Durante este año 2025, el mundo de la inteligencia artificial nos ha dejado cambios importantes en la forma en la que los agentes se comunican entre ellos, así como en cómo se comunican con recursos externos. Estas comunicaciones han pasado de ser algo a medida en cada producto, a estar estandarizadas por los grandes actores de nuestra industria, en forma de los protocolos MCP y A2A. En esta charla veremos en detalle en que consisten estos protocolos y que implicaciones de seguridad tiene utilizarlos. Describiremos los riesgos asociados y los ataques conocidos, y las limitaciones que las herramientas de seguridad tienen en la actualizar para trabajar con este tipo de protocolos, especialmente en sus variantes asíncronas. Por último, se presentará una herramienta que permitirá adaptar todas estas herramientas que ya tenemos y utilizarlas para analizar la seguridad de las aplicaciones los emplean.

Análisis técnico del spyware mercenario más avanzado. Arquitecturas modulares, control C2 dinámico, evasión forense y capacidades ofensivas reales de plataformas como Epeius y Heliconia.

En el mundo de la ciberseguridad, las auditorías y el bug bounty han dependido durante años de procesos manuales y del ingenio individual. Con el entrenamiento de modelos, surge un nuevo paradigma: análisis predictivo, visión panorámica y priorización inteligente de vulnerabilidades. Gwaihir, como el águila de Tolkien, simboliza esa capacidad de elevarse y ver más allá de lo evidente. Estos modelos entrenados en CVEs, exploits y reportes reales detectan patrones invisibles al ojo humano. Su integración en pipelines CI/CD transforma auditorías en procesos continuos y proactivos. El hunter ya no es solo un buscador, sino un investigador aumentado con IA como copiloto. Los falsos positivos se reducen y los hallazgos críticos emergen con mayor claridad. La seguridad deja de ser reactiva para convertirse en anticipatoria. No hablamos de sustituir al hacker, sino de darle alas para volar más alto. Ese es el poder de Gwaihir: romper el paradigma y redefinir la forma en que entendemos el hacking.

AIkido es la nueva revolución en tu Command & Control favorito: Kitsune. Sugiere comandos, detecta oportunidades de escalada y ejecuta tareas complejas de forma totalmente autónoma, sin depender de APIs de pago ni registro alguno. Funciona localmente o a través de internet, háblale en cualquier idioma y contempla como se mueve por la interfaz gráfica, como si fuera "Red Team Operator" real. Pídele cualquier cosa a AIkido, ves a por tus palomitas... y disfruta del espectáculo!

En esta charla se presenta una nueva técnica de ejecución de código para entornos Windows: Activation Context Hijack. Esta técnica ha sido desarrollada inicialmente como una alternativa más flexible y más potente a las distintas variantes de DLL Hijack, si bien durante los meses posteriores a su desarrollo se ha descubierto que ofrece todo un abanico de posibilidades más allá de la mera inyección de código en un proceso de confianza. Durante la charla, exploraremos los problemas y las necesidades que han provocado el desarrollo de esta técnica, y haremos un recorrido tanto por el funcionamiento de la misma a bajo nivel como por las distintas posibilidades que ofrece a través de varias demostraciones en directo.

En esta charla se trata de un problema crítico y poco explorado en el ámbito de la seguridad digital/privacidad: el análisis de metadatos como una forma de vigilancia y control. A diferencia de charlas centradas en el cómo del cifrado de contenido, en esta se enfoca la zona invisible, pero decisiva del tráfico de red, presentando a las mixnets como una solución real y operativa más allá del mundo académico.

En VirusTotal llevamos desde 2023 aplicando modelos LLM al análisis de malware. En esta charla compartiremos los principales retos y aprendizajes, así como dos herramientas en desarrollo: un plugin para IDA Pro con integración de CodeInsight y una plataforma experimental de análisis automático basada en agentes. Exploraremos su utilidad, casos reales y los límites actuales de esta tecnología en ciberseguridad.

En esta ponencia se presenta UFO, un implante centrado en la evasión de EDRs y sistemas de detección actuales, complementado por Chameleon, un motor polimórfico que garantiza que cada instancia del implante sea única e impredecible. UFO es un syscall proxy en forma de shellcode, que hace inviables gran parte de los sistemas de detección dinámicos (cargas reflexivas de código / orden de ejecucion de funciones de la API de Windows). Chameleon, por otro lado, es un motor polimórfico, por lo que dificulta enormemente la detección del implante mediante sistemas estáticos (basados en firmas de código). Durante la ponencia se compartirá el código fuente de una versión básica de UFO y Chameleon, con el objetivo de que los asistentes puedan estudiarlo, modificarlo y adaptarlo a sus propios ejercicios de Red Team. Para rematar, durante la presentación se mostraran técnicas novedosas de post explotación implementadas mediante el implante con el fin de demostrar su enorme potencial.

