miércoles, 18 de octubre de 2017

Mi experiencia en el BSides LATAM 2017 en Medellín - Colombia


El pasado 2 de Septiembre se llevo a cabo este fantástico evento, en el cual tuve la enorme oportunidad de participar y vivir esta gran experiencia de ser parte del BSides LATAM 2017.

Todo arrancó el día Viernes 1 de Septiembre, después de un largo viaje de poco más de 13 horas, haciendo escalas en distintas ciudades hasta llegar a mi destino, en la mañana y ya cerca del medio día llegue al hotel que nos había reservado la organización, que por cierto estaba de 10 puntos. Allí coincidí con algunos speakers, entre ellos el gran Hugo Bayona, al cual tuve la oportunidad por fin de conocer en persona. Más adelante hablaremos algo más de él.

jueves, 31 de agosto de 2017

BSides LATAM 2017 en Medellín - Colombia


Uno de los colegas de buen contacto que logre hacer en el pasado PerúHack fue Alexis Torres (@Lu4m75), él fue la primera persona que tomo contacto conmigo en la antesala del evento. Por supuesto desde entonces nuestra vinculación fue algo más notoria. En una conversación que sostuvimos por chat a finales del mes de Mayo me recomendó dar un vistazo al BSides de Colombia (@BSides_CO) y enviar mi “paper” a dicho evento. Recuerdo que en aquel entonces estaba abierto el CFP para dicho evento. Después de la recomendación de Alexis por supuesto no dudé en hacerlo.

sábado, 26 de agosto de 2017

Hack-4-Tarija en La Paz


Hace cuestión de un par de semanas (aproximadamente) Rubén Suxo (@ru316) y yo reunidos comenzamos a hablar de que más cosas hacer. Inspirados por el gran Maxi Soler (@MaxiSoler) y el proyecto 1 Hack para los Chicos de Argentina, fue que a Rubén se le alumbró la bombilla mental y dijo: "Ya está, podemos hacer un evento y recaudar víveres para los damnificados de Tarija".

Dicho y hecho, rápidamente empezamos a movernos en organizarlo todo, de lo primero, fue escribir a Sergio Martín Alarcón del centro de espacios de trabajo y coworking Squemas, quien se mostró totalmente predispuesto y colaborativo.
Luego tocó contactar a Cesar Cuenca (@ccuencad) y Erick Calderón (@3v11r7u), quienes se unieron a la causa prácticamente “ipso facto”. Estamos enteramente agradecidos con ellos por esto.

Y nada, de esta manera ha quedado conformado este evento benéfico que se hará hoy sábado 26 de Agosto en horas de la tarde.
Esperamos que todo vaya genial y por supuesto que la gente se acerque y contribuya con esta buena causa. Por mi parte es un honor poder compartir en este evento con gente tan grande como la que está presente en el cartel.

Allí nos veremos...

Autor: UnD3sc0n0c1d0
Playlist: Diocletian - Doom Cult (https://youtu.be/JgpVMZHjZHM)

viernes, 18 de agosto de 2017

Debian Day 2017 en La Paz


El pasado 8 de Agosto, el colega Boris Cusicanqui (@boriszaurio) me escribía por twitter preguntándome si no me interesaría participar de este evento llamado Debian Day que se haría en la UMSA. Yo le contesté inmediatamente indicando que por supuesto me gustaría ser parte del evento, entonces los chicos de la organización se movieron para incorporarme al grupo de Telegram que habían preparado para la coordinación interna entre ponentes, organización y otros autores.

domingo, 23 de julio de 2017

Creación de falso AP y captura de credenciales con mitmAP

El pasado viernes a horas de la tarde mientras me encontraba preparando algo de material que mostraría a los chicos en el curso de EH que estoy dando en la academia Tekhne (@Tekhne_), me dispuse a hacer pruebas con esta herramienta escrita en python creada por el investigador de seguridad húngaro David Schütz (@xdavidhu).
Bien, para ello en primer lugar, me dispuse a revisar el GitHub del aplicativo (https://github.com/xdavidhu/mitmAP) y me percaté que esa misma tarde se acaba de actualizar la herramienta desde la versión 2.1 a la versión 2.2. Por lo tanto, procedí a descargar dicha actualización a ya que estaba con ello, me dio por preparar este breve tutorial.

sábado, 15 de julio de 2017

Mi experiencia en la Jornada de Seguridad Informática en la UNAS de Tingo María


Mientras escribo esta entrada me encuentro en el aeropuerto de la ciudad de Huánuco, me acaba de dejar en este lugar el bueno de William Marchand (@William Marchand) quien fue uno de los principales anfitriones de mi estadía a la ciudad de Tingo María.
Hoy día viernes 14 de Julio ya me encuentro en disposición de regresar a mi ciudad de origen (La Paz), pero antes me espera una pequeña parada en la capital del Perú, Lima. Me encuentro bastante exhausto, ayer fue una jornada extensa e intensa, pero una vez realizado los deberes que me tocaba (charla + taller), me encuentro con gran satisfacción en mi interior.

