Opiniones
DEF CON: Navegando el caos
Head of Research
Actualizado
15 ene 2026
12 min
“Drink all the booze, hack all the things”, proclama Dual Core en su himno no oficial de DEF CON, capturando a la perfección esa línea delgada entre obsesión técnica y fiesta que caracteriza al evento. Así se da la conferencia de hacking más grande del mundo: una intensidad total donde 26 mil hackers se reúnen en Las Vegas con la sola mentalidad de explorar, romper y reconstruir.
Origen e historia de DEF CON
DEF CON nace en 1993, justamente como una fiesta de despedida organizada por Jeff Moss, también conocido como The Dark Tangent, para el operador de Platinum Net, una red BBS de hackers canadienses. La idea original era organizar la fiesta para todos los miembros de la red, puesto que el operador la iba a dar de baja, pero, debido al cambio repentino de puesto de su padre, el operador tuvo que irse antes de tiempo, y desapareció dejando a Jeff con todo a medio camino.
Jeff decidió continuar con la organización e invitó a todas las personas que pudo, incluyendo irónicamente a los federales, con la premisa de que de todos modos iban a ir. De esta forma, el joven Moss de 18 años, realizó DEF CON 1 sin schedule, sin señalización, con solo sillas plegables, una grabadora de cinta, 100 asistentes y 12 speakers.
El nombre DEF CON rinde tributo a los phone phreakers que precedieron al hacking de computadores: en el teclado telefónico, DEF corresponde al número 3, una referencia a las técnicas de manipulación de tonos DTMF, y CON se refiere a conferencia. Por otro lado, el nombre alude a la palabra DEFCON, que a su vez remite a la película WarGames (1983), donde el protagonista decide bombardear Las Vegas.
Esta fiesta ha bombardeado Las Vegas por ya 33 años, y ha pasado por mucho: partiendo de una primera edición, DC1, con 100 asistentes en 1993, hasta la fundación del icónico CTF de DEF CON en DC4 (1996), la expansión del evento por primera vez fuera de EE. UU. en 2018 en Beijing, China, y la celebración de una edición virtual (DEF CON Safe Mode) en 2020 durante la pandemia, así como el cambio de sede en 2024 al llegar DC32. Este 2025, DC33 sumó otro capítulo a esa historia, y puedes conocer sus mejores momentos en mi post sobre lo mejor de DEF CON en 2025.
Una cultura de anonimato y privacidad
Aun con más de tres décadas de historia, la conferencia sigue manteniendo su core: el anonimato y la privacidad son sagrados. Esto es solo un reflejo del respeto por la comunidad, y se consigue manteniendo el mínimo de información posible sobre los asistentes: no hay registro de asistentes, el pago de la entrada se puede realizar en efectivo, prima la cultura de handles over real names, no se debe revelar el empleador, sus sitios web solo tienen logs estrictamente técnicos y necesarios, y hay toda una política de fotos.
Hablando por ejemplo de esta última, no puedes tomar fotos a la multitud o a las personas sin antes tener su consentimiento, y esto es una regla que se hace respetar por todos, incluyendo los Goons y demás staff del evento.
El rol de los Goons
Los Goons son todas las personas que hacen que el evento sea posible: son voluntarios de camiseta roja con un tag o handle, que cumplen el papel de Staff, SOC, NOC, Photo & Video Team y todas las otras actividades necesarias para sostener el evento. Su única paga son la entrada gratuita a DEF CON y camisetas, pues es una labor que hacen por la comunidad. Ellos surgieron orgánicamente en las primeras ediciones de la conferencia como una respuesta a la aparición de troublemakers y son realmente toda una red de personas de confianza que ayudan a organizar DEF CON y aportan a la comunidad. La forma de entrar a hacer parte de ellos es por lo general mediante la recomendación de otro Goon, luego de haber sido evaluado por el mismo.
Otras tradiciones que definen la conferencia
Así como los Goons, hay muchas tradiciones o partes de DEF CON que se han inmortalizado con el pasar de los años:
Wall of Sheep, donde se proyectan las credenciales de las personas que usan las redes no seguras de la conferencia o usan las redes seguras con una configuración incorrecta.
