Qué hemos presentado en Security Day 2017 (VII): El Ayuntamiento de Alcobendas apuesta por encuestas electrónicas basadas en Blockchain

miércoles, 28 de junio de 2017

Innovación hacia la excelencia
El Ayuntamiento de Alcobendas apuesta por la cultura de la calidad como forma de gestión. Trabaja con el Modelo Europeo de Excelencia como patrón de referencia, donde las herramientas de calidad (sistemas de indicadores, gestión por procesos, certificaciones ISO, cartas de compromiso, medición gracias al observatorio de la ciudad, laboratorio económico y brújula económica) están plenamente integradas en los trabajos cotidianos de la institución.

Vídeo de la presentación de la alianza Blockchain durante el Security Day 2017:



Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD

martes, 27 de junio de 2017

Durante el Security Day, ElevenPaths, la unidad de ciberseguridad de Telefónica, presentó la solución que ayuda al cumplimiento del nuevo reglamento de protección de datos que el 25 de mayo de 2018 entrará en vigor. En un artículo anterior describimos en detalle las novedades del reglamento, así como la norma completa.

Vídeo de la ponencia de David Prieto, Responsable Global de los Servicios de Seguridad Gestionada y Seguridad de Red de ElevenPaths, durante el Security Day:


ElevenPaths participa en los retos científicos de las JNIC 2017: Buscamos equipos de investigación

lunes, 26 de junio de 2017

Como anunciamos tiempo atrás, ElevenPaths participa junto al INCIBE y el Ministerio de Defensa en el Track de Transferencia de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC) 2017, organizadas por la Universidad Rey Juan Carlos. Desde el día 10 de junio, ya está abierta a la comunidad científica la inscripción a los retos de investigación para proponer vuestras soluciones y enfoques. Una oportunidad óptima para trabajar estrechamente con nosotros y resolver grandes necesidades del sector de la ciberseguridad.

ElevenPaths, ha colaborado desde el primer momento en esta iniciativa ocupando un rol activo como retadores, cuya labor ha consistido en la elaboración de un conjunto de propuestas de retos científicos de interés que puedan ser abordados por la comunidad investigadora nacional. Pero además, de cara a apoyar plenamente este proceso, formamos parte del comité de supervisión de este Track de Transferencia, velando para que los retos propuestos adquieran un balance adecuado entre el interés científico, objetivos a cumplir, impacto y adecuadas vías de explotación de los resultados.

 

Path6 ya tiene nombre. Hola mASAPP, nuestra nueva herramienta que ayuda a mejorar la seguridad móvil

viernes, 23 de junio de 2017

Quedan lejos los tiempos en los que las apps eran un terreno acotado específicamente a las promociones y juegos, pequeños divertimentos sin ninguna pretensión. Hoy en día las aplicaciones móviles conforman una pieza clave dentro del tejido empresarial, dotando a las organizaciones de un valor diferencial dentro de su estrategia de canal para la adquisición, retención y relación con sus clientes.

En ElevenPaths hemos sido conscientes de esta tendencia desde bien atrás, razón por la cual desarrollamos hace ya más de tres años Tacyt, nuestra plataforma de ciberinteligencia para ecosistemas móviles que pretendía ayudar a nuestros clientes en sus investigaciones sobre aplicaciones sospechosas dirigidas contra sus organizaciones.

Y precisamente apoyados en Tacyt, descubrimos que los problemas en el mundo móvil no venían derivados únicamente de apps de terceros maliciosas dirigidas a impactar sobre el negocio del cliente. Desde el equipo de investigación de ElevenPaths comenzamos a investigar nuestras aplicaciones oficiales, y propusimos a nuestros clientes analizar las suyas propias, en búsqueda de vulnerabilidades y otros errores de seguridad que pudieran representar un riesgo para sus usuarios o la propia organización. Y vaya si los descubrimos:

ElevenPaths Talks: A la pesca de las víctimas

jueves, 22 de junio de 2017



Hoy en día el principal vector de ataque de los ciberdelincuentes sigue siendo (y cada vez más) el factor humano, el eslabón más débil de la seguridad. En este webinar hablaremos sobre la Ingeniería Social y en particular sobre el Phishing, ¿qué es?, ¿cuáles son las principales técnicas?, ¿cuál es el estado del arte y cómo protegerse?

Movilidad Segura - Alianza estratégica con Check Point

miércoles, 21 de junio de 2017

Ahora es el momento para proteger tu ecosistema móvil. Muchas organizaciones comienzan a prestar atención al riesgo de impacto en la productividad y reputación que puede suponer una brecha de seguridad en los dispositivos móviles, producida por los vectores de ataque que explotan el aumento y proliferación de estos dispositivos (smartphones, tabletas…), plenamente usados ya en todas las organizaciones, y cuyo uso se potenciará todavía más con la transformación digital hacía entornos en la nube, convirtiéndose esta clase de dispositivos en el más usado para acceder a ellos.

Según una encuesta(1) realizada recientemente a 500 CIOs y altos ejecutivos de TI de Estados Unidos, Reino Unido, Alemania y Francia, las organizaciones consideran que los empleados de la alta dirección (C-Level), incluido el CEO, corren el mayor riesgo de sufrir una brecha de seguridad en sus dispositivos móviles. Los equipos de TI y Seguridad se enfrentan a un escenario de crecimiento en el número de dispositivos, proveedores y sistemas operativos para gestionar, mientras que los procesos empresariales sobre los dispositivos móviles y el acceso móvil a la información corporativa se vuelven fundamentales para que la empresa tenga éxito.

Los sistemas móviles, las redes a las que se conectan y las aplicaciones que ejecutan pueden explotarse para robar información confidencial, como documentos, citas de calendario, mensajes de correo electrónico, textos y archivos adjuntos. Los ciberdelincuentes pueden usar el micrófono y la cámara de un dispositivo para espiar reuniones a puerta cerrada, y luego enviar las grabaciones a un servidor remoto secreto. Incluso pueden capturar nombres de usuario y contraseñas a medida que los usuarios inician sesión en sistemas corporativos que contienen datos confidenciales. Las redes no seguras, o las redes que utilizan medidas de seguridad defectuosas o antiguas, hacen posible que los criminales husmeen, roben o incluso cambien los datos enviados desde y hacia los dispositivos móviles. Las aplicaciones maliciosas pueden dar a los atacantes acceso prácticamente ilimitado a un dispositivo, sus datos y su red.

Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP

martes, 20 de junio de 2017

Hoy en día ya nadie pone en duda la importancia de las aplicaciones móviles dentro de la estrategia de canal de una organización. Los smartphones se han convertido en un apéndice más de nuestro cuerpo. Nos despertamos y nos acostamos con ellos, y las organizaciones lo tienen claro: su marca, en forma de app ha de estar posicionada dentro de esta nueva extensión biotecnológica. Los beneficios son incontables e incluso obvios, ¿pero alguien ha pensado en los posibles downsides?

Aplicaciones descontinuadas olvidadas (pero aún disponibles) en los markets, fugas de información sensible relativas a la infraestructura de la compañía, o vulnerabilidades críticas que dejan nuestros dispositivos (y datos personales) a merced de cualquier usuario malintencionado, son únicamente unos pocos ejemplos de las amenazas que esta nueva tendencia arroja sobre nuestra propia privacidad y seguridad. 

A continuación mostramos la presentación de mASAPP durante el Security Day:

>

Nuevo informe: ¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad?

lunes, 19 de junio de 2017

Google ya anunció que a partir de octubre de este mismo año, Certificate Transparency será obligatorio en Chrome para todos aquellos certificados emitidos para dominios HTTPS. Otros navegadores, como Firefox ya han anunciado también su intención de adoptarlo en breve (aunque en ElevenPaths ya hemos desarrollado un plugin para permitir su comprobación).

