Pues otra Navaja Negra a la saca y ya van… ¿tres? ¿cuatro? No lo sé.

La gente no se lo cree cuando digo que me voy a un congreso de ciberseguridad a Albacete:

― ¿A Albacete?
― Sí, es donde se celebra el mejor congreso de ciberseguridad que se hace en España (y parte del extranjero, ¿qué tiene Las Vegas que no tenga Albacete?)

# navaja negra

No la cambio por nada y, si solo puedo ir a una “con” al año, quiero que sea esta. No desmerece en calidad a ninguna de las “grandes” y más conocidas, pero en ninguna hay tanta cercanía ni se trata tan bien a los ponentes.

Precisamente este año Rubén Ródenas, el presidente de la organización Navaja Negra, contaba algo de la trastienda de la organización (gracias por la interesantísima charla) dando datos muy significativos sobre las preferencias de los asistentes; vamos, que no soy el único que prefiere NN a la mismísima DefCon.

Desde hace algunas ediciones (¿2022, 2023?) se pueden seguir las charlas en directo por Twitch. Gratis. ¿Están locos? No, su prioridad no es crecer, es la divulgación, ¡Nadie se queda sin poder seguir las charlas!

# por qué ir a una conferencia a la que no hay que ir

Entonces, ¿por qué ir?

Por muchas razones: primero, porque Albacete mola. Un año, por una serie de casualidades, pude pasar un par de días extra en la ciudad y fue una grandísima idea que recomiendo a cualquiera que se lo pueda permitir.

Segundo, porque solo hay un track. Odio las conferencias en las que hay n tracks y, qué coincidencia, las n ponencias que más me interesan son siempre a la vez. No solo eso, siempre elijo la mala. Tengo un don.

Lo que sí hay es talleres y cursos de distintos niveles. Sí, son simultáneos con las conferencias, pero como estas quedan grabadas online, puedes elegir un taller (o dos, o más) y ver las charlas más adelante.

Posiblemente en ninguna otra con hay tanta cercanía con los ponentes. Me encanta ver las charlas tomando notas y subrayando qué cosas puedo preguntar a los ponentes cuando me los cruce en las noches de Navaja Negra.

Porque ese es otro punto, las “noches”. Acabadas las sesiones “oficiales”, el evento continúa en la sala de un hotel cercano donde tienen lugar numerosas actividades, ya organizadas por Navaja Negra, por los patrocinadores o improvisadas por los asistentes. Es la situación ideal para lo que en otros stios llaman “networking” y aquí es tomarse unas cervecicas con los colegas. Si no es lo mejor de la conferencia, está muy cerca.

Solo hay una cosa que me fastidia: los horarios de los trenes de vuelta. No me dejan quedarme a la comida de despedida, lo que es una pena. Pero eso es culpa mía y el próximo año trataré de organizarme de otra forma.

# Las charlas

Este año me ha dado por valorar las charlas tratando de establecer un método medianamente objetivo (spoiler: imposible). Esto es lo que valoro:

concepto	descripción
Novedad	¿Es la charla original? ¿Es un trabajo propio, un refrito de investigaciones ajenas?
Relevancia	¿Cómo de relevante es la charla? ¿Qué importancia “global” tiene?
Presentación	Aquí valoro la calidad de la presentación en sí, si las slides son chulas, si es fácil de seguir, si el o la ponente tienen soltura y desparpajo y consiguen mantener la atención
Duración	¿La duración es adecuada? ¿Ha sido demasiado larga, demasiado corta…? ¿El ponente ha tenido que correr o le han sobrado 20 minutos?
Material adicional	¿Se ha entregado algún material adicional? ¿Enlaces, lecturas adicionales…? ¿Han liberado algún artefacto? ¿Open source?

No voy a poner los resultados pero sí voy a destacar las que han sacado una puntuación más alta. Y es sorprendente, porque alguna de ellas no está ni por asomo relacionada con mis principales áreas de conocimiento, experiencia o interés. Pero para esto está mi objetivísimo método de calificación y, si la charla es cojonuda, pues se dice y punto.

Así, la charla de @pancake, desarrollador de Radare2, me pareció una de las mejores. En su ponencia explicaba cómo integrar distintos LLMs y/o servicios de IA (comerciales o corriendo en local) para automatizar ciertas tareas dentro de radare2.

Otra de mis favoritas ha sido “The Power of Transformers”, de José Selvi sobre riesgos en LLMs. Para ello explica muy por encima el funcionamiento de los transformers para ver cómo explotar sus debilidades por medio de prompt injection.

Me impactó mucho la charla de Ainoa Guillén y Jorge Testa, analistas de ciberinteligencia especializados en el underground y la ciberdelincuencia. Interesantísimas y muy bien contadas sobre ciberdelincuencia de alto standing.

Otra de las charlas de primer nivel (que han sido muchas) ha sido la de Maurice Heumann, venido desde Karlsruhe para hablar sobre emulación de Windows userspace y su enorme trabajo para implementar la emulación completa, cosa que facilitará enormemente no solo el hacking de DRM (que es a lo que él se dedica) sino otras actividades como el análisis de malware. La pena es que no sabe si, una vez terminado, lo liberará como open source o como un producto comercial.

Esta charla forma parte de la internacionalización de la conferencia, que cuenta con ponentes de fuera de España. Me parece una propuesta acertadísima.

Alfonso Muñoz es garantía de una charla interesante sobre criptografía. Entre él David Ramírez (al que dirigió su TFM) hablaron de la posibilidad de crear algoritmos criptográficos mediante el uso de redes neuronales. El resultado podría llegar a ser la creación de algoritmos criptográficos de un solo uso.

Tan interesante como divertida fue la charla de Borja Martinez y Alejandro Hernando sobre ataques a la UEFI, extracción de claves del TPM, DMA, etc.

Apasionante fue también la charla de ReD, que nos habló de Deep Packet Inspection y de cómo se usa en el Great Firewall of China para la censura.

No puedo dejar de mencionar el trabajo de Rubén Ródenas para automatizar la resolución de recaptchav2 y la divertidísima presentación con el “efecto demo” más cabrón visto en toda la historia de la humanidad.

# ¿Para quién es esta con?

Pues para mucha gente, casi para todo el mundo; creo que hay alrededor de 800 asistentes, entre los que hay estudiantes, entusiastas, y todo tipo de profesionales de la ciberseguridad: investigadores, red teamers, blue teamers, reversers, muchos pentesters y hasta algún C-level despistado que se ha quitado la corbata para pasar desapercibido.

Todos tienen su sitio en Navaja Negra y todos van a obtener algo de provecho.

Y al que no sea capaz de sacarle rendimiento a la conferencia siempre le quedarán el atascaburras, el mojete y, cómo no, los Miguelitos.

Hasta el año que viene.

# hack the knife

No puede haber un tema más apropiado para este artículo: