Nuevos informes sobre información pública de los países de Latinoamérica

viernes, 18 de mayo de 2018

informe de tendencias metadatos imagen

Cualquier persona que trabaja en seguridad desde hace años es capaz de comprender que no existe el Plan Estratégico de Defensa perfecto. Sin duda alguna, también estará de acuerdo con mi afirmación de que, aún si tuviera un plan definido formalmente, el mismo no sería estático y cada evento diario podría modificar sus definiciones.

Colisiones, haberlas hay(las). Parte 2

jueves, 17 de mayo de 2018

En nuestra entrada anterior sobre este tema, terminamos el post preguntándonos: ¿Existirán colisiones en los algoritmos utilizados en Bitcoin?, pues vamos a analizarlo.

La criptografía de Bitcoin
Los principales organismos reguladores NIST, FIPS, la misma NSA, el MITRE y los gigantes del sector privado, con Google a la cabeza; se preocupan muy mucho por la seguridad de los criptosistemas de uso general, pero… ¿Quién vela por la seguridad de las criptodivisas como el Bitcoin? ¿Existen colisiones en los algoritmos utilizados en Bitcoin?

El protocolo Bitcoin hace uso de tres algoritmos criptográficos:
  • ECDSA: en la firma y verificación de transacciones, a partir de claves privadas y públicas (criptografía asimétrica).
  • SHA-256 y RIPEMD160: como algoritmos de Hash (resumen criptográfico) en varios usos.

#CyberSecurityPulse: La eterna disputa: backdoors y seguridad (nacional)

martes, 15 de mayo de 2018

social networks image Un grupo bipartidista de legisladores de la Cámara de Representantes ha introducido una legislación que impediría al gobierno federal de Estados Unidos exigir a las empresas que diseñen tecnología con backdoors y así garantizar el acceso de las fuerzas de seguridad a cierta información. Este proyecto de ley representa el último esfuerzo de los legisladores en el Congreso para eliminar la batalla entre los funcionarios federales encargados de hacer cumplir la ley y las empresas de tecnología sobre el cifrado, que alcanzó un punto de ebullición en 2015 cuando el FBI se peleó con Apple por un iPhone bloqueado vinculado al caso del atentado terrorista de San Bernardino.

Análisis técnico de un SIEM… ¿están seguros tus logs?

lunes, 14 de mayo de 2018

Los SIEM suelen utilizarse en ambientes de alta seguridad o regulados, donde se requiere un monitoreo y análisis de logs periódico en busca de incidentes de seguridad. Ayudan a que una red esté más segura, sí… pero… nos preguntamos un poco más allá: ¿realmente los logs de los equipos de nuestra infraestructura están adecuadamente protegidos? Vamos a abordar en esta entrada unas pautas mínimas que se deben tener en cuenta para securizar un SIEM, poniendo como ejemplo y caso de uso una investigación particular sobre Splunk, uno de los SIEM más conocidos.

Eventos del mes de mayo en los que participan nuestros expertos

viernes, 11 de mayo de 2018


¡Hola hackers! Un mes más, presentamos los eventos en los que participamos y que no debes de perderte para estar al día en seguridad informática.

Nuevo informe: Sofisticado troyano contra bancos chilenos utiliza software popular como "malware launcher" para eludir SmartScreen

jueves, 10 de mayo de 2018

ElevenPaths ha identificado un troyano bancario brasileño mejorado y evolucionado (muy probablemente procede del Kit KL Banker), que utiliza una nueva técnica para eludir el sistema de reputación SmartScreen y evitar la detección en Windows. El troyano descarga programas legítimos y los utiliza como "malware launcher" aprovechando el DLL hijacking en el software. De este modo, el malware puede ejecutarse "indirectamente" y eludir el sistema de reputación SmartScreen e incluso algunos antivirus.

Security Day 2018: Welcome on board!

miércoles, 9 de mayo de 2018

Security Day 2018- Cybersecurity On Board imagen

Hoy en día, las empresas están expuestas a sufrir ataques cada vez más sofisticados y frecuentes que ponen en peligro su reputación, privacidad y confianza, afectando directamente al negocio.

En ElevenPaths acompañamos a nuestros clientes para proteger su bien más preciado, para asegurar que las medidas de seguridad que les ofrecemos son las más adecuadas y que su estrategia, en este ámbito, se dirige hacia la ciber-resiliencia.

El próximo 30 de mayo tendrá lugar el evento anual sobre ciberseguridad de ElevenPathsSecurity DayBajo el lema 'Cybersecurity On Board', la edición de 2018 se presenta con una agenda cargada de novedades tecnológicas y seguridad.

Nueva herramienta: Neto, nuestra suite de análisis de extensiones Firefox, Chrome y más

martes, 8 de mayo de 2018


En el área de innovación y laboratorio de ElevenPaths, hemos creado una nueva herramienta para analizar extensiones de navegador. Aunque más que una herramienta, supone toda una suite (además, extensible con sus propios plugins) para el análisis de extensiones, es sencilla de usar y proporciona información útil sobre características propias de extensiones tanto de Firefox como de Chrome u Opera.

Neto herramienta imagen

ElevenPaths y la Universidad Carlos III participarán en la prestigiosa IEEE Conference on Communications and Network Security en Pekín

lunes, 7 de mayo de 2018

Una investigación promovida desde el área de innovación y laboratorio de ElevenPaths, y desarrollada en conjunto con la Universidad Carlos III de Madrid ha sido aceptada para participar en la IEEE Conference on Communications and Network Security en Pekín que tendrá lugar a finales de mayo y donde se presentarán los resultados.

IEEE Conference on Communications and Network Security imagen

Primer aniversario de la Cyber Threat Alliance

jueves, 3 de mayo de 2018

La necesidad de datos de seguridad relevantes ha experimentado un aumento constante, dado que la gestión de la seguridad de la información se está convirtiendo en un componente clave de cualquier organización moderna. Pero, a diferencia de los datos comerciales tradicionales, en seguridad de la información la relevancia y el contexto pueden originarse tanto dentro como fuera de la organización. Es por esta razón que el intercambio de información y la necesidad de compartirla se han vuelto casi axiomáticos en el mundo de la ciberseguridad.

El 18 de abril se celebró en San Francisco, durante la RSA Conference, el primer aniversario de la Cyber Threat Alliance (CTA), una organización sin ánimo de lucro que trabaja para mejorar la ciberseguridad del ecosistema digital global, empleando para ello una plataforma tecnológica para compartir datos avanzados sobre amenazas. Mediante la CTA y sus miembros, se puede compartir información oportuna, accionable, contextualizada y basada en campañas que se utiliza para mejorar sus productos y servicios a fin de proteger mejor a sus clientes, frustrar de manera más sistemática a los adversarios y mejorar la seguridad del ecosistema digital.

Junta directiva Cyber Threat Alliance image
Pedro Pablo Pérez García, Director Global de Seguridad de Telefónica y CEO de ElevenPaths, con la Junta Directiva de la Cyber Threat Alliance (CTA)

#CyberSecurityPulse: Monero y EternalRomance, la fórmula perfecta

martes, 1 de mayo de 2018

social networks image La publicación por parte de ShadowBrokers el año pasado de herramientas pertenencientes a la Agencia de Seguridad Nacional sigue dando que hablar. Un nuevo malware que utiliza la herramienta EternalRomance ha aparecido en escena con Monero-mining. Según el laboratorio FortiGuard de Fortinet, el código malicioso lo han denominado PyRoMine al estar escrito en Python y ha sido descubierto por primera vez este mes. El malware puede descargarse como un archivo ejecutable compilado con PyInstaller por lo que no hay necesidad de instalar Python en la máquina donde se vaya a ejecutar PyRoMine. Una vez instalado, roba silenciosamente recursos de la CPU de las víctimas con el fin de obtener las ganancias en Monero.

