DFeX 2025: Europol, investigadores internacionales y profesionales de la ciberseguridad compartirán en la Universidad de Zaragoza las últimas tendencias en análisis forense digital y explotación
La Escuela de Ingeniería y Arquitectura de la Universidad de Zaragoza acogerá los días 2 y 3 de junio el International Conference on Digital Forensic Analysis and Exploitation (DFeX 2025), un congreso internacional sobre ciberseguridad que reunirá a expertos del ámbito académico, industrial, de agencias de seguridad, de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y de las Fuerzas Armadas (FAS). El congreso se celebrará en el Salón de Actos del Edificio Ada Byron, sede de la Escuela de Ingeniería y Arquitectura (EINA), y el acceso será gratuito, condicionado a la inscripción previa.
El objetivo del encuentro es ofrecer un espacio de intercambio técnico y profesional sobre tres ámbitos de la ciberseguridad: la ingeniería inversa de aplicaciones, el análisis y explotación de vulnerabilidades, y la investigación forense digital. A través de sesiones técnicas, ponencias y talleres prácticos, se presentarán casos de estudio, herramientas, metodologías de investigación y experiencias aplicadas que permiten comprender las amenazas actuales y los métodos para responder a ellas.
Lunes 2
Inaugurará el congreso Iwen Coisel, especialista en criptografía y análisis forense digital en el Centro Europeo de Ciberdelincuencia (EC3) de Europol. Su conferencia magistral estará centrada en metodologías de adquisición, descifrado y análisis de evidencias digitales en el marco de operaciones policiales internacionales, y ofrecerá un recorrido por una investigación ficticia construida a partir de casos reales y desafíos cotidianos enfrentados por el equipo forense de Europol. A lo largo de su ponencia, presentará el papel operativo del EC3 en la lucha contra la ciberdelincuencia y prestará especial atención a las técnicas de recuperación de credenciales, clave en la cooperación transfronteriza en de procesos judiciales.
Miguel Hernández, ingeniero senior de investigación de amenazas en SysDig, presentará una disertación técnica sobre las tácticas, técnicas y procedimientos (TTPs) empleados en incidentes de ciberseguridad recientes, apoyándose en casos documentados que ilustran vectores de intrusión avanzados y técnicas de escalada de privilegios. Le sucederá Sara Santolaria, directora de programas en CEEI Aragón, quien presentará el proyecto CyberUP, promovido junto con INCIBE Emprende, orientada al impulso de proyectos empresariales de base tecnológica en el ámbito de la ciberseguridad. Durante su intervención se incluirá el testimonio de David López (MADAC), quien compartirá la aplicación de metodologías ágiles para el desarrollo de soluciones de ciberseguridad en contextos reales.
Razvan Răducu, investigador predoctoral en UNIZAR, presentará un estudio comparativo de entornos de ejecución controlados (sandboxes) para análisis dinámico de muestras maliciosas. Su análisis considera diez plataformas diferentes, tanto comerciales como de código abierto, evaluadas en función de criterios como la cobertura de APIs, el nivel de evasión tolerado, la capacidad de desofuscación y la integración con soluciones SIEM. Néstor Salceda, de Safetybits, cerrará la mañana con una ponencia sobre técnicas de captura y análisis de tráfico en sistemas industriales en contextos de análisis forense. Abordará prácticas de esnifeo, estrategias de recopilación preventiva de tráfico de red y uso de cronologías para la reconstrucción post incidente, vinculando estas prácticas con la ciberresiliencia en entornos SCADA e ICS.
Durante la tarde, Ricardo J. Rodríguez, profesor Titular en la Universidad de Zaragoza, España y doctor en Informática e Ingeniería de Sistemas, impartirá un taller sobre análisis forense de memoria RAM e identificación de artefactos maliciosos en tiempo de ejecución, donde se abordará la extracción de indicadores de compromiso (IoCs), la recuperación de payloads residentes en memoria y el análisis de procesos enmascarados. El taller está diseñado para integrar las técnicas de análisis en procesos formales de respuesta ante incidentes, enfatizando la trazabilidad de evidencias volátiles y su documentación pericial.
Martes 3
Gibran Gómez, investigador del IMDEA Software Institute, presentará un conjunto de técnicas analíticas para la inteligencia operativa basada en blockchain y centradas en la red Bitcoin, habitual en entornos de ciberdelincuencia para recibir pagos o financiar infraestructuras de mando y control (C&C). Expondrá técnicas y herramientas forenses para abordar tres retos clave: el rastreo de transacciones con fines de atribución criminal, la estimación de ingresos de actores maliciosos mediante direcciones de pago, y la automatización de la identificación y clasificación de direcciones de criptomonedas mediante inteligencia de amenazas e inteligencia artificial.