Una IP no es una condena. Un pantallazo no es una verdad. Un informe técnico no es infalible. En un mundo donde la prueba digital se ha convertido en la reina del proceso penal, la defensa (y el ataque) legal de esa prueba puede decidir el destino de una persona. En esta ponencia, pondremos el foco en una figura demasiado olvidada por el gran público y, a veces, infravalorada por los tribunales: el perito informático forense. Su informe puede construir una acusación o destruirla. Puede sostener la cadena de custodia... o demostrar su ruptura. Puede parecer impecable… hasta que alguien lo tumba en diez minutos. ¿Qué pasa cuando un informe técnico se convierte en papel mojado porque no entiende el proceso legal al que sirve? ¿Y cuando una prueba digital parece sólida, pero su origen está viciado por una mínima infracción de garantías? A través de ejemplos reales (y alguno sorprendente), exploraremos: • Cómo un informe pericial mal planteado puede ser inutilizable en juicio. • Qué errores técnicos y procesales cometen peritos… y abogados. • Qué debe tener un informe para resistir el contra-interrogatorio. • Casos en los que la inteligencia artificial ha generado pruebas falsas que casi acaban en sentencia. • Y, sobre todo, cómo desmontar legalmente una prueba digital en apenas diez minutos… sin vulnerar la ley. Una charla pensada para sacudir conciencias, mejorar prácticas y tender puentes entre lo técnico y lo jurídico. Porque el futuro de la justicia digital no está solo en la tecnología, sino en cómo la entendemos, usamos y cuestionamos.

En esta charla Ricardo Narvaja  realiza un análisis detallado y explotación del bug de envenenamiento del caché de activación en Windows, para lograr ejecución de código con HIGH INTEGRITY LEVEL obteniendo privilegios de Administrador y SYSTEM, un bug no reconocido por Microsoft.  Veremos su actualidad y si ha sido parcheado silenciosamente o sigue funcionando como el primer día.

Esta presentación técnica explora el funcionamiento interno de Denuvo Anti‑Tamper, una de las soluciones DRM más ampliamente desplegadas en la industria del videojuego. A través de un análisis detallado de ingeniería inversa examinaremos los mecanismos de protección de Denuvo, sus técnicas de ofuscación y las decisiones arquitectónicas que lo caracterizan. La charla cubre la metodología empleada para analizar el sistema, los hallazgos clave sobre cómo se integra con los ejecutables del juego y las perspectivas sobre la tecnología anti‑tamper moderna. Los asistentes obtendrán una comprensión más profunda de las implementaciones DRM contemporáneas y de los desafíos técnicos involucrados en los sistemas de protección de software.

La constelación de satélites Iridium conocidos por su cobertura y conectividad global, transmiten una gran cantidad de datos a través de sus redes, como coordenadas GPS, mensajes cortos, SMSs, mails e incluso llamadas de audio. Esta charla explica cómo documentos confidenciales e información de funcionamiento de esta constelación se publicaron tanto en Wikileaks como en otros lugares, luego un research expuso sus problemas de seguridad, y en esta oportunidad se presenta una POC capturando tráfico, mostrando la sencillez de interceptar estas comunicaciones con un equipo básico. Se realiza un análisis en detalle de esta información, algunos métodos libres disponibles actualmente para extraer datos de estas señales y cómo un atacante puede realizar intel de manera muy sencilla en este tipo de comunicaciónes.

Durante la charla analizaremos una nueva técnica que puede ser utilizada para injectar código en un proceso ejecutandose con la maxima proteccion de windows (Protected-Process WinTcb) la cual puede ser utilizada por actores maliciosos para evadir e incluso realizar acciones de tampering contra soluciones antivirus y EDR.

