Sebastian Oros Padilla

Fecha y hora: Sábado 18 de Octubre, 10:00 am.

¡De CÓDIGO ESPAGUETI a SECURE CLEAN CODE!
Anticipate a los hackers y lográ proteger tus aplicaciones desde su inicio del ciclo de desarrollo antes que salgan a producción

En el vertiginoso ciclo de desarrollo actual, la seguridad no puede ser una ocurrencia tardía. Los fallos de seguridad detectados en etapas avanzadas implican costos elevados, reprocesos y un riesgo reputacional considerable. Esta sesión aborda el problema desde la raíz, empoderándote como desarrollador (o profesional involucrado en el SDLC) para ser un protagonista activo en la construcción de software robusto y seguro.

Al finalizar esta charla, estarás preparado para:

* Adoptar una mentalidad de atacante para examinar código de forma crítica y proactiva.
* Identificar patrones de código específicos que conducen a las vulnerabilidades más comunes del OWASP Top 10 (como SQL Injection, XSS, Broken Access Control, etc.).
* Aplicar principios de codificación segura (validación de entradas, codificación de salidas, manejo seguro de errores, etc.)
* Mejorar la calidad y el impacto de tus revisiones de código o pruebas de penetracion, transformándolas en un verdadero escudo de seguridad.
* Entender cómo simples (pero cruciales) cambios en el código pueden prevenir brechas de seguridad o, por el contrario, introducir riesgos significativos.

¿A Quién va Dirigida Esta Charla?

* Desarrollador/a de cualquier nivel.
* Ingeniero/a de Software y Arquitecto/a de Software.
* Profesional de QA / Tester con interés en expandir tus habilidades a la seguridad.
* Líder Técnico / Tech Lead.
* Penetration testers, entusiastas de AppSec y la ciberseguridad."

Requisitos:

1. Traer laptop

Rodrigo Alvarado

Fecha y Hora: Sábado 18 de Octubre , 11:00 am.

Bootcamp práctico sobre ataques internos a Active Directory desde Linux. Aprende técnicas reales como Kerberoasting, relay de NTLM, abuso de ADCS y movimiento lateral, todo en un entorno de laboratorio realista basado en experiencias del mundo real

Este bootcamp de Internal Network Penetration Testing está diseñado para brindar una comprensión práctica de cómo se comprometen redes internas con Active Directory desde el punto de vista de un atacante. A lo largo de las sesiones, se recorrerán técnicas utilizadas en escenarios reales, comenzando desde el acceso inicial hasta la escalada de privilegios y el movimiento lateral entre dominios.

El curso cubre métodos comunes para obtener acceso a redes internas, como el reconocimiento mediante SMB, ataques LLMNR/NBT-NS, relays de NTLM y explotación de configuraciones débiles en protocolos como DHCP, DNS y LDAP. Se trabaja luego en la enumeración del dominio con herramientas como CrackMapExec y BloodHound, y se aplican técnicas de escalamiento como Kerberoasting, AS-REP Roasting, abuso de permisos DACL y ataques contra servicios de certificados de Active Directory (ADCS), incluyendo vectores como ESC1, ESC6 y ESC8.

También se analiza el concepto de coerción de autenticación con vectores como PetitPotam y PrinterBug, y se revisa cómo estas técnicas pueden combinarse para escalar privilegios y comprometer domain controllers. Finalmente, se exploran escenarios con relaciones de confianza entre dominios y cómo estas pueden aprovecharse para acceder a otros entornos dentro de una misma organización.

Todo se desarrolla en un entorno de laboratorio controlado, utilizando herramientas comunes en entornos ofensivos y con énfasis en la comprensión técnica de cada paso. El objetivo es que los participantes adquieran criterio técnico para identificar, explotar y reportar debilidades en entornos Active Directory de forma estructurada y fundamentada.

Requisitos:

1. Traer laptop,
2. Tener una máquina virtual con Kali Linux - La máquina virtual debe de tener 8GB de ram.

Ana Gutiérrez y Stephanie Villalta Segura

Fecha y hora: Sábado 18 de Octubre , 2:00 pm.

Este taller intensivo combina teoría y práctica para explorar las vulnerabilidades de las tarjetas RFID y su clonación con Arduino.

En la primera parte de la sesión, desglosaremos los principios de radiofrecuencia, los protocolos más comunes y los riesgos de seguridad asociados, ilustrados con demostraciones en vivo usando Flipper y clonadores comerciales. En la segunda parte de la sesión, cada participante montará y programará un kit Arduino RC522, clonará tarjetas de acceso y realizará pruebas de diagnóstico y troubleshooting para validar su prototipo. Al concluir, los asistentes contarán con un dispositivo funcional y habrán fortalecido su capacidad para identificar y mitigar amenazas en sistemas RFID.

Puntos clave:

• Fundamentos de RFID y su arquitectura de seguridad
  Demostraciones prácticas con Flipper y clonadores
  Programación y montaje de un lector-clonador Arduino RC522
  Fase de pruebas y resolución de errores (troubleshoot)

Público objetivo: Todo público con conocimientos básicos de computación y ganas de profundizar en ciberseguridad aplicada.

Requisitos:

Este taller requiere de un pago de $65 USD para cubrir el costo de materiales, que incluyen: Un Kit started de arduino y materiales para comunicacion RFID.

