— una charla pública —

Tu Red vs. la IA

Segurizando nuestras redes en tiempos de IA. Internet Day 2026 + Encuentro Nacional de Técnicos del IXP de Argentina.

«La pasión nos trajo hasta aquí.»

Ayuda.LA

SLIDE PRE-CHARLA. Va proyectado MIENTRAS la sala se llena, antes de que arranques formal. Mensaje a transmitir cuando empieces a hablar: "Antes de empezar: si querés seguir las slides desde tu celular o tablet, escaneá el QR. Se sincronizan en vivo. No hace falta login, no se guarda nada con tu nombre." Pausa de 5-8 segundos para que escaneen los que quieran. Después avanzá al cold open (pantalla negra absoluta). Si en Q&A alguien pregunta cómo funciona: "el server FastAPI emite Server-Sent Events a cada navegador conectado. Cuando avanzás un slide, todos los celulares también avanzan. Cero apps, cero instalación." TONAL: este slide es deliberadamente sobrio. Tono carbón, naranja sutil. La cita "La pasión nos trajo hasta aquí" es el slogan de Ayuda.LA — es presencia de marca discreta, no autobombo. NO leerla en voz alta. Se queda proyectado mientras la sala llega. Cuando estés listo para empezar, decís la frase de "antes de empezar..." y avanzás.

BEAT 1 — SILENCIO (0:00–0:05): pantalla negra, 3 segundos, sin moverte. Las cabezas se levantan. BEAT 2 — VOZ SIN CARA (0:05–0:35): empezás a hablar SIN que aparezca nada todavía. Tono calmo, sin agresividad. El contraste es el efecto. Texto a decir, en orden, con pausas entre líneas: — "Esta charla empezó hace seis minutos." — "Antes de subir acá corrí un script." — "No era nada del otro mundo: bash, jq, dos APIs públicas, un LLM corriendo en mi notebook." — "El target era un AS de prueba." — "En seis minutos, sin permisos especiales, sin pagar nada, sin tocar nada de lo que no es público..." — "...el script encontró cuarenta y siete cosas." — "Nueve de ellas son lo que en seguridad llamamos high-priority." — "Eso significa que cualquiera de esas nueve, sola, alcanza para arruinarle el lunes a un ISP." Avanzá al siguiente slide al terminar la frase.

recon-as.sh · ariel@notebook · en vivo

[--:--:--] $ ▋

BEAT 3 — LA PANTALLA APARECE (0:35–1:16). AL ENTRAR ACÁ: la terminal se reinicia y empieza a tipear sola. Las primeras líneas aparecen en ~1 segundo. El "DONE" final cae a los 41 segundos. NO HABLÁS mientras se ejecuta. Que la sala lea. Lo que el público debe leer y registrar: — el script tarda 41 segundos (timestamps reales del momento). — todas las herramientas son open source / APIs públicas. — el LLM corre on-prem (no se filtra nada al exterior). — 47 ítems accionables, 9 high-priority. TIPS: — Si un asistente mira su reloj y la hora coincide, gana realismo. — Si retrocedés (prev) y volvés, se reinicia limpio. — Si avanzás antes de que termine, la animación se cancela. IMPORTANTE — pre-producción (1 hora antes de subir): 1. Correr ./recon-as.sh contra un ASN propio o un AS de doc. 2. Verificar que los conteos del array RECON_LINES (en el JS) reflejan lo que diría el script real (412 certs, 89 subdoms, 47 ítems, 9 high). 3. Si los números cambiaron, editar el bloque inline al final de este slide. 4. Mantener AS##### enmascarado. Avanzá al disrupt cuando aparezca la línea final con "47 ítems accionables, 9 high-priority".

— la asimetría —

Esto lo corrió un humano en 6 minutos.
Una IA lo corre en 30 segundos,
contra mil ASNs, mientras dormís.

Internet Day 2026 · Encuentro Nacional de Técnicos del IXP de Argentina

Tu Red vs.
La IA

Segurizando nuestras redes en tiempos de IA — herramientas y mejores prácticas para ISPs, telefonía IP, IoT, hosting y datacenters.

Audiencia Operadores · ISPs · Pymes

Duración 40-50 min + Q&A

Speaker Ariel S. Weher · Ayuda.LA

De qué no vamos a hablar

No

De si ChatGPT te va a reemplazar.
De AGI, de filosofía, ni de Skynet.
De ninguna caja mágica con IA adentro.
De marketing de vendors.

Sí

De atacantes que ya usan IA contra tu red.
De tráfico que cambió y no volvió.
De herramientas gratis que instalás esta semana.
De decisiones técnicas que se toman este lunes.

Marcamos cancha temprano. La comunidad técnica detecta marketing a un kilómetro.

Marcamos cancha temprano. La comunidad técnica detecta marketing a un kilómetro. Esta es la charla más anti-humo que pude armar. TONAL: leer las dos columnas en voz baja, sin énfasis dramático. La idea es que la sala registre "este tipo no vino a vender, vino a enseñar". Si en Q&A alguien pregunta "¿por qué no hablás de [X marca/producto]?": respuesta — "porque no es lo que la mayoría de los operadores chicos pueden pagar, y porque sin la base que vamos a ver, ninguna caja mágica te salva." Conexión con el resto: — Pega con el slide 26 ("Lo que NO hay que comprar"). Cierra el círculo: empezamos diciendo "no vamos a hablar de cajas mágicas", terminamos diciendo "estas son las cajas mágicas que NO comprés". — Pega con el slide 11 ("La buena noticia"): "el 80% del toolkit es gratis". Plantamos esa expectativa acá. Avanzá sin pausar mucho — este slide es declarativo, no reflexivo.

— el número que duele —

El atacante de enfrente ya usa IA.
Vos, ¿qué estás esperando?

El panorama hoy (números reales, fuentes abiertas)

Lo que aumenta

Credential stuffing automatizado a escala con IA.
Phishing en español neutro indistinguible del legítimo. Se acabaron los "errores de traducción".
Reconocimiento de superficie de ataque en minutos, no días.

Lo que cambió

Tráfico bot ronda el ~50% del total (Imperva BTR 2024) y ~30% es declarado malicioso.
DDoS adaptativos que aprenden de tu MTTR (Cloudflare Radar Q1 2025).
Vulns convertidas en PoC funcional en horas, no semanas (CISA KEV + ENISA TL 2024).

Lo que vemos en Argentina · operación Ayuda.LA · agregado anónimo

Credential stuffing: 5–10× los logins legítimos durante campañas activas en servicios masivos.
Tráfico de perímetro: entre 40% y 60% es bot o scanner, ~10 puntos más que hace 1–2 años.

Fuentes: Cloudflare Radar · Imperva BTR 2024 · ENISA TL 2024 · LACNIC CSIRT · Shadowserver.

