Cómo ir a DEF CON y no morir en el intento: una guía

tl;dr: compra pasajes, reserva alojamiento y compra la entrada cuando comiencen a venderse.

Si llegaste acá desde este artículo DEF CON: donde se juntan los hackers, sabrás que la conferencia es inmensa y es humanamente imposible asistir al 10% de las actividades.

Es normal paralizarse al comienzo producto de la ansiedad por “aprovechar" la conferencia, pero la verdad es que una vez que uno acepta la realidad y consigue las herramientas adecuadas para organizar el tiempo, todo empieza a ser muy divertido. Si lees experiencias en reddit u otros foros, te vas a dar cuenta de que es una gran fuente de frustración, pero que es totalmente evitable si te preparas con anticipación. Acá dejo las cosas que más me ayudaron a disfrutar la DEF CON.

También te dejo un apartado sobre cuánto sale el viaje y algunas ideas de cómo presentar el caso para que en tu trabajo te patrocinen.

Antes de viajar

Planifica y anticipa

• Las fechas para la DEF CON 33 ya están definidas: 7 al 10 de Agosto de 2025
• Compra los pasajes lo antes posible
• Reserva el hotel lo antes posible. En febrero/marzo se publica la ubicación y con 6 meses de anticipación ya se pueden encontrar reservas de hotel baratas.
  • Mientras más cerca del lugar de la DEF CON, mejor.
  • Si vuelve a ser en el Las Vegas Convention Center (LVCC), busca cualquier hotel que diga en su nombre "LVCC", ya que eso significa que estará con una estación del Loop cerca. El Loop es un sistema de transporte exclusivo del LVCC que conecta cada edificio a través de una flota de Teslas que circulan por unos túneles. Basta que portes tu credencial para que te dejen subir sin costo adicional.
  • Busca alguno con desayuno incluido. La comida en Las Vegas es carísima.

Aprende sobre DEF CON

• Lee el FAQ de DEF CON. Es un muy buen resumen y manifiesto.
• Lee el subreddit de DEF CON
• En el DEF CON media server puedes encontrar todas las grabaciones de todas las charlas (no todas las charlas son grabadas) de los años anteriores
• Intenta inscribirte a un workshop. Son gratis, pero los tickets se van en 3 minutos. Da lo mismo a lo que vayas. Te vas a enfrentar a personas muy expertas que te entregarán código y herramientas. Para alcanzar a intentarlo, tienes que anotarte un recordatorio de la fecha y hora a la que se liberan los tickets.
• Si no te inscribes a un workshop, no te preocupes, hay una cantidad absurda de actividades en paralelo.

Un poco antes de que viajes

• Compra una eSIM. Moverse en la ciudad se reduce a tener internet para pedir un Uber y/o comprar tickets. Yo usé Airalo y funciona de pana.
  Si no tienes la posibilidad de usar una eSIM, lleva dinero para comprar una SIM física en el aeropuerto. Es el único lugar donde puedes conseguir una con certeza (la más barata estaba a 20 USD, pero te sugiero comprar otra con más datos; si no usas redes sociales, considera 1Gb por día)
• Instala una VPN. Yo usé Tailscale (gratis para uso personal) con un exit node en AWS y GCP en USA. No es necesario que estén en una nube, pero si no te molesta el performance, podrías perfectamente dejar el exit node corriendo en tu casa.
• Descarga HackerTracker.app (HT), la aplicación oficial para programar tus actividades (no es tan buena la UX, pero es muy, muy útil)
• Agrega 2FA/MFA a tus aplicaciones y desinstala las que no tienen la opción. Si no quieres lidiar con lo anterior, consigue un teléfono descartable (el android más barato) en el que puedas tener HackerTracker y Signal por si haces buenas migas y quieres mantenerte en contacto con alguien. Esto me lo recomendó una señora, la primera persona que conocí en DEF CON, que trabajaba en JP Morgan y estaba haciendo un máster en Ciberseguridad. Fue con su hijo, que tiene una startup de indicadores para trading y ambos llevaron burner phones (como en las películas).

Una vez que llegas a Las Vegas

Organiza tus días

• Revisa HackerTracker y comienza a guardar (bookmark) las cosas que te interesen. Por defecto, la aplicación te enviará notificaciones 20 minutos antes de que empiecen cada actividad que guardaste. Puedes configurar para que te avise 5 o 30 minutos. 20 para mí funcionaba perfecto.
• Es normal guardar varias actividades a una misma hora o algunas que se solapan. Lo importante es que hagas el primer filtro antes para no tener que perder tiempo revisando en el momento qué cosas te interesan.
• Hay charlas que son grabadas y en HackerTracker está señalado. Guárdalas en HackerTracker, pero NO vayas a menos que: 1) el tema sea demasiado interesante para ti, 2) quien expone sea demasiado interesante para ti o 3) alguien a quien admires te recomiende ir.
• Si vas porque tu trabajo te lo pide, privilegia las villages que hacen algo similar a lo que haces en tu trabajo. En mi caso, las que más me sirvieron fueron la BlueTeam Village y la RedTeam Village. En ambas escuché a profesionales con años de experiencia en las áreas que más me interesan para Fintual.

