www.onemagazine.es
Hackron: Deepak Daswani desvela los 'secretos' del gran congreso de hacker de Canarias
Ampliar

Hackron: Deepak Daswani desvela los 'secretos' del gran congreso de hacker de Canarias

Es uno de los hackers españoles de referencia y de los más mediáticos. Actualmente trabaja como miembro del Deloitte CyberSOC Academy. Su pasión por divulgar la cultura de ciberseguridad también le ha llevado a impulsar la gran cita hacker de las Islas Canarias. La edición del 5y 6 febrero en Santa Cruz de Tenerife ¡en la que se podrán hacker robots! Y no será la única sorpresa...
Deepak Daswani es uno de los hackers españoles de referencia y de los más mediáticos. Actualmente es uno de los miembros del Deloitte CyberSOC Academy. Su pasión por divulgar la cultura de ciberseguridad también le ha llevado a impulsar la gran cita hacker de las Islas Canarias: Hackron. La edición de febrero promete no defraudar...
¿Qué es Hackron y por qué nace?
Hackron es la Conferencia de Hacking y Ciberseguridad en Canarias, y nace fruto de la iniciativa de dos amigos, Igor Lukic y Cecilio Sanz, también profesionales del sector, con las mismas inquietudes que yo, que compartíamos la necesidad de poder dar a los canarios la oportunidad de disfrutar de primera mano de los mejores ponentes del panorama internacional en materia de hacking y ciberseguridad.
Si al igual que en otras ciencias como la medicina , en el campo de las TIC es vital mantenerse al día de los últimos avances para evolucionar al mismo ritmo sin quedarnos estancados, en particular en el ámbito del hacking y la seguridad informática esta afirmación adquiere aún más relevancia.
Una de las mejores maneras de seguir esta evolución y mantenerse actualizado, además de leer mucho, investigar y dedicar el máximo tiempo posible a la experimentación, es acudir a las conferencias de seguridad que se celebran por todo el planeta, y que surgen como respuesta a esta necesidad por parte de la comunidad. Además de las archifamosas Blackhat o Defcon u otras conferencias a nivel internacional, en España tenemos ya conferencias afianzadas como NoConName, RootedCon o Navaja Negra, de nuestros amigos de Albacete. Para toda la gente que vive en la península es más fácil acceder a estos y otros muchos eventos que se celebran asiduamente en el territorio nacional, pero para los canarios es más difícil moverse, sobretodo porque muchas veces es necesario invertir más días en los desplazamientos y no siempre es posible por compromisos laborales o de otra índole, además del coste adicional que ello conlleva. Esto, unido a la necesidad de impulsar la cultura de ciberseguridad a en Canarias, donde al igual que en otros sitios hasta ahora no ha existido la posibilidad real de desarrollarse profesionalmente en esta disciplina a alto nivel, motivó que decidiéramos juntarnos y crear también nuestra propia conferencia, y a tenor de los resultados no nos equivocamos. La acogida por parte de los asistentes, que llenaron el salón el mismo primer año, así como de los ponentes y profesionales del sector fue unánime. En tan sólo dos años, Hackron se ha convertido en una cita indispensable para todo aquel interesado en esta materia.
¿Cuáles serán las tres grandes novedades de la edición de 2016?
Este año además de contar con los mejores ponentes del panorama nacional, muchos de ellos grandes amigos con los que trabajo o tengo el privilegio de compartir cartel en otros eventos, contamos con la presencia de un Key Note internacional, Miroslav Estampar, que viene nada y más o menos de Croacia, en representación del CERT oficial de dicho país, y es un referente conocido en el mundo de la ciberseguridad, por ser uno de los co-fundadores de la popular herramienta sqlmap, orientada a las auditorías en busca de vulnerabilidades de tipo SQL injection. Estuvo también en Navaja Negra este año, y estamos seguros de que su ponencia deleitará a los asistentes que tendrán la oportunidad de interactuar con él de primera mano, al igual que con el resto de ponentes.
Otra de las novedades que tenemos, es la de un reto aún más apasionante y sofisticado que el del año anterior, donde nuestros hackers tenían que tomar el control de un drone. Este año, la complejidad aumenta un poco más, y el desafío consiste en comprometer la seguridad de un robot “armado”, de modo que los participantes no tengan que afinar sólo a la hora de definir su estrategia ofensiva sino también su puntería. Daremos más detalles de este reto próximamente. Por otra parte, como siempre ha de existir un reclamo para atraer la curiosidad de todos los interesados, la tercera novedad la dejamos de momento como sorpresa. :)

¿Qué se puede aprender durante esta edición?¿qué es lo que más puede gustar al profesional de ella?¿Y al aficionado?