Estructura del slide: arriba lo de afuera (Cloudflare, Imperva, ENISA), en el medio destacado en naranja el dato propio de Ayuda.LA, abajo las fuentes citables. El golpe narrativo: la sala leyó 5 bullets de fuentes globales y de pronto aparece "lo que vemos en Argentina". Pivote de "te cuento lo que dicen los reportes" a "te cuento lo que veo". Sobre los datos propios: — Credential stuffing 5-10×: dato agregado de campañas activas observadas en clientes Ayuda.LA. Si te preguntan por ejemplos puntuales, no nombrar clientes. — Tráfico bot 40-60% +10pp: confirma desde Argentina lo que dice Imperva globalmente, pero subiendo la apuesta. El delta "+10pp en 1-2 años" es lo que duele: foto vs tendencia. Tonal: leer los datos propios SIN énfasis especial. El énfasis lo pone el slide. Si vos lo dramatizás, queda marketing. Si alguien pregunta por 350 intentos de ataque/día por organización: ese número también lo vemos, queda como respaldo en Q&A. IMPORTANTE: NO mencionar el dato del "3% de cuentas comprometidas se explotan". Quedó descartado por falta de validación local. Sobre IPv4/IPv6: reforzar que las amenazas afectan ambos protocolos por igual y la mitigación tiene que cubrir ambas familias.

Por qué esta charla nos toca

Tenés un ASN, prefijos v4/v6 y clientes: sos objetivo y vector al mismo tiempo.

Si tu red genera abuso, te desconectan los upstreams. La comunidad te incluye en el Hall of shame.

IPv6 importa igual que IPv4. El atacante automatizado escanea ambas familias.

La IA no espera al próximo presupuesto.

Premisa Foco gratis / open source. El público mayoritario son ISPs y pymes sin USD 100K para una plataforma de seguridad. Todo se instala en un fin de semana, con cero licencias.

módulo 01 · 8-10 min

Cómo cambió el atacante

No es que tengan más recursos. Tienen otras herramientas. Y eso lo cambia todo.

01 / 04

La IA del lado oscuro

4 capacidades que antes no estaban al alcance de un atacante chico.

1 · Reconocimiento masivo automatizado

Scrapean tu web, BGP, DNS, LinkedIn, certificados, en una sola pasada. Lo que antes era una semana de pentest manual, hoy son 6 minutos y USD 5 de créditos.

2 · Phishing/vishing hipersegmentado

Spear phishing personalizado a escala industrial. Texto en castellano rioplatense, datos reales del directorio, firmado por el "CFO".

3 · Análisis de código y exploits

Leen CVEs y arman PoCs en minutos. Te arman el script de explotación con menos contexto del que vos tenés sobre tu propia red.

4 · Evasión adaptativa

Cambian patrones cuando detectan tu mitigación. Si bloqueás UDP, rotan a HTTP/2. Si bloqueás eso, a Slowloris. Tu MTTR es su input.

Cada punto se ilustra en los siguientes slides con un caso real concreto. TONAL: leer las 4 capacidades una a una, dándole 4-5 segundos a cada una. NO acelerar. La sala necesita absorber que esto ya pasa. El énfasis va en la cuarta (Evasión adaptativa) — es la que más asusta y la menos conocida. Los DDoS los conocen todos; los pentests también. Pero "tu MTTR es su input" es una frase que suele descolocar al público. Mensaje central a transmitir: "Estas cuatro cosas no son ciencia ficción. Las cuatro las pueden hacer hoy con un script de bash, dos APIs públicas y veinte dólares al mes. Las pruebas las van a ver en los próximos tres slides." Conexión narrativa: — Slide 7 → caso 1 (phishing), instancia la capacidad #2. — Slide 8 → caso 2 (recon), instancia la capacidad #1. — Slide 9 → caso 3 (DDoS adaptativo coordinado), instancia las capacidades #3 y #4. — Slide 10 → la asimetría, sintetiza todo. Si en Q&A alguien dice "esto no es nuevo, los atacantes siempre evolucionaron": respuesta — "Cierto. Lo nuevo es la VELOCIDAD. Antes una rotación de vector tardaba días o semanas. Ahora dura minutos. La velocidad cambia el juego, no el juego en sí." Avanzá cuando hayas leído las cuatro y mencionado que vienen los casos.

Caso real 1 · Phishing potenciado por LLM

Comparativa lado a lado · email real, anonimizado, recibido por una empresa argentina mediana en 2025.

Phishing 2020 · "Nigerian SCAM"

From: prince.adewale@nigeria-bank.cm Subject: URGENTE — Herencia de US$ 18.500.000 Estimadoo amigo, Soy el Principe Adewale de Nigeria. Mi padre fallecido dejo USD 18.500.000 en una cuenta bancaria bloqueada. Necesito su ayuda para transferir el dinero. Le ofrezco el 30% por su colaboración. Solo precisa enviar sus datos personales y el USD 500 para honorarios legales. Dios le bendiga.

Phishing 2025 · IA generativa

From: notificaciones@trabajo-gob.ar Subject: 📩 Notificación judicial — ACCIÓN LABORAL · Urgente ⏰ Estimado/a: Le notificamos por la presente que se ha iniciado una causa judicial en su contra: 📋 Clase judicial: ACCIÓN LABORAL — PROCEDIMIENTO ORDINARIO 📨 Modalidad de distribución: Intimación electrónica ⚠️ El no cumplimiento del presente requerimiento podrá derivar en medidas procesales desfavorables y eventuales sanciones previstas en la legislación vigente. Se recomienda atender los plazos indicados con la mayor urgencia posible. Para consultar el detalle completo del expediente, ingrese a la plataforma judicial: [ Ver expediente completo ] ←── link al sitio del atacante Departamento de Notificaciones Judiciales Ministerio de Trabajo

Resultado · lo que faltó El target casi pierde el equivalente a varios cientos de miles de dólares. No lo detuvieron. Lo único que faltó: una política de doble verificación operativa antes de cualquier acción derivada de un email — llamar al organismo por el teléfono publicado en su sitio oficial, no por el del email. Las pistas técnicas (typosquat trabajo-gob.ar, emojis en una notificación judicial, ausencia de número de expediente verificable) eran detectables, pero el administrativo promedio no tiene por qué reconocerlas. La defensa es procedimiento, no instinto.

