RedTeamRD Meetup #68 - Hacking OT & Web Apps Broken Access Control
Details
Meetup No. 68 - RedTeamRD
La comunidad RedTeamRD regresa con un meetup donde exploraremos dos superficies de ataque que muchas veces pasan desapercibidas: la infraestructura física que mantiene vivos los datacenters y la lógica detrás del control de acceso en aplicaciones web.
Este encuentro nos llevará desde los sistemas HVAC controlados por PLCs hasta la manipulación lógica de endpoints vulnerables.
Dos charlas. Dos mundos. Un mismo problema: lo que asumimos seguro, rara vez lo es.
Capa 0: Cuando el Ataque No Busca Datos, Busca Derretir el Hardware
️ Fidel Jeldes
La mayoría de las estrategias de ciberseguridad están diseñadas para proteger información: bases de datos, credenciales, propiedad intelectual. Pero ¿qué ocurre cuando el atacante no quiere robar datos, sino interrumpir físicamente la operación? En esta charla exploraremos la “Capa 0”, la infraestructura crítica que mantiene vivos a los datacenters: sistemas HVAC, chillers, distribución eléctrica y sensores ambientales gestionados por PLCs que utilizan protocolos industriales heredados, sin cifrado ni autenticación robusta.
Analizaremos cómo la convergencia entre IT y OT ha abierto una superficie de ataque poco visible pero altamente crítica. Veremos cómo un actor malicioso puede pivotar desde la red corporativa hacia la red de gestión ambiental y manipular protocolos como Modbus/TCP o BACnet para alterar lecturas de sensores, provocar sobrecalentamientos o forzar paradas de emergencia. Una sesión que cambia la perspectiva tradicional de la seguridad y nos obliga a pensar más allá de los datos.
Access Control: Cuando la Lógica es Vulnerable
️ Bryan Céspedes
Un recorrido práctico por laboratorios de PortSwigger enfocados en vulnerabilidades de control de acceso roto, mostrando cómo la simple observación y el pensamiento lógico son suficientes para acceder a lo que no deberías.
Se abordará la manipulación de parámetros de solicitud, el descubrimiento de identificadores expuestos en funciones públicas y la explotación de endpoints predecibles. Una charla accesible para entender cómo fallas de diseño en el control de acceso le abren la puerta a un atacante sin necesidad de exploits complejos.
Fecha y hora
Jueves 26 de febrero de 2026
7:00 PM – 9:00 PM (AST)
Lugar
Auditorio INDOTEL, Zona Colonial, Santo Domingo
Transmisión en vivo (gratuita)
https://youtube.com/live/IJ7vCKv7ikg?feature=share
(No es necesario registrarse para verlo en línea.)
Contribuciones
Si deseas apoyar nuestros eventos y el desarrollo de talento local en ciberseguridad: