Este artículo se basa en una conversación con Selva Orejón, fundadora y CEO de onBRANDING, empresa española de analistas de la identidad digital y protección de la reputación online. El texto ha sido editado por razones de longitud y claridad.

Mi nombre es Selva Orejón y soy la CEO de onBRANDING, una consultora de reputación digital y antihacking sobre la que Business Insider España ya escribió hace unos años. Por la naturaleza de mi trabajo me encuentro a menudo con desafíos del todo dispares, desde el robo a la cuenta bancaria de una persona jubilada al hackeo del perfil en Instagram de alguna celebridad.

También pienso que, precisamente por mi trabajo, creo que los profesionales de la ciberseguridad debemos dejar de tener la miopía de nuestro día a día. Es muy importante levantar la vista de nuestros escritorios y realidades y compartir nuestro conocimiento con personas y profesionales que han tenido trayectorias y experiencias diferentes.

Por eso, este verano pude cumplir algo que llevaba años ansiando. He viajado a Las Vegas, en EEUU, para asistir a la última edición de la DEF CON, una de las convenciones de hackers más antiguas del mundo. Este congreso nació en 1993, hace justo 30 años, y yo llevaba 17 años queriendo ir, pero no había tenido ocasión de combinar las vacaciones familiares con el trabajo.

Estas líneas las escribo a bordo de un vuelo de 17 horas en el que estoy reflexionando sobre lo vivido estos días en Las Vegas y sobre el nivel de las charlas en la DEF CON. Sinceramente, en España no tenemos nada que envidiar. De la DEF CON destacaría las presentaciones y capacidades de los ponentes para comunicar, por lo general son bastante buenos.

Pero he visto charlas en la RootedCON, en la No cON Name, en la Navaja Negra Conference, en la MorterueloCON, en la TomatinaCON o incluso en Londres o Israel con un nivel muy alto: no solo en cuanto a técnicas o ingenios, sino también en la forma de presentar.

Sí que puedo decir que me chocó ver algunas charlas que pensé que me romperían la cabeza... y no fue así. Este tema lo hablé con otros compañeros del sector. David Meléndez, con quien estuve allí, explica que en la DEF CON hay "2 roles protagonistas: por un lado, los presenters, quienes se desenvuelven en los villages (una combinación entre charla y taller) y, por otro, los speakers, encargados de dar conferencias en los tracks principales".

Dejé mi empleo para ser 'hacker' cazarrecompensas a jornada completa y me va bien: con 28 años ya me he comprado un piso en Barcelona

Eso no quiere decir que la DEF CON de Las Vegas no haya superado mis expectativas. Al contrario. Las ha superado con creces. También es verdad que tenía muy buenos guías in situ, compañeros de trabajo internacionales que hace más de 12 ediciones que están acudiendo al evento. Me lo preparé bien, ya desde España y he ido a tiro hecho. 

Si creo que algo se podría importar de la DEF CON a los eventos que se organizan en España sobre ciberseguridad sería la transparencia de su organización, los canales de ayuda que despliegan, la privacidad a la hora de apuntarse e incluso las prácticas en técnicas como el vhishing o las pruebas de capturar la bandera centradas en desinformación e ingeniería social.

Probablemente mucho de ello sea lo que más me sorprendió de lo visto estos días: los valores humanos, la transparencia —¡los ponentes comparten incluso cuántos incidentes han sufrido!— o los tipos de asalto analizados —amenazas de bomba, robos y pérdidas, abusos sexuales, abusos verbales...—.

Les da menos vergüenza compartir sus problemas, ataques o consecuencias. Tienen muy claro que lo que comparten es algo que nos puede pasar a todos, por ello hay que poner medidas. Aunque, por el tipo de charlas a las que acudí, debo decir que realmente en lo técnico no distan demasiado de lo que se puede ver en congresos en España.

El ambiente es buenísimo. Me encantó ver la actitud curiosa de muchos visitantes. Sentía que estábamos entre iguales, compartiendo la curiosidad, las ganas de aprender y la pasión por la ciberseguridad, cada uno desde su área de especialidad, desde diferentes países, sectores y realidades tan dispares.

Además, el evento es abierto a familias, por lo que es genial ver a críos y crías acompañados de padres y madres, ver a adolescentes a los que ya les brillan los ojos.

Cómo prepararse para un evento de esta magnitud

Yo, por ejemplo, me enfoqué en ver 3 tipos de charlas: las de OSINT —inteligencia de fuentes abiertas—, las de ingeniería social y las de desinformación.

La calidad de las ponencias a las que acudí fueron buenas. Sobre todo las centradas en desinformación. Con los ejercicios con los que más disfruté, como decía hace un momento, fue con las llamadas de vishing. Espero tener la oportunidad de participar como ponente el año que viene junto a Martín Vigo, que él ya lo ha sido y está duchísimo en la materia.

