Lo mejor de PWNEDCR 0x08

¿Qué significa PWNEDCR?

DC11506: en algún momento, alguien en DEF CON decidió que ese número podía conectar a una comunidad. DCG 1 + 1 + 506 es el DEF CON Group con el código de llamada internacional hacia Costa Rica desde Estados Unidos, el prefijo que conecta con el país del "Pura Vida".

De ese grupo de hackers que se reunían los primeros sábados de cada mes en Barrio Amón surgió PWNEDCR: la conferencia de ciberseguridad más importante de Costa Rica.

La filosofía siempre ha sido clara: de la comunidad, para la comunidad. Es organizado 100% por voluntarios del DC11506, sin fines de lucro y con contenido para todos los niveles: desde el estudiante que acaba de descubrir qué es un CTF hasta el pentester con años de experiencia. Y lo más notable: ocho ediciones consecutivas con entrada completamente gratuita.

Evolución

PWNEDCR ha crecido de forma orgánica a lo largo de los años. En 2019 (0x02) añadieron talleres a la conferencia. En 2020 y 2021, la pandemia los obligó a migrar al formato virtual, provocando un efecto positivo: internacionalización de la audiencia. Justo en ese momento, en 0x04, un argentino apodado "Pepap1g" se convirtió en el primer extranjero en ganar el CTF.

Más adelante, el tan esperado regreso a la presencialidad en 2022 (0x05) fue todo un éxito: trajo a más de 250 asistentes, surgiendo la necesidad de tener dos auditorios paralelos para charlas. Para 2024 (0x07) ya eran más de 500 personas y el evento se había extendido a dos días completos: viernes para talleres, sábado para charlas.

Pero 0x08 marcó un antes y después.

PWNEDCR 0x08

Por primera vez en ocho años, la conferencia dejó las sedes universitarias. El nuevo hogar fue el Auditorio Nacional, ubicado en el Centro Costarricense de Ciencia y Cultura, también conocido como el Museo de los Niños. Un espacio con capacidad para 700 personas que le dio al evento el escenario que merecía.

Así fue como el 18 y 19 de octubre de 2025, más de 650 asistentes y 50 miembros encargados como speakers, entrenadores, presentadores y staff, dieron vida al evento en tres tracks simultáneos. 

Pero los números solo cuentan una parte de la experiencia. Algunas de las cosas características de la PWNEDCR son estas:

• Su badge electrónico no solo es interactivo, es hackeable e hizo parte de la competencia. Tiene easter eggs y retos escondidos, como parte integral del CTF. Es por eso que, si no intentaste hackearlo, te perdiste la mitad de la diversión.

• La nomenclatura hexadecimal de las ediciones (0x01, 0x02… 0x08) es un detalle que sirve de analogía a la cultura hacker, y cada año se entremezcla con una temática visual distinta, siempre manteniendo el espíritu de la conferencia.

• Y luego está la vaca. Este es un meme interno del CTF que siempre aparece cuando un reto es particularmente difícil al punto que ningún o casi ningún jugador logre resolverlo. Si ves la vaca, definitivamente prepárate para sufrir.

Side quests

Como ocurre con las grandes conferencias, PWNEDCR no es solo charlas. El evento tiene actividades paralelas que muchas veces son tan valiosas como el track principal.

El CTF llegó a su octava edición. Fueron dos días de competencia presencial con premios para los tres primeros lugares: vouchers de TCM Security, Hack The Box y CompTIA. El formato fue del estilo Jeopardy con retos que iban desde lo básico hasta "la vaca".

Los workshops fueron gratuitos pero con cupos limitados: había que hacer fila para asegurar asiento. Fueron cuatro el sábado y tres el domingo, con temas que iban desde sniffing con ESP32 hasta análisis forense de archivos DMP en Windows para extracción de credenciales. Esto, sumado a un entrenamiento preconferencia a un precio de USD 45, que trató sobre escalación de privilegios en Windows, duró 6 horas y sirvió también de financiamiento para la 0x08.