Registro: https://buytickets.at/pwnedcr/1850967

1. Traer laptop,
2. Tener instalado el editor de código Arduino IDE,
3. Instalar biblioteca ( mfrc522 Github Community ),

Cómo instalar la librería MFRC522 en Arduino IDE (paso a paso) Abre Arduino IDE Si no lo tienes, descárgalo desde arduino.cc o Microsoft Store e instálalo. 1.Ve al Administrador de Librerías o Library Manager -En la barra de opciones a la izquierda, haz clic en: Administrar Bibliotecas / Library Manager 2.Busca la librería MFRC522 En la barra de búsqueda (arriba a la derecha), escribe: MFRC522 3.Instala la librería Busca la que diga “MFRC522 by GithubCommunity” Haz clic en el botón Instalar o Install ¡Listo!

HackHers

Fecha y hora: Sábado 18 de Octubre, 4:00 pm.

Este taller tiene como objetivo introducir a los participantes en el apasionante mundo de los Capture The Flag (CTFs), competencias diseñadas para poner a prueba y fortalecer habilidades en ciberseguridad de una manera práctica y entretenida. A lo largo de la sesión se abordarán los conceptos fundamentales de este tipo de retos, su estructura y las categorías más comunes que los conforman (como steganography, crypto, web, pwn y forensics).

Además, se destacarán los beneficios de participar en estas dinámicas, tales como el desarrollo de pensamiento crítico, el aprendizaje autodidacta, la resolución creativa de problemas y la construcción de experiencia práctica altamente valorada en la industria.

Finalmente, los asistentes podrán aplicar lo aprendido resolviendo ejercicios guiados que ilustrarán los diferentes tipos de desafíos que suelen encontrarse en los CTFs, brindándoles las bases necesarias para comenzar a participar en competencias por su cuenta o dentro de equipos.

Requisitos:

1. Traer laptop,
2. Tener máquina virtual con Kali Linux.
3. Tener cuenta (gratis) en Hack The Box: https://app.hackthebox.com/home

Jaime Mora Meléndez

Fecha y hora: Domingo 19 de Octubre, 9:00 am.

Descubre cómo detectar redes WiFi y triangular su ubicación con un dispositivo ESP32 que tú mismo construirás. Aprende fundamentos de radiofrecuencia y ciberseguridad mientras exploras vulnerabilidades reales en un taller práctico, dinámico y lleno de retos.

Este taller explora los fundamentos de la transmisión de paquetes en redes inalámbricas y cómo estos pueden ser aprovechados para realizar distintos tipos de ataques éticos y experimentales.

• Sección teórica: Se abordarán los conceptos esenciales sobre redes WiFi, microcontroladores y principios de radiofrecuencia, proporcionando una base sólida para comprender el funcionamiento de los sistemas inalámbricos.
• Sección práctica: Los participantes diseñarán y construirán un dispositivo basado en el ESP32, con el objetivo de detectar y ubicar redes WiFi. Para cerrar el taller, se llevará a cabo una dinámica lúdica: con el dispositivo creado se les pedirá a los participantes que busquen en los alrededores una señal wifi y, moviéndose en el espacio, consigan varios puntos e intensidad de señal para luego realizar un script que les permita triangular la posición de la fuente de emisión de la red wifi.

Este taller ofrece una oportunidad única para trabajar directamente con hardware y software, explorando una vulnerabilidad real desde una perspectiva práctica y educativa. Los participantes obtendrán una visión innovadora sobre cómo abordar desafíos en el campo de la ciberseguridad.

Requisitos:

Este taller tiene un costo de $40  USD que cubre los materiales de hardware necesarios pra el taller.
El hardware incluye: ESP32, Breadboard, Modulo GPS, Modulo de pantalla, etc...

Registro en el siguiente link: https://buytickets.at/pwnedcr/1850989 

Requisitos:

Omar Gudiño​

Fecha y hora: Domingo 19 de Octubre, 12:00 pm.

Descubre cómo identificar y explotar las 10 vulnerabilidades más críticas en APIs según OWASP. Un taller 100% práctico donde aprenderás técnicas reales de pentesting que usan los expertos. ¡Eleva tu nivel en ciberseguridad!

En este taller intensivo aprenderás a identificar, explotar y mitigar las vulnerabilidades más críticas en APIs modernas, según el estándar OWASP API Security Top 10. A través de ejercicios prácticos y escenarios reales, dominarás técnicas de pentesting enfocadas en seguridad de aplicaciones y APIs RESTful. Ideal para profesionales de ciberseguridad, desarrolladores y testers que buscan fortalecer sus habilidades ofensivas y defensivas en entornos orientados a servicios.

Lo que aprenderás:

• Cómo funcionan las vulnerabilidades de la OWASP API Top 10
• Herramientas y metodologías utilizadas por pentesters
• Técnicas de explotación y mitigación

Requisitos:

1. Traer laptop - debe de poseer al menos 8GB de memoria RAM.
2. Tener instalado: Postman, Firefox, Docker y Vampi

Eduardo Vindas

Fecha y hora: Domingo 19 de Octubre, 2:00 pm.

Si tienes algún nivel de practica a la hora de recuperar claves de AD o has hecho laboratorios de Hack the box muy probablemente ah visto Mimikatz y LSASS como conceptos de donde se toma información. pero te haz preguntado. que es el LSASS? y que es eso de un .DMP file.

Entraremos en detalle que es LSASS y de donde vienen las claves que se extraen ademas de esto explicare a detalle que son los .DMP y como se utilizan desde una perspectiva FORENSE y una perspectiva de Desarrollo (tanto a nivel de drivers como aplicaciones)

Requisitos:

1. Traer laptop.
2. Tener Windows instalado en la laptop o en máquina virtual,
3. Instalar las herramientas de desarrollo en la máquina con Windows.
4. Tener una máquina virtual con Kali Linux.