“La inteligencia artificial alimenta la incertidumbre laboral en el sector tecnológico mientras envenena a la gente con sinsentidos y alucinaciones”. Con esas palabras abrió Jeff Moss la edición 32 de DEF CON, una de las conferencias de hackers más grandes del mundo.
En un escrito que abre el instructivo que reciben los asistentes que están participando viernes, sábado y domingo de esta semana, Moss, fundador de DEF CON -conocido como The Dark Tangent-, explicó la temática de este año. Cada edición tiene un concepto, una idea rectora, y la de 2024 es Engage (“involucrarse” en inglés): “En tiempos de crisis, las comunidades que apoyan a sus miembros hacen mejor las cosas que las que no se involucran”, escribió Moss.
Cerca de las 10 de la mañana, el referente de la comunidad hacker hizo la apertura oficial (“Welcome to DEF CON”) en una de las salas principales del Las Vegas Convention Center, donde este año se realiza por primera vez en la historia (luego de que el Caesars Forum, donde se había hecho anteriormente, rescindiera el contrato).
“No somos una conferencia de la industria de la ciberseguridad: somos una conferencia de hackers. El proceso de revisión de los trabajos que se presentan acá siempre se hace la misma pregunta: ¿tiene este paper una perspectiva hacker?”, dijo Moss en la conferencia, a la que asistió Clarín.
La gran diferencia entre DEF CON y otras convenciones es que más allá de los trabajos que se presentan, los protagonistas son miembros de la comunidad: no se ven carteles con grandes marcas, sino más bien asistentes e investigadores asistiendo a charlas e interactuando con las distintas estaciones donde se llevan a cabo distintos tipos de hackeos. Todo ocurre entre laptops, antenas, hardware extraño y vestimentas que parecen salidas de una Comic Con.
En concordancia con la idea de involucrarse, Moss planteó: “Por eso hay conferencistas como el General Paul M. Nakasone, exdirector NSA, para que escuchen a personas con las que habitualmente no tendrían contacto. Por suerte somos lo suficientemente grandes como conferencia como para que quieran venir y conocernos”.
DEF CON tiene una asistencia masiva: el año pasado asistieron 24 mil personas e incluso hubo un reclamo por un lugar más grande. En febrero de este año, Dark Tangent publicó un posteo en el foro de DEF CON contando que la conferencia se mudaría en su edición 32 al Las Vegas Convention Center.
El nuevo lugar constituye uno de los centros de convenciones más grandes del mundo, con cerca de 230 mil metros cuadrados, y es famoso por alojar en enero al CES (Consumer Electronics Show) la exposición de tecnología de consumo más concurrida del mundo tech.
No fue, sin embargo, un recibimiento amable el que tuvieron algunos hackers: la cadena hotelera Resorts World Las Vegas advirtió que, durante el tiempo que durara DEF CON, iba a hacer inspecciones de los cuartos. Esto cayó bastante mal entre varios asistentes.
El contexto de esta decisión del hotel tiene que ver con un ciberataque de ransomware que sufrieron dos gigantes de la hotelería mundial en septiembre del año pasado: MGM Resorts International y Caesars Entertainment, víctimas de un robo de 6 TB de información por un ataque de ingeniería social.
Además, el centro de convenciones tiene una política estricta que no permite pegar stickers, algo que es una parte casi fundacional de la comunidad de DEF CON. Por esto, se creó una “pared de stickers”, entre la que se encontraron mensajes de protesta.
Las charlas principales del primer día
El primer día de DEF CON es una suerte de precalentamiento de la convención. Si bien los platos fuertes aparecen, históricamente, el segundo día, luego de la charla inicial de Jeff Moss hubo una conversación (formato conocido como “fireside chat”, ver acá) entre Stefanie Tompkins, directora de DARPA (Defense Advanced Research Projects Agency), entidad de investigación y desarrollo de internet de los Estados Unidos, y Peiter Zatko, conocido como “Mudge”, un hacker histórico de los EE.UU. que actualmente también ocupa un puesto en la entidad.
“El panorama actual de los ciberataques no tiene tanto que ver con que los atacantes se volvieron más inteligentes, sino con que estamos escribiendo software con el mismo tipo de vulnerabilidades de siempre”, disparó Mudge durante la charla.