Con este mecanismo, Google espera añadir una pieza más dentro de su proyecto de transparencia "Transparency Report", además de fortalecer su plan para la migración de todos sus productos y servicios a tráfico cifrado vía HTTPS. Todo esto, dentro del movimiento que ha denominado #movingtoHTTPS, que también espera trasladar a todo internet.

¿Están tanto el ecosistema TLS como el resto de actores implicados en él, preparados para la llegada de Certificate Transparency? En este informe intentamos responder a la pregunta anterior a través de un estudio del grado real de implantación de CT a día de hoy, así como con una evaluación del correcto funcionamiento de todos los componentes y actores que involucra.

Además de con alguna guía práctica, hemos contribuido en este informe con mejoras en el código del toolkit de herramientas de interactuación con los logs de Tom Ritter, mejorando algunos aspectos como la subida de certificados. Nuestro código puede encontrarse aquí.

Como proteger login de Github con Latch y Totp

sábado, 17 de junio de 2017

En ElevenPaths hemos implementado la funcionalidad para que puedas proteger tus cuentas más utilizadas con Latch. Como se demostró anteriormente con Gmail, Outlook, Amazon, Wordpress, Salesforce y ProtonMail. Hoy nos centraremos en GitHub y en ver cómo podemos integrar y proteger nuestra cuenta con Latch y Cloud TOTP. Para ello tienes que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo mostramos cómo funciona.

Qué hemos presentado en Security Day 2017 (IV): intercambiamos información de ciberamenazas con Cyber Threat Alliance

viernes, 16 de junio de 2017

A medida que la cultura de la ciberseguridad de las empresas va madurando, nos estamos dando cuenta que la seguridad no es un asunto solo de cada uno de nosotros. Nuestros riesgos no afectan solo a nuestra organización sino también a nuestros empleados, clientes y empresas colaboradoras. Los riesgos de hoy de una organización pueden ser aquellos del día de mañana de otra. Nos estamos enfrentado con amenazas globales y cada vez más sofisticadas y, por tanto, en ElevenPaths pensamos que la ciberseguridad es responsabilidad de todos.

Por ejemplo, en el caso del incidente de WannaCry vimos como una amenaza global se propagó progresivamente de un país a otro a medida que las empresas entraban en su horario laboral. En este caso, las empresas que tuvieron la suerte de estar en horarios alejados del momento de inicio del ataque estaban mejor preparadas gracias al intercambio de experiencias, conocimientos, recomendaciones, etc. de los primeros afectados.

El MSSP Inteligente

jueves, 15 de junio de 2017

Durante años, los Servicios de Seguridad Gestionada (MSS Managed Security Services) han sido la estrategia más efectiva para enfrentarse al dinámico y creciente ecosistema de ciberamenazas. Sin embargo, algunos factores disruptivos están forzando una nueva aproximación de la seguridad de la información de las corporaciones. Estos factores se agrupan en tres tipos: los tecnológicos, como por ejemplo la desaparición del perímetro corporativo o el explosivo crecimiento en número y complejidad de las amenazas; los operacionales, relacionados a la complejidad de los procesos organizativos; y los factores de negocio, cuyo mayor representante es la necesidad de implementar una eficiente gestión del riesgo para así invertir el presupuesto preciso en seguridad, ni más, ni menos.

¿Cómo resolver estos requisitos manteniendo en control la complejidad de los Servicios de seguridad Gestionada?
Este artículo, en primer lugar, identifica estos factores y a continuación propone un modelo de arquitectura de capas de MSS que pretende garantizar la adecuada coordinación entre tecnología, operación y negocio, que en último término proteja a las organizaciones del presente y del futuro.

Qué hemos presentado en Security Day 2017 (III): autenticación mediante la tecnología Mobile Connect para nuestro partner OpenCloud Factory

miércoles, 14 de junio de 2017

Opencloud Factory (OCF) es un fabricante de soluciones de seguridad y de servicios de infraestructura basadas en código abierto y desplegables en la nube, on-premise o de forma híbrida. Con oficinas en España, Brasil, México y Estados Unidos, OCF es una empresa española con presencial global, especialmente en Europa y Latinoamérica, donde aporta sus soluciones a varias empresas del IBEX 35 y protege cientos de miles de dispositivos. OCF es Partner Global de las Soluciones de ElevenPaths para las tecnologías de Identidad, por lo que puede integrar las mismas como funcionalidad innovadora dentro de las soluciones que ofrece a sus clientes.

Aquí podéis ver el vídeo de la ponencia durante el Security Day 2017:

>

Wannacry chronicles: Messi, coreano, bitcoins y las últimas horas del ransomware

martes, 13 de junio de 2017


Es difícil decir algo nuevo sobre el Wannacry (el ransomware, no el ataque). Pero merece la pena investigar cómo trabajó el atacante las horas previas al ataque. No es que nos vaya a permitir descubrir el creador, pero seguro que lo hace un poco "más humano", lanzando preguntas sobre su idioma habitual, localización y cómo empleó las últimas horas creando el ataque.

Wannacry (el ransomware de nuevo, no el ataque) es un malware muy sencillo para realizar ingeniería inversa. No está ofuscado, no dispone de métodos anti-debug, no cuenta con métodos para hacer la vida más difícil a los analistas. Por tanto, el código ha sido ya puesto "del revés". Adicionalmente al código algunas empresas están intentando realizar análisis lingüísticos (muy usados recientemente) para conocer la procedencia del autor (aunque, "muy a menudo", resulta ser de China). Como resultado se suele obtener que "quizás sea de habla inglesa nativa, o quizás no, quizás el autor es nativo de China y está intentando despistar..." quién sabe. Pero una cosa es segura: le gusta el fútbol, no es ambicioso y escribe en Word habitualmente en coreano.

Metadatos al rescate

Durante estos últimos años se ha demostrado la utilidad de los análisis y extracción de información oculta de todo tipo de archivos ajenos, en busca de datos que de alguna manera pudiesen revelar importantes detalles que a simple vista pueden pasar desapercibidos.  El dato se ha convertido en la nueva fiebre del oro. Información sensible del usuario u organización, software, correos electrónicos, rutas de almacenamiento, pero también otros detalles no menos interesantes, fechas, títulos, geo posicionamiento, etc. Hemos oído hablar de espías, escándalos políticos por manipulación de documentos, reutilización de contenidos, fraude a las compañías de seguros, situaciones en las que los metadatos han resultado protagonistas.


ElevenPaths y Bitsight ofrecen una visibilidad mejorada del riesgo de la cadena de suministro mediante una monitorización continua

Líder del Mercado de Ratings de Seguridad Expande su Alcance Global con Nueva Alianza Estratégica

CAMBRIDGE, MA—13 de junio, 2017—ElevenPaths, la unidad de ciberseguridad de Telefónica especializada en el desarrollo de innovadoras soluciones de seguridad, junto a BitSight, el estándar en ratings de seguridad, han anunciado una nueva alianza que mejorará la visibilidad del riesgo de la cadena de suministro para los clientes de Telefónica en todo el mundo.

El acuerdo entre ElevenPaths y BitSight proporciona a los clientes de Telefónica acceso a la Plataforma de Ratings de Seguridad de BitSight para el benchmarking de seguridad y la gestión continua del riesgo de la cadena de suministro. Esta nueva oferta formará parte de CyberThreats, el servicio de inteligencia de amenazas de ElevenPaths, proporcionando:

  • Ratings de objetivos observados desde el exterior, que miden el desempeño en seguridad de organizaciones individuales dentro de la cadena de suministro.
  • Visión general del riesgo agregado de ciberseguridad de toda la cadena de suministro, con la capacidad de generar rápidamente contexto en torno a riesgos emergentes.
  • Información accionable incluida en los Ratings de Seguridad que puede ser usada para comunicarse con terceros y mitigar los riesgos identificados.

