Whatsapp +54 9 11 38325424
H4ck3d Security Conference
H4ck3d Security Conference 2024 reunió a los protagonistas de la ciberseguridad
Por octavo año, la Facultad de Ingeniería UP y Securetia convocaron a expertos para debatir y brindar demostraciones prácticas sobre el panorama, los desafíos y la prevención de la seguridad informática.
Organizado anualmente por la Universidad de Palermo en conjunto con Securetia, se realizó por octavo año consecutivo H4ck3d Security Conference 2024, con una gran audiencia de estudiantes, interesados, profesionales y especialistas de la seguridad informática del país y la región.
El encuentro más importante de ciberseguridad contó con exposiciones, workshops y la competencia Capture The Flag (CTF), lo que es una gran oportunidad de aprendizaje para ampliar conocimientos, redes profesionales y fortalecer al sector. Durante dos jornadas virtuales, los referentes debatieron el panorama, los desafíos, tácticas de prevención y brindaron demostraciones prácticas sobre la temática.
En la apertura, Alejandro Popovsky, decano de la Facultad de Ingeniería UP, junto a los cofundadores de Securetia Javier Vallejos, licenciado en Informática UP; y Fabián Martínez Portantier, dieron la bienvenida a más de 300 participantes conectados.
Las charlas estuvieron a cargo de Carlos Pantelides, especialista en ciberseguridad IT bancaria; Pablo Martín Almada, OT Lead Partner en KPMG; Diego Bruno, socio fundador de Blackmantis Security; Javier Antúnez, socio Blackmantis Security; Gerardo Oscar Dionofrio, Manager de Cyber Security en KPMG Argentina; profesor UP; Mohamed Nasisi, analista de ciberseguridad en Securetia y Application Security Engineer en Aper; Cristian Mata, CISO en Balanz; Ariel Presta, Engineering Manager en Buenbit; Roberto Rubiano, CISO en Pomelo; Marcelo Prilucas, CISO en BYMA; y Lucas Paus, Business Information Security Officer de ITTI Digital.
Además, en la segunda jornada los especialistas Emiliano Zarate, co-fundador de la consultora CrimL4b; Agustín Villalba, Nicolás Axel Bukovits, Cristian Eduardo Castro e Ian Villarroel, analistas de Securetia; y el co-fundador Fabián Martínez Portantier desarrollaron los workshops donde los asistentes ejecutaron comandos y probaron nuevas herramientas.
"Estamos muy contentos de organizar otra vez H4ck3d siendo la ciberseguridad uno de los temas más importantes de la actualidad, no solo en el mundo académico sino también en el corporativo. Hoy están participando los protagonistas de la Ciberseguridad Argentina, entre los que se encuentran varios egresados de Facultad de Ingeniería de la Universidad de Palermo, de quienes estamos muy orgullosos", expresó el decano de la Facultad de Ingeniería UP, Alejandro Popovsky, dando inicio a la primera jornada virtual.
Primer encuentro
Malware en Hardware
"Mi objetivo principal es inspirarlos, porque si una persona sin un título especializado, en base a la experiencia puede lograr ciertos ataques, imaginen lo que pueden alcanzar con mayor conocimiento, tiempo y capacitación", resaltó Pantelides, quien participa en H4ck3d desde su primera edición.
"FPGA permite definir hardware mediante software. En el FPGA no hay circuitos fijos, sino bloques de memoria, lógica y algunas operaciones específicas como la multiplicación, que se pueden interconectar para lograr diseños de complejidad arbitraria. Para aprender e investigar hardware digitales, el camino viene por FPGA", dijo el especialista durante su demo de un ataque en vivo.
Procesos industriales seguros
Desde KPMG, Almada disertó sobre las metodologías para hacer análisis de la ciberseguridad en plantas industriales, que explican por qué son intrínsecamente seguras. "El Security PHA Review es un proceso integral que identifica donde las salvaguardas de seguridad deben ser implementadas. Hay dos grandes grupos de contramedidas: las que previenen que se genere el escenario de riesgo y las que contienen cuando ya se generó", señaló y añadió: "Todos los marcos normativos de ciberseguridad hablan de controlar también la seguridad física. Siempre hay ataques en infraestructuras críticas".
Equipos de seguridad: la función del Purple Team
Bruno y Antúnez, de Blackmantis Security, expusieron sobre el ejercicio de Purple Team, su funcionamiento y las metodologías que dan resultado en la práctica. "Los incidentes de seguridad están creciendo en forma exponencial en los últimos años lo que ha obligado a las empresas a poner a prueba sus procesos, testear incidentes reales", introdujo Bruno.
"El Purple Team trabaja entre las dos posturas: la del Red Team con una visión ofensiva y la del Blue Team que es la visión defensiva. Dentro de sus tareas está el analizar datos de debilidades, proveer recomendaciones de mejora para las operaciones de seguridad mejorando la profundidad del análisis de las detecciones", explicó el fundador de Blackmantis Security.
En palabras de Antúnez: "Con el objetivo de trabajar de manera colaborativa, el enfoque del Purple Team permite que los equipos intercambien conocimientos, emulen ataques de forma conjunta y evalúen cómo funciona la detección mejorada para identificar debilidades y desafíos. Así vamos refinando la respuesta a incidentes".