Facebook cambia la lógica en su política TLS (en parte por nuestro estudio) implementando un HSTS “en ambas direcciones”

lunes, 30 de abril de 2018

Facebook y privacidad. El reciente escándalo de la red social en las últimas semanas no la convierte en el mejor ejemplo precisamente para hablar de privacidad o conexiones seguras en general. Pero ese no es el asunto ahora. Lo cierto es que ha sido la primera web (o más bien, "plataforma") en dar un paso muy interesante e innovador en la política de renovación TLS que está viendo Internet en los últimos años, que implica el refuerzo del concepto TLS en general desde todos frentes: "TLS Everywhere", certificados accesibles o gratuitos, HSTS, Certificate pinning, Certificate Transparency, dar de lado a protocolos antiguos... una profunda revisión del ecosistema a la que Facebook (e Instagram) se unen con una propuesta más que interesante.

¿Cómo hemos vivido la RSA Conference 2018?

viernes, 27 de abril de 2018

La ciudad californiana de San Francisco recibió a más de 48.000 visitantes expertos del sector de la seguridad que se reunieron en el centro de convenciones más grande de toda la ciudad la pasada semana de abril, para celebrar la RSA Conference 2018. Más de 650 stands dispuestos a dar a conocer las diferentes alternativas que existen para combatir las amenazas que acechan la red en la actualidad. Allí estaba Telefónica Business Solutions a través de ElevenPaths, la Unidad de Ciberseguridad de Telefónica.

Este año hemos aterrizado en la ciudad de las mil perspectivas con un poco más de altura respecto a los dos años anteriores. El diseño de nuestro stand contempló la disposición de dos plantas permitiendo tener suficientes espacios para reuniones. Las dos plantas del stand, sumado a los tonos de azul y blanco, colores corporativos de Telefónica, consiguieron hacer nuestro booth identificable y reconocible en la gran feria. Situado en el pabellón South #2207, conseguimos atraer a más de 800 visitantes a nuestro stand y realizamos más de 60 reuniones organizadas además de multitud de conversaciones informales durante toda la exhibición.

Colisiones, haberlas hay(las). Parte 1.

jueves, 26 de abril de 2018

Coliseo
Proveniente del latín tardío “collisio”, y este a su vez de la unión de “cum” (cuando) y “leadere” (herido). El término colisión puede adoptar múltiples acepciones, siendo la más usual la referida al efecto o acción de chocar, encontrarse con violencia, dos o más entes materiales. También son muy frecuentes las referencias etéreas, como a ideas, o pensamientos contrapuestos.

Su extrema ambigüedad hace que podamos encontrar colisiones en cualquier cosa imaginable, independientemente de su naturaleza o envergadura.

Da igual en qué continente estés leyendo este artículo, el suelo que pisas está sobre una placa tectónica en constante colisión con otra. Con un poco de suerte nunca lo notarás, si lo has llegado a notar alguna vez, ya sabes de lo que hablo.

Da igual que sea de noche o de día, si te asomas por una ventana verás la luz del sol o de otras estrellas, que fue liberada hace minutos o millones de años respectivamente, en la fusión de los núcleos de átomos de hidrógeno y sus isótopos principalmente, al colisionar entre ellos, aplastados por una descomunal fuerza de gravedad. Desde que se descubrió este fenómeno se está intentando imitar: la Organización Europea para la Investigación Nuclear (CERN) ha construido un gigantesco colisionador de hadrones, solo para experimentar. Si el mismo CERN donde Tim Berners-Lee creó el protocolo HTTP, el lenguaje HTML y el sistema de locación de recursos URL, formando así el núcleo de la web, que seguro, estas utilizando para leer estas líneas.

En busca de una mejora de la privacidad en las criptodivisas con Dash, Zcash y Monero

martes, 24 de abril de 2018

Cuando se habla de criptodivisas a menudo nos encontramos con la creencia de que su uso es completamente anónimo. Quienes hayan investigado un poco sobre alguna de ellas (porque sobre todas las que existen es imposible), sabrán que no es necesariamente así teniendo en cuenta que las operaciones de muchas de ellas son perfectamente trazables en las correspondientes cadenas de bloques.

De esta manera, si en una presunta actividad delictiva nos encontramos con direcciones de Bitcoin o Litecoin, podremos trazar las operaciones en las que se ha encontrado involucrada, así como navegar en el tiempo hacia adelante o hacia atrás en la cadena de bloques. Asimismo, también debemos conocer la intrahistoria de dicha criptodivisa ya que si se ha producido algún hard fork podrían estar gastando dichos bitcoins en diferentes cadenas de bloques bajo reglas diferentes. Un ejemplo de ello ha sido la investigación que publicamos hace unas semanas sobre las direcciones de Wannacry siguiendo la pista tanto a través de la cadena de bloques de Bitcoin como de la de Bitcoin Cash.

¿Y qué hacemos si en el transcurso de una investigación terminamos encontrándonos con una dirección de una criptodivisa que no tenemos en el radar o que no conocemos? Lo primero, como casi siempre, buscaremos en Google. Sin embargo, una primera referencia puede ser el proyecto de Coinmarketcap.com, porque además de facilitar información sobre la cotización media incluye links a las webs oficiales del proyecto y a algunos exploradores de la cadena de bloques de cada criptodivisa.

Información proporcionada por coinmarketcap sobre Bitcoin Cash imagen
Figura 1. Información proporcionada por coinmarketcap sobre Bitcoin Cash.

AMSI, un paso más allá de la detección de malware en Windows

lunes, 23 de abril de 2018

Al principio fue el virus. Trozos de código en ensamblador que se concatenaban a los archivos, a los que modificaban el "entrypoint". Después, esta técnica se retorció y mejoró hasta sus límites, se buscó la ejecución automática, la reproducción, la independencia de un "huésped" (el malware ya es standalone desde hace tiempo) y el pasar bajo el radar de los antivirus. "Tocar disco" era la premisa (¿cómo infectar, si no?) y a su vez el anatema del malware. Si se conseguía evitar en lo posible este peaje, se podría llegar a huir de los detectores. "Fileless", se llamó a esta técnica que buscaba una fórmula etérea en la que subsistir en memoria todo lo posible. No tocar disco o retrasarlo al máximo, no aterrizar en aquello que controla férreamente el antivirus. "Fileless" se ha perfeccionado hasta tal punto (¿os suena el malware que combina macros y Powershell?), que ya existe una fórmula nativa en Windows para mitigarla en lo posible. Pero no se le presta la atención que debería.

Estructura básica AMSI imagen
Estructura básica AMSI, proporcionada por Microsoft

Normativa GDPR: ¿Qué pasa con nuestros datos ahora?

domingo, 22 de abril de 2018

Normativa GDPR: ¿Qué pasa con nuestros datos ahora? imagen

A estas alturas, todos sabemos que el nuevo reglamento de protección de datos personales europeo (GDPR) tiene que convertirse en una realidad en los diferentes estados, obligando a las compañías y organizaciones a garantizar su cumplimiento. El día G, aunque anunciado con bastante anterioridad, se presenta ahora muy cercano, el 25 de mayo de este mismo año.

Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) – Parte 2 de 2

jueves, 19 de abril de 2018

En la primera parte de este artículo conocimos un poco de la historia del GCHQ y su fundación, como está organizado y la ubicación de sus oficinas centrales. Mencionamos la creación del programa GCHQ Cyber Accelerator que ya está en su segunda edición y los nombres de las 9 startups seleccionadas que están actualmente siendo aceleradas.