  • Detectando la nueva amenaza en Google Play

    lunes, 12 de junio de 2017

    El 22 de mayo de 2017 fue publicada una nueva amenaza para los dispositivos Android, que ha sido descubierta por las investigaciones del equipo de seguridad del “Georgia Institute of Technology” y que fue llamada como los personajes de Marvel “Cloak and Dagger”, debido a que su funcionamiento se basa en el uso de dos permisos que cualquier aplicación puede solicitar.

    Puedes visualizar toda la información en el siguiente vídeo:


    Al igual que los personajes del cómic, existe una capa o protector (Cloak), que evita que el usuario vea las verdaderas intenciones de la aplicación. En el malware, el permiso de SYSTEM_ALERT_WINDOWS funciona como la capa que oculta el ataque al usar la función de presentar en pantalla mensajes o alertas, muy típicas en aplicaciones de mensajería instantánea, redes sociales o Antivirus.

    Qué hemos presentado en el Security Day 2017 (II): detección de amenazas móviles con nuestro partner Check Point

    viernes, 9 de junio de 2017

    Los smartphones han tenido sin ninguna duda un enorme impacto en la manera que vivimos nuestras vidas y en la manera en que las empresas realizan sus negocios. Su éxito se debe en gran medida a la introducción de los appstores como ecosistemas para distribuir aplicaciones a los usuarios finales. Los appstores de Google y de Apple no solo han hecho sencilla la distribución de aplicaciones, sino que han establecido también un mínimo de seguridad que ha ayudado mucho en la adopción rápida de esas plataformas.

    No obstante, como siempre pasa en el mundo de la ciberseguridad, las garantías que ofrecen no son del 100% seguras, y tener una falsa sensación de seguridad total sí introduce en alto riesgo nuestros negocios.

    Qué hemos presentado en Security Day 2017 (I): Cómo vivimos WannaCry

    jueves, 8 de junio de 2017

    El pasado 31 de mayo, celebramos la cuarta edición de nuestro evento anual de seguridad, ElevenPaths Security Day 2017, bajo el lema Cybersecurity beats.

    Fue una jornada llena de novedades, un punto de encuentro para clientes, partners y en general profesionales de la seguridad en un entorno repleto de tecnología, innovación y sobre todo, "ganas de usarla". A los que compartisteis aquella mañana con nosotros, gracias de nuevo por sacar un hueco en vuestras ajustadas agendas, y a los que no; esperamos contar con vosotros en la próxima edición.

    Pedro Pablo Pérez, CEO de ElevenPaths, realizó la apertura del evento en el que un año más contamos con la participación de Chema Alonso, Chairman de ElevenPaths y la colaboración especial de nuestro compañero Miguel Ángel Pérez Acevedo, de Telefónica España.



    ElevenPaths Talks: ¿Es posible prevenir el fraude?

    miércoles, 7 de junio de 2017



    En la historia de las empresas, sin importar su tamaño, siempre se ha evidenciado la existencia de fraudes que afectan a clientes, proveedores, y hasta a los mismos empleados. Sin embargo, en la actualidad los sistemas de información y la tecnología son los mecanismos más usados por la delincuencia para obtener un beneficio a costa de sus víctimas.

    El día D – Desembarco Metashield 365 visible en equipos Mac

    martes, 6 de junio de 2017

    Sabíamos que los usuarios de Mac no estaban solos contra los metadatos, pero si sabíamos que no disponían de las mismas armas para poder tratarlos cuando esto se requiere en comparación con los sistemas Windows.

    Para los que no están familiarizados, la Sociedad Española de Documentación e Información Científica (SEDIC), define el metadato como “toda aquella información descriptiva sobre el contexto, calidad, condición o características de un recurso u objeto de información que tiene la finalidad de facilitar su recuperación, autentificación, evaluación, preservación y/o interoperabilidad”. A priori esta información está normalmente oculta y no suele ser accesible completamente por métodos manuales, pero si mediante herramientas específicas de extracción de metadatos.

    Blockchain V. Cortando cabezas a la hydra

    lunes, 5 de junio de 2017

    Tras cruzar toda la mazmorra y llegados a este punto, ya tenemos claro que el combo Blockchain y Bitcoin ha hecho bien sus deberes. Todo bien atado, sabiamente limitado, matemáticamente enlazado, resistente, correctamente planificado, autorregulado y capaz de corregir las tendencias inflacionarias y el abuso de sus propios mecanismos. Es tan fiable que ya no se pone en duda su funcionamiento. Atrás quedaron las preguntas y debates, a día de hoy solo se mencionan análisis de tendencias y cientos de usos para su explotación. ¿Pero estamos verdaderamente a salvo? ¿Estamos pasando por alto algún asunto? ¿Es posible que no estemos percibiendo las señales de lo que está aún por acontecer?

    La turbia sombra del bitcoin

    Resultados y solución de 11PathsGame, 111 euros por resolver una sopa de letras

    viernes, 2 de junio de 2017

    Gracias a todos por participar. Veamos quién ha ganado el concurso, cómo resolverlo y algunas respuestas curiosas…

    PARTICIPACIÓN Y RESPUESTAS

    Tras ser publicado a las 8 de la mañana, los primero en participar (y teóricamente, ganar) fueron un par de empleados de Telefónica, que obviamente no podían participar, lo sabían, pero no pudieron resistirse a enviar la respuesta. Gracias ¡Carlos y Jordi!. La tenían a las 12:38 de la mañana. Más tarde, a las 13:06, un usuario envió una serie de tecnologías sin dar más explicaciones (que no se correspondían con las 11 pedidas), porque confesaba que no pudo resolver el problema, así que escribió “por si colaba”. En realidad, el ganador debía enviar una respuesta completa y detallada. Exactamente a la misma hora, otro usuario resolvió la pista inicial, y envió otra serie de tecnologías que no se correspondían con las 11 buscadas. A las 13:08 un usuario volvió a enviar 11 tecnologías que no eran las que buscábamos, sin dar más explicaciones.


    Agenda de eventos en junio para estar al día en Seguridad Informática

    jueves, 1 de junio de 2017


    Hola hackers! El mes de junio llega cargados de eventos de seguridad, tecnología y hacking en los que desde ElevenPaths participaremos con diferentes charlas y ponencias:

    ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo Reglamento Europeo de Protección de Datos con un año de antelación

    miércoles, 31 de mayo de 2017

     
    • La normativa europea entra en vigor en mayo de 2018, fecha en la que las entidades que no la cumplan podrán ser sancionadas con multas de hasta un 4% de su facturación anual. 
    • ElevenPaths presenta nuevas integraciones tecnológicas con partners estratégicos como OpenCloud Factory y Check Point, con Michael Shaulov, su director de Producto, Seguridad Móvil y Cloud, que será el invitado estrella de la cita anual de seguridad de ElevenPaths. Además cuenta con la colaboración de Wayra,  la aceleradora corporativa de Telefónica.
    • ElevenPaths colabora con la CyberThreat Alliance para mejorar y avanzar en el desarrollo de soluciones que luchen contra el cibercrimen.

    PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos

    martes, 30 de mayo de 2017

    En el mundo de la conectividad de los dispositivos médicos y su instrumentación, existen una amplia variedad de iniciativas, protocolos, estándares y fabricantes que trabajan arduamente en intentar alcanzar una integración neutral para este tipo de sistemas y dispositivos.


    Imagen 1: Ejemplo de sistema médico

    Nuevo informe: Una aproximación práctica al Certificate Transparency

    lunes, 29 de mayo de 2017

    Desde hace algún tiempo, Mozilla, Microsoft y Google han apostado a la masificación del uso de la criptografía. Las diferentes medidas de seguridad aplicadas apuntan a mejorar el cifrado del tráfico de red: deshabilitar en los navegadores la utilización de protocolos antiguos como MD5, RC4, SHA-1, RSA de 512 y 1024 bits y habilitar otros, como TLS v1.1 y v1.2.

