Cómo combatir las principales amenazas digitales de la mano de ElevenPaths

jueves, 19 de julio de 2018

Varias son las amenazas de ciberseguridad que afrontan a diario tanto organizaciones como particulares. Entre todas estas amenazas caben destacar dos que pueden comprometer la seguridad de nuestros equipos: las vulnerabilidades y el malware. De ello somos muy conscientes en ElevenPaths, la unidad de ciberseguridad de Telefónica, y para ello todos los equipos de la compañía trabajan duro en el diseño y desarrollo de soluciones y productos que puedan ayudar a todo tipo de organizaciones y personas a combatirlas.

Faast herramienta detección malware logo
En el ámbito de las vulnerabilidades son muchas las iniciativas en las que sestamos trabajando desde hace tiempo, como pueden ser Faast () o VAMPS. Todo ello, con la idea de que las organizaciones conozcan las vulnerabilidades que les pueden afectar a diario. Para ello, se ha trabajado en la posibilidad de disponer un pentest automático y persistente sobre los activos de las empresas.

Qué hemos presentado en Security Day 2018 (V): Emprendemos, ecosistema de innovación

miércoles, 18 de julio de 2018

SD2018 Innovación y emprendimiento imagen

La innovación debe ser uno de los motores de generación de tecnologías de ciberseguridad más 
destacados en una marca como ElevenPaths, y además debe establecer el espacio de trabajo idóneo para intercambiar ideas, exponer requisitos y localizar casos de uso y aplicaciones entre las áreas de una compañía tan disruptiva. Y atendiendo a este reclamo, en el pasado Security Day el área de innovación tuvo su espacio para mostrar los resultados y realidades llevados a cabo por el equipo de Sergio de los Santos, director del área del laboratorio e innovación en ciberseguridad, acompañado en el escenario de Rames Sarwat, máximo responsable del programa de partners y alianzas, y también Eva Suárez, ingeniera de software en ElevenPaths.

CryptoClipWatcher: Nuestra nueva herramienta contra las técnicas de "crypto clipboard hijacking"

martes, 17 de julio de 2018

Desde 2017, esta técnica se ha vuelto bastante popular. Las criptomonedas en general son un objetivo para el malware y minar Bitcoins ya no es tan lucrativo en ordenadores “normales” (quizás Monero sí). Pero, apuntar al portapapeles para robar criptomonedas es una nueva, sencilla e interesante fórmula que los creadores de malware están comenzando a explotar. Hemos creado una sencilla herramienta que vigila el clipboard para alertar al usuario si la dirección de la criptomoneda de destino es modificada.

CryptoClickWatcher herramienta ciberseguridad

Liberamos iBombShell 0.0.1b en el repositorio de Github de ElevenPaths

lunes, 16 de julio de 2018

Esta entrada va dedicada a la herramienta iBombShell, también apodada como Dynamic Remote Shell. Esta nueva tool del departamento de Ideas Locas del área de Chief Data Office (CDO) en colaboración con el laboratorio de Innovación de ElevenPaths nació con el objetivo de proporcionar una shell de post-explotación en un pentest en cualquier lugar. En el blog de nuestro Chairman Chema Alonso se ha hablado sobre la herramienta: macOS & Windows – Pentesting it with iBombShell y cómo de fácil es crear un módulo en iBombShell.

La idea original surge de la necesidad de disponer de una shell de post-explotación escrita en Powershell y que pueda estar en cualquier equipo, gracias a que es descargada desde el repositorio de Github dinámicamente. Pero esto no es todo, descarga cualquier funcionalidad necesaria desde el propio repositorio de ElevenPaths o de cualquier repositorio que marquemos externo.

Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos

viernes, 13 de julio de 2018

Detección y respuesta basadas ciberseguridad imagen

Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”.

ElevenPaths adquiere Dinoflux para reforzar las capacidades de detección y respuesta ante incidentes

jueves, 12 de julio de 2018

En el último Security Day, celebrado el pasado 30 de mayo, ElevenPaths anunció la adquisición de una nueva start-up del sector: Dinoflux. El “dino” es una herramienta de ciberseguridad que genera inteligencia para combatir las diferentes amenazas de malware actuales.

Hoy día nos encontramos con el ambicioso reto de reforzar los dispositivos de seguridad de nuestras infraestructuras. Mantener actualizados los IDS, IPS, firewalls, SIEM, endpoints, etc., es un objetivo primordial para que las alertas contengan la información necesaria para responder antes las amenazas de manera rápida y eficaz.

Ejemplo de búsqueda de una amenaza catalogada como ransomware.
Figura 1. Ejemplo de búsqueda de una amenaza catalogada como ransomware.

Qué hemos presentado en Security Day 2018 (IV): alianzas y partners, Mobile Connect ahora en ClearPass

miércoles, 11 de julio de 2018

Mobile Connect ahora en ClearPass imagen

Durante el pasado Security Day, celebrado el 30 de mayo, nuestro Strategic Alliances & Partnerships Manager de ElevenPaths, Pablo Alarcón, presentó a Lluis Martínez Pons, Hewlett-Packard Enterprise (HPE) VP y GAM de Telefónica, que mostró la integración de su solución ClearPass de control de accesos a redes de área local wifi y cableadas, con MobileConnect, la solución de ElevenPaths de identidad y autenticación de usuarios.

#CyberSecurityPulse: Triste aportación en Estados Unidos de la empresa privada a la compartición de inteligencia de amenazas

martes, 10 de julio de 2018

social networks image Después de un poco más de dos años de que el Congreso aprobara un importante proyecto de ley que incentivaba a las empresas a compartir con el gobierno cómo y cuándo threat actors están tratando de introducirse en sus sistemas, sólo seis empresas y otras entidades no federales han compartido esa información, según las cifras proporcionadas al medio de comunicación Nextgov. Cifras muy pobres en comparación con las 190 entidades y los 60 departamentos y agencias federales que están recibiendo datos sobre amenazas del programa de intercambio automatizado de indicadores de Seguridad Nacional. Esa baja cifra de participación del sector privado es un golpe adicional al programa, que ha luchado por proporcionar a las empresas y organismos gubernamentales el tipo de inteligencia procesable que prometió la Ley de Ciberseguridad de 2015.

Innovación y Laboratorio de ElevenPaths en DEF CON 26 en Las Vegas

lunes, 9 de julio de 2018

La conferencia DEF CON 26 (correspondiente a 2018), celebra su edición más importante en agosto en Las Vegas, como viene siendo habitual. Se trata de una de las más importantes del mundo en seguridad informática, con un estilo más marcadamente hacker e irreverente que la Black Hat. En esta edición, el área de innovación y laboratorio de ElevenPaths presentará una investigación.

Logo defcon 2018 imagen

Eventos y conferencias del mes de julio en los que participamos

sábado, 7 de julio de 2018

Eventos y conferencias del mes de julio en los que participamos imagen

Ya ha llegado el verano, ¡pero nuestra actividad continúa! Si aún no estas de vacaciones o lo estás pero quieres seguir al día en la actualidad sobre la seguridad informática, te traemos el listado completo de los eventos en los que participamos. ¡Saca la agenda y que no se te escape ninguno hacker!