Spot the Fed, donde se busca identificar a los federales que asisten a la conferencia y, si es correcto el señalamiento, tanto el observador como el federal ganan respectivamente una camiseta de "I spotted the fed!" o "I am the fed!".
Toxic BBQ, una tradición desde 2004 (DC12) conocida como la fiesta de apertura no oficial del DEF CON, en donde se regalan hamburguesas y comida y representa la calma antes de la tormenta
Los DCGs (DEF CON Groups), también conocidos como la forma de llevar DEF CON fuera de DEF CON, que son las reuniones de la comunidad de forma local alrededor de todo el mundo.
Hacker Summer Camp
Hoy en día, DEF CON es una conferencia de hacking disruptiva y diversa, y es parte del legendario Hacker Summer Camp: una semana completa en Las Vegas donde ocurren algunas de las conferencias más importantes de ciberseguridad. El Hacker Summer Camp se compone de 3 conferencias: Black Hat (2-7 de agosto), el gigante corporativo caracterizado por sus trainings y contenido altamente técnico o comercial, BSides Las Vegas (4-6 de agosto), que abre las charlas del camp y es una conferencia más comunitaria y accesible, y DEF CON (7-10 de agosto), como el épico final y la cultura hacker en su máxima expresión.
Badges: Más que un ticket de entrada
La forma de poder asistir a la conferencia para el público general es comprando el badge de Human. Un badge es el ticket de entrada a todo dentro de DEF CON. Inicialmente estaban hechos en papel/plástico laminado desde DC1 a DC13, luego, en 2006 (DC14), se presentó el primer badge electrónico y, a partir de 2011 (D19 en adelante), se inició el ciclo Tick/Tock, que se refiere a esa rotación de un año preparar un badge electrónico y el siguiente un badge analógico.
Los badges se caracterizan por ser, por lo general, hackeables, o tener su propio reto relacionado dentro de la conferencia. Quien consigue resolver el reto primero, puede algunas veces recibir el conocido Black Badge. Este es el mayor premio y reconocimiento otorgado en la conferencia, y se le da a los ganadores de algunas de las competencias principales, permitiéndoles un acceso gratuito a DEF CON de por vida. Similar a este, el Gold Badge también permite un acceso gratuito a DEF CON de por vida, pero se le da a los Goons con más de 10 años en servicio, para que puedan disfrutar la conferencia el resto de sus días.
Competencias legendarias
Entrando ya en el terreno de los retos, hay muchísimas competencias en DEF CON. DC33, en 2025, tuvo incontables competencias no oficiales, 75 competencias oficiales y 12 competencias que se premiaron con Black Badge. Algunas de las más importantes son las siguientes.
Hacker Jeopardy
El Hacker Jeopardy, tradición desde DC3 (1995), es la competencia más antigua de DEF CON. Se trata de una parodia irreverente del programa de televisión Jeopardy!, pero con un enfoque en la cultura hacker. Aquí, tres equipos de tres personas compiten para responder preguntas que van desde criptografía precuántica y RFCs hasta los memes más oscuros de internet; y esto a la par que el alcohol se vuelve el combustible obligatorio de la competencia: se lleva un Beer Score oficial junto a los puntos del juego.
El mantra del show es "Don’t f*ck it up", y lo repiten constantemente, en especial cuando ocurren dificultades técnicas (sucede frecuentemente), pasando así el caos a ser literalmente parte de la experiencia: micrófonos que mueren, pantallas que se apagan y el anfitrión que se queda sin voz durante el show.
Aun así, a mitad de este caos, el ambiente cambia para una subasta de caridad en beneficio de la EFF (Electronic Frontier Foundation), donde se venden desde monedas conmemorativas raras hasta tacos sobrantes por cientos de dólares. Al final, los ganadores (que en 2025 ganaron apostando $0 estratégicamente) se llevan la gloria y, tradicionalmente, el codiciado Black Badge.