Caso real. Empresa argentina mediana, 100+ empleados, sector que no podemos nombrar. 2025. El target era un administrativo contable. El email decía venir del Ministerio de Trabajo, notificando una ACCIÓN LABORAL. El target NO lo detuvo. Casi se ejecuta una acción derivada del email que hubiera costado el equivalente a varios cientos de miles de dólares. Lo presentamos como aprendizaje, no como reproche al administrativo. El énfasis va en "no había política de doble verificación operativa". Las cinco pistas técnicas que la sala debe ver al leer la columna derecha: 1. Dominio: typosquat (trabajo-gob.ar en lugar de argentina.gob.ar). El dominio real del Ministerio en 2025 es argentina.gob.ar/trabajo, no un dominio propio. 2. Emojis en asunto y cuerpo (📩 ⏰ 📋 📨 ⚠️). El Ministerio NO manda emojis. La IA generativa los pone por default cuando le pedís "redactá un mail formal urgente". 3. Redacción demasiado correcta — sin las marcas de redacción burocrática argentina real (referencias a artículos, citas de Ley, números de resolución). 4. Urgencia genérica + amenaza vaga (medidas procesales desfavorables y eventuales sanciones) sin especificar qué ley, qué artículo, qué plazo concreto. 5. CTA único en botón — link a sitio del atacante, sin alternativa de verificación. El Ministerio real te da número de expediente para verificar por otra vía. Si en Q&A piden el dominio exacto del atacante, qué empresa, cuánto dinero exacto: respuesta única — "Por confidencialidad con el cliente no puedo dar detalles operativos. Lo importante es el patrón." NO improvisar nada. Conexión con el resto de la charla: — Slide 23 (Best Practices): "Automatizar la respuesta, no la decisión crítica." Acá la decisión crítica era una transferencia. La política operativa es el equivalente del runbook. — Slide 26 (Lo que NO comprar): el WAF de IA no te salva acá. Es proceso operativo, no producto. Tonal: leer la columna derecha al ritmo del público (5-6 segundos por dar tiempo de notar los emojis). No señalar las pistas técnicas vos — que la sala las descubra. Después del callout, mencionar suavemente: "el típico tell hoy son los emojis. La IA los pone, el burócrata real no." Si el contraste con el Nigerian SCAM no se entiende: ese es exactamente el punto. El de 2020 lo detectaba un niño. Este lo escribiría un funcionario, si fuera un funcionario.

Caso real 2 · Recon automatizado a un ISP

Lo que un script con LLM levanta de tu ASN en 6 minutos · todo con herramientas y APIs públicas. ASN, IPv4 e IPv6 de ejemplo (rangos reservados RFC 5398 / RFC 5737 / RFC 3849).

recon-as.sh · target=AS65007 · grabado, no en vivo

[00:00:00] $ ./recon-as.sh AS65007 [00:00:14] [bgp.tools] AS65007 → 198.18.0.0/15 + 2001:db8::/32, 3 upstreams, 11 peers [00:00:31] [ripestat] visibility OK · last announcement 2h ago [00:01:02] [crt.sh] 47 certs históricos · 12 subdominios expuestos [00:01:48] [dns] mx, spf, dmarc, autodiscover, _acme-challenge (A + AAAA) [00:02:30] [wappalyzer] WordPress 5.8 · LayerSlider · CVE-2024-XXXX [00:03:10] [linkedin] 3 sysadmins, 1 CFO, 1 NOC lead [00:03:44] [gh] repo público con .env y access_token (revocar) [00:04:55] [shodan] 2 routers Mikrotik con WinBox abierto en IPv4 e IPv6 [00:05:30] [llm] generando email pretexto a NOC lead [00:05:58] DONE. reporte → ./targets/AS65007/ └── 47 ítems accionables, 9 high-priority

Antes: una semana de pentest manual. Hoy: un script y USD 5 de créditos. Esto se ejecuta contra cualquier ISP de la región hoy mismo, sobre IPv4 y sobre IPv6.

Caso real 3 · DDoS coordinado multi-servicio

ISP regional — Hosting · 4 upstreams · IPTV · VoIP. Trigger: extorsión RDDoS.

T+0 UDP amp DNS/NTP/Memcached · 22 Gbps · uplink #1

→

T+9m Saturación total Replicado a los 4 upstreams · 80 Gbps agregado

→

T+22m SIP REGISTER flood 45k REG/s · troncales caídas

→

T+38m IPTV multicast 2.8 Mpps IGMP · prime time

→

T+1h15m HTTP/2 RST 220k req/s · portal autogestión + facturación

Lo que funcionó

RTBH automático con fastnetmon: volumétrico mitigado en 90s.
FlowSpec con Tier-2 absorbió la rotación.
Scrubbing pago en standby: justificó el costo anual en una noche.

Lo que falló

Sin runbook multi-servicio. Decisiones por WhatsApp.
SBC sin rate limit ni geofencing pre-configurados.
WAF de la CDN sin activar: 25 min de portal caído.

Los upstreams resuelven volumétrico. La capa 7 la resolvés vos. La telefonía e IPTV, también vos.

Caso operativo. Anonimizado por confidencialidad con el cliente. Si en Q&A piden detalles puntuales (qué upstream, qué CDN, qué SBC, cuándo exactamente, qué proveedor de scrubbing), la respuesta única y siempre la misma: "Por confidencialidad con el cliente no puedo dar detalles operativos. Lo que sí puedo decir es [el aprendizaje técnico]." NO contradecirse, NO improvisar números nuevos. Cifras a recordar de memoria (NO menciones racks, abonados ni troncales en escena — son datos identificables): — ISP regional con servicios mixtos: hosting + IPTV + VoIP, 4 upstreams. — Pico volumétrico fase 1: 22 Gbps sobre uplink #1. — Pico agregado en T+9m: 80 Gbps sobre los 4 upstreams. — Pico SIP: 45k REGISTER/s. — Pico IPTV: 2.8 Mpps IGMP flood en prime time. — Pico HTTP/2: 220k req/s RST flood. — Duración total: 3h 40m + 12h de réplicas leves los siguientes 2 días. — Telefonía caída: 28 minutos. — IPTV caída en prime time. — Portal caído: ~25 minutos. Cuatro aprendizajes, en orden: 1. RTBH/FlowSpec automatizados resolvieron volumétrico — esa parte sí se resuelve sola. 2. La capa 7 NO se mitiga desde el upstream BGP. Tiene que estar en CDN con WAF, y el WAF tiene que estar ACTIVADO antes del incidente. 3. SIP e IPTV son superficies que solo el operador puede defender. Rate limits, geofencing y aislamiento de VLAN son configuraciones, no productos. 4. Sin runbook multi-servicio escrito, las decisiones se toman por WhatsApp. El runbook escrito le hubiera ahorrado al cliente final ~30 min de downtime adicional. Sobre el trigger (RDDoS por extorsión): NO es marketing — es realidad de la región. Si en Q&A preguntan si el cliente pagó: NO entrar en eso, "no puedo dar detalles operativos del incidente". La recomendación general es no pagar (no hay garantía de que paren), pero la decisión es del cliente y no la discutimos en escena. Tonal: leer la cronología sin dramatismo. Las métricas hablan solas. El énfasis va en "el atacante conocía el negocio" — esa es la idea que la sala se debe llevar. No es un script suelto, es alguien que estudió el target. Conexión narrativa: este caso es la concreción de las "4 capacidades nuevas" del slide 6 (recon masivo + análisis del target + evasión adaptativa + escalado coordinado). Si lo querés mencionar para reforzar, decir: "esto es exactamente lo que les anticipé al inicio del bloque".

