Vive MWC 2017 y RootedCON con ElevenPaths

martes, 28 de febrero de 2017

Como os anunciábamos en nuestro post sobre Eventos en marzo esta semana se celebran dos citas muy importantes en el mundo de la tecnología. Mobile World Congress 2017, que se celebra en Barcelona y es el referente para la industria móvil. El otro evento es RootedCON 2017, que se celebra en Madrid y es la conferencia que reúne a los expertos en ciberseguridad. Os traemos el detalle de cada una de ellas.

Mobile World Congress 2017
El pasado domingo 26 de febrero era un momento histórico para Telefónica, nuestro presidente, José María Álvarez-Pallete, junto a Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, presentaron, la que habíamos denominado con nombre en código, Cuarta Plataforma. Un nuevo modelo de relación con nuestros clientes basado en inteligencia cognitiva pionero en el sector, que finalmente se ha llamado AURA. La implementación de capacidades cognitivas a nuestras plataformas permitirá a los clientes conocer, gestionar y controlar su vida digital con Telefónica y descubrir nuevas propuestas.

Puedes encontrar más información en este post AURA: The heart of the 4th Platform. Ver los mejores momentos MWC 2017 en imágenes y seguir todos los anuncios más relevantes de Telefónica durante el congreso en la sección Notas de prensa de Telefónica relacionadas con MWC 2017. No te pierdas este vídeo en el que puedes ver cómo fue la presentación de AURA y descubrir más sobre ella.



Si estás en el congreso no dudes visitar el stand de Telefónica situado en el Hall 3, Stand 3K21. También habrá numerosas ponencias de nuestros compañeros de Telefónica, como la que realizará este jueves 2 de marzo nuestro CEO, Pedro Pablo Pérez,  sobre "Tendencias de la Identidad Digital". Además nuestro compañero Óscar Mancebo participa en el seminario Mobile Connect: how global brands are protecting consumers and reducing fraud, y también formará parte del panel The Future of Identity – Expert.


Quedan pocos días para que comience RootedCON, el congreso de seguridad informática que se celebrará en Madrid del 2 al 4 de marzo. En esta nueva edición ElevenPaths tendrá una buena representación en el evento contando con dos ponencias y dos talleres. Como no queremos que te lo pierdas, ¡sorteamos dos entradas!


Toma nota, el viernes 3 de marzo a las 16:30 h Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, impartirá su ponencia "DirtyTooth: It´s only Rock'n Roll, but I like it".

Otros de nuestros compañeros que participarán en el congreso es nuestro experto y CSA de ElevenPaths, Pablo San Emeterio, que impartirá la interesante ponencia "Inteligencia privada, más allá de STIX ", en la que hablará sobre el furor que está viviendo la compartición de IOCs y otros elementos de inteligencia, pero sin que haya unos estándares establecidos y con lo que puede suponer un exceso de información. Con este escenario de pros y contras podrás conocer más sobre este tema si asistes a esta intersante charla.

Además, Pablo San Emeterio impartirá el taller "Hooking" con el que podrás introducirte y sentar bases en las distintas técnicas que se utilizan para modificar el comportamiento de aplicaciones y sistemas operativos mediante la interceptación de mensajes, llamadas a función y eventos. ¡Inscríbete ya!

Nuestro compañero Pablo González participa un año más, impartiendo el taller "Metasploit para pentesters", un training orientado a la práctica del hacking, en el que podrás adentrarte en el mundo de Metasploit, el framework de explotación más utilizado en el mundo del pentesting. En el training se irá de menos a más hasta lograr sacar un gran rendimiento con técnicas más avanzadas que aportarán en tu pentest. ¡Inscríbete aquí!


SORTEAMOS 2 ENTRADAS
¡Sorteamos dos entradas individuales para la RootedCON! Sí, has leído bien. Si quieres pasar unos días escuchando a grandes ponentes y aprendiendo en estos interesantes talleres y charlas, no dudes en participar en nuestro sorteo de entradas para la nueva edición de RootedCON.

¿Qué hay que hacer para participar y ganar?
1. Sigue a ElevenPaths en Twitter
2. Escribe este tuit » Quiero ir a la #rooted2017 con @ElevenPaths

El concurso estará activo 24 horas desde el 28 de febrero a las 12:00 p.m. El ganador se elegirá el día 1 de Marzo 2016 de manera aleatoria y contactaremos con él vía mensaje directo de Twitter.

¡Mucha suerte y nos vemos en la RootedCON!



Blockchain (II). Un modelo distribuido fiable de seguridad. ¿La panacea?

lunes, 27 de febrero de 2017

Supongamos por un instante que deseamos establecer una comparativa entre las características y mecanismos de seguridad actuales (habitualmente centralizados) y lo que blockchain (paradigma de modelo distribuido) podría aportarnos. Esto es tan ecuánime e imparcial como comparar la venta de productos en un comercio de barrio con los mecanismos de venta en un comercio online, o sea, resulta injusto. Porque blockchain no solo responde a un novedoso hito conceptual, sino que se ha visto altamente influenciado por los avances tecnológicos y una mayor idoneidad social y cultural en una comunidad mucho más abierta y capacitada. Pero aun así repasaremos estas diferencias.

Comparativa 

Se puede comprobar por tanto que el enfoque Blockchain es distinto a los modelos de seguridad habituales, y durante mucho tiempo ha supuesto un reto conseguir que se considere su aplicación a las mismas situaciones y usos que el modelo tradicional. Tantas diferencias y sin embargo presumiblemente mucho más seguro… puede que que esa sea precisamente esa su mayor virtud.

Comparativa. Hacer click para ampliar.

Fortalezas

A continuación, se presentan el resto de aspectos funcionales que permiten comprender cómo unas características tan distribuidas, sustentan una verificación y seguridad supuestamente tan sólida e inquebrantable. Para ello vamos a retomar el ejemplo de la primera entrada e introducir un nuevo tipo de individuo en la sala. Los Testigos. Estas personas no pueden imprimir nuevas hojas (crear bloques de datos) pero sí forman parte del equipo que decide si una hoja nueva se agrega o no a las anteriores. De esta manera no tienen que invertir tanto esfuerzo como los Operarios, pero sí guardan copias de la lista de hojas para contrastarlas con el resto.

  • Disponibilidad:
Al ser una red distribuida, el hecho de que uno de los nodos caiga no afecta al conjunto total de la red P2P ya que la información replicada resuelve de manera instantánea este suceso. A diferencia de un modelo centralizado donde la caía del servidor impediría el acceso y uso del sistema. Además, mantener el histórico completo de operaciones garantiza que no se perderán datos en los futuros procesos de intercambio y distribución. Ante esto, podemos establecer que el modelo blockchain es capaz de resistir ataques de denegación de servicio (DoS) con lo que resultaría bastante inviable afectar al funcionamiento global de blockchain. En nuestro ejemplo de la primera entrada, hay que diferenciar entre los participantes que desean expresar sus comentarios de aquellos que quieren recogerlos y confirmarlos de manera impresa. Pero todos interactúan a través de comunicación persona a persona (P2P) con lo cual jerárquicamente están al mismo nivel. Si bien es cierto su rol funcional difiere entre ellos.


Modelo distribuido en blockchain

  • Inmutabilidad:
Los datos de las transacciones y las operaciones son imposibles de modificar una vez hayan sido incorporadas al blockchain. Podemos también entenderlo como acciones irreversibles e incorruptibles. No existe posibilidad alguna de modificar, alterar, falsear, rectificar o borrar ningún nodo de los que componen el histórico de operaciones que forman el blockchain. Tanto operarios como testigos poseen copias de todo el material que ha sido aceptado, por tanto, cualquier intento de alterar un dato del pasado es directamente rechazado (y criptográficamente imposible). Además, cada ampliación, al hacerse de manera consensuada impide que haya desviaciones respecto a la información incorporada a la cadena de datos. Cuanto más tiempo un bloque en el blockchain, más complejo modificarlo puesto que implicaría modificar criptográficamente todos los posteriores.

