phishing trata sobre cómo se debe de realizar un buen phishing para usos en ejercicios de concienciación y red teaming así como detectar elementos clave para detectar y responder ante posibles correos o intentos de phishing.
En esta charla se explicarán diferentes procedimientos y herramientas para acceder a cuentas de varios servicios de forma ilegítima mediante phishing. Abriendo sesiones web ilegítimas de servicios de mensajería como whatsapp, telegram o discord mediante QR's maliciosos (usando herramientas como evilqr) Evasión del 2FA utilizando proxys inversos y ataques MITM (ejemplo práctico utilizando el framework Evilginx2)
Se explicara los detalles de la vulnerabilidad mnemonic en plaintext de una browser extension wallet, y como hacer que esta vulnerabilidad se pueda explotar de manera remota encadenando una serie de tecnicas Red Team. El resultado sera la exfiltracion de su mnemonic y poder robar sus funds (e.g Bitcoin) Que podría salir mal haciendo las cosas mal!.
Abordo el mito en torno al Flipper Zero, y destacó que su impacto dependerá de quién lo utilice. Analizo sus posibles usos tanto para el mal como para el bien, resaltando su potencial para actividades maliciosas y su capacidad para fortalecer la seguridad informática y promover la investigación en ciberseguridad. En una comparativa exhaustiva, exploro los riesgos asociados con un mal uso y los beneficios de su aplicación responsable. Mi objetivo es desafiar el mito y fomentar una comprensión equilibrada de este dispositivo multifacético que puede influir tanto de manera negativa como positiva en el ámbito de la seguridad digital. Y para finalizar mostraré algunos casos reales de su uso.
Sedinho cruza el charco: Evolución e impacto en España de los troyanos bancarios con origen en Latinoamérica
Los troyanos bancarios dirigidos a sistemas Windows llevan muchos años afectando a usuarios de América Latina, con sus peculiaridades en las tácticas, técnicas y procedimientos usadas por los delincuentes responsables de su desarrollo. Fue a principios de 2020 cuando se empezaron a detectar campañas masivas con objetivos fuera de su región habitual de actuación, con especial énfasis en España y Portugal.
Desde entonces, estas campañas no han cesado y son varias las familias de malware que han ido evolucionando para tratar de ser más efectivas, incluso llegando a colaborar varios grupos de delincuentes diferentes en varias de estas campañas y compartiendo su infraestructura. Toda esta evolución se ha realizado a pesar de que el malware bancario realizó durante la pandemia una migración importante desde sistemas Windows a Android.
En esta presentación analizaremos los motivos por los cuales los delincuentes detrás de estas amenazas han tenido éxito a pesar del incremento en las medidas de seguridad de la banca online, a la vez que desvelaremos los últimos resultados obtenidos tras analizar las campañas más recientes de estos troyanos.
JavaScript Under Attack, A Deep Dive into Prototype Pollution
Sumérgete en la complejidad de la contaminación de prototipos en JavaScript, una vulnerabilidad que permanece silenciosa a pesar de las posibilidades que nos brinda. En esta charla, exploraremos cómo el "Prototype Pollution" puede comprometer la integridad de las aplicaciones, enfocándonos en la interacción con librerías conocidas como 'axios'. Mediante demostraciones prácticas, ilustraremos cómo se materializan estos vectores de ataque y las estrategias de mitigación necesarias para reforzar la seguridad de las aplicaciones web.
En la ponencia, se explicará la tecnología Blockchain, sus protocolos, oráculos, Smart contract etc. Se expondrán las principales vulnerabilidades conocidas y se enseñará cómo iniciar en la búsqueda de vulnerabilidades en este nuevo mundo.
En busqueda de la exfiltracion: lecciones aprendidas de un threat hunt.
Durante esta charla de 30 minutes se hara una introduccion al Threat Hunting y se describira un Hunt realizado en la empresa donde trabajo (Salesforce) de 1 mes de duracion cuyo objetivo era detectar posibles exfiltraciones de informacion (cierto detalles seran omitidos por cuestiones de privacidad de la empresa). El objetivo de la charla sera que la experiencia adquirida sea de ayuda a otros hunters cuando realizan hunts basados en exfiltracion, y para estimular a nuevos hunters que deseen ingresar en este campo.