Lo mejor de JCUN 6ta edición

¿Qué es JCUN?

JCUN significa Jornada de Ciberseguridad de la Universidad Nacional de Colombia. Es la conferencia universitaria de seguridad informática más importante del país, y una de las pocas en Latinoamérica con estas características: es completamente gratuita, organizada por estudiantes, y abierta a cualquier persona sin importar si pertenece o no a la universidad.

Desde 2018, JCUN se realiza en la sede Bogotá de la Universidad Nacional de Colombia bajo un lema que ha permanecido intacto durante seis ediciones: "Construyendo una comunidad digitalmente segura".

Orígenes

Detrás de JCUN hay tres grupos vinculados de la Facultad de Ingeniería de la Universidad Nacional:

• UQBAR es el semillero de investigación en seguridad informática. Fundado en 2017, se autodefinen como "cuna de hackers" y son el motor principal del evento.

• TLÖN es el grupo de investigación en redes de telecomunicaciones dinámicas y lenguajes de programación distribuidos. Quienes proveen el respaldo académico.

• UnsecureLab complementa con investigación aplicada en seguridad de TI.

Dos de los tres grupos de investigación comparten algo más que la facultad: sus nombres vienen del mismo cuento. "Tlön, Uqbar, Orbis Tertius" de Jorge Luis Borges (1940) narra el descubrimiento de una región ficticia llamada Uqbar en una enciclopedia misteriosa. Se trata de una historia sobre cómo las ideas pueden transformar la realidad. Y para un grupo de hackers que buscan cambiar la cultura de seguridad en Colombia, el nombre no podía ser más apropiado.

UQBAR: Sigue al conejo blanco

Si JCUN es el evento, UQBAR es el corazón que lo hace latir.

El semillero nació en 2017 como un Grupo Estudiantil de Trabajo del Departamento de Ingeniería de Sistemas e Industrial. Su misión es clara: contribuir a la investigación, formación y fomento de la cultura de seguridad informática en Colombia. Y su visión para 2030 es consolidarse como el semillero de seguridad informática más relevante del país.

Su mascota es un conejo blanco, y el hashtag que los identifica es #SigueElConejoBlanco. La referencia es doble: Alicia en el País de las Maravillas y Matrix. Seguir al conejo significa adentrarse en lo desconocido y descubrir cosas nuevas. Es la filosofía del grupo.

Como dijo Juan Wilches, ex-coordinador del semillero: "Uqbar fue el lugar donde descubrí mi pasión y conocí amigos con quienes pude compartirla".

Es esa pasión lo que ha llevado al conejo al punto en que se encuentran hoy: UQBAR tiene más de 750 miembros en Meetup con una calificación de 4,8 estrellas, son embajadores oficiales de Hack The Box, y cada año organizan su conferencia gratuita que atrae a cientos de personas.

6ta edición: JCUN 2025

La sexta edición de JCUN se realizó del 6 al 8 de noviembre de 2025. Fueron tres días de evento: los talleres el jueves y viernes, y las charlas el sábado.

El formato se mantuvo fiel a la tradición: un solo track de charlas (sin FOMO, todos ven todo), entrada completamente gratuita, y transmisión en vivo para quienes no pudieron asistir presencialmente.

De esta forma consiguieron los números más altos en la historia de la conferencia: fueron 265 asistentes a las charlas, 151 participantes de los workshops, 37 jugadores del CTF y alcanzaron las 652 visualizaciones en vivo durante el evento.

Side quests

En JCUN, además de las charlas, alrededor del escenario principal hubo actividades que complementaron la experiencia.

Workshops

Los talleres fueron gratuitos pero con cupos limitados y registro previo. Este año se realizaron cinco, todos grabados y transmitidos en vivo, con temáticas de red team y blue team. Y lo mejor es que todo el contenido quedó disponible en el canal de YouTube de UQBAR para quienes no alcanzaron a conseguir cupo.

Uno de los talleres más populares, y mi favorito, fue el de Gerardo Eliasib, CEO de Spartan Cybersecurity: "Taller Ofensivo y Defensivo en Entornos Cloud (AWS y Azure)". Fueron 3 horas de contenido intenso que incluyeron desde ataques modernos de Device Code Phishing para comprometer Office 365, hasta la explotación de SSRF y, como gran cierre, el robo de un modelo de inteligencia artificial en AWS Bedrock. Además, Gerardo compartió sus famosas "Biblias de Hacking" en Cloud para seguir aprendiendo, y desarrolló una guía exclusiva para el taller con todo el paso a paso, los comandos y conceptos claves.