    Con la intención de solucionar la problemática inherente al uso de TLS, en noviembre de 2016 Google anunció en el marco del "CA/Browser Forum" (organización que reúne a todas las CAs y desarrolladores de navegadores del mercado) que a partir de octubre de 2017 haría obligatoria la Transparencia de Certificados Digitales (Certificate Transparency o CT) en su navegador Chrome.

    Ejemplo de bloqueo por Certificate Transparency nativo en Chrome

    Descubre 11 tecnologías de ElevenPaths en esta sopa de letras y llévate 111 euros

    viernes, 26 de mayo de 2017



    ACTUALIZACIÓN: el juego ya ha concluido, nos pondremos en contacto con el ganador y publicaremos la solución.
    ¡gracias por participar!

    ¿Quieres ganar 111 euros en un cheque regalo para Amazon?

    Encuentra 11 de nuestras tecnologías en esta sopa de letras y sé el primero en 
    comunicarnos tu solución detallada a innovationlab@11paths.com
    Puede que no sea mala idea seguirnos en @elevenpaths y a través del hashtag #11PathsGame




    g l f l   f c b k e v c f   c b a c   h z c w k   a p c j c b   r z c   n c b g e l y l f a c   c j   c e   l m c ñ c n l f p k   d l ñ p l   e l   n c f c ñ d l   c e   j z o c f k   n c   e c a f l b   ñ k f f c b g k j n p c j a c   l   e l   g k b p ñ p k j   n c   e l   e c a f l   c j   e l   g l e l m f l   o l b   k j ñ c.   c e   l m c ñ c n l f p k   c b   ñ p f ñ z e l f.



    Innovación y laboratorio
    www.elevenpaths.com

    Ya solo queda un año para la aplicación del nuevo reglamento europeo de protección de datos. ¿Estás preparado?

    jueves, 25 de mayo de 2017


    El nuevo Reglamento Europeo de Protección de Datos (RGPD), el cambio más importante en la regulación de la privacidad en los últimos veinte años, entró en vigor en mayo del año pasado, y será de obligado cumplimiento en toda la UE a partir del 25 de mayo de 2018. Hasta esta fecha, permanece vigente la Ley Orgánica de Protección de Datos (LOPD). Un año puede parecer mucho tiempo, pero puesto que el proceso de adecuación es complejo, no conviene esperar al último momento, más sabiendo el riesgo de recibir una multa por parte del regulador. 

    El laboratorio de malware avanzado de ElevenPaths

    miércoles, 24 de mayo de 2017

    El escenario actual está evolucionando hacia un nuevo contexto de amenazas avanzadas que la industria está tratando de contener mediante la implementación de diferentes tipos de soluciones. Desde ElevenPaths, se ha realizado un completo análisis a las 17 principales tecnologías del mercado, diseñadas para luchar contra este tipo de amenazas y focalizadas en el endpoint. Con el objetivo de tener una visión clara e independiente de los diferentes enfoques que los fabricantes han utilizado, se ha desarrollado una metodología propia que no sólo toma como base los parámetros más puramente técnicos, sino que también ha tenido en cuenta variables que permiten incluir las necesidades y perspectiva de los administradores y usuarios finales de la tecnología. Esta metodología se basa en seis grandes categorías:

    • Despliegue de la solución considerando principalmente las variables relativas a tipos de sistemas operativos para los que existe soporte, complejidad de despliegue y consumo de recursos.
    • Capacidades de prevención y bloqueo para identificar amenazas antes de que estas sean ejecutadas, prestando especial atención al número de falsos positivos obtenidos.
    • Una vez que las amenazas no se han detenido en una fase inicial de prevención, se evalúan las capacidades de detección para aportar datos sobre la calidad y cantidad de los modelados de amenazas que incorporan las soluciones.
    • Una vez que las amenazas se han materializado en el sistema se evalúan las capacidades de respuesta, referido principalmente a las capacidades de remediación y contención de la amenaza.
    • En una fase de postincidente se examinan las características forenses, que nos aportarán tanto cantidad como calidad de la información relacionadas con el incidente.
    • De forma paralela a los estados de las amenazas, se observan las capacidades de los datos relativos a análisis e inteligencia, los cuales aportan capacidades relativas a proporcionar información de contexto asociada a la amenaza, las tácticas utilizadas y al actor involucrado en la misma.

    Latch al rescate para cumplir con el requerimiento 8.3.1 de Autenticación Multi-Factor (MFA) de PCI DSS 3.2

    martes, 23 de mayo de 2017

    A modo de introducción, PCI DSS es un estándar internacional que regula el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito, nació como respuesta a la estandarización en un estándar común por parte de las marcas de tarjeta de crédito, ya que antes c/u tenía un estándar distinto de seguridad. Para esto se creó un Council (PCI Council) compuesto por personas de bancos, marcas y empresas a fines, quienes desarrollan y mantienen una serie de estándares y certificaciones asociadas a seguridad de la información asociado a tarjetas de crédito.

    Como respuesta a las últimas grandes brechas de seguridad ocurridas sobre todo en grandes comercios de retail mediante phishing (Target, Home Depot y otras brechas) es que el Council se ha visto obligado a actualizar con más frecuencia el estándar PCI DSS, en su última versión la 3.2 de abril del 2016 incluye un nuevo requerimiento de seguridad o mejor dicho, una nueva exigencia para cumplirlo. El requerimiento principal del cual hablamos es el número 8: “Identificar y autenticar el acceso a los componentes del sistema”. En este requerimiento en el punto 8.3.1 aparece una nueva consideración importante acerca de la autenticación multi-factor (MFA), necesaria para todos los accesos que no son de consola y remotos al entorno de cumplimiento PCI DSS, recordemos que la base de la autenticación multi-factor surge del uso de dos o más factores durante el proceso de autenticación. Estos factores son:
    • SYK (Something You Know): Algo que el usuario sabe (como una contraseña)
    • SYH (Something You Have): Algo que el usuario tiene (como una smart card)
    • SYA (Something You Are): Algo que el usuario es o hace (como una huella digital) 
    La nueva exigencia del punto 8.3.1 explicada en un boletín enviado por el council en diciembre del 2016 indica lo siguiente:

    El auge de los troyanos bancarios para Android: Quién, cómo y por qué

    lunes, 22 de mayo de 2017

    Entre las amenazas más peligrosas para los usuarios de móvil se encuentra el malware bancario. Estos programas están diseñados para robar información bancaria del usuario para posteriormente transferir sus fondos a las cuentas del atacante. A lo largo del tiempo, los atacantes siempre han encontrado la manera de superar obstáculos implementados para frenar su propagación. Algunos ejemplos de éstos son los sistemas basados en un segundo factor de autenticación, así como los propios mecanismos de seguridad habilitados en las diferentes versiones Android.

    Curiosamente, el malware bancario para móviles no requiere de demasiado conocimiento técnico para su desarrollo, e incluso aún menos para su explotación. El funcionamiento de este tipo de malware se puede resumir en dos pasos:

    • La Identificación de aplicaciones de banca instaladas en el dispositivo infectado.
    • Introducción de una pantalla superpuesta sobre la aplicación legítima una vez el usuario arranca la aplicación. El usuario introduce sus credenciales y éstas son enviadas directamente al servidor del atacante.

    Wannacry File Restorer Alpha 0.1 versión escritorio ya disponible

    viernes, 19 de mayo de 2017



    El jueves 18 de mayo publicábamos medidas a tener en cuenta si has sido infectado con el ransomware Wannacry. Hablamos de métodos que se estaban utilizando para poder recuperar parte de la información afectada por el ransomware, siempre y cuando éste no hubiera terminado de cifrar el contenido. El script de Powershell Wannacry File Restorer publicado tiene un enfoque de uso para los equipos de IT, ya que estos podrán ejecutarlo en un dominio y poder recuperar aquellos archivos que el ransomware no tuvo tiempo de cifrar.

