Viajamos a DEF CON! (Y nos paseamos también por BlackHat)

Desde hace un par de décadas, durante la primera quincena de agosto, la colorida cuidad de Las Vegas, Nevada, recibe a sus visitantes más atípicos, por montones. Es notorio el cambio, puesto que las hordas de turistas fiesteros en technicolor dan paso a miles y miles de geeks con poleras negras, peinados exóticos, artículos electrónicos […]

Desde hace un par de décadas, durante la primera quincena de agosto, la colorida cuidad de Las Vegas, Nevada, recibe a sus visitantes más atípicos, por montones. Es notorio el cambio, puesto que las hordas de turistas fiesteros en technicolor dan paso a miles y miles de geeks con poleras negras, peinados exóticos, artículos electrónicos con lucecitas que cuelgan de sus cuellos y antenas que se esconden entre sus mochilas.

Lo que en 1993 comenzó como una fiesta relativamente improvisada entre amigos hackers del underground de la época, hoy ya es el Hacker Summer Camp (Campamento de verano de los hackers), donde convergen hackers e investigadores de todo el mundo para asistir a las diversas conferencias que se desarrollan en torno a la infosec y la ciberseguridad. Allí los hackers exponen sus investigaciones del año, vendors presentan sus productos, se intercambian conocimientos y experiencias, se realizan diferentes concursos, se reúnen los amigos y la gran comunidad de la infosec se une para esta enorme celebración de aprendizaje, camaradería y diversión de la más geeky! 

Todo comenzó cuando Jeff Moss invitó a amigos hackers a reunirse en una fiesta en Las Vegas en 1993, dando origen a la primera DEF CON, a la cual asistieron alrededor de 100 personas. Con el paso del tiempo, y el considerable aumento de los asistentes (a la DEF CON 25, en 2017, asistieron alrededor de 25.000 personas) comenzaron a desarrollarse más conferencias. Asistimos a las dos más antiguas y multitudinarias: DEF CON 26 y BlackHat 2018.

DEF CON 26

Entre el 9 y el 12 de agosto de 2018 se celebra la vigésimosexta versión de DEF CON, que es multitudinaria -atrae a miles de asistentes- y enorme. Es tanto así que se desarrollará en tres centros de convenciones (que a la vez son hoteles y casinos): El Caesars Palace, el Flamingo y el Linq.

Dado que son cientos de charlas, para su desarrollo se divide en diferentes Villages: IoT Village, Biohacking Village, Packet Hacking Village, Crypto & Privacy Village, Wireless Village, Rootz Asylum, Lockpicking Village, Hardware Hacking Village, Social Engineer Village, Tamper Evidente Village, Data Duplication Village, Deaf Con, Recon Village, Soldering Skills Village, Voting Hacking Village, AI Village, Dronewarz Village, BCOS/Monero Village, VX (Chip-Off) Village, Mobile Museum Village, Ethics Village, Laser Cutting Village, Skytalks, Cannabis Village (Puff Puff Hack), CAAD Village, Blue Team Village, ICS Village y la Car Hacking Village.

Los guardias de la DEF CON se llaman “Goons” (una palabra que tiene dos definiciones: 1. Una persona que hace bullying, específicamente contratada para lidiar con la oposición y 2. Una persona excéntrica), los asistentes se llaman “Humanos” y la prensa y los speakers se llaman “Inhumanos” y sus badges o placas de asistentes (sí, tu acreditación o “ticket de entrada” de la DEF CON es una placa de circuitos electrónicos programables!) así lo indican. En los badges de DEF CON no puedes ver el nombre de nadie, y no está permitido grabar ni tomar muchas fotos…

