Top 5: los posts más leídos en 2017

sábado, 30 de diciembre de 2017

Hoy en día estamos expuestos a sufrir ataques cada vez más sofisticados y frecuentes que ponen en peligro nuestro negocio, reputación, privacidad y confianza de nuestros clientes. Por eso, desde ElevenPaths proponemos ser cada vez más receptivos a las medidas de ciberseguridad y redefinir nuestra estrategia hacia la ciber-resiliencia. Junto a nuestros expertos, analistas y CSAs (Chief Security Ambassadors) hemos publicado un total de 237 posts. Y para despedir el año, queremos compartir con vosotros lo mejor de estos 365 días de información sobre ciberseguridad e innovación.


Vente a crear tecnología a la unidad Chief Data Office de Telefónica

viernes, 29 de diciembre de 2017


Vente a crear tecnología a la unidad Chief Data Office de Telefónica

¡Hola Hacker!

La tecnología está en constante evolución y nosotros con ella. Por eso, desde Telefónica, a través de la unidad de Chief Data Office (CDO) liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad-, LUCA -Big Data- y la Cuarta Plataforma, buscamos nuevos talentos apasionados por la tecnología aplicada a la inteligencia artificial en entornos de desarrollo Android.

Si eres alguien quien tiene el conocimiento, la experiencia y la motivación para cambiar las reglas del juego, la unidad de CDO de Telefónica es tu sitio.

Carol Shaw: la primera mujer diseñadora y programadora de videojuegos

miércoles, 27 de diciembre de 2017


Ilustración Carol Shaw
Ilustración realizada por Catalina Guzmán

"Out the way world, I've got my sassy pants on today".
Carol Shaw

Para Carol Shaw jugar a los videojuegos era su forma de divertirse usando el ordenador. Por eso, quiso dedicarse profesionalmente a ello. Esta decisión la llevó a trabajar en Atari, compañía pionera en juegos de arcade que la convirtió en la primera mujer diseñadora y programadora de videojuegos. 

Entornos de test públicos: un pequeño análisis de las (malas) prácticas en España

lunes, 25 de diciembre de 2017

Todo entorno de programación serio requiere un entorno de prueba en el que poder verificar si el desarrollo de nuevas funcionalidades se ha realizado de forma correcta. Si nos ceñimos a la web, no es complicado encontrar ambientes de producción como podrían ser www.elevenpaths.com, y otro de desarrollo donde "experimentar", que bien podría ser test.elevenpaths.com. Imaginemos que estos subdominios no quedan bien restringidos por alguna razón, y se exponen públicamente. El riesgo es obvio: son entornos de desarrollo, pruebas... por definición, sujetos a fallos, errores o incluso a mostrar "las vergüenzas" de una página.  Sin embargo, ¿existe alguna forma de detectar estos sub-dominios de pruebas? ¿Es común exponerlos? ¿Cuáles son los prefijos más comunes para identificar estos entornos de desarrollo en España? Vamos a averiguarlo.

Historias de #MujeresHacker: Ivonne Pedraza, experta en Seguridad de la Información de Telefónica

viernes, 22 de diciembre de 2017


Ivonne Pedraza, Telefónica Cyber Security Business Development

Esta semana presentamos la historia de Ivonne Pedraza que, cómo Cyber Security Business Development, vive con dedicación su trabajo dentro del mundo tecnológico. Hoy nos cuenta  sus motivaciones, consejos y experiencia en el sector STEM. 

ElevenPaths Talks: Las fuerzas de seguridad y el cibercrimen

jueves, 21 de diciembre de 2017

Imagen ElevenPaths Talks: Las fuerzas de seguridad y el cibercrimen webinar de ciberseguridad


¿Planes para hoy a las 15:30h (CET)? ¡Ahora sí! Te traemos el último webinar de la tercera temporada de ElevenPaths Talks protagonizado por nuestros Chief Security Ambassadors (CSAs)  Jorge Rivera y Carlos Ávila. Además, contaremos con una invitada muy especial, la experta en ciberseguridad Silvia Barrera.

Girls Inspire Tech #GIT2017: el laboratorio tecnológico de CDO para hijas de empleados de Telefónica

miércoles, 20 de diciembre de 2017




Desde Telefónica creemos que para crear tecnología hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Por eso, el sábado 16 de diciembre celebramos el evento Girls Inspire Tech #GIT2017, una iniciativa liderada por las #MujeresHacker que trabajan en Telefónica CDO, la unidad de Chief Data Office (CDO), liderada por Chema Alonso, que integra Aura, -Inteligencia Cognitiva-, ElevenPaths, -Ciberseguridad-, LUCA, -BigData- y Cuarta Plataforma.

Durante la jornada, nuestras mini-hackers compartieron una mañana llena de tecnología e inspiración con charlas, juegos, experimentos y concursos…muy tech.