En otros “tracks”, Harriet Farlow, hacker y CEO de Mileva Security Labs, presentó una charla focalizada en cómo hackear el casino de Canberra, capital australiana, con inteligencia artificial. La investigadora mostró cómo bypassear los sistemas de IA que utiliza el casino (como el reconocimiento facial) para evidenciar las posibles vulnerabilidades. La IA fue un tópico caliente: otra charla, a cargo del researcher Jayson E. Street, trató sobre cómo hacer ingeniería social con herramientas como ChatGPT.
Otra de las conferencias destacadas tuvo que ver con abusar de Windows Hello, el mecanismo que usa Microsoft para loguearse en el sistema operativo. Y sin dudas una de las más llamativas fue una titulada “Eradicating Hepatitis C with Bioterrorism”, donde se expuso sobre la propiedad intelectual en medicamentos para tratar la hepatitis C (Sofosbuvir): “Si tenés 84 mil dólares, esta enfermedad no es un problema. Pero para el resto Four Thieves Vinegar Collective desarrolló una forma de hacer que el tratamiento cueste 300 dólares”, planteó el colectivo que organiza el proyecto.
También se realizó la tradicional “101”, una conferencia introductoria para quienes asisten por primera vez, donde se repasa el código de conducta de DEF CON y algunas reglas básicas como la conocida “3-2-1”: al menos tres horas de sueño por día, dos comidas y una ducha. La semana de DEF CON es conocida por la enorme cantidad de fiestas y reuniones nocturnas que hay en diversos hoteles y locaciones de la ciudad de Las Vegas.
El “badge” interactivo: un mini videojuego
Una de las características de DEF CON es que «badge», esto es, el ticket de admisión (que cuesta 460 dólares en cash y 480 con medios de pago electrónicos), es interactivo. En este caso, se trata de una pequeña computadora que tiene un juego incluido al estilo Pokémon, que sirve también como mapa del enorme Centro de Convenciones de Las Vegas.
Tiene un “modo badge” con forma de gato y, si se lo invierte, opera como una pequeña consola que tiene detrás una Raspberry Pi RP2350. Al abrirlo, el asistente se encuentra con un personaje en un cuarto de hotel que es invitado a salir y, una vez fuera, se mueve en una versión digital tipo 8-bit por el Centro de Convenciones. Y como casi todos los años, tiene “easter eggs”, sorpresas para descubrir, además de estar pensado para interactuar con otros asistentes. Al ir avanzando en el juego, distintas luces se van prendiendo físicamente en el badge.
Si se juega mucho, el dispositivo se apaga y llama al jugador a interactuar con otro “humano” (así dicen los badges, aunque hay distintos tipos). Y además, tiene eventos en tiempo real (por eso le pide al usuario poner fecha y hora al iniciar).
Al encenderlo, aparece en pantalla una idea del autor y crítico tech Cory Doctorow. “La enshittification ha caído sobre toda la red y todo lo que queremos: necesitamos tu ayuda para hacer un mejor lugar para todos”, dice. La enshittification es un proceso mediante el cual las plataformas que se usan en internet, en algún momento, se vuelven abusivas con sus usuarios.
“Todas las plataformas se están convirtiendo en un montón de mierda y por eso es hora de dejar de intentar averiguar cómo salvarlas: es momento de empezar a evacuarlas”, sentencia en la propuesta de su proyecto del escritor, que dio también una charla este viernes y dará otra en relación a esta idea este sábado.
Sobre DEF CON
Defcon se realizó por primera vez en junio de 1993, organizada bajo la dirección del hacker Jeff Moss cuando tenía 18 años. En la actualidad ya va por su edición número 32 y, desde aquel entonces, muchos aspectos cambiaron pero el espíritu se mantiene igual: sigue siendo una reunión de “la comunidad” y como tal está autogestionada.
La conferencia consiste en una serie de charlas principales (que se llevan a cabo en lo que se conoce como el “main track”) y “villas”, que son espacios específicos con ensayos, laboratorios y hackeos de todo tipo y en relación a todos los sectores que el público pueda imaginar: redes, sistemas, autos, satélites, aplicaciones, radios y más.
Junto con Black Hat, de perfil más corporativo, conforma lo que se conoce como el «Hacker summer camp” y convoca a decenas de miles de hackers de todo el mundo. La historia de DEF CON se puede ver en este documental online, gratis.