WordPress in Paranoid Mode disponible en Docker en nuestro repositorio de Github

viernes, 6 de julio de 2018

Hace un par de años mostramos una idea de cómo se podía fortificar la base de datos y el uso diario de WordPress. Mostramos un par de papers con una serie de ideas que harían mejorar la seguridad de tu entorno WordPress y MySQL. Hoy hablamos de la liberación en nuestro repositorio de Github de un docker para disponer de WordPress con el plugin de Latch instalado y el WPM para la base de datos listo para ser aplicado.

Antes de continuar, os dejamos los papers de los que consta este trabajo. Queremos seguir evolucionando el docker para que incluya todas las ideas que tuvimos en el departamento de Ideas Locas de CDO (Chief Data Office):



Bug bounty, ¿solo una moda o ha llegado para quedarse?

jueves, 5 de julio de 2018

El bug bounty esta más presente de lo que pensamos y, poco a poco, se va a ir haciendo más popular, sobre todo si trabajas en Seguridad Informática. De hecho, lo hemos mencionado previamente en la newsletter quincenal CyberSecurity Pulse y en algún post como este.

Nuestra pregunta es bien sencilla, ¿qué es el bug bounty? Para poder definir este concepto, vamos a partir de la explicación de algunos otros conceptos o definiciones básicas.

Un bróker (del inglés broker) es un individuo o institución (agente de bolsa) que organiza las transacciones entre un comprador y un vendedor para ganar una comisión cuando se ejecute la operación. Hay muchos tipos de brokers: de seguros, tecnología, etc. y en el caso de bug bounty, podemos decir que utilizamos el mismo concepto, es un intermediador entre proveedores (en este caso Hackers) y clientes (las empresas).

Innovación en ElevenPaths: Universidad y empresa "on track"

martes, 3 de julio de 2018

Desde el 13 al 15 de junio se realizaron las IV Jornadas Nacionales de Investigación en Ciberseguridad en San Sebastián. Este evento, convertido en uno de los principales foros de la comunidad académica en materia de ciberseguridad, reunió al grueso de investigadores y equipos científicos con actividad en este campo. ElevenPaths no faltó a la cita para cubrir la segunda edición del Track de Transferencia, uniendo el mundo académico con el industrial y apostando por una mayor cercanía con el mundo científico.


track de transferencia logo

Acudimos a este evento adoptando diferentes roles. Por un lado, presentamos una de nuestras investigaciones, y por otro, con nuestro compromiso de renovar nuestra participación en el Track de Transferencia, que recordemos es una iniciativa de INCIBE que arrancó el año pasado y que busca la cooperación entre academia e industria, proporcionando un marco de trabajo que permita un acercamiento y transferencia del conocimiento empresa-universidad a través de retos de investigación. La idea es sencilla, proponer ideas surgidas de necesidades de ElevenPaths en forma de retos, y colaborar durante un año con grupos o equipos de investigación que estuviesen dispuestos a aportar su propia solución, con una comunicación fluida y más cercana. 

Perdidos entre bloques: Quorum

lunes, 2 de julio de 2018

Cada una de las cadenas de bloques se rige por las reglas que han definido previamente sus desarrolladores. Las cadenas de bloques públicas tienen numerosos beneficios. Sin embargo, el hecho de no poder marcar las reglas del juego puede convertirse en un problema a futuro. Es por ello que a lo largo de estos últimos años hemos presenciado un boom de las cadenas de bloques privadas.

Vitalik Buterin, co-fundador de Ethereum, analizaba estos conceptos hace un par de años cuando se comenzaba a hablar de los diferentes tipos de cadenas existentes. Él diferenciaba entre cadenas de bloques consorcio y cadenas de bloques completamente privadas. Según él, el consenso de las cadenas de bloques consorcio es alcanzado por un consorcio de instituciones pudiendo llegar a considerarse descentralizadas. Por otro lado, las cadenas de bloques completamente privadas son aquellas que mantienen los permisos de escritura en una sola organización.

Quorum pedidos entre bloques imagen
Figura 1. ¿Cómo elegir entre una cadena de bloques pública o privada?

Docker, ¿contenedores seguros?

viernes, 29 de junio de 2018

Desde la salida, hace 4 años, de los sistemas de contenedores, estos han ganado mucha popularidad y usabilidad en entornos empresariales y educativos, debido a las grandes virtudes que poseen en cuanto a las facilidades de despliegue y las opciones de seguridad obvias que trae, por ser aplicaciones puntuales las que se cargan en el sistema.

Sin embargo, en el blog no hemos hablado mucho de ello y sus características de seguridad, que en algunos casos, han generado una falsa sensación de que son sistemas sin ningún tipo de vulnerabilidad y que al desplegar las imágenes de los diferentes servicios que se requieren, estos van a estar completamente protegidos ante cualquier incidente. Los que trabajamos en seguridad de la información, sabemos que eso nunca será cierto.

Qué hemos presentado en Security Day 2018 (IV): alianzas y partners, experiencia de SealPath

miércoles, 27 de junio de 2018

PROTECCIÓN Y CONTROL DE INFORMACIÓN MÁS ALLÁ DEL PERÍMETRO CON SEALPATH, METASHIELD Y SHADOW

Qué hemos presentado en Security Day 2018 (IV): alianzas y partners, experiencia de SealPath imagen

Durante el pasado Security Day, nuestro Strategic Alliances & Partnerships Manager de ElevenPaths, Pablo Alarcón, presentó a Luis Ángel Del Valle, CEO y Fundador de SealPath, empresa que permite a profesionales y empresas proteger sus documentos críticos allí donde se encuentren. En este slot hablaron de la alianza y cómo la integración de SealPath, con las herramientas de Metashield y Shadow, tecnologías Data Loss Prevention de ElevenPaths, va a poder ayudar a nuestros clientes.

#CyberSecurityPulse: Nueva propuesta para adaptar las capacidades de la Infantería de Marina de Estados Unidos a los nuevos tiempos

martes, 26 de junio de 2018

social networks image El jefe de la Infantería de Marina de Estados Unidos quiere remodelar su equipo. El Cuerpo de Marines está considerando ofrecer bonos y otros beneficios para atraer a los marines más antiguos y experimentados para que se vuelvan a alistar desarrollando así también capacidades en ciberseguridad. La medida marca un cambio histórico que podría transformar una fuerza compuesta principalmente por graduados de secundaria. "Va a ser un Cuerpo de Marines un poco mayor, un poco más experimentado porque por mucho que amemos a nuestros jóvenes infantes de marina, necesitamos un poco más de edad ya que requiere su tiempo adquirir este tipo de habilidades", dijo el General Robert Neller a los líderes de la defensa en una conferencia en San Diego.

JNIC 2018, nuestra experiencia y presentación oficial del paper de las Hidden Networks

domingo, 24 de junio de 2018

Han finalizado las jornadas JNIC 2018 en San Sebastián y ElevenPaths ha estado allí presentando nuestro paper de Hidden Networks llamado “Discovering and Plotting Hidden Networks created with USB Devices”. También estuvimos presentando los nuevos retos científicos que explicamos en esta otra entrada. Ya tenemos publicado el paper en SlideShare y os lo presentamos de forma oficial aquí:



TACACS+ y Latch: “Buena combinación para administrar tus dispositivos de Red”

jueves, 21 de junio de 2018

Ha pasado mucho tiempo desde cuando administrar equipos de red en una infraestructura tecnológica solo necesitaba Telnet o SSH con algún usuario y clave robusta para poder dormir tranquilos. Recuerdo, hace más de 10 años, cuando trabajaba con mi compañero Arturo administrando la infraestructura y seguridad de la red de una entidad financiera. Un día recibimos la tarea de implementar la centralización de accesos a todos los dispositivos; tras una investigación y análisis, decidimos implementar un servidor en Linux que ejecutase un software llamado TACACS+.