— la asimetría —

Atacante

Una API + un script
USD 20 / mes
Cero supervisión
Itera 24/7
Cambia de blanco al instante

Defensor

RFP + comité
Presupuesto trimestral
Licencias + auditoría
Cambios con CAB
Backup window de jueves

Si jugás con sus reglas, perdés.

La buena noticia

~80%

del toolkit defensivo serio hoy es gratis y open source.

Estimación propia con base en el inventario de herramientas de las capas 1 a 5 que se presentan en esta charla. Validable en cada caso particular.

Lo que ya tenés disponible

La comunidad técnica regional comparte feeds, alertas y experiencia operativa.
Una RTX usada de hace 3 generaciones te ejecuta un LLM local con calidad suficiente.
El stack defensivo completo se levanta en VMs o contenedores, IPv4 e IPv6.
Documentación en español, actualizada, escrita por personas que operan redes.

Lo que falta no es presupuesto. Es decisión.

Antes de las herramientas, una pregunta a la sala

El día del evento medimos el estado real de la sala con una encuesta anónima. Cuatro preguntas, treinta segundos.

¿Tenés tus ROAs firmados?
¿Tenés NetFlow / sFlow exportando?
¿Tenés un runbook escrito de incidentes?
¿Leés blogs técnicos en español?

📊

Encuesta cerrada

Vea los resultados en la próxima slide.

módulo 02 · 18-20 min

El toolkit defensivo

El que se paga con tiempo, no con plata. Cinco capas, cero licencias en lo central.

02 / 04

Las 5 capas del toolkit

El orden no es decorativo. Sin la capa de abajo, la de arriba no importa.

free Higiene de borde

RPKI · MANRS · BCP38 · uRPF · IRR. Lo no negociable. Todo gratis. Todo obligatorio en 2026.

free Visibilidad

Sin datos no hay IA, no hay detección, no hay nada. NetFlow, sFlow, IPFIX, captura full-packet.

free Detección

IDS/IPS, anomaly detection, SIEM. El SOC del pobre — que funciona mejor que muchos pagos.

free Mitigación

RTBH, FlowSpec, scrubbing por upstream, bloqueo en borde. Automatizada o llegás tarde.

free Inteligencia + respuesta

Threat intel, SOAR liviano, LLM local. Donde la IA defensiva entra con cuidado.

Convención de íconos: free gratis · paid paga (cuando vale) · humo marketing con poco fondo.

Aclarar que el orden es deliberado. Sin higiene de borde, lo demás no importa. TONAL: leer las 5 capas en voz alta, una a una, ~3 segundos cada una. Es el "índice del módulo" — la sala se orienta acá. Mensaje central: "El orden no es decorativo. Si firmás ROAs y configurás BCP38 (capa 1), reducís más superficie de ataque que con cualquier SIEM caro de la capa 3. Hacelo de abajo hacia arriba." Errores típicos a prevenir: — "Compré un SIEM y todavía me hackean" → te falta la capa 1 + 2. — "Tengo IDS pero el atacante pasa" → no estás mirando los logs, te falta la capa 5. — "Tengo todo y no sé qué pasa" → te falta runbook (slide DEFCON). Conexión narrativa: — Slide siguiente (DEFCON 12-bis) → cómo orquestar las 5 capas según el momento. — Slides 13-22 → detalle de cada capa. — Slide 22b (QR repo) → todo dockerizado. Si en Q&A piden por dónde empezar: "Capa 1 esta semana. Capa 2 el mes próximo. Capas 3-5 el trimestre. Sin saltarse capas." Avanzá cuando hayas leído las 5 capas y hecho énfasis en "el orden no es decorativo".

Niveles DEFCON aplicados a la red

Mismo modelo que ya usamos en otras charlas: del 5 (calma) al 1 (red bajo ataque). Cada nivel define qué se monitorea, qué se automatiza y qué se escala.

DEFCON 5 Operación normal Higiene de borde sin alertas. Telemetría fluyendo. Reportes semanales.
DEFCON 4 Vigilancia incrementada Anomalías leves IPv4/IPv6. Reglas Suricata adicionales, MISP enriquece.
DEFCON 3 Alerta operativa Phishing dirigido, CVE crítico, abuso de clientes. NOC en guardia activa.
DEFCON 2 Ataque inminente Recon confirmado, DDoS bajo. FlowSpec/RTBH preactivado, aviso a upstreams y CSIRT.
DEFCON 1 Red bajo ataque Incidente activo. Mitigación automática, comunicación a clientes, postmortem. Humano en el loop para lo crítico.

El nivel se declara en el NOC y dispara playbooks ya escritos. Aplica por igual a IPv4 y a IPv6.

Reusar el modelo DEFCON ya validado en otras charlas. Puente entre el toolkit (capas) y los playbooks operativos. TONAL: NO leer la tabla entera. Eso aburre. Leer DEFCON 5 y DEFCON 1 (los extremos) y mencionar los del medio sin detallar. El público tiene la tabla en pantalla — que la lea solo si quiere. Mensaje central a transmitir, en una frase: "DEFCON no es para repartir culpas. Es para alinear acciones. El nivel lo declara un humano; las acciones que dispara cada nivel pueden ser automáticas." Por qué DEFCON y no semáforo (mencionar si hay tiempo): — Los semáforos tienen 3 niveles. La operación real necesita 5 (hay diferencia entre "vigilancia" y "ataque inminente", y entre "ataque inminente" y "red bajo ataque"). — DEFCON está culturalmente instalado. Nadie pregunta qué significa "DEFCON 1". Errores comunes que vale la pena prevenir explícitamente: 1. "Vivimos en DEFCON 3" — significa que tus thresholds están mal, no que tu red está en peligro permanente. 2. Subir DEFCON sin bajarlo después del incidente — el equipo se acostumbra al estado de alerta y deja de prestar atención. 3. Adoptar DEFCON sin tener el playbook escrito — DEFCON sin playbook es teatro. Conexión narrativa: — Slide anterior (las 5 capas) → "lo que tenés". — Este slide (DEFCON) → "cómo lo orquestás según el momento". — Slides siguientes (capas 1-5 detalladas) → "lo que hace cada herramienta". Si en Q&A piden detalle del playbook completo: "está documentado en el repo, /docs/PLAYBOOK-DEFCON.md, con comandos concretos por nivel". Avanzá cuando hayas leído los dos extremos (DEFCON 5 y DEFCON 1) y dado la frase "no es para repartir culpas, es para alinear acciones".

