Agenda

08.00
Auditorio

Acreditaciones

Recepción de público y entidades

HackénHackén
09.00
Auditorio

Jornada de apertura Hackén 3ª ed. 2025

Inicio de la tercera edición de Hackén en el espacio principal de Caja Rural.

09.30
Auditorio

The Magic of Client-Side Bugs

Se hablará de una selección de mis bugs favoritos obtenidos en grandes empresas del sector. No son los bugs más críticos, pero sí los más interesantes y curiosos que he encontrado. Estos bugs son fallos del lado del cliente, como una simple vulnerabilidad en el front-end de una web, que puede ocasionar un gran impacto tanto para las empresas como para los usuarios.

Archyxsec
ArchyxsecArchyxsecArchyxsec
09.30
Talleres

Explotación de Intents en Android: Cómo el IPC se convierte en una superficie de ataque

Este taller se centrará en explorar implementaciones inseguras del IPC (Inter Process Communication) entre aplicaciones Android. En Android, el IPC se realiza principalmente a través de los Intents, que permiten la interacción entre aplicaciones, ya sea para transferir datos o para iniciar acciones en otra aplicación. Para el taller es muy recomendable traer un portátil con Android Studio instalado junto a su emulador configurado y funcionando. Para los retos tipo CTF se usará una plataforma donde los participantes puedan subir directamente las aplicaciones para probar sus PoC.

Ismael Melchor
Ismael MelchorIsmael MelchorIsmael Melchor
10.30
Auditorio

Pagers Body-Trapped: RF y vulnerabilidades en la cadena de suministro en los conflictos modernos

Esta charla analiza cómo las vulnerabilidades en la cadena de suministro y cómo el uso de señales RF (con el protocolo POCSAG) pueden convertir dispositivos comunes, como pagers, en amenazas letales. Revisaremos el ataque a Hezbolá donde miles de pagers explotaron en un mismo momento, atribuido a una posible alteración de estos dispositivos en su proceso de fabricación o distribución, permitiendo su activación remota, probablemente mediante señales RF. La sesión incluirá una demostración en vivo sobre cómo un pager modificado podría activarse remotamente para ilustrar posibles métodos de sabotaje en dispositivos de comunicación RF. La charla permitirá comprender los riesgos de seguridad que persisten en dispositivos aparentemente obsoletos, al igual que las medidas necesarias para proteger la integridad en la cadena de suministro, evitando que estos dispositivos sean utilizados en ataques en entornos donde se requiera un alto nivel de seguridad. Por último, a modo de prueba de concepto, se mostrará el desarrollo de un pager casero utilizando hardware de bajo coste, con la capacidad de ser activado de forma remota y de generar una detonación controlada.

David MarugánDavid Marugán
David Marugán
Joel SernaJoel Serna
Joel Serna
11.30
Auditorio

Break

Sin descripción

11.30
Talleres

Break

Sin descripción

12.00
Auditorio

Simulating the Enemy: The Kill Chain

En esta ponencia se expondrá un Kill Chain basado en un link malicioso con evasión de la macro por parte de Microsoft Command and Control persistencia. Además, enseñaremos la utilidad de simular el KillChain de actores de amenazas para detectar posibles intrusiones y así, estar preparados ante ataques reales. El Threat Hunting está evolucionando y con ello el equipo de Purple Team, se explicará el por qué se hacen estos ejercicios y se hará una demostración.

Rafa LópezRafa López
Rafa López
Aitor HerreroAitor Herrero
Aitor Herrero
12.00
Talleres

Taller

Sin descripción

HackénHackén
13.00
Auditorio

Ponencia

Sin descripción

HackénHackén
14.00
Auditorio

Comida

Sin descripción

14.00
Talleres

Comida

Sin descripción

15.30
Auditorio

Ponencia

Sin descripción

HackénHackén
15.30
Talleres

Taller

Sin descripción

HackénHackén
16.30
Auditorio

Ponencia

Sin descripción

HackénHackén
17.30
Auditorio

Break

Sin descripción

17.30
Talleres

Break

Sin descripción

18.00
Talleres

Taller

Sin descripción

HackénHackén
18.00
Auditorio

Ponencia

Sin descripción

HackénHackén
19.00
Auditorio

Ponencia

Sin descripción

HackénHackén