    Hoy queremos enseñar una herramienta que se ha desarrollado de manera urgente para que usuarios de escritorio puedan escanear su equipo en busca de los “ansiados” ficheros WNCRYT. Hay que recordar que este tipo de ficheros son archivos temporales utilizados por Wannacry y que no se encontraban cifrados, por lo que pueden ser restaurados.

    Telefónica WannaCry File Restorer ¿Cómo recuperar información borrada por WannaCry?

    jueves, 18 de mayo de 2017



    Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una buena práctica es acordarse dónde se encuentra la información y una vez se ha llevado a cabo la limpieza de la infección, os queremos recordar que:
    • Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que éste los afectara. Os mostraremos en este artículo un trick que permitiría recuperar parcialmente información afectada por Wannacry.
    • Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red.
    • Información de unidades compartidas y las unidades en la cloud.
    • Información en el correo de Office365 y unidades de datos de Office 365.
    • Información en dispositivos extraíbles, como puede ser un pendrive.
    • Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección.

    Big Data for Social Good in Action 2017

    miércoles, 17 de mayo de 2017


    El próximo 18 de Mayo, a las 19.00 en Wayra, en la sede de Telefónica en Gran Vía,  se celebra el evento Big Data for Social Good en Telefónica con el objetivo de reunir a todas aquellas personas que quieran transformar el Big Data for Social Good de "storytelling" a "storydoing". Queremos construir una comunidad con partnerships y colaboradores que permitan que, juntos, podamos llegar a los objetivos de desarrollo sostenible, sacando el máximo jugo al Big Data, Data Science, Inteligencia Artificial y Machine Learning.

    El Big Data y la Inteligencia Artificial jugarán un papel crucial en la evaluación de nuestro progreso en los Objetivos de Desarrollo Sostenible de Naciones Unidas utilizando datos de pago para medir el impacto económico de los terremotos, sirviéndose de imágenes satélite para señalar zonas de riesgo de inundación, identificando preguntas en motores de búsqueda para monitorear la propagación del dengue o incluso usando datos móviles para analizar el nivel de analfabetismo en zonas de difícil acceso. Las posibilidades son infinitas. La agenda del evento es la siguiente:

    Politica Referrer

    martes, 16 de mayo de 2017

    Hoy en día es muy común moverse entre webs por medio de enlaces, muchos blogs lo utilizan para guiar a sus usuarios de noticia a noticia. Cuando entramos a una web esta puede conocer cuál es tu web de origen, esto es gracias una variable de las cabeceras que se envía tanto al cliente como al servidor llamada “referrer”, esta variable la podemos encontrar en los protocolos http y https.


    Hasta hace unos meses la cabecera de http referrer funcionaba del siguiente modo; al pasar de unan página http a otra del mismo tipo u otra con protocolo https se incluía el referrer en la cabecera, al pasar de una página https a otra del mismo tipo el funcionamiento era el mismo, sin embargo, al pasar de una página https a una con http el referrer no se incluía.

    Recientemente esto ha cambiado con la llegada de 7 nuevas políticas que permiten decidir a qué páginas les enviamos dicha información sobre nuestro origen. Tras investigar un poco el funcionamiento de estas nuevas políticas podemos afirmar que hay algunas más seguras que otras si queremos mantener a salvo nuestra privacidad.

    ElevenPaths participa en JNIC 2017 y sus retos científicos, impulsando la investigación de ciberseguridad

    lunes, 15 de mayo de 2017

    Del 31 de mayo al 2 de junio tendrá lugar la tercera edición de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC). Esta edición ha sido organizada por la Universidad Rey Juan Carlos en colaboración con el Instituto Nacional de Ciberseguridad (INCIBE), que como actor fundamental en el ámbito de la Ciberseguridad, coordina actuaciones y esfuerzos con el resto de organismos públicos y privados, nacionales e internacionales, que trabajan en esta materia.



    Ponemos bajo la lupa el informe anual de seguridad en Android de Google

    viernes, 12 de mayo de 2017


    El mes pasado, Google publicó su tercer informe anual de seguridad sobre las protecciones de seguridad de Android, con el objetivo de enviar un mensaje claro al mundo sobre el malware móvil (o PHA, Potencially Harmful Applications, como prefieren denominarlo): dispositivos, aplicaciones y usuarios de Android están más protegidos que nunca. Y todo el ecosistema de Android es ahora más seguro.

    Transmitir mensajes positivos está bien, pero es importante ser realista. Eso es lo que nos hace mejorar. Hemos retorcido algunas de las cifras y datos incluidos en el informe, y finalmente hemos llegado a la conclusión de que es difícil pensar que el ecosistema Android es en realidad tan seguro como Google afirma, especialmente teniendo en cuenta que la terminología empleada no es clara y en algunos casos los números no cuadran.

    Al final es una cuestión de qué entendemos por “malware”
    Según el informe, el termino PHA corresponde a "aplicaciones que podrían poner en riesgo a usuarios, datos de usuario o dispositivos". Esto incluye entre muchos otros, troyanos, spyware o apps de phishing. Eso está bien, pero, como reconoció Google, "también somos menos estrictos en nuestra definición de ciertos PHAs respecto a lo que algunos usuarios esperarían. Un ejemplo clásico es el spam publicitario, que definimos como una aplicación que presenta publicidad al usuario de una manera inesperada, por ejemplo en la pantalla de inicio del dispositivo o en la pantalla de bloqueo". Esto quiere decir que Google no tiene en cuenta el adware agresivo, uno de los problemas más comunes para el usuario final de Google Play, como PHA. No encontramos indicios de una definición agresiva de adware incluida dentro de la clasificación del equipo de seguridad de Google Android para aplicaciones potencialmente perjudiciales (PHA). ¿Cuán agresivo puede llegar a ser este “spam publicitario” o adware? No lo sabemos. Algunas de las “denominadas” campañas publicitarias terminaron rooteando el dispositivo y no sabemos si son considerados PHA. Esto lógicamente deriva en un descenso de las cifras, y seguramente represente uno de los principales gaps con los que las empresas de Antivirus y el propio Google juegan.


    ElevenPaths Talks: Asegurando los host (modo paranoico)

    jueves, 11 de mayo de 2017


    Tal y como nos habéis pedido, para esta tercera temporada hemos decidido publicar los vídeos directamente de la serie ElevenPaths Talks en nuestro canal de YouTube para que puedas verlo todas las veces que quieras en el momento que tú elijas sin necesidad de registrarte. A partir de ahora, todos los jueves te esperamos a las 15.30 h. (CET) en nuestro canal de YouTube.

    Nuestros expertos y CSAs de ElevenPaths, Arsene Laurent y Gabriel Bergel, junto a un invitado especial explican en este seminario cuáles son los principales riesgos tanto por parte de un atacante externo como por parte de un empleado descontento, pero por sobre todo hablaremos bastante sobre cuáles son las principales herramientas para proteger una estación de trabajo de una empresa (o incluso la personal).

    Si quieres saber más acerca del tema, no dudes en pasarte por la Comunidad de ElevenPaths, donde puedes debatir con nuestros expertos CSAs, antes y después de la sesión.

    Os dejamos todas los seminarios completos de nuestras tres temporadas:

    » ElevenPaths Talks - Temporada 1
    » ElevenPaths Talks - Temporada 2
    » ElevenPaths Talks - Temporada 3

    Si eres un amante de la seguridad informática no te puedes perder estas citas con otros profesionales y expertos del mundo de la ciberseguridad. 

