Perfil
Investigador de seguridad, bug hunter, conferencista internacional y experto en análisis de vulnerabilidades y pruebas de penetración. Ha reportado fallos de seguridad válidos en compañías de primer nivel como: Google, Apple, Microsoft, Facebook, Twitter, Telegram, Nokia, Sony, Slack, Atlassian, Netflix, etc. lo que le ha permitido estar en el salón de la fama de seguridad de cada una de ellas.
Reportes de fallos de seguridad válidos:
- Google VRP: Descubrimiento de archivos locales en servidor de producción de Google
- Apple: Información PII, lista completa de contactos, número de teléfono principal. y divulgación de correo electrónico de iCloud; lectura de archivo local a través de un archivo zip y enlaces simbólicos en la aplicación iOS Files.
- Google VRP: De inyección de JavaScript a comprometer servidores de Cloudshell.
- Google VRP: Variables locales de /etc/environment exfiltradas Google Earth pro de escritorio
- Yahoo!: De inyección de JavaScript a cuenta de usuario comprometida por completo
Main Track:
Hands-On Hacking: Flaws AI Can’t Replicate (Yet)
Hands-On Hacking: Flaws AI Can’t Replicate (Yet) is a talk designed to challenge the idea that Artificial Intelligence can do everything. Through concrete, real-world use cases, it highlights the limitations of AI in offensive security and demonstrates why human intuition, creativity, and experience remain critical in hacking. The session shows that, at least for now, AI is far from replacing human-driven hacking techniques.
Workshop:
Tácticas de OSINT: Lo que Internet sabe de ti (y tú no sabías)
El presente taller está orientado a brindar conocimientos prácticos sobre la Inteligencia de Fuentes Abiertas (OSINT), utilizando exclusivamente información pública y legal disponible en Internet. Todo el tiempo estamos generando información aparentemente irrelevante, que puede ser recolectada para obtener un perfil detallado de una persona o entidad, exponiendo datos “privados” al alcance de cualquier atacante.
Contenido
- Introducción a la huella digital: Conceptos fundamentales sobre la información que dejamos expuesta y las herramientas para su recolección.
- Explotación de fuentes públicas: Uso avanzado de buscadores (Google Dorks), redes sociales y registros de acceso público para localizar información específica.
- Metodología de investigación: Proceso de obtención de datos, filtrado de ruido y validación de fuentes para asegurar la veracidad de la información.
- Análisis de metadatos: Extracción de datos ocultos en imágenes y documentos digitales (ubicación, fechas, dispositivos) para obtener contexto adicional.
- Correlación y Pivoting: Técnicas para conectar datos dispersos (un correo, un nombre de usuario) y ampliar la superficie de investigación.
- Uso de herramientas especializadas: Configuración y manejo práctico de software y frameworks diseñados para automatizar la búsqueda, recolección y visualización de datos.
- Higiene digital y mitigación: Cómo reducir la exposición propia y proteger la privacidad ante estas técnicas de búsqueda.