DEF CON CTF
DEF CON CTF es uno de los CTFs más reconocidos del mundo, donde compiten presencialmente en Las Vegas los 20 mejores equipos clasificados. Este CTF alcanzó en el último año la calificación o peso de 100/100 en CTFtime.org, una plataforma donde se anuncian y miden la gran mayoría de CTFs.
DEF CON CTF también es uno de los CTFs más antiguos que todavía se realizan: comenzó en 1996 (DC4) organizado por los mismos Goons y este año cumplió su trigésima edición (DC33) organizado por Nautilus Institute por cuarta y última vez consecutiva. Los ganadores del último año, quienes tienen el récord de nueve victorias como el equipo más condecorado en la historia de DEF CON, son los MMM (Maple Mallard Magistrates), la unión de tres grandes equipos: PPP (Plaid Parliament of Pwning) de la universidad Carnegie Mellon, The Duck de la compañía Theori.io y Maple Bacon de la UBC (The University of British Columbia).
El CTF tiene el formato de Attack & Defense, donde los equipos compiten simultáneamente por atacar los sistemas de los oponentes para obtener sus banderas y defender sus propios sistemas al remediar sus vulnerabilidades. Clasificar para esta competencia requiere terminar en el top de equipos del CTF de clasificación de DEF CON (estilo Jeopardy), o ganar uno de los CTFs mundiales designados, como por ejemplo el HITCON CTF de Taiwan o el PlaidCTF de EE. UU.
Scavenger Hunt
El Scavenger Hunt, la tercer competencia más longeva, nace como tradición en DC5 (1997) cuando su fundadora, Pinguino, quería fabricar identificaciones falsas con un amigo, pero nadie quiso prestarles una cámara digital, así que en su desesperación e intento de no aburrirse inventó un “juego rápido”. Para esto hizo una lista de cosas raras que requerían hacer trashing (buscar en la basura) o ingeniería social, y a cada ítem le asignó un número de puntos, permitió jugar en equipos de hasta 5 personas, y quien llegara a 100 primero ganaba. El ganador esa primera vez fue un hacker llamado ToiletDuck, que contó él mismo como el ítem "A live duck".
Lo anterior resalta la dinámica de la competencia y es que la lista es hackeable y abierta a interpretación, pues parte del juego es convencer al juez de que tu ítem es el correcto. Para dar a entender un poco el nivel de locura de la lista, algunos de los ítems en DC33 fueron: #28 packet collision, #60 anti-social engineering y #86 give a flight safety brief at the Aerospace Village.
DARPA's AI Cyber Challenge
Otra de las grandes competencias de DEF CON, y una de las más recientes, es DARPA’s AI Cyber Challenge, también conocida como AIxCC, que hace parte de la villa que lleva su mismo nombre. Esta es una competencia que comenzó en DC32 y duró dos años.
A diferencia de otras competencias, en esta los hackers no encuentran o remedian vulnerabilidades, sino que su objetivo es construir sistemas autónomos que de forma independiente encuentren y remedien vulnerabilidades. Estos sistemas consiguieron remediar vulnerabilidades en un promedio de 45 minutos cada una y con un costo estimado por fix de $152 dólares, llegando incluso a encontrar zero-days en los sistemas que estaban revisando.
Sus números son impresionantes:
Detectaron 54/70 vulnerabilidades sintéticas (77%)
Remediaron 43/70 vulnerabilidades sintéticas (61%)
Encontraron 18 zero-days
Remediaron 11 zero-days
Analizaron más de 54 millones de líneas de código
Además de todo, los modelos ganadores pasaron a ser open-source para su integración con la comunidad. Los ganadores en específico fueron: Team Atlanta en primer lugar, llevándose $4 millones de dólares; Trail of Bits en segundo, llevándose $3 millones de dólares, y Theori en tercero, llevándose $1,5 millones de dólares.
Villas y comunidades en DEF CON
Como dijo The Dark Tangent en DC33:
“I want 50% of the time you guys to have a fantastic social experience and 50% of the time doing something crazy hands-on or learning or breaking something. That is the spirit of the hacker con”.
["Quiero que el 50% del tiempo tengan una experiencia social fantástica y el otro 50% del tiempo hagan algo loco y práctico, aprendan o rompan algo. Ese es el espíritu de la hacker con".]