BlackHat

Con el tremendo crecimiento de DEF CON, muchos de quienes comenzaron a asistir desde el comienzo de la convención, ya la han dejado de ver como un lugar para intercambiar información y ya más como una especie de “festival”.  Con un ticket de admisión, al menos diez veces más caro, BlackHat resuelve el problema de las filas de DEF CON. Vendors pueden rentar espacio y crear una área de exposición para su producto que atraiga al asistente, con el contraparte de exponer sus productos en ella, las áreas de descanso se llaman “áreas de networking”, hay charlas de líderes de la industria de la ciberseguridad, los “Briefings: un lugar para aprender lo último en riesgos, investigación, y tendencias”, fiestas destinadas al networking y organizadas por grandes compañías de la seguridad (algunas con bar abierto, algunas, incluso con comida), bastantes displays de compañías (con swag, mucho swag), entrenamientos topísimos, y con la mayoría de los hackers vestidos de business-casual, intercambiando información de contacto con los vendors, a cambio de la firma de un libro de algún autor, o de una opción de ganar algún suculento premio. Ésta es una conferencia que traspasa una experiencia de conocimiento en torno a la industria de la ciberseguridad, además de conocimientos técnicos en torno al hacking. En cuanto al hacking, con el tiempo BlackHat ha ido evolucionando e incluyendo más y más conocimiento en torno a la seguridad defensiva y preventiva. Si bien en sus comienzos fue una especie de extra de DEF CON (a la primera BH asistieron menos de 100 personas y tomó lugar en el Aladdin, un hotel cuyo edificio fue demolido al año siguiente), hoy en día BlackHat ofrece la oportunidad para que se encuentren oferentes y demandantes de todo tipo de la industria de la ciberseguridad: productos, servicios, entrenadores, aprendices, empleadores, trabajadores, etc.

Tanto en DEF CON como en BlackHat se divulga valiosa información. Parte del equipo de Nivel4 viajó con la misión de adquirir mucho conocimiento que converge desde todo el mundo en Las Vegas en esta época, estival acá, para así poder traspasarlo a la industria nacional y latinoamericana que se encuentra en tierra fértil en estos momentos. En Chile nos encontramos en el momento en el que comenzaremos a incorporar a la ciberseguridad como una parte consciente de nuestras vidas, de nuestras formas de hacer negocios, de nuestra forma de llevar el Estado. Usuarios comenzarán a exigir a sus proveedores prácticas seguras en torno a la ciberseguridad y al tratamiento de los datos personales. Pronto tendremos leyes regulatorias al respecto. En todos los países que presentan un estado más desarrollado en cuanto a la ciberseguridad, las auditorías de seguridad informática son mandatorias y también lo son las penetration tests para todos quienes traten con grandes cantidades de datos de todo tipo (las penetration tests son ítems para alcanzar la compliance en diferentes estándares, y más recientemente, la GDPR exige específicamente un proceso para testeo regular de la efectividad de las medidas de seguridad), puesto que ya debemos despertar a la realidad de la importancia de proteger nuestra información y la de todas las personas y organizaciones. Junto con la transformación digital, nuestras vidas dependen cada vez más de las tecnologías. Es un nuevo paradigma al cual debemos adaptarnos. No podemos quedarnos atrasados. Las oportunidades de desarrollo que estas nuevas tecnologías nos ofrecen son infinitas. Los sistemas tecnológicos nuevos son, sin embargo, complejos. Por ende, deben ser planeados con conocimiento. Deben ser continuamente puestos a prueba para continuamente rediseñarlos y adaptarlos a los cambios tecnológicos. Si hay algo que estos encuentros como DEF CON y BlackHat demuestran es el dinamismo del ritmo de cambio de las tecnologías. Cada año se presentan nuevos ataques que anualmente dejan obsoletas las medidas de seguridad de la información del previo año, año tras año. Dentro de este contexto, parte inherente del rol de expertos en seguridad informática, es mantenernse actualizados en el estado del arte de la ciberseguridad, no sólo para saber evitar las amenazas existentes, sino también para lograr trasladar los conocimientos continuamente adquiridos hacia nuestras realidades locales, de modo que la evolución de la cibserseguridad en Chile siga las prácticas que han demostrado ser más efectivas en modelos de ciberseguridad más desarrollados ya. Si bien la tarea es compleja, tiene un alto componente técnico, se le deben asignar recursos monetarios, de tiempo y energía, DEF CON y BlackHat nos demuestran que la tarea es una verdadera celebración: esta llena de desafíos, de estrategia, la cantidad de recursos es enorme para el que sabe buscar, el que sabe crea y el que no, copia, adapta y re-enseña las soluciones existentes. Éstas son un recurso más en el arsenal de los hackers que tendrán la tarea de diseñar un entorno más seguro para todos.