Capa 1 · Higiene de borde free

Lo no negociable. Todo gratis. Todo obligatorio en 2026.

RPKI · ROAs firmados (v4 + v6)

En LACNIC para todos tus recursos. Validá también los de tus peers.

RoutinatorNLnet Labs

FORTNIC.MX · regional

rpki-clientOpenBSD

oktorpkiCloudflare · CI/CD

MANRS · BCP38 · IRR

MANRS: adherir + publicarlo. manrs.org/isps
BCP38 / uRPF: antispoofing en cada borde, sin excepciones.
IRR + RPSL: prefix-lists con bgpq4.

Pregunta a mano alzada: "¿quiénes ya firmaron sus ROAs?". Comentar resultado en vivo. Sirve para calibrar la audiencia y dramatizar el slide siguiente. IMPORTANTE: si ya estamos usando la encuesta del slide 11-bis, esta pregunta a mano alzada es redundante. CHEQUEAR antes de decirla. Si hay encuesta corriendo, decir directamente: "ya saben qué opina la sala — los resultados los vemos en el slide 22-bis. Ahora vamos al siguiente nivel: el slide DISRUPT." Si NO hay encuesta corriendo (modo offline o ensayo): usar la pregunta a mano alzada como en el outline original. TONAL: este slide es la base de todo el toolkit. Leer con énfasis las 4 piezas: 1. RPKI — firmar ROAs en LACNIC, validar los de los peers. 2. MANRS — adherir, cumplir, publicarlo en el sitio. 3. BCP38 / uRPF — antispoofing en cada borde, sin excepciones. 4. IRR + RPSL — objetos actualizados, prefix-lists generadas con bgpq4. Mensaje central: "Esto no es opcional en 2026. Tu reputación BGP depende de esto. Los Tier-1 ya descartan rutas inválidas. Si no firmaste tus ROAs, estás perdiendo alcance global cada vez que alguien te secuestra un prefijo." Conexión narrativa: — Slide 14 (DISRUPT "si no firmaste tus ROAs") es el remate. — Slide 22a (stack) tiene la fila 1 dedicada a esta capa. — Repo charla-tured_vs_ia/stack/routinator/README.md tiene el howto completo. Si en Q&A alguien dice "es lento configurar RPKI": respuesta — "30 minutos. Si tu equipo tiene una semana de capacitación junior, son 30 minutos. Si nunca lo hicieron, son 2 horas con la documentación de LACNIC." Avanzá al disrupt cuando hayas presentado las 4 piezas.

— freno técnico —

Si todavía no firmaste tus ROAs,
lo demás no te va a salvar.

Esto se hace antes de que termine este café.

Capa 2 · Visibilidad free

Sin datos no hay IA, no hay detección, no hay nada. La capa que la mayoría de los ISPs chicos tiene mal o incompleta — observación recurrente en intervenciones de Ayuda.LA en la región.

pmacctColector NetFlow / sFlow / IPFIX. Multi-protocolo. Pega con todo.

AkvoradoFrontend de pmacct. Dashboards listos. Lo que querés mostrar a la dirección.

NfSen / NFDUMPClásico, sigue funcionando. Para análisis CLI rápido.

ArkimeCaptura full-packet a escala con búsqueda full-text. Ex Moloch.

Suricata + EVE JSONTelemetría enriquecida lista para SIEM. Doble función con la capa 3.

ElastiFlowCommunity gratis · Enterprise paga. Dashboards Elastic para flows.

Receta para ISP chico pmacct + Akvorado + Grafana = visibilidad seria con cero licencias, IPv4 e IPv6. Se levanta en una VM con 8 GB de RAM. Un fin de semana de trabajo.

paid Alternativas pagas: Kentik, ThousandEyes. Útiles para ISPs medianos/grandes con multi-sede y SLA con clientes corporativos.

Capa 3 · Detección free

El SOC del pobre — que funciona mejor que muchos pagos.

CrowdSecColaborativo. Threat intel comunitaria. Reemplaza/complementa Fail2Ban. Resultados en 24h.

SuricataIDS/IPS. Reglas ET Open gratis · ET Pro paga (vale para empresariales).

Zeek (ex Bro)Análisis de protocolo profundo. Ideal para SIP, IoT, tráfico anómalo.

WazuhSIEM open source con agentes para servers y CPEs Linux.

Security OnionDistro completa: Suricata + Zeek + Elastic. La caja todo-en-uno.

OpenCTIPlataforma de threat intel. Federable con MISP.

⚠ Cuidado con Los productos rotulados como "AI-powered firewalls" que en realidad ejecutan modelos LSTM clásicos con un LLM como interfaz conversacional. Si el proveedor no documenta el modelo, el dataset de entrenamiento y los umbrales de decisión, no es seguridad verificable: es confianza ciega.

paid Alternativas: CrowdStrike, SentinelOne, Darktrace. Caras. Justifican costo solo para empresas con activos críticos no replicables.

Recomendación pragmática para ISP chico: arrancar con CrowdSec en bordes y servers. Resultados visibles en 24h. TONAL: este es uno de los slides más densos en herramientas (CrowdSec, Suricata, Zeek, Wazuh, Security Onion, OpenCTI). NO leer todo. Mencionar las 3-4 más importantes y referir al repo para el resto. Las 4 que SÍ vale la pena nombrar en voz: 1. CrowdSec — "el Fail2Ban moderno, con threat intel comunitaria. Lo levantás en 5 minutos." 2. Suricata — "el IDS/IPS open source de referencia. Reglas ET Open gratis." 3. Wazuh — "SIEM completo, lo equivalente a Splunk gratis. Pesado en RAM, pero gratis." 4. Zeek — "para análisis profundo de protocolo. Imprescindible si tenés telefonía IP." Mensaje central: "Estas 4 herramientas combinadas te dan capacidad de detección equivalente a un SOC pago de USD 50-100K/año. La diferencia es que tenés que operarlas vos. El costo es tiempo, no plata." ⚠️ "AI-powered firewalls" — leer el ⚠️ del slide explícitamente. Es uno de los puntos donde la sala más asiente. Conexión narrativa: — Capa 2 (visibilidad) le da datos a esta capa. — Capa 4 (mitigación) usa los outputs de esta capa. — Slide 26 ("Lo que NO hay que comprar") amplía el ⚠️ de los AI firewalls. Avanzá cuando hayas presentado las 3-4 herramientas clave y mencionado el ⚠️.

Capa 4 · Mitigación free

Si no es automática, llegás tarde. Si depende solo del upstream, dependés.

BGP-based

RTBH — primera línea, debe estar configurado.
FlowSpec — granularidad fina, pedíselo a tu upstream.
Scrubbing por upstream — preguntá si tu carrier lo ofrece.

