¡Ya tenemos los resultados de #CDO Challenge!

miércoles, 31 de enero de 2018

¡Hola hackers!

El pasado 29 de diciembre, a través de la unidad de Chief Data Office (CDO) de Telefónica, liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad-, LUCA -Big Data- y la Cuarta Plataforma, lanzamos la convocatoria CDO Challenge en busca de nuevos talentos apasionados por la tecnología aplicada a la inteligencia artificial en entornos de desarrollo Android.

En esta ocasión, decidimos innovar en los procesos tradicionales de reclutamiento. Por eso, en lugar de seleccionar candidatos valorando sus currículums, desarrollamos un reto de programación, integrado en la app CDO Challenge, creada ad-hoc. Durante todo el mes de enero, los candidatos debían descargarse la app y descifrar un challenge de programación y, de este modo, conseguir una entrevista personal con nuestros expertos en las oficinas Distrito Telefónica en Madrid. 

Usuario de Monero… ¿eres tan anónimo como piensas?

martes, 30 de enero de 2018

Monero está de moda. Comenzamos hace unos meses a fijarnos en esta criptodivisa principalmente a raíz de la proliferación de proyectos destinados a cargar código Javascript de minado en el navegador y analizar por qué se está apostando por esta y no por otra más reconocida como Bitcoin. Monero utiliza el protocolo CryptoNote propuesto en octubre 2013 por un autor desconocido bajo el alias Nicolas van Saberhagen. Este no da pistas sobre quién es el emisor y receptor de una transacción al utilizar firmas circulares o en anillo que mezclan las transacciones de distintos usuarios. Además, desde enero de 2017, también se puede ocultar el saldo transferido en cada transacción reforzando la privacidad con la implementación de Ring Confidential Transactions, una mejora de su algoritmo.

Iconografía del proyecto Monero
Figura 1. Iconografia del proyecto Monero. 

"Confianza en el diseño seguro" vs. "Seguro, confiamos en el diseño" (Otra historia de Star Wars)

lunes, 29 de enero de 2018

Volvemos a conectar con la entrada anterior sobre diseño seguro donde en esencia vimos que la técnica de penetración-parcheado-corrección supone un coste mucho mayor que la integración de robustos mecanismos de seguridad que prevengan las vulnerabilidades en una fase temprana. Basta con recordar el ejemplo del gasto no previsto que tuvo que financiar el canciller Darth Sidious para reconstruir la Estrella de la Muerte. Y en la mayoría de los casos no hablamos solo de gasto económico, sino también perjuicio de imagen, consideraciones legales, cuestiones de privacidad, daños a terceros, que te lancen por un pozo de ventilación mientras lanzas rayos, etc.

Parcheado penetración ciberseguridad imagen


Veamos algunos métodos más para el desarrollo seguro, pero en este caso solo dos de los más importantes que afectan a cómo se desarrolla un software seguro y privado, con independencia del resto del ciclo de vida.

Historias de #MujeresHacker: María Domínguez, experta en servicios de ciberseguridad en Telefónica

viernes, 26 de enero de 2018



Esta semana os traemos el relato de María Domínguez, Product Manager de Telefónica, experta en servicios de ciberseguridad. Ella, como muchos de nuestros referentes, no pensó que se dedicaría a la tecnología, pero encontró su camino con dedicación y ganas de intentarlo.

María Domínguez, una de las #MujeresHacker de Telefónica nos cuenta su historia:

Detección y respuesta gestionada: prevenir no es suficiente, necesitas ser ciber-resiliente

jueves, 25 de enero de 2018

Detección y respuesta gestionada ciberseguridad imagen
¿Quieres que tu organización sea ciber-resiliente pero no tienes medios?

¿Tienes soluciones de seguridad avanzadas implantadas, pero careces del personal especializado y formado para sacarles partido?

¿No tienes capacidad para detectar y responder a una brecha de seguridad y temes las consecuencias para tu negocio de la Directiva NIS y RGPD?

Si te preocupan estas cuestiones, a nosotros también, y por eso llevamos tiempo trabajando con nuestros expertos analistas y nuestro equipo de laboratorio de pruebas, junto a nuestros socios estratégicos, para ofrecer a nuestros clientes una detección y respuesta gestionada, que va más allá de las soluciones tradicionales.