martes, 11 de julio de 2017

Esta semana todos a la Jornada de Seguridad Informática en la UNAS


Fue a finales del mes de mayo que recibía un mensaje vía twitter de mi colega William Marchand (@WilliamMarchand), a quien tuve la oportunidad de “desvirtualizar” en la pasada edición del PerúHack 2017. William me escribía en aquel entonces para tantearme o más bien consultarme sobre mi interés por participar en un evento en la ciudad donde reside. Por supuesto, yo acepté de inmediato dicha invitación. Le comenté que para mí siempre es un honor que puedan contar conmigo.
William me propuso dar tanto una charla, como un taller de unas 3 o 4 horas. Así que yo le plantee, como no puede ser de otra manera, hablar de Parrot Security OS y en ese sentido, dar un taller orientado al hacking con esta distribución como base. William aceptó y yo me puse manos a la obra para trabajar en un taller con contenido interesante. Sin complicarme demasiado con el nombre del taller, decidí bautizarlo directamente como: “De 0 a Samurái con Parrot Security OS”.
Sobre la charla, justo durante esos meses del año me encontraba trasteando con algunas fugas y exposiciones deliberadas, por tanto se me ocurrió que sería interesante llevarle a los chicos una charla sobre, privacidad, protección de datos y crimen organizado. A la charla la titulé: “¡Dime donde postulas, y te diré quién eres!”. Espero que el contenido de mi charla les resulte tan entretenido e interesante, tanto como me lo está resultado a mí elaborarlo.

lunes, 10 de julio de 2017

Webinar Gratuito: Nuestra privacidad digital en la era moderna

Nuestra privacidad digital en la era moderna
Ponentes: Daniel Medianero (@dmedianero), Emiliano Piscitelli (@emilianox), Ricardo Supo (@ricardosupo) y Juampa Rodríguez (@UnD3sc0n0c1d0)
Fecha: Martes 11 de Julio
Horario: 16:00 Hrs. (GMT-04:00)
Organiza: WebinarsLibres
Información: En este enlace

miércoles, 5 de julio de 2017

Webinar Gratuito: Escribir un plan de continuidad del negocio de acuerdo a la ISO 22301

Escribir un plan de continuidad del negocio de acuerdo a la ISO 22301
Ponente: Antonio Segovia
Fecha: Jueves 6 de Julio
Horario: 12:00 Hrs. (GMT-04:00)
Organiza: 27001 Academy
Información: En este enlace

lunes, 19 de junio de 2017

Webinar Gratuito: Redes más seguras con Machine Learning

Redes más seguras con Machine Learning
Ponente: Rafa Sánchez (@R_a_ff_a_e_ll_o)
Fecha: Martes 20 de Junio
Horario: 16:00 Hrs. (CET)
Organiza: LUCA Talks
Información: En este enlace

Webinar Gratuito: Hunting your password! "aKa wpad"

Hunting your password! "aKa wpad" 
Ponente: Alexis Torres Pardo (@Lu4m75)
Fecha: Martes 27 de Junio
Horario: 21:00 Hrs. (GMT-05:00)
Organiza: Open-Sec
Información: En este enlace

Webinar Gratuito: Recopilar Informacion con Kali Linux

Recopilar Informacion con Kali Linux
Ponente: Alonso Caballero Quezada (@Alonso_ReYDeS)
Fecha: Jueves 29 de Junio
Horario: De 17:00 a 18:00 Hrs. (UTC-05:00)
Organiza: Alonso Caballero Quezada / ReYDeS
Información: En este enlace

miércoles, 14 de junio de 2017

Mi experiencia en el PerúHack 2017

[Nota previa] A decir verdad, no tengo perdón al publicar esta entrada en estos momentos, y es que desde que se realizó este evento ya ha pasado al menos 1 mes y yo vengo ahora con esto (aunque la había empezado a escribir prontamente, no fue hasta hoy que me dio por concluirla). Pero bueno, no quería dejar de hacerlo porque a través de esta manera quiero dejar plasmadas mis palabras de agradecimiento a la organización y a los compañeros anfitriones. Va en honor a vosotros señores!

Aquí empieza todo os lo juro ---> De este hecho ya ha pasado al menos una semana y bueno he querido dejar plasmada esta mi reseña sobre mi experiencia en el evento PerúHack 2017 en agradecimiento y honor a los muchachos que hicieron mi estadía en Lima bastante cómoda y muy agradable. Seguramente no les haga mucha gracia el verse tan señalados, pero no puedo pasar por alto el agradecerles una vez más a los señores: Walter Cuestas (@wcu35745), Juan Oliva (@jroliva), Alexis Torres (@Lu4m75) y Grover Cordova.

lunes, 12 de junio de 2017

Tratamiento de Metadatos con ExifTool en Parrot Security OS

Este se convierte así como mi primera entrada “técnica” con Parrot Security OS y la verdad que me alegra que venga de la mano de esta entretenida herramienta que se utiliza para el tratamiento de los metadatos que contiene un fichero. Estoy hablando de ExifTool de Phil Harvey.

