You are here: Home » Blog » Hack x Colombia 2011

Hack x Colombia 2011

Hace unos pocos meses, a varios entusiastas y profesionales de la seguridad informática y de la información se les ocurrió que ese gusto, compartido por muchos otros, podría y debería ser aprovechado para ayudar a niños sin las posibilidades de educación que muchos de nosotros hemos tenido. Así nació HacxCo (Hack por Colombia).

Más allá de ser Ingeniero, la idea de ayudar a que otros tengan las mismas oportunidades que yo, fue un gran aliciente para asistir al evento. De ahí que me haya sorprendido de manera muy grata encontrar profesionales de áreas poco relacionadas con la parte técnica de la informática (p.ej. abogados).

El evento se realizó en 3 ciudades: Bogotá, Barranquilla y Medellín. En Bogotá (donde yo estaba), la Universidad Minuto de Dios (Uniminuto) tuvo el elegante gesto de apoyar el evento y facilitar sus instalaciones el sábado 8 de octubre para que todos pudiéramos disfrutar de esta gran jornada.

Las conferencias a las que asistí fueron: “Explotando vulnerabilidades con Metasploit Framework” (Federico Gacharná), “Wireless Hacking” (Nicolás Marciales), “Ingeniería Social” (Jeffrey Borbón), “Calling Mom and 5 more VoIP attacks” (Daniel Rodríguez y Giovanni Cruz) y la exposición de David Pereira, al cierre de la jornada.
Así como la organización del evento y los expositores lo hicieron, quiero recordar a los lectores que esta información se suministra con fines exclusivamente educativos y que en la inmensa mayoría de países es delito vulnerar los sistemas informáticos ajenos.

Federico Gacharná nos mostró cómo usar Metasploit Framework para vulnerar equipos remotos que no tienen aplicadas las últimas actualizaciones de seguridad. Todos pensarán “Yo estoy seguro, siempre mantengo mi(s) S.O. actualizado(s)”; sin embargo, el 99% de los ataques que se intentan aprovechan vulnerabilidades para las que hay una corrección disponible (aka.ms/qrcp2s). Aún hay mucho que avanzar en cuestión de protección.

Nicolás Marciales dedicó su tiempo a mostrar cómo se puede usar la suite de Aircrack-ng para descifrar contraseñas WEP. Ah, que WEP es malísimo y ya nadie lo usa… lastimosamente, en Bogotá, las medidas de seguridad implementadas por los ISPs son pésimas, patéticas dejan mucho que desear.

Nicolás Marciales - Wireless Hacking

Nicolás Marciales - Wireless Hacking

Jeffrey Borbón realizó una muy llamativa aunque un poco escalofriante exposición sobre Ingeniería Social. Nos demostró que el eslabón más débil de la cadena, sin duda alguna, es el usuario, la persona.
Añadido a la falta de consciencia general también encontramos a veces la falta de escrúpulos en personal con cierto poder y/o autoridad, facilitando la tarea del ingeniero social. Una vez recolectada suficiente información, basta valerse de café (bebida por excelencia de los geeks) y se da rienda suelta a software que cruza los datos obtenidos, logrando más información sobre la persona o entidad que se está estudiando e incluso, permite aprovechar la ingenuidad de los usuarios para vulnerar sus sistemas informáticos. Y no, no es magia: es falta de consciencia y preocupación de la gente en general (¿Darle las llaves de mi casa a un ladrón? ¿Por qué no?).
Debo admitir que mi paranoia se incrementó después de asistir a esa charla.

Ingeniería social atacando la mente humana

Ingeniería Social: Atacando la mente humana

Daniel Rodríguez y Giovanni Cruz prepararon un interesante laboratorio para mostrar cómo se pueden atacar plataformas VoIP. Aprovechando servicios de búsqueda especializados, resultados estadísticos y la pereza de los desarrolladores y los administradores de sistemas, nos mostraron las grandes debilidades de las soluciones de comunicaciones unificadas. Cerraron mostrando un ejemplo de inyección de módulos de alteración de voz en un Asterisk: no es divertido ni bueno para la reputación de una empresa que todas sus llamadas suenen como Alvin (youtu.be/fT2GLdWrqLM).

Daniel Rodríguez y Giovanni Cruz | Call your mom and 5 voip attacks

Daniel Rodríguez y Giovanni Cruz - Call your mom and 5 VoIP attacks

El cierre de la jornada estuvo a cargo de David Pereira, versado ingeniero con un impresionante y amplio conocimiento. Podría haber dictado una conferencia de todo un día. Lo que alcancé a ver estuvo relacionado con redes de anonimidad, (lo fácil que es hacer) suplantación para engañar a los usuarios y una vista rápida de algunas herramientas para detectar (y quizá explotar) vulnerabilidades de inyección SQL. Desafortunadamente, el tiempo no alcanzo para hablar de XSS y CSRF, por mencionar apenas un par de tópicos (lo que David tenía preparado era más que bastante).

David Pereira - Modus operandi de los BlackHat caso Colombia - Anonymous y Lulzec

David Pereira - Modus operandi de los BlackHat caso Colombia: Anonymous y Lulzec

No está de más recordar que todos los involucrados en la organización y los expositores trabajaron de manera voluntaria.
Quiero finalizar con un reconocimiento y dando las gracias a @dsteamseguridad, @IT_Latam, @EChavarro, @silenceway @NandreaBeltran, @Saint_Bambino, @eljeffto, @WolfMneo, @WiFZarK y @NayeRey por esta gran iniciativa que, para alegría nuestra y de muchos niños, se volvió una magnífica realidad. Esperaré con ansias la versión 2012.

Organizadores Hack x Colombia 2011

 

David Medina
Redactor invitado
Hotfixed.net