TACACS+ es un protocolo derivado del protocolo TACACS, (sus siglas en inglés Terminal Access Controller Access-Control System Plus (TACACS+)), que permite gestionar servicios de autenticación, autorización y contabilización (AAA). En base a esto, dentro de nuestro proyecto, la idea era tener un punto centralizado para administrar los dispositivos, auditar accesos de operarios de la red, minimizar el punto de exposición de equipos... en definitiva, mejorar controles de seguridad en general.

Mientas recordaba esta historia, me planteé porqué no agregar una capa extra de seguridad que brindan ya algunas opciones – 2FA (Doble Factor de Autenticación) o algo similar – que, de hecho, hay varias fórmulas rondando por internet y que son válidas. Pero, a diferencia de estas, lancé una idea a mi amigo Claudio Caracciolo, y quise aprovechar la potencialidad de nuestra plataforma Latch desde ElevenPaths.

Qué hemos presentado en Security Day 2018 (III): Experiencias para aprender. Nuestros clientes hablan

miércoles, 20 de junio de 2018

Security Day 2018 (III): Experiencias para aprender. Nuestros clientes hablan imagen

En esta tercera parte de nuestro evento Security Day 2018, José Luis Domínguez, VP Customer Business Development de ElevenPaths y Juan Hernández Orea, Gerente de Desarrollo de Negocio de Seguridad en Telefónica, fueron los presentadores de la mesa redonda con varios invitados, quienes vinieron a contar la experiencia con la seguridad en sus diferentes organizaciones.

Nuevo acuerdo por el que nos comprometemos, junto con más empresas, a combatir ciberataques

martes, 19 de junio de 2018

Todos los tipos de empresas, así como sus clientes, están expuestos a ataques. Tanto sus cadenas de suministro, que cada día son más complejas, como la gran cantidad de dispositivos conectados a internet de los que disponen deben ser protegidos. Ante un futuro en el que los ataques pueden desarrollarse con una mayor frecuencia y gravedad, tanto los gobiernos como las empresas están llevando a cabo diferentes iniciativas con el objetivo de proporcionar la confianza necesaria de cara a la digitalización de las empresas.

En este sentido, las empresas tecnológicas tienen la responsabilidad de ofrecer a sus usuarios una experiencia segura. Por ello, nos hemos unido a una treintena de empresas líderes en tecnología y seguridad para firmar el Cybersecurity Tech Accord, un acuerdo que fue presentado el pasado mes de abril durante la Conferencia de la RSA en San Francisco. Esta declaración es un acuerdo entre el grupo más grande de compañías que han acordado defender de ataques a todos los clientes en todas partes.

Figura 1. Empresas de tecnología y de seguridad que han firmado el acuerdo. 

Kaspersky antivirus “confirmado como malicioso”. La guerra fría en la que perdemos todos

lunes, 18 de junio de 2018

Según la Unión Europea, el software de Kaspersky Lab (y su antivirus) es malicioso. Así, literalmente. Ya no puede ser utilizado en sus instituciones oficiales. Se le aparta y ya no es una herramienta bienvenida. El último capítulo de una leyenda y extraño efecto dominó de acusaciones que, como bola de nieve, ha tomado tracción en los últimos años. Como en el imaginario cinematográfico durante la guerra fría de los 80, los rusos son los "sospechosos habituales". Pero (como también se desprendía de "Juegos de guerra" en los 80), seguir presionando en esta contienda de tensiones reprimidas, culmina en un juego en el que no solo no hay ganadores, sino que todos pierden. Porque en un mundo de malware globalizado, descartar una tecnología como la de Kaspersky (que como tal, es neutra) no parece buena idea.

Imagen Kaspersky lab blog
Fuente: https://www.elmiracielos.com


Qué hemos presentado en Security Day 2018 (II): Mantente actualizado, mantente seguro: nuevos productos

sábado, 16 de junio de 2018

Security Day producto cybersecurity on board imagen

En este segundo post de nuestra serie #SD2018 detallaremos el slot presentado por parte de producto, en el que hablan sobre los productos propios tecnológicos e innovadores para todo tipo de empresas y organismos públicos.

SealSign 4.0: entre la digitalización de la empresa y la fuga de información

viernes, 15 de junio de 2018

SealSign 4.0 producto imagen

En este post hablaremos sobre la nueva plataforma de SealSign 4.0 para la firma electrónica y biométrica de documentos. Esta nueva versión de no solo ayuda a la digitalización de las empresa, sino también a protegerla contra la fuga de información.

Como todos sabéis, SealSign es una plataforma de firma digital que busca agilizar los procesos de firma dentro de la compañía, acompañado de una clara reducción de costes, tanto operativos como de procesos de negocio.

ElevenPaths anuncia una Alianza Estratégica con Devo

jueves, 14 de junio de 2018

Alianza estratégica ElevenPaths y Devo imagen

Proveer a los clientes de Telefónica con servicios avanzados de monitoreo y protección de la ciberseguridad a través de Devo Data Operations Platform.

Qué hemos presentado en Security Day 2018 (I): Bienvenida y Keynote

miércoles, 13 de junio de 2018

El pasado 30 de mayo celebramos la quinta edición de nuestro evento anual en ciberseguridad, ElevenPaths Security Day 2018, con el lema 'Cybersecurity On Board'.

Bajo este claim, queríamos mostrar el valor intrínseco que proporcionamos a todos los productos de la compañía, que se materializa en un viaje end to end. Un sello de calidad con el que dotamos a todos nuestros servicios, para garantizar a las empresas un camino seguro y que la confianza que depositan en nuestros servicios crezca. Un viaje, en el que ElevenPaths acompaña a sus clientes, hasta lograr la madurez en seguridad de cada uno de ellos.

Durante la jornada, anunciamos que ElevenPaths se ha consolidado como proveedor de servicios en ciberseguridad, Intelligent Managed Security Service Provider (MSSP).

Security Day 2018 keynote chema alonso imagen

Comienza JNIC 2018, la IV Jornada de Investigación en Ciberseguridad en las que participamos

martes, 12 de junio de 2018

JNIC 2018 imagen


Hoy, martes 12 de junio, comienza la IV Jornada Nacional de Investigación y Ciberseguridad JNIC 2018 (en colaboración con INCIBE) que esta vez se celebra en San Sebastián (Gipuzkoa). Este evento mostrará los últimos avances científicos en seguridad informática realizados por grupos de investigación, tanto académicos como empresariales. Los tres ejes en los que se centra JNIC son la investigación en la ciberseguridad, docencia e innovación educativa en ciberseguridad y transferencia tecnológica.

#CyberSecurityPulse: Cambiando estereotipos en el sector de la seguridad

social networks image La semana pasada se creó cierto revuelo en la industria de la ciberseguridad después de que se viera a mujeres vestidas con trajes de noche rojos promocionando un producto en la conferencia Infosecurity Europe 2018. Los organizadores del evento condenaron la medida, diciendo que los contratos con los vendedores prohíben el uso de los llamados "booth babes". Afortunadamente, este comportamiento es un caso aislado dentro del sector. De hecho, se percibe que se está empezando a tener una mayor diversidad de género, que más mujeres intervienen en conferencias y se están llevando a cabo múltiples programas e iniciativas que incluyen un renovado enfoque en el reclutamiento.