MirrorFace, también conocido como Earth Kasha, es un actor de amenazas alineado con china dirigido principalmente a empresas y organizaciones con sede en Japón. Durante los últimos años se han reportado varias campañas dirigidas a entidades políticas japonesas, incluida una en especial realizada semanas antes de las elecciones a la Cámara de Consejeros en verano de 2022. Aunque su actividad sigue centrada en esa región del planeta, también se han observado por primera vez campañas dirigidas a organizaciones diplomáticas europeas, usando la Expo de Osaka en 2025 como gancho. En esta ponencia veremos la importancia de analizar este tipo de campañas que se producen lejos de nuestras fronteras para comprender sus tácticas, técnicas y procedimientos y aplicar ese conocimiento para prevenir incidentes similares cuando estos se produzcan en nuestra región. Así mismo,,presentaremos los detalles de los ataques de la Operación AkaiRyū y los hallazgos de la investigación derivada del ataque a un instituto diplomático centroeuropeo por parte de MirrorFace. Así mismo, mostraremos las importantes actualizaciones relacionadas con la actividad en los últimos meses, información que incluye datos no presentados previamente en conferencias.

Diseñar una infraestructura de Red Teaming sólida no es solo una tarea crítica: es una forma de vida. Tras años en operaciones reales —y sobreviviendo a ellas— he aprendido que la diferencia entre un ejercicio exitoso y uno que se viene abajo en la primera hora suele estar en el C2. O, mejor dicho, en los C2. En esta charla presentaré una actualización completa de la infraestructura que utilizo en los ejercicios de Red Teaming más exigentes, donde los EDR no perdonan y el margen de error es nulo. Hablaré de cómo he evolucionado desde arquitecturas monolíticas hasta entornos distribuidos, con múltiples capas, distintos C2s interconectados, uso de redirectores avanzados y técnicas de fallback que permiten seguir operando incluso cuando el adversario empieza a reaccionar. Además, mostraré casos reales y configuraciones específicas que he utilizado, incluyendo un entorno complejo diseñado para emular APTs en colaboración con MITRE, con el objetivo de alimentar ATT&CK con nuevas TTPs. También hablaré de un nuevo C2 que ha cambiado las reglas del juego por su capacidad para evadir defensas modernas con una facilidad que da miedo (y que todavía no muchos conocen ni han puesto a prueba como es debido). Cierro con un repaso de algunas técnicas de evasión que me han funcionado frente a EDRs bien configurados, sin humo ni promesas vacías. Sólo lo que me ha permitido seguir operando cuando la infraestructura empezaba a arder. Esto no es una guía paso a paso, es una radiografía realista, afilada y práctica sobre cómo construir (y mantener viva) una infraestructura de Red Teaming en tiempos hostiles.

La demonizada CTI entra en acción en la mayoría de compañías de forma disruptiva, la cual ya no es lujo estratégico: es una necesidad táctica y operacional. Exploraremos cómo posicionar y distribuir la inteligencia de amenazas entre los distintos equipos técnicos, analizando ataques reales mediante técnicas de threat hunting e ingeniería inversa. Veremos cómo CTI puede liderar o apoyar tareas de investigación en distintos escenarios, siendo clave en la identificación, comprensión y erradicación de amenazas complejas

En esta charla se presenta ApkAudit, una herramienta abierta y accesible que permite auditar apps Android sin necesidad de root ni conocimientos técnicos avanzados. ApkAudit detecta permisos excesivos, rastreadores ocultos y contradicciones entre el comportamiento real de la app y lo que declara en su política de privacidad, utilizando análisis estático, procesamiento del lenguaje natural (NLP) e integración con VirusTotal y App-PIMD. A través de una demo en vivo, compararemos ApkAudit con soluciones institucionales como Conan Mobile, mostrando cómo una herramienta construida con principios éticos y software libre puede ofrecer más transparencia, más trazabilidad y más respeto por la privacidad del usuario. Pensada tanto para pentesters como para usuarios inquietos, la charla explora cómo auditar desde el móvil, sin tragar lo que las apps prometen.

Siguiendo la estela de Mastering r2ai del año pasado, esta charla se adentra en los últimos avances del uso de la inteligencia artificial aplicada a la ingeniería inversa, poniendo el foco en modelos e implementaciones libres integrados con radare2. Abordaremos cómo aportar conocimiento y contexto de manera óptima, y cómo definir estrategias de razonamiento que permitan planificar y resolver tareas complejas de forma autónoma mediante la orquestación de agentes potenciados con sus propias herramientas. Este ecosistema tecnológico implica consideraciones relevantes en materia de seguridad y privacidad, tanto en su implementación como en su uso, aspectos que se destacarán a lo largo de la sesión. Para cerrar, se presentarán diversos casos de uso y ejemplos prácticos que demuestran la viabilidad de estos enfoques sin depender de servicios externos ni conexión a la red. EOF