Borde y servers

fastnetmonRTBH automático

CrowdSec+ nftables, score colaborativo

DDoS DeflateServers standalone

Receta ISP chico fastnetmon + RTBH automático + FlowSpec con upstream. Detección a blackhole en segundos. paid Scrubbing dedicado (Cloudflare Magic Transit / NETSCOUT / Radware) solo si uptime crítico.

Para ISP chico: fastnetmon + RTBH automático + acuerdo con upstream. Cero licencias, mitigación seria. TONAL: slide práctico, leerlo rápido. La sala ya entendió el problema en el slide 9 (caso DDoS). Acá presentamos la solución. El mensaje central, en una sola frase: "fastnetmon Community + ExaBGP + RTBH automatizado con tu upstream te da mitigación volumétrica en 90 segundos. La parte del upstream es crítica: hay que pedirla EXPLÍCITAMENTE en el contrato de tránsito." Lo que más vale la pena mencionar: 1. fastnetmon Community: gratis, en producción en miles de operadores. 2. RTBH community: pedíselo a tu upstream POR ESCRITO. Si no lo tiene, cambiá de upstream. 3. FlowSpec: solo Tier-2 (Telxius, Cogent, Lumen) lo soportan. Los IXP normalmente no. 4. CDN/scrubbing pago: solo si tu negocio depende de uptime sostenido. No es para todos. Conexión narrativa: — Slide 9 (caso DDoS) → ahí mostramos que la mitigación falló sin runbook. — Slide 12-bis (DEFCON) → en DEFCON 2-1 esta capa se activa primero. — Slide 22a (stack) → fastnetmon en la fila 4 del diagrama. Si en Q&A piden alternativas: "scrubbing pago vale solo si tu uptime cuesta más de USD 50K/año perdido. Sino, automatizás vos con fastnetmon y lo resolvés." Avanzá presentando fastnetmon como la pieza central.

Capa 5 · Threat intel + automatización free

Donde la IA defensiva entra — con permiso, scoping claro, y humano para las decisiones críticas.

MISPThreat intel federable. Conectable con LACNIC CSIRT y comunidades regionales.

TheHive + CortexGestión de incidentes y enriquecimiento automatizado.

n8n (self-hosted)Orquestación tipo Zapier sin licencias. SOAR del pobre.

Node-REDFlujos visuales para automatización. Pega bien con SNMP/syslog.

AbuseIPDBFree tier generoso. Chequeo de IPs en pipeline.

Feeds gratisSpamhaus · Shadowserver · Team Cymru · LACNIC CSIRT.

Workflow de ejemplo (n8n) Si CrowdSec detecta IP con score > 5 → MISP la enriquece → n8n la mete en el RTBH → avisa por Telegram al NOC → abre ticket P3 si reincide.

IA defensiva · dónde sí, dónde no

El problema no es si la IA sirve. Es en qué punto del flujo se incorpora.

✓ Sumá IA acá

Detección de anomalías en flows (no firmas, comportamiento).
Triage y resumen automático de tickets de abuso.
Análisis de configs antes del commit (rancid + LLM local).
Categorización de logs masivos (LLM local sobre syslog/SIEM).
Generación de runbooks a partir de incidentes pasados.

✗ Acá todavía no le des el volante

Bloqueo de tráfico productivo sin humano.
Comunicación directa al cliente sin revisión.
Datos sensibles enviados a APIs públicas.
Reemplazo del ingeniero senior de redes.
Ejecutar comandos en borde de producción sin aprobación.

La IA asiste. El humano decide en lo crítico.

Marcar bien la frontera. La IA asiste; el humano decide en lo crítico. Esta misma ecuación es la que debate la industria entera ahora mismo. TONAL: este slide es CONCEPTUAL, no de herramientas. Cambiar el ritmo, hablar más despacio. La sala viene de un bloque técnico denso (capas 1-5); este slide es el "respiro pensante". Mensaje central, repetir literal en algún punto: "La IA asiste. El humano decide en lo crítico." Cómo leer las dos columnas: — La verde (sí): leer cada bullet con tono afirmativo, naturalmente. — La roja (no): leer cada bullet con énfasis especial. Pausar después de "datos sensibles enviados a APIs públicas" — ese es el más importante. El bullet "Reemplazo del ingeniero senior de redes" es deliberadamente provocador. Si alguien se ríe, sumarte a la risa con: "lo escribí pensando en mí mismo. La IA me ahorra tiempo. No me reemplaza." Conexión narrativa: — Slide 25 (cierre del bloque): "La IA no viene a reemplazar al ingeniero de redes. Viene a reemplazar al ingeniero que no se actualiza." Plantamos esa frase acá. — Slide 23 (best practices): "Automatizar la respuesta, no la decisión crítica." Esta frontera se construye aquí. Si en Q&A alguien pregunta por el matiz "¿pero entonces para qué sirve la IA en seguridad?": respuesta — "Para todo lo de la columna verde. Que no es poco. Triage automático te ahorra 4 horas de NOC por día. Pero la decisión de bloquear tráfico productivo, NO." Avanzá después de leer las dos columnas y dejar respirar el "humano decide en lo crítico".

LLMs locales · la jugada que pocos hacen

On-prem, sin mandar nada afuera, con hardware accesible. Ley 25.326 te lo agradece.

OllamaCorre llama3, qwen2.5, mistral en tu propia infra. Una línea de comando.

vLLM · llama.cppMás eficientes para producción. Cuando pasás de juguete a serio.

Open WebUIInterfaz tipo ChatGPT autohospedada. Para que el equipo lo use.

LM StudioPara arrancar en Windows/Mac sin vueltas.

ollama · análisis de syslog

$ cat syslog | ollama run llama3.1 \ "Resumí los eventos críticos" [1] 03:14 — ge-0/0/12 link down [2] 03:14 — BGP peer timed out [3] 03:14 — OLT carrier lost · 1.2k PPPoE hipótesis: corte fibra

RTX 3060 12GB usada (≈ USD 250) corre llama3.1 8b sin drama. Grabado, no en vivo — los LLMs son no determinísticos.

Toolkit por tipo de operador

Todo gratis salvo donde se aclare. Esta tabla es la que la gente fotografía.

Si sos…	Empezá por
WISP / ISP retail FTTH	free RPKI · uRPF · CrowdSec · fastnetmon Community · Wazuh
ISP empresarial	free Lo anterior + Suricata + MISP + FlowSpec con upstream
Hosting / Datacenter	free Lo anterior + Arkime + Security Onion + scrubbing por upstream
Telefonía IP	free Suricata con reglas SIP + Fail2Ban + geofencing + Homer (monitoreo de fraude)
IoT / M2M	free Segmentación + Zeek + APN privada + Stamus Networks Community
Servicios críticos · e-commerce	paid Lo de hosting + Cloudflare/CDN con WAF (acá sí vale la pena)

Salvo la última fila, todo es gratis. Repetirlo en voz alta cuando se muestra.