SignatureMiner, nuestra herramienta de análisis y la homogeneización de firmas de antivirus (recibe el premio al mejor póster en Pekín)

lunes, 11 de junio de 2018

Los antivirus han sido (y siguen siendo) una de las herramientas más prácticas a nivel de usuario para combatir las amenazas de ciberseguridad. Aunque resulte difícil mantenerse completamente actualizado ante los nuevos retos, proporcionan una herramienta muy útil para la detección y mitigación de amenazas conocidas. Uno de los retos de la industria (aunque ya casi que se ha tirado la toalla) ha sido siempre el intentar homogeneizar sus firmas para que todos los motores cataloguen, al menos de forma parecida, las diferentes familias de malware. Esto ayuda a que el usuario pueda determinar qué malware ha detectado y permite que disponga de más información a la hora de tomar decisiones sobre la gravedad de la situación, y actuar en consecuencias. Detectar un Trojan.Generic no suele ayudar mucho a tomar una contramedida adecuada, mientras que Adware.Generic, o Ransom.SamSam, por poner algunos ejemplos, pueden resultar más útiles. Incluso así, siempre existirá la duda de si estas firmas corresponden con la naturaleza del malware.

Las HiddenNetworks y otros proyectos de ElevenPaths en la JNIC 2018

jueves, 7 de junio de 2018


En esta edición de 2018 de la JNIC estaremos presentando nuestro paper llamado “Descubriendo y dibujando redes ocultas creadas con dispositivos USB”. Más concretamente, será la mañana del día 13 de junio en San Sebastián (Gipuzkoa).

Eventos de ciberseguridad de ElevenPaths en junio que no te puedes perder

miércoles, 6 de junio de 2018


Si quieres estar al día en seguridad informática no puedes faltar a las citas que hemos seleccionado para ti. Aquí tienes la lista de actividades en las que participamos a lo largo del mes de junio, si coincide alguna de ellas en tu ciudad, acércate a conocernos. También hay eventos online a los que puedes asistir estés donde estés y de manera gratuita. ¡Haz hueco en tu agenda!

Nuevas herramientas: Metashield Bots, analizando y limpiando metadatos para todos, desde cualquier parte

martes, 5 de junio de 2018

Ya conocéis Metashield. Básicamente, es una tecnología propia para analizar y limpiar metadatos que se utiliza en varios de nuestros productos. Aunque los metadatos parecen ya un "viejo" problema, todavía son útiles a la hora de analizar datos filtrados, como en el caso de los discos duros de Bin Laden que ya cubrimos, o incluso resultó ser una pieza clave en la investigación el autor de Wannacry, cuando averiguamos cómo trabajaba el creador e incluso cuál era su idioma por defecto configurado en su Word. Hoy vamos a presentar una nueva forma de usar Metashield, para todos y desde cualquier parte, puesto que hemos creado bots para Telegram, Skype y Slack. Ahora es más fácil que nunca. ¡Vamos a por ello!

Innovación y laboratorio de ElevenPaths y los C&C persistentes en la “Geek Street” de Infosecurity Europe 2018

lunes, 4 de junio de 2018

Infosecurity Europe (Infosec) es uno de los eventos de seguridad más grandes de Londres. Se trata de una feria donde se reúnen casi 20.000 profesionales alrededor de unos 400 stands de fabricantes, y se muestran los últimos avances en seguridad de la información. Además de esto, se ofrecen conferencias de todo tipo en varios tracks en paralelo. Nos encontraremos en el denominado “Geeck Street” donde hablaremos de "Commands and Control" persistentes para malware a través de Blockchain.

Info security Europe imagen

Colisiones, haberlas hay(las). Parte 4.

sábado, 2 de junio de 2018

En la entrada anterior sobre este tema, analizamos cómo las claves privadas de Bitcoin son suficientemente seguras, siempre que se utilicen de forma correcta. Pero, ¿qué sucede con las claves públicas y sobre todo, con los algoritmos de hash SHA-256 y RIPEMD-160?, ¿serán suficientemente seguros para impedir colisiones en las direcciones de Bitcoin? ¡Vamos a verlo!

Claves públicas y direcciones de Bitcoin
En los criptosistemas de curva elíptica, cada clave pública es un punto de la curva referenciado por sus coordenadas (x,y), el cual ha sido obtenido a parir de la clave privada. En el caso de Bitcoin y su curva “secp256k1”, las coordenadas “x” e “y” son dos números de 256 bits de tamaño.

La clave pública puede expresarse de dos formas, según se utilicen una (x), o las dos coordenadas (x,y), generalmente en codificación hexadecimal:
  • Sin comprimir (uncomppressed) 65 bytes:            “04” + x + y  
  • Comprimida (compressed) 33 bytes:                     “02 o 03” + x (02 si X es par o 03 si es impar)

ElevenPaths se consolida como proveedor de servicios en ciberseguridad

miércoles, 30 de mayo de 2018

Security Day - Cybersecurity On Board imagen

Hoy se ha celebrado la V edición del evento Security Day, organizado por ElevenPaths, la Unidad de Ciberseguridad de Telefónica, bajo el lema “Cybersecurity On Board”. Una importante cita, que ha congregado a más de 400 personas, y que ha servido de marco para presentar las nuevas integraciones tecnológicas llevadas a cabo junto a partners estratégicos con el objetivo de ayudar a las empresas a combatir ciberataques contra sus infraestructuras tecnológicas. La unidad de Ciberseguridad de la compañía trabaja para acompañar a sus clientes en un viaje end to end y, así, lograr la madurez en seguridad.

#CyberSecurityPulse: El proyecto de Google para luchar contra los ciberataques en elecciones

martes, 29 de mayo de 2018

social networks image Durante aproximadamente una hora la noche de las elecciones primarias en mayo, los residentes del condado de Knox, Tennessee, no podían saber quién había ganado. Habían dejado sin disponibilidad el sitio web de seguimiento de las elecciones del condado, bloqueando la página a las 8 de la tarde, justo cuando se cerraban las urnas. El director de TI del condado, Dick Moran, dijo que el sitio web había visto "tráfico de red extremadamente pesado y inusual". Su alcalde pidió una investigación sobre el ataque cuyas señales apuntan a que lo más probable es que hubiera sido un ataque DDoS.

Telefónica celebra el evento Network Innovation Day: Seguridad para construir la red del futuro

lunes, 28 de mayo de 2018

Network Innovation Day 2018 imagen

Porque necesitamos una red cada vez más flexible y basada en software, este año queremos compartir contigo nuestra visión sobre cómo será la red del futuro. Telefónica organiza el próximo 14 de junio el evento más importante del año de innovación en la red: Network Innovation Day- We are in.

        ¡REGÍSTRATE AQUÍ!           

El lema para nuestro evento de innovación en la red es: We are in. Desde dentro. Desde el corazón. Desde el centro neurálgico de Telefónica llega la verdadera transformación de la red. Gracias a la Inteligencia Artificial (IA), el Big Data, el 5G y la Seguridad recorremos un camino innovador revolucionando todos los procesos e infraestructuras técnicas hacia el futuro digital de nuestros clientes.

¡Reserva ya tu sitio y regístrate ahora!