Efectivamente señores, hay más vida después de Foca. ExifTool viene siendo la alternativa (y que buena alternativa), a la herramienta del señor del gorro. Esta herramienta es netamente por consola, aunque hace un momento me acabo de enterar que ya hay una GUI (Interfaz gráfica de usuario) escrita en python, me pareció leer, que se adapta bastante bien a ExifTool para quienes todavía les asusta levantar una terminal. Bueno, me dejo pendiente el indagar un poco más en esa GUI y escribir otra entrada.

Adentrándonos en Parrot Security OS

Un día como hoy estaba convencido que llegaría. Desde que llegué a esta, la que se ha convertido en mi distribución favorita de GNU/Linux a día de hoy, y que fui dando cada vez mayor protagonismo, sabía que esto de tenerlo como sistema operativo base, era cuestión de tiempo.

Durante los últimos meses, como bien sabéis, he sido bastante insistente (y tal vez pesado), con la utilización de Parrot Security OS. Siempre he dicho lo mismo, en cualquier ocasión que tenía la oportunidad de hablar o comentar, siempre metía por delante a Parrot. Incluso charlas como las tituladas: “Pentesting con Parrot Security OS” o “Parrot Security OS - La solución de un pentester”, eran meras excusas para lograr hablar de Parrot y de esta manera hacer lo que se conoce como “evangelizar”.
Fue justamente en este tipo de charlas, que si bien no me sentía tanto así como incómodo, tengo que aceptar que era bastante rato el tener que decir lo de: “Chicos, usar Parrot, es una buena opción...” y yo con mi Kali Linux 2016.2 abierto. Creo que alguno podía pensar que yo perdía credibilidad con este hecho. Hasta aquel momento tan solo lo virtualizaba.

miércoles, 7 de junio de 2017

Webinar Gratuito: ISO 22301 - Resumen del proceso de implementación de GCN

ISO 22301 - Resumen del proceso de implementación de GCN
Ponente: Antonio Segovia
Fecha: Jueves 22 de Junio
Horario: 12:00 Hrs. (GMT-04:00)
Organiza: 27001 Academy
Información: En este enlace

Webinar Gratuito: ISO 27001 - Resumen del proceso de implementación del SGSI

ISO 27001 - Resumen del proceso de implementación del SGSI
Ponente: Antonio Segovia
Fecha: Jueves 8 de Junio
Horario: 12:00 Hrs. (GMT-04:00)
Organiza: 27001 Academy
Información: En este enlace

lunes, 5 de junio de 2017

Instalación básica de Kali Linux 2017.1 a través de VirtualBox

De igual manera que en la anterior entrada, aquí les dejo el vídeo tutorial de la instalación básica a través de VirtualBox de Kali Linux, en su versión más reciente, 2017.1.


Autor: UnD3sc0n0c1d0
Playlist: Von - Satanic Blood (https://youtu.be/t-ek8qD4fjg)

Instalación básica de Parrot Security OS v3.6 a través de VirtualBox

Hace un par de semanas he empezado a dar un curso de Ethical Hacking en la academia de la empresa Tekhne. Ellos contactaron conmigo pidiéndome que les apoye en este sentido, yo con sumo gustó acepté.

Bien, como parte del material que ando preparando para los participantes de este curso, me he permitido incorporar a los laboratorios que veremos durante las clases, esta distribución italiana de GNU/Linux.

Aquí les dejo a los que les pueda resultar de utilidad un vídeo tutorial que he preparado con la instalación básica de Parrot Security OS a través de VirtualBox.


Autor: UnD3sc0n0c1d0
Playlist: Obscurity - Damnations Pride (https://youtu.be/bMtyUxHwFnA)

Webinar Gratuito: Amenazas informáticas - Cómo sobrevivir a un ataque de ransomware

Amenazas informáticas - Cómo sobrevivir a un ataque de ransomware
Fecha: Miércoles 7 de Junio
Horario: 12:00 Hrs. (GMT-04:00)
Organiza: AméricaEconomía y Veeam
Información: En este enlace

domingo, 4 de junio de 2017

Webinar Gratuito: Día de lanzamiento de IPv6

Día de lanzamiento de IPv6
Ponentes: Jaime Olmos (@Olmosv6) y Fernando Gont (@FernandoGont)
Fecha: Martes 6 de Junio
Horario: 14:30 Hrs. (UTC)
Organiza: LACNIC
Información: En este enlace

martes, 30 de mayo de 2017

Webinar Gratuito: CSIRT ¿Cómo asumir la creación de un equipo de respuesta ante incidentes?