Como hemos comentado anteriormente, uno de los principales objetivos de este tipo de congresos, además del de conocer gente y hacer networking de cara a intercambiar conocimiento o establecer contactos profesionales, es el de aprender de las últimas novedades a todos los niveles en el ámbito del hacking y la ciberseguridad. Sin duda alguna, la temática de las diferentes charlas cubre todo el espectro de áreas de conocimiento, desde ataques a comunicaciones 3G, hacking de centralitas VoIP, de vehículos, así como a técnicas novedosas en el ámbito del reversing, análisis forense o ciberinteligencia. Así como también tendremos conferencias muy interesantes, como la Keynote de Miroslav que aportará su visión como representante del CERT de Croacia, o las impartidas por representantes de FCSE, que contarán de primera mano su experiencia a la hora de enfrentarse a los cibercriminales, que continúan evolucionando sus técnicas y mecanismos de evasión a un ritmo vertiginoso para evitar ser capturados. En general consideramos que el nivel de esta edición va a ser altísimo, y esperamos que los asistentes tengan también la oportunidad de compartir un rato agradable y tener un trato más personal con los ponentes, al igual que en la pasada edición. Porque al final eso es también lo que buscamos.
Cuáles son las grandes preocupaciones en seguridad este año según vosotros...
Bueno, ya sabemos que en el mundo de la ciberseguridad tenemos que acuñar nuevos “palabros” y tendencias cada año, como en todos los sectores. Si antes el término de moda eran los de APT o la ciberresiliencia, ahora son los ataques al IoT, o el machine learning aplicado a la cybersecurity :) Más allá de esta broma, en general consideramos que la tendencia ascendente que hemos presenciado en los últimos años se va a mantener, y vamos a ser testigos de cada vez no sólo de más incidentes de seguridad en diferentes ámbitos o sectores, sino también en diferentes tipos de plataformas y dispositivos. Por otra parte, al igual que el resto de años es posible que durante este año puedan volver a descubrirse vulnerabilidades sonadas y mediáticas sobre tecnologías ampliamente utilizadas y desplegadas, como lo fueron en su día HeartBleed o Shellshock. Es complicado adivinar a priori qué es lo que va a suceder, pero consideramos que los tiros irán por ahí.
En qué están cambiando las amenazas
Muchas amenazas evolucionan en la sofisticación con la que los cibercriminales dotan no sólo al malware que cuelan en dispositivos de usuarios o sistemas de organizaciones, sino también en las campañas masivas que lanzan para propagar dicho malware así como en los mecanismos de infección. Del mismo modo, los esquemas de fraude que se utilizan para estafar a los usuarios son cada vez más complejos, de modo que en muchas ocasiones es muy difícil no caer en la trampa y convertirse en víctima de este tipo de delitos.
Qué desconoce la gente de ellas…
En general, gran parte de los usuarios desconoce los diferentes tipos de amenazas que existen, así como los mecanismos para su identificación y detección. En este sentido, la labor de concienciación y evangelización que hacemos todos los que nos dedicamos a la divulgación en materia de ciberseguridad, como la que hacéis vosotros a partir de esta revista o nosotros a través de las conferencias, colaboraciones con medios, etc.. es esencial, complementada con formación específica y técnica como la que impartimos desde el equipo de CyberSOC Academy de Deloitte del que formo parte desde hace unos meses (tras concluir mi etapa de casi dos años como Security Evangelist de INCIBE, donde ejercía también este rol de divulgador). Como decimos, la concienciación y sensibilización es fundamental, pero complementada con formación técnica y específica, que pueda proporcionarnos una base técnica sólida para poder enfrentarnos de verdad a los riesgos del ciberespacio.
Será 2016 el año del Pearl Harbour de la ciberseguridad?
Sin duda alguna, será un año que dará que hablar, como hemos comentado anteriormente, donde estamos seguros que veremos nuevas formas de comprometer los sistemas e incidentes notorios en el ámbito de la ciberseguridad. Pero por otra parte, hemos de tener en cuenta que gran parte de los ataques sofisticados de los que hablamos muchas veces, sobre todo sobre organizaciones, empiezan con un ataque de spear phishing dirigido que los atacantes consiguen colar en la bandeja de entrada de la víctima, y que se habría podido evitar configurando por ejemplo adecuadamente los registros SPF del servidor de correo electrónico. Al igual que muchos sitios web que son explotados con vulnerabilidades ya veteranas como los famosos errores que permiten ataques de SQL injection, que se conocen hace más de 15 años, y para los cuales los principales lenguajes de programación con los que se desarrollan dichos portales web disponen de contramedidas efectivas. Con esto quiero decir que muchas de las cosas que suceden sí que tienen remedio, que pasa por invertir recursos y tiempo, en auditar y fortificar nuestros sistemas y dispositivos.