Ampliando las capacidades de Neto: cómo desarrollar nuevos plugins de análisis

En posts anteriores hemos introducido Neto como analizador de extensiones de navegador. La primera versión que liberamos, 0.5.x incluía un CLI, una interfaz JSON-RPC y podía ser utilizada directamente desde vuestros scripts. En la serie 0.6.x hemos ganado en estabilidad y hemos añadido además algunas características interesantes como la consola interactiva para hacer del analizador una herramienta con la que se pueda interactuar. Sin embargo, aún no hemos hablado de cómo podemos ampliar las funcionalidades de Neto para adecuarlas a nuestras necesidades.

Un sistema de plugins para ganar flexibilidad
Pese a las necesidades de investigación que podamos tener nosotros desde ElevenPaths, puede ocurrir que otros analistas de seguridad quieran también llevar a cabo otras tareas en las que nosotros no hemos pensado. Con el objetivo de flexibilizar su uso lo más posible, hemos pensado en un sistema de plugins que os permita diseñar vuestros propios módulos. Recordad en este punto que siempre podremos instalar la versión más reciente desde PyPI con:

$ pip3 install neto --user --upgrade

RGPD, el comienzo de una nueva etapa

viernes, 25 de mayo de 2018

RGPD, el comienzo de una nueva etapa imagen

Hoy comienza una nueva etapa para todos nosotros y las distintas organizaciones. Hoy se convierte de obligado cumplimiento la aplicación del nuevo Reglamento General de Protección de Datos (RGPD). Paramos a echar la vista atrás para revisar el trabajo realizado, reflexionar sobre las lecciones aprendidas y planificar nuestros siguientes pasos. Sin duda, se trata de la normativa que ha tenido mayor impacto en las organizaciones durante los últimos años si bien es verdad que no partíamos de cero. Desde las Conferencias Internacionales de Autoridades de Protección de Datos y Privacidad, cuya primera edición se desarrolló en el 79, pasando por las directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos que datan de los 80, hasta llegar a las españolas LORTAD y LOPD que nos traen hasta el punto en el que estamos.

Colisiones, haberlas hay(las). Parte 3.

jueves, 24 de mayo de 2018

En la entrada anterior sobre este tema comentamos la idoneidad del algoritmo ECDSA y más concretamente, de la curva “secp256k1”. No estando afectado por vulnerabilidades conocidas, se podría considerar seguro, aunque esto, depende en gran medida de cómo se utilice. Pues, ¡vamos a analizarlo!

Claves privadas de Bitcoin
Al igual que otros sistemas de Criptografía Asimétrica, ECDSA se fundamenta en el binomio de claves privadas y claves públicas. En Bitcoin, según están definidos los parámetros de dominio de la curva “secp256k1”, una clave privada puede ser cualquier número comprendido entre 1 y el número de puntos de la curva u orden “n” menos 1:

n = 115792089237316195423570985008687907852837564279074904382605163141518161494337 - 1

El valor de “n-1” es algo menos de 2^256, pero es un número tremendamente grande. Tanto, que cuesta trabajo imaginarse sus colosales dimensiones, e incluso escribirlo en formato decimal, ya que tiene 78 cifras, aproximadamente 10^77.

Fallo ¿crítico? en PGP y S/MIME permite revelar mensajes cifrados

miércoles, 23 de mayo de 2018

PGP y S/MIME son dos de los métodos más conocidos para cifrar emails por todo Internet. PGP (Pretty Good Privacy) fue desarrollado por Phil Zimmermann el cual utiliza la criptografía de clave pública para cifrar la información y es todo un clásico ya que lleva funcionando desde 1991. S/MIME (Secure/Multipurpose Internet Mail Extensions) es también una tecnología que permite cifrar información basado en criptografía asimétrica. Ambos sistemas también permiten firmar los correos para confirmar la identidad de la persona que los ha enviado.

Hace unos días se comentó en ELDM la aparición de esta nueva vulnerabilidad llamada efail. En él se explicaba un bug con el cual es posible descifrar a texto plano los mensajes cifrados con ambas plataformas. Ahí es poco. Y lo más grave, también sirve para cifrar cualquier email enviado en estos últimos años. El mensaje publicado por estos investigadores es bastante claro: desinstala ahora en tu cliente de email cualquiera de estos métodos de cifrado.

La atribución es sexy pero, ¿para quién es relevante?

martes, 22 de mayo de 2018

Resolver la autoría de un ataque es una pregunta que todo analista quiere contestar. Sin embargo, nos encontramos ante una situación en la que los atacantes cada vez más utilizan técnicas de decepción. Este concepto, conocido por los servicios de inteligencia también como contrainformación, permite mantener la iniciativa y provocar que el contrario perciba como cierta una información que es incorrecta. 

Durante la Segunda Guerra Mundial y la Guerra Fría se conocieron numerosos casos de falsos traidores del bloque soviético que intoxicaron los sistemas de obtención de información británico y norteamericano. Pero, ¿hasta qué punto ha evolucionado este concepto para luchar contra las ciberamenazas?

Figura 1. Fotografía de la Operación Titánico. 

Analizando extensiones de navegador con Neto Console

lunes, 21 de mayo de 2018

Hace quince días publicábamos la primera versión de Neto, nuestro analizador de extensiones en Github. Publicada bajo licencia libre, en este tiempo hemos trabajado en una serie de funcionalidades que permitan a los analistas una mejor interacción con cada una de las utilidades de la herramienta además de mejorar su configuración. En este post veremos algunas de las novedades que hemos incluido en esta versión entre las que destaca su interfaz interactiva.

Las principales novedades de la versión 0.6
En esta segunda release pública incluimos algunas funcionalidades que consideramos relevantes:
  • La consola de Neto es la principal utilidad incluida en esta versión. Se trata de una pequeña interfaz de comandos que invocamos con neto console y desde la que podremos ejecutar diferentes comandos de análisis de forma interactiva como veremos más adelante en este post.
  • La carpeta de configuración. En esta prerelease también hemos incluido una serie de archivos de configuración que generaremos en la instalación. En sistemas GNU/Linux la carpeta de configuración se creará en /home//.config/ElevenPaths/Neto y será, además del lugar en el que almacenamos los archivos de configuración principales y unos backups, una carpeta de referencia donde almacenar resultados de los análisis. En sistemas Windows esta carpeta se creará en C:/Users//ElevenPaths/Neto.
  • Visualización de características de los análisis realizados en la CLI. De esta manera, el analista podrá comprobar desde la propia línea de comandos las principales características extraídas del en el análisis, como el hash de la extensión, los permisos que utiliza, los scripts que carga en cada pestaña o en background o la valoración que hace Virustotal del archivo entre otras sin necesidad de explorar manualmente el JSON. El JSON se seguirá generando con los datos completos.

Nuevos informes sobre información pública de los países de Latinoamérica

viernes, 18 de mayo de 2018

informe de tendencias metadatos imagen

Cualquier persona que trabaja en seguridad desde hace años es capaz de comprender que no existe el Plan Estratégico de Defensa perfecto. Sin duda alguna, también estará de acuerdo con mi afirmación de que, aún si tuviera un plan definido formalmente, el mismo no sería estático y cada evento diario podría modificar sus definiciones.

Colisiones, haberlas hay(las). Parte 2

jueves, 17 de mayo de 2018

En nuestra entrada anterior sobre este tema, terminamos el post preguntándonos: ¿Existirán colisiones en los algoritmos utilizados en Bitcoin?, pues vamos a analizarlo.