Inmutabilidad del blockchain


¿Y cómo garantizamos esta inmutabilidad? Para ello tenemos que alejarnos un poco de nuestro ejemplo didáctico y bajar a un nivel algo más técnico donde en vez de imprimir comentarios en hojas, vamos a demostrar la autenticidad de una serie de transacciones en bloques. Es decir, vamos a ver cómo blockchain consigue recopilar en un bloque de información un conjunto de transacciones entre usuarios de la red de manera no repudiable y segura. Para ello utiliza el cifrado asimétrico donde cada usuario posee un par de claves pública-privada que le permite garantizar que una transacción ha sido realizada por él. Este proceso en próximas entregas cuando ahondemos en detalle la relación blockchain y las criptomonedas.

Debilidades

Hemos visto las numerosas virtudes y el cambio tan radical de enfoque que blockchain establece. Pero este compendio de virtudes y capacidades acarrea una serie de condicionantes o debilidades tanto funcionales como operativas derivadas de las propias características de blockchain.
  • Ataque del 51:
¿Es la democratización la mejor solución? Siempre que nadie pueda alterar la opinión de los individuos para imponer su propio interés se podrá llegar a la solución más adecuada para la mayoría. Qué ocurre en nuestro caso si la mayoría de Operarios, es decir el 51%, decide que se va a imprimir solo los comentarios que ellos quieran, ignorando la opinión del resto. En definitiva, la serie de hojas impresas solo contendrían la información que este subgrupo quisiera aceptar, e incluso podrían falsear nuevos datos e inventarse hipotéticos comentarios de individuos ficticios, ya que ellos podrían decidir el aceptar datos erróneos.

Pues en eso consiste el ataque del 51. En el caso de los bitcoins, donde los Operarios son mineros que tratan de validar bloques de blockchain (por lo que se les motiva con una recompensa, recordemos), existe el riesgo patente de que el 51% se pongan de acuerdo en confirmar solo las transacciones que ellos deseen (por ejemplo, las que les reporten mayor beneficio), que podrían ser falsas o alteradas para su propio beneficio. Este poder sería absoluto, ya que en cualquier instante de tiempo donde alguien controle el 51% de la capacidad computacional de la red blockchain podría empezar a añadir transacciones de desvío de criptomonedas cuyas transacciones se han realizado de manera legal. Podría anular el trabajo del resto de mineros de la red, rechazando su construcción de nuevos bloques. El panorama actual en bitcoin demuestra que estamos alejados de ese riesgo pero que supone una preocupación real cuanto mayor aumente el interés por las criptomonedas.


Distribución actual del pool de minería en bitcoin. Fuente: news.bitcoin.com

  • Lentitud
En nuestro ejemplo desde que un individuo hace su comentario hasta que los operarios consensuan su opinión y la imprimen puede pasar un período de tiempo aceptable. Pero a nivel mundial con la cantidad de transacciones que se realizan y que se debe consensuar el 51% de todos los nodos, se puede entender que es un proceso costoso y para nada inmediato. En el caso de bitcoin, los mineros son capaces de aceptar de media un bloque cada diez minutos, eso no garantiza que nuestra transacción esté incluida en ese bloque ni que se vaya a confirmar de manera definitiva.

Existe un proceso que no hemos comentado aún que estipula que mientras los nodos de la red consensuan su decisión de aprobar un nuevo bloque, otros se siguen generando simultáneamente. Para solucionar esto, durante la verificación de nodos, no se confirman nuevos bloques hasta que no haya seis confirmaciones posteriores. De esta manera se evita la aceptación de transacciones anómalas ya que su validez habrá sido corroborada con un margen futuro bastante amplio. Por tanto, hasta obtener seis confirmaciones podrían llegar a transcurrir hasta 60 minutos para obtener una confirmación de nuestra transacción. La lentitud de confirmación es la principal lacra actual detectada en los usos de blockchain actuales como bitcoin. Y en un sector tan dinámico como las tecnologías de la información y la gestión financiera este lastre pesará cada vez más.

Sin embargo, es curioso ver que el crecimiento del tamaño del blockchain que acumula todo el histórico de transacciones no añade ningún retraso para el global de funcionamiento. Donde el tamaño actual se sitúa por encima de los 100Gb de datos. El proceso de localizar transacciones muy atrás en el tiempo no supone un retraso significativo para los grandes servidores de minería durante el proceso de verificación.

Tamaño actual del blockchain


  • Usuarios:
No podíamos olvidarnos del factor humano dentro de la lista de principales debilidades de blockchain. En última instancia, flotando sobre el océano transaccional del blockchain y bitcoin. Protegiendo sus activos monetarios a través de algún mecanismo de credenciales más o menos resistente, habita el usuario. Con experiencia, interés y capacidad suficiente como para adentrarse en el mundo de las criptomonedas pero con las mismas debilidades propias del individuo, expuesto a vulnerabilidades, malware y acciones de ingeniería social habituales.

En la siguiente entrega comenzaremos nuestra andadura por el Bitcoin como moneda. Observando cómo se ha gestado su uso a partir de blockchain y la analizaremos para poder explicar cuál es el verdadero motor que ha conseguido alzarla al status que ostenta actualmente.

Marcos Arjona 
Innovación y laboratorio
marcos.arjona@11paths.com

Así participamos ElevenPaths en la RSA Conference 2017

viernes, 24 de febrero de 2017

San Francisco reúne una vez al año el evento de seguridad más importante a nivel mundial, que cuenta con más de 45.000 asistentes y en el cual se dan cita los líderes de la industria de la ciberseguridad. Desde ElevenPaths no podíamos faltar a RSA Conference 2017, donde participamos por segundo año consecutivo en el stand de Telefónica. Te traemos los mejores momentos para contártelo cómo si hubieras estado allí.


Los casi 900 visitantes que se han acercado al stand innovador de Telefónica pudieron conocer las soluciones disruptivas en ciberseguridad de ElevenPaths:
  • Industry 4.0, diseñada para identificar, evaluar y gestionar los riesgos a los que son susceptibles las infraestructuras industriales, conociendo en tiempo real el estado de la seguridad del proceso productivo.
  • IoT Security, la solución para un mundo donde objetos y personas están conectados a la red de forma segura.
  • Mobile Security, diseñada para ayudar a gestionar y proteger el acceso a la información desde cualquier lugar, en cualquier momento y desde cualquier dispositivo. 
  • Data Protection, que permite la protección de datos cubriendo el ciclo de vida de la información en distintos entornos.
También presentamos en exclusiva las nuevas soluciones Intelligent & Automated Operations, Cloud Security, Integrated Risk Management, Smart Web Access y Cybersecurity Solution, que os iremos desvelando y contando más detalle sobre ellas a lo largo de este año.


Además, los visitantes disfrutaron de más de 50 sesiones de demostración de todos nuestros productos. En una de esas demos mostramos la última tecnología que hemos adquirido: Shadow, que permite la trazabilidad de documentos para evitar fugas de información. De nuestra familia de Identidad, enseñamos cómo Mobile Connect + Latch permiten securizar tu vida digital a través del móvil. También hubo demos de SandaS, nuestra tecnología para mitigar los riegos operacionales y asegurar el cumplimiento regulatorio. Otra de las tecnologías mostradas fue VAMPS, que ofrece una visión global de las debilidades de una organización, ayudando a identificar amenazas de seguridad y posibles métodos de ataque contra sus sistemas permitiendo gestionar rápidamente su corrección. Por último también enseñamos una demo de Cyberthreats, que ayuda a prevenir, detectar y responder de manera continua potenciales ciberamenazas.


Fue el entorno ideal para reforzar nuestras relaciones con socios existentes como FortinetPalo Alto NetworksLogTrustBitsightSymantecRadware y Cimacom, con los que pudimos realizar diversas reuniones y acciones conjuntas durante la Conferencia. Además pudimos tener sesiones individuales con analistas y prensa especializada, que nos permitió posicionar nuestra propuesta de valor en ciberseguridad.

Vivimos una experiencia única en la que pudimos charlar en profundidad con clientes de todo el mundo sobre temas como la prestación de nuestros servicios en países extranjeros, los avances tecnológicos y desafíos en el panorama actual de la seguridad. Incluso quisimos celebrar el 14 de febrero con una fiesta especial,  "El día de los enamorados de la ciberseguridad", que disfrutamos junto a clientes, partners y compañeros de Telefónica de todo el mundo.

Ya hemos comenzado a trabajar en la próxima edición, así que, ¡te esperamos en la RSA Conference 2018!