Binary SAST
Durante su disertación, el cofundador de Securetia, Martínez Portantier, habló sobre Binary SAST: Trucos y Tácticas en Software Compilado. "Las ventajas del SAST frente a DAST y VAPT, es que es fácil de automatizar, tiene el mismo proceso frente a otros productos, más integrable con CI/CD, mucho más rápido y mucho más económico. Sin embargo, también tiene desventajas: no permite identificar una gran cantidad de vulnerabilidades que requieren la ejecución del software e interacción con el mismo. SAST no reemplaza DAST y VPT sino que se complementan", analizó.
Ataques Invisibles con ROP
El profesor UP, Gerardo Dionofrio, desarrolló la evolución del malware y puntualizó sobre ROP, Return Oriented Programming, una técnica avanzada de la explotación que permite a los atacantes ejecutar código arbitrario aprovechando las instrucciones de retorno.
"El malware es un código de software preparado para realizar una acción maliciosa, desarrollado en forma externa a la máquina de la víctima. En cambio, ROP es un código software malicioso creado dentro de la máquina víctima para atacar a sí misma. ROP escanea toda la memoria RAM en busca de áreas con código ejecutable para luego ensamblar el malware", explicó.
Phishing
Mohamed Nasisi, de Securetia, brindó una demostración sobre phishing, una técnica que utiliza la ingeniería social para apropiarse de manera fraudulenta de la identidad de una persona u organización con fines maliciosos. "Esta estrategia resalta la importancia de la ingeniería social, ya que explota el eslabón más vulnerable de la cadena de seguridad: las personas", advirtió.
"En Latinoamérica, los intentos de phishing aumentaron en un 617% de 2022 a 2023, según los datos analizados globalmente, y más del 70% de estos incidentes comenzaron desde correos electrónicos. En 2023, Argentina registró aproximadamente 2 mil millones de intentos de ciberataques, que se vuelven más específicos y peligrosos al estar dirigidos con información detallada hacia las organizaciones", agregó.
En este escenario, "la seguridad ofensiva juega un papel crucial, ya que simula de forma real un ataque o una brecha de seguridad con técnicas utilizadas por cibercriminales en un contexto controlado, para obtener mejores resultados", concluyó el analista.
Ciberseguridad en las Fintech
La última charla de la jornada reunió a Cristian Mata, CISO de Balanz; Ariel Presta, Engineering Manager de Buenbit; Roberto Rubiano, CISO de Pomelo; y Marcelo Prilucas, CISO de BYMA; en un debate moderado por Lucas Paus, Business Information Security Officer en ITTI Digital.
En palabras de los CISOs, uno de los principales desafíos es desarrollar la protección de los datos del cliente, sin dejar de lado la usabilidad. "Hay que incorporar el concepto de ciberseguridad desde la fase de desarrollo de los procesos, y de ese modo impulsar una cultura de ciberseguridad definida de antemano", dijo Mata.
"Un análisis de riesgos oportuno puede permitir a la organización afrontar riesgos, sin perder velocidad y oportunidad", recomendó Presta, al tiempo que anticipó: "En un futuro muy cercano, una gran amenaza será la suplantación de identidades a través del uso de la Inteligencia Artificial".
En ese sentido, Rubiano destacó la importancia de formar espacios dedicados a fortalecer la seguridad informática: "Hace falta pasión, dedicación y comunidad", dijo. Asimismo, opinó: "La seguridad no es un gasto ni una inversión, sino que es un posicionamiento del producto".
Prilucas coincidió en la necesidad de pensar en la seguridad por diseño, desde el inicio del proyecto, realizando el mapeo de amenazas que permita ver los riesgos e identificar las herramientas o metodologías necesarias para combatirlos: "Es un trabajo y un desafío continuo ya que los tiempos apremian. Debe existir una comunicación muy fluida entre todos los equipos que participan para comprender las áreas, misiones y objetivos. Hay una fuerza común en la seguridad".
Finalmente, Paus agradeció a los expertos su visión sobre innovación tecnológica y cómo debe estar acompañada por la ciberseguridad, resaltando la importancia de sumar adeptos al sector: "Va más allá de la parte comercial, se trata de personas involucradas con la ciberseguridad que comparten información con el fin de hacer un ecosistema más seguro".
Para concluir el primer encuentro, Javier Vallejos y Fabián Martínez Portantier agradecieron a los participantes y a la Universidad de Palermo por hacer posible este espacio de intercambio, con nuevas herramientas, juegos y desafíos en ciberseguridad.
Workshops
Durante la segunda jornada se desarrollaron diferentes workshops orientados a descubrir nuevas herramientas, donde los asistentes hicieron prácticas en simultáneo con el evento. Además, los organizadores anunciaron al ganador del desafío CFT, que obtuvo un premio por parte de la Facultad de Ingeniería de la Universidad de Palermo.
Dando cierre a la octava edición de H4ck3d Security Conference 2024, los cofundadores de Securetia, Javier Vallejos, licenciado en Informática UP; y Fabián Martínez Portantier, agradecieron a los participantes por el entusiasmo compartido durante los dos días de actividades.
¡Los esperamos el próximo año en una nueva edición!
En conjunto con
Carreras y programas relacionados
Licenciatura en Ciberseguridad
Ingeniería en Inteligencia Artificial
Licenciatura en Inteligencia Artificial
Ingeniería en Informática
Ingeniería en Ciencia de Datos
Ingeniería en Telecomunicaciones
Licenciatura en Informática
Licenciatura en Tecnología de la Información
Maestría en Tecnología de la Información
