Latch al rescate para cumplir con el requerimiento 8.3.1 de Autenticación Multi-Factor (MFA) de PCI DSS 3.2

martes, 23 de mayo de 2017

A modo de introducción, PCI DSS es un estándar internacional que regula el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito, nació como respuesta a la estandarización en un estándar común por parte de las marcas de tarjeta de crédito, ya que antes c/u tenía un estándar distinto de seguridad. Para esto se creó un Council (PCI Council) compuesto por personas de bancos, marcas y empresas a fines, quienes desarrollan y mantienen una serie de estándares y certificaciones asociadas a seguridad de la información asociado a tarjetas de crédito.

Como respuesta a las últimas grandes brechas de seguridad ocurridas sobre todo en grandes comercios de retail mediante phishing (Target, Home Depot y otras brechas) es que el Council se ha visto obligado a actualizar con más frecuencia el estándar PCI DSS, en su última versión la 3.2 de abril del 2016 incluye un nuevo requerimiento de seguridad o mejor dicho, una nueva exigencia para cumplirlo. El requerimiento principal del cual hablamos es el número 8: “Identificar y autenticar el acceso a los componentes del sistema”. En este requerimiento en el punto 8.3.1 aparece una nueva consideración importante acerca de la autenticación multi-factor (MFA), necesaria para todos los accesos que no son de consola y remotos al entorno de cumplimiento PCI DSS, recordemos que la base de la autenticación multi-factor surge del uso de dos o más factores durante el proceso de autenticación. Estos factores son:
  • SYK (Something You Know): Algo que el usuario sabe (como una contraseña)
  • SYH (Something You Have): Algo que el usuario tiene (como una smart card)
  • SYA (Something You Are): Algo que el usuario es o hace (como una huella digital) 
La nueva exigencia del punto 8.3.1 explicada en un boletín enviado por el council en diciembre del 2016 indica lo siguiente:

El auge de los troyanos bancarios para Android: Quién, cómo y por qué

lunes, 22 de mayo de 2017

Entre las amenazas más peligrosas para los usuarios de móvil se encuentra el malware bancario. Estos programas están diseñados para robar información bancaria del usuario para posteriormente transferir sus fondos a las cuentas del atacante. A lo largo del tiempo, los atacantes siempre han encontrado la manera de superar obstáculos implementados para frenar su propagación. Algunos ejemplos de éstos son los sistemas basados en un segundo factor de autenticación, así como los propios mecanismos de seguridad habilitados en las diferentes versiones Android.

Curiosamente, el malware bancario para móviles no requiere de demasiado conocimiento técnico para su desarrollo, e incluso aún menos para su explotación. El funcionamiento de este tipo de malware se puede resumir en dos pasos:

  • La Identificación de aplicaciones de banca instaladas en el dispositivo infectado.
  • Introducción de una pantalla superpuesta sobre la aplicación legítima una vez el usuario arranca la aplicación. El usuario introduce sus credenciales y éstas son enviadas directamente al servidor del atacante.

Wannacry File Restorer Alpha 0.1 versión escritorio ya disponible

viernes, 19 de mayo de 2017



El jueves 18 de mayo publicábamos medidas a tener en cuenta si has sido infectado con el ransomware Wannacry. Hablamos de métodos que se estaban utilizando para poder recuperar parte de la información afectada por el ransomware, siempre y cuando éste no hubiera terminado de cifrar el contenido. El script de Powershell Wannacry File Restorer publicado tiene un enfoque de uso para los equipos de IT, ya que estos podrán ejecutarlo en un dominio y poder recuperar aquellos archivos que el ransomware no tuvo tiempo de cifrar.

Hoy queremos enseñar una herramienta que se ha desarrollado de manera urgente para que usuarios de escritorio puedan escanear su equipo en busca de los “ansiados” ficheros WNCRYT. Hay que recordar que este tipo de ficheros son archivos temporales utilizados por Wannacry y que no se encontraban cifrados, por lo que pueden ser restaurados.

Telefónica WannaCry File Restorer ¿Cómo recuperar información borrada por WannaCry?

jueves, 18 de mayo de 2017



Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una buena práctica es acordarse dónde se encuentra la información y una vez se ha llevado a cabo la limpieza de la infección, os queremos recordar que:
  • Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que éste los afectara. Os mostraremos en este artículo un trick que permitiría recuperar parcialmente información afectada por Wannacry.
  • Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red.
  • Información de unidades compartidas y las unidades en la cloud.
  • Información en el correo de Office365 y unidades de datos de Office 365.
  • Información en dispositivos extraíbles, como puede ser un pendrive.
  • Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección.