    Más información en:
    talks.elevenpaths.com

    Estrategias de defensa para la lucha contra las amenazas avanzadas

    miércoles, 10 de mayo de 2017

    Los avances tecnológicos, intereses económicos, sociales y políticos han generado un nuevo contexto de amenazas avanzadas que nunca antes se habían presentado. Estas nuevas amenazas son mucho más sofisticadas tecnológicamente, disponen de más recursos y no son detectadas por las soluciones y servicios tradicionales de seguridad. Esta problemática afecta hoy en día tanto a pequeñas como a grandes organizaciones y organismos públicos convirtiéndose todos ellos en un potencial objetivo dado que las soluciones de seguridad tradicionales (AV, firewall, IDS, DLP, etc.) no han sido capaces de dar respuesta de forma efectiva.

    En este sentido, una protección efectiva frente a este nuevo tipo de amenazas debe combinar medidas de seguridad de infraestructura y perímetro tradicionales, junto con sistemas específicos para la detección de amenazas avanzadas con el fin de dificultar la intrusión inicial, reducir la posibilidad de escalada de privilegios, limitar el daño y detectar cualquier tipo de actividad sospechosa de forma temprana. Adicionalmente tras la materialización de una amenaza, debe ser posible recopilar la información que precisan los investigadores forenses para determinar el daño provocado, cuándo se ha producido y quién es el causante.

    DIVERSIDAD DE ENFOQUES EN LA INDUSTRIA

    Como respuesta al escenario actual, la industria está evolucionando ante las nuevas amenazas desarrollando soluciones, tanto ubicadas en la red como en el endpoint, para tratar de cubrir el espectro más amplio posible y así hacer frente a las diferentes variantes y particularidades que las caracterizan.

    Eventos de ciberseguridad de ElevenPaths en mayo que no te puedes perder

    martes, 9 de mayo de 2017

    SECURITY DAY 2017_CYBERSECURITY BEATS
    El próximo 31 de mayo celebramos la IV edición de nuestro evento anual de seguridad, Security Day donde presentamos nuestras últimas novedades tecnológicas. Bajo el lema de Cybersecurity beats_ os enseñaremos de la mano de nuestros partners y clientes cómo nuestras herramientas de seguridad están diseñadas para tomar el pulso a la seguridad de la información de las empresas. Tienes todo el detalle de la agenda en la web de registro que hemos preparado con todo lo que necesitas saber sobre el evento.

    Aquí puedes registrarte y conseguir tu plaza si todavía no lo has hecho.


    Nuevo plugin para FOCA: SCT Checker

    lunes, 8 de mayo de 2017

    Desde el punto de vista de un auditor o pentester, conocer si un certificado se encuentra en los logs de Certificate Transparency correspondientes, en cuáles y cuándo fue incluido, puede aportar cierta información interesante que más tarde puede complementar otras fases del proyecto. Con esto en mente, hemos creado un sencillo y nuevo plugin para FOCA, que permitirá consultar el SCT de un certificado incrustado y toda su información correspondiente.

    Certificate Transparency será obligatorio en Chrome para los nuevos certificados a finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Hace unos meses presentamos el primer plugin para Firefox que añadía esta funcionalidad, y ahora hemos portado esa fórmula a FOCA, para que sus usuarios puedan consultar la información desde diferentes fuentes.

    Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS. Auspiciado por Google, básicamente hace que todos los certificados emitidos sean introducidos en unos servidores especiales llamados logs, para que en el caso de que un atacante cree un certificado falso, se enfrente a un dilema: si el certificado falso no se introduce en los logs, levantaría sospechas, pero si se registra, se detectará más rápido.

    Mamá, yo quiero ser hacker

    viernes, 5 de mayo de 2017

    Mamá, yo quiero ser hacker.


    El concepto hacker es asociado la mayoría de las veces a figuras masculinas techies y geeks. Pero, ¿por qué es tan difícil encontrar referentes femeninos en el mundo de la tecnología? El motivo lo podríamos encontrar en esta charla TED apasionada y muy animada de Christopher Bell, estudioso de los medios y padre de una hija obsesionada con Star Wars, donde abordaba la falta alarmante de superheroínas en los juguetes y productos comercializados para niños, y lo que eso significa para la forma en que les mostramos el mundo. De la misma manera, según varios estudios, a la edad de 11 años muchas niñas se sienten atraídas por la tecnología, las ciencias y las matemáticas pero, pierden el interés al cumplir los 15 años.

    Ante este reto, desde Telefónica, a través de la unidad de Chief Data Office (CDO) liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad- y LUCA -Big Data-, reflexionamos sobre esta tendencia que parece repetirse en diversos ámbitos y nos propusimos "hackear" la diversidad.

    Protección de cuentas Twitter con Latch y Cloud TOTP

    jueves, 4 de mayo de 2017

    Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger sus cuentas más utilizadas. Anteriormente se realizó una demostración sobre cómo proteger cuentas de Gmail, Outlook, Salesforce, Facebook y Wordpress con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con Twitter. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo se ve cómo funciona.

    PREPARANDO TWITTER
    En primer lugar, iniciamos sesión con nuestra cuenta de Twitter y accedemos al enlace Mi cuenta. A continuación podremos encontrar el apartado Seguridad  y debajo de este deberemos marcar la casilla Verificación de inicio de sesión. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Twitter ofrece. En este caso nos centraremos en la de TOTP.



    Security Day 2017_ Cyber Security beats

    miércoles, 3 de mayo de 2017




    El lema de la cuarta edición de nuestro Security Day es Cybersecurity Beats. Una jornada de seguridad y tecnología donde este año enseñaremos cómo nuestras herramientas de seguridad toman el pulso a los sistemas de la información de tu empresa. Algunos de los temas que hemos seleccionado para este día son el obligado cumplimiento de la normativa en GDPR a partir del 25 de mayo de 2018 y cómo estar preparado con nuestra plataforma SandaS GRC, las últimas incorporaciones al programa de alianzas y partners de ElevenPaths, así como la integración de soluciones de seguridad  para ayudar a las empresas a combatir ciberataques contra sus infraestructuras tecnológicas. Además, contaremos con la participación en primera persona de algunos de nuestros partners con los que compartiremos escenario para enseñaros las últimas integraciones que hemos realizado conjuntamente, como por ejemplo con MTP de Check Point y Tacyt. Como novedad, también presentaremos nuestro Path6 (¡ya tiene nombre!) que os desvelaremos ese día en primicia, algunos ciberataques en los que hemos participado este año, la entrega de premios a cargo de Chema Alonso de los plugins y hacks ganadores de nuestro concurso anual de talento Latch Plugins Contest y muchas novedades más.

    ElevenPaths y la Universidad de Piraeus en Grecia colaboran usando Tacyt como elemento formativo y de investigación

    lunes, 1 de mayo de 2017

    ElevenPaths y el Department of Informatics de la Universidad de Piraeus en Grecia inician una colaboración conjunta destinada a la realización de estudios e investigaciones sobre aplicaciones móviles con la intención de explorar los vínculos entre éstas y ciertas actividades fraudulentas. Adicionalmente proporcionando una plataforma orientada a la formación de estudiantes e investigadores.

    Cuando la nube está muy lejos

    miércoles, 26 de abril de 2017

    Para la gran mayoría Cloud Computing es un hecho de la vida, pero ¿quién no ha tenido dudas respecto la idoneidad de la nube para ciertos escenarios?

    En más de una ocasión aspectos como la latencia, la velocidad en la generación de datos, y en consecuencia el gran volumen de estos, el coste de las comunicaciones y las regulaciones proteccionistas, entre otros, imponen limitaciones al uso de un esquema puro “en la nube”. Como solución a estos inconvenientes se destaca una propuesta que permite seguir aprovechando las bondades de los sistemas distribuidos y que surge como un complemento, no una alternativa, a los esquemas anteriores: Fog Computing consiste en acercar el procesamiento de los datos al origen de los mismos para así aprovechar ventajas obvias como baja latencia y otras que iremos descubriendo en el desarrollo de este artículo. El resultado es un mejora substancial en la “calidad del dato.”

