Cuando la nube está muy lejos

miércoles, 26 de abril de 2017

Para la gran mayoría Cloud Computing es un hecho de la vida, pero ¿quién no ha tenido dudas respecto la idoneidad de la nube para ciertos escenarios?

En más de una ocasión aspectos como la latencia, la velocidad en la generación de datos, y en consecuencia el gran volumen de estos, el coste de las comunicaciones y las regulaciones proteccionistas, entre otros, imponen limitaciones al uso de un esquema puro “en la nube”. Como solución a estos inconvenientes se destaca una propuesta que permite seguir aprovechando las bondades de los sistemas distribuidos y que surge como un complemento, no una alternativa, a los esquemas anteriores: Fog Computing consiste en acercar el procesamiento de los datos al origen de los mismos para así aprovechar ventajas obvias como baja latencia y otras que iremos descubriendo en el desarrollo de este artículo. El resultado es un mejora substancial en la “calidad del dato.”

El caso de IoT
En su ambición por conectar todo lo que se pueda, el Internet de las cosas (IoT, por sus siglas en inglés) impone un modelo comunicacional que se apoya con fuerza en la nube; en algunos casos debido a la relativamente baja capacidad de procesamiento y almacenamiento de los dispositivos finales y en otros con el fin de simplificar la configuración, aumentar la usabilidad y sacar el mayor provecho de la ubicuidad de los usuarios en un enfoque tecnológico que está destinado a masificarse.

Un recorrido por el "metasploit" de la NSA y sus exploits para Windows

lunes, 24 de abril de 2017

En estos días, una de las noticias que ha generado mucho movimiento en la comunidad de seguridad ha sido la nueva publicación de TheShadowBrokers relacionada con el hackeo que originalmente habría sido realizado a la NSA alrededor de 2013. Esta vez, han compartido en un repositorio de GitHub una gran cantidad de datos que demuestran que la NSA tiene (¿tiene?) acceso a diversas entidades bancarias y financieras y al servicio SWIFT, como así también parte del "arsenal" de herramientas y exploits pertenecientes a dicha entidad, que afectan a diversas plataformas.


Los bugs de un smart contract podrían arruinar tu apuesta del próximo Real Madrid-Barcelona

jueves, 20 de abril de 2017

Tan solo quedan 80 horas para uno de los partidos más importantes de la temporada futbolística: Real Madrid - FC Barcelona. Y como de costumbre, solemos hacer apuestas sobre estos partidos entre compañeros de trabajo.

De forma habitual, un compañero confiable debería hacerse responsable de la recaudación de los participantes que se encuentren en la oficina de forma presencial, además de tener que encontrarse disponible, al menos, hasta el día del partido pudiendo darse la opción de que surgieran agentes boicoteadores. Sin embargo, como no queremos dejar de lado a nuestros compañeros de las diferentes sedes de ElevenPaths y tampoco hemos identificado a ese compañero «confiable durante 80 horas», hemos encontrado la solución perfecta: crear una aplicación descentralizada o dapp sobre la red de Ethereum.

Latch e IoT, una simbiosis perfecta

miércoles, 19 de abril de 2017



Internet of Things (y como diría el gran Goyo Jiménez, para los de la Logse, “El Internet de las cosas”) dejó ya de ser el futuro para convertirse en nuestro presente. Es difícil que en un día cualquiera no interactuemos de una forma u otra con algún dispositivo IoT: la radio que usamos por la mañana, la cámara que “cuida” de nuestro de bebé, el pulsímetro/reloj que usamos cuando salimos a correr o el coche que nos lleva al trabajo. IoT está en casi todas partes.


Figura 1: Vídeo del plugin de Latch para Mosquitto.

ElevenPaths Talks: jugando con apps de mensajería como WhatsApp, Telegram o Line

martes, 18 de abril de 2017

Las apps de mensajería instantánea como WhatsApp, Telegram o Line se han vuelto parte de nuestra vida. Las usamos todos los días para relacionarnosen el trabajo, los estudios, nuestras relaciones de pareja, con amistades o familiares, etc. La pregunta que te hacemos es... ¿son seguras las herramientas de mensajería en cuanto a la privacidad?

Nuestros expertos y CSAs de ElevenPaths, Claudio Caracciolo y Gabriel Bergel, junto a un invitado especial explicarán los fallos de seguridad en apps de mensajería móvil, algunas técnicas actuales de ataque así como, las soluciones para combatirlas

Este jueves 20 de abril haz hueco en tu agenda y conéctate al nuevo webinar online gratuito. La duración de la charla será de 50 minutos y se impartirá en castellano. Si quieres saber más acerca del tema, no dudes en pasarte por la Comunidad de ElevenPaths, donde puedes debatir con nuestros expertos CSAs, antes y después de la sesión.

Recuerda, tienes una cita el próximo 20 de abril a las 15:30 h (CET). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks. ¡Reserva tu plaza y participa en este nuevo seminario gratuito!

Más información en:
talks.elevenpaths.com

Certificados digitales: "Gran G" vs. "Gran S"

lunes, 17 de abril de 2017

Ryan Sleevi, uno de los ingenieros y responsables de Chrome, anunció el pasado 23 de marzo que este navegador iba a restringir los certificados de validación extendida (EV) emitidos por Symantec desde la versión 59 (presumiblemente para mayo) al menos durante un año. Según la "gran G" de Mountain View, esta decisión se basa en haber descubierto que la "gran S" (también de Mountain View) "había emitido más de 30.000 certificados incorrectos".