La criptografía de Bitcoin
Los principales organismos reguladores NIST, FIPS, la misma NSA, el MITRE y los gigantes del sector privado, con Google a la cabeza; se preocupan muy mucho por la seguridad de los criptosistemas de uso general, pero… ¿Quién vela por la seguridad de las criptodivisas como el Bitcoin? ¿Existen colisiones en los algoritmos utilizados en Bitcoin?

El protocolo Bitcoin hace uso de tres algoritmos criptográficos:
  • ECDSA: en la firma y verificación de transacciones, a partir de claves privadas y públicas (criptografía asimétrica).
  • SHA-256 y RIPEMD160: como algoritmos de Hash (resumen criptográfico) en varios usos.

#CyberSecurityPulse: La eterna disputa: backdoors y seguridad (nacional)

martes, 15 de mayo de 2018

social networks image Un grupo bipartidista de legisladores de la Cámara de Representantes ha introducido una legislación que impediría al gobierno federal de Estados Unidos exigir a las empresas que diseñen tecnología con backdoors y así garantizar el acceso de las fuerzas de seguridad a cierta información. Este proyecto de ley representa el último esfuerzo de los legisladores en el Congreso para eliminar la batalla entre los funcionarios federales encargados de hacer cumplir la ley y las empresas de tecnología sobre el cifrado, que alcanzó un punto de ebullición en 2015 cuando el FBI se peleó con Apple por un iPhone bloqueado vinculado al caso del atentado terrorista de San Bernardino.

Análisis técnico de un SIEM… ¿están seguros tus logs?

lunes, 14 de mayo de 2018

Los SIEM suelen utilizarse en ambientes de alta seguridad o regulados, donde se requiere un monitoreo y análisis de logs periódico en busca de incidentes de seguridad. Ayudan a que una red esté más segura, sí… pero… nos preguntamos un poco más allá: ¿realmente los logs de los equipos de nuestra infraestructura están adecuadamente protegidos? Vamos a abordar en esta entrada unas pautas mínimas que se deben tener en cuenta para securizar un SIEM, poniendo como ejemplo y caso de uso una investigación particular sobre Splunk, uno de los SIEM más conocidos.

Eventos del mes de mayo en los que participan nuestros expertos

viernes, 11 de mayo de 2018


¡Hola hackers! Un mes más, presentamos los eventos en los que participamos y que no debes de perderte para estar al día en seguridad informática.

Nuevo informe: Sofisticado troyano contra bancos chilenos utiliza software popular como "malware launcher" para eludir SmartScreen

jueves, 10 de mayo de 2018

ElevenPaths ha identificado un troyano bancario brasileño mejorado y evolucionado (muy probablemente procede del Kit KL Banker), que utiliza una nueva técnica para eludir el sistema de reputación SmartScreen y evitar la detección en Windows. El troyano descarga programas legítimos y los utiliza como "malware launcher" aprovechando el DLL hijacking en el software. De este modo, el malware puede ejecutarse "indirectamente" y eludir el sistema de reputación SmartScreen e incluso algunos antivirus.

Security Day 2018: Welcome on board!

miércoles, 9 de mayo de 2018

Security Day 2018- Cybersecurity On Board imagen

Hoy en día, las empresas están expuestas a sufrir ataques cada vez más sofisticados y frecuentes que ponen en peligro su reputación, privacidad y confianza, afectando directamente al negocio.

En ElevenPaths acompañamos a nuestros clientes para proteger su bien más preciado, para asegurar que las medidas de seguridad que les ofrecemos son las más adecuadas y que su estrategia, en este ámbito, se dirige hacia la ciber-resiliencia.

El próximo 30 de mayo tendrá lugar el evento anual sobre ciberseguridad de ElevenPathsSecurity DayBajo el lema 'Cybersecurity On Board', la edición de 2018 se presenta con una agenda cargada de novedades tecnológicas y seguridad.

Nueva herramienta: Neto, nuestra suite de análisis de extensiones Firefox, Chrome y más

martes, 8 de mayo de 2018


En el área de innovación y laboratorio de ElevenPaths, hemos creado una nueva herramienta para analizar extensiones de navegador. Aunque más que una herramienta, supone toda una suite (además, extensible con sus propios plugins) para el análisis de extensiones, es sencilla de usar y proporciona información útil sobre características propias de extensiones tanto de Firefox como de Chrome u Opera.

Neto herramienta imagen

ElevenPaths y la Universidad Carlos III participarán en la prestigiosa IEEE Conference on Communications and Network Security en Pekín

lunes, 7 de mayo de 2018

Una investigación promovida desde el área de innovación y laboratorio de ElevenPaths, y desarrollada en conjunto con la Universidad Carlos III de Madrid ha sido aceptada para participar en la IEEE Conference on Communications and Network Security en Pekín que tendrá lugar a finales de mayo y donde se presentarán los resultados.

IEEE Conference on Communications and Network Security imagen

Primer aniversario de la Cyber Threat Alliance

jueves, 3 de mayo de 2018

La necesidad de datos de seguridad relevantes ha experimentado un aumento constante, dado que la gestión de la seguridad de la información se está convirtiendo en un componente clave de cualquier organización moderna. Pero, a diferencia de los datos comerciales tradicionales, en seguridad de la información la relevancia y el contexto pueden originarse tanto dentro como fuera de la organización. Es por esta razón que el intercambio de información y la necesidad de compartirla se han vuelto casi axiomáticos en el mundo de la ciberseguridad.

El 18 de abril se celebró en San Francisco, durante la RSA Conference, el primer aniversario de la Cyber Threat Alliance (CTA), una organización sin ánimo de lucro que trabaja para mejorar la ciberseguridad del ecosistema digital global, empleando para ello una plataforma tecnológica para compartir datos avanzados sobre amenazas. Mediante la CTA y sus miembros, se puede compartir información oportuna, accionable, contextualizada y basada en campañas que se utiliza para mejorar sus productos y servicios a fin de proteger mejor a sus clientes, frustrar de manera más sistemática a los adversarios y mejorar la seguridad del ecosistema digital.

Junta directiva Cyber Threat Alliance image
Pedro Pablo Pérez García, Director Global de Seguridad de Telefónica y CEO de ElevenPaths, con la Junta Directiva de la Cyber Threat Alliance (CTA)

#CyberSecurityPulse: Monero y EternalRomance, la fórmula perfecta

martes, 1 de mayo de 2018

social networks image La publicación por parte de ShadowBrokers el año pasado de herramientas pertenencientes a la Agencia de Seguridad Nacional sigue dando que hablar. Un nuevo malware que utiliza la herramienta EternalRomance ha aparecido en escena con Monero-mining. Según el laboratorio FortiGuard de Fortinet, el código malicioso lo han denominado PyRoMine al estar escrito en Python y ha sido descubierto por primera vez este mes. El malware puede descargarse como un archivo ejecutable compilado con PyInstaller por lo que no hay necesidad de instalar Python en la máquina donde se vaya a ejecutar PyRoMine. Una vez instalado, roba silenciosamente recursos de la CPU de las víctimas con el fin de obtener las ganancias en Monero.