    El caso de IoT
    En su ambición por conectar todo lo que se pueda, el Internet de las cosas (IoT, por sus siglas en inglés) impone un modelo comunicacional que se apoya con fuerza en la nube; en algunos casos debido a la relativamente baja capacidad de procesamiento y almacenamiento de los dispositivos finales y en otros con el fin de simplificar la configuración, aumentar la usabilidad y sacar el mayor provecho de la ubicuidad de los usuarios en un enfoque tecnológico que está destinado a masificarse.

    Un recorrido por el "metasploit" de la NSA y sus exploits para Windows

    lunes, 24 de abril de 2017

    En estos días, una de las noticias que ha generado mucho movimiento en la comunidad de seguridad ha sido la nueva publicación de TheShadowBrokers relacionada con el hackeo que originalmente habría sido realizado a la NSA alrededor de 2013. Esta vez, han compartido en un repositorio de GitHub una gran cantidad de datos que demuestran que la NSA tiene (¿tiene?) acceso a diversas entidades bancarias y financieras y al servicio SWIFT, como así también parte del "arsenal" de herramientas y exploits pertenecientes a dicha entidad, que afectan a diversas plataformas.


    Los bugs de un smart contract podrían arruinar tu apuesta del próximo Real Madrid-Barcelona

    jueves, 20 de abril de 2017

    Tan solo quedan 80 horas para uno de los partidos más importantes de la temporada futbolística: Real Madrid - FC Barcelona. Y como de costumbre, solemos hacer apuestas sobre estos partidos entre compañeros de trabajo.

    De forma habitual, un compañero confiable debería hacerse responsable de la recaudación de los participantes que se encuentren en la oficina de forma presencial, además de tener que encontrarse disponible, al menos, hasta el día del partido pudiendo darse la opción de que surgieran agentes boicoteadores. Sin embargo, como no queremos dejar de lado a nuestros compañeros de las diferentes sedes de ElevenPaths y tampoco hemos identificado a ese compañero «confiable durante 80 horas», hemos encontrado la solución perfecta: crear una aplicación descentralizada o dapp sobre la red de Ethereum.

    Latch e IoT, una simbiosis perfecta

    miércoles, 19 de abril de 2017



    Internet of Things (y como diría el gran Goyo Jiménez, para los de la Logse, “El Internet de las cosas”) dejó ya de ser el futuro para convertirse en nuestro presente. Es difícil que en un día cualquiera no interactuemos de una forma u otra con algún dispositivo IoT: la radio que usamos por la mañana, la cámara que “cuida” de nuestro de bebé, el pulsímetro/reloj que usamos cuando salimos a correr o el coche que nos lleva al trabajo. IoT está en casi todas partes.


    Figura 1: Vídeo del plugin de Latch para Mosquitto.

    ElevenPaths Talks: jugando con apps de mensajería como WhatsApp, Telegram o Line

    martes, 18 de abril de 2017


    Las apps de mensajería instantánea como WhatsApp, Telegram o Line se han vuelto parte de nuestra vida. Las usamos todos los días para relacionarnosen el trabajo, los estudios, nuestras relaciones de pareja, con amistades o familiares, etc.

    La pregunta que te hacemos es... ¿son seguras las herramientas de mensajería en cuanto a la privacidad? Nuestros expertos y CSAs de ElevenPaths, Claudio Caracciolo y Gabriel Bergel, junto a un invitado especial explicarán los fallos de seguridad en apps de mensajería móvil, algunas técnicas actuales de ataque así como, las soluciones para combatirlas Este jueves 20 de abril haz hueco en tu agenda y conéctate al nuevo webinar online gratuito.

    La duración de la charla será de 50 minutos y se impartirá en castellano. Si quieres saber más acerca del tema, no dudes en pasarte por la Comunidad de ElevenPaths, donde puedes debatir con nuestros expertos CSAs, antes y después de la sesión. Recuerda, tienes una cita el próximo 20 de abril a las 15:30 h (CET). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks. ¡Reserva tu plaza y participa en este nuevo seminario gratuito!

    Más información en:
    talks.elevenpaths.com

    Certificados digitales: "Gran G" vs. "Gran S"

    lunes, 17 de abril de 2017

    Ryan Sleevi, uno de los ingenieros y responsables de Chrome, anunció el pasado 23 de marzo que este navegador iba a restringir los certificados de validación extendida (EV) emitidos por Symantec desde la versión 59 (presumiblemente para mayo) al menos durante un año. Según la "gran G" de Mountain View, esta decisión se basa en haber descubierto que la "gran S" (también de Mountain View) "había emitido más de 30.000 certificados incorrectos".

    Según Google, la violación por parte de Symantec de los requerimientos bases de las CA se ha repetido en varias ocasiones, incluso con la creación de certificados de validación extendida emitidos en septiembre de 2015 a su nombre. Symantec, que emite más del 30% de los certificados del mundo, debió realizar una auditoría en su proceso de validación de certificados e incluso reconoció haber despedido personal por este evento.


    Limitando el ámbito de uso de nuestros secretos en Latch con “Limited Secrets”

    miércoles, 12 de abril de 2017

    Cuando creamos como desarrollador una aplicación de Latch, ésta nos proporciona un identificador de aplicación (appId) y un secreto.

    Éste par de claves nos permiten firmar las peticiones realizadas a la API, para garantizar que somos los dueños legítimo de dicha aplicación.

    Ejemplo de identificador de aplicación y secreto en una aplicación.

    ElevenPaths entra a formar parte de los principales miembros de la alianza de NoMoreRansom.org

    lunes, 10 de abril de 2017

    El Ransomware ha generado en las empresas tecnológicas y a usuarios en general un impacto muy negativo durante los últimos años. El auge de este tipo de amenazas a las empresas junto al lucrativo negocio que esto supone para los criminales lo convierten en uno de los retos más acuciantes y complejos de ciberseguridad en la actualidad. En este contexto, iniciativas como el proyecto NoMoreRansom (NMR) cobra especial relevancia y tras nueves meses desde su lanzamiento, ha acaparado ya interés por parte de agencias gubernamentales y compañías privadas del sector de la ciberseguridad.

    La plataforma www.nomoreransom.org tiene el claro objetivo de, por un lado, asistir y permitir a las víctimas del ransomware la recuperación de su documentación cifrada sin tener que pagar a los criminales. Por otro, perseguir desde el plano legal a los responsables de estas estafas compartiendo información entre las fuerzas de seguridad. ElevenPaths aporta su experiencia en este campo desarrollando y ofreciendo gratuitamente una herramienta a esta iniciativa, lo que gracias a la labor del área de innovación y laboratorio, le ha permitido formar parte del consorcio, como una de las siete entidades asociadas, junto con Avast, Bitdefender, CERT de Polonia, Check Point, Emsisoft y Kasperksy.



    El ENS contra la fuga de metadatos

    miércoles, 5 de abril de 2017

    Ya tenemos entre nosotros la nueva Guía de Seguridad de la TIC más concretamente el CCN-STIC-835 que habla concretamente del borrado de los metadatos y datos ocultos como medida de seguridad y protección de la confidencialidad de la información y que debe ser parte de las medidas para cumplir con el ENS (Esquema Nacional de Seguridad).

    Cada vez hay una mayor concienciación por parte de las empresas y personas en eliminar toda aquella información sensible que exponemos cuando publicamos o compartimos documentos o archivos multimedia. Este problema de seguridad está presente en muchas organizaciones y organismos públicos y de cara a cumplir con el ENS el Ministerio de Hacienda ha creado esta Guía de buenas prácticas que nos enseña cómo realizar la detección y el borrado seguro de metadatos que todos los archivos llevan siempre asociados.