*También te puede interesar:
Así vivimos la experiencia RSA Conference 2017
Nuestro paso por la RSA 2016


Los eventos en marzo de ciberseguridad que no te puedes perder

jueves, 23 de febrero de 2017


El mes de marzo llega cargado de eventos, cursos y charlas sobre seguridad informática. Aquí tienes la lista de actividades en las que participamos. Si coincide alguno de ellos en tu ciudad, acércate a conocernos. ¡Toma nota!

Mobile World Congress 2017
La próxima semana  del 27 de febrero al 2 de marzo se celebra MWC 2017, el evento móvil más relevante del mundo, convertido en el referente para la industria móvil. Barcelona acoge de nuevo la 12ª edición de este encuentro organizado por la GSMA (Global System for Mobile Communications Association), la principal asociación de operadores móviles.

Telefónica presentará importantes novedades de la mano de nuestro presidente, José María Álvarez-Pallete, el hacker Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, Pedro Pablo Pérez, CEO de ElevenPaths, y Elena Gil, Directora Global de Big Data, B2B de Telefónica y CEO de LUCA. Además nuestro compañero Óscar Mancebo participa en el seminario Mobile Connect: how global brands are protecting consumers and reducing fraud, y también formará parte del panel The Future of Identity – Expert.

Si quieres conocer lo que sucede en MWC 2017 síguelo en Twitter desde @ElevenPaths.




Hackathon 4YFN
Dentro del MWC 2017, los días 27, 28 de febrero y 1 de marzo se celebrará el Hackathon de ciberseguridad 4YFN organizado por INCIBE, en el que solo 15 participantes se enfrentarán al desarrollo de herramientas, soluciones y/o aplicaciones móviles de código abierto en el ámbito de la ciberseguridad y de la seguridad del IoT. Nuestros expertos, Félix Brezo y Yaiza Rubio, han sido seleccionados para participar en este interesante reto. No te pierdas el detalle y síguelo en Twitter desde @ElevenPaths.



RootedCON 
Otro año más se celebra en Madrid del 2 al 4 de marzo RootedCON, el congreso de seguridad informática, cuyo propósito es promover el intercambio de conocimiento entre los miembros de la comunidad de seguridad. En esta nueva edición ElevenPaths tendrá una buena representación y presencia en el evento contando con dos ponencias y un taller.

No podía faltar a esta cita con la ciberseguridad Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, que impartirá la ponencia "DirtyTooth: It´s only Rock'n Roll, but I like it". Además nuestro experto y CSA de ElevenPaths, Pablo San Emeterio impartirá la interesante charla "Inteligencia privada, más allá de STIX" y realizará el taller "Hooking". Tampoco podía faltar la participación de otro de nuestros importantes expertos, Pablo González que impartirá el taller "Metasploit para pentesters".

Estad atentos a nuestro blog porque próximamente tendremos más novedades sobre este evento.



María Pita DefCon
Las mujeres en el ámbito de la tecnología tienen cada vez mayor peso, reflejo de esto es la celebración de María Pita DefCon, un evento centrado en la seguridad informática y la visibilización de la mujer en dicho ámbito. Desde ElevenPaths apostamos por el talento femenino y contaremos con la participación de nuestra ciberexperta Yaiza Rubio, que impartirá la charla "Ataques de Falsa Bandera" y participará en la mesa redonda "La mujer en el mundo de la ciberseguridad". ¡Haz hueco en tu agenda y acércate!



ElevenPaths Talks
Vuelve ElevenPaths Talks, la serie de webinars online gratuitos con los que podéis aprender, comentar y debatir con nuestros expertos cada semana sobre diversos temas relacionados con el hacking y la ciberseguridad. No te pierdas los webcasts que celebraremos en marzo:

  • 23 de febreroLa Guerra Contra el Ransomware. En el primer capítulo de la tercera temporada de ElevenPaths Talks nuestros CSAs Claudio Caracciolo y Pablo San Emeterio junto a un invitado especial hablarán de la evolución y desafíos del ransomware y propondrán soluciones para luchar contra este tipo de malwareRegístrate aquí

  • 9 de marzoLa Red Bajo Ataque. Arsene Laurent, nuestro CSA en USA, y Claudio Caracciolo, nuestro CSA en Argentina, junto a un invitado especial debatirán sobre las técnicas más actuales en ataques DDoS y darán algunos consejos para evitarlos. Regístrate aquí.


A lo largo del año se celebrarán muchos más Talks, apúntate a las nuevas charlas de forma gratuita en nuestra web: talks.elevenpaths.com. Si quieres estar al tanto de esta interesante serie de webcasts síguelo en Twitter con el hashtag #11PathsTalks. También puedes charlar con los CSAs que imparten estos webinars en nuestra Community. ¡Únete y aprende con los expertos!

Si eres un amante del hacking y la tecnología no te puedes perder estas interesantes citas con la ciberseguridad que hemos seleccionado. Hack your future!


*También te puede interesar:
La agenda de actividades para la semana que viene #Hacking #BigData #AI #Android #Drupal

Blockchain (I): Más allá del Bitcoin, la Deep Web, el ransomware y la mala fama

miércoles, 22 de febrero de 2017

Oculto tras los Bitcoins, lejos de los procesos especulativos y de las numerosas noticias sobre el impacto y la revolución que han supuesto las criptomonedas, existe una plataforma minuciosamente diseñada para sustentar de manera segura la mecánica global de funcionamiento del Bitcoin. Hablamos del blockchain, un concepto que es capaz de garantizar que un usuario es propietario de una moneda simplemente porque la gran mayoría de usuarios pueden corroborarlo. Es decir, este mecanismo es capaz de asegurar que un suceso es cierto porque gran parte de la comunidad puede testificar que así es. Pero desde el punto de vista de la seguridad, cobra mucha más importancia aún si entendemos que esa mayoría de individuos pueden igualmente garantizar que un suceso realmente no ha ocurrido y por tanto es falso. Ahí radica la magia.

El blockchain o la cadena de bloques es un concepto basado en complejos procesos matemáticos de criptografía. Sumado a unos procesos de gestión y verificación que le proporcionan unas capacidades funcionales asombrosas. Pero el éxito se basa en que su uso es paradójicamente sencillo, lo que ha permitido alzarlo como una de las tecnologías emergentes más revolucionarias.

Blockchain es un medio como cualquier otro, pero que proporciona confianza en el contenido y en el intercambio de información. Aunque algo mitificada, ha dejado de ser un desconocido para la mayoría. Aparece con nuevos usos, propuestas de futuro y virtudes, aunque aún la miramos con recelo por si asomara la sombra de la burbuja. Pero creemos que blockchain ha llegado para cimentar un avance tecnológico incuestionable y que perdurará en el tiempo. De hecho, la pregunta se centra más bien en estimar cuándo se convertirá en el estándar de-facto en seguridad para muchos procesos descentralizados o distribuidos.

Blockchain y bitcoin

Es complejo desligar blockchain del bitcoin. De hecho su aparición se produce en 2008 con la publicación de Satoshi Nakamoto (un nombre a quién la literatura coincide en señalarlo como un pseudónimo ficticio del grupo inicial de impulsores del bitcoin). Fue el pistoletazo de salida de este revulsivo tecnológico-económico que ni siquiera bautizaba formalmente al blockchain como tal pero que lo hacía posible. Desde aquel momento ha sido precisamente eso, ese estrecho vínculo con la divisa virtual, lo que ha propiciado una expansión tan rápida de la criptomoneda. Mientras simultáneamente y de manera desapercibida también se popularizaba el blockchain como tecnología. Articulando un intercambio de divisas de manera remota pero segura, la lamentablemente se ha visto favorecido por los negocios turbios de la Deep web, las transacciones sobre las que no se quiere dejar constancia y otros usos ilícitos como los pagos de ransomware. Pero blockchain es el medio que articula el sistema de bitcoin, y por tanto su uso puede expandirse a otros ámbitos que nada tengan que ver.