En esta segunda parte conoceremos un poco más de estas afortunadas startups seleccionadas entre cientos de candidatos y las innovadoras soluciones que proponen:

Cybershield
Una interesante solución que ayuda a detectar phishing y spear phishing directamente desde el correo electrónico utilizando para ello algoritmos basados en inteligencia artificial y que cambia el color de la línea de asunto del correo electrónico a verde, amarillo o rojo dependiendo de la amenaza. 

El sistema se instala en el servidor de correo electrónico de la empresa, no produce interrupción del servicio, requiere poca formación y no envía ninguna información fuera de los sistemas de correo de la empresa. Un refuerzo que ayuda a la educación y la conciencia del usuario en lo relacionado con la protección contra malware.

Imagen del cuartel general del GCHQ

#CyberSecurityPulse: De los bug bounties (tradicionales) a los data abuse bounties

martes, 17 de abril de 2018

social networks image Los grandes de internet están sufriendo lo suyo para ser transparentes con la comunicación sobre la recolección de información que están realizando de sus usuarios. En este sentido, para miniminar el riesgo de ser objeto de determinados ataques, en el caso de Facebook, éste paga millones de dólares cada año a investigadores y a bug hunters para que detecten fallos de seguridad en sus productos e infraestructura, pero tras el escándalo de Cambridge Analytica, la compañía ha lanzado un nuevo tipo bug bounty para recompensar a aquellos que denuncien el "abuso de datos" en su plataforma. A través de su nuevo programa "Data Abuse Bounty", Facebook pediría a terceros que le ayudasen a encontrar desarrolladores de aplicaciones que estén haciendo un mal uso de sus datos. "Ciertos actores pueden recopilar y abusar de forma maliciosa de los datos de los usuarios de Facebook incluso cuando no existen vulnerabilidades de seguridad. Este programa tiene la intención de protegernos contra ese abuso", según la publicación hecha por la compañía.

Análisis técnico de las fases de Cobalt, la pesadilla para la red interna de un banco

lunes, 16 de abril de 2018

Hace algunos días, un actor relevante del grupo de atacantes conocido como Cobalt/Carbanak (o incluso FIN7 para algunos) fue detenido en Alicante. Este grupo ha estado relacionado con distintas campañas contra instituciones bancarias que han provocado unas pérdidas sustanciosas mediante transferencias y retiradas fraudulentas de efectivo en cajeros automáticos. Vamos a ver algunos detalles técnicos del modus operandi de la última oleada, cómo funciona y algunas ideas sobre cómo mitigar el impacto dado el caso.

El objetivo del grupo es el acceso a la infraestructura de la entidad financiera para conseguir el compromiso de los cajeros automáticos y retirar fraudulentamente de efectivo. Aunque parezca ciencia ficción, se hacen con el control de la red de cajeros hasta el punto de que pueden hacer que a una hora concreta, comience a soltar todo el efectivo que contiene. Basta con que el "mulero" se encuentre en ese momento frente al cajero para que el golpe se haga realidad. Más que en el análisis de la muestra, nos detendremos en los aspectos más interesantes de las fases del ataque.

DirtyTooth se hace mayor con un nueva página en Wikipedia

domingo, 15 de abril de 2018

En el año 2017, allá por el mes de marzo, se presentaba en el congreso de seguridad informática Rooted CON un hack que permitía extraer información como contactos y llamadas de un dispositivo iOS que se conectaba a un dispositivo Bluetooth. Este hack fue denominado por el Chairman de ElevenPaths, Chema Alonso, como DirtyTooth. Era un hack sencillo, pero muy potente, y con muy poco tiempo lo preparamos para que cualquiera pudiera tenerlo en su Raspberry y probar e investigar sobre el asunto. Este hack para todos fue llevado a BlackHat Europa 2017.

Hoy, tengo el placer de saludar y dar la bienvenida a las páginas de Dirtytooth en la Wikipedia. Personalmente, esto es algo que nos hace especial ilusión, ver cómo lo que comenzó siendo una idea loca y una prueba de concepto (PoC) se tradujo en algo que Apple decidió “tapar” para mejorar la experiencia de uso del usuario y su seguridad/ privacidad.

Conectándonos al mundo (Parte 2)

jueves, 12 de abril de 2018

La primera pregunta que nos surgiría sería: ¿Realizar un penetration test a nuestra API Rest es lo mismo que hacer un penetration test a nuestra aplicación web?

Cuando hablamos de un penetration test o prueba de seguridad a la aplicación web se entiende que este tipo de pruebas a nuestra API Rest estarán incluidas en el alcance de la misma. Pero, cuando nos adentramos en este mundo de la seguridad en las API nos damos cuenta de que la mayoría de las aplicaciones que suele utilizar un pentester dentro del penetration test, no cubre todo el espectro de las vulnerabilidades que podría tener un API Rest en si mismo. Es por ello, que, muy probablemente, en algunos puntos, tendrán que realizar pruebas manuales y con el tiempo, generarán sus propios scripts.

Si tratamos de identificar una metodología de testing, podríamos reutilizar cualquiera que deseemos. Pero, si estamos comenzando en este camino, también podemos definir un camino propio para realizar los test a las API Rest.

Monero se despide de los minadores ASIC (al menos, de momento)

martes, 10 de abril de 2018

El pasado viernes 6 de abril fue una fecha importante para la comunidad de usuarios y desarrolladores de Monero, una de las criptodivisas que encabezan la defensa del anonimato de sus usuarios. Como ya hemos comentado en posts anteriores, Monero utiliza el protocolo CryptoNote propuesto en octubre 2013 para enmascarar quién es el emisor y receptor de una transacción al utilizar firmas circulares o en anillo que mezclan las transacciones de distintos usuarios. Además, desde enero de 2017, también se puede ocultar el saldo transferido en cada transacción reforzando la privacidad con la implementación de Ring Confidential Transactions, una mejora de su algoritmo.

Iconografía del proyecto Monero
Figura 1. Iconografia del proyecto Monero. 

Ya sabemos cómo se llama. Hemos encontrado la solución #retoElevenPaths

lunes, 9 de abril de 2018

Nadie sabe el recorrido que tendrá una tecnología en el futuro. Esto incluye a Blockchain. Pero la realidad hoy es que se percibe un interés muy evidente en esta tecnología y un ejemplo es la cantidad de personas que han participado en el reto que os propusimos el pasado lunes en nuestro blog. Veamos el fundamento técnico del ejercicio hasta llegar a la solución.

Un poco de teoría
En el caso de Bitcoin, la clave privada K no son más que 256 bits representados en un número que suele ser elegido de forma aleatoria. Esta aleatoriedad y la dificultad que existe de volverlo a generar es la que nos dará garantías de que nadie lo pueda volver a obtener.

A partir de la clave privada, y utilizando criptografía de curva elíptica en Bitcoin se genera la parte pública de la clave K. Este método se basa en la complejidad que entraña la resolución de un problema matemático como la identificación del valor b en la ecuación ab=c cuando a y c son valores conocidos mientras que el problema inverso, no presenta la misma dificultad. En el ámbito de Bitcoin, se utiliza la curva secp256k1. Pero lo relevante es que la función criptográfica que genera la clave pública K es unidireccional, como lo es también la función de hashing utilizada para generar (a partir de dicha clave pública K) la dirección de Bitcoin A vinculada a ella y a K.

Proceso de generación de las direcciones en Bitcoin a partir de una clave privada. 

Eventos en abril para estar al día en Seguridad Informática

viernes, 6 de abril de 2018

Eventos en abril para estar al día en Seguridad Informática imagen

¿Preparados para este mes? Abril viene cargado de actividades y eventos de hacking de lo más interesantes, dejad de lado las ferias y el buen tiempo (que debería de llegar ya) y apuntaros estas citas que no os podéis perder.

Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) - Parte 1 de 2

jueves, 5 de abril de 2018

El GCHQ (Government Communications Headquarters) es relativamente poco conocido fuera del Reino Unido. Esta organización gubernamental casi centenaria (cumplirá 100 años el próximo año), se fundó como la escuela de códigos y cifrado del gobierno (Government Code & Cypher School) en 1919 y no fue hasta 1946 que cambió su nombre al actual.

La labor del GCHQ es mantener la seguridad de Gran Bretaña a través del aseguramiento de la información (information assurance) y de la inteligencia de señales (SIGINT).

El GCHQ se fundó tras la primera guerra mundial y tuvo un papel importante durante la segunda guerra mundial desde su famoso centro de Bletchley Park, donde se trabajaba en la ruptura de los códigos Enigma alemanes y también durante la guerra fría.

Bletchley Park imagen
Bletchley Park ©GCHQ

Equinox, el concurso de programación que dura un día

miércoles, 4 de abril de 2018

El Equinox es un concurso de programación que dura 24 horas y tiene lugar dos veces al año, coincidiendo con los equinoccios de primavera y de otoño. La frase que puede resumir el espíritu del Equinox es: ¡Todo está permitido mientras el programa funcione!

Para participar, simplemente hay que ponerse manos a la obra y materializar aquellos proyectos que en algún momento se nos han ocurrido. No hace falta ser programador, es más, los equipos que suelen obtener mejores resultados son aquellos que tienen habilidades mixtas: producto, UX, desarrolladores, CSA, marketing... De esta forma se consigue una visión más completa del producto desarrollado.

Pero si algo hay que destacar de una participación en el Equinox, es la experiencia y la cantidad de anécdotas que se viven a lo largo del día y de la noche. Una de las cosas que más llama la atención durante la primera participación de un Equinox es el poder quedarte toda la noche en la oficina, aun después de haber escuchado las alarmas de “Abandonen el edificio” que indica la hora habitual de cierre, ir corriendo a sacar el coche del parking antes de que lo cierren y luego no tener la posibilidad de ir a dormir un par de horas a casa, o dormirte en uno de los sofás del edificio y de repente despertarte con el encendido de las luces a las 7 de la mañana sin prácticamente recordar por qué te has despertado en la oficina.

#CyberSecurityPulse: Dime tus redes sociales y serás bienvenido en Estados Unidos (o no)

martes, 3 de abril de 2018

social networks image El Departamento de Estado de los EE.UU. quiere pedir a los solicitantes de visa que proporcionen detalles sobre las redes sociales que han utilizado durante los últimos cinco años, así como números de teléfono, direcciones de correo electrónico y viajes internacionales durante este período. El plan, si es aprobado por la Oficina de Administración y Presupuesto, ampliará el régimen de investigación de antecedentes que se aplica a aquellos que han sido marcados para un escrutinio adicional de inmigración, a todos los solicitantes de visas de inmigrante y a los solicitantes de visas de no inmigrante, como los viajeros de negocios y los turistas.

Encuentra su nombre y gana 111 euros #retoElevenPaths

lunes, 2 de abril de 2018

Para aquellos que no lo sepáis, este mes cumplimos cinco años en Telefónica y, para celebrarlo, el área de Innovación y Laboratorio de ElevenPaths te propone encontrar la solución al siguiente misterio.


Tenemos nueva compañera en la oficina. Nos da la sensación de que haremos un buen equipo con ella. Habla al menos cuatro idiomas y afirma que ha vivido en seis países diferentes… Pero el resto de compañeros y yo tenemos un problema: nunca nos acordamos de su nombre. Parece que se ha enterado y, poco a poco, vamos descubriendo también su genio. Ha escondido su nombre y un mensaje en un lugar verificable donde quedará para siempre a la vista de todos, y nos ha retado a encontrarlo. Solo nos ha dado una pista:

Biohackers, biohackers everywhere

jueves, 29 de marzo de 2018

Así tal cual, últimamente ya no soy sólo yo. En muchos países, medios, conferencias, sitios web, etc. están hablando de biohacking. De hecho, nosotros también lo hemos hecho en un #11PathsTalks que, si aún no lo has visto, te recomiendo hacerlo. Pero, ¿qué es el biohacking?

Compuesto por las palabras “biología” y “hacking”, es una "práctica cuyo propósito es el acercamiento de la ciencia a la ciudadanía; trasladando los laboratorios de investigación a los garajes u hogares del público general(1)".

¿Cómo nos preparamos para la RSA Conference 2018?

miércoles, 28 de marzo de 2018

2018 es un año singular para nosotros. Volvemos a emprender la unión con la gran comunidad de la seguridad para combatir conjuntamente las amenazas venideras que acechan el sector. En ElevenPaths, hemos estado trabajando un nuevo enfoque de Telefónica y lo presentaremos oficialmente al mundo entero en el gran evento anual sobre seguridad, la RSA Conference.

Este evento se celebrará la semana del 16 al 20 de abril, en California (USA) y queremos contártelo desde allí, desde San Francisco, por eso te facilitamos toda la información que necesitas para que no te pierdas las novedades que presentaremos y los detalles de nuestra participación.

End-to-end cyber resilience imagen

Los autores de Wannacry también quieren sus Bitcoin Cash

martes, 27 de marzo de 2018

El 12 de mayo de 2017 fue un día que para muchos de nosotros no se nos olvidará fácilmente. WannaCry fue uno de los incidentes con mayor impacto en la opinión pública. Aprovechando la ya famosa vulnerabilidad EternalBlue, el programa malicioso consiguíó cifrar los archivos de miles de equipos pidiendo a cambio un rescate de 300 dólares en bitcoins. La pregunta es, ¿qué fue de estos rescates pagados por las víctimas?

El saldo de las direcciones
Las tres direcciones de Bitcoin identificadas consiguieron recaudar una cantidad superior a los 51 bitcoins (consultables aquí, aquí y aquí). A fecha de hoy, más de medio millón de dólares al cambio. Sin embargo, el diseño del sistema de cobro de los rescates era mejorable. La presentación de la misma dirección a diferentes víctimas complicaba a los atacantes discernir qué víctima había realizado el pago del dinero. Teniendo en cuenta que las transacciones de Bitcoin quedan registradas en la cadena de bloques de Bitcoin, las víctimas podían llegar a suplantar a otras víctimas que sí que habían pagado atribuyéndose una transacción en concreto.

En el caso de Bitcoin, la recomendación para quienes administran plataformas en las que se puede pagar por bienes o servicios en bitcoins es generar una dirección de pago única para cada cliente que quiere realizar una compra. De esta manera, es muy cómodo para el comercio verificar si un cliente ha realizado ya el pago en la cadena de bloques. Estas recomendaciones son también aplicables para el caso de Wannacry: a pesar de ser una extorsión, el modelo ideal habría pasado por generar una dirección diferente para cada usuario, lo que habría permitido al atacante contar con una sencilla tabla en la que asociar cada dirección de cobro a una clave de descifrado diferente.

¿Cómo trata (o tratará) Certificate Transparency la privacidad de los dominios?... Mal

lunes, 26 de marzo de 2018

Primero fue octubre de 2017 y después abril de 2018, aunque ahora parece que va en serio. En breves, Certificate Transparency será obligatorio en Chrome. ¿Están preparados los actores? Respuesta corta: no. Y algo muy importante no resuelto es qué ocurre con la privacidad de los dominios. Tema espinoso que intentamos aclarar.