CSIRT ¿Cómo asumir la creación de un equipo de respuesta ante incidentes?
Ponente: Juampa Rodríguez (@UnD3sc0n0c1d0)
Fecha: Miércoles 31 de Mayo
Horario: 09:30 Hrs. (GMT-04:00)
Organiza: WebinarsLibres
Información: En este enlace

Webinar Gratuito: Evadiendo los 20 Controles Críticos de Seguridad

Evadiendo los 20 Controles Críticos de Seguridad 
Ponente: Walter Cuestas (@wcu35745)
Fecha: Miércoles 31 de Mayo
Horario: 15:00 Hrs. (GMT-05:00)
Organiza: Open-Sec
Información: En este enlace

lunes, 29 de mayo de 2017

CON 2017: BSides Colombia


BSides Colombia
Descripción: Después de las exitosas ediciones anteriores, llega una nueva versión del BSides en Colombia, se trata de la cuarta edición de este evento.
Lugar: Medellín
Fechas del evento: 1 y 2 de Septiembre
Fechas CFP: Del 9 al 31 de Mayo
Twitter: @BSides_CO
Más info: En este enlace

lunes, 22 de mayo de 2017

Actividades para la semana del 22 al 26 de Mayo

Esta es la segunda vez que aparezco con una entrada de este tipo, y es que esta semana que está iniciando, al igual que la semana del mes de Abril (Actividades para la semana del 17 al 23 de Abril), se me espera con bastante actividad, entre charlas, cursos, eventos y compromisos varios. Aquí les dejo algunos de ellos.

Arrancamos hoy mismo día Lunes 22 de Mayo a las 10:00 horas, con el acto de inauguración de la Semana Aniversario del Instituto de Investigaciones en Informática, al cual tengo el placer de estar invitado.

El Martes 23 de Mayo a las 18:30 horas, como parte de la Semana Aniversario del Instituto de Investigaciones en Informática llegará el coloquio de “Seguridad de la Información” en donde tendré una breve intervención con mi charla titulada “CSIRT: Gestión Oportuna de Incidentes de Seguridad”, en ella abarcaré los conceptos básicos de como afrontar los incidentes de seguridad desde un Equipo de Respuesta ante Incidentes de Seguridad, es decir un CSIRT.


Ya para el Viernes 26 de Mayo a horas de la tarde, los señores de Tekhne - La Paz (itacad.net) tuvieron la gentileza de invitarme a ser parte del panel de docentes de su academia y dar continuidad a un curso de Ethical Hacking que están llevando. Esto lo haré para un primer grupo el Viernes 26 y para un segundo grupo el Sábado 27 de Mayo, igualmente a horas de la tarde.
A los que puedan estar interesado en incorporarse a estos cursos, les recomiendo acceder al sitio web de la empresa, indicado más arriba.


Y ya para cerrar la semana, llegan las jornadas del evento argentino SASO Conf (@SASOConf). La conferencia se realizará los días Viernes 26 y Sábado 27 de Mayo en la remota ciudad de Curuzú Cuatiá en Corrientes.
Participaré en concreto el día Sábado 27 de Mayo y lo haré de forma remota con una charla a la que he titulado “Auditando a EEFF al otro lado de la frontera”. En ella hablaré de mis anécdotas, experiencias y conclusiones, evaluando a distintas entidades financieras del país.


Espero se den cita en algunas de estas actividades que participaré. Si lo hacen, no duden en buscarme, será muy grato compartir criterios y experiencias.

Allí nos veremos...

Autor: UnD3sc0n0c1d0
Playlist: Monstrosity - Imperial Doom (https://youtu.be/8S5PCFJpVk4)

domingo, 21 de mayo de 2017

Semana Aniversario del Instituto de Investigaciones en Informática


El día de mañana dan inicio las actividades programadas por el Instituto de Investigaciones en Informática de la UMSA en conmemoración a su aniversario numero 27. Una semana que será bastante especial para esta institución académica y desde luego que será bastante intensa en sus actividades.
Gracias al contacto que tomé con la Lic. Elizabeth Garcia, tuve la oportunidad de que me invitaran a participar en estas jornadas, en concreto, seré parte del coloquio de “Seguridad de la Información” que se llevará a cabo el día Martes 23 de Mayo, a partir de las 18:30 horas. Por supuesto, quedan todos cordialmente invitados.

Las actividades preparadas por el Instituto de Investigaciones en Informática, como he dicho anteriormente, se llevarán durante toda la semana, desde el Lunes 22 al Viernes 26. Aproximadamente desde las 08:00 de la mañana hasta las 19:00 horas. Aquí les dejo el programa completo que me han hecho llegar.



Allí nos veremos...

Autor: UnD3sc0n0c1d0
Playlist: Excoriate - On Pestilent Winds... (https://youtu.be/kWLFxLcxB2A)

WebinarsLibres: Ingeniería Social ¿Por qué y para qué?