Evolución del número de transacciones en Bitcoin



Funcionamiento

Es fácil de entender el interés que blockchain ha despertado en el mundo científico y de la innovación. Los responsables técnicos ven más allá de las criptomonedas y han sido capaces de percibir el avance tecnológico y las grandes posibilidades que este protocolo permite plasmar en múltiples dominios de conocimiento. Probemos a entender el funcionamiento de una manera simple y didáctica. Supongamos una sala repleta de personas que quieren expresar su opinión sobre distintos temas, pero de forma anónima utilizando pseudónimos. Todo el mundo quiere opinar, pero es necesario ordenar esa información y garantizar que no se pierden los comentarios relevantes. Entre los individuos hay varios operarios que se dedican a recoger estos comentarios siguiendo un orden de llegada y utilizando el pseudónimo del usuario para cada uno. Los operarios transcriben e imprimen los comentarios, lo que significa que se responsabilizan de que queden recogidos de forma definitiva y confirmada. En nuestro símil, cada operario dispone de un equipo informático con el que pueden realizar estas impresiones definitivas en papel, pero necesitan para ello adivinar una contraseña de un solo uso para poder imprimir.

Cuando los individuos empiezan a expresar sus comentarios, hay que llegar a un consenso de cuáles se van a imprimir y por tanto de los que se dejará constancia oficial. Los operarios por tanto empiezan a recibir comentarios, los agrupan y de manera independiente deciden cuáles van a tratar de imprimir. Puede que el conjunto de comentarios que dos operarios quieren imprimir sea distinto porque estén en otro orden, pero mientras los comentarios sigan una línea temporal correcta todos acabarán finalmente en alguna hoja impresa.

Transmisión de comentarios


Como hemos mencionado antes, para imprimir, los operarios necesitan realizar el esfuerzo y el trabajo de encontrar un código o contraseña que habilite la impresión. Motivados además, porque compiten por encontrar este código antes que el resto de operarios, en el caso de bitcoin, quien antes lo resuelva, recibe un premio. Compiten en un juego de adivinar la contraseña (en blockchain se trata de un hash con unas características concretas). Una vez que uno de ellos lo consigue, imprime los comentarios en una hoja continuando la secuencia de la última que posee actualmente, garantizando el orden. Acto seguido reparte esta nueva hoja en persona (vía P2P) a otros operarios, quienes verifican y consensuan que la información es correcta antes de aceptarla, confirmando que el otro operario ha ganado. Una vez comprobada la hoja que han recibido, la agregan al conjunto que ya poseían añadiendo un elemento más a la cadena o pila de hojas impresas, que siempre crece y no será alterada. Y descartando de su lista provisional de comentarios los que ya han sido aceptados definitivamente.


Creación de una nueva "hoja"

En este punto, los individuos pueden seguir exponiendo nuevos comentarios o incluso respuestas a otros comentarios ya impresos. Para diferenciarlos, los individuos solamente tendrán que añadir la referencia del comentario sobre el que desean continuar el diálogo.

Ventajas del blockchain

Incluso con este ejemplo tan simplificado podemos percibir algunas de las ventajas del proceso:
  • Nadie puede modificar el histórico de mensajes, cada pack de hojas es inmutable. Solo pueden añadirse nuevas. Además, nadie puede modificar el contenido de cada hoja, solo leerlo. 
  • Los usuarios tienen confianza en el mecanismo ya que la numeración de las nuevas hojas es secuencial, además saben que se han impreso y validado de manera consensuada por la mayoría de los operarios.
  • La expansión P2P de los documentos entre operarios asegura la propagación rápida entre los individuos y la robustez del proceso ante operarios que fuesen deshonestos y dejasen de transmitir la información.
  • Para imprimir una nueva hoja se requiere un gran esfuerzo por parte de los operarios para encontrar el código necesario, este factor es crucial para blockchain. En la realidad, esto supone un gran esfuerzo computacional para conseguirlo. En el caso de bitcoin, garantiza que dar veracidad, sea un proceso costoso y remunerado.
  • Todos los usuarios pueden consultar la información contenida en la secuencia de hojas que poseen los operarios. Pudiendo comprobar cómo se relacionan comentarios y respuestas entre sí y también a qué pseudónimos corresponden.
  • Los usuarios han intercambiado mensajes de forma anónima, a través del pseudónimo. Cruzando y anidando comentarios, que quedarán contenidos en un único pack de hojas verificadas.
  • Los operarios son entes de gran responsabilidad porque gracias a ellos se añadirán nuevas hojas al conjunto, pero además verifican que los comentarios incluidos son correctos, siguen una secuencia temporal correcta con especial hincapié en verificar las referencias de comentarios ya impresos que reciben respuestas.
¿Y eso es todo? Pues obviamente no, tendríamos que complicar algo más el símil y no queremos de momento adentrarnos en aspectos muy técnicos. Aunque simplemente con lo expuesto y sin haber ahondado en los detalles matemáticos y criptográficos podemos entender que la fortaleza del sistema radica principalmente en la distribución de la información entre todos los equipos de manera transparente y pública. Además, el proceso de aprobación y consolidación definitiva pasa por la búsqueda de acuerdo y conceso entre los nodos de mayor responsabilidad. El proceso es robusto porque es muy simple. Blockchain ha cambiado significativamente la forma de gestionar el contenido, garantizando la seguridad como nadie antes lo había logrado. De hecho, desde 2008 y en los distintos usos de blockchains que componen el panorama actual, todos los grandes sucesos y fallos se han debido a problemas humanos relacionados con carencias de seguridad o mala praxis relativa a la configuración. Pero en ningún caso es atribuible a los procesos tecnológicos y criptográficos de la propia blockchain. Un hito que habla por sí solo de este gran avance.

En la siguiente entrega conoceremos más de las virtudes que blockchain proporciona respecto a los modelos generales de seguridad y qué debilidades se han detectado a día de hoy.

Marcos Arjona
Innovación y laboratorio

ElevenPaths Talks: La Guerra contra el Ransomware

martes, 21 de febrero de 2017






El próximo jueves 23 de febrero estrenamos nueva temporada de ElevenPaths Talks, nuestra serie de webinars sobre ciberseguridad. En este primer webcast aprende con nuestros expertos Claudio Caracciolo y Pablo San Emeterio, junto a un invitado especial, sobre los orígenes y la evolución del ransomware, además podrás conocer soluciones para luchar contra este tipo de malware. ¡No te lo puedes perder!

La duración de la charla será de 50 minutos y se impartirá en castellano. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, donde nuestros compañeros hablan sobre este y otros temas de interés en el mundo de la Seguridad.

Recuerda, tienes una cita el próximo 23 de febrero a las 15:30 h (CET). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks. ¡Reserva tu plaza y participa en el webinar!


Más información en:
talks.elevenpaths.com


DroneTinder: Sistema de Espionaje Continuo en Redes Sociales

lunes, 20 de febrero de 2017

¿Qué es Tinder?

“Tinder es la nueva forma de conocerse. Es como la vida real, pero mejor”. Este es el eslogan de la popular aplicación Tinder. Una red social en la que utilizamos nuestro perfil de Facebook (y nuestro GPS) para conocer gente sin necesidad de movernos de casa.

Su uso, cada vez más extendido, está cambiando la forma de relacionarnos. Sin embargo, desde el punto de vista de un analista de ciberseguridad, ¿qué peligros puede tener una aplicación como esta para nuestra privacidad?

Con el proyecto DroneTinder, como parte del programa Universidades de ElevenPaths, en colaboración con el Máster en Ciberseguridad de la Universidad de Sevilla, hemos estudiado esta aplicación durante los últimos meses.

Descubriendo la API de Tinder

Después de instalar la app, iniciamos sesión con nuestra cuenta de Facebook e inmediatamente tenemos nuestro perfil listo para ligar en internet. Aparece una chica. Esta me gusta. Esta no… ¡Vaya! ¡Un match! Podemos empezar a intercambiar mensajes para finalmente conseguir una cita.

Si nos ponemos nuestro gorro de hacker, podemos repetir el proceso anterior preguntándonos qué está sucediendo realmente para que hayamos conseguido una cita y si en algún momento hemos puesto en peligro nuestra privacidad. Para ello, usaremos un proxy http con el que estudiar qué información intercambia nuestro dispositivo móvil y el servidor de Tinder. Esta es una técnica muy común para auditar aplicaciones móviles y servicios web. El tráfico va cifrado (menos mal), por lo que además necesitaremos instalar un certificado en nuestro dispositivo para hacernos un ataque man in the middle en toda regla.

Empezamos nuestro estudio a ciegas. Con algo de conocimiento sobre el protocolo HTTP, rápidamente aparece en nuestro proxy la primera pista, peticiones a la dirección https://api.gotinder.com. Si filtramos los mensajes intercambiados con este servidor, vemos que existe una API rest con la que nuestro teléfono se comunica.