Antes de empezar, recordad qué es eso de Certificate Transparency. Ya era improbable que estuvieran listos todos los "actores" para octubre. Lo confirmó la propia Google con la "patada hacia adelante" anunciada hasta abril de 2018. En la Rooted de Valencia de 2017, presentamos una investigación que analizaban todos estos aspectos que parecían justificar el "retraso". Y no solo eso, en esa investigación, conseguimos pasar desapercibidos para ciertos monitores de Certificate Transparency y "colarnos" en dos logs de confianza. Pero eso no era ni siquiera lo más relevante. Cabeceras como "Expect-CT" diseñadas para prepararse para octubre de 2017 y "entrenar" los certificados y escenarios, no fueron realmente puestas en producción hasta septiembre de ese mismo año… No es mucho margen cuando se supone que servían de entrenamiento para un evento que se lanzaría en octubre, ¿verdad? Igualmente, el código relativo a Certificate Transparency en Chrome parecía estar en desarrollo, con líneas que parecían más a una zona de DEBUG y funciones que siempre devuelven que todo está bien en las cabezas de los logs...


GDPR, la importancia de esta nueva normativa

jueves, 22 de marzo de 2018

GDPR: el futuro de los datos más allá del 25 de mayo

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es el marco jurídico armonizador del que, en materia de privacidad, nos hemos dotado los 28 estados miembros de la Unión Europea persiguiendo, cuanto menos, tres importantes objetivos:

DirtyTooth en el Mobile World Congress 2018

miércoles, 21 de marzo de 2018

El pasado 28 de febrero, tuve el honor de dar una charla en el MWC 2018, durante uno de los seminarios de la GSMA llamado “IoT Security And Drones – Creating a Connected And Secure Future”. En él, también participó Carlos Carazo (Global CTO de Telefónica) y otros ponentes como Ian Smith (IoT Security Lead), Apostolos Malatras (Network and Information Securtity Expert) y Kat Megas (Program Manager) entre otros.

Acceso al terminal y el backend de DirtyTooth durante la demo de funcionamiento imagen
Acceso al terminal y el backend de DirtyTooth durante la demo de funcionamiento

#CyberSecurityPulse: Olimpiada de PyeongChang: ¿Un nuevo ataque de falsa bandera?

martes, 20 de marzo de 2018

PyeongChang Un nuevo análisis de las muestras de malware identificadas en las pasadas olimpiadas de PyeongChang revela un intento deliberado de los atacantes de poner pistas falsas en cuanto a atribución se refiere, según investigadores. Días después del ataque a las redes de los Juegos Olímpicos de invierno, expertos de seguridad lo atribuyeron a rusos, iraníes, chinos y a grupos como Lazarus, un grupo relacionado con Corea del Norte. Sin embargo, expertos en seguridad ahora creen que un nuevo threat actor estaría sembrando cierta confusión entre aquellos que intentan asignar la atribución al ataque. "Quizás ningún otro malware ha tenido tantas hipótesis en cuanto a la atribución como el de las Olimpiadas", dijo Vitaly Kamluk, investigador de Kaspersky Lab y coautor de un informe publicado sobre los ataques. "Dada la reciente politización del ciberespacio, una atribución errónea podría tener graves consecuencias y los actores podrían empezar a tratar de manipular la opinión de la comunidad para influir en la agenda geopolítica".

Nuevos plugins para la FOCA: HaveIBeenPwned y SQLi

lunes, 19 de marzo de 2018

Desde la publicación de la Foca OpenSource, hemos recibido comentarios positivos sobre la iniciativa de liberarla. Muchos se encuentran entusiasmados por la idea de agregar plugins nuevos o mejorar los existentes. Presentamos, en esta ocasión, dos nuevos plugins para sacar aún más provecho a la FOCA.

En un trabajo conjunto entre el equipo del Laboratorio y el equipo de los CSAs, principalmente de la mano de José Sperk y Carlos Ávila, nos hemos puesto manos a la obra para mejorar un plugin que ha sido muy demandado: el de SQLinjection. Para ello, hemos decidido interactuar con una de las herramientas de hacking más utilizadas del mercado, el famoso SQLMap. A partir de esto, hemos avanzado en el desarrollo de un plugin que permite detectar y explotar vulnerabilidades de inyección de SQL en aplicaciones web, a través del uso del REST-JSON API de SQLMap pero desde un entorno gráfico bastante más amigable y conocido, como el de la FOCA.

ElevenPaths participa en la UMA Hackers Week V

viernes, 16 de marzo de 2018

Durante la semana del 19 de marzo, tendrá lugar en Málaga una nueva edición de la UMA Hackers Week, un evento gratuito y abierto al público para desarrolladores y apasionados de la seguridad informática, que se celebra como cada año en la Universidad de Málaga.



En los días del 19 al 22 de marzo, se desarrollarán numerosas ponencias y talleres sobre nuevas tecnologías, programación y sobre todo seguridad informática. Las charlas, talleres, conferencias y coloquios reúnen tanto a profesionales del sector como a miembros de la comunidad. En sus cuatro ediciones han contado ya con ponentes de alto nivel de compañías como Google, Microsoft o Telefónica, entre otros.

Protegiendo los Smarts Contracts

jueves, 15 de marzo de 2018

Ya hemos escrito en este blog, en distintas ocasiones, sobre temas como Blockchain, Bitcoins, Ethereum y Smart Contracts, e incluso hemos realizado un #11PathsTalks dedicado al tema. Son terminologías que todos los que estamos interesados en este sector conocemos. El concepto Smart Contracts seguramente sea el que menos hemos oído hablar, siendo un buen recurso a tener presente es el blog bit2me.

Los contratos inteligentes son, al fin y al cabo, programas que se ejecutan en el Blockchain. Sabiendo que una de las grandes bondades del Blockchain es su inmutabilidad (su fortaleza para que lo que se escriba no pueda ser alterado), no podemos dejar pasar una pregunta fundamental:

¿Qué sucedería si un programa que desarrollamos en Solidity para ejecutar en el Blockchain de Ethereum tuviera vulnerabilidades? Se supone que una vez puesto allí no puede ser modificado, ¿se puede hacer algo? O peor aún, ¿qué sucedería si alguna persona malintencionada detecta que nuestro Smart Contract posee vulnerabilidades y las aprovecha transfiriéndose Ethers o adueñándose de nuestro contrato?  ¿Se podrían volver atrás las transacciones?

Haciendo más fácil lo que parece difícil: la trazabilidad con blockchain de la cadena de suministro

martes, 13 de marzo de 2018

Discusiones sobre la tecnología de la cadena de bloques tienen una presencia cada vez mayor en nuestro entorno. Los nuevos casos de uso van acaparando cada vez más páginas de medios generalistas y muchos tienen la sensación de que quien no haya comenzado a definirlos parece que llega tarde. Sin embargo, muy poco tiempo después de que las organizaciones se lancen a invertir parte de sus recursos en ver cómo Blockchain puede ayudarles en determinados procesos de su negocio, comienzan las preguntas. 

Una de las típicas cuestiones que se formulan quienes empiezan a considerar la posibilidad de implantar la tecnología es la de tomar la decisión sobre optar por cadenas de bloques públicas o privadas. En el caso de que optemos por apoyarnos en una cadena de bloques pública, ¿tendremos capacidad para estimar correctamente el volumen de transacciones que realizaremos mientras dure el proyecto? ¿Qué implicaciones puede tener el incremento de las comisiones y la volatilidad de la divisa? Si, por contra, optamos por una cadena de bloques privada en la que tengamos más control sobre quién opera con ella, ¿qué tecnología podremos desplegar si tampoco tenemos muy claro para qué la vamos a necesitar? ¿Qué costes tienen las distintas alternativas y qué conllevan?

GDPR: retos más allá del 25 de mayo

lunes, 12 de marzo de 2018

Son pocas las ocasiones en las que una regulación experimenta un impacto tan profundo en los procesos internos de las organizaciones, como el que está teniendo la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés). Con el 25 de mayo a la vuelta de la esquina, las empresas se encuentran actualmente revisando y trabajando en la adecuación de procesos y sistemas desde esta nueva perspectiva regulatoria.

