Os dejo reflexiones y notas de un novato en la RootedCON.
Kinépolis en la Cuidad de la Imagen (Madrid) alberga unas instalaciones más que adecuadas para un evento de este calibre. Tanto salas como medios audiovisuales están a la altura de la que es posiblemente, la conferencia de seguridad más popular a nivel nacional. La calidad tanto de ponentes como de sponsors es ciertamente también muy elevada.
Acudo solamente jueves y viernes media jornada, por motivos personales. Gran nivel de asistencia, según me cuenta Alberto Rodríguez, miembro de la organización: entre 4000 y 4300 personas acreditadas.
El jueves por la mañana presencio dos conferencias del track de ISACA, presentado por Vanesa Gil Laredo, presidenta de ISACA Madrid y head de IS y GRC de BBVA. Nos habla brevemente acerca de la historia de ISACA Madrid, su misión, y los certificados, características y salidas profesionales que otorgan las especializaciones de que disponen. Si bien es cierto que CISA y CISM siguen siendo las reinas, y CRISC le sigue a cierta distancia, otras nuevas están comenzando a despegar, como son CGEIT, CDPSE, o la recién parida CSX-P.
Posteriormente me sumerjo en la charla de Ciberinteligencia presentada por Iván Portillo y Ángel Luís Veloy. Analizan cuál es su valor para la toma de decisiones, su aplicación a la lucha contra el ransomware (este pasaje me resultó especialmente interesante), y su integración en otros frameworks de trabajo como por ejemplo DORA o TIBER.
Más tarde, pude asistir a la sesión acerca de Resiliencia Digital, qué es y cómo aplicarla y medirla en entornos reales, de Ameet Jugnauth. También aportó valor, aunque era de corte algo más teórico/conceptual.
El viernes me uní al track de ProtAAPP, de funcionarios unidos para la protección de las Administraciones Públicas.
Pude asistir a la conferencia de Marta Beltrán titulada “Nuevos y viejos enfoques para la gestión de identidades y accesos”. En ella, repasamos los conceptos de IAAA (se añade la Identificación a la triple A de siempre), describió los enfoques de gestión de identidades distribuído vs centralizado vs federado (tipo social login, autenticación con Google o Facebook e inconvenientes asociados), amenazas, y posibles soluciones en base a sus investigaciones, que entre otras cosas han servido para mejorar el protocolo Open ID Connect. También se barajaban posibles mejoras basadas en UEBA o seguridad adaptativa para mitigar riesgos según el escenario, y soluciones para entornos con restricciones de recursos o procesamiento en el Edge como SmartObject Connect. Introdujo finalmente la definición de SSI (identidad soberana digital, inicialmente asociada a blockhain y que no depende de un tercero para su validación). Encontré la charla muy amena y didáctica; se nota que Marta además de investigadora es docente.
Luego Ángel del Peso Martín en la sugerente ponencia “¿Montar un ministerio? Sujet me the cubat”, relató las actividades, tanto a nivel técnico como de otra índole que tuvieron que llevar a cabo cuando le encargaron la misión de generar toda la infraestructura necesaria para proteger los activos de información, comunicaciones y servicios de un Ministerio de nueva creación, que se encontraba totalmente en pañales. Labor titánica la suya, resuelta con éxito, tal y como mostraban los indicadores finales.
Posteriormente la Mesa Redonda – «Cómo ser CISO de una gran empresa y no morir en el intento» contó con cuatro CISO invitadas de postín, como fueron Fanny Pérez Santiago (CODERE), Laura Iglesias (Vodafone), Elena García (Indra) e Idoia Uriarte (MásMóvil). Aquí me quedaría como ideas o apuntes principales con el back to the basics, la importancia de la gestión del stress, la vigilancia del presupuesto, la mano izquierda en la gestión de los equipos, la confianza en el equipo, el equilibrio, la rotura de estereotipos, y el hablar en términos de negocio y entender las dinámicas de poder para poder ser tomados en consideración, como algo fundamental. Además, algunos de los puntos pendientes a trabajar que declaran es la implantación de políticas de zero-trust o soluciones SASE, que realmente no son tan eficaces ni eficientes como aparentan sobre el papel.
