O melhor da JCUN sexta edição

O que é JCUN?

JCUN significa Jornada de Ciberseguridad de la Universidad Nacional de Colombia. É a conferência universitária de segurança da informação más importante do país, e uma das poucas na América Latina com essas características: é totalmente gratuita, organizada por estudantes e aberta a qualquer pessoa, independentemente de pertencer ou não à universidade.

Desde 2018, a JCUN acontece no campus de Bogotá da Universidad Nacional de Colombia sob um lema que se manteve intacto em seis edições: "Construindo uma comunidade digitalmente segura".

Origens

Por trás da JCUN existem três grupos interconectados da Faculdade de Engenharia da universidade:

• UQBAR é um semillero (grupo estudantil de iniciação à pesquisa) de segurança a informação. Fundado em 2017, se autodefinem como "berço de hackers" e são o motor principal do evento.

• TLÖN é um grupo de pesquisa em redes de telecomunicações dinâmicas e linguagens de programação distribuídas. São les que fornecem o respaldo acadêmico.

• UnsecureLab complementa com pesquisa aplicada em segurança de TI.

Dois dos três grupos compartilham algo mais do que a faculdade: seus nomes vêm do mesmo conto. "Tlön, Uqbar, Orbis Tertius" de Jorge Luis Borges (1940) narra a descoberta de uma região fictícia chamada Uqbar em uma enciclopédia misteriosa. É uma história sobre como as ideias podem transformar a realidade. E para um grupo de hackers que busca mudar a cultura de segurança da Colômbia, o nome não poderia ser mais apropriado.

UQBAR: Siga o coelho branco

Se a JCUN é o evento, UQBAR é o coração que o faz bater.

O semillero nasceu em 2017 como um grupo de trabalho estudantil do Departamento de Engenharia de Sistemas e Industrial. Sua missão é clara: contribuir para a pesquisa, formação e fomento da cultura de segurança da informação na Colômbia. E sua visão para 2030 é se consolidar como o semillero de InfoSec mais relevante do país.

Seu mascote é um coelho branco, e a hashtag que os identifica é #SigueElConejoBlanco. A referência é dupla: Alice no País das Maravilhas e Matrix. Seguir o coelho significa adentrar o desconhecido e descobrir coisas novas. É a filosofia do grupo.

Como disse Juan Wilches, ex-coordenador do grupo: "Uqbar foi o lugar onde descobri minha paixão e conheci amigos com quem pude compartilhá-la".

É essa paixão que levou ao ponto em que se encontra hoje: UQBAR tem mais de 750 membros no Meetup com uma avaliação de 4,8 estrelas, são embaixadores oficiais do Hack The Box e todo ano organizam uma conferência gratuita que atrai centenas de participantes.

6ª edição: JCUN 2025

A sexta edição da JCUN aconteceu de 6 a 8 de novembro de 2025. Foram três dias de evento: os workshops na quinta e sexta-feira, e as palestras no sábado.

O formato se manteve fiel à tradição: uma única trilha de palestras (sem FOMO, todos conseguem ver tudo), entrada totalmente gratuita e transmissão ao vivo para quem não pôde comparecer pessoalmente.

Dessa forma, alcançaram os números mais altos da história da conferência: 265 participantes nas palestras, 151 nos workshops, 37 jogadores no CTF e 652 visualizações ao vivo durante o evento.

Side quests

No JCUN, além das palestras, havia muitas atividades ao redor do palco principal para complementar a experiência.

Workshops

Os workshops foram gratuitos, mas com vagas limitadas e inscrição prévia. Este ano foram realizados cinco, todos gravados e transmitidos ao vivo, com temáticas de red team e blue team. E o melhor é que todo o conteúdo ficou disponível no canal do YouTube do UQBAR para quem não conseguiu vaga.

Um dos workshops mais populares, e meu favorito, foi o de Gerardo Eliasib, CEO da Spartan Cybersecurity: "Taller Ofensivo y Defensivo en Entornos Cloud (AWS y Azure)" ["Workshop Ofensivo e Defensivo em Ambientes Cloud (AWS e Azure)"]. Foram 3 horas de conteúdo intenso que incluíram desde ataques modernos de Device Code Phishing para comprometer o Office 365 até a exploração de SSRF e, como grande final, o roubo de um modelo de IA no AWS Bedrock. Além disso, Gerardo compartilhou suas famosas "Bíblias de Hacking" em Cloud para continuar aprendendo e desenvolveu um guia exclusivo para o workshop com todo o passo a passo, os comandos e conceitos-chave.