Nuevo Informe: Certificate Transparency Mining, hasta un 10% de mejora en la enumeración de subdominios "de calidad"

Pese a estar concebido como un mecanismo para el refuerzo de la seguridad durante la navegación web, Certificate Transparency proporciona unas capacidades laterales muy interesantes y diferentes respecto a su propósito original. Ese registro de certificados, que contiene un histórico del uso, periodos de validez y fechas de expiración, ofrece en realidad un conjunto de datos apto para diversos procesos de minería de datos.

Certificate Transparency imagen

Shadow Online, la herramienta que previene la filtración de documentos

viernes, 9 de marzo de 2018

Cuando me contaron por primera vez lo que hacía Shadow me quede sorprendido y mi mente retrocedió en el tiempo a la época colegial, cuando nos enseñaron las propiedades del jugo de limón para escribir mensajes secretos en trozos de papel y hacerlos salir a la luz con el calor de una llama. "El mundo de los espías y los agentes secretos" pensaba yo. Todo aquello era mucho más simple que la realidad, pero ya sentía que de alguna manera había tocado ese mundo por un momento.

Papel limo calor imagen

La colaboración es la "clave" para estar "seguro" de que podrás transformar tu negocio

jueves, 8 de marzo de 2018

Durante el año 1985, dos amigos (Joaquín Garrido y Vicente Ballester) con apenas 22 años, pero un gran espíritu emprendedor, decidieron constituir una empresa en la provincia de Alicante para dar servicio de TI a los clientes de la zona.

Hoy, 32 años después, esta empresa llamada Clave Informática (CLAVEi) se ha convertido en un proyecto consolidado donde trabajan más de 60 personas, y con una cartera de más de 3.000 clientes a los que ofrecen servicios de TI y de ciberseguridad.

En su búsqueda constante de las tecnologías y herramientas para dar el mejor servicio a sus clientes, CLAVEi se ha aliado con varias empresas líderes en áreas como el software de gestión, E-Commerce y el Big Data. Concientes de la importancia de la seguridad de la información, hace algunos años CLAVEi comenzó a prestar servicios de ciberseguridad con la puesta en marcha de un centro de operaciones de seguridad desde el que se monitoriza y opera la seguridad de sus clientes y se da respuesta a los posibles incidentes.

Día de la Mujer, la diversidad es cosa de tod@s

Hoy es el Día Internacional de la Mujer y, desde ElevenPaths, aportamos nuestro pequeño "granito de arena" con este artículo sobre diversidad.

Este día surge a finales del siglo XIX, en los comienzos del mundo industrializado, coincidiendo con un período de expansión, crecimiento de la población e ideologías radicales. No obstante, no fue hasta 1.945 cuando se firmó la Carta de las Naciones Unidas, el primer acuerdo internacional para afirmar el principio de la igualdad entre mujeres y hombres. Desde entonces, la ONU ha ayudado a mejorar la condición de las mujeres en todo el mundo.

En este contexto, queremos presentaros a varias mujeres, hackers y expertas de ElevenPaths, para que nos hablen de ellas y las reflexiones personales que hacen en este día de reflexión.

Todo lo que necesitas saber sobre ciberseguridad en la comunidad de ElevenPaths

miércoles, 7 de marzo de 2018

Desde ElevenPaths os invitamos a formar parte de nuestra comunidad, un sitio en el que enterarte de las últimas novedades y temas de actualidad en el mundo de la seguridad informática. Suscríbete y recibe noticias y sugerencias para realizar investigaciones, entérate de cuáles serán los próximos eventos sobre ciberseguridad y de qué sucedió en aquellos a los que no pudiste asistir. En nuestra community podrás acceder a multitud de contenido sobre código, información útil y casos de uso de nuestras herramientas. También, podrás compartir tus dudas o sugerencias a través de los comentarios y otros usuarios y nuestros expertos te contestarán. El objetivo de la comunidad es que todos sus usuarios puedan expandir sus conocimientos y ayudar a que otros también lo hagan.

Página principal de la comunidad de ElevenPaths imagen

#CyberSecurityPulse: El ataque DDoS más grande jamás visto afecta a GitHub

martes, 6 de marzo de 2018

Strava A finales de 2016 un ataque DDoS a DynDNS bloqueó las principales webs de Internet, como Twitter, Spotify o PayPal. De aquella se utilizó la botnet Mirai para poder aprovechar todo el ancho de banda de miles de dispositivos conectados a Internet. Sin embargo, el pasado miércoles 28 de febrero presenciamos el ataque DDoS más grande visto hasta ahora sobre la página web de GitHub alcanzando un récord de 1.35 Tbps y de 126.9 millones de paquetes por segundo.

Nueva herramienta: “Web browsers HSTS entries eraser”, nuestro módulo de post exploitation de Metasploit

lunes, 5 de marzo de 2018

Este módulo borra la base de datos HSTS/HPKP de los principales navegadores. Chrome, Firefox, Opera, Safari y wget en Windows, Linux y Mac. Esto permite a un atacante realizar un ataque de hombre en el medio una vez el objetivo ha sido comprometido. El módulo está disponible desde un módulo de post exploitation en el proyecto Metasploit.

Eventos y conferencias del mes de marzo que no puedes perderte

viernes, 2 de marzo de 2018

Eventos y conferencias del mes de marzo imagen

¿Preparados para las novedades de marzo? Un mes más, os traemos el listado de eventos, conferencias y ponencias en las que participan nuestros expertos y CSAs en todo el mundo. Algunos son online, otros presenciales, pero intentaremos tener todas las charlas disponibles en nuestro canal de YouTube.

(In)Seguridad en Aplicaciones Móviles PACS/DICOM

jueves, 1 de marzo de 2018

Con frecuencia nos hacemos análisis médicos. Toda la información que se produce como resultado tras estas pruebas, es almacenada en alguna infraestructura tecnológica de una empresa o en la nube, para luego ser utilizada por el médico y realizar un diagnostico, o por el usuario (paciente) para revisarla desde la palma de su mano. Acerca de esto, hemos estado revisando en otras entradas, sistemas de almacenamiento y transmisión de información médica y radiológica (PACS) y hemos evidenciado cómo ciertas vulnerabilidades pondrían en riesgo la información médica y análisis radiológicos de los usuarios.

Aplicaciones móviles para comunicación con Servidores PACS imagen
Aplicaciones móviles para comunicación con Servidores PACS

La importancia del Big Data en la Ciberseguridad

miércoles, 28 de febrero de 2018

La importancia del Big Data en la CIberseguridad imagen

Lo primero de todo, vamos a formularnos un par de preguntas sencillas: ¿Qué es Big Data? De manera muy resumida, el Big Data es una forma de describir grandes cantidades de datos (estructurados, no estructurados y semi-estructurados). ¿Pero esto no lo hacen ya las bases de datos y otras tecnologías tradicionales? Si, sin embargo, el concepto de Big Data se aplica a todos aquellos conjuntos de datos que, por su tamaño, complejidad, velocidad de crecimiento… no pueden ser procesados o analizados utilizando procesos o herramientas tradicionales, como, por ejemplo, bases de datos relacionales. Una vez introducido de manera muy general el concepto de Big Data, vamos a ver que cabida tiene en el mundo de la ciberseguridad. 