En la charla ¿Realmente somos las personas el eslabón más débil de la cadena?, Julia Cortés Delgado expone las dificultades de adaptar un Sistema de Gestión de Seguridad de la Información como es el de la Universidad de Sevilla a las nuevas necesidades de cumplimiento normativo de la versión actualizada del Esquema Nacional de Seguridad. Al igual que Ángel, arduo trabajo el suyo, cuando en ocasiones el alineamiento de intereses no es el adecuado, todo el mundo está hasta arriba de trabajo, y además tienes que compatibilizar estas transformaciones con tu vida personal (muy simpática la anécdota del dibujo de un sobrino).
A continuación, en la sesión “Una aproximación técnica a la privacidad: la k-anonimización”, por María Blanca Muñoz Pérez, vemos cómo emplear esta técnica para anonimizar datos, puesto que no basta con suprimir únicamente identificadores primarios, como bien sabe el gobernador de Massachussets. Desidentificación y anonimización, no son sinónimos.
Por último, a modo de fin de fiesta, tras la pausa para la comida asistí a una de las charlas que siempre levanta más expectación. En la sala principal y ante un auditorio abarrotado, Chema Alonso, CDO de Telefónica Tech, presentó en la conferencia “Are you talking to me?” el estado del arte de las técnicas de deep fake de audio y vídeo.
Quedó patente que la biometría de voz como mecanismo de autenticación está actualmente ya roto, puesto que se puede romper con servicios de inteligencia artificial disponibles en internet a bajo coste o incluso gratuitos, sin más que utilizar como input cinco segundos de tu voz procedentes de un audio de whatsapp, por ejemplo.
Por otro lado, presentó que los avances en la parte de vídeo son tan importantes, que al ojo humano como discriminador ya lo han dejado atrás, y las herramientas automáticas de detección de falsificaciones tendrán que ser meramente probabilísticas (como la que nos mostró en una demo desarrollada por el equipo de IdeasLocas), basadas en UEBA y aspectos como frecuencia de parpadeo, frecuencia cardíaca, volumetría del rostro, tono de voz, etc. Pero que a priori no podremos tener la certeza de si lo que estamos viendo es o no real…
Se avecinan tiempos interesantes. Ah, y si tenéis Alexa en casa, es posible llegar a determinar si vuestra pareja os está engañando con otra persona, e incluso llegar a deducir de quién se trata. El que tenga interés, que espere a que se publique la charla en internet 😊.
Huelga decir también que la atención y amabilidad de los sponsors están fuera de toda duda, y era un placer charlar con ellos acerca de posibles proyectos o alianzas, propias o para con mis clientes actuales.
No puedo más que decir: larga vida a la RootedCON. Y eso que no pude disfrutar ni del 50% del evento principal (las conferencias), y además también hay disponibles los talleres asociados, CTFs, la hacker night… Si os gusta este mundillo, es altamente recomendable.
Date de alta sin compromiso en nuestra newsletter para estar al tanto de nuestras novedades, noticias, podcasts, etc. En el email de bienvenida recibirás el código de acceso gratuito a una Masterclass en ciberseguridad. En ese vídeo de casi dos horas de duración, aprenderás a tu ritmo lo fundamental acerca de qué es la seguridad de la información, por qué tiene sentido dedicarse a ello, qué habilidades se requieren, y cómo acceder al sector a nivel profesional.
Comparte esto con quien consideres que puede estar interesado. Y si quieres contactar por privado para cualquier duda o cuestión: oscar.iglesias@daferrasecure.com. Visita la web para conocer mi propuesta de servicios profesionales.
Recuerda que la primera edición del Curso online ejecutivo en ciberseguridad corporativa GRC en colaboración con la Universidad de Mondragón, comienza el 24 de abril. Matrícula abierta!
Gracias por leerme. Stay secure.
Óscar