Líderes en ciberseguridad participaron de la segunda jornada de H4ck3d - Security Conference 2023
Expusieron especialistas de las empresas BlackmantiSecurity, Securetia, Klar, Telecom, Macro y de otras importantes instituciones.
Organizado anualmente en conjunto con Securetia, la segunda jornada de H4ck3d - Security Conference 2023 congregó en el auditorio de la Universidad de Palermo a estudiantes, interesados y profesionales que participaron de las charlas, demostraciones en vivo e incluso los desafíos del CTF, con premios para los ganadores. Cabe destacar que, por séptimo año consecutivo, este encuentro, destacado como el más importante de la región, se realizó en el mes de la seguridad informática con oradores expertos, líderes e integrantes de equipos de ciberseguridad de reconocidas empresas debatieron los desafíos y amenazas que enfrenta el sector.
La apertura estuvo a cargo de Javier Vallejos, cofundador de Securetia, profesor de la Diplomatura en Ciberseguridad UP y licenciado en Informática UP; junto a Fabián Martínez Portantier, cofundador de Securetia, quienes presentaron a los destacados oradores: Diego Bruno y Javier Antúnez, socios de BlackmantiSecurity; Mohamed Nasisi, analista de ciberseguridad en Securetia; Carlos Pantelides, experto en ciberseguridad IT bancaria; Fabiana Ramírez, abogada certificada en derecho informático, experta en Seguridad de la Información; Santiago Fernández, CISO en Klar, Licenciado en Tecnología de la Información UP, profesor UP y CISO del año 2021; Adrián Judzik, CISO Telecom Argentina; y Claudio Colace, CISO de Banco Macro, Licenciado en Informática UP, codirector de la Licenciatura en Ciberseguridad UP, y CISO del año 2020.
Ataques físicos
Desde BlackmantiSecurity, Bruno y Antúnez expusieron sobre los peligros de los implantes físicos en la seguridad de las empresas y mostraron los dispositivos más utilizados en pruebas de penetración de Red Team. “Dentro de las actividades defensivas, el Red Team emula una amenaza del mundo real para entrenar y medir la efectividad de personas, procesos y tecnologías, con el objetivo de defender el entorno”, sostuvo Bruno, y añadió: “Se trata de buscar una visión holística considerando la mayor cantidad de puntos críticos de ataque y áreas expuestas que pueda tener una compañía”.
Por su parte, Antúnez dijo: “El compromiso inicial de un sistema puede darse a través de diferentes vías como el acceso físico, mediante el clonado de diferentes dispositivos. Otra forma de compromiso inicial es el acceso a estaciones de trabajo mediante la implantación del hardware. Otros tipos de ataques se orientan a redes inalámbricas”. Asimismo, puntualizó que una vez que se ingresó a la red física de una empresa, es posible mantener una persistencia con otros dispositivos. “Los implantes son una herramienta valiosa, nos permiten comprometer y ganar equipos en pocos segundos, ejecutar acciones, mantener el acceso a la red interna y muchos casos de uso más”, concluyeron ambos oradores.
Engaños en Active Directory
Mohamed Nasisi, de Securetia, brindó una demostración de las vulnerabilidades relacionadas al ransomware en entornos corporativos. “El Active Directory gestiona de forma centralizada todos los recursos de la empresa, los permisos de acceso, por lo tanto suele ser el objetivo de ataques”, señaló.
“La actualidad es algo que nos tiene en vigencia. Como profesionales de la seguridad, hoy hay una tendencia de delegar tareas en automatizaciones y en software. Sin embargo, la idea es tener entendimiento y jugar con ese conocimiento para aplicar las mismas herramientas que utilizan los atacantes para defendernos”, dijo Nasisi durante su exposición. “En ciberseguridad, el conocimiento se genera a partir del ensayo, prueba y error. Es importante tener siempre presente que tratamos de proteger y asegurar a las personas que están detrás de las máquinas”, concluyó.
Priorización de Vulnerabilidades
Durante la tercera charla, el cofundador de Securetia, Fabián Martínez Portantier, explicó cómo analizar y priorizar las vulnerabilidades usando estándares abiertos como CVSS, EPSS y KEV. “Una vulnerabilidad es una debilidad o fallo en el sistema que pone en riesgo la confidencialidad de la información. Hay más de 230.000 vulnerabilidades de las cuales tenemos información pública, a todas se les asigna un número de CVE (Common Vulnerabilities and Exposures) que sirve para identificarlas”.