Esta tabla es la que la gente fotografía. Asegurar legibilidad. Repetir en voz alta: salvo la última fila, todo es gratis. TONAL: PAUSA. Que la sala fotografíe. Esto NO se lee — se mira. La sala mira la fila de SU tipo de operador y se queda con esa. Mensaje central, decirlo MIENTRAS la sala fotografía: "Mirá tu fila. Esa es tu primera semana. Salvo la última fila (servicios críticos / e-commerce, donde un WAF de CDN paga rinde), TODO es gratis." Cómo presentar la tabla: 1. NO leerla entera — son 6 filas, sería tedioso. 2. Hacer pausa de 5-8 segundos para que cada uno fotografíe la suya. 3. Mencionar 2-3 filas específicas: la de WISP/ISP retail (mayoría de la sala), la de telefonía IP (siempre hay alguno), la de IoT (la más exótica). 4. Cerrar con la frase del mensaje central. Si en Q&A alguien dice "yo soy mixto, ¿cuál uso?": respuesta — "el que rinde para tu mayor superficie de exposición. Si tenés más clientes residenciales, WISP. Si tenés más empresas, ISP empresarial. Las herramientas se SUMAN, no se reemplazan." Conexión narrativa: — Slide 22a (stack) tiene todas las herramientas listadas. — Slide 22b (QR repo) tiene cada herramienta ya dockerizada con su README. — Slide 27 (checklist 4 semanas) ordena por tiempo, esta tabla ordena por tipo. Avanzá cuando notes que la sala terminó de fotografiar (~15-20 segundos).

Stack de referencia "fin de semana"

Arquitectura mínima viable que se instala en un fin de semana. Todo open source. Cero licencias. IPv4 e IPv6 desde el día uno.

Ningún bloque requiere licencia. Todo se ejecuta en VMs o contenedores. Tres días de trabajo bien hecho cubren IPv4 e IPv6.

— el regalo —

Llevátelo dockerizado

enrut.ar/turedvslaia

📦 docker compose · todo el stack 📜 scripts/recon-as.sh 📘 playbook DEFCON 📐 arquitectura 📚 RFCs y referencias

MIT · 100% open source · sin firma de proveedor

EL QR ES EL MOMENTO. Esta slide es el regalo de la charla. Decirlo explícitamente: "Todo este stack está dockerizado en un repo público bajo licencia MIT. Escanean el QR, clonan, levantan el docker-compose y tienen exactamente esto andando en su VM en una hora. No es un PDF. Es código que funciona." Pausa de 8-10 segundos. Que escaneen. Que fotografíen. Hay tiempo. Si alguien duda en escanear: "Es seguro. URL corta de mi propio dominio (enrut.ar es de Ayuda.LA), redirige a github.com/aweher. Pueden mirar el repo antes de clonar." Si alguien pregunta dónde firmar issues: "Abrí un issue en GitHub o mandame mail a ariel@ayuda.la". Tonal: este es el momento más concreto y empoderador de la charla. Sumate al entusiasmo, no lo apagues con humildad falsa. Esto es trabajo real que les ahorra meses. Avanzá cuando notes que la mayoría volvió la mirada al frente.

Y mientras tanto, ¿cómo estamos?

Resultados de la encuesta de la sala. — personas respondieron.

Slide de resultados en vivo. Los gráficos se actualizan solos vía SSE. Antes de avanzar, dejá que los datos se vean por ~10 segundos. La sala se está viendo a sí misma. Lo que vas a comentar (adapta según los números reales que aparezcan): — Si los ROAs están bajos (típico): "esto es lo que más me duele cada vez. RPKI cuesta 30 minutos firmarlo. Y es lo único que separa tu ASN de cualquier secuestro." — Si NetFlow está alto pero runbook bajo (típico): "tienen visibilidad pero no procedimiento. Cuando explote algo, la visibilidad sin runbook es solo evidencia del incidente, no respuesta al incidente." — Si runbook está muy bajo (esperable): "este es el dato que más se va a discutir en la región. Acordemos algo: nadie se queda sin runbook después de hoy. Aunque sea media página." — Si "blogs en español" sale alto: "buena noticia, hay público. Los autores LATAM siguen publicando porque alguien los lee." IMPORTANTE: NO juzgar a la sala con los datos. La idea no es señalar; es dar el espejo. Tonal: como un médico mostrando los resultados de los análisis. "Esto es lo que tenemos. Esto es lo que hay que mejorar." Si los números son MUY bajos (ej: 5% ROAs): mantener la calma. No es vergüenza colectiva; es oportunidad colectiva. La región mejora cuando se mide. Avanzá al siguiente bloque después de leer los 4 datos.

módulo 03 · 8 min

Best practices & errores

Lo que vale la pena hacer. Y lo que veo todas las semanas, mal hecho.

03 / 04

Best practices que te ahorran sangre

1 · Higiene primero, IA después

Sin RPKI, BCP38 y MANRS, no hay magia que te salve.

2 · Datos primero, modelos después

6 meses de flows limpios valen más que el modelo más caro.

3 · Soberanía del dato

Ley 25.326. Cuidado con APIs públicas. Solución: LLM local.

4 · Automatizar respuesta, no decisión

Bloqueo IP score alto: SÍ. Corte de cliente: NO sin humano.

5 · Versionar todo

Configs en git, runbooks en wiki, secretos en bóveda.

6 · Medir MTTR · MTTD

Lo que no se mide, no se mejora. Ni se justifica.

La IA es un multiplicador, no un sustituto.

Repetir el mantra: "La IA es un multiplicador, no un sustituto." Esta es la frase que articula toda la charla. TONAL: leer las 6 best practices una a una, ~5 segundos cada una. Énfasis especial en la #4 ("Automatizar la respuesta, no la decisión crítica") y la #1 ("Higiene primero, IA después") — son las que más se ignoran. Mensaje central: "Estas seis cosas las medís en horas, no en plata. Si seguís estas seis, ningún incidente te explota fuera de control." Cómo desglosarlas en voz (orden sugerido de énfasis): 1. Higiene primero, IA después → conecta con el slide 13 (RPKI). 2. Datos primero, modelos después → conecta con el slide 15 (visibilidad). 3. Privacidad y soberanía → conecta con el slide 27 (Ollama on-prem). 4. Automatizar la respuesta, no la decisión → la MÁS importante. Repetir. 5. Versionar todo → básico, pero en muchos NOC no se cumple. 6. Medir MTTR / MTTD → "lo que no se mide, no se mejora" — frase clásica que pega. Conexión narrativa: — Slide 9 (caso DDoS) instanció el principio #4 (humano en el loop para HTTP/2). — Slide 27 (LLMs locales) instanció el principio #3 (soberanía). — Slide 12-bis (DEFCON) y el playbook del repo instancian el principio #6 (medir). Si en Q&A preguntan cuál es la más importante: "La 4. Automatizar la respuesta, no la decisión crítica. Las otras 5 son consecuencia o complemento." Avanzá después de la #6 con tono de cierre — siguiente slide es DISRUPT.