Según Google, la violación por parte de Symantec de los requerimientos bases de las CA se ha repetido en varias ocasiones, incluso con la creación de certificados de validación extendida emitidos en septiembre de 2015 a su nombre. Symantec, que emite más del 30% de los certificados del mundo, debió realizar una auditoría en su proceso de validación de certificados e incluso reconoció haber despedido personal por este evento.


Limitando el ámbito de uso de nuestros secretos en Latch con “Limited Secrets”

miércoles, 12 de abril de 2017

Cuando creamos como desarrollador una aplicación de Latch, ésta nos proporciona un identificador de aplicación (appId) y un secreto.

Éste par de claves nos permiten firmar las peticiones realizadas a la API, para garantizar que somos los dueños legítimo de dicha aplicación.

Ejemplo de identificador de aplicación y secreto en una aplicación.

ElevenPaths entra a formar parte de los principales miembros de la alianza de NoMoreRansom.org

lunes, 10 de abril de 2017

El Ransomware ha generado en las empresas tecnológicas y a usuarios en general un impacto muy negativo durante los últimos años. El auge de este tipo de amenazas a las empresas junto al lucrativo negocio que esto supone para los criminales lo convierten en uno de los retos más acuciantes y complejos de ciberseguridad en la actualidad. En este contexto, iniciativas como el proyecto NoMoreRansom (NMR) cobra especial relevancia y tras nueves meses desde su lanzamiento, ha acaparado ya interés por parte de agencias gubernamentales y compañías privadas del sector de la ciberseguridad.

La plataforma www.nomoreransom.org tiene el claro objetivo de, por un lado, asistir y permitir a las víctimas del ransomware la recuperación de su documentación cifrada sin tener que pagar a los criminales. Por otro, perseguir desde el plano legal a los responsables de estas estafas compartiendo información entre las fuerzas de seguridad. ElevenPaths aporta su experiencia en este campo desarrollando y ofreciendo gratuitamente una herramienta a esta iniciativa, lo que gracias a la labor del área de innovación y laboratorio, le ha permitido formar parte del consorcio, como una de las siete entidades asociadas, junto con Avast, Bitdefender, CERT de Polonia, Check Point, Emsisoft y Kasperksy.



El ENS contra la fuga de metadatos

miércoles, 5 de abril de 2017

Ya tenemos entre nosotros la nueva Guía de Seguridad de la TIC más concretamente el CCN-STIC-835 que habla concretamente del borrado de los metadatos y datos ocultos como medida de seguridad y protección de la confidencialidad de la información y que debe ser parte de las medidas para cumplir con el ENS (Esquema Nacional de Seguridad).

Cada vez hay una mayor concienciación por parte de las empresas y personas en eliminar toda aquella información sensible que exponemos cuando publicamos o compartimos documentos o archivos multimedia. Este problema de seguridad está presente en muchas organizaciones y organismos públicos y de cara a cumplir con el ENS el Ministerio de Hacienda ha creado esta Guía de buenas prácticas que nos enseña cómo realizar la detección y el borrado seguro de metadatos que todos los archivos llevan siempre asociados.

Ilustración 1: Información incrustada que puede contener un archivo.

Desprotegidos por defecto

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), destinado a proporcionar a los ciudadanos de la Unión Europea un mayor control sobre sus datos personales, introduce un nuevo concepto que deberán adaptar tanto fabricantes de tecnología como desarrolladores de aplicaciones y redes sociales: la privacidad por defecto.

Con este principio se pretende proporcionar privacidad tanto en el contenido como en los metadatos obtenidos del usuario (por ejemplo, localización y tiempo de la llamada) y que necesitarán encontrarse anonimizados o borrados si el usuario no ha dado su consentimiento. A pesar de que GDPR define el término consentimiento como «un acto afirmativo claro que refleje la voluntad del interesado de aceptar el tratamiento», en la actualidad nos encontramos ante servicios que, por defecto, habilitan casillas ya marcadas de las que el usuario no es consciente. Las opciones que más se repiten en las redes sociales son las siguientes:

ElevenPaths Talks: Quebrando Aplicaciones

martes, 4 de abril de 2017




¿Quieres saber cómo quebrar la seguridad de aplicaciones en procesos de Ethical Hacking? Este jueves 06 de abril nuestros expertos Pablo San Emeterio y Diego Espitia junto a un invitado especial, mostrarán las vulnerabilidades e inseguridades de las aplicaciones móviles, así como lo que suponen en cuanto a identidad y privacidad. No te pierdas este interesante webinar, ¡regístrate aquí!

La duración de la charla será de 50 minutos y se impartirá en castellano. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, donde puedes debatir con nuestros expertos CSAs, antes y después del seminario.

Recuerda, tienes una cita el próximo 06 de abril a las 15:30 h (CET). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks. ¡Reserva tu plaza y participa en este nuevo webinar gratuito!

Más información en:
talks.elevenpaths.com

Blockchain (IV). Las entrañas de bitcoin. Transacciones, criptografía y ASICs

lunes, 3 de abril de 2017

Pareciera que en realidad, todo esto de bitcoin y blockchain no fuese sino una suerte de artes de magia negra, vudú y pastafarismo… ¿Quién se aventuraría en conocer cuál es el funcionamiento interno del bitcoin de manera voluntaria?

Pero por otro lado, dónde estaría la emoción de todo esto si no cacharreamos un poco y tratamos de entender cómo encajan por fin los engranajes. Entendamos un poco mejor qué mecanismos vinculan nuestros eWallets y qué ocurre con los BTCs en los grandes pools de minería. Para ello tenemos que entender cómo se crean y almacenan las transacciones y en qué consiste la prueba de trabajo, uno de los procesos más importantes del bitcoin.

¿Para qué quieres saber eso?