Estudiando estos mensajes en formato JSON, vemos cómo podríamos utilizar la API de Tinder para realizar al menos las siguientes acciones:

  • Actualizar nuestro perfil (biografía, edad, género, género de interés y radio de búsqueda).
  • Actualizar nuestra coordenada GPS.
  • Obtener perfiles recomendados.
  • Obtener detalles de un perfil concreto.

Así, podríamos repetir nuestra visita guiada por la aplicación de la siguiente forma:

  • Instalamos la App.
  • Iniciamos sesión en Facebook y conseguimos un token que enviamos al servidor de Tinder, dándole acceso a nuestro perfil, fotos, edad, etc. 
  • A continuación el teléfono envía nuestra posición GPS. 
  • Solicitamos recomendaciones y Tinder nos envía una ráfaga de perfiles en formato JSON.


Hagamos una pausa aquí. En la aplicación se nos muestran fotos y una breve biografía de cada usuario. Sin embargo, ¿qué información nos está enviando Tinder realmente de esos usuarios?

Encantado de conocerte, usuario de Tinder.

La petición a https://api.gotinder.com/user/recs, debidamente firmada con nuestro token de acceso, nos da la respuesta. A continuación podemos ver un ejemplo de la misma, con algunos campos modificados, porque nosotros sí respetamos la privacidad de los usuarios de Tinder.

{
  "status": 200,
  "results": [
    {
      "distance_mi": 12,
      "common_connections": [],
      "connection_count": 12,
      "common_likes": [],
      "common_interests": [],
      “Instagram”: “XXX”,
      "uncommon_interests": [],
      "common_friends": [],
      "content_hash": "2o4igQta6H37C7jtgu1jIQasl1HMlI1riYNFr4FPptRpcX1",
      "_id": “XXX”,
      "badges": [],
      "bio": "",
      "birth_date": "1993-01-29T19:04:05.660Z",
      "name": “XXX”,
      "ping_time": "2017-01-26T17:19:50.017Z",
      "photos": [
        {
          "id": “XXX”,
          "url": "http://images.gotinder.com/XXX.jpg",
          "processedFiles": [
            {
              "width": 640,
              "height": 640,
              "url": "http://images.gotinder.com/XXX.jpg"
            },
            {
              "width": 320,
              "height": 320,
              "url": “XXX.jpg"
            },
            {
              "width": 172,
              "height": 172,
              "url": "http://images.gotinder.com/XXX.jpg"
            },
            {
              "width": 84,
              "height": 84,
              "url": "http://images.gotinder.com/XXX.jpg"
            }
          ]
        }
      ],
      "is_traveling": false,
      "jobs": [],
      "schools": [
        {
          "id": "1087351381344781",
          "name": "Yildiz Technical University"
        }
      ]
      "hide_age": false,
      "hide_distance": false,
      "s_number": 60819127,
      "gender": 0,
      "birth_date_info": "fuzzy birthdate active, not displaying real birth_date"
    },
    ...
  ]
}

Pero empezamos a preocuparnos. Analizando esta respuesta, conseguida con tan solo abrir la aplicación, podemos saber la siguiente información de un usuario:

  • Fecha de nacimiento aproximada (birth_date)
  • Cuenta de Instagram
  • Distancia a la que se encuentra de nosotros (distance_mi)
  • La última vez que usó la aplicación (ping_time)
  • Si está moviéndose (is_traveling)
  • ID de usuario
  • Y lo más sorprendente. ¡Todas las fotos están accesible desde direcciones 100% públicas en Internet!

Además, conociendo el ID de usuario, descubrimos que podemos obtener su perfil actualizado en todo momento (incluida la distancia a la que está de nosotros) con una petición a https://api.gotinder.com/user/id

Llevando a cabo nuestro plan

Una vez que sabemos qué información nos puede dar Tinder y cómo conseguirla, podemos diseñar una herramienta con la que conseguir los objetivos de este proyecto.

Geolocalizar a un usuario de Tinder en todo momento
Para conseguir este objetivo, nos planteamos usar algoritmos de triangulación. Sin embargo, Tinder nos indica una distancia mínima de una milla, ya estemos al lado de nuestro objetivo o a 1.5 millas, por lo que existiría demasiado error.

No obstante, sí podríamos mantenernos siempre a una milla de nuestro objetivo, moviéndonos con cierto sentido en el radio al que Tinder nos indica que está el usuario para acercarnos hasta esa distancia mínima.

De esta forma, aunque no consigamos una precisión del 100%, sí podemos conocer en qué zona se encuentra nuestro objetivo, por ejemplo, cuándo va a trabajar, qué ruta sigue, si se encuentra en la ciudad, etc.


Enriquecer perfiles
Gracias a los compañeros de ElevenPaths, Félix Brezo y Yaiza Rubio, podemos utilizar OSRFramework para obtener más información de nuestros objetivos. Esta herramienta se apoya en la idea de que un usuario suele utilizar un mismo seudónimo en múltiples redes sociales y sitios de Internet, por lo que lo utilizaremos para realizar una búsqueda en más de 200 plataformas usando la cuenta de Instagram que aparece en cada perfil de Tinder.


Estudiar una zona concreta
Con la API de Tinder podemos movernos a donde queramos y saber qué usuarios están allí. Podríamos plantearnos monitorizar una superficie durante meses para después estudiar qué usuarios pasaron por allí, conocer qué directivos de tu compañía están en Tinder, sus fotos, cuándo vienen, cuándo se van, etc.


Para ello hemos desarrollado un bot con el que automatizar las peticiones a Tinder, así como una aplicación Web sobre la que poder almacenar y estudiar los datos obtenidos.

Esta aplicación nos permite filtrar usuarios de Tinder en una zona concreta, para así obtener el ID de nuestro objetivo y comenzar su geolocalización continua. Además, podemos añadir coordenadas para monitorizar los usuarios que aparecen, realizar búsquedas en todos los perfiles añadidos a nuestra Base de Datos, etc.

En el siguiente vídeo podemos ver la herramienta DroneTinder en funcionamiento. Hemos ocultado imágenes y datos personales para proteger la privacidad de los usuarios.



Julio García Pérez
ElevenPaths Software Developer

Así vivimos la experiencia RSA Conference 2017

domingo, 19 de febrero de 2017

*

Lunes 13 de Febrero. EEUU. California. San Francisco. Calle Howard. Centro de Convenciones Moscone.  South Hall. Stand #410. Telefónica. RSA Conference 2017.  El mayor congreso de seguridad del mundo, con decenas de miles de visitantes, estaba a punto de comenzar. Una voz en los megáfonos indica que las puertas de entrada se iban a abrir, como si las compuertas de un embalse a punto de rebosar se trataran, para dejar pasar a la gente ávida de novedades en el campo de la seguridad. 

Hasta este momento, todo habían sido preparativos. Horas y horas de diseño y coordinación para tener un stand maravilloso, mucho más grande que el del año pasado. Horas y horas de planificación y creación de contenidos, qué enseñábamos, cómo lo hacíamos, dónde hacíamos énfasis. 

Y así, como olas que llegan a una playa, los asistentes iban viniendo, a veces en tropel, a veces a cuentagotas. Con el foco puesto en soluciones, los clientes valoraron muy positivamente nuestra propuesta de valor en ciberseguridad, en gestión de la identidad, así como nuestra cobertura y músculo, al tener 9 SOC repartidos por todo el globo. CyberThreats y VAMPS agotaban cada día los brochures impresos, así como las demostraciones de MobileConnect +Latch y Shadow impresionaron a todo aquel que las veía. 


Respecto a qué se enseñó allí, y cómo fue la puesta en escena, podemos decir que este sector goza de muy buena salud. Ya es generalizada la idea de que las brechas de seguridad van a ocurrir, así que se centran en cómo anticiparse a ese ataque y cómo responder cuando llegue, mitigando sus efectos. 

En líneas generales, tuvimos un stand con un nivel de afluencia mucho mayor que el año pasado, con una propuesta de valor sólida y unas demostraciones interesantes. El resultado ha sido muy satisfactorio. Además, también hubo momentos más distendidos, siendo todo un éxito nuestra Cyber Security lovers’ day party.


Desde hoy trabajaremos para que nuestra presencia en el RSA 2018 deje huella. ¡Nos vemos el próximo año allí!