#CyberSecurityPulse: El boom de los minadores JavaScript

martes, 19 de diciembre de 2017

OWASP La pregunta más recurrente estos últimos meses derivado del repunte en el valor de numerosas criptodivisas es: ¿Invierto o no invierto? Sin embargo, como sabemos, existen diferentes formas de obtener criptodivisas y, una de ellas, es a través del minado. Una opción cada vez más costosa desde el punto de vista de los gastos incurridos para llevarlo a cabo. Es en este punto cuando sale a relucir la picaresca de ciertos atacantes. Investigadores de seguridad de F5 Networks han detectado una campaña de malware, denominada como Zealot, dirigida a servidores Linux y Windows para instalar mineros de Monero. Los expertos observaron que los threat actors trataban de escanear Internet en busca de servidores particulares no parcheados y los comprometían con dos exploits, uno para Apache Struts (CVE-2017-5638) y otro para el CMS DotNetNuke ASP.NET (CVE-2017-9822).

Guerra abierta para evitar la minería no autorizada de criptodivisas cuando navegamos

lunes, 18 de diciembre de 2017

Un reciente informe de CheckPoint señalaba hace unas semanas que las aplicaciones que utilizaban la CPU de los usuarios para minar la criptodivisa Monero supusieron la sexta amenaza más importante del mes de octubre. Este repunte tiene lugar semanas después de que se empezara a identificar sitios web de tráfico relevante que ponen en práctica este método de financiación alternativo. Pero, ¿entendemos lo que conlleva la proliferación de este tipo de prácticas?

Nueva prueba de concepto (POC): Hidden Networks

sábado, 16 de diciembre de 2017

Hace unos meses publicamos un kit de utilidades realizadas en PowerShell (principalmente enfocadas a administradores de sistemas) destinadas a realizar una trazabilidad de los diferentes equipos por los cuales un dispositivo USB ha sido conectado dentro de la red de nuestra empresa. Los resultados obtenidos son realmente sorprendentes, ya que estas redes “alternativas” pueden conectar ordenadores que incluso están físicamente aislados entre sí en diferentes segmentos de red y también conectar equipos que teóricamente están totalmente aislados de Internet.

Ahora hemos dado un paso más para facilitar esta tarea de descubrimiento de estas “redes ocultas” y hemos creado una nueva prueba de concepto (POC) desarrollada en Python versión 3.4 llamada Hidden Networks:

Imgen Panel principal POC Hidden Networks ElevenPaths
Panel principal de la prueba de concepto Hidden Networks.

Historias de #MujeresHacker: Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica

viernes, 15 de diciembre de 2017



Esta semana os traemos el relato de Rosa María Castillo, una de las expertas en I+D de la compañía que lidera la parte de Telefónica Information Systems. Ella es una de las mujeres que con pasión y talento, ayuda a mejorar nuestras tecnologías día a día.

Grace Murray Hopper: Inventora del COBOL y del término "bug"

miércoles, 13 de diciembre de 2017

Ilustración Grace Murray Hopper
Ilustración realizada por Catalina Guzmán

“Tú gestionas cosas. Tú lideras personas”.
Grace Hopper

Grace Hopper, también conocida como “Amazing Grace”, fue la primera mujer almirante de EE.UU, ingeniera en computación, desarrolladora de softwares, y pionera en programación que contribuyó a la industria tecnológica con la creación del lenguaje de COBOL y el término “bug”.

#CyberSecurityPulse: El Ejército de Estados Unidos lanza un programa para captar civiles en ciberseguridad

martes, 12 de diciembre de 2017

OWASP El Ejército de Estados Unidos ha aprobado un programa para reclutar expertos con experiencia en ciberseguridad directamente en el servicio en un intento de reforzar un campo en crecimiento que los líderes militares consideran vital para la seguridad nacional. Sin embargo, esta medida, aprobada por el Pentágono y el Congreso, se trata de un piloto. De momento, busca traer cinco nuevos oficiales cada año, durante cinco años.

Breaking Out HSTS (and HPKP) on Firefox, IE/Edge and (possibly) Chrome. Nuestra presentación en Black Hat

lunes, 11 de diciembre de 2017

Durante mucho tiempo hemos investigado sobre HSTS, HPKP, certificate pinning y tecnologías TLS en general. Como efecto colateral de este trabajo hemos encontrado algunas debilidades interesantes en la forma en la que Firefox, Chrome e IE/Edge implementan ambos mecanismos: HSTS y HPKP. Usando este estudio, fuimos seleccionados para la Black Hat Europe 2017 en Londres, donde hablamos, el pasado 7 de diciembre, en la sección de briefings. Estos son algunos detalles sobre lo que hemos presentado, a modo de resumen de la presentación disponible aquí.