Las actividades para hacer en DEF CON varían y se entremezclan entre el aprendizaje y la diversión. Existen muchos espacios para aprender y entretenerse: villas, comunidades, fiestas, workshops, trainings y las mismísimas charlas.
Villas: Donde cada nicho tiene su espacio
Las villas (villages) son espacios de aprendizaje que se organizan por área de conocimiento o de hacking y, si bien también tienen charlas, tienen un enfoque más práctico dentro de la conferencia. El número de villas alcanzó las 35 en la edición de DC33, y actualmente son las siguientes:
Villa (Village) | Temática |
|---|---|
Adversary Village | Simulación de adversarios, purple teaming y el CTF Adversary Wars |
Aerospace Village | Seguridad en aviación y el espacio y Drone Flying Experience |
AI Village | IA y seguridad, deepfakes y red teaming de modelos |
AIxCC (Challenge) | Final del DARPA’s AI Cyber Challenge |
AppSec Village | Seguridad de aplicaciones: hacking web, móvil y de API |
Biohacking Village | Seguridad en salud e infraestructura hospitalaria |
Blacks In Cyber Village | Experiencia de la comunidad afrodescendiente en hacking |
Blue Team Village (BTV) | Defensa, respuesta a incidentes, inteligencia y caza de amenazas |
Bug Bounty Village | Bug bounty, seguridad de aplicaciones e investigación |
Car Hacking Village | Seguridad automotriz y vehículos eléctricos |
Cloud Village | Hacking en la nube (AWS, Azure, GCP, Alibaba), demos y CTFs |
Crypto Privacy Village | Criptografía, privacidad, vigilancia y Gold Bug Challenge |
Data Duplication Village | Copia gratuita de terabytes de datos, almacenamiento y copia de datos |
Embedded Systems Village | Hacking de hardware, firmware y sistemas embebidos |
GameHacking.GG | Seguridad en videojuegos, modding, trucos y anti-cheat |
Ham Radio Village | Radioafición, control de satélites y comunicaciones inalámbricas |
Hardware Hacking (HHV/SSV) | Habilidades de soldadura y modificación de electrónica |
ICS Village | Sistemas de control industrial e infraestructura crítica |
IOT Village | Internet de las cosas, Meshtastic y dispositivos inteligentes |
Lock Pick Village | Técnicas de lock-picking para candados y cerraduras |
Malware Village | Análisis de malware, ingeniería inversa y evasión de sandbox. |
Maritime Hacking Village | Hacking de sistemas marítimos: barcos, GPS y drones marítimos |
Packet Hacking Village | Análisis de paquetes, Wall of Sheep y Capture The Packet |
Payment Village | Hacking de cajeros automáticos, tarjetas de crédito y más sistemas de pago |
Physical Security Village | Sistemas de acceso, puertas, alarmas y sistemas de vigilancia |
Policy @ DEF CON | Políticas, regulaciones y relación entre hackers y gobierno |
Quantum Village | Computación, seguridad y criptografía postcuántica |
Radio Frequency Village | Seguridad de RF y análisis de señales |
Recon Village | OSINT, reconocimiento y espionaje digital |
Red Team Village | Seguridad ofensiva, Active Directory y Red Team CTF |
Social Engineering Village | Ingeniería social, vishing y phishing |
Tamper-Evident Village | Manipulación de evidencias sin dejar rastro |
Telecom Village | Telecomunicaciones, redes 5G y análisis de protocolos |
Voting Village | Seguridad electoral y hackeo de máquinas de votación |
Comunidades: Un lugar para cada quien
A diferencia de las villas, que se centran en una disciplina específica (como hackear autos o satélites), las comunidades (communities) se conectan con las personas y se centran en su identidad (veteranos, mujeres, LGBTIQ+, hispanohablantes), situación de vida (sobriedad, discapacidades) o intereses (retro tech, hard hats). Las comunidades surgieron en DC32, inicialmente con ocho, y este año en DC33 alcanzaron a ser 31, más concretamente las siguientes:
Comunidad (Community) | Temática |
|---|---|
