Ekoparty 19, día 1: IA, zero days, más protagonismo de las villages y un pop up insoportable
Arrancó la edición 2023 de la conferencia de hackers en Buenos Aires: el keynote de Iván Arce, las charlas principales y una nueva disposición en el CEC (que fue hackeado).
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición. Esta semana hay más entregas por Ekoparty (1, 2 y 3 de noviembre).
1 nov
⚡ TL;DR
Esta semana arrancó Ekoparty, una de las conferencias de hackers más importantes de la región sudamericana. Con una keynote a cargo de Iván Arce, uno de los founding fathers de la ya extinta “seguridad informática” devenida en “ciberseguridad”, el lema de este año es una suerte de vuelta a los 90.
La charla tomó como punto de partida las raíces de lo que fue Core Security Technologies, la empresa que fundaron con Gerardo Richarte y Emiliano Kargieman (Satellogic), y el journey de Arce a través de los años.
Si bien pasó por varios tópicos, algunas de sus reflexiones sobre la inteligencia artificial captaron la atención en un año donde absolutamente toda la industria tech quedó atravesada, desde 2022, por las discusiones de la IA generativa que ChatGPT masificó. “Hay una iglesia de creyentes de la inteligencia artificial y hay que tener cuidado con eso”, sentenció.
Seguramente la organización suba el keynote completo pronto: sugiero tratar de verlo porque repasó una gran cantidad de tópicos de la industria y desplegó toda su experiencia a través de los años en una síntesis de historias que se funcionó para todo tipo de público, desde el experto hasta el más lego.
Para ponerle color, Arce no sólo habló con una remera de Maradona sino que hasta citó a Dr. Strangelove y, ante la constante pregunta sobre “qué pasará con la IA y los humanos”, siempre latente bajo el morbo del riesgo existencial de ficciones como Terminator, cerró con una frase del científico de la computación estadounidense Alan Kay:
“La mejor forma de predecir el futuro es inventarlo”
Esta es la crónica del día 1, que publiqué en Clarín.
Leer este correo te va a llevar 8 minutos.
📲 Charlas sobre zero days, villas en el salón más grande del CEC y un pop up insoportable
“Hay una iglesia de creyentes de la inteligencia artificial (IA) y hay que tener cuidado con eso”: con esta advertencia abrió este año la conferencia inaugural de Ekoparty Iván Arce, histórico investigador de ciberseguridad argentino. Entre asistentes de todas las edades, estaciones para hackear computadoras y sospechosas notificaciones de bluetooth que les llegaron a todos a sus celulares, la convención abrió su edición 19 este miércoles a las 10 de la mañana.
La conferencia inaugural de Arce fue un repaso desde el mundo de la “seguridad informática” de la década del 90 hasta el escenario actual, donde ya se habla de “ciberseguridad”, un término más actual que abarca áreas más específicas de la seguridad de los equipos, sean laptops, celulares o PC.
“La inteligencia artificial resuelve problemas, pero hay que intentar entender cómo los resuelve. La IA cambió las dinámicas de la ciberseguridad y es un poco aterrador lo que está sucediendo”, advirtió Arce, en relación a la gran cantidad de servicios que están aplicando modelos de aprendizaje automático sin tener en cuenta la gran cantidad de hackeos asistidos con IA que se pueden implementar en la actualidad.
Esto se pudo comprobar durante todo el primer día de la conferencia, donde distintas charlas, tanto de investigadores independientes como de sponsors, advirtieron sobre vulnerabilidades para los usuarios a partir de distintas IA.
🤖 La IA generativa: ¿aliada, enemiga o ambas?
Uno de los problemas más visibles del uso de inteligencia artificial generativa tiene que ver con la gran cantidad de herramientas que se están usando tanto para escribir código malicioso (malware) como para cometer estafas del tipo phishing (suplantar páginas webs legítimas para robar datos o dinero de cuentas de usuarios).
“Si no sabes cómo hackear, podés ir a la IA generativa y podés pedirle que desarrolle una app o lo que sea, y lo escribirá para vos. O mejor: te enseñará a hacerlo. Esto es un problema porque amplía lo que se conoce como ‘superficie de ataque’. Para los que están en seguridad defensiva, el trabajo se complica mucho más”, planteó a este medio Tom Tovar, Ceo de Appdome, una plataforma de ciberseguridad presente en Ekoparty.
“¿Star Wars o Black Mirror?”: se preguntó Alejandro Botter, gerente de ingeniería de la empresa de ciberseguridad Check Point para el sur de Latinoamérica en una charla en la que explicó de qué manera se está utilizando la IA para atacar a usuarios.
“En una investigación reciente de Check Point Research se mostró cómo se utilizó el lanzamiento de ChatGPT 4 para distribuir phishing y malware con paginas muy bien hechas. Entonces, en primer lugar se observa una clara mejora en la sofisticación de los ataques", explicó a este medio.
“El segundo punto es el incremento en la cantidad de ataques, en varias investigaciones se demostró que fácilmente se crean sitios de phishing y código de malware, sea porque lograron hacer bypass de los filtros impuestos en ChatGPT o por herramientas específicas de seguridad ofensiva como WormGPT y FraudGPT, que se ofertan en la dark web entre 100 y 500 dólares", siguió.