Además de lo puramente técnico, este año introdujeron las llamadas Speed Interviews: entrevistas rápidas con reclutadores de las empresas patrocinadoras del evento. Estas requerían inscripción separada, tenían franjas horarias específicas, y según el feedback posterior, algunas personas consiguieron avanzar a procesos formales de contratación directamente desde el evento.

Además, entre los meetups que se hicieron en vivo, 0x08 incluyó un encuentro de Root Sisterhood (la comunidad de mujeres en ciberseguridad) y el Meetup del capítulo local de Hack The Box.

Y para los amantes de lo tangible, como no puede faltar en una conferencia de hacking, se incluyó la Villa de Lockpicking: candados, cerraduras, esposas, y suficientes stickers para cubrir una laptop entera.

Las charlas

En PWNEDCR, exclusivamente hablando de las charlas, 29 speakers protagonizaron y guiaron los tres tracks del evento. Con ponentes de siete nacionalidades distintas, el 28% fuimos internacionales.

Para capturar un poco de lo que fue el espíritu de esta edición, aquí están lo que para mi fueron las 3 mejores charlas de la PWNEDCR 0x08:

"Adversarial Malware: Payloads Auto-Mutables con GANs y Reinforcement Learning" — por Alexander Botero, Offensive Security Lead en Cyber Sector

Alexander demostró cómo la inteligencia artificial ha cambiado las reglas del juego ofensivo. Explicó una arquitectura técnica donde dos redes neuronales (generative adversarial networks, GANs) compiten entre sí, una creando malware y otra juzgándolo, sumado a aprendizaje por refuerzo para premiar la evasión exitosa. ¿El resultado? Una demostración en vivo de payloads que mutan automáticamente hasta conseguir cero detecciones en VirusTotal, probando que los controles tradicionales basados en firmas y heurística estática tienen los días contados.

"No era hacker... hasta que lo fui" — por Esteban Araya, Cybersecurity Lead en Techcore Group

A veces las charlas más memorables no tienen que ser las más técnicas. Esteban compartió su viaje personal, desde trabajar en un call center y comprar por error un curso de hacking (buscando uno de Excel), hasta convertirse en Cybersecurity Lead. Fue una sesión cruda sobre la realidad del síndrome del impostor, la importancia de las habilidades blandas y cómo la disciplina supera a la motivación. Un recordatorio de que en esta industria el título importa menos que la curiosidad y la persistencia.

"Red Route: Silent Red Team Techniques for Full AD Takeover" — por Omar Palomino, Offensive Security Engineer & Pentester en Kunak Consulting

Omar vino desde Perú con una premisa: "Siempre hay un error, es cuestión de olfatearlo". A través de demos en vivo y mucho humor, desmitificó la seguridad de Active Directory ejecutando técnicas avanzadas como NoPac (spoofing de cuentas de máquina), extracción de credenciales de cuentas gMSA, DCSync silencioso y secuestro de sesiones RDP mediante servicios. 

Además de lo técnico y la explicación paso a paso de cada técnica, Omar dejó un mensaje final profundo: advirtió sobre el peligro del "inmediatismo" en las nuevas generaciones, recordándonos que ninguna herramienta automatizada reemplaza el entendimiento profundo sobre una vulnerabilidad. Su conclusión fue una lección de vida para el Red Team: el éxito no está en un Enter, sino en tener la paciencia para disfrutar el proceso de fallar repetidamente hasta encontrar esa brecha que inevitablemente existe.

Nos vemos en 0x09

Esto no termina aquí.

Pasados los dos días de 0x08, crucé el Auditorio Nacional en sentido contrario. El badge electrónico que colgaba de mi cuello ya no era un misterio, sus secretos fueron extraídos, sus retos resueltos y sus easter eggs descubiertos por docenas de mentes curiosas.

En un ecosistema donde las conferencias de ciberseguridad cada vez cuestan más, PwnedCR es un recordatorio de cómo empezó todo: un grupo de hackers que simplemente querían compartir conocimiento.

Ya lo sabes: Octubre de 2026. San José, Costa Rica. PwnedCR 0x09.

Pura Vida.