La Facultad de Ingeniería, junto con Securetia,
realizó una jornada en la que empresas líderes, expertos en ciberseguridad y funcionarios
dieron charlas sobre seguridad ofensiva y defensiva. El objetivo del encuentro fue concientizar al
ciudadano y a las organizaciones de que si no se toma en serio la ciberseguridad podrían ser
víctimas de un ciberdelincuente.
Participaron Carlos Pantelides, programador multilenguaje y colaborador del proyecto CIAA, Gustavo
Linares, director del BA-CIRT, Carlos Loyo y Santiago Friquet, CSForensics, Oscar Schmitz, Director
Ejecutivo en CXO Community, Ulises Kandiko, CEO & Founder GS2, Oscar Mato, abogado especialista
nuevas tecnologías, seguridad de la información y derecho internacional, Daniel Piazza,
director en ICIACorp, Carlos Rojas, Comisionado Mayor en la Policía Metropolitana, Claudio
Colace, CISO del Banco Patagonia, Marcela Meyorin Lorenzo, líder de Proyecto y Consultor Senior
Compliance, Riesgos, Auditor de TI y SI, Cecilia Pastorino, security researcher de ESET
Latinoamérica, Fabián Martínez Portantier, co-founder de Securetia y Andrés
Riancho, director de Seguridad Web para Rapid7.
Carlos Pantelides, demostró que agregar HSTS mejora la seguridad de un sitio web e indicó
que "dejar un servidor configurado adecuadamente para trabajar seguro con https puede demoras como
máximo 2 hs". Asimismo, Gustavo Linares presentó el BA-CSIRT, el Equipo de
Respuesta ante Incidentes de Seguridad Informática de la Ciudad de Buenos Aires.
Indicó que se tomó como modelo el CSIRT de España debido a que el mismo tiene como
foco al ciudadano y era la postura que querían tomar desde BA-CSIRT. Afirmó que reciben
ataques constantemente y que durante el gobierno nacional anterior, la Ciudad de Buenos
Aires experimentó ataques informáticos desde algunas reparticiones del gobierno
nacional.
Carlos Loyo y Santiago Friquet en su presentación hablaron sobre cómo utilizar
OSINT (Inteligencia de Código Abierto, o datos de fuentes públicas y
disponibles) y propusieron herramientas como getAllTweet, la cual permite acceder a los
tuits de la cuenta de Twitter que uno desee.
En la mesa redonda coordinada por Oscar Schmitz, fue Piazza indicó que para una prevención
ideal del ciberfraude es necesario definir las amenazas, establecer la jurisdicción, fortalecer
la investigación y es muy importante la cooperación internacional: "generando conciencia
entre los usuarios serían muchísimos menos los ciberfraudes". Por su parte, el Comisionado
Rojas indicó que si bien "falta comunicación entre las fuerzas" han ganado muchas
batallas. Ulises Kandiko, habló sobre ciberterrorismo, hizo hincapié también en la
falta de comunicación y dijo que "hay que poner a la Ciberseguridad en la agenda antes que la
agenda se convierta en Ciberseguridad". Al respecto, Oscar Mato indicó que "cada vez tenemos
más dispositivos conectados y menos seguridad aplicada. El punto de seguridad en el diseño
no se está llevando a cabo".
Otro de los temas que se abordó fue el de la ISO 27001, en donde Claudio Colace habló en
conjunto con Marcela Meyorin Lorenzo sobre que en el Banco Patagonia implementaron dicho estándar
y es el primero en el mercado financiero argentino en tener esa certificación. Claudio
declaró que "una certificación te obliga a mantener los procesos actualizados y a
incorporar un trabajo conjunto dentro de la organización".
Cecilia Pastorino explicó que "un hacker no es un atacante sino un investigador, una persona
curiosa que busca hacer cosas para las cuales no fue desarrollada la aplicación", demostrando lo
sencillo que es tomar el control completa de un equipo informático si no se mantienen las
actualizaciones de los sistemas. Aprovechando esto hizo funcionar un poco más ese equipo
controlado por un supuesto ciberdelincuente y demostró el funcionamiento de un
Ransomware.
Fabián Martínez Portantier habló sobre un problema común de varias
organizaciones, en donde suelen compartirse servidores con el afán de aprovechar los recursos y
se olvidan que si una aplicación cae en las manos de un
ciberdelincuente, y no se toman las medidas de seguridad correspondientes, todas las aplicaciones que
comparten el mismo host podrán ser controladas.
Finalmente, Andrés Riancho, con su charla expuso sobre que en la actualidad la mayoría de
los Frameworks mitigan vulnerabilidades conocidas como SQLi y XSS, por tal motivo y por el entusiasmo
que lo caracteriza fue por más encontrando vulnerabilidades Web complejas, pero por sobre todas
las cosas muy interesantes. Algo que comentó Andrés y sobre los cuales basó uno de
sus ataques fue, aprovechando que muchos Frameworks no proveen de un proceso de Password Reset este
suele ser un punto débil dentro de las aplicaciones Web.
“Como conclusión del evento podemos remarcar que lo que está faltando en las
organizaciones es comunicación, falta concientización a nivel Ciberseguridad. Luego de
WannaCry, tal como lo predijo Ulises, la Ciberseguridad se ha convertido en la agenda”,
afirmó Javier Vallejos Martínez, profesor de Seguridad Ofensiva y de Seguridad Web
Aplicada de la Facultad de Ingeniería.
IMÁGENES:
El temario que se llevó a cabo fue:
10:00 | Charla: HSTS: video club vs sistemas complejos
Expositor: Carlos Pantelides
Experto en prevención de fraude informático, programador multilenguaje y colaborador del
proyecto CIAA.
