loader image
img not found!

Ponente: David Bernal Michelena

Perfil


Gerente de respuesta a incidentes en Mandiant, entrenador y ponente global de ciberseguridad

David Bernal Michelena es un estratega de ciberseguridad con una trayectoria de élite en la respuesta a incidentes de alta complejidad. Actualmente se desempeña como gerente de respuesta a incidentes e investigaciones en Mandiant (Google Cloud) para América Latina.

Como instructor, ha demostrado su capacidad de transferir conocimiento en los escenarios más exigentes del mundo, habiendo impartido entrenamientos especializados de respuesta a incidentes en Black Hat USA, DEF CON Blue Team Village, Mandiant mWISE y el Microsoft Digital Crimes Consortium. Su experiencia pedagógica se respalda con un historial de éxito en SANS Institute, donde logró métricas de satisfacción de 4.87/5 y una puntuación del 99% en su certificación GCIH, además de ser el primer profesional en México en obtener la certificación GSE (GIAC Security Expert).

Es un conferencista recurrente en los foros más influyentes de la industria, participando como speaker en Black Hat USA, SANS Threat Hunting Summit, 8.8 Computer Security Conference, Bsides entre otras. Con 16 certificaciones GIAC activas, su enfoque combina el rigor técnico del Incident Handling moderno —incluyendo seguridad en Cloud e IA— con la experiencia táctica de quien lidera operaciones críticas en la región. Fuera del ámbito técnico, David toca música y disfruta estar en la naturaleza y ejercitarse.

Workshop:

YARA con esteroides: ingeniería de detección moderna para ciber defensores

Este entrenamiento está diseñado para elevar las capacidades de los analistas de seguridad de un enfoque basado en firmas estáticas a una ingeniería de detección dinámica y resiliente, integrando las herramientas más avanzadas de 2026.

Módulo 1: El Ecosistema de Ciberseguridad y el Rol de YARA

Antes de profundizar en la sintaxis, estableceremos el contexto estratégico donde YARA actúa como el tejido conector de las operaciones de defensa:

  • Respuesta a Incidentes (IR): YARA como herramienta de “triage” rápido para identificar hosts comprometidos y determinar el alcance (scoping) de una brecha.
  • Caza de Amenazas (Threat Hunting): Creación de hipótesis basadas en comportamientos para buscar amenazas “vivas” que han evadido los controles de seguridad tradicionales.
  • Análisis de Malware: Uso de YARA para la clasificación de familias, identificación de funcionalidades específicas y descubrimiento de similitudes entre muestras.
  • Inteligencia de Amenazas (CTI): Cómo transformar reportes tácticos y técnicos en detecciones operativas para prevenir ataques futuros.
  • Mapa de Valor: Identificación de en qué etapa de cada

Módulo 2: Fundamentos y Sintaxis de Alta Fidelidad

  • ¿Qué es YARA?: Origen, filosofía “pattern matching” y anatomía de una regla (Meta, Strings, Condition).
  • Sintaxis Avanzada: Dominio de modificadores para capturar variantes de malware.
  • Ingeniería de Condiciones: Escritura de lógica eficiente para minimizar el impacto en CPU y optimizar escaneos en
  • Detección Estructural con Módulos:
    • Módulo PE: Uso de imphash, secciones y recursos para detectar familias de malware.
    • Módulo ELF: Firmas para amenazas en entornos Linux y contenedores.
    • Módulo Math: Cálculo de entropía para identificar packers y archivos cifrados.

Módulo 3: Inteligencia Artificial Generativa (IA Gen) con Gemini

  • Gemini como Copiloto: Ingeniería de prompts para la extracción automática de patrones desde código desensamblado y reportes de inteligencia.
  • Traducción de CTI a YARA: Automatización del flujo de trabajo: de un blog post de seguridad a una regla funcional en segundos.
  • El Factor Humano (QA): Técnicas de revisión manual para corregir alucinaciones de la IA y refinar la lógica de detección.

Módulo 4: Cacería de Amenazas en Memoria (Volatility 3, Velociraptor)

  • Análisis Forense Moderno: Transición de herramientas obsoletas a Volatility 3.
  • Detección Lifeless: Identificación de inyecciones de código, DLLs reflectivas y procesos ocultos en volcados de memoria RAM.
  • Caza de Beacons: Localización de balizas de comando y control (C2) mediante firmas YARA aplicadas a procesos activos.

Módulo 5: Visibilidad y Detección en Red (Zeek)

  • Análisis de Tráfico con YARAZeek: Implementación de la herramienta del autor para la extracción y análisis de archivos en tránsito.
  • Inspección de PCAPs: Técnicas para retroalimentar la detección de red mediante el análisis de capturas históricas.Inspección de PCAPs: Técnicas para retroalimentar la detección de red mediante el análisis de capturas históricas.
  • Detección de Exfiltración: Uso de YARA para identificar patrones de salida de datos sensibles en protocolos comunes.

Módulo 6: Ecosistema Global y Escalabilidad

  • VirusTotal Retrohunt: Validación de reglas contra petabytes de muestras históricas para medir la eficacia y alcance.
  • VirusTotal Livehunt: Agregar proactivamente reglas para recibir notificaciones tan pronto se suben muestras de la familia de interés.
  • Guerra a los Falsos Positivos:
    • Creación y mantenimiento de repositorios de “Goodware”.
    • Estrategias de filtrado para evitar alertas innecesarias en el SOC.
  • Automatización de Respuesta: Integración de escaneos YARA en pipelines de respuesta a incidentes (IR) e integración conceptual con EDRs.