Innovación y Laboratorio de ElevenPaths, en el foro Transfiere junto con Andalucía Open Future

martes, 27 de febrero de 2018

ElevenPaths, de la mano de Telefónica y Andalucía Open Future, ha participado este año en Transfiere 2018, el gran foro profesional y multisectorial para la transferencia de conocimiento y tecnología que se celebró en Málaga, los días 14 y 15 de febrero. En este evento, se reunió una amplia representación del ecosistema del I+D+I nacional e internacional y hemos aportado nuestra visión para lograr un mundo digital más seguro.
Transfiere logo

Evrial, el malware que roba Bitcoins a través del portapapeles, y el estafador estafado

lunes, 26 de febrero de 2018

Evrial es el último malware que se vende en el mercado negro, diseñado para robar criptomonedas, y que se apodera del control del portapapeles para obtener "dinero fácil". ElevenPaths ha realizado un profundo estudio técnico sobre este malware, para mostrar su funcionamiento y detalles técnicos, con un vídeo auto-explicativo. Además, hemos seguido los pasos de su creador y algunos de sus compradores. Concluimos que además de crear el malware, se ha dedicado a estafar a los estafadores.

Qutra, el creador, vendiendo su malware imagen
Qutra, el creador, vendiendo su malware

ElevenPaths en el MWC’18

domingo, 25 de febrero de 2018

Un año más, Telefónica acude al Mobile World Congress (MWC) con una apuesta clara: la digitalización centrada en el cliente con sus soluciones de inteligencia artificial (AURA), IoT (Internet of Things), 5G e Internet para Todos. Proyectos que en ningún caso serían una realidad sin el trabajo de la unidad de Ciberseguridad de Grupo Telefónica. La confianza digital, es un aspecto crítico para la compañía, que afecta directamente a todos y cada uno de los proyectos que verán la luz en esta importante cita tecnológica.


Hidden Networks, detalles técnicos de la PoC

sábado, 24 de febrero de 2018

Panel principal de Hidden Networks PoC imagen
Panel principal de Hidden Networks PoC

Hace un mes presentamos nuestra nueva PoC para detectar redes ocultas (Hidden Networks). En este artículo vamos a repasar algunos detalles del funcionamiento interno de la aplicación y sus principales características.

Historias de #MujeresHacker: Isabel Menéndez, experta en Data Science en Telefónica Aura

viernes, 23 de febrero de 2018

Isabel Menéndez experta en Data Science de Telefónica Aura imagen

Esta semana presentamos la historia de Isabel Menéndez, experta en Data Science en Telefónica Aura. Ella es una apasionada de la tecnología que dedica su trabajo a lo que más le gusta, el análisis a través de los datos.

Isabel Menéndez, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia:

Conectándonos al mundo (Parte1)

jueves, 22 de febrero de 2018

Sin duda alguna, las API (Interfaces de Programación para interconexión de Aplicaciones, sistemas, servicios) son de uso cotidiano y muchos desarrolladores brindan acceso a determinadas funcionalidades o características de sus proyectos a través de ellas. Sin embargo, ¿hay que preocuparse por la seguridad de ellas?

Introducción a la seguridad en API
Como sabemos, las API son aplicaciones intermediarias accedidas por internet que permiten a una aplicación comunicarse con otra. Las API implementan funciones, rutinas, procedimientos, obtienen información a partir de parámetros y devuelven información. En función de los parámetros que le envía el cliente, generalmente acceden a servicios y bases de datos que están en el backend, hacen llamadas a procedimientos o procesan algún tipo de rutina que permite ejecutar una lógica de negocio. Además de estos usos, las API están ampliamente difundidas en aplicaciones móviles e IoT (Internet of Things).

API utilizadas para gestionar cloud, por ejemplo, Amazon EC2 imagen
API utilizadas para gestionar cloud, por ejemplo, Amazon EC2

#CyberSecurityPulse: Colega, ¿dónde están mis bitcoins?

martes, 20 de febrero de 2018

Strava Numerosos son los tipos de ataques que estamos presenciando los usuarios de criptodivisas: familias de malware que sustraen wallets, ataques de phishing que tratan de suplantar plataformas donde los usuarios gestionan sus carteras o donde salen públicas las ofertas iniciales de moneda (ICO, por sus siglas en inglés), aplicaciones que utilizan la CPU de los usuarios para minar... Y, además, aquellos que prefieran gestionar su propio dinero sin delegar la responsabilidad en un tercero también tendrán que hacer frente al problema de perder las claves privadas o no acordarnos de la contraseña con la que protegimos el wallet.

Rubber Ducky y Raspberry Pi: rápida y mortal en equipos "despistados"

lunes, 19 de febrero de 2018

Jaques Rousseau dijo: "El hombre es bueno por naturaleza, es la sociedad la que lo corrompe". Los usuarios que, disfrutando de permisos de administrador (enmascarados por el UAC), se ausenta de su puesto de trabajo sin bloquear el sistema, son buena parte de esa "sociedad". Tientan a que algunas personas buenas se vayan al lado oscuro de la fuerza. En esta entrada mostramos una sencilla receta que combina Rubber Ducky, Raspberry Pi y algunos scripts, para crear un ataque eficaz, rápido y potencialmente indetectable en sistemas Windows. Veamos cómo.

Historias de #MujeresHacker: Ángela Vázquez, Product Manager de Telefónica Aura

viernes, 16 de febrero de 2018


Esta semana presentamos la historia de Ángela Vázquez, Product Manager de Telefónica Aura, quien se dedica a definir el producto y conseguir que se despliegue con todos los requisitos en los países donde la compañía tiene presencia. Ángela nos cuenta su experiencia y su motivación para mejorar día a día su andadura profesional.

Ángela Vázquez, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia:

Bitcoin y Blockchain, ¿por qué están cambiando el mundo?

jueves, 15 de febrero de 2018

Bitcoin y BlockChain imagen

Bitcoin y BlockChain, para entender el concepto es necesario remitirnos a su definición y a la naturaleza para la que fueron concebidos, para ello debemos remontarnos a la crisis económica mundial del 2008, que se desató por la burbuja inmobiliaria en EEUU. Fue generada por tener un sistema financiero centralizado y controlado por los gobiernos, según Satoshi Nakamoto.

Es entonces cuando Nakamoto plantea una solución basada en criptografía, en un texto de 9 páginas. Aquí se especifica un sistema para transacciones financieras que no depende de la confianza de un ente central, sino  una red, robusta, descentralizada y simple, que utiliza pruebas criptográficas para determinar la veracidad de las transacciones y el registro de estas en un sistema disponible a cualquiera.

SandaS GRC, la mejor forma de realizar el GSMA IoT Security Assessment

miércoles, 14 de febrero de 2018


SandaS GRC
SandaS GRC de ElevenPaths permite a las organizaciones soportar su estrategia de negocio, mejorar el desempeño operativo, mitigar los riesgos operacionales y asegurar el cumplimiento regulatorio.
Este producto es el complemento perfecto con el que podrás crear un programa de gobierno, gestión de riesgos y cumplimiento efectivo de la seguridad de la información de tu organización.

Con el objetivo de extender este control a los despliegues IoT, SandaS GRC ha incorporado un conjunto de controles para securizar los despliegues IoT. Estos controles son los recogidos en las IoT Security Guidelines de GSMA mediante el proceso de IoT Security Assessment de GSMA, en cuya elaboración Telefónica ha contribuido activamente.

El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (y II)

martes, 13 de febrero de 2018

En el principio de la detección del malware se usó la firma. Después vino la heurística, la nube, el big data y en los últimos tiempos, machine learning y la inteligencia artificial. Métodos y técnicas que, convenientemente rodeados de los "sospechosos habituales" (holístico, sinergias, disruptivo, etc.),  podemos encontrar en casi todo discurso. Pero independientemente del negocio alrededor, la tecnología es neutra y no debería ser ni mejor ni peor de por sí, sino más o menos adecuada para resolver un problema. Lo que quizás erosiona la fama de una tecnología pueden ser los titulares forzados cuando se abusa de ellos con fines no puramente tecnológicos. El machine learning aplicado al malware es infinitamente valioso. Eso sí, a veces parece fallar la ejecución del experimento que pretende ensalzarlo. Veamos por qué y ejercitemos el escepticismo.