El mecanismo HSTS como medio para mostrar el estado de seguridad a nivel de TLS en bancos argentinos y el impacto real de su falta, comparando el esfuerzo de la solución en un caso sencillo como puede ser un videoclub.
10:40 | Charla: Presentación Oficial del BA-CSIRT
Expositor: Gustavo Linares
Director del BA-CIRT.
Presentación oficial del BA-CIRT. Primer Centro de Ciberseguridad de la región orientado al ciudadano.
11:20 | Break
11:35 | Charla: Generando una pequeña NSA- Automatización en OSINT
Expositores:
Carlos Loyo
Ingeniero en Sistemas, docente de la Facultad de Ingeniería de la UP. Co-Fundador de
CSForensics, con 8 años de experiencia en seguridad de la información relacionada a la
gestión de vulnerabilidades e incidentes y operaciones de seguridad de la información.
Santiago Friquet
Analista de Seguridad Informática, Co-Fundador de CSForensics. Experiencia en tareas de
vulnerability manager, controles SOX, PCI e ISO27001. Actualmente realiza investigaciones
independientes sobre plataformas de programación (Arduino y Rasberry) en el desarrollo de
controles para detección de APT.
Cuáles son las fases que conllevan realizar una búsqueda en fuentes abiertas, APIs disponibles, herramientas y métodos de centralización de información.
12:15 | Mesa redonda: Cibercrimen, Ciberterrorismo y Ciberseguridad
Moderador: Oscar Schmitz
Ingeniero en Sistemas de Información (UTN), Director Ejecutivo en CXO Community, Magister
Business Administration (MBA UCEMA), Coach Ontológico (ICEBA), docente en la Facultad de
Ingeniería de la UP.
Disertantes:
Ulises Kandiko
Experto en ciberterrorismo, CEO & Founder GS2. Director de Seguridad en Ministerio de Relaciones
Exteriores y Culto de la República Argentina.
Oscar Mato
Abogado especialista Nuevas Tecnologías, Seguridad de la Información y Derecho
Internacional. Trabajó como Auditor Seguridad Sistemas de Información en
Inspectoría FAA.
Daniel Piazza
Experto en fraude Internacional Financiero. Director en ICIACorp. Trabajó como Director
Regional en Investigaciones de AMEX.
Carlos Rojas
Comisionado Mayor en la Policía Metropolitana.
La seguridad hoy tiene un sentido de inmediatez, flexibilidad y transfronteriza. Estos elementos impactan en las estrategias actuales de entrenamiento, prevención y acción utilizadas de los años ’80. Lamentablemente este es uno de los criterios de refuerzo en donde a pasos lentos estamos aprendiendo, en un contexto de crecimiento exponencial. ¿Cómo actualizamos las políticas, procesos y acciones concretas? ¿Cómo re-aprendemos a hacer seguridad? ¿Para qué es necesario un cambio?
13:15 | Break
14:30 | Charla: ¿La Ciberseguridad y los SGSI son compatibles?
Expositores:
Claudio Colace
Egresado de la Facultad de Ingeniería de la UP, con 18 años de experiencia en la
Industria de Servicios Financieros, CISO de Banco Patagonia. Hoy día en Banco Patagonia, como
parte del conglomerado de Banco do Brasil continúa en el campo de la seguridad de la
información y la protección de activos.
Marcela Meyorin Lorenzo
Docente de la Facultad de Ingeniería de la UP, con más de 20 años de experiencia,
hoy es Líder de Proyecto y Consultor Senior Compliance, Riesgos, Auditor de TI y SI,
también Especialista en Seguridad de la Información, Servicios de TI, Riesgos y
Continuidad de Negocio. Integrante del SubComité IRAM de Seguridad de la Información,
Tecnología y Riesgos en Buenos Aires, Argentina.
¿La Ciberseguridad existe? ¿Y la normativa internacional de la Ciberseguridad? Exposición sobre normativas y metodologías utilizadas. Experiencias en Sistema de Gestión de Seguridad de Información (SGSI) en Entidades Financieras.
15:10 | Charla: Historias de hackers y cibercriminales: Tras las huellas de un ataque informático
Expositora:
Cecilia Pastorino
Security Researcher - ESET Latinoamérica. Investigaciones de seguridad de la información
en el laboratorio de ESET Latinoamérica.
¿Alguna vez cruzó por tu mente la idea de que alguien llegue a comprometer la seguridad de las webs que visitas frecuentemente? ¿Cómo un atacante podría lograr esto y qué consecuencias podría traerte? En cuanto a la primera interrogante, la respuesta es sí; para responder la segunda te proponemos esta charla.
15:50 | Break
16:05 | Charla: Malas Compañías
Expositor:
Fabian Martinez Portantier
Co-Founder Securetia, Consultor en Ciberseguridad con más de 10 años de experiencia.
Cómo una aplicación segura puede verse comprometida al estar instalada en el mismo servidor que una aplicación vulnerable. Se expondrán técnicas de local file inclusión y web shells.
16:45 | Charla: Vulnerabilidades de Seguridad Web Esotéricas
Expositor:
Andrés Riancho
Investigador y consultor con foco en la seguridad ofensiva de aplicaciones. Director de Seguridad Web
para Rapid7. Inició w3af, un scanner de código abierto, que ayuda a identificar y
explotar vulnerabilidades en aplicaciones web.
Las vulnerabilidades esotéricas en las aplicaciones web, las cuales pueden no ser vistas por la mayoría de las revisiones rápidas y escaneos automatizados, y pueden llevar a la ejecución remota del código, el salto de autenticación y la compra de artículos a través de PayPal sin realizar ningún pago real. NoSQL Injections, Host Header Injections, PayPal Double Spent y null nil Null, son algunos de los ejemplos.
17:25 | Cierre: Conclusiones CTF y sorteos