Miguel Gallego
ElevenPaths Business Development USA



*También te puede interesar:


ElevenPaths y la Cyber Threat Alliance (CTA) colaboramos en el intercambio de información de inteligencia sobre ciberamenazas

viernes, 17 de febrero de 2017

ElevenPaths unió fuerzas con otras compañías líderes del sector, como son Check Point, Cisco, Fortinet, Intel Security, Palo Alto y Symantec, en 2015, formando parte de la comunidad de compartición de información de inteligencia sobre ciberamenazas llamada CyberThreat Alliance (CTA).


En Enero de 2017 la CyberThreat Alliance se ha constituido como una organización sin ánimo de lucro, y ha anunciado la incorporación del ex coordinador de Ciberseguridad de la Casa Blanca, Michael Daniel, como presidente de la organización. Bajo este contexto, ElevenPaths y la CyberThreat Alliance renovamos y aceleramos nuestro compromiso en el intercambio de información de Ciberseguridad para ayudar proteger mejor a nuestros clientes.

Con la combinación de inteligencia colectiva, la CTA tiene como objetivo mejorar la detección de las amenazas más recientes, mejorar las defensas, y con ello proteger mejor a los clientes de los miembros de la alianza.

La CTA ha desarrollado un sistema automático de compartición de información, que permite en tiempo real compartir toda clase de Indicadores de Compromiso (IoCs), aportando no solo los indicadores de forma individual sino relacionándolos entre todos y añadiendo contexto de cada amenaza. El sistema permite a los miembros de la alianza disponer de forma inmediata de indicadores enriquecidos frescos, de forma anticipada al resto de la industria, permitiendo una detección temprana mucho antes de que sean publicados en otras fuentes.

Cada día se intercambian en la CTA miles de indicadores, con el foco puesto en la relación entre ellos que permiten la creación de contexto, enriqueciendo la información de inteligencia y permitiendo una mejor y más rápida detección de amenazas desconocidas hasta el momento.

En ElevenPaths buscamos continuamente crear las mejores soluciones de seguridad para nuestros clientes, apoya las iniciativas de colaboración en la industria de seguridad que permitan entre todos avanzar de forma más rápida en la lucha contra los cibercriminales.

¿Te interesa saber más? Aquí puedes leer el comunicado oficial que ha lanzado la CTA esta semana durante la RSA Conference de San Francisco.


ElevenPaths y Consultores de Firma Avanzada juntos para securizar el mundo de la Banca Digital, Aseguradoras y Utilities

jueves, 16 de febrero de 2017

Los avances científicos en áreas del reconocimiento facial y de la voz, o del reconocimiento biométrico de la firma ya son una realidad. Hoy os anunciamos nuestro reciente acuerdo tecnológico firmado con Consultores de Firma Avanzada con el que integramos por su parte Firming, la plataforma biométrica para la firma segura de contratos creada por Consultores de Firma Avanzada; y por la nuestra SealSign, nuestra solución para la firma electrónica y biométrica de documentos.

Gracias a esta nueva asociación, damos respuesta a la demanda existente en el mundo de la Banca Digital así como a Compañías Aseguradoras y compañías Utilities que buscaban una solución completamente autónoma y en movilidad para que sus clientes pudieran firmar sus contratos de forma segura y rápida a través de sus Smartphones, Tablets y otros dispositivos.


La plataforma Firming utiliza distintas tecnologías, tales como la tecnología de reconocimiento facial de NEC –NeoFace–, la más reconocida del mercado (e incluso fue calificada como número uno del mundo en las pruebas realizadas por el NIST (Instituto Nacional de Estándares y Tecnología de Estados Unidos) en el 2014. También ha utilizado una tecnología de reconocimiento de voz NUANCE, actualmente líder mundial de soluciones biométricas de voz dentro del sector gubernamental para inteligencia y forense. Para Juan Rodrigo Vigil, CEO y Founder de Consultores de Firma Avanzada "la integración tecnológica para la firma electrónica y biométrica de documentos, no podía ser otra que con SealSign, la solución de ElevenPaths más completa del mercado para la firma electrónica y biométrica de documentos."

Rames Sarwat, nuestro Vicepresidente de Alianzas Estratégicas reflexiona "la unión de las tecnologías SealSign y Firming aporta la garantía de legalidad y certificación ofreciendo una plataforma aún más robusta y segura. Esta nueva asociación es la prueba de que nos encontramos ante un producto único."

¿Quieres saber más? Consulta nuestra sección partners en nuestro sitio web.

Para ver el comunicado de prensa de ElevenPaths y Consultores de Firma Avanzada, haz clic aquí.

Latch Plugins Contest 2016: Videos y Documentación

miércoles, 15 de febrero de 2017


Aquí tenéis la recopilación de los plugins presentados a nuestro Latch Plugins Contest 2016. Enhorabuena a todos por el trabajo realizado y el resultado.

Nombre Plugin: Latch OpenWRT.
Autor: Juan Camero.
Descripción: Plugin para el firmware libre OpenWRT para routers neutros, que permite gestionar la conexión a internet de dispositivos inalámbricos de forma intuitiva a través de un smartphone con Latch.
Enlace Github: https://github.com/JCameroMartin/LatchOpenWRT
Enlace Documentación: https://github.com/JCameroMartin/LatchOpenWRT
Enlace Video:




Nombre Plugin: Umbraco Latch
Autor: Cristhian Amaya
Descripción: Plugin o paquete en la jerga de Umbraco (CMS open source), que permite proteger varias operaciones del area de administración o backoffice.
Enlace Github: https://github.com/camaya/umbraco-latch
Enlace Documentación: https://github.com/camaya/umbraco-latch
Enlace Video:




Nombre Plugin: Latchdroid
Autor: Pepe Nieto
Descripción: Bloqueo de los dispositivos Android con Latch a modo de toque de queda para que los menores dejen de usar los dispositivos.
Enlace Github: https://www.github.com/ppnieto/latchdroid
Enlace Documentación: https://github.com/ppnieto/latchdroid/blob/master/Latchdroid-UserManual.pdf
Enlace Video:




Nombre Plugin: Heaven´s Door RA.
Autor: Matías Troncoso.
Descripción: Plugin que permite la activación / desactivación del acceso remoto a un dispositivo a través de Internet. Realizando un Port Forwarding sobre el router que permite acceso a internet.
Enlace Github: https://github.com/matiast-gh/heavens-door-ra
Enlace Documentación: https://github.com/matiast-gh/heavens-door-ra/tree/master/docs
Enlace Video:




Nombre Plugin: Latch MyCar.
Autor: Diego Gamboa.
Descripción: Agrega una capa de seguridad a los vehículos, los que se encienden con dispositivos móviles o llaves inalámbricas.
Enlace Github: https://github.com/skyg4mb/LatchMyCar
Enlace Documentación: https://micloud.movistar.es/share/8de115813d5a02b302b2017055a66b33b1239716b47432b0#1
Enlace Video:




Nombre Plugin: Mosquito MQTT
Autor: Álvaro Caso
Descripción: Plugin Mosquitto que nos permite añadir facilmente, un segundo factor de autorización dentro del ecosistema de IoT, realizando la integración en la plataforma (MQTT Broker), permitiendo liberar recursos de estos y maximizando compatibilidad y escalabilidad.
Enlace Github: https://github.com/oribit/latch-plugin
Enlace Documentación: https://github.com/oribit/latch-plugin/tree/master/manual
Enlace Video:




Aprovechamos para recordaros los ganadores del concurso:

Primer premio: 5.000 USD.
Ganador: Alvaro Caso.
Plugin: Mosquito MQTT.

Segundo premio: 2.000 USD.
Ganador: Juan Camero.
Plugin: Latch OpenWRT.

Gracias a todos por participar.

ElevenPaths y Saint Patrick Technology nos unimos para ofrecerte soluciones basadas en las últimas tecnologías BigData

martes, 14 de febrero de 2017


Hoy anunciamos nuestra última nueva asociación con Saint Patrick Technology, la compañía referente en el desarrollo de soluciones basadas en las últimas tecnologías AR, VR, NFC, RFI y Big Data.

La colaboración se centrará en compartir conocimientos, sinergias y recursos técnicos para el desarrollo de productos y servicios basados en la seguridad digital. Nuestro Vicepresidente de Alianzas Estratégicas de ElevenPaths, Rames Sarwat reflexiona sobre la asociación "gracias a este acuerdo, ElevenPaths y Saint Patrick Technology trabajaremos conjuntamente en el desarrollo y distribución de productos y servicios de ambas compañías, por una parte, en el mercado español, y por otra, para dar servicio al mercado irlandés y de UK".


