la-villa-hacker-logo-transparente
  • Nosotros
  • Conferencistas
  • Blog
  • Contacto
la-villa-hacker-logo-transparente
  • Nosotros
  • Conferencistas
  • Blog
  • Contacto
  • Nosotros
  • Conferencistas
  • Blog
  • Contacto
la-villa-hacker-logo-transparente
la-villa-hacker-logo-transparente
  • Nosotros
  • Conferencistas
  • Blog
  • Contacto
TEAM
HomeTeamArnold Morales
Arnold-Morales
Expert Offensive Security

Arnold Morales

Desde los 12 años, me he dedicado a la informática con un enfoque especial en la seguridad. Actualmente, a mis 22 años, sigo explorando este mundo con la misma pasión, impulsado por la constante evolución de la tecnología y su interminable curva de aprendizaje. Cuento con una carrera en Cómputo Forense y Ciberseguridad, actualmente curso una maestría en Inteligencia Artificial y Ciberseguridad. Certificaciones: CWEE | CAPE |CPTS | EWPTX | CRTO | eMAPT | OSCP | OSCP+ |CEH V13 | EJPT| HTB prolabs Hades - Cybernetics - Zephyr - APTlabs | MDK
EMAIL:
arnoldmorales1906@gmail.com

Resumen de la Charla

En muchas ocasiones cómo pentesters nos aferramos a la idea de buscar multiples técnicas de ataque de manera “virtual”, buscando software especializado o creando scripts que nos ayuden a identificar una vulnerabilidad para acceder a un programa o dispositivo en el que nos enfoquemos, pasamos tanto tiempo enfrente de nuestra pantalla, lanzando comandos a lo bastardo hasta ver que podemos encontrar que a veces ignoramos que existen soluciones alternativas y no simplemente de manera virtual, sino de una manera en que podemos tocar, armar y desarmar (esto suele ser menos buscado por pentester, entonces tambien hay menos documentacion).

El proceso de arranque de Windows, conocido como boot process, se divide en varias fases como ya lo vimos: PreBoot (inicialización del firmware BIOS/UEFI y POST), Boot Manager (carga de bootmgr o bootmgfw.efi), OS Loader (ejecución de winload.exe para cargar el kernel) y Kernel Initialization (carga de ntoskrnl.exe y hal.dll, inicialización de controladores y servicios). Finalmente, se inicia winlogon.exe para presentar la interfaz de usuario. Este proceso permite pasar de un estado apagado a un sistema operativo funcional mediante una secuencia jerárquica y verificada.

Respecto a los EDR (Endpoint Detection and Response) basados en el kernel, operan en modo kernel, el nivel más privilegiado del sistema (algunos juegan en UEFI), lo que les permite supervisar actividades de bajo nivel como llamadas al sistema, manipulación de memoria, carga de controladores y acceso a archivos. Al ejecutarse en este modo, los EDR pueden detectar y bloquear amenazas avanzadas como rootkits o malware persistente que intentan eludir las protecciones del modo usuario. Su integración profunda con el kernel les permite realizar monitoreo en tiempo real, análisis de comportamiento y respuesta inmediata ante actividades sospechosas durante y después del arranque.

Normalmente los EDRs se encuentran en KERNEL pero como lo mencione, existen otros que se encuentran en UEFI y si recordamos como funciona windows atrás de UEFI esta SMM entonces es algo un poco mas dicil.

Esta charla es pensada para personas interesadas no solo en ATMs y una simple dispensación si no la vista mas alla, el análisis y toda la experiencia adquirida cuando te enfrentas a ellos.

Mas información sobre el ataque y la teoría detrás de ella:
https://h0km4.com/posts/DMA-Introduction/
https://h0km4.com/posts/telemetria-bypass/

CHARLA

Viernes 7 de Agosto de 2026 16:00 a 16:30

Jackpoting? Bypass de EDR? - Hacking ATM.

 

 
contacto@lavillahacker.com

Nevada, USA

X-twitterLinkedin-inInstagram

La Villa Hacker

Nosotros
Conferencistas
Blog
Contacto
la-villa-hacker-logo-transparente

Copyright © 2026 La Villa Hacker. Todos los derechos reservados