Ya después de mi desvinculación con la última empresa donde he trabajado, tenía una dura misión por delante, dar continuidad a este proyecto de los webinars libres y gratuitos. Rápidamente y con aparente tiempo suficiente para encontrar algún apadrinamiento me dirigí a dos instituciones estatales, una de ella la ADSIB (@ADSIB1) y la otra la AGETIC (@AgeticBolivia), en la primera me reuní con su director Sylvain Lesage (@severo_bo), al cual debo de agradecer por su tiempo y ya en la AGETIC me reuní con Horacio Lopez (@horlop). En definitiva, a través de estas instituciones no se consiguió factibilizar nada por el momento.
Luego también llegue hasta la UMSA, en donde comentando el proyecto con algunos miembros, llegué hasta el Instituto de Investigaciones en Informática (III), gracias a Alejandro Quisbert (@alexandroqc). Aquí me reuní con la Lic. Elizabeth Garcia, quien se mostró algo más interesada con el proyecto, aunque lamentablemente teníamos incompatibilidad horaria. En cualquier caso, no se descarta que en un futuro cercano podamos hacer una sesión desde las instalaciones de la UMSA. Ya se verá.


Bueno, el tema es que finalmente y pese a los inconvenientes, se pudo llegar a una sesión más de los Webinars, esto se produjo esta misma semana, el día Jueves 18 de Mayo. Esta sesión estuvo a cargo de nuestro invitado especial desde Colombia, Hugo Bayona (@BatmanEsFriki). Su charla fue titulada “Ingeniería Social ¿Por qué y para qué?”, y en ella nos sumergió hasta los conceptos básicos de la Ingeniería Social, haciendo un repaso por las técnicas empleadas en esta rama de la seguridad y el como implementarlas en nuestras instituciones. La verdad que los Tips expuestos por Hugo fueron de gran ayuda y nos ha servido para tomar conciencia de las vulnerabilidades a las que se ve expuesta el ser humano que forma parte de las instituciones.

Hugo tuvo la amabilidad de compartirnos sus slides, que las dejo por aquí:


La próxima sesión será a finales de este mes, en donde tendremos una gran sorpresa. No se lo pueden perder.

Autor: UnD3sc0n0c1d0
Playlist: Funebrarum - Beneath The Columns Of Abandoned Gods (https://youtu.be/5IdoPCbYIEE)

viernes, 19 de mayo de 2017

WebinarsLibres: Parrot Security OS - La solución de un pentester

Y en mi último día en OpenFS (@openfssrl) realicé una sesión más de los webinars gratuitos. Este se dio en concreto el día miércoles 3 de Mayo.
La charla que dí en ese entonces fue titulada “Parrot Security OS - La solución de un pentester” y en ella volví a insistir en esta distro italiana de GNU/Linux que tanto me está entreteniendo hoy en día. Aquí les dejo el vídeo de la sesión grabada.


Básicamente en esta oportunidad hice un barrido completo sobre las cualidades y las bondades que presta la distro Parrot Security OS (@ParrotSec) para las actividades habituales de un pentester.

Así mismo comparto con todos vosotros las slides usadas durante la sesión.


Autor: UnD3sc0n0c1d0
Playlist: Slugathor - Circle of Death (https://youtu.be/LuUqmGyeY2o)

jueves, 18 de mayo de 2017

WebinarsLibres: Dual Stack - El futuro de la seguridad de red

La última sesión de los webinars realizado en la empresa OpenFS (@openfssrl) durante el mes de Abril, se llevó a cabo el día miércoles 19, es decir hace ya casi un mes.
En aquella sesión contamos con la participación de nuestro invitado especial desde España, Fran Gómez (@ffranz) quien nos trajo consigo una charla titulada “Dual Stack - El futuro de la seguridad de red”, la cual fue una auténtica pasada. Aquí les dejo el vídeo de la evidencia.



En su charla Fran nos mostró la actualidad sobre los sistemas expuestos en Internet que mantienen tanto servicios en IPv4, como en IPv6 y como algunos de ellos difieren en sus configuraciones de seguridad y en los niveles de riesgos a los que se exponen. Vimos igualmente ejemplo claros de este hecho. Vuelvo a decirlo, fue grandioso ver este punto.

Finalmente Fran nos habló de su proyecto MrLooquer (@MrLooquer), el cual lo lleva junto a su compañero y amigo Rafa Sánchez (@R_a_ff_a_e_ll_o). Si quieres conocer un poco más sobre este interesante proyecto, no dudes en visitar el sitio web con el que cuentan mrlooquer.com.

De igualmente les dejo las slides empleadas por Fran durante la sesión.


Autor: UnD3sc0n0c1d0
Playlist: Slaughter - Strappado (https://youtu.be/gyn9Euj58GE)

miércoles, 17 de mayo de 2017

Webinar Gratuito: Ingeniería Social ¿Por qué y para qué?

Ingeniería Social ¿Por qué y para qué?
Ponente: Hugo Bayona (@BatmanEsFriki)
Fecha: Jueves 18 de Mayo
Horario: 09:30 Hrs. (GMT-04:00)
Organiza: WebinarsLibres
Información: En este enlace

miércoles, 10 de mayo de 2017

Se viene el PerúHack 2017


Al finalizar esta semana laboral, el día viernes 12 de mayo mas concretamente, llega una nueva edición de este gran evento que se realiza en la ciudad de Lima, capital del vecino país Perú.