Sergio Ruiz-Villafranca, investigador postdoctoral en la Universidad de Castilla-La Mancha, presentará un análisis técnico sobre la gestión de vulnerabilidades en el ámbito del Internet de las Cosas (IoT), basado en un estudio sistemático de los avisos de seguridad emitidos por fabricantes de dispositivos conectados. Su intervención examina el contenido, la estructura y el momento de publicación de estos avisos, con el objetivo de identificar cómo se gestionan las vulnerabilidades a lo largo del ciclo de vida de los productos. Se abordarán variables como los tiempos de respuesta, la calidad técnica de las notificaciones, la frecuencia de publicación y su coherencia con la evolución de los dispositivos.
José Luis Ruiz, miembro del Grupo de Seguridad y Auditoría de la Universidad de Castilla-La Mancha (UCLM), centrará su ponencia en la aplicación de inteligencia artificial a la automatización de pruebas de penetración. Su intervención explorará cómo el aprendizaje supervisado y no supervisado permite replicar tácticas, técnicas y procedimientos (TTPs) característicos de amenazas persistentes avanzadas (APT), utilizando como referencia el marco ATT&CK de MITRE. Se mostrarán herramientas experimentales capaces de automatizar fases clave del pentesting ofensivo, generando escenarios realistas y reproducibles que mejoran la preparación de equipos de Red Team y Blue Team.
A media mañana se celebrará la segunda conferencia magistral de las jornadas, a cargo de Andrei Costin, profesor de ciberseguridad en la Universidad de Jyväskylä (Finlandia). Su intervención presentará una síntesis de más de siete artículos científicos revisados por pares desarrollados durante los últimos tres años, centrados en la explotación de vulnerabilidades en dominios críticos como el satelital, aeronáutico, aeroespacial, marítimo y de drones (SAAMD). La ponencia ofrecerá una visión técnica de los fallos de seguridad presentes en protocolos de comunicación como ADS-B, AIS, ACARS, GDL90 o EPIRB, y mostrará cómo pueden ser atacados a través de interfaces desprotegidas utilizando tecnologías de radio definida por software (SDR). Se analizarán los vectores de ataque potenciales y sus implicaciones en la seguridad de sistemas embarcados y entornos operacionales estratégicos.
Guillermo Suárez-Tangil, profesor del IMDEA Networks Institute, abordará el fenómeno del Malware-as-a-Service (MaaS), una modalidad de cibercrimen basada en la externalización de herramientas maliciosas bajo modelos económicos accesibles. En su intervención se analizarán las estructuras operativas de estos ecosistemas criminales, su progresiva profesionalización, y la interacción entre desarrolladores de malware, intermediarios y actores finales. Asimismo, se expondrán patrones de distribución, técnicas de evasión y vectores de ataque asociados a este modelo de economía subterránea.
El congreso concluirá con un segundo taller coordinado por Sergio Pastrana y Juan Tapiador (Universidad Carlos III de Madrid) junto a Narseo Vallina-Rodríguez (IMDEA Networks). Este taller estará orientado al estudio de tecnologías orientadas a la privacidad y el anonimato en redes, incluyendo el uso de protocolos como TLS, servicios de VPN y redes de anonimato como Tor. Se explorarán los fundamentos técnicos de estos sistemas, su rol en la protección de la identidad digital y sus limitaciones frente a técnicas de análisis de tráfico. Se discutirá su uso en actividades ilícitas, así como las dificultades que plantea su monitoreo para las unidades especializadas en ciberdelincuencia.
Call of papers
La organización del DFeX 2025 comenzó con una convocatoria pública de propuestas de comunicación, publicada a finales de septiembre de 2024. Esta llamada a la participación estuvo abierta a la presentación de comunicaciones técnicas y talleres prácticos. La selección de las contribuciones se realizó mediante un proceso de evaluación ciega, llevado a cabo por un comité científico compuesto por personal investigador, profesionales del sector y representantes de agencias de ciberseguridad. Los criterios de valoración aplicados fueron: relevancia temática (30 %), originalidad (25 %), calidad técnica (25 %), impacto estimado (10 %) y estructura de la propuesta (10 %). Como resultado, se configuró un programa que combina presentaciones breves, conferencias magistrales y sesiones prácticas orientadas a la transferencia de conocimiento.
Sobre DFeX
El International Conference on Digital Forensic Analysis and Exploitation (DFeX 2025) está organizado por el grupo de investigación ReverseaME, conjuntamente con la Escuela de Ingeniería y Arquitectura (EINA) y la Universidad de Zaragoza, y forma parte del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, con financiación de la Unión Europea a través del programa NextGenerationEU y apoyado por el Instituto de Ciberseguridad de España (INCIBE). Se enmarca dentro de los programas institucionales de apoyo a la investigación aplicada en ciberseguridad y se alinea con las estrategias nacionales y europeas para la digitalización y la protección de activos tecnológicos. Las personas interesadas en asistir pueden realizar su inscripción de manera gratuita a través del sitio web oficial del evento o mediante el siguiente enlace.
Para consultas o más información, se han habilitado dos correos: comunicacion@estratcom.es para asuntos de comunicación y reverseame@unizar.es para contactar con la organización del evento.
