Agenda

08.00
Auditorio

Acreditaciones

Acreditaciones Hackén IV edición

08.45
Auditorio

Jornada Apertura

Jornada de apertura Hackén IV edición

09.15
Auditorio

El Despertar de la Forensia Digital

Despierta tus habilidades Jedi (o Sith) y descubre cómo la forensia digital y el OSINT pueden explicarse, vivirse y disfrutarse a través del universo Star Wars. Una charla épica, divertida y técnica donde la información es la Fuerza… y tú decides cómo usarla.

Roberto González
Roberto GonzálezRoberto GonzálezRoberto González
09.15
Talleres

Client-Side Hacking: The Most Critical Vulnerability for the End User

Esta taller analiza por qué las vulnerabilidades client-side se están convirtiendo en uno de los riesgos más críticos para los usuarios. Más allá de las fallas tradicionales del servidor, exploraremos cómo ciertas decisiones de diseño en el frontend pueden ser abusadas para manipular el comportamiento de la aplicación, comprometer información sensible y generar impactos reales. A través de demostraciones prácticas y escenarios de laboratorio controlados, los asistentes comprenderán cómo se aborda el análisis de seguridad desde la perspectiva del atacante y por qué muchas debilidades del lado del cliente pasan desapercibidas en evaluaciones convencionales.»

Archyxsec
ArchyxsecArchyxsecArchyxsec
10.05
Auditorio

IA en pentesting: ¿solución o ilusión?

Los agentes de IA para pentesting encuentran vulnerabilidades reales. Eso no se discute. El problema es lo que no encuentran y en pentesting, un falso negativo es peor que no haber hecho el test. Cualquier herramienta que usa un LLM como núcleo de decisión introduce no-determinismo en un proceso donde la cobertura total no es opcional. Si ejecutas el mismo escaneo dos veces y obtienes resultados distintos, ¿Qué le dices al cliente sobre lo que hay en su Active Directory? En esta charla verás en vivo qué encuentran y qué se saltan los principales enfoques de IA para pentesting de AD, por qué el modelo determinista es más adecuado para este caso de uso, y cómo automatizar el 80% del trabajo sin sacrificar cobertura. Demo en vivo sobre GOAD. La herramienta que usaré en la demo es open source. Puedes ejecutarla en tu propio lab antes de que acabes el congreso.»

Yeray Martín Domínguez
Yeray Martín DomínguezYeray Martín DomínguezYeray Martín Domínguez
10.50
Auditorio

Café Viernes

Café

11.20
Auditorio

Protect your agentic AI Treasure. Much more than just guardrails in the «happy path»

The Practical GenAI Security «Treasure» Framework. GenAI security in practical terms involves moving away from the «black box» model toward a governed and trustworthy ecosystem. Here is a breakdown of that approach:The «Diamond Record» (Data Grounding): Instead of feeding agents raw, messy, or unverified data, this framework anchors all agent decisions in a «Diamond Record.» This is a clean, unified, and permission-controlled source of truth. By grounding agents in curated data, you drastically reduce the risk of «hallucination loops» and data leakage.Code-Grade Governance: Think of this as «DevSecOps for Agents.» Instead of ad-hoc prompts, workflows are managed as version-controlled code. This means every action an agent takes is audit-logged, peer-reviewed, and capable of instant rollback if the agent begins to drift from its intended behavior.Human-in-the-Loop Orchestration: Rather than letting agents run entirely autonomously, the framework mandates «blueprints.» These are pre-defined instructions that dictate exactly what an agent can do (its tools) and what it cannot do. Humans oversee the high-level strategy while the agents handle the «cognitive heavy lifting.»Defense-in-Depth: Security isn’t just a wrapper; it’s baked into the infrastructure. This includes fine-grained access controls (RBAC) and network isolation, ensuring that even if an agent were to be «jailbroken,» its blast radius is contained by the system’s underlying permission. Protect your treasure or your agents will work for your adversaries.

Roger Sanz
Roger SanzRoger SanzRoger Sanz
12.15
Auditorio

Living off the Land: An attacker strategic paradigm

«Durante años, la seguridad defensiva ha centrado sus esfuerzos en detectar lo extraordinario: malware desconocido, exploits avanzados, indicadores de compromiso exóticos y técnicas asociadas a actores altamente sofisticados. Sin embargo, en la mayoría de compromisos reales, el atacante no necesita nada de eso. Le basta con usar exactamente las mismas herramientas que ya están permitidas, instaladas y firmadas en el entorno. Esta charla explora el enfoque de Living off the Land (LoTL) desde una perspectiva de Red Team práctica y realista: cómo comprometer, mantener acceso y moverse dentro de una organización utilizando únicamente herramientas legítimas del sistema operativo y flujos de trabajo normales de administración. Sin herramientas “de hacking”. Sin exploits. Sin descargas sospechosas. Sin comportamientos “raros”. A lo largo de la charla se recorren las distintas fases de un ataque: acceso inicial, persistencia, movimiento lateral, enumeración y exfiltración. Mostrando cómo cada una puede ejecutarse abusando de funcionalidades diseñadas para operar y mantener sistemas. Se demostrará cómo comandos, tareas programadas, mecanismos de automatización y canales de comunicación habituales permiten al atacante mezclarse con el ruido operativo diario hasta volverse difícil de controlar por el personal de IT. El foco no está en herramientas concretas ni en recetas cerradas, sino en el patrón: bajo volumen, acciones legítimas, nombres creíbles y ausencia total de artefactos. Se mostrará cómo muchos controles defensivos fallan no por falta de tecnología, sino porque confían implícitamente en todo aquello que consideran “normal”. Logs existen, pero nadie los cuestiona. Alertas no saltan, porque nada parece fuera de lugar. La charla incluye demos prácticas, ejecutadas en entornos controlados, que muestran cómo un atacante puede comprometer un entorno sin usar malware ni técnicas ruidosas, únicamente abusando de herramientas legítimas. La charla cierra con una reflexión desde el punto de vista defensivo: por qué bloquear herramientas no es una solución, por qué confiar en lo firmado es peligroso y por qué entender el comportamiento y el contexto es más importante que añadir nuevos productos. Living off the Land no es una técnica avanzada es el resultado natural de defensas que asumen que lo cotidiano es seguro. «

Pablo González
Pablo GonzálezPablo GonzálezPablo González
13.00
Auditorio

Replicando Click Fix Attack, como nos engañan para auto hackearnos.

Replicando una infraestructura de click fix attack mostrando demo y POC reales. Muestra de cómo los cibercriminales usan técnicas de manipulación e ingeniería social para lanzar el ataque y explicación técnica del mismo.. Uso en campañas reales

Rafa LópezRafa López
Rafa López
Aitor HerreroAitor Herrero
Aitor Herrero
15.30
Auditorio

Demerzel Project Robot UGV Native AI

Esta charla presenta el Proyecto Demerzel, un caso de estudio real sobre el desarrollo de un robot UGV (Unmanned Ground Vehicle) cuyo código ha sido creado íntegramente mediante inteligencia artificial. A lo largo de 12 meses de desarrollo iterativo, se ha documentado la evolución de las capacidades de los LLMs (Large Language Models) desde ChatGPT hasta Claude Opus con integración de código directo. La presentación se estructura en seis bloques: Introducción al Proyecto: Presentación del robot basado en plataforma Waveshare UGV Rover con Jetson Orin Nano, explicando el concepto de «»IA Nativo»» Arquitectura Técnica: Desglose completo del hardware (LIDAR, cámaras, sensores, pan-tilt) y software (Ubuntu 22.04, ROS2, 32 agentes orquestados con LangGraph, 15 modelos de IA especializados) Proceso de Desarrollo: Metodología iterativa de desarrollo asistido por IA, comparando tres aproximaciones (ChatGPT manual, ChatGPT+CODEX, Claude Client Code), mostrando cómo la IA no solo escribe código sino diseña sistemas completos Capacidades del Sistema: Demostración de funcionalidades como navegación autónoma SLAM 2D, conversación multi-turno, reconocimiento facial, detección de emociones, resiliencia de conectividad (local/LAN/internet) Riesgos de Ciberseguridad: Análisis profundo de vulnerabilidades en dos dimensiones: Uso malicioso de IA (automated hacking, deepfakes, AI-powered phishing) Vulnerabilidades propias de sistemas de IA (prompt injection, jailbreaking, adversarial attacks) Demostración práctica de 40 tests de prompt injection desarrollados con IA Reflexión Final: Discusión sobre el paradigma emergente donde «»las palabras son las nuevas ciber armas»» y la necesidad de marcos de seguridad específicos para sistemas con LLMs

Miguel Ángel de Castro
Miguel Ángel de CastroMiguel Ángel de CastroMiguel Ángel de Castro
16.20
Auditorio

Clearing the Waters: DeOtter’s Battle Against Obfuscated Phishing

In this talk, we’ll take a deep dive into the world of phishing malware and the obfuscation techniques used to hide malicious JavaScript code. 🔒 We’ll explore how these techniques work and the countermeasures you can use to deobfuscate and expose the hidden threats in real time. 🔄 What to Expect: Real-world phishing cases 📧 showcasing the tricks behind obfuscated JavaScript and how they’re used in attacks. Techniques for reverse-obfuscation of malicious code 👨‍💻 to show how the bad guys obfuscate their code and how the good guys can fight this. A live demonstration (PoC) 🎬 where we’ll deobfuscate phishing code using DeOtter 🦦, a tool I developed that harnesses the power of AI 🤖 to reverse obfuscation. Memes 😹 (Of course) Learn how DeOtter can help you uncover the true nature of malicious phishing scripts and defend against them. Authenticity and exclusivity , as all the content and the phishing code has been found by the speaker while battling the threats, and the tool has been developed by the speaker. About DeOtter: Open source tool 🛠️ with absolutely zero interest from the developer to profit from it or to sell anything. This is for the cybersec community. Developed by the speaker 🎤 Nowadays it’s very common that “cybersecurity gurus” take content and tools from the internet and showcase them to get views or attention. In this case, the content and the tool have been entirely created by the speaker. AI and non-AI features 🤖 The tool has non-AI features (analysis of obfuscation techniques) that can help the analysts identify obfuscation patterns and AI features (enhanced deobfuscation).

Antonio Cortés
Antonio CortésAntonio CortésAntonio Cortés
18.25
Auditorio

Plataforma C2 Dinámica Controlada por IA

Se trata de una plataforma compuesta por un servidor C2 y un loader ligero, cuya operativa está orquestada íntegramente por la IA de Claude. El loader ha sido diseñado para minimizar su superficie de detección: no incorpora cargas maliciosas embebidas, lo que le permite evadir la mayoría de los EDR evaluados hasta el momento. Su función principal es actuar como ejecutor dinámico, permitiendo la ejecución de scripts en Python, JavaScript o PowerShell bajo demanda. Las instrucciones se reciben directamente desde la IA, que gestiona la lógica operativa y el flujo de ejecución en tiempo real.

Mehdi Guelzim benazzouz
Mehdi Guelzim benazzouzMehdi Guelzim benazzouzMehdi Guelzim benazzouz