Big Data for Social Good in Action 2017

miércoles, 17 de mayo de 2017


El próximo 18 de Mayo, a las 19.00 en Wayra, en la sede de Telefónica en Gran Vía,  se celebra el evento Big Data for Social Good en Telefónica con el objetivo de reunir a todas aquellas personas que quieran transformar el Big Data for Social Good de "storytelling" a "storydoing". Queremos construir una comunidad con partnerships y colaboradores que permitan que, juntos, podamos llegar a los objetivos de desarrollo sostenible, sacando el máximo jugo al Big Data, Data Science, Inteligencia Artificial y Machine Learning.

El Big Data y la Inteligencia Artificial jugarán un papel crucial en la evaluación de nuestro progreso en los Objetivos de Desarrollo Sostenible de Naciones Unidas utilizando datos de pago para medir el impacto económico de los terremotos, sirviéndose de imágenes satélite para señalar zonas de riesgo de inundación, identificando preguntas en motores de búsqueda para monitorear la propagación del dengue o incluso usando datos móviles para analizar el nivel de analfabetismo en zonas de difícil acceso. Las posibilidades son infinitas. La agenda del evento es la siguiente:

Politica Referrer

martes, 16 de mayo de 2017

Hoy en día es muy común moverse entre webs por medio de enlaces, muchos blogs lo utilizan para guiar a sus usuarios de noticia a noticia. Cuando entramos a una web esta puede conocer cuál es tu web de origen, esto es gracias una variable de las cabeceras que se envía tanto al cliente como al servidor llamada “referrer”, esta variable la podemos encontrar en los protocolos http y https.


Hasta hace unos meses la cabecera de http referrer funcionaba del siguiente modo; al pasar de unan página http a otra del mismo tipo u otra con protocolo https se incluía el referrer en la cabecera, al pasar de una página https a otra del mismo tipo el funcionamiento era el mismo, sin embargo, al pasar de una página https a una con http el referrer no se incluía.

Recientemente esto ha cambiado con la llegada de 7 nuevas políticas que permiten decidir a qué páginas les enviamos dicha información sobre nuestro origen. Tras investigar un poco el funcionamiento de estas nuevas políticas podemos afirmar que hay algunas más seguras que otras si queremos mantener a salvo nuestra privacidad.

ElevenPaths participa en JNIC 2017 y sus retos científicos, impulsando la investigación de ciberseguridad

lunes, 15 de mayo de 2017

Del 31 de mayo al 2 de junio tendrá lugar la tercera edición de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC). Esta edición ha sido organizada por la Universidad Rey Juan Carlos en colaboración con el Instituto Nacional de Ciberseguridad (INCIBE), que como actor fundamental en el ámbito de la Ciberseguridad, coordina actuaciones y esfuerzos con el resto de organismos públicos y privados, nacionales e internacionales, que trabajan en esta materia.



Ponemos bajo la lupa el informe anual de seguridad en Android de Google

viernes, 12 de mayo de 2017


El mes pasado, Google publicó su tercer informe anual de seguridad sobre las protecciones de seguridad de Android, con el objetivo de enviar un mensaje claro al mundo sobre el malware móvil (o PHA, Potencially Harmful Applications, como prefieren denominarlo): dispositivos, aplicaciones y usuarios de Android están más protegidos que nunca. Y todo el ecosistema de Android es ahora más seguro.

Transmitir mensajes positivos está bien, pero es importante ser realista. Eso es lo que nos hace mejorar. Hemos retorcido algunas de las cifras y datos incluidos en el informe, y finalmente hemos llegado a la conclusión de que es difícil pensar que el ecosistema Android es en realidad tan seguro como Google afirma, especialmente teniendo en cuenta que la terminología empleada no es clara y en algunos casos los números no cuadran.

Al final es una cuestión de qué entendemos por “malware”
Según el informe, el termino PHA corresponde a "aplicaciones que podrían poner en riesgo a usuarios, datos de usuario o dispositivos". Esto incluye entre muchos otros, troyanos, spyware o apps de phishing. Eso está bien, pero, como reconoció Google, "también somos menos estrictos en nuestra definición de ciertos PHAs respecto a lo que algunos usuarios esperarían. Un ejemplo clásico es el spam publicitario, que definimos como una aplicación que presenta publicidad al usuario de una manera inesperada, por ejemplo en la pantalla de inicio del dispositivo o en la pantalla de bloqueo". Esto quiere decir que Google no tiene en cuenta el adware agresivo, uno de los problemas más comunes para el usuario final de Google Play, como PHA. No encontramos indicios de una definición agresiva de adware incluida dentro de la clasificación del equipo de seguridad de Google Android para aplicaciones potencialmente perjudiciales (PHA). ¿Cuán agresivo puede llegar a ser este “spam publicitario” o adware? No lo sabemos. Algunas de las “denominadas” campañas publicitarias terminaron rooteando el dispositivo y no sabemos si son considerados PHA. Esto lógicamente deriva en un descenso de las cifras, y seguramente represente uno de los principales gaps con los que las empresas de Antivirus y el propio Google juegan.