PerúHack (@PeruHackCon) me parece que nace de las cenizas del sepultado LimaHack, ya con otra cara y con otras característica.
Ahora recuerdo que por allá, en el 2013, cuando todavía vivía en Madrid, me llegaba información sobre este evento y anhelaba con algún día poder asistir. Pasaron ya algo así como 4 años (aproximadamente) y ahora no solo tengo la oportunidad de acudir a este evento, sino que también que daré una charla. Todo una emocionante experiencia para mí.
Mi charla la titulé “Auditando a EEFF al otro lado de la frontera” y en ella hablaré de mis anécdotas, experiencias y conclusiones, evaluando a distintas entidades financieras del país que he tenido la oportunidad de hacerlo. Será una charla en la cual me haré eco de aquellas deficiencias mas críticas descubiertas y también el como se orientó a la entidad a solucionarla. Por supuesto que todo esto lo contaré guardando y resguardando toda la confidencialidad que la entidad se merece. Ningún referencia directa de las entidades auditadas serán reveladas.

Yo tendré además la oportunidad de abrir el evento, a eso de las 9:00 (hora local) y después de mí vendrán reputados profesionales tanto nacionales (talento nacional), como internacionales (Javier Perez @the_s41nt de Chile y Mario Orellana @MarioOrellana de El Salvador).


El programa completo del evento (horarios, orden de charlas y demás) fue publicado en el siguiente enlace: Agenda

A los que podáis daros cita en Lima, os esperamos y a los que estéis ya en la ciudad y os apasione la seguridad, no podéis faltar, se tomará lista!

Allí nos veremos...

Autor: UnD3sc0n0c1d0
Playlist: Imprecation - Theurgia Goetia Summa (https://youtu.be/H5ftCJWnR0Q)

viernes, 5 de mayo de 2017

CON 2017: 8.8 2017 Lucky


8.8 2017 Lucky
Descripción: Una de las conferencias más importante de Sudamérica que tiene origen chileno llega a una nueva edición este 2017. Y en este caso además de la versión en Bolivia, también se harán ediciones en las capitales de los países de Uruguay y Perú.
Lugares: Uruguay, Perú, Bolivia y Chile
Fechas del evento: 16-17, 19-20, 23-24 y 26-27 de Octubre
Fechas CFP: Del 1 de Mayo al 15 de Agosto
Twitter: @8dot8
Más info: En este enlace

lunes, 1 de mayo de 2017

Webinar Gratuito: Parrot Security OS - La solución de un pentester

Parrot Security OS: La solución de un pentester
Ponente: Juampa Rodríguez (@UnD3sc0n0c1d0)
Fecha: Miércoles 3 de Mayo
Horario: 09:30 Hrs. (GMT-04:00)
Organiza: OpenFS SRL
Información: En este enlace

Webinar Gratuito: Maquinas Vulnerables para Hacking Web

Maquinas Vulnerables para Hacking Web
Ponente: Alonso Caballero Quezada (@Alonso_ReYDeS)
Fecha: Jueves 4 de Mayo
Horario: De 17:00 a 18:00 Hrs. (UTC-05:00)
Organiza: Alonso Caballero Quezada / ReYDeS
Información: En este enlace

Webinar Gratuito: Experto en Ciberseguridad

Experto en Ciberseguridad
Ponente: The Security Sentinel (TSSentinel)
Fecha: Jueves 18 de Mayo
Horario: De 17 a 18 Hrs. (Horario de España GMT+2)
Organiza: The Security Sentinel
Información: En este enlace

Webinar Gratuito: Desarrollo de una estrategia de continuidad de negocio de acuerdo a la ISO 22301

Desarrollo de una estrategia de continuidad de negocio de acuerdo a la ISO 22301
Ponente: Antonio Segovia
Fecha: Jueves 11 de Mayo
Horario: 12:00 Hrs. (GMT-04:00)
Organiza: 27001 Academy
Información: En este enlace

Webinar Gratuito: Metasploit Specialist

Metasploit Specialist
Ponente: Emiliano Piscitelli (@emilianox)
Fecha: Martes 9 de Mayo
Horario: De 20 a 21 Hrs. (Horario de Argentina UTC-03:00)
Organiza: Aula 25
Información: En este enlace

Webinar Gratuito: Siete problemas clave que debe evitar en la implementación de la ISO 27001

Siete problemas clave que debe evitar en la implementación de la ISO 27001
Ponente: Antonio Segovia
Fecha: Jueves 4 de Mayo
Horario: 12:00 Hrs. (GMT-04:00)
Organiza: 27001 Academy
Información: En este enlace

domingo, 30 de abril de 2017

Mi experiencia en el OWASP LATAM TOUR Chapter Bolivia


En lo personal, fue bastante especial volver a mi ciudad de origen después de casi un 1 año fuera; Por tanto me tomé este viaje con bastante ilusión y entusiasmo.