.edu Community | Tecnología educativa, universidades/K12 y aprendizaje remoto |
Badgelife | Museo, intercambio, venta y creación de badges electrónicos |
BBWIC Foundation | Apoyo, mentoría y liderazgo para mujeres en ciberseguridad |
Code Breaker | Criptoanálisis y puzzles |
Cryptocurrency Community | Blockchain, DeFi y Web3 |
DC Maker's Community | Intersección de diseño, electrónica, arte y makers, 3D y DIY |
DC NextGen | Track juvenil oficial (8-18 años) |
DDoS Community | Defensa contra ataques DDoS, historias y mitigación |
DEF CON Academy | Mentorías, introducción a hacking y CTFs (por pwn.college) |
DEF CON Groups (DCG) | Punto de encuentro para grupos locales de hackers de todo el mundo |
DEF CON Groups VR | DCGs a través de una experiencia de realidad virtual |
Friends of Bill W | Apoyo para la sobriedad y recuperación de adicciones |
Hackers With Disabilities | Espacio de apoyo para discapacidades y animales de servicio |
Hackers.town | Redes distribuidas, Mastodon, LoRa y radios Meshtastic |
Hard Hat Brigade | La combinación de sombreros, arte y funcionalidades |
Illumicon | Todo sobre luces: láseres, LEDs y shows de luces |
La Villa | Comunidad latina, hispanohablante y de habla portuguesa |
Lonely Hackers Club | Grupo de apoyo para quienes asisten solos o por primera vez |
Loong Community | Comunidad asiática de InfoSec |
Memorial Chamber | Espacio para honrar y recordar a los hackers fallecidos |
Mobile Hacking Community | Seguridad y hardening en aplicaciones móviles |
Nix Vegas Community | NixOS y el gestor de paquetes Nix |
NMDP (Be The Match) | Donantes de médula ósea y salvar vidas |
Noob Community | Espacio para principiantes absolutos; aprendizaje y guía |
Operating Systems Community | Desarrollo, optimización y hacking de sistemas operativos |
OWASP | Comunidad global y open source de seguridad de apps web |
Queercon Community Lounge | Espacio seguro e inclusión de la comunidad LGBTQIA+ |
Retro Tech Community | Computadoras y juegos retro |
The Diana Initiative | Promover la diversidad y mujeres en InfoSec |
The Diana Initiative Quiet Room | Sala silenciosa para relajarse, recargar energía o evitar sobrecarga sensorial |
VETCON | Punto de encuentro y networking para veteranos militares |
Women in Security & Privacy | Desarrollo profesional y entrenamiento para mujeres |
Workshops, trainings y… ¡fiesta!
Más allá de las villas y las comunidades, algunos espacios centrados puramente en el aprendizaje son los workshops y los trainings. Los workshops son talleres gratuitos de 4 horas (incluidos en el badge), que requieren registro previo y tienen aforo limitado. Estos se dan los 3 días de la conferencia (de viernes a domingo), en horarios de 9 a. m a 2 p. m. Por otro lado, los trainings tienen costos de entre $1.500 y $4.200 dólares, que duran entre 2 y 4 días, durante o posterior al evento.
Además de ser un espacio de aprendizaje y comunidad, DEF CON nació como una fiesta, y por supuesto lo sigue siendo. Cuando cae la noche, el ambiente cambia y las fiestas toman el control de la conferencia. La música predominante es el techno, pero hay DJs de varios géneros y estilos. De hecho, en DC33 hubo 12 fiestas oficiales, más de 40 no oficiales, y un total de 241 eventos, fiestas y meetups organizados por DEF CON.
Guía práctica para disfrutar DEF CON
Pensando en todas las personas que pueden estar leyendo esto y están interesadas o están próximas a viajar a DEF CON, lo primero es la logística del viaje:
Hay dos tipos de entradas disponibles: las entradas que se compran como prerreserva online costaron $540, $560 y/o $580 dólares en 2025, dependiendo del momento de la compra (más alto su precio entre más cercano a la fecha del evento). Las entradas compradas en la fila de pago en efectivo costaron $500 dólares. Esto puede ser de utilidad asumiendo que los precios de DC34 pueden llegar a ser similares.