Facebook cambia la lógica en su política TLS (en parte por nuestro estudio) implementando un HSTS “en ambas direcciones”

lunes, 30 de abril de 2018

Facebook y privacidad. El reciente escándalo de la red social en las últimas semanas no la convierte en el mejor ejemplo precisamente para hablar de privacidad o conexiones seguras en general. Pero ese no es el asunto ahora. Lo cierto es que ha sido la primera web (o más bien, "plataforma") en dar un paso muy interesante e innovador en la política de renovación TLS que está viendo Internet en los últimos años, que implica el refuerzo del concepto TLS en general desde todos frentes: "TLS Everywhere", certificados accesibles o gratuitos, HSTS, Certificate pinning, Certificate Transparency, dar de lado a protocolos antiguos... una profunda revisión del ecosistema a la que Facebook (e Instagram) se unen con una propuesta más que interesante.

¿Cómo hemos vivido la RSA Conference 2018?

viernes, 27 de abril de 2018

La ciudad californiana de San Francisco recibió a más de 48.000 visitantes expertos del sector de la seguridad que se reunieron en el centro de convenciones más grande de toda la ciudad la pasada semana de abril, para celebrar la RSA Conference 2018. Más de 650 stands dispuestos a dar a conocer las diferentes alternativas que existen para combatir las amenazas que acechan la red en la actualidad. Allí estaba Telefónica Business Solutions a través de ElevenPaths, la Unidad de Ciberseguridad de Telefónica.

Este año hemos aterrizado en la ciudad de las mil perspectivas con un poco más de altura respecto a los dos años anteriores. El diseño de nuestro stand contempló la disposición de dos plantas permitiendo tener suficientes espacios para reuniones. Las dos plantas del stand, sumado a los tonos de azul y blanco, colores corporativos de Telefónica, consiguieron hacer nuestro booth identificable y reconocible en la gran feria. Situado en el pabellón South #2207, conseguimos atraer a más de 800 visitantes a nuestro stand y realizamos más de 60 reuniones organizadas además de multitud de conversaciones informales durante toda la exhibición.

Colisiones, haberlas hay(las). Parte 1.

jueves, 26 de abril de 2018

Coliseo
Proveniente del latín tardío “collisio”, y este a su vez de la unión de “cum” (cuando) y “leadere” (herido). El término colisión puede adoptar múltiples acepciones, siendo la más usual la referida al efecto o acción de chocar, encontrarse con violencia, dos o más entes materiales. También son muy frecuentes las referencias etéreas, como a ideas, o pensamientos contrapuestos.

Su extrema ambigüedad hace que podamos encontrar colisiones en cualquier cosa imaginable, independientemente de su naturaleza o envergadura.

Da igual en qué continente estés leyendo este artículo, el suelo que pisas está sobre una placa tectónica en constante colisión con otra. Con un poco de suerte nunca lo notarás, si lo has llegado a notar alguna vez, ya sabes de lo que hablo.

Da igual que sea de noche o de día, si te asomas por una ventana verás la luz del sol o de otras estrellas, que fue liberada hace minutos o millones de años respectivamente, en la fusión de los núcleos de átomos de hidrógeno y sus isótopos principalmente, al colisionar entre ellos, aplastados por una descomunal fuerza de gravedad. Desde que se descubrió este fenómeno se está intentando imitar: la Organización Europea para la Investigación Nuclear (CERN) ha construido un gigantesco colisionador de hadrones, solo para experimentar. Si el mismo CERN donde Tim Berners-Lee creó el protocolo HTTP, el lenguaje HTML y el sistema de locación de recursos URL, formando así el núcleo de la web, que seguro, estas utilizando para leer estas líneas.

En busca de una mejora de la privacidad en las criptodivisas con Dash, Zcash y Monero

martes, 24 de abril de 2018

Cuando se habla de criptodivisas a menudo nos encontramos con la creencia de que su uso es completamente anónimo. Quienes hayan investigado un poco sobre alguna de ellas (porque sobre todas las que existen es imposible), sabrán que no es necesariamente así teniendo en cuenta que las operaciones de muchas de ellas son perfectamente trazables en las correspondientes cadenas de bloques.

De esta manera, si en una presunta actividad delictiva nos encontramos con direcciones de Bitcoin o Litecoin, podremos trazar las operaciones en las que se ha encontrado involucrada, así como navegar en el tiempo hacia adelante o hacia atrás en la cadena de bloques. Asimismo, también debemos conocer la intrahistoria de dicha criptodivisa ya que si se ha producido algún hard fork podrían estar gastando dichos bitcoins en diferentes cadenas de bloques bajo reglas diferentes. Un ejemplo de ello ha sido la investigación que publicamos hace unas semanas sobre las direcciones de Wannacry siguiendo la pista tanto a través de la cadena de bloques de Bitcoin como de la de Bitcoin Cash.

¿Y qué hacemos si en el transcurso de una investigación terminamos encontrándonos con una dirección de una criptodivisa que no tenemos en el radar o que no conocemos? Lo primero, como casi siempre, buscaremos en Google. Sin embargo, una primera referencia puede ser el proyecto de Coinmarketcap.com, porque además de facilitar información sobre la cotización media incluye links a las webs oficiales del proyecto y a algunos exploradores de la cadena de bloques de cada criptodivisa.

Información proporcionada por coinmarketcap sobre Bitcoin Cash imagen
Figura 1. Información proporcionada por coinmarketcap sobre Bitcoin Cash.

AMSI, un paso más allá de la detección de malware en Windows

lunes, 23 de abril de 2018

Al principio fue el virus. Trozos de código en ensamblador que se concatenaban a los archivos, a los que modificaban el "entrypoint". Después, esta técnica se retorció y mejoró hasta sus límites, se buscó la ejecución automática, la reproducción, la independencia de un "huésped" (el malware ya es standalone desde hace tiempo) y el pasar bajo el radar de los antivirus. "Tocar disco" era la premisa (¿cómo infectar, si no?) y a su vez el anatema del malware. Si se conseguía evitar en lo posible este peaje, se podría llegar a huir de los detectores. "Fileless", se llamó a esta técnica que buscaba una fórmula etérea en la que subsistir en memoria todo lo posible. No tocar disco o retrasarlo al máximo, no aterrizar en aquello que controla férreamente el antivirus. "Fileless" se ha perfeccionado hasta tal punto (¿os suena el malware que combina macros y Powershell?), que ya existe una fórmula nativa en Windows para mitigarla en lo posible. Pero no se le presta la atención que debería.

Estructura básica AMSI imagen
Estructura básica AMSI, proporcionada por Microsoft

Normativa GDPR: ¿Qué pasa con nuestros datos ahora?

domingo, 22 de abril de 2018

Normativa GDPR: ¿Qué pasa con nuestros datos ahora? imagen

A estas alturas, todos sabemos que el nuevo reglamento de protección de datos personales europeo (GDPR) tiene que convertirse en una realidad en los diferentes estados, obligando a las compañías y organizaciones a garantizar su cumplimiento. El día G, aunque anunciado con bastante anterioridad, se presenta ahora muy cercano, el 25 de mayo de este mismo año.

Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) – Parte 2 de 2

jueves, 19 de abril de 2018

En la primera parte de este artículo conocimos un poco de la historia del GCHQ y su fundación, como está organizado y la ubicación de sus oficinas centrales. Mencionamos la creación del programa GCHQ Cyber Accelerator que ya está en su segunda edición y los nombres de las 9 startups seleccionadas que están actualmente siendo aceleradas.