Precisamente Martín Vigo y David Meléndez fueron quienes me ayudaron a tomar la decisión de ir de una vez a la DEF CON de este año. Surgió hablando con ellos. Martín ya se estrenó como presenter en 2017 y un año después fue speaker. David fue tanto speaker como presenter con el dron Interceptor, y ha repetido este año: ya tiene recorrido en la DEF CON. Con ellos he podido compartir muchas horas, muchas risas, mucho calor y muchas anécdotas.

Además, junto a David sí ha debutado este año Gabs García, que se ha convertido en la primera mujer española en ser speaker en DEF CON. Antes que ella, fue Yaiza Rubio, recuerda David, otra referente en la promoción de las mujeres en el mundo de la ciberseguridad, aunque su rol fue como presenter en un village.

La charla de David y Gabs, según el propio David explica, abordó la aplicación de la transmisión de señales a través del espectro ensanchado en drones militares, examinando tanto su uso en contextos bélicos como en operaciones de ciberinteligencia. 

"Detallamos anticontramedidas diseñadas para evadir sistemas de protección antidrones implementados por ejércitos y fuerzas de seguridad alrededor del mundo. Realizamos una demo con el Dron ATROPOS (con el que llevo haciendo investigaciones desde 2012) mostrando cómo un mismo dron evoluciona y se adapta a los avances en las medidas antidron que desarrollan los ejércitos mientras, a su vez, sigue siendo un elemento perfectamente usable en el contexto de la guerra simétrica", apunta.

El empujoncito final para que yo fuese me lo dio una publicación en LinkedIn de Martín y una respuesta que me dio David a un comentario que dejé expresando mis ganas de ir. "No te lo pienses". En un pis pas estaba en Philadelphia y de ahí viajando a Las Vegas. Es verdad que no me cuesta mucho viajar y tengo la grandísima suerte de que en casa lo entienden y lo comparten.

También vi allí al resto de españoles. Carlos Fragoso, Daniel Puente, Carmen López, el grupo de guardias civiles y españoles que viven en EEUU, con unas carreras meteóricas, como Alexis Porros, el socio de Martín en el podcast Tierra de Hackers...

"Queremos que en España haya un evento de ciberseguridad de 30.000 personas": el pasado, presente y futuro del mayor congreso hacker del país, contado por sus organizadores

Una de las ponencias que más disfrutamos fue precisamente la que impartió David. En aquella estábamos todos los españoles en primera fila, ¡como auténticos groupies!

Además, este año se ha notado que se ha hablado más que nunca de los desafíos que implica el auge de la inteligencia artificial en el ámbito de las ciberamenazas. No es el primer año que se aborda, pero en esta edición, a diferencia de en otros congresos, se ha puesto especial énfasis.

De hecho, llegó a un punto en el que era difícil cuando no imposible acudir a algunas charlas, entre que coincidían a la vez que otras o que se llenaban las salas súper rápido. Lo bueno es que los compañeros que sí pudieron entrar a esas charlas luego compartían la información.

Eso sí, para acudir a la DEF CON hay que preparárselo bien. No solo las conferencias, también la búsqueda de hotel, que puede parecer algo menor, pero no lo es. Si eliges mal te puedes dejar el presupuesto en Uber, Lyft o taxis.

Otro punto importante de la DEF CON es el networking. A mí por ejemplo no me gusta demasiado trasnochar y solo he ido a las pool party, pero para quien tenga aguante es 100% recomendable acudir a las fiestas.

Algunas cosillas que no me han entusiasmado es el volumen de asistentes. En esta edición tengo la impresión de que se les ha ido de las manos y las colas para entrar en algunas charlas han sido laguísimas. Está todo muy bien organizado, pero sería interesante buscar alternativas. En algunas salas la acústica no era la mejor.

Además, en el palacio de congresos hay moqueta, lo cual hace que canse mucho caminar a lo largo de todo el evento. Podríamos decir que nos hemos hecho el Camino de Santiago de la ciberseguridad.

La DEF CON de este año también ha tenido un regusto amargo. En la madrugada del viernes en el que arrancó la DEF CON nos enteramos del fallecimiento de Ángel Pablo Avilés, un miembro muy querido y admirado por la comunidad hacker española.

El nombre de Angelucho, como era conocido por su familia y amigos, también estuvo presente en un memorial que la DEF CON prepara todos los años para reconocer a expertos del sector. Le hicimos un homenaje y un agradecimiento por su servicio como guardia civil y como profesional del sector. El honor siempre fue su divisa, así que lo ha sido y lo seguirá siendo.