"Los productos desarrollados por parte de Saint Patrick Technology, se integran a la perfección con las soluciones Identity and Access Solutions de ElevenPaths" asegura Roberto Rodríguez Gómez, socio Director de Saint Patrick Technology. De esta manera, Saint Patrick Technology se une al Programa de Partners de ElevenPaths como SSP (Solution & Services Partners).

Con este nuevo acuerdo, ElevenPaths y Saint Patrick Technology reforzamos nuestro objetivo en el desarrollo e implementación de aplicaciones móviles especializadas en tecnologías  AR, VR, NFC, RFI y Big Data. Tanto ElevenPaths como Saint Patrick Technology incluiremos estos servicios en nuestros respectivos portfolios para así ampliar el espectro de soluciones tecnológicas, de consultoría y desarrollo de última generación.

¿Quieres saber más? Consulta nuestra sección partners en nuestro sitio web.
¿Te interesa conocer más sobre el Programa de Partners de ElevenPaths? Contacta con nosotros.

Para ver el comunicado de prensa de ElevenPaths y Saint Patrick Technologies, haz clic aquí.

Nueva técnica de detección de malware ofimático desarrollada por ElevenPahts es aceptada en la Conference on Information Systemas Security and Privacy (ICISSP)

lunes, 13 de febrero de 2017

La última investigación realizada desde el área de innovación y laboratorio de ElevenPaths, enfocada en el uso novedoso de técnicas inteligentes para la detección de malware de macros en documentos ofimáticos, ha sido aceptada para participar en la 3rd International Conference on Information Systems Security and Privacy (ICISSP 17). La conferencia tendrá lugar el próximo mes de febrero en Portugal, donde el equipo presentará los resultados.



La International Conference on Information Systems Security and Privacy (ICISSP) es una conferencia anual centrada en los aspectos relacionados con la seguridad y la privacidad de los sistemas de información que intenta reunir los últimos resultados científicos de este campo a nivel global, buscando su agrupación y actuando de punto de encuentro tanto para investigadores como para profesionales del sector.

La actual edición, que tendrá lugar en Oporto del 19 al 21 de febrero, coopera al igual que ediciones pasadas con la EEMA (European Association for E-Identity & Security). Además, está patrocinada por la IEEE Systems, Man and Cybernetics Society (IEEE SMC). Las dos últimas elecciones (ICISSP 2015 y ICISSP 2016) fueron celebradas en Francia e Italia.

En la investigación que se presentará, se estudia la efectividad de las técnicas de inteligencia artificial en la detección de malware en documentos, analizando las soluciones existentes y mostrando las capacidades del novedoso sistema desarrollado por ElevenPaths.

Fruto de la investigación que presentará el equipo, surge un sistema de análisis de documentos centrado la detección de malware preservando la privacidad del usuario. Este sistema ha sido ideado para integrarse con el resto de productos y servicios más representativos desarrollados por ElevenPaths, potenciándolos en materia de seguridad.

ElevenPaths y Enigmasec nos asociamos para ayudar a las pymes y medianas organizaciones ante la intrusión en sus sistemas

viernes, 10 de febrero de 2017

Esta semana estamos encantados de anunciar nuestra última asociación con Enigmasec, la compañía especializada en la respuesta de incidentes de ciberseguridad, con el objetivo de mejorar las capacidades de respuesta frente a las ciberamenazas que logran con éxito evadir los mecanismos de defensa tradicionales.

Actualmente no existe una herramienta asequible que sea capaz de recolectar las evidencias para rastrear la información de un incidente de seguridad para ayudar a reducir el tiempo de respuesta ante el mismo. Bajo este contexto, nace Enigmabox, la herramienta creada por Enigmasec para detectar incidentes de seguridad y comenzar a recabar evidencias para su análisis. Igor Lukic, CEO de Enigmasec nos cuenta que "Enigmabox funciona como la caja negra de aviones, para que en el supuesto de que un cliente tenga un problema de seguridad, tenga toda la información en un único punto. También funciona como sistema de alerta para poder dar respuesta a posibles incidentes de seguridad".


Nos apasiona intercambiar experiencias orientada a la respuesta de incidentes, además de añadir sinergias mutuas en acuerdos comerciales en el futuro desarrollo de soluciones de ciberseguridad con otros players de seguridad. Nuestro Vicepresidente de Alianzas Estratégicas de ElevenPaths, Rames Sarwat reflexiona sobre el acuerdo "la alianza refuerza nuestro objetivo aportando información de vital importancia para responder adecuadamente ante una intrusión de sistemas."

Enigmabox utiliza nuestra tecnología Latch como solución de autenticación robusta en sus servicios aportando confidencialidad en al acceso de administración de sistemas. ElevenPaths y Enigmasec incluiremos estos servicios en nuestras respectivas soluciones ampliando así nuestro portfolio de soluciones de ciberseguridad.

Además, el próximo viernes 16 de febrero estaremos junto a Enigmasec en la isla de Tenerife en la IV Edición de Hackron, el congreso sobre hacking y seguridad informática con nuestro hacker y CSA, Pablo San Emeterio, con la charla IM RELOADED en la que repasará las vulnerabilidades de seguridad en mensajería instantánea y con Chema Alonso, Chairman de ElevenPaths y Chief Data Office de Telefónica, quién dará la keynote del congreso por videoconferencia. "Si eres de canarias y no te organizas la agenda para asistir a este congreso, es que no amas la seguridad informática y el hacking", palabra de hacker (lo dice Chema Alonso).

¿Quieres saber más? Consulta nuestra sección partners en nuestro sitio web.
Para ver el comunicado de prensa completo de ElevenPaths y Enigmasec, haz clic aquí.


Latch Plugin Contest 2016 ¡Ya tenemos ganadores!

jueves, 9 de febrero de 2017


Ya podemos anunciar los ganadores de nuestro “Concurso de plugins de Latch 2016”, mostrando creatividad, ideas, e imaginación por parte de los participantes en las propuestas presentadas. Esta edición del concurso significa una consolidación de este y de la comunidad de desarrolladores que alimentan y evolucionan Latch.

En nuestra comunidad podéis encontrar la documentación, videos y plugins de todos los participantes que han demostrado un gran interés, esfuerzo y calidad en los trabajos presentados. Aquí os dejamos una breve descripción de los plugins y hacks ganadores:

Primer premio – 5.000 USD
Ganador: Álvaro Caso
Plugin: Mosquito MQTT

Descripción:
Este plugin permite añadir, un segundo factor de autorización de una forma fácil dentro del ecosistema de IoT, realizando la integración en la plataforma MQTT Broker (protocolo M2M ligero de mensajes), en lugar de realizarlo en los dispositivos.

Esta forma de operar libera recursos, mejora la compatibilidad y escalabilidad.

Lo que nos ha gustado:
Parece interesante y original el enfoque de la solución propuesta. La integración con un protocolo como MQTT incrementa la usabilidad de Latch, y permite una gran difusión en soluciones comerciales, como IoT Stack de Telefónica.

Video:




Segundo premio – 2.000 USD
Ganador: Juan Camero
Plugin: Latch OpenWRT

Descripción:
Plugin para el firmware libre OpenWRT utilizado en routers neutros. Gestionando la conexión a internet de dispositivos inalámbricos a través de un Smartphone con la aplicación Latch, de una forma sencilla e intuitiva. Agregando una capa de seguridad extra para el acceso a internet por el router, evitando el acceso a la red si un atacante sobrepasa las primeras medidas de seguridad como la clave del punto de acceso o un filtro de MAC, con técnicas de Mac Spoofing, etc.

Lo que nos ha gustado:
La aproximación aplicada es buena y con grandes posibilidades de evolución. El ámbito de OpenWRT es amplio por la comunidad de usuarios de este y de compatibilidad con routers neutros de mercado. La integración con la GUI web (Luci) es excelente y con una instalación sencilla.

Video:




Tercer premio – 1.000 USD
Desierto


Agradecer a todos los participantes por el aporte y el derroche de ilusión, así como por formar parte de nuestra comunidad y del intercambio de ideas. ¡Enhorabuena a los ganadores!
Comparte tu conocimiento, experiencia y curiosidades con nuestros expertos. Habla con ellos en nuestra comunidad. ¡Te están esperando! Y recuerda visitar el sitio web con los plugins de Latch y fortifica tus sistemas.