CTF

Durante dois dias de competição, 37 jogadores enfrentaram os 42 desafios preparados pelo UQBAR, distribuídos em 14 categorias.

O CTF da JCUN é presencial e tem uma particularidade: algumas flags estão escondidas dentro das palestras, ou você precisa procurá-las pelo recinto. Se não prestar atenção suficiente, você perde as flags espalhadas por todo o evento.

No último dia, ao final da jornada, foram premiadas as 3 primeiras equipes receberam prêmios, incluindo cursos de Spartan Cyber Security e licenças VIP do Hack The Box.

Wardriving

Wardriving, a prática de detectar e mapear redes WiFi enquanto você se desloca pela cidade, voltou à JCUN depois de sua estréia em 2024. Para quem nunca tihna feito isso, primeiro houve um workshop preparatório liderado por Luisa Ossa, a coordenadora da atividade. Depois veio a competição: um ônibus percorrendo Bogotá com participantes equipados com antenas, celulares, laptops e dispositivos de mapeamento. Embora alguns tenham detectado apenas cerca de 10 mil redes, o vencedor detectou mais de 40.000 redes únicas e levou o prêmio de US$100 em dinheiro.

Posters acadêmicos

Alinhado com sua natureza universitária e rigor acadêmico, a JCUN tem um Call for Posters com processo formal de revisão por um comitê composto por professores doutores e mestres da universidade, além de pesquisadores parceiros. É exigido um artigo de 4 páginas no formato Springer (LNAI/LNCS) que inclua o design visual A0. Esses pôsteres criam um espaço formal para discutir métodos, resultados técnicos e descobertas com a comunidade. É a ponte entre a prática e a pesquisa acadêmica, uma oportunidade para que estudantes e professores apresentarem trabalhos em andamento ou resultados de pesquisa.

As palestras

Após os workshops e atividades de quinta e sexta-feira, a jordana de sábado contou com 10 speakers em uma única trilha. 80% foram palestrantes colombianos, com participação internacional da Argentina e da França.

Mas antes das palestras individuais, o dia começou com algo diferente.

Painel: IA em cibersegurança

O dia abriu com um painel que reuniu academia, indústria e governo. Moderado pelo Professor Jorge Eduardo Ortiz Triviño (diretor do TLÖN e UQBAR), os painelistas incluíram Michael Rivera da Fluid Attacks, Diego Ademir da Platzi, Francisco Gómez da Universidad Nacional, Camilo Lozada do Conselho de Estado da Colômbia e Kenn Bro, um pesquisador de segurança e o único que participou do painel usando uma máscara.

Os temas foram diretos: desenvolvedores se tornando dependentes da IA, a perda acelerada de privacidade ao usar LLMs, a vantagem que os atacantes têm com deepfakes e clonagem de voz. E a pergunta inevitável: "Isso tudo é uma bolha?" A maioria concordou que sim, e alguns até manifestaram a esperança de que estoure em breve para depurar o mercado.

Minha palestra favorita: A face oculta do reconhecimento facial — Kenn Bro

Minha palestra favorita do dia foi apresentada pelo mesmo pesquisador enigmático que havia participado do painel de IA. Kenn Bro, trocando a máscara por um traje completo de coelho branco, falou sobre vigilância em massa e como os governos podem conectar nossos dados estáticos (fotos de documentos) com nossos dados dinâmicos (opiniões, emoções, religião).

Mostrou exemplos da China e da Argentina, e mencionou que a Colômbia já está implementando biometria facial em estádios e em meios de transporte como o TransMilenio.

Além da mensagem profunda que quis transmitir, o mais memorável e polêmico foi a demo. Kenn Bro tentou reconhecer rostos ao vivo usando DeepFace e Python, e o código funcionava corretamente, embora não na totalidade dos casos. No entanto, de repente, um participante chamado Freddy Zavala interrompeu a apresentação, criticando a implementação de Kenn. Depois subiu ao palco, assumiu o controle do computador e modificou o código para usar nove modelos simultâneos em vez de um. Contra todas as probabilidades, funcionou e reconheceu seu próprio rosto com sucesso.

No final, foi revelado que tudo estava orquestrado, mas com isso capturaram magistralmente a atenção do público e transmitiram a mensagem da palestra perfeitamente. O ponto foi: "O impossível só demora um pouco mais".

Nos vemos em 2026

Na quinta-feira cheguei seguindo o som de tambores de uma mostra cultural. No sábado, um coelho branco subiu ao palco e me falou sobre as ameaças do reconhecimento facial. A JCUN definitivamente esteve cheia de surpresas, e fico feliz por ter vivido essa experiência.

Nos vemos na 7ª edição do JCUN em 2026!