El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (I)

lunes, 12 de febrero de 2018

En el principio de la detección del malware se usó la firma. Después vino la heurística, la nube, el big data y en los últimos tiempos, machine learning y la inteligencia artificial. Métodos y técnicas que, convenientemente rodeados de los "sospechosos habituales" (holístico, sinergias, disruptivo, etc.),  podemos encontrar en casi todo discurso. Pero independientemente del negocio alrededor, la tecnología es neutra y no debería ser ni mejor ni peor de por sí, sino más o menos adecuada para resolver un problema. Lo que quizás erosiona la fama de una tecnología pueden ser los titulares forzados cuando se abusa de ellos con fines no puramente tecnológicos. El machine learning aplicado al malware es infinitamente valioso. Eso sí, a veces parece fallar la ejecución del experimento que pretende ensalzarlo. Veamos por qué y ejercitemos el escepticismo.

Día Internacional de la Mujer y la Niña en la Ciencia, 11 de febrero (Parte 2)

domingo, 11 de febrero de 2018

Hoy, 11 de febrero, es el Día internacional de la Mujer y la Ciencia y queremos celebrarlo desde ElevenPaths con vosotros. Por ello, os traemos la segunda parte de la acción que comenzamos ayer en la que seleccionamos a una mujer y a una niña para que nos cuenten qué entienden como tecnología y cómo ven el futuro de esta. Ayer entrevistamos a Constanza Fernández, una #NiñaHacker que sueña con trabajar en la NASA. 

Hoy entrevistamos a Julia Llanos, una de nuestras #Mujeres Hackers de Telefónica y que trabaja como Data Science Manager para Aura. No te pierdas todo lo que nos ha contado:



Día Internacional de la Mujer y la Niña en la Ciencia, 11 de febrero (Parte 1)

sábado, 10 de febrero de 2018

En ElevenPaths queremos celebrar hoy y mañana el Día Internacional de la Mujer y la Niña en la Ciencia. Desde la compañía, trabajamos para impulsar la diversidad de nuestros proyectos y también de los profesionales que los llevan a cabo. Apoyamos a todas aquellas personas que tienen un sueño para que trabajen duro, luchen y logren alcanzarlo, independientemente de su género o edad.

Lamentablemente, en la actualidad, la brecha de género en los sectores de la ciencia, la tecnología, la ingeniería y las matemáticas (STEM) persiste desde hace años en todo el mundo. A pesar de que la participación de las mujeres en las carreras de grado superior ha aumentado enormemente, aún no están suficientemente representadas en estos campos.

Historias de #MujeresHacker: Mayte Miranda Cervantes, experta en ciberseguridad de Telefónica

viernes, 9 de febrero de 2018


Esta semana os traemos el relato de Mayte Miranda Cervantes, Product Manager de ciberseguridad, que con su pasión y constancia forma parte del sector tecnológico dejando a un lado la consideración de género.

Mayte Miranda Cervantes, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia:

UAC-A-Mola: El framework para investigar, detectar, explotar y mitigar bypasses de UAC

jueves, 8 de febrero de 2018

Recientemente hemos publicado una herramienta llamada UAC-A-Mola con la que enfocamos una serie de necesidades y aportamos un valor a los investigadores que buscan bypasses de UAC. Además, se ha publicado un whitepaper el cual muestra la arquitectura de la herramienta y las técnicas que UAC-A-Mola utiliza para llevar a cabo la investigación, detección, explotación y mitigación de un bypass de UAC.

UAC-A-Mola es un framework diseñado para investigar, detectar, explotar y mitigar las debilidades denominadas bypass de UAC. Estas debilidades se encuentran en sistemas operativos Microsoft Windows. UAC-A-Mola permite automatizar la detección de un bypass UAC en una máquina Windows 7/8/8.1/10. UAC-A-Mola permite ejecutar diferentes módulos, personalizables, que permiten automatizar la investigación en busca de bypasses de UAC basados, principalmente, en fileless y DLL Hijacking. El framework permite incluir módulos orientados a la investigación y detección de otro tipo de bypasses. Además, UAC-A-Mola permite obtener una visión defensiva, para mitigar los posibles bypasses UAC operativos en el entorno Windows. UAC-A-Mola está escrita en Python y es un framework que permite extender funcionalidades a través de una interfaz sencilla y un sistema de creación de módulos.

Trabaja con Javi Espinosa, ingeniero en la unidad Chief Data Office (CDO) de Telefónica

miércoles, 7 de febrero de 2018

Soy Javi Espinosa y formo parte del equipo de ingeniería de la unidad Chief Data Office (CDO) de Telefónica donde trabajo desde hace algo más de 4 años en el equipo de Chema Alonso

En nuestra unidad desarrollamos proyectos tecnológicos innovadores dentro de una de las telco más importantes del mundo. Nos esforzamos para transformar la vida de las personas, creando nuevos servicios y vías de comunicación, algo muy gratificante, tanto en el ámbito profesional como en el personal. 

Javi Espinosa, ingeniero en CDO de Telefónica

En ElevenPaths celebramos el Día de Internet Segura 2018

martes, 6 de febrero de 2018

Hoy, 6 de febrero, se celebra el Día de Internet Segura en el ámbito internacional con el objetivo de concienciar sobre el uso de la red, especialmente entre los más jóvenes. En el marco de esta edición, que nació en el año 2003, Telefónica ha lanzado la campaña Love story para concienciar a la sociedad de los peligros que conlleva un uso irresponsable de las redes sociales y de internet en general. Os animo a visualizar la campaña aquí y a compartirla en vuestros perfiles sociales y con vuestros amigos para que entre todos, hagamos de internet un lugar seguro.

Love Story

#CyberSecurityPulse: Ups, salí a correr y publiqué información de localizaciones secretas

Strava La aplicación de seguimiento de fitness llamada Strava publicó el pasado 1 de noviembre un mapa de calor que mostraba la actividad de sus usuarios en todo el mundo, pero desafortunadamente, el mapa revelaba información que no debería haber sido expuesta en internet. Strava, que se promociona como una aplicación de redes sociales para deportistas, al poner a disposición de todo el mundo la ubicación de todas las carreras realizadas por sus usuarios recopiladas por sus teléfonos publicó información sobre bases militares estadounidenses en todo el mundo. Según el analista Nathan Ruser, el mapa incluía las rutas de entrenamiento de soldados en localizaciones secretas, incluyendo bases en Afganistán y Siria, una presunta base de la CIA en Somalia e incluso el Área 51.

IOCSeeder. Análisis dinámico de malware mediante sandboxing para generación de IOCs

lunes, 5 de febrero de 2018

IOCSeeder proporciona un punto de acceso unificado para el análisis dinámico de malware, que permite un estudio bajo demanda del comportamiento, propagación y las acciones llevadas a cabo por malware de distinta naturaleza. Este sandbox avanzado se encarga de la detonación, monitorización y análisis de malware en un entorno controlado, donde extrae información específica y detallada para crear o completar Indicadores de compromiso. Permite la inyección de conocimiento en otros procesos de detección de amenazas y vulnerabilidades.

IOCSeede análisis dinámico de malware imagen

Conferencias, talleres y eventos del mes de febrero en los que participamos

domingo, 4 de febrero de 2018

Eventos mes de febrero ciberseguridad imagen

Un mes más, te traemos el listado de los eventos en los que participan los expertos, analistas de inteligencia y Chief Security Ambassadors (CSAs) de ElevenPaths en febrero. Busca un bolígrafo y apúntate aquellos que te interesen, ¡no van a ser pocos!