ElevenPaths Talks: Asegurando los host (modo paranoico)

jueves, 11 de mayo de 2017


Tal y como nos habéis pedido, para esta tercera temporada hemos decidido publicar los vídeos directamente de la serie ElevenPaths Talks en nuestro canal de YouTube para que puedas verlo todas las veces que quieras en el momento que tú elijas sin necesidad de registrarte. A partir de ahora, todos los jueves te esperamos a las 15.30 h. (CET) en nuestro canal de YouTube.

Nuestros expertos y CSAs de ElevenPaths, Arsene Laurent y Gabriel Bergel, junto a un invitado especial explican en este seminario cuáles son los principales riesgos tanto por parte de un atacante externo como por parte de un empleado descontento, pero por sobre todo hablaremos bastante sobre cuáles son las principales herramientas para proteger una estación de trabajo de una empresa (o incluso la personal).

Si quieres saber más acerca del tema, no dudes en pasarte por la Comunidad de ElevenPaths, donde puedes debatir con nuestros expertos CSAs, antes y después de la sesión.

Os dejamos todas los seminarios completos de nuestras tres temporadas:

» ElevenPaths Talks - Temporada 1
» ElevenPaths Talks - Temporada 2
» ElevenPaths Talks - Temporada 3

Si eres un amante de la seguridad informática no te puedes perder estas citas con otros profesionales y expertos del mundo de la ciberseguridad. 

Más información en:
talks.elevenpaths.com

Estrategias de defensa para la lucha contra las amenazas avanzadas

miércoles, 10 de mayo de 2017

Los avances tecnológicos, intereses económicos, sociales y políticos han generado un nuevo contexto de amenazas avanzadas que nunca antes se habían presentado. Estas nuevas amenazas son mucho más sofisticadas tecnológicamente, disponen de más recursos y no son detectadas por las soluciones y servicios tradicionales de seguridad. Esta problemática afecta hoy en día tanto a pequeñas como a grandes organizaciones y organismos públicos convirtiéndose todos ellos en un potencial objetivo dado que las soluciones de seguridad tradicionales (AV, firewall, IDS, DLP, etc.) no han sido capaces de dar respuesta de forma efectiva.

En este sentido, una protección efectiva frente a este nuevo tipo de amenazas debe combinar medidas de seguridad de infraestructura y perímetro tradicionales, junto con sistemas específicos para la detección de amenazas avanzadas con el fin de dificultar la intrusión inicial, reducir la posibilidad de escalada de privilegios, limitar el daño y detectar cualquier tipo de actividad sospechosa de forma temprana. Adicionalmente tras la materialización de una amenaza, debe ser posible recopilar la información que precisan los investigadores forenses para determinar el daño provocado, cuándo se ha producido y quién es el causante.

DIVERSIDAD DE ENFOQUES EN LA INDUSTRIA

Como respuesta al escenario actual, la industria está evolucionando ante las nuevas amenazas desarrollando soluciones, tanto ubicadas en la red como en el endpoint, para tratar de cubrir el espectro más amplio posible y así hacer frente a las diferentes variantes y particularidades que las caracterizan.

Eventos de ciberseguridad de ElevenPaths en mayo que no te puedes perder

martes, 9 de mayo de 2017

SECURITY DAY 2017_CYBERSECURITY BEATS
El próximo 31 de mayo celebramos la IV edición de nuestro evento anual de seguridad, Security Day donde presentamos nuestras últimas novedades tecnológicas. Bajo el lema de Cybersecurity beats_ os enseñaremos de la mano de nuestros partners y clientes cómo nuestras herramientas de seguridad están diseñadas para tomar el pulso a la seguridad de la información de las empresas. Tienes todo el detalle de la agenda en la web de registro que hemos preparado con todo lo que necesitas saber sobre el evento.

Aquí puedes registrarte y conseguir tu plaza si todavía no lo has hecho.


