Defcon, día 2: hackearon automóviles Tesla, máquinas de voto electrónico, contraseñas y mucho más

Defcon, la conferencia de hackers más grande del mundo, abrió las puertas este viernes a las “villas”, una serie de locaciones repartidas en distintos centros de convenciones de hoteles de Las Vegas, donde asistentes de todo el mundo intentan hackear todo lo que se les cruza.

Desde el robo de contraseñas, el hackeos a máquinas de votación electrónica o satélites, a medios de pago digitales (como wallets) o la simulación de un ciberataque contra un hospital. Entre las más concurridas estuvo la villa de inteligencia artificial (IA) y la de desinformación.

Defcon se realiza desde hace 30 años como una gran comunión de investigadores en seguridad informática y este tipo de actividades y charlas se enmarcan, en su gran mayoría, en lo que en ciberseguridad se conoce como “seguridad ofensiva” (“Red Team”). Se trata de un concepto que apunta a conocer los sistemas y de qué manera son vulnerables para poder prevenir o, en última instancia, contener un hackeo, ciberataque o intrusión no autorizada (algo que corresponde al llamado “Blue Team” en el ambiente).

“La gran diferencia entre Defcon y cualquier otra convención es que acá hay gente muy apasionada, incluso algunos ni siquiera trabaja en la industria de la ciberseguridad: nadie iría por diversión a una convención de construcción. Acá sí, muchos vienen porque quieren aprender y conocer gente“, explicó a Clarín un hacker de Michigan.

De este modo, en las distintas villas se puede aprender sobre nuevas técnicas que incluso escapan a lo 100% digital: hay una para aprender a abrir cerraduras (“Lockpicking Village”), con el sentido de demostrar que la seguridad de los dispositivos no sólo se remite al mundo binario.

Otra de las villas muy concurrida fue la del Red Team, que realiza competiciones en formato Capture The Flag, es decir, ver quién puede hackear antes a otros competidores o a sistemas ficticios.

Una muy llamativa tiene que ver con bioimplantes, una tecnología que permite introducir chips y distintos dispositivos electrónicos en un nivel subcutáneo. Allí realizaron una simulación de un ciberataque contra un hospital, donde los participantes tenían que generar un equipo de respuesta de incidentes y frenar la intrusión (como lo haría un Blue Team).

Las villas se reparten entre cuatro locaciones: Caesars Forum, Flamingo, Linq y Harrah’s. Una de las secciones más grandes se encuentra en el epicentro de la convención y permite participar de talleres: desde aprender a vulnerar una contraseña hasta hackear un satélite: 

Otro de los preferidos de la convención es la villa de hackeo de autos, donde Tesla es una de las marcas preferidas para explotar vulnerabilidades.

También hay una villa específica para hackear contraseñas, donde diversos participantes compiten para ver quién puede “crackear” un password más rápido y también hay charlas con nuevas técnicas y estrategias para descifrar claves.

Durante la convención se puede también ver una gran cantidad de “badges”, esto es, tarjetas de identificación personalizada que los mismos hackers diseñan con diversos motivos: hasta hay una villa específica para este tipo de arte.

Es en cada uno de estos lugares donde desfila la fauna de hackers y moverse es muy complicado: la cifra oficial del año pasado fue de 25 mil asistentes. Aunque todavía no se conoce el número de 2023, los distintos lobbies estuvieron repletos al nivel de no poder caminar por ciertos sectores o incluso no poder entrar a charlas por la cantidad de asistentes. Y algunos mostraron sus creaciones más extravagantes: 

Hay incluso discusiones por la cantidad de hackers que asisten y los lugares para asistir a charlas o workshops. En la charla inaugural le preguntaron a Jeff Moss, fundador de la conferencia, por qué no había más villas: “Es una cuestión de organización, nos gustaría tener más y siempre consideramos las propuestas”, explicó. Y tiene razón: esto se puede comprobar con sólo caminar la feria, que está repleta de gente y lleno de filas para entrar a las distintas villas.

Por el lado argentino, en el segundo día de Defcon dos hackers expusieron durante el mediodía una grave falla en un modelo de cámaras de videovigilancia muy vendido en el país. Más tarde, otra dupla (Dan Borgogno e Ileana Barrionuevo) mostraron cómo hackear posnets mpos (los que usan la conexión de dispositivos móviles y la red de datos) por diversos métodos, un trabajo en la línea de las vulnerabilidades que mostraron el año pasado en la conferencia Ekoparty que se hace todos los años en Buenos Aires.

Durante el domingo, además de las últimas charlas, Defcon hace un balance con las cifras oficiales, resultados de competiciones y se preparan para la edición del año siguiente.

Qué es Defcon

Defcon (o DEF CON) es la conferencia de hackers más grande del mundo. Se realiza todos los años en la ciudad de Las Vegas, en Estados Unidos y congrega a más de 25 mil personas entre profesionales informáticos, abogados, periodistas, estudiantes y funcionarios oficiales.

“Es la conferencia de hacking más grande del mundo que convoca a miles de personas de todas partes. Se hace todos los años, desde hace 30 años. La gente se reúne a aprender, a compartir, a encontrarse con amigos y colegas siempre alrededor de las distintas temáticas relacionadas con hacking y ciberseguridad”, cuenta César Cerrudo, hacker argentino que se hizo famoso por demostrar en una edición, ante 2 mil personas, que los semáforos de distintas ciudades de Estados Unidos podían ser hackeados.

Más allá de las investigaciones más formales, la convención tiene un fuerte componente lúdico en el cual hay competencias, concursos y desafíos que año a año los hackers tratan de resolver.

Se realizó por primera vez en junio de 1993, organizada bajo la dirección del hacker Jeff Moss cuando tenía 18 años. En la actualidad ya va por su edición número 31 y, desde aquel entonces, muchos aspectos cambiaron pero el espíritu se mantiene igual: sigue siendo una reunión de “la comunidad” y como tal está autogestionada.

Esto se diferencia con Black Hat, que es otra convención que se realiza unos días antes este año (del 5 al 10 de agosto), también en Las Vegas (Mandalay Bay), y que tiene un perfil mucho más empresarial.

A ambas convenciones, por la magnitud que tienen, se las conoce como «Hacker summer camp».

La edición 31 se lleva a cabo del 10 al 13 de agosto de 2023.

Desde Las Vegas