Cada vez se está poniendo más de moda hackear nuevas tecnologías como los drones…
Sí, los ataques a los drones los comentamos en su día en un ejemplar de la revista, al igual que los hipotéticos ataques a los robots del futuro. Y sin ir más lejos, como ya comentamos antes, en Hackron animaremos a nuestros asistentes a hackear un robot. ;) Cualquier cosa que disponga de tecnología con la que podamos interactuar, puede ser susceptible de ser atacada. Con la proliferación de todo tipo de dispositivos tecnológicos que incorporan conectividad con nuestros equipos a través de tecnologías como Wifi, Bluetooth,.. para poder desplegar mayor funcionalidad, se abre un abanico de posibilidades también desde el punto de vista del hacking. En este sentido, estoy seguro de que las vulnerabilidades descubiertas sobre los nuevos dispositivos smart, no han hecho más que empezar, y seguramente nos queda muchísimo aún por ver.
Y que haya ataques de países…
Esto es algo que lleva tiempo produciéndose. En el pasado ya hemos visto muchísimos incidentes de ciberguerra y ataques entre países. Desde los ataques entre Rusa y Estonia, China y Estados Unidos a través de la famosa Operación Aurora, el conocido Stuxnet del que tanto se ha hablado, o los dedicados al cibreespionaje como Duqu, Flame o Red October. Por no citar el famoso ataque a Sony Pictures a finales del 2014 a raíz del estreno de la polémica película “The Interview", que acabó en un conflicto internacional entre Corea del Norte y Estados Unidos. Una característica inherente a los incidentes en el campo de batalla del ciberespacio, es que a pesar de que muchas veces se puedan tener muchas pistas de quién está detrás de los mismos, es muy difícil definir en última instancia la autoría real de los ataques con el 100% de garantía, puesto que los desarrolladores del malware que utilizan introducen pistas falsas para apuntar a otros países, así como se lanzan muchas veces desde distintos puntos del globo. Generalmente tras la investigación pertinente se acaba apuntando al país que los origina, pero hasta ahora ninguno de los responsables se ha reconocido nunca como autor de ningún ataque. Es una de las ventajas que tiene la guerra en el ciberespacio. En una guerra física, los ejércitos y misiles se ven, pero en una ciberguerra, todo es diferente.

Un consejo para vivir seguro -que no sea el de actuar con sentido común, je,je-.
Bueno, los consejos son los que siempre damos. Actualizar el sistema operativo de nuestros dispositivos con todos los parches de seguridad a la última versión, actualizar todos los programas a la última versión, utilizar un antivirus de reputación y prestigio contrastados (no crackeado de Internet :) ) que se actualice constantemente con las firmas del nuevo malware que aparece, fortificar nuestras identidades digitales con autenticación de doble factor en aquellos casos que sea posible, tener cuidado con los enlaces que nos faciliten en correos electrónicos sospechosos, no descargarse programas “gratis”,….. El problema es que generalmente son pocos los usuarios que siguen a rajatabla todas estas medidas, y que por otra parte, incluso aunque sigamos todas estas recomendaciones, siempre podemos estar expuestos a ser comprometidos por exploits zero days que se desarrollen para vulnerabilidades que no son conocidas, porque lo que hoy es seguro, mañana puede no serlo.
Y para ser el mejor hacker…
Pues yo diría que un buen consejo para ser el mejor hacker es no intentar ser el mejor hacker, que ya sabemos que es un mundo donde hay muchísimo ego, sino disfrutar con lo que hagamos, ya que para los que nos gusta esta disciplina, es apasionante. Leer mucho, intentar estar al día de las últimas novedades a través de ver los vídeos de todas las conferencias que se celebran, papers, publicaciones.. y sobre todo experimentar, probar todo lo que podamos, dentro de las posibilidades de nuestra agenda y nuestro tiempo. Es una profesión que requiere de muchísimo esfuerzo, y es un ámbito en el que es imposible saber de todo, aunque hay algunos cracks que son capaces de llegar a ese nivel de conocimiento. Recordemos que un hacker no se conforma con saber utilizar la tecnología, sino que se preocupa por llegar al fondo de las cosas y entender realmente cómo funcionan.
El lema de Hackron de 2016 y por qué...
El lema de Hackron 2016 es el mismo que el de 2015 y 2014. Lo puso el amigo Igor Lukic, y es el de “Invaders must die”. Ya que tengo el privilegio de hacer esta entrevista y sabes que me gusta lo de los lemas y las frases inspiradoras, yo voy a elegir el mío propio si te parece, y es el de “Hack them all”. Una adaptación propia de una popular frase de la serie épica “Spartacus" que fue tan popular hace unos años. Muchísimas gracias por esta entrevista, como siempre un placer colaborar con vosotros, y nos vemos en Hackron 2016
Si quieres apuntarte a Hackron puedes hacerlo aquí . Tendrá lugar el 5 y 6 de febrero en el Auditorio Caja Siete Sede Central
Av. Manuel Hermoso Rojas, 8 Santa Cruz de Tenerife.
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.