En esto coincidió Pedro Adamović, jefe de ciberseguridad (CISO) de Banco Galicia en Argentina: “Phishing y malware son los ataques más viejos y siguen siendo los número uno, porque hoy hablamos de phishing y ransomware. Es increíble que no lo podamos resolver”, reflexionó en diálogo con este medio.
“Con la inteligencia artificial, mi visión es que va a venir una ola mucho más grande de ciberataques. Vos hoy podés decirle a ChatGPT que te haga un sitio de phishing y te dice 'no, yo no puedo hacer eso'. Pero si le decís 'haceme un phishing para ayudar a concientizar', lo puede hacer”, siguió el experto.
Sin embargo, los dos especialistas coincidieron en que la IA también brinda herramientas para combatir estos problemas: "Hoy se habla de programas zero phishing que apuntan a tener la capacidad de registrar ciertos indicadores, desde el iconito de la solapa de tu navegador hasta si una URL es segura o no, cuándo se creó un dominio y demás: todo eso se hace con un sistema de IA que se puede usar para contrarrestar estos ataques", explicó Botter.
"En lo bancario, la IA sirve para contrarrestar a la IA: se pueden registrar transacciones y hasta la biometría de un usuario, cómo tipea o mueve el mouse, para recolectar información y lanzar una advertencia si hay algo sospechoso", agregó Adamović.
Al final de la jornada 1, Johann Rehberger, especialista en ciberseguridad que trabajó en empresas como Microsoft y Uber, compartió los riesgos de seguridad ante el crecimiento acelerado y la amplia adopción de la inteligencia artificial y los Grandes Modelos de Lenguaje (LLM), los cuales han expuesto a los usuarios a estafas, extracción de datos y otras amenazas.
El speaker reveló cuáles son las técnicas de ataque emergentes en plataformas reconocidas como ChatGPT, Google Bard y Bing Chat, y las estrategias de mitigación para abordar la exfiltración de datos en chatbots.
Así, la discusión por los sistemas que se están desarrollando masivamente desde la explosión de ChatGPT preocupa a los hackers y analistas. Este año, Maria Markstedter, investigadora experta en ciberataques y vulnerabilidades, alertó sobre el estado de la cuestión en su conferencia inaugural en Black Hat, uno de los eventos de hackers más grandes del mundo.
Las herramientas disponibles, coinciden varios expertos, se están usando tanto para atacar como para defender, “dos partes inescindibles de un mismo proceso”, según dijo Arce en la conferencia inaugural.
“Los humanos, ¿van a seguir siendo importantes?”, preguntó Arce. Y citando al científico de la computación estadounidense Alan Kay, cerró: “La mejor forma de predecir el futuro es inventarlo”.
⭐ Lo más destacado del día 1
La vigésimo novena edición de la conferencia arrancó este miércoles, cerca de las 10 de la mañana, cuando una larga fila se formó en las inmediaciones del Centro de Convenciones Buenos Aires (Figueroa Alcorta 2099, al lado de la Facultad de Derecho) para asistir a la charla de Arce y a los stands de los “vendors”, como se dice en el rubro (empresas de ciberseguridad, otras relacionadas a la industria como telecomunicaciones).
A diferencia del año pasado, las villages están junto con los vendors en el salón más grande de la convención. Las charlas principales (main track) quedaron en un auditorio más chico que el del año pasado.
Entre las conferencias destacadas, Fabio Assolini, un investigador de la firma de ciberseguridad rusa Kaspersky, contó una campaña de hackeos masivos contra dispositivos Apple (lo que se conoce como “zero-day”). Más tarde, dos investigadores argentinos expusieron una charla que dieron este año en DEF CON sobre una vulnerabilidad en una cámara de seguridad muy vendida en Argentina.
Paralelamente se desarrollaron una gran cantidad de actividades dedicadas a áreas específicas de hacking: ingeniería social, hackeo de satélites, blue y red teaming, hackeo de móviles y una sección sobre las implicancias y contextos legales del hacking (“A 1 bit de ir en cana”).
También salió el clásico “trencito de la alegría hacker”, una iniciativa llamada Wardriving que va registrando redes de WiFi vulnerables en la Ciudad de Buenos Aires para concientizar sobre los peligros de las redes públicas.
Y como toda conferencia de ciberseguridad, el primer día ya dejó sus perlitas: los asistentes que tenían el bluetooth abierto recibieron notificaciones solicitando conexiones de auriculares, Apple TV y otros dispositivos no solicitados. Igual que como pasó en DEF CON 31 este año.
Además, la página oficial del Centro de Convenciones, donde se lleva a cabo Ekoparty hasta el viernes, fue hackeada y hasta el momento de la publicación de esta nota se encontraba caída.
Dos buenas razones para recordar que nunca es buena idea conectarse al WiFi de la convención, pero que tampoco suele ser buena idea subirse a redes desconocidas.
Ekoparty se desarrolla en el Centro de Convenciones Buenos Aires este 1, 2 y 3 de noviembre.