El panel de ponentes y expositores que se conformó finalmente, fue de primera línea, contando con profesionales y expertos de Perú, Argentina y Chile. El resto, nos dimos cita en Santa Cruz desde distintas ciudades del país.

El punto de encuentro fue en la Universidad Privada Domingo Savio, un auditorio de buen tamaño y que ofrecía unas buenas condiciones para este tipo de eventos. Los ponentes incluso contamos con una pequeña sala de estar en donde aparte de tomar un descanso y servirnos un café. Podíamos “hacer migas” y compartir criterios entre los distintos invitados. Fue muy agradable la verdad.


La primera charla que se dio fue la de Nolberto Zabala quien nos habló de “Seguridad en equipos Mikrotik”. En principio, Nolberto no tenía programada su charla hasta el siguiente día (sábado), pero por alguna razón que desconozco, Saúl Mamani en ese momento no había hecho acto de presencia en el auditorio.
La charla de Nolberto fue bastante fugaz, en ella básicamente nos daba un pantallazo sobre las bondades de los equipos de esta marca y como sacarle todo el provecho del que disponen. Ya luego hablando con Nolberto en los descansos, me comentaba que él llevaba años trabajando con estos equipos y siempre le habían parecido flexibles.


El siguiente ponente que entró en escena fue Danilo Anatoli Mercado quien nos presentó su particular “Framework Galina”.


Luego llegó la hora de William Duabyakosky (@will_dex) quién en su charla “Seguridad en Aplicaciones Móviles con OWASP”, hizo un repaso del conocido OWASP Top 10, incluso haciendo mención a la reciente actualización del mismo (Release Candidate), con sus nuevos puntos: A7 - Insufficient Attack Protection y A10 - Underprotected APIs. En particular me sorprendió y a la vez me agrado ver a William empleando la distro Parrot Security OS.


Y antes de hacer la pausa para la comida, fue el turno de Carlos Vidaurre (@m13chy), que con su charla nos habló de “Blue Attacks”, es decir, la parte defensiva de la seguridad y para algunos incluso la menos “fácil”.


A la vuelta del almuerzo, el encargado de abrir las charlas fue el amigo francés Herman Brule, quien nos comentó sobre ataques de “DDOS y Bots a larga escala”. Una dura misión la de Herman, puesto que siempre después de comer nos ponemos un poco espesos, más su falta de fluidez en español, en lo particular, se me hizo un poco complicado seguirle el hilo.


Leonardo Quenta (@undertrigun) dio el relevo al anterior ponente, su charla titulada “Ransomware en las alturas - enjaulando a linux” fue bastante interesante. En ella nos mostró como ejemplo, una demo en la cual pudo cifrar el contenido de una directorio concreto y posteriormente elaborar la llave necesaria para recuperar el acceso a la información. Esto fue realizado a un Ubuntu mismamente.


Una agradable persona que tuve la oportunidad de conocer en Santa Cruz fue Jaime Mendoza, él nos habló de "Internet of Things". Lamentablemente Jaime no nos pudo acompañar más que el primer día debido a unas complicaciones familiares. Desde aquí mucho animo camarada!


De forma enorme se cerro el primer día. El encargado de clausurar la primera jornada fue un invitado extranjero. Se trata de Ricardo Supo (@ricardosupo) quien nos tenía preparada una emocionante historia anécdotica con su charla que tituló “Érase una vez cuando hackearon un NIC”. El relato fue bastante ameno, la verdad que las tablas que lleva Ricardo consigo son bastante notoria. Un gran profesional desde luego.
En los entretiempos de la jornada he ido hablando un poco más con Ricardo y hemos llegado a la conclusión que compartimos afición por la lucha contra el fraude y el phishing, lo cual hizo agradable compartir criterios.


La segunda y última jornada fue el sábado y yo tenía la importante misión de abrirla.
En lo personal, esto me hacía bastante ilusión y me encontraba bastante motivado para dar mi charla. La titulé “0037: Con Licencia para F*ckear!” y de lo que se trató fue principalmente de hacer un repaso por algunas de la entidades financieras a las que tuve la oportunidad de evaluar y hacer ethical hacking. Comenté inicialmente que mi charla no iba a ser demasiado técnica y es que mi principal objetivo era concienciar lo que a mi criterio es prioritario que se cambie en la mentalidad de algunas instituciones y sus miembros. Ya que en muchas ocasiones este tipo de evaluaciones de seguridad se hacen únicamente por alcanzar el cumplimiento regulatorio. Intenté por todos los medios no irme de tiempo con mi relato y lo que tenía preparado, pero al final tuve que pedir disculpas a mi sucesor por robarle algunos minutos.
En una próxima entrada subiré mi presentación para que puedan darle un vistazo.


Jorge Santillán y su equipo de Sucre, fueron mis sucesores y lamentablemente me descuidé del tiempo, me metí para los “camerinos” y no salí hasta prácticamente el final de la intervención de estos muchachos. Mis disculpas públicas desde aquí a Jorge y sus compañeros por mi despiste. Su charla se llamó "Kit de robótica económico".