Nuevo plugin para FOCA: SCT Checker

lunes, 8 de mayo de 2017

Desde el punto de vista de un auditor o pentester, conocer si un certificado se encuentra en los logs de Certificate Transparency correspondientes, en cuáles y cuándo fue incluido, puede aportar cierta información interesante que más tarde puede complementar otras fases del proyecto. Con esto en mente, hemos creado un sencillo y nuevo plugin para FOCA, que permitirá consultar el SCT de un certificado incrustado y toda su información correspondiente.

Certificate Transparency será obligatorio en Chrome para los nuevos certificados a finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Hace unos meses presentamos el primer plugin para Firefox que añadía esta funcionalidad, y ahora hemos portado esa fórmula a FOCA, para que sus usuarios puedan consultar la información desde diferentes fuentes.

Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS. Auspiciado por Google, básicamente hace que todos los certificados emitidos sean introducidos en unos servidores especiales llamados logs, para que en el caso de que un atacante cree un certificado falso, se enfrente a un dilema: si el certificado falso no se introduce en los logs, levantaría sospechas, pero si se registra, se detectará más rápido.

Mamá, yo quiero ser hacker

viernes, 5 de mayo de 2017

Mamá, yo quiero ser hacker.


El concepto hacker es asociado la mayoría de las veces a figuras masculinas techies y geeks. Pero, ¿por qué es tan difícil encontrar referentes femeninos en el mundo de la tecnología? El motivo lo podríamos encontrar en esta charla TED apasionada y muy animada de Christopher Bell, estudioso de los medios y padre de una hija obsesionada con Star Wars, donde abordaba la falta alarmante de superheroínas en los juguetes y productos comercializados para niños, y lo que eso significa para la forma en que les mostramos el mundo. De la misma manera, según varios estudios, a la edad de 11 años muchas niñas se sienten atraídas por la tecnología, las ciencias y las matemáticas pero, pierden el interés al cumplir los 15 años.

Ante este reto, desde Telefónica, a través de la unidad de Chief Data Office (CDO) liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad- y LUCA -Big Data-, reflexionamos sobre esta tendencia que parece repetirse en diversos ámbitos y nos propusimos "hackear" la diversidad.

Protección de cuentas Twitter con Latch y Cloud TOTP

jueves, 4 de mayo de 2017

Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger sus cuentas más utilizadas. Anteriormente se realizó una demostración sobre cómo proteger cuentas de Gmail, Outlook, Salesforce, Facebook y Wordpress con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con Twitter. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo se ve cómo funciona.

PREPARANDO TWITTER
En primer lugar, iniciamos sesión con nuestra cuenta de Twitter y accedemos al enlace Mi cuenta. A continuación podremos encontrar el apartado Seguridad  y debajo de este deberemos marcar la casilla Verificación de inicio de sesión. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Twitter ofrece. En este caso nos centraremos en la de TOTP.



Security Day 2017_ Cyber Security beats

miércoles, 3 de mayo de 2017




El lema de la cuarta edición de nuestro Security Day es Cybersecurity Beats. Una jornada de seguridad y tecnología donde este año enseñaremos cómo nuestras herramientas de seguridad toman el pulso a los sistemas de la información de tu empresa. Algunos de los temas que hemos seleccionado para este día son el obligado cumplimiento de la normativa en GDPR a partir del 25 de mayo de 2018 y cómo estar preparado con nuestra plataforma SandaS GRC, las últimas incorporaciones al programa de alianzas y partners de ElevenPaths, así como la integración de soluciones de seguridad  para ayudar a las empresas a combatir ciberataques contra sus infraestructuras tecnológicas. Además, contaremos con la participación en primera persona de algunos de nuestros partners con los que compartiremos escenario para enseñaros las últimas integraciones que hemos realizado conjuntamente, como por ejemplo con MTP de Check Point y Tacyt. Como novedad, también presentaremos nuestro Path6 (¡ya tiene nombre!) que os desvelaremos ese día en primicia, algunos ciberataques en los que hemos participado este año, la entrega de premios a cargo de Chema Alonso de los plugins y hacks ganadores de nuestro concurso anual de talento Latch Plugins Contest y muchas novedades más.

ElevenPaths y la Universidad de Piraeus en Grecia colaboran usando Tacyt como elemento formativo y de investigación

lunes, 1 de mayo de 2017

ElevenPaths y el Department of Informatics de la Universidad de Piraeus en Grecia inician una colaboración conjunta destinada a la realización de estudios e investigaciones sobre aplicaciones móviles con la intención de explorar los vínculos entre éstas y ciertas actividades fraudulentas. Adicionalmente proporcionando una plataforma orientada a la formación de estudiantes e investigadores.