Para más información:
elevenpaths.com
latch.elevenpaths.com

Jam Session with Greg Day Madrid 2017 Roundup

miércoles, 8 de febrero de 2017

Estrenamos el mes de febrero uniéndonos a nuestros colegas de Palo Alto para celebrar nuestra primera Jam Session del año en Madrid. Este año iniciamos nuestras sesiones de visión sobre temas de tendencia en el ámbito de la ciberseguridad con Greg Day, VP y CSO de Palo Alto Networks, experto en temas de normativa GDPR y Directiva NIS.

Este evento reunió a nuestros expertos, clientes y socios de Palo Alto donde compartimos pensamientos y buenas prácticas sobre los incipientes cambios en ciberseguridad para cumplir con la nueva legislación europea en la protección de datos.




¿Cómo adaptarse a la nueva normativa de Protección de Datos? ¿Sabías que el nuevo reglamento europeo en materia de protección de la información será de obligado cumplimiento a partir de mayo de 2018? ¿Sabes cómo puede afectar a la seguridad de la información de tu empresa?

Aquí te recomendamos la lectura de otro post sobre este tema de actualidad con la visión de nuestro experto Pablo Alarcón, para que puedas conocer todo lo que necesitas saber sobre el nuevo Reglamento Europeo en materia de Protección de la Información.

¿Te interesa conocer más sobre los eventos de ElevenPaths? Visita nuestra página de eventos para obtener más información.


Tras el escándalo de la supuesta puerta trasera en WhatsApp, analizamos otras apps de mensajería

lunes, 6 de febrero de 2017

El 13 de enero de 2017 aparecía en un medio de comunicación inglés la noticia de la existencia de una supuesta puerta trasera en WhatsApp que permitiría espiar la conversaciones. Este supuesto backdoor eludiría el tan publicitado sistema de cifrado punto a punto. Aunque la noticia se viralizó tal como fue anunciada, no tardó en demostrarse que más que un fallo de seguridad se trata de una funcionalidad de la aplicación, cuyo propósito es mejorar su usabilidad y que podamos conversar mediante la aplicación sin muchas trabas. Pero, ¿Qué hace el resto de herramientas de mensajería instantáneas en estos casos? ¿Cómo se comportan? Veamos el resultado de nuestros experimentos.

Aunque el incidente ha servido para reflexionar sobre la seguridad de las apps de mensajería y la privacidad en general, el problema es cómo se ha contado la historia. El escenario de ataque propuesto por Tobias Boelter está bastante restringido a un entorno de laboratorio. Requiere del clonado de la SIM de la víctima, y que no se conecte a WhatsApp durante el periodo de tiempo del ataque, como por ejemplo en un vuelo en avión. En este escenario, con la SIM clonada un atacante podría registrarse como la víctima y ver los mensajes que le envíen. La verdad es que no sólo podría ver los mensajes, sino que también podría mandar mensajes a los contactos de la víctima haciéndose pasar por ella. Este escenario ya ha sido presentado en repetidas ocasiones con diferentes sabores, y (en mi opinión), en el caso de que la SIM resulte clonada, que alguien engañe a tus contactos de WhatsApp puede no ser el problema más importante al que te estés enfrentando. Si un atacante consigue duplicar nuestra SIM, puede acceder a multitud de servicios que utilizan el móvil como segundo factor de autenticación o como método para resetear contraseñas. Además, clonar una SIM, dependiendo del país de la víctima no suele ser un proceso fácil.

Después de verificar el escenario que proponía Tobias Boelter, nos preguntamos cómo se comportan otras aplicaciones de mensajería instantánea, ¿Qué hace Telegram, Line, WeChat o SnapChat en el escenario de ataque propuesto? Boelter ya adelantó que había analizado Facebook Messenger y Signal además de WhatsApp. En el caso de Facebook Messenger el comportamiento era similar al de WhatsApp, sin embargo, en el caso de Signal los mensajes no se reenviaban al destinatario si el emisor no lo hacía.

Telegram

Telegram tiene un comportamiento similar a WhatsApp o Facebook Messenger en los chats normales. No así en los chats privados. En ellos actúa de manera similar a Signal, no reenviando automáticamente los mensajes pendientes. Es más, si el atacante quisiera utilizar un chat secreto para hablar con los contactos de la víctima, el atacante debería crear un nuevo chat secreto para poder hablar con otras personas.

El caso de Telegram tiene también algunas características de la aplicación que la pueden hacer un poco más peligrosa en el escenario de duplicación de la SIM siempre que no se utilicen los chats secretos. En el caso de que otra persona se registe en Telegram utilizando una SIM duplicada, Telegram no te "expulsa" de la sesión que ya tuvieras abierta como el resto de aplicaciones de mensajería instantánea. Realmente crea dos sesiones: una para el teléfono del atacante y otra para el teléfono de la víctima, aunque sí es cierto que se notifica a la víctima la existencia de esta nueva sesión, para que pueda tomar acciones en caso de no haberla autorizado.

Por otra parte, un elemento que podría resultar potencialmente más peligroso que el comportamiento de WhatsApp es que el atacante podrá acceder a todo el histórico de mensajes de los chats no privados que mantuviese la víctima. Los chats secretos no se recargarán y en caso de querer hablar con otra persona por un chat privado, tendría que crear un chat secreto nuevo, lo que puede despertar las sospechas de la otra persona.

WeChat

El caso de WeChat es un poco diferente, ya que para iniciar sesión en WeChat se solicita una contraseña asociada a tu cuenta, que se puede resetear mediante un SMS. Pero en caso de detectar que el teléfono que está solicitando el reseteo de contraseña y acceso a la plataforma sea diferente al último que se estuviera utilizando WeChat, la aplicación solicita que demuestres que eres el propietario legítimo de la cuenta mediante un test. Si se supera el test (que consiste en algunas preguntas relacionadas con el uso que se ha hecho anteriormente de la propia app), se dispondrá de los mensajes pendientes igual que en el caso de WhatsApp. Pero obviamente con los mecanismos que pone WeChat es más difícil acceder a los mensajes no recibidos de un usuario.

Line

En el caso de Line, realizando el ataque propuesto por Tobias, se podría registrar un usuario nuevo asociado al número de teléfono que está suplantando. El problema es que este usuario nuevo no tiene la información de contactos ni chats pendientes del usuario. Si el usuario no tuviera asociado un email con el número de teléfono, siempre se crea un nuevo usuario perdiendo la historia de mensajes pendientes.

Snapchat

El caso de Snapchat es bastante parecido al de Line, permite que el usuario se registre únicamente con un número de teléfono o con un número de teléfono y un email. En caso de no utilizar email, el usuario que realice el ataque será considerado un usuario nuevo, que no verá los snaps pendientes de la víctima ni sus contactos.

Viber

Lo que comenzó como una aplicación para realizar llamadas de teléfono a través de la app, hace tiempo que añadió la posibilidad de chatear con los contactos, igual que cualquier otra aplicación de mensajería instantánea. En el caso de Viber cuando se registra un usuario se borra todo su historial de mensajes pendientes y contactos, con lo que el ataque planteado no es viable en esta plataforma.

BBM

Blackberry Messenger utiliza al igual que Line, WeChat o Snapchat un mecanismo de usuario y contraseña además del número de teléfono para registrar a sus usuarios. BBM al contrario que las anteriores, permite resetear la contraseña sin asociarla a una cuenta de correo, lo cual hace más fácil un ataque como el descrito en esta plataforma. Aunque a su vez al contrario que WhatsApp o Facebook Messenger la aplicación no reenvía automáticamente los mensajes pendientes. El usuario que los mandó debe reenviarlos para que el atacante los reciba.



Conclusión

Como se puede ver tras el análisis de las distintas soluciones, no existe una que sea perfecta y todas cuentan con sus ventajas e inconvenientes. Destacan los test que utiliza WeChat para validar la identidad de un usuario. Recordar que aunque sea necesario clonar una tarjeta SIM, no es imposible a pesar de todas las políticas definidas por las operadoras para impedirlo.

Pablo San Emeterio
Laboratorio ElevenPaths
pablo.sanemeterio@11paths.com