Una vez estando en Las Vegas, es importante tener en cuenta el transporte. El evento ocurre en el LVCC (Las Vegas Convention Center), el cual es atravesado por el Vegas Loop, una red de túneles subterráneos que pueden ser recorridos de forma gratuita en Teslas que atraviesan las diferentes partes del centro de convenciones. Además de este, existe el Las Vegas Monorail, un transporte que atraviesa la ciudad, y este año proporcionó descuentos exclusivos para DEF CON. El pase a comprar recomendado del monorraíl es el de 4 días, que puede serte de utilidad para transportarte por la ciudad todos los días de la conferencia, con un horario de cierre los lunes a las 12 de la noche, de martes a jueves a las 2 de la mañana y de viernes a domingo hasta las 3 de la mañana.
Respecto a la estancia, cada año DEF CON negocia con varios hoteles y define los DC Room Blocks, es decir, aquellos hoteles que tienen descuentos exclusivos esa semana o esos días de evento. En 2025 los hoteles que hicieron parte fueron el Sahara, directamente conectado al Monorail, el Venetian, a 7 minutos en auto, y el Fontainebleau, uno de los hoteles más cercanos al LVCC (10-15 minutos caminando). Un par de hoteles inmediatamente cercanos al LVCC, aunque no formaron parte de los room blocks de DC33, son el Las Vegas Marriott y el SpringHill Suites by Marriott Las Vegas Convention Center.
Ya estando en el evento, lo mejor que se puede hacer el primer día es llegar temprano (un par de horas antes) a la Linecon, esta es la fila para comprar o reclamar el badge, inmediatamente después hacer la fila para el merch, aprovechando el tiempo antes de la conferencia y anticipándote a que se agote la mercancía, y finalmente explorar el lugar junto al mapa, para conocer previamente la distribución de todo y la ubicación de lo que quieres visitar.
Como tips centrados en la conferencia, la mejor forma de navegar el caos, además de saber a qué te enfrentas, es la siguiente:
Lo primero es interiorizar la realidad: ¡Es imposible verlo todo! Como habrás notado, en DEF CON hay muchísimas historias y actividades ocurriendo en el mismo instante de tiempo, por lo que es común sentir el FOMO (Fear Of Missing Out) y abrumarse en la vastedad del evento. Para enfrentar esto, lo mejor es escoger unas pocas villas, charlas y actividades imprescindibles para ti, y enfocarte solo en eso, también reservando espacio en la agenda para el caos, es decir, todos esos eventos impredecibles o actividades que pueden surgir de repente.
Lo segundo es usar el Hacker Tracker, una aplicación de celular y sitio web con toda la información de esta y varias otras conferencias de hacking y ciberseguridad, para precisamente planear con anterioridad esas actividades prioritarias para hacer.
Lo tercero es mínimamente seguir la regla 3-2-1: tres horas de sueño, dos comidas, un baño. Requisitos mínimos para sobrevivir a la intensidad de DEF CON. Puede ser también muy oportuno desayunar antes de ir al evento, llevar snacks, ropa cómoda y fresca (Las Vegas es un desierto) y tomar agua constantemente para mantenerte hidratado.
Con todo esto, ya tienes las herramientas para planear tu viaje y atreverte a vivir la experiencia.
La próxima edición, DEF CON 34, se llevará a cabo en el LVCC del 6 al 9 de agosto de 2026.
Aunque es algo irónico decirlo después de tanta información: DEF CON no se explica, se vive. Este artículo intenta prepararte para lo que viene, pero la verdad es que nada te prepara realmente para la intensidad de esos cuatro días. Solo queda ir, perderse en el caos, y descubrir por qué miles de hackers regresan año tras año.
Allá nos vemos…
Empieza ya con el PTaaS de Fluid Attacks
Suscríbete a nuestro boletín
Mantente al día sobre nuestros próximos eventos y los últimos blog posts, advisories y otros recursos interesantes.
Otros posts
