DEF CON 33: hallazgos clave que aplican a tu infraestructura este año

Una semana después de Black Hat, DEF CON 33 dejó la otra cara de la moneda: menos talks corporativas y más demos crudas de cómo se rompen sistemas reales. Si Black Hat enseña qué viene, DEF CON enseña qué ya está pasando, normalmente con vulnerabilidades que llevan años a la vista pero que pocas empresas auditan.

Filtramos los hallazgos que aplican directo a la realidad de empresas mexicanas medianas y grandes. La mayoría se resuelve con configuraciones que ya conoces, pero que en la práctica nadie revisa hasta que duele.

1. S3 buckets públicos: el clásico que sigue vivo

Una de las charlas más vistas presentó un escaneo masivo de S3 buckets públicos pertenecientes a empresas Fortune 1000 y a sus proveedores. El resultado fue incómodo: aún en 2025, miles de buckets exponen backups, dumps de bases de datos, configuraciones internas y respaldos de mailboxes completos.

En México vemos lo mismo cuando hacemos external attack surface scans: buckets de pruebas que quedaron abiertos, exports de CRM olvidados, logs con tokens dentro. La causa raíz casi nunca es ignorancia técnica; es ausencia de inventario y de un proceso para auditar quién creó qué y por qué.

Acción inmediata:

• Habilitar S3 Block Public Access a nivel cuenta, no solo por bucket.
• Activar AWS Config rules que detecten buckets públicos y notifiquen.
• Correr una herramienta tipo Trufflehog o Gitleaks sobre el contenido de cada bucket interno para encontrar secretos olvidados.

2. IoT empresarial sin parche

DEF CON tradicionalmente expone vulnerabilidades en dispositivos IoT, y este año no fue la excepción. Lo nuevo fue el foco en dispositivos de oficina: impresoras, cámaras IP, controles de acceso, sistemas de aire acondicionado conectados, pantallas digitales de salas de juntas.

Muchos de estos equipos llegan con firmware vulnerable de fábrica y nunca se actualizan. En empresas mexicanas con oficinas medianas vemos rutinariamente impresoras Konica, cámaras Hikvision o controles de acceso ZKTeco con firmware de hace cuatro años, conectados al mismo VLAN que las laptops del equipo de finanzas.

Lo que recomendamos:

• Segmentar la red. Todo IoT en VLAN separado, sin acceso al segmento corporativo.
• Inventario semestral de firmware de cada dispositivo conectado.
• Cambio obligatorio de credenciales default antes de poner cualquier equipo en producción.
• Bloqueo egress para que esos dispositivos no salgan a internet sin necesidad.

3. MFA por SMS: hora de migrar

Varias presentaciones reforzaron lo que ya sabemos pero seguimos posponiendo: el MFA por SMS está roto. SIM swapping, intercepción de SS7 y phishing con páginas que capturan el OTP en tiempo real son ataques accesibles para cualquier actor con motivación media.

En México el problema es doble: muchas plataformas bancarias y de gobierno aún solo ofrecen SMS como segundo factor, y el SIM swapping a través de operadores locales sigue siendo posible con ingeniería social básica.

La migración mínima:

1. Deshabilitar SMS en todos los SaaS que permitan apps TOTP (Google Authenticator, Authy, 1Password, Microsoft Authenticator).
2. Llaves físicas FIDO2 (YubiKey, Titan Key) para cuentas de administrador, finanzas y acceso a producción.
3. Passkeys donde estén disponibles (Google, Microsoft, GitHub, AWS).
4. Para usuarios finales que no pueden migrar inmediato, al menos app-based MFA con number matching.

4. Active Directory híbrido: sigue siendo el botín

DEF CON 33 dedicó múltiples talks a ataques contra Active Directory híbrido (AD on-premises sincronizado con Entra ID, antes Azure AD). Las técnicas no son nuevas, pero los investigadores demostraron caminos de privilegio escalado que aprovechan misconfiguraciones específicas de Azure AD Connect, permisos heredados y sincronización de hashes.

Si tu empresa tiene AD híbrido (la mayoría de las medianas en México lo tiene), estos son los puntos que vale auditar:

• Permisos de la cuenta de servicio de Azure AD Connect (debe ser mínima).
• Pass-through Authentication vs Password Hash Sync: cada uno tiene su superficie.
• MFA en cuentas privilegiadas sin excepciones, incluyendo cuentas de break-glass.
• Conditional Access policies activas y testeadas, no solo configuradas.

5. Voting Village: por qué le importa al sector privado

El Voting Village siempre genera ruido por la parte de elecciones, pero los hallazgos técnicos aplican mucho más allá. Este año mostraron vulnerabilidades en cadenas de suministro de hardware, en sistemas embebidos y en software de auditoría que se usa en sectores muy distintos al electoral, incluyendo banca, salud y energía.

La lección general: la madurez de seguridad de un proveedor pesa tanto como la propia. Una empresa mexicana que confía su nómina, su facturación o su BI a un proveedor pequeño sin proceso de seguridad serio está heredando esa exposición.

Recomendamos pedir a tus proveedores críticos:

• Reporte SOC 2 Type II o equivalente.
• Política de gestión de vulnerabilidades documentada.
• Resultados de pentest del último año.
• Plan de respuesta a incidentes con notificación al cliente.

Lista accionable: qué revisar esta semana

Si solo tuvieras 5 días para reaccionar a DEF CON 33, este es el orden:

1. External attack surface scan completo (puertos abiertos, subdominios, S3 públicos, credenciales filtradas).
2. Auditoría de configuraciones cloud con Prowler, ScoutSuite o las herramientas nativas (AWS Security Hub, Azure Defender for Cloud).
3. Migración de MFA SMS a app o llave física en cuentas críticas.
4. Inventario de dispositivos IoT y plan de segmentación de red.
5. Revisión de permisos en AD híbrido, especialmente cuentas de servicio.

Ninguna de estas acciones requiere comprar tecnología nueva. Casi todas se resuelven con disciplina operativa y unas cuantas horas de un equipo capacitado.

---

Solicita un external attack surface scan en 48 horas. En ALCA lo entregamos como servicio chico para que validen su exposición antes de cualquier proyecto grande de seguridad. Agenda 30 minutos con nuestro equipo.