ElevenPaths en Black Hat Europe 2017

#CyberTricks de ElevenPaths

domingo, 10 de diciembre de 2017


El pasado jueves, 30 de noviembre, se celebró el Día Mundial de la Ciberseguridad. Desde ElevenPaths hemos redactado un decálogo de #CyberTricks con ciberconsejos de algunos de nuestros expertos: Chema Alonso, Pablo San Emeterio, Yaiza Rubio, Carmen Torrano y Félix Brezo, para saber dónde tenemos que poner atención cuando estamos conectados desde nuestros dispositivos. 

Quiénes mejor que los grandes referentes del sector de la ciberseguridad, que conocen de primera mano las vulnerabilidades más comunes, para recordarnos la importancia de estar informado sobre los riesgos reales de la red y adelantarnos qué debemos hacer si queremos estar protegidos manteniendo a salvo nuestra información en la red.

Cibertricks o ciberconsejos de ElevenPaths

#CodeTalks4Devs: Detección de anomalías en el tráfico de red utilizando Machine Learning

sábado, 9 de diciembre de 2017

Imagen de recurso Code Talks for Devs


En la próxima sesión de nuestra serie Code Talks for Devs, una de nuestras #MujeresHacker y developer, Carmen Torrano, nos habla sobre la detección de anomalías en tráfico red utilizando Machine Learning. Esta reflexión la realizará mediante un caso de uso práctico, basado en el análisis de algoritmos aplicados a Machine Learning. 

Torrano ofrecerá, mediante este webinar, una visión práctica sobre cómo usar las librerías de datascience Pandas y de Machine Learning Scikit-Learn, así como recursos tipo transformadas y los pipelines. Estos últimos resultan muy útiles a la hora de trasladar características del tráfico de red para analizarlas mediante algoritmos.

¡Recuerda! El próximo miércoles, 13 de diciembre, tienes una cita en nuestra comunidad para asistir a este webinar y, además, dejar tus comentarios a nuestros expertos. El talk estará disponible a partir de las 15;30 horas (CET). ¡Aprende con nuestra hacker!


#CyberSecurityPulse: Las inyecciones de código y los XSS, entre las vulnerabilidades más detectadas en 2017

martes, 5 de diciembre de 2017

OWASP El Proyecto abierto de seguridad en aplicaciones web (OWASP, por sus siglas en inglés) acaba de actualizar la lista de las diez principales vulnerabilidades web por primera vez desde 2013 pero, tras revisarlo, no ha cambiado demasiado. Según esta lista, las mayores vulnerabilidades son aquellas producidos por cualquier fallo derivado de inyecciones de código y cross site scripting (XSS) siguen estando en el top ten a pesar de que estos errores hayan estado plagados en las aplicaciones web desde hace una década y media. En este sentido, el Informe de Investigaciones de brechas de seguridad (DBIR) realizado por Verizon viene a validar desde otro punto de vista estos datos. Durante 2017 se encontraron 1.935 brechas confirmadas y analizadas, y unas 571 implicaron ataques a aplicaciones web.

Ponemos a prueba RopeMAKER, correos que cambian su contenido una vez llegan a la bandeja de entrada

lunes, 4 de diciembre de 2017

¿Qué ocurriría si un correo electrónico tuviese la capacidad de cambiar el contenido de forma dinámica una vez que ya hubiese sido entregado? Esto sería un verdadero desafío para los sistemas anti-spam, habitualmente situados a nivel de MTA y que procesan los correos antes de llegar a la bandeja de entrada. También para los sistemas que se basan en reputación del remitente, análisis de adjuntos o de los enlaces contenidos en el correo. ¿Cómo podría un atacante eludir estos obstáculos que, aunque no garanticen en éxito del ataque, sí que permitirían eludir buena parte de los obstáculos a los que se puede enfrentar? Vamos a probar esta técnica con dos clientes de correo muy comunes: Apple Mail y Outlook.

Buena parte de ataques a compañías y usuarios particulares comienza con un correo electrónico que aloja algún tipo de contenido fraudulento. Bien sea un fichero que alberga malware, o bien sea un enlace a un sitio web comprometido que sirve como primer punto de descarga del contenido malicioso.

Eventos de diciembre en ciberseguridad

domingo, 3 de diciembre de 2017

Imagen eventos del mes de diciembre

Con el año 2017 a la vuelta de la esquina, desde ElevenPaths no descansamos. Os presentamos todos los eventos para este mes de diciembre repleto de fiestas y celebraciones, y como no, seguridad informática.

Historias de #MujeresHacker: Paula López, Data Scientist en la 4ª Plataforma de Telefónica

viernes, 1 de diciembre de 2017



Paula López, Data Scientist de Telefónica


Esta semana os presentamos a Paula López, experta en Data Science que disfruta el día a día diseñando y desarrollando modelos analíticos y algoritmos basados en Machine Learning e Inteligencia Artificial transformadores de datos en decisiones de negocio que mejoran la experiencia de usuario de Telefónica