— pecados capitales del NOC en 2026 —

"Compramos una caja con IA" …sin telemetría ni equipo que la opere. Es un pisapapeles caro.
"No firmamos los ROAs" En 2026 esto es negligencia, no decisión técnica.
"Confiamos en el upstream para todo" Pagás scrubbing que no usás. Y cuando lo necesitás, no sabés cómo activarlo.
"No tenemos runbook" Cuando explota, todos al WhatsApp del jefe a las 3 AM.
"El phishing no nos pasa a nosotros" Sí pasa. Esta semana. A vos.

— la frase para llevarse a casa —

La IA no viene a reemplazar al ingeniero de redes.
Viene a reemplazar al ingeniero que no se actualiza.

Lo que NO hay que comprar (todavía)

Cosas que en 2026 son humo. Sin nombrar marcas, sí categorías.

⚠ "AI Firewalls"

Sin modelo, dataset ni threshold visibles. Marketing sobre LSTMs viejos.

⚠ "SOC con IA"

USD 50K/año, sin integrarse a tu stack. Necesitás 4 personas para operarlo.

⚠ "0-days con IA"

No existe magia. Si pudieran, se lo venderían a Mandiant, no a vos.

⚠ LLMs opacos

Tus logs a la nube de un tercero. Adiós soberanía del dato.

⚠ "Tengo un técnico que me cobra poco"

Si nadie cubre cuando esa persona está de vacaciones, en capacitación o el día que explota algo a las 3 AM, no contrataste seguridad: contrataste suerte.

módulo 04 · 5 min

Cierre y acción

Cuatro semanas de checklist. Recursos comunitarios. Y la frase con la que te vas.

04 / 04

Checklist · próximas 4 semanas

Concreto, achievable, sin excusas presupuestarias. Costo total en licencias: USD 0.

Semana 1 ROAs firmados en LACNIC. BCP38 verificado en cada borde de cliente. Inventario de visibilidad: ¿qué exporta NetFlow hoy?
Semana 2 CrowdSec en bordes y servers críticos. Adhesión a MANRS. Rev review de filtros eBGP con bgpq4.
Semana 3 MISP con feeds de LACNIC CSIRT, Spamhaus y Shadowserver. fastnetmon Community en preproducción.
Semana 4 Runbook básico de incidentes (5 escenarios típicos). Ollama local con tus logs en sandbox. n8n con primer workflow.

Costo total 4 fines de semana del equipo · 0 USD en licencias · 0 firmas de proveedor.
Lo que falta no es presupuesto. Es prioridad.

Concreto, achievable, sin excusas presupuestarias. Sobre el cierre "0 firmas de proveedor": esto es deliberado. Para CFOs, compradores y áreas de compras, meter una nueva línea de licencias en el ERP es FRICCIÓN REAL. RFP, comité de compras, due diligence del proveedor, vendor onboarding, renovación anual, cambio de moneda, IVA, retenciones. Todo eso es CERO acá. Es un argumento que no aparece en el debate técnico pero pesa muchísimo en el debate operativo. Cierre del arco narrativo: "lo que falta no es presupuesto, es prioridad" cierra el círculo que abrimos en el slide 11 ("lo que falta no es presupuesto, es decisión"). Decisión → prioridad: la decisión es elegir; la prioridad es ponerlo arriba en la cola del equipo. Es la versión operativa de la misma idea. Tonal: leer las tres líneas con énfasis en la enumeración (4 fines de semana — cero — cero). Pausa antes de la última. Después leerla SLOW: "Lo que falta no es presupuesto. Es prioridad." Que cale. Conexión con el resto: — Refuerza el slide 11 ("lo que falta es decisión"). — Refuerza la card del slide 26 ("el técnico que cobra poco"): si lo subcontratás, no es por presupuesto, es por capacidad de equipo. — Prepara el cierre del slide 29 (DISRUPT final): "ya tenés todas las herramientas para lograrlo". Si en Q&A te preguntan "¿4 fines de semana son suficientes?": respuesta — "Para empezar y tener visibilidad, sí. Para operar el stack 24/7 con criterio, ahí entra el equipo de operación. Lo del checklist es la base, no el techo."

Recursos comunitarios free

Subrayar la fortaleza regional. Nadie hace esto solo.

LACNOG nog.lat Lista, foros, eventos. La comunidad técnica de operadores de la región.

LACNIC CSIRT csirt.lacnic.net Feeds y reportes regionales. Conectable con MISP.

Ayuda.LA · Blog ayuda.la/blog Artículos técnicos sobre redes, seguridad e IA aplicada para ISPs y operadores.

MANRS manrs.org/isps Normas, herramientas, certificación. Adherir y publicarlo.

NOG locales ARNOG · MX-NOG · PE-NOG… Cada país tiene su NOG. Sumarse al de la zona propia.

Sitios de referencia bgp.tools · stat.ripe.net crt.sh · AbuseIPDB · Shadowserver. Casi todo gratis. Soportan IPv4 e IPv6.

— el cierre —

No es una charla sobre IA.
Es una charla sobre seguir teniendo red mañana.
Y vos ya tenés todas las herramientas para lograrlo.

¡Gracias!

La pasión nos trajo hasta aquí. Quedate para el Q&A en pasillo — es donde se generan las relaciones reales con la comunidad técnica.

Speaker Ariel S. Weher

Email ariel@ayuda.la

Web ayuda.la

Blog ayuda.la/blog

X @arielweher

Llevate todo

enrut.ar/turedvslaia

Stack dockerizado · scripts · playbook DEFCON · slides en enrut.ar/turedvslaia. Licencia MIT.

Cierre. Quedarse para el Q&A en pasillo. Es donde se generan las relaciones reales con la comunidad técnica. El QR del repo es la oportunidad final de impacto. Decirlo explícitamente: "Si solo recuerdan una cosa de esta charla, que sea esto: enrut.ar/turedvslaia. Todo lo que vieron está ahí. Gratis, MIT, sin firma de proveedor." Si alguien viene a hablar después de la charla: — Escuchar más que vender. Las consultas reales surgen al rato. — Si les interesa el caso del slide 9 (DDoS) o slide 7 (phishing): respuesta única, "por confidencialidad con el cliente no puedo dar detalles operativos." — Si preguntan por contratar Ayuda.LA: pasarles el email, no improvisar tarifas en pasillo. Pasar a Q&A formal después de un beat.