Para empezar a resolver vulnerabilidades, según el orador, es necesario comenzar por una estrategia de priorización: Se suele utilizar CVSS (Common Vulnerability Scoring System), una calculadora virtual donde se ingresan 8 datos para obtener puntajes. Otro estándar para analizar vulnerabilidades son EPSS (Exploit Prediction Scoring System), que se construye utilizando técnicas de modelado estadístico de uso común. Por otro lado, KEV (Know Exploited Vulnerabilities), es un listado con las vulnerabilidades activamente explotadas por cibercriminales. Aplicando estas herramientas se puede priorizar las vulnerabilidades y evaluar cuál conviene resolver primero.
Malware en Hardware
En una clase práctica, Pantelides, experto en ciberseguridad IT bancaria, mostró cómo con una pequeña pieza de hardware que inspecciona los buses que van de la CPU a Ethernet, se puede realizar acciones maliciosas como resetear la CPU o interactuar directamente con los actuadores de un sistema de barrera controlado vía red. La demo fue con una CPU Microblaze ejecutando un sencillo programa con LWIP instanciada en una FPGA AMD/Xilinx utilizando el entorno Vivado. “El próximo ataque será la confidencialidad, uno de los problemas es acceder a la RAM; otro es enviar un dataframe desde el hardware”, aseguró.
Inteligencia artificial
Fabiana Ramírez, abogada experta en Seguridad de la Información, se refirió a cómo la Inteligencia Artificial y el Aprendizaje Automático (Machine Learning) están impactando en la vida diaria y son actualmente una herramienta al alcance de todos. “Cuando estamos en contacto con IA generalmente estamos frente a algoritmos que se desarrollan mediante Machine Learning. Esta rama pretende crear máquinas capaces de aprender, pero aún estamos muy lejos de una tecnología que emule el cerebro humano”, señaló.
A futuro, la oradora señaló que uno de los desafíos más importantes es proteger la privacidad de la información: “El Machine Learning es capaz de procesar gran cantidad de datos a enorme escala. No hay regulaciones para utilizar estas herramientas, y a veces se vulnera la privacidad de los usuarios, tanto de los humanos como de las empresas. Para lograrlo es importante la especialización, ya que se trata de un campo en constante actualización”. “Nos encontramos creciendo y desarrollándonos con ayuda de la tecnología, lo que plantea un escenario muy positivo, que nos desafía a estar constantemente formándonos”, cerró Ramírez.
La visión de los CISOs
El último panel del encuentro estuvo a cargo de tres referentes destacados en ciberseguridad: Santiago Fernández, CISO en Klar; Adrián Judzik, CISO Telecom; y Claudio Colace, CISO de Banco Macro. “Nuestra labor es velar para que las compañías tengan continuidad, que la información que circule lo haga de manera confiable y confidencial”, dijo Fernández, y señaló la importancia del análisis de riesgos. “Hay que ser parte de la mesa de creación del producto, el cliente cambió y ahora la seguridad es una comodidad”, afirmó.
Asimismo, Judzik resaltó que la industria del cibercrimen es la tercera economía del mundo. “Certificar la seguridad no te hace más seguro, sino estar más ordenado y bajar el riesgo. La tríada de la ciberseguridad es confidencialidad, integridad y privacidad”, afirmó. Finalmente, Colace señaló que no hay una solución general ante el ciberataque: “Depende de la estructura y la forma en la que se va a llevar a cabo la ciberseguridad. Es importante también tener un objetivo común para defenderse de las vulnerabilidades”, concluyó.
A modo de cierre, Alejandro Popovsky, decano de la Facultad de Ingeniería de la Universidad de Palermo, junto a Javier Vallejos, cofundador de Securetia y profesor de la Diplomatura en Ciberseguridad UP, agradecieron a los oradores y participantes por el entusiasmo compartido durante las dos jornadas de charlas y demostraciones en torno a la ciberseguridad.
¡Los esperamos el próximo año en una nueva edición de H4ck3d - Security Conference!