Eduardo Berlanga

Las empresas dependen ampliamente del correo electrónico automatizado para interactuar con sus clientes, desde mensajes de bienvenida hasta confirmaciones de compra y notificaciones de seguridad. Para… See more

Las empresas dependen ampliamente del correo electrónico automatizado para interactuar con sus clientes, desde mensajes de bienvenida hasta confirmaciones de compra y notificaciones de seguridad. Para personalizar estas interacciones, muchas organizaciones incorporan datos proporcionados por los usuarios, como nombres, direcciones y fechas. Sin embargo, esta personalización puede ser aprovechada por atacantes para modificar el contenido de los mensajes y transformarlos en herramientas de phishing y distribución de enlaces maliciosos. Un aspecto clave de esta investigación es el uso de "email tagging" para redirigir y distribuir correos alterados de manera automatizada, facilitando ataques más sofisticados y dirigidos. También exploraremos distintos métodos de explotación y distribución, como el registro forzado de usuarios y la verificación de cuentas de correo, ampliando significativamente la superficie de ataque. En esta charla, presentamos "Trawling", una metodología novedosa que explota los sistemas de automatización de correos electrónicos, permitiendo a los atacantes manipular el contenido de los mensajes enviados desde cuentas oficiales de la empresa sin necesidad de comprometer la infraestructura. La charla ofrece un análisis exhaustivo de esta metodología, desde su descubrimiento hasta las estrategías de mitigación, incluyendo enfoques concretos para proteger los sistemas de correo electrónico frente a esta nueva clase de ataques. Sobre Eduardo Berlanga: Experienced security researcher and penetration tester specializing in bug bounty and severity escalation of security findings, with four years of professional expertise. Recognized with three published CVEs (Microsoft CVE-2025-21207, CVE-2024-3068, CVE-2023-44393) and ranked Top 2 on HackerOne Mexico 2025Q1. Holds eWPTXv2 and PNPT certifications, demonstrating advanced skills in web application security and penetration testing. Currently focused on developing cutting-edge cybersecurity research and uncovering undocumented attack techniques. Driven by a passion for maximizing the exploitation and impact of security findings, while providing effective solutions to strengthen organizations' defenses. Show less