En esta segunda parte conoceremos un poco más de estas afortunadas startups seleccionadas entre cientos de candidatos y las innovadoras soluciones que proponen:

Cybershield
Una interesante solución que ayuda a detectar phishing y spear phishing directamente desde el correo electrónico utilizando para ello algoritmos basados en inteligencia artificial y que cambia el color de la línea de asunto del correo electrónico a verde, amarillo o rojo dependiendo de la amenaza. 

El sistema se instala en el servidor de correo electrónico de la empresa, no produce interrupción del servicio, requiere poca formación y no envía ninguna información fuera de los sistemas de correo de la empresa. Un refuerzo que ayuda a la educación y la conciencia del usuario en lo relacionado con la protección contra malware.

Imagen del cuartel general del GCHQ

#CyberSecurityPulse: De los bug bounties (tradicionales) a los data abuse bounties

martes, 17 de abril de 2018

social networks image Los grandes de internet están sufriendo lo suyo para ser transparentes con la comunicación sobre la recolección de información que están realizando de sus usuarios. En este sentido, para miniminar el riesgo de ser objeto de determinados ataques, en el caso de Facebook, éste paga millones de dólares cada año a investigadores y a bug hunters para que detecten fallos de seguridad en sus productos e infraestructura, pero tras el escándalo de Cambridge Analytica, la compañía ha lanzado un nuevo tipo bug bounty para recompensar a aquellos que denuncien el "abuso de datos" en su plataforma. A través de su nuevo programa "Data Abuse Bounty", Facebook pediría a terceros que le ayudasen a encontrar desarrolladores de aplicaciones que estén haciendo un mal uso de sus datos. "Ciertos actores pueden recopilar y abusar de forma maliciosa de los datos de los usuarios de Facebook incluso cuando no existen vulnerabilidades de seguridad. Este programa tiene la intención de protegernos contra ese abuso", según la publicación hecha por la compañía.

Análisis técnico de las fases de Cobalt, la pesadilla para la red interna de un banco

lunes, 16 de abril de 2018

Hace algunos días, un actor relevante del grupo de atacantes conocido como Cobalt/Carbanak (o incluso FIN7 para algunos) fue detenido en Alicante. Este grupo ha estado relacionado con distintas campañas contra instituciones bancarias que han provocado unas pérdidas sustanciosas mediante transferencias y retiradas fraudulentas de efectivo en cajeros automáticos. Vamos a ver algunos detalles técnicos del modus operandi de la última oleada, cómo funciona y algunas ideas sobre cómo mitigar el impacto dado el caso.

El objetivo del grupo es el acceso a la infraestructura de la entidad financiera para conseguir el compromiso de los cajeros automáticos y retirar fraudulentamente de efectivo. Aunque parezca ciencia ficción, se hacen con el control de la red de cajeros hasta el punto de que pueden hacer que a una hora concreta, comience a soltar todo el efectivo que contiene. Basta con que el "mulero" se encuentre en ese momento frente al cajero para que el golpe se haga realidad. Más que en el análisis de la muestra, nos detendremos en los aspectos más interesantes de las fases del ataque.

DirtyTooth se hace mayor con un nueva página en Wikipedia

domingo, 15 de abril de 2018

En el año 2017, allá por el mes de marzo, se presentaba en el congreso de seguridad informática Rooted CON un hack que permitía extraer información como contactos y llamadas de un dispositivo iOS que se conectaba a un dispositivo Bluetooth. Este hack fue denominado por el Chairman de ElevenPaths, Chema Alonso, como DirtyTooth. Era un hack sencillo, pero muy potente, y con muy poco tiempo lo preparamos para que cualquiera pudiera tenerlo en su Raspberry y probar e investigar sobre el asunto. Este hack para todos fue llevado a BlackHat Europa 2017.

Hoy, tengo el placer de saludar y dar la bienvenida a las páginas de Dirtytooth en la Wikipedia. Personalmente, esto es algo que nos hace especial ilusión, ver cómo lo que comenzó siendo una idea loca y una prueba de concepto (PoC) se tradujo en algo que Apple decidió “tapar” para mejorar la experiencia de uso del usuario y su seguridad/ privacidad.

Conectándonos al mundo (Parte 2)

jueves, 12 de abril de 2018

La primera pregunta que nos surgiría sería: ¿Realizar un penetration test a nuestra API Rest es lo mismo que hacer un penetration test a nuestra aplicación web?

Cuando hablamos de un penetration test o prueba de seguridad a la aplicación web se entiende que este tipo de pruebas a nuestra API Rest estarán incluidas en el alcance de la misma. Pero, cuando nos adentramos en este mundo de la seguridad en las API nos damos cuenta de que la mayoría de las aplicaciones que suele utilizar un pentester dentro del penetration test, no cubre todo el espectro de las vulnerabilidades que podría tener un API Rest en si mismo. Es por ello, que, muy probablemente, en algunos puntos, tendrán que realizar pruebas manuales y con el tiempo, generarán sus propios scripts.

Si tratamos de identificar una metodología de testing, podríamos reutilizar cualquiera que deseemos. Pero, si estamos comenzando en este camino, también podemos definir un camino propio para realizar los test a las API Rest.

Monero se despide de los minadores ASIC (al menos, de momento)

martes, 10 de abril de 2018

El pasado viernes 6 de abril fue una fecha importante para la comunidad de usuarios y desarrolladores de Monero, una de las criptodivisas que encabezan la defensa del anonimato de sus usuarios. Como ya hemos comentado en posts anteriores, Monero utiliza el protocolo CryptoNote propuesto en octubre 2013 para enmascarar quién es el emisor y receptor de una transacción al utilizar firmas circulares o en anillo que mezclan las transacciones de distintos usuarios. Además, desde enero de 2017, también se puede ocultar el saldo transferido en cada transacción reforzando la privacidad con la implementación de Ring Confidential Transactions, una mejora de su algoritmo.

Iconografía del proyecto Monero
Figura 1. Iconografia del proyecto Monero. 

Ya sabemos cómo se llama. Hemos encontrado la solución #retoElevenPaths

lunes, 9 de abril de 2018

Nadie sabe el recorrido que tendrá una tecnología en el futuro. Esto incluye a Blockchain. Pero la realidad hoy es que se percibe un interés muy evidente en esta tecnología y un ejemplo es la cantidad de personas que han participado en el reto que os propusimos el pasado lunes en nuestro blog. Veamos el fundamento técnico del ejercicio hasta llegar a la solución.

Un poco de teoría
En el caso de Bitcoin, la clave privada K no son más que 256 bits representados en un número que suele ser elegido de forma aleatoria. Esta aleatoriedad y la dificultad que existe de volverlo a generar es la que nos dará garantías de que nadie lo pueda volver a obtener.

A partir de la clave privada, y utilizando criptografía de curva elíptica en Bitcoin se genera la parte pública de la clave K. Este método se basa en la complejidad que entraña la resolución de un problema matemático como la identificación del valor b en la ecuación ab=c cuando a y c son valores conocidos mientras que el problema inverso, no presenta la misma dificultad. En el ámbito de Bitcoin, se utiliza la curva secp256k1. Pero lo relevante es que la función criptográfica que genera la clave pública K es unidireccional, como lo es también la función de hashing utilizada para generar (a partir de dicha clave pública K) la dirección de Bitcoin A vinculada a ella y a K.

Proceso de generación de las direcciones en Bitcoin a partir de una clave privada.