    Ilustración 1: Información incrustada que puede contener un archivo.

    Desprotegidos por defecto

    El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), destinado a proporcionar a los ciudadanos de la Unión Europea un mayor control sobre sus datos personales, introduce un nuevo concepto que deberán adaptar tanto fabricantes de tecnología como desarrolladores de aplicaciones y redes sociales: la privacidad por defecto.

    Con este principio se pretende proporcionar privacidad tanto en el contenido como en los metadatos obtenidos del usuario (por ejemplo, localización y tiempo de la llamada) y que necesitarán encontrarse anonimizados o borrados si el usuario no ha dado su consentimiento. A pesar de que GDPR define el término consentimiento como «un acto afirmativo claro que refleje la voluntad del interesado de aceptar el tratamiento», en la actualidad nos encontramos ante servicios que, por defecto, habilitan casillas ya marcadas de las que el usuario no es consciente. Las opciones que más se repiten en las redes sociales son las siguientes:

    ElevenPaths Talks: Quebrando Aplicaciones

    martes, 4 de abril de 2017




    ¿Quieres saber cómo quebrar la seguridad de aplicaciones en procesos de Ethical Hacking? Este jueves 06 de abril nuestros expertos Pablo San Emeterio y Diego Espitia junto a un invitado especial, mostrarán las vulnerabilidades e inseguridades de las aplicaciones móviles, así como lo que suponen en cuanto a identidad y privacidad. No te pierdas este interesante webinar, ¡regístrate aquí!

    La duración de la charla será de 50 minutos y se impartirá en castellano. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, donde puedes debatir con nuestros expertos CSAs, antes y después del seminario.

    Recuerda, tienes una cita el próximo 06 de abril a las 15:30 h (CET). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks. ¡Reserva tu plaza y participa en este nuevo webinar gratuito!

    Más información en:
    talks.elevenpaths.com

    Blockchain (IV). Las entrañas de bitcoin. Transacciones, criptografía y ASICs

    lunes, 3 de abril de 2017

    Pareciera que en realidad, todo esto de bitcoin y blockchain no fuese sino una suerte de artes de magia negra, vudú y pastafarismo… ¿Quién se aventuraría en conocer cuál es el funcionamiento interno del bitcoin de manera voluntaria?

    Pero por otro lado, dónde estaría la emoción de todo esto si no cacharreamos un poco y tratamos de entender cómo encajan por fin los engranajes. Entendamos un poco mejor qué mecanismos vinculan nuestros eWallets y qué ocurre con los BTCs en los grandes pools de minería. Para ello tenemos que entender cómo se crean y almacenan las transacciones y en qué consiste la prueba de trabajo, uno de los procesos más importantes del bitcoin.

    ¿Para qué quieres saber eso?

    Soluciones de Gestión de Usuarios Privilegiados vitaminadas con Latch

    jueves, 30 de marzo de 2017


    Después de los dos artículos publicados en las semanas anteriores, donde se han definido conceptos de la gestión de accesos privilegiados, ventajas y usos. Ahora vamos a fortalecer (“vitaminar”) estas herramientas con la aplicación de Latch, nuestro cerrojo digital que nos proporciona una capa extra de seguridad.

    Eventos de ciberseguridad en abril que no te puedes perder

    martes, 28 de marzo de 2017


    Si quieres estar al día sobre seguridad informática no puedes faltar a las citas que hemos seleccionado para ti. Aquí tienes la lista de actividades en las que participamos a lo largo del mes de abril, si coincide alguna de ellas en tu ciudad, acércate a conocernos. También hay eventos online, a los que puedes asistir estés donde estés. ¡Haz hueco en tu agenda!

    ElevenPaths crea un addon para hacer Firefox compatible con Certificate Transparency

    lunes, 27 de marzo de 2017

    Certificate Transparency será obligatorio en Chrome para los nuevos certificados a finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Ningún otro navegador soporta Certificate Transparency todavía. Hasta ahora... Mozilla está en ello para hacerlo funcionar en Firefox pero no existe fecha oficial para publicarlo aún. En ElevenPaths, nos adelantamos a este acontecimiento y creamos el addon que permite la verificación de los certificados incrustados.

    Comprobación de los SCT incrustados en el certificado de nuestra página

    DirtyTooth: Es nuestro Rock’n Roll

    viernes, 24 de marzo de 2017

    Las comunicaciones vía bluetooth están aumentando constantemente. Millones de usuarios usan esta tecnología a diario para conectarse a dispositivos que nos ayudan a hacer nuestra vida más cómoda, desde wereables hasta altavoces o dispositivos de manos libres.

    DirtyTooth es un pequeño hack que se aprovecha de la configuración de iOS en lo que a administración de perfiles bluetooth se refiere, a través de este pequeño fallo se puede obtener mucha información sobre los usuarios y su entorno (desde números de teléfono hasta los últimos cambios de portabilidad realizados). Hemos pasado por la resaca post-evento de RootedCON, pronto esperemos poder enseñaros los vídeos.


    Cómo explotar en tres pasos la información de OpenStreetMap

    jueves, 23 de marzo de 2017

    El proyecto OpenStreetMap nació con el objetivo de ofrecer a sus usuarios información geográfica de libre uso. Es decir, que fueran estos los que tuvieran el poder de añadir información, corregir errores o incluso integrar los mapas con otras herramientas pero sin pagar por ellos. Sin embargo, ¿nos hacemos a la idea de la cantidad de información útil que la gente comparte con la comunidad a cambio de nada? Lo mejor de todo es que solo necesitamos seguir tres pasos para poder explotarla.

    Primer paso. Descargar QGIS
    Para trabajar con este tipo de información utilizaremos QGIS. Un sistema de información geográfica (GIS) software libre que opera bajo la licencia GNU GPL y que se puede descargar aquí. Como cualquier GIS, se trabaja con capas de información superponiendo unas con otras. En nuestro caso, como queremos trabajar con los mapas de OpenStreetMap, tenemos que ir a Complementos > Administrar e instalar complementos y nos descargaremos el plugin OpenLayers. En ese momento se nos habrá habilitado en la pestaña web los mapas tanto de OpenStreetMap como de Google o de Bing.

    Figura 1. Capa de OpenStreetMap.

    ElevenPaths y Wayra España buscamos a las tres mejores empresas de ciberseguridad

    martes, 21 de marzo de 2017

    Según IDG, se calcula que en el 2019 habrá una demanda de 6 millones de expertos en ciberseguridad para cubrir la demanda laboral que existirá y según Chris Bronk, catedrático de informática e investigador de ciberseguridad de la Universidad de Houston (USA), el mercado global de ciberseguridad crecerá por encima de los 120.000 millones de dólares en el 2017.

    La continua aparición de nuevas amenazas exige un continuo desarrollo de proyectos que den solución a los nuevos escenarios. Como comenta Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, “cuando aparece una nueva tecnología disruptora, como es el caso de la inteligencia artificial, dónde a través de servicios cognitivos es muy fácil reconocer una cara, el habla, el sentimiento u otras características biométricas, se abren un montón de posibilidades. Todas estas nuevas tecnologías potenciadas con el ‘cloud’ y abaratadas hacen que a los emprendedores se les eclosionen las neuronas y se les ocurran un montón de nuevas soluciones disruptivas, que dan lugar a que aparezcan cada vez más iniciativas emprendedoras en este sector. Además, hay que tener en cuenta que los atacantes también evolucionan su forma de atacar y están creando ataques disruptivos, por lo que es necesario responder con la misma disrupción a la hora de proteger los sistemas y defenderse de los ataques”.