#CyberSecurityPulse: Adivina, adivinanza... ¿Cómo se almacena información en una dirección de Bitcoin?

martes, 23 de enero de 2018

Bitcoin Tal y como hemos visto en post anteriores del blog de ElevenPaths, el campo OP_RETURN de una transacción de Bitcoin es utilizado para almacenar una pequeña porción de información (hasta 80 bytes). De él, se sirven numerosos proyectos para crear casos de uso vinculados a certificar que algo ha ocurrido como realiza el proyecto Proof of Existence, expedir y validar certificados académicos o incluso publicar las órdenes a ejecutar a los nodos infectados dentro de una botnet. Sin embargo, ¿conocías cuál era la técnica utilizada antes de 2013 para almacenar información en la cadena de bloques?

ElevenPaths participará, por segundo año consecutivo, en la Conference on Information Systems Security and Privacy (ICISSP)

lunes, 22 de enero de 2018

La reciente investigación realizada desde el área de Innovación y Laboratorio de ElevenPaths, enfocada en el uso novedoso de técnicas inteligentes para la detección de malware en documentos PDF, ha sido aceptada para participar en la 4th International Conference on Information Systems Security and Privacy (ICISSP 18). La conferencia tendrá lugar este mes en Portugal, donde el equipo presentará los resultados.

iMAGEN DE Conferencia Internacional Sistemas de Seguridad de la Información y Privacidad ICISSP

La International Conference on Information Systems Security and Privacy (ICISSP) es una conferencia anual, centrada en los aspectos relacionados con la seguridad y la privacidad de los sistemas de información, que intenta reunir los últimos resultados científicos de este campo a nivel global, buscando su agrupación y actuando de punto de encuentro tanto para investigadores como para profesionales del sector.

Historias de #MujeresHacker: Elena Díaz, Data Scientist de Telefónica

viernes, 19 de enero de 2018


Esta semana presentamos la historia de Elena Díaz que cómo Data Scientist en Telefónica hace del análisis de datos su gran pasión. Hoy nos cuenta  sus motivaciones, consejos y experiencia en el sector STEM.

Eventos del mes de enero en los que participamos

jueves, 18 de enero de 2018

Eventos de enero para estar al día en Seguridad Informática imagen

¡Hola hackers!

Un mes más os traemos los eventos en los que nuestros expertos, analistas y CSAs (Chief Security Ambassadors) participan en enero. Saca tu agenda y toma nota de las fechas para que no se te escape ninguno.

¿Eres estudiante? ¡Vuelve el University Challenge!

miércoles, 17 de enero de 2018

Empieza un nuevo año cargado de proyectos y con él llega la segunda edición de nuestro University Challenge. Para aquellos que no lo conozcan, el reto es una iniciativa que va dirigida a estudiantes universitarios en último curso de grado, posgrado o máster que deseen desarrollar sus proyectos basados en casos reales del área de Chief Data Office de Telefónica. Esta área, liderada por Chema Alonso, es la impulsora de la transformación digital de la empresa y representa el corazón digital de la compañía, contando con las unidades de Ciberseguridad (ElevenPaths), Inteligencia Cognitiva (Aura), Cuarta Plataforma y Big Data (LUCA).

Chema Alonso y Antonio Guzman nos cuentan el CDO Challenge.

La expedición de certificados académicos: un caso de uso donde Blockchain sí tiene sentido

lunes, 15 de enero de 2018

¿Eres Blockchain lover o definitivamente crees que aporta poco? Innumerables empresas tecnológicas están sacando al mercado proyectos alrededor de Blockchain, en ocasiones, explotando alguna de sus fortalezas y en otras no tanto. Lo que sí es cierto es que poco a poco van surgiendo proyectos de software libre con los que poder jugar y aprender de la tecnología.

Uno con el que hemos estado trasteando recientemente ha sido BlockCerts, un estándar para crear, emitir, visualizar y verificar certificados utilizando la cadena de bloques de Bitcoin o de Ethereum. El objetivo de este proyecto es que ciertos organismos o individuos lleguen a ver útil dejar un registro de dicho certificado, firmado criptográficamente, para que luego pudiera ser validado por un tercero.