Lo que vendría luego ya sería una notable subida de nivel e intensidad en las charlas, el culpable inicial de esto fue Israel Araoz (@yaritu_), con su cátedra “El Salto del León”. Un buen baño sobre desarrollo de exploits y su aplicación real. Isra repasó desde la base metodológica hasta llegar a los puntos necesarios para conformar un exploit.
Después del primer intento y de sufrir el “inregateable” efecto demo, Isra finalmente pudo poner en funcionamiento su exploit y dejar maravillado a todo el auditorio. Una gran charla desde luego.

Todo estaba previsto para que sea Richard Villca quien salte en escena y se continúe de hecho con el tema de los exploits, pero justo en ese momento Richard tuvo algunos problemas para sacar su pantalla por el proyector y después de varios intentos, en los cual yo también me implique. Se tuvo que optar por aplazar temporalmente la participación de Richard y pedir al siguiente ponente que asuma el espacio.


Pablo Videla (@pablovidelay) fue en ese sentido nuestro salvador, rápidamente se preparó y subió a escena. Su charla se tituló “Ingeniería (Anti) Social”, en ella nos mostró algunas evaluaciones de Ingeniería Social que había realizado en su trabajo a través de ataques de phishing y la efectividad de estos. Posteriormente nos fue redactando como dar valor a estos ataques y fortalecerlos para que tenga mayor impacto. Sin duda fueron impresionantes sus tips. Un experto Pablo y gran persona en el cara a cara. Tuvimos una buena charla después.


Lo que vino inmediatamente después fue un poco caótico, o al menos no me esperaba que fuera así. Apareció en escena Saúl Mamani (@kanito777), quien en realidad era el encargado de abrir el primer día, pero que no se le vio hasta este momento. Bueno en su charla nos habló de "Seguridad Perimetral de Aplicaciones".
En algún momento nos llamaron a los ponentes para entrar a la sala de estar que teníamos habilitada, allí dentro, los chicos de Dreamlab Chile (Gabriel y Boris) nos querían regalar a los ponentes un par de libros de 0xWORD. Lo hicieron a través de sorteo, en cual no tuve fortuna, a mi pesar.


Después de Saúl y una vez superado los inconvenientes de Richard Villca (@SixP4ck3r), que por cierto, lo hizo gracias a la pronta actuación de Sergio Guillen (@donkeysharp) quien le presto su laptop para que Richard pueda sacar adelante el material preparado.
Como indicaba anteriormente, la charla fue de "Desarrollo de Exploits" y en ella Richard nos mostró su capacidad y cualidades por este tipo habilidades. Un crack el tío.


El plato fuerte del evento prácticamente llegó de la mano de Gabriel Bergel (@gbergel) y Boris Murillo (@borismurillo). La charla "MAFIA Inc. How bad guys own our money ...and data", que yo lo definí en su momento “a lo pimpinela” fue una auténtica pasada. En ella nos hablaron del crimen organizado, el tema de los pagos con bitcoins para temas ilícitos, la evolución del fraude y las estafas por ATM y POS.
El background de estos señores es verdaderamente amplio. Boris es todo un orgullo nacional, que triunfa en el vecino país de Chile en una firma de renombre como es Dreamlab Technologies AG. Y Gabriel no necesita ningún tipo de presentación a esta altura, también miembro de Dreamlab Technologies AG y además Embajador en Chile de ElevenPaths.


Y para cerrar este magnífico evento llegó el turno de un tan gran profesional, como persona, estoy hablando de nuestro colega argentino Diego Bruno (@BlackMantisSeg), quien nos ofreció con su charla “DevOps - Del Salar de Uyuni a Skynet” su visión particular por integrar procesos de análisis de vulnerabilidades automatizadas en etapas de desarrollo, con el fin de poder corregir falencias de manera temprana y oportuna. La verdad que muy bueno su “speech”, nos traslado la actualidad de algunas empresas que están optando y apostando por lo conocido como infraestructura ágil (o como nos indicó Diego que dicen los americano “Agile Infrastructure”, XD).
Así mismo Diego nos mostró a modo de demo, un escaneo automatizado de vulnerabilidades realizado con OWASP ZAP a través de un Jenkins Server. Una verdadera pasada esta capacidad de mejora compartida para los procesos de desarrollo. Si amigos, desarrollo y seguridad no tienen por que ser mundos distintos. Así lo evidenció este maestro!

Finalmente y ya esto de modo privado, cerramos la noche compartiendo algunas cervezas y comiendo un “churrasco” en casa del anfitrión y también organizador del evento Elvin Mollinedo (@ElvinMollinedo). Muchas gracias por ello! El próximo año, una cita obligatoria.


Autor: UnD3sc0n0c1d0
Playlist: Gorephilia - Embodiment of Death (https://youtu.be/D4rf_0BH85s)