Durante la DEF CON

Hidrátate y aliméntate bien

• Toma un desayuno contundente (a lo gringo). Si tu hotel tiene desayuno incluido, aprovéchalo.
• Lleva una botella para tomar agua. Así te evitas botar 5 USD cada vez que compres agua.

Redes y Seguridad

• La organización provee 2 redes WiFi: una con clave y otra sin clave. La primera la puedes configurar antes de llegar siguiendo las instrucciones de la página oficial. La segunda no te la recomiendo porque una gran cantidad de personas anda con antenas sniffeando el aire, así que mejor prevenir que lamentar.
  
• Sumado a lo anterior, mantén tu teléfono y computador conectados a tu VPN si usas el WiFi de la conferencia.
  
  — Oye, pero si uso HTTPS ¿debería bastar o no?
  — ¿Sabes si realmente tus apps envían todo su tráfico encriptado?
  
  Una charla a la que fui hablaba específicamente de una falla de diseño en los colectores de eventos de Splunk (sí, Splunk!) que usaba HTTP para recibir eventos y que, interceptando el token, un pentester lograba hacer log injections, generando alertas falsas para el SOC. Por si no sabes, Splunk es la herramienta más popular para monitorear logs de seguridad, y si haces ese tipo de log injections, se generan alertas falsas en el sistema de monitoreo, para marear al equipo de seguridad y desviar su atención.
  
  Felipe Muñoz, nuestro advisor de ciberseguridad que lleva más de 15 años en la industria y 4 asesorando a Fintual, también me contó que un año publicaron en el NOC Report (parte del reporte de transparencia que se hace al cierre de la conferencia) que un chino usó una app de citas durante la DEF CON y, como el tráfico de la app no iba encriptado, le vieron todas las fotos de su perfil, las de las personas que les dio like, las conversaciones con quienes hizo match, etc.
  
  Y bueno, HTTP no es el único protocolo que existe, así que mejor protegerse una capa más abajo y así andas con tranquilidad.
• NO uses una red en la que no confías. Ni en DEF CON ni en ningún otro lugar (cafés, aeropuertos, malls, etc.).
• No aceptes USBs, ni cualquier dispositivo extraño. Hay personas que dejan pendrives que pueden ser desde un rubber ducky hasta un step-up para freir computadores. Sad but true.
• No descargues ni corras aplicaciones que una persona desconocida te recomiende.

Estas son recomendaciones que valen en todos lados, no solo en DEF CON, pero acá es más probable encontrarse con personas intentando vulnerar tus dispositivos.

Gana tiempo

• Llega al menos 20 minutos antes a cada actividad. Felipe me dijo un par de veces "por eso esto se llama LINECON". Si no planificas, vas a perder una cantidad ridícula de tiempo y energía haciendo filas y quedándote fuera de la actividad porque se llenó la sala.
• Hay actividades a las que puedes llegar 5 minutos antes o incluso después de que empiezan, pero son las menos.
• También hay talleres por orden de llegada, pero en ese caso es mejor estar al menos 20 min antes de que empiece haciendo la fila (o más a veces).
• En los tiempos muertos, busca una village que te interese y métele conversa a alguien que esté en la aldea o a cualquier persona que esté en las mesas haciendo las actividades de la aldea. Es muy entretenido y se conocen historias bacanes.

Pásala bien y conoce gente.

Esta parte es la más importante.

Es auto explicativa.

Y es realmente importante.

Cuánto sale

Presupuesto

• Considera al menos 2000 dólares para avión y alojamiento por 5 noches. Si compras con anticipación puedes ahorrar bastante. También puedes ir por 4 noches, pero es muy agotador; no lo recomiendo.
• La entrada de 2024 estaba a casi 500 USD. Es esperable que la de 2025 pase de los 500.
• La comida y transporte en Las Vegas sale caro: 40 a 100 USD por día, dependiendo de tus necesidades alimentarias y de desplazamiento. Puede salir menos, pero te recomiendo tener holgura.

Ok, no tengo esa plata

Yo tampoco tenía esa cantidad.

Felipe (te recuerdo que es nuestro advisor), me dijo en abril “oye, ¿vas a DEF CON este año?”. Cumplía 2 años trabajando en seguridad para Fintual y gracias a esa pregunta me animé a proponérselo a Pedro (CEO de Fintual), “en pedir no hay engaño” dicen.

Argumenté todas las cosas formales: que es importante el tema para una Fintech, que en seguridad siempre hay que actualizarse, que la DEF CON es la más grande, etc. Pero el argumento ganador fue: “Esta es la única conferencia de ciberseguridad que Felipe nunca se pierde”. Si él no se la pierde, debía ser por algo.

Presenté mi caso y resultó que Fintual pagó una fracción importante del viaje. Todas ganamos.

Puedes usar el post DEF CON: donde se juntan los hackers para redactar algo en línea con los objetivos de tu organización y como queda casi un año, todavía, es más probable que puedan disponer presupuesto.

Otras alternativas que no son la DEF CON

Si el financiamiento es una limitante fuerte, considera ir a EKOPARTY y/o a 8.8. La primera es en Argentina y la segunda en Chile, similares en espíritu a DEF CON aunque más pequeñas y en español.