CTF

Durante dos días de competencia, 37 jugadores enfrentaron los 42 retos preparados por UQBAR referentes a 14 categorías.

El CTF de JCUN es presencial y tiene una particularidad: algunas flags están escondidas dentro de las charlas, o incluso tienes que buscarlas por todo el recinto. Si no prestas suficiente atención, te pierdes las flags que rondan por todo el evento.

Justamente el último día al final de la jornada, se premiaron a los tres primeros equipos con cursos de Spartan Cyber Security y licencias VIP de Hack The Box.

Wardriving

Wardriving, la práctica de detectar y mapear redes WiFi mientras te desplazas por la ciudad, regresó a JCUN después de su debut en 2024. Para quienes nunca lo habían hecho, primero hubo un taller preparatorio a cargo de Luisa Ossa, la coordinadora de la actividad. Luego vino la competencia: un bus recorriendo Bogotá con participantes equipados con antenas, celulares, laptops y dispositivos de mapeo. A pesar de que algunos solo pudieron detectar cerca de 10 mil redes, el ganador detectó más de 40,000 redes únicas y se llevó el premio de 100 dólares en efectivo.

Posters académicos

Alineado con su naturaleza universitaria y rigor académico, JCUN tiene un Call for Posters con proceso de revisión formal por un comité compuesto por profesores doctorados y masters de la universidad, así como investigadores aliados. Para este se exige un artículo de 4 páginas en formato Springer (LNAI/LNCS) que incluya el diseño visual A0, creando un espacio formal para discutir métodos, resultados técnicos y hallazgos con la comunidad. Es el puente entre la práctica y la investigación académica, un espacio para que estudiantes y profesores presenten trabajos en curso o resultados de investigación.

Las charlas

Luego de los workshops y actividades del jueves y viernes, la jornada del sábado contó con 10 speakers en un solo track. El 80% fuimos ponentes colombianos, con participación internacional de Argentina y Francia.

Pero antes de las charlas individuales, el día comenzó con algo diferente.

Panel: IA en Ciberseguridad

El día abrió con un panel que reunió a la academia, la industria y el gobierno. Moderado por el profesor Jorge Eduardo Ortiz Triviño (director de TLÖN y UQBAR), los panelistas incluyeron a Michael Rivera de Fluid Attacks, Diego Ademir de Platzi, Francisco Gómez de la Universidad Nacional, Camilo Lozada del Consejo de Estado y Kenn Bro, un investigador de seguridad y el único que participó en el panel con una máscara puesta.

Los temas fueron directos: desarrolladores volviéndose dependientes de la IA, la pérdida acelerada de privacidad al usar LLMs, la ventaja que tienen los atacantes con deepfakes y clonación de voz. Y la pregunta inevitable: "¿es todo esto una burbuja?" La mayoría coincidió en que sí, y algunos hasta manifestaron su deseo de que explote pronto para depurar el mercado.

Mi charla favorita: La cara oculta del reconocimiento facial — Kenn Bro

Mi charla favorita de la jornada fue dada por el mismo investigador enigmático que también había participado en el panel de IA. Kenn Bro, cambiando la máscara por un traje completo de conejo blanco, habló sobre vigilancia masiva y cómo los gobiernos pueden conectar nuestra data estática (fotos de documentos) con nuestra data dinámica (opiniones, emociones, religión).

Mostró ejemplos de China y Argentina, y mencionó que Colombia ya está implementando biometría facial en estadios y en medios de transporte como el TransMilenio.

Además del mensaje profundo que quiso transmitir, lo más memorable y polémico fue la demo. Kenn Bro intentó reconocer caras en vivo usando DeepFace y Python, y el código funcionaba correctamente, si bien no en la totalidad de los casos. Sin embargo, repentinamente, un asistente llamado Freddy Zavala interrumpió la ponencia criticando la implementación de Kenn Bro. Luego subió al escenario, tomó el control de la computadora, y modificó el código para usar nueve modelos simultáneos en lugar de uno. Contra todo pronóstico esto funcionó y reconoció su propia cara exitosamente.

Al final se reveló que todo estaba orquestado, pero con esto se captó magistralmente la atención del público y se transmitió el mensaje de la charla perfectamente . El punto fue: "Lo imposible solo tarda un poco más".

Nos vemos este 2026

El jueves llegué siguiendo el sonido de tambores de una muestra cultural. El sábado, un conejo blanco subió al escenario y me habló de las amenazas del reconocimiento facial. JCUN estuvo definitivamente lleno de sorpresas, y me alegro de haber vivido la experiencia.

¡Nos vemos en la 7ª edición de JCUN este 2026!