Este pasado fin de semana ha tenido lugar la sexta edición del Congreso de Ciberseguridad Sec Admin que ha acogido a más de 300 hackers nacionales en las instalaciones de la Universidad Loyola Andalucía en Sevilla. Durante el pasado viernes 15 y el sábado 16 los asistentes han debatido y comentado las principales novedades del sector, en especial, las relativas a empleo y la necesidad de que las empresas tomen medidas preventivas en materia de ciberseguridad.
En palabras de Adrián Ramírez, perito informático forense, consultor en ciberseguridad y organizador de Sec Admin, “esta sexta edición pone de manifiesto el interés de diferentes sectores de la sociedad en la ciberseguridad. Cada vez son más las empresas que vienen al Congreso preocupadas por su ciberseguridad y ven en este evento la oportunidad de formarse y de estar al tanto de todo lo que ocurre en el sector”.
Durante el Congreso se llevaron a cabo varias simulaciones en las que se demostraron que, con cierta facilidad, es factible acceder a hackear aplicaciones y dispositivos que no cuentan con las medidas protectoras adecuadas. Una de estas recreaciones la llevó a cabo Deepak Daswani que demostró en directo a los asistentes que es posible acceder a una cuenta de WhatsApp Web atacando por la red Wi-FI o por cable. En esta simulación demostró cómo puede descargarse los contactos, tanto números como imágenes, acceder a los grupos de WhatsApp así como acceder a las conversaciones. Lo que más sorprendió a los asistentes fue la posibilidad de modificar los mensajes sin que el emisor se percate de que ha sido modificado en el tránsito. Ha de tenerse en cuenta que cada vez más e-commerces usan WhatsApp como canal de atención al cliente por lo que existe una mayor exposición de datos personales a través de este fallo de WhatsApp Web.
Otro de los contenidos del Congreso que más interés tuvo entre los asistentes fue la mesa redonda en la que el consultor de ciberseguridad Yago Hansen, Ivette Bolívar de Ética Hacker y Fabio Gómez director de la Escuela de Ingeniería de la Universidad Loyola Andalucía debatieron sobre el INE y el rastreo de móviles en España. Las teleoperadoras cederán datos anónimos para conocer la movilidad de los españoles con el fin de mejorar las infraestructuras. Esto supone un reto en el derecho a la privacidad de los usuarios que cuestiona la ética en la protección de los derechos de los usuarios.
Las estafas a los CEO fue otro de los asuntos que más llamó la atención de los congresistas. Según Alfredo Reino, Solutions Principal en Secureworks y ponente en Sec Admin, estos ciberataques van desde mensajes de supuestos inversores al CEO de las empresas ofreciendo una gran inversión a cambio de un irrisorio porcentaje accionarial. De este modo intentan conseguir la confianza del director hasta lograr el acceso al correo corporativo del CEO. Otra forma de ataque a los CEO es el robo de credenciales obtenidas cuando estos utilizan sistemas de Wi-FI públicos como cafeterías, hoteles, etc. Una vez que el atacante tiene acceso a la credenciales puede acceder a información sensible e, incluso, a cuentas bancarias, sin que ni emisor ni receptor se hayan percatado del hackeo. Preguntado por los asistente sobre qué consejos enumeraría para evitar estos robos y suplantaciones de identidad, Reino aseguró que “deben conectarse a través de redes VPN que son conexiones cifradas a diferencia de las Wi-Fi públicas o abiertas”. Por otro lado recomienda que las empresas soliciten un certificado de titularidad bancaria antes de realizar cualquier tipo de pago. “Esta forma de cibercrimen mueve más de 2.000 millones de dólares anuales en todo el mundo y se centra en el ataque a correos electrónico corporativos y en las transacciones económicas”, matizaba este experto en ciberseguridad.
Otro tipo de estafas que también estuvieron presentes en el Sec Admin fueron las telefónicas. Pepelux, CTO de Zoonsuite, hizo especial hincapié sobre este fraude que mueve millones de euros al año sin que el usuario se percate de que está siendo estafado. Habló desde el falseo de llamadas desde un número conocido hasta cómo devolver una llamada perdida en nuestros teléfonos puede suponer un cargo bastante alto en nuestra factura telefónica.
La movilidad conectada estuvo también presente en Sec Admin gracias a Pedro Candel, security researcher, más conocido como S4ur0n, que esgrimió las posibilidades de explotar la vulnerabilidad que tiene la comunicación no cifrada de los sensores del cuadro de mandos de vehículos de distintas marcas. “Un ataque de este estilo puede lanzarse desde otro vehículo que se encuentre a 30 ó 40 metros de distancia y pueden provocar desde que se pare el coche hasta facilitar información falsa sobre la presión de las ruedas u otras partes del vehículo”, explica Candel.
Por su parte, Pilar Vila y Belén Pérez, peritos expertas en seguridad OT, ahondaron en la problemática de la ciberseguridad en el sector industrial, ya que cada vez son más las conexiones que se realizan de forma remota a través de internet gracias a la implementación de sensores IoT y dispositivos de monitoreo en la industria que, por defecto, no incluyen anvitirus ya que su inclusión supondría la ralentización de la monitorización de los sistemas. Esto hace que sean el objetivo de numerosos ciberataques que ven en el sector industrial 4.0 un foco con el que poder conseguir grandes recompensas económicas.
En la segunda jornada tuvo lugar la celebración de distintos talleres temáticos que abarcaron desde el análisis de softwares maliciosos para su detección y clasificación, simulaciones de ‘exploits de micro código’ de CPUs hasta información sobre Blockchain. A la finalización de esta segunda jornada se entregó la katana, obsequio del ganador del reto Capture The Flag que se celebra de forma anual en cada SecAdmin.
Este evento ha sido organizado por Dolbuck S.L. y es posible gracias al apoyo institucional de CCN-CERT, INCIBE y a la Universidad Loyola. Por su parte, han patrocinado el evento ARPSecure, Wellness TechGroup, Dolbuck Hack-Lab, IMF Business School, Renfe, OxWord y Hardening de empresas.