¿Pugnan la academia y la empresa en la seguridad por diseño? (Una historia de Star Wars)

En un universo infinito, donde puede que exista una serie infinita de universos paralelos, que a su vez quizás existen dentro de un multiverso a su vez infinito, podemos afirmar que la probabilidad de que un desarrollo software que pasa al departamento de Q&A esté libre de vulnerabilidades es prácticamente cero. Y, por si fuera poco, la probabilidad de que esos universos estén masivamente poblados de usuarios maliciosos dispuestos a aprovechar esa vulnerabilidad es prácticamente del cien por cien. Que se lo pregunten a Galen Erso que tuvo que inventarse una historia apoteósica para que nadie se diese cuenta de su error de diseño.

seguridad ciberseguridad herramienta imagen

Historias de #MujeresHacker: Marta Pérez, experta en User Research de Telefónica Aura

viernes, 12 de enero de 2018


Marta Pérez, una de nuestras #MujeresHacker de Telefónica


Esta semana presentamos la historia de Marta Pérez que, como User Researcher en Telefónica Aura, vive con pasión la investigación de usuarios y la gestión de ideas, y su experiencia radica en diseñar nuevos procesos y herramientas para impulsar la innovación, mejorar la calidad de las ideas y ayudar a identificar los nuevos comportamientos y necesidades de los usuarios.

La historia de la Dark Web

jueves, 11 de enero de 2018

Existen muchos términos sobre Internet que han surgido en el transcurso de los años, pero sin lugar a dudas los términos de la web profunda (Deep Web) y de la web oscura (Dark Web) han sido los que más impacto mediático han tenido y como muchos de los términos que tienen que ver con seguridad de la información han sido tergiversados, mostrando el lado más oscuro de estos términos.

Imagen de Dark Web o Web Oscura

Aunque estos términos han sido escuchados por la mayoría de las personas debido a los medios de comunicación, e incluso hemos tratado algo en uno de nuestros #11PathsTalks, son muy pocas las que conocen realmente su significado y su origen. Esto es uno de los principales problemas para que estos componentes de internet sean considerados erradamente como ilegales o más peligrosos de lo que conocemos. Por esto vamos a conocer la historia de donde surgen estos términos y lo que realmente significan.

No Fear Credit Card

miércoles, 10 de enero de 2018

Tarde o temprano, todos nos acostumbramos a deslizar nuestras tarjetas bancarias por la hendidura de terminales de pago (TPV/Pos), en todo tipo de comercios y locales de ocio. Sin darnos cuenta, hemos sido seducidos por las facilidades que nos brinda la, ya veterana, banda magnética, introducida por las entidades financieras en los años setenta.

Tarjeta de crédito
Tarjeta de crédito con banda magnética


Sin embargo, esta facilidad de uso no estaba exenta de riesgos, y junto a su creciente popularidad, también se incrementaron los casos de fraude, ocasionados principalmente por la copia de la información contenida en la banda magnética y posterior clonación de la tarjeta, haciendo uso de la misma suplantando a su legítimo titular. 

#CyberSecurityPulse: El parcheo de vulnerabilidades de forma transparente también es cosa de todos

martes, 9 de enero de 2018

vulnerability El año 2018 ha comenzado con una noticia que ha copado las portadas de medios especializados y generalistas de todo el mundo. Las vulnerabilidades bautizadas como Meltdown y Spectre han puesto sobre la mesa que incluso aspectos que dábamos por consolidados como la arquitectura del hardware que hace funcionar la práctica totalidad de nuestros sistemas es susceptible de tener que ser reinventada. La corrección de este tipo de fallos en el futuro deberá ser puesta a prueba con nuevos diseños que las prevengan, pero hasta que estos nuevos sistemas salgan al mercado se hace necesario encontrar soluciones software de contingencia que mitiguen el problema mientras tanto.

Internet se ha roto, otra vez (y III)

lunes, 8 de enero de 2018

Tranquilos, hablamos de Metldown y Spectre pero desde otro punto de vista. Pensábamos que no sería necesario retomar esta serie, pero aquí está de nuevo. Ahondaremos en aspectos menos explorados sobre estos fallos que sacuden de nuevo los cimientos de la seguridad. Vamos a intentar aportar algo nuevo. No es la primera catástrofe en la red. ¿Las ha habido peores? ¿Es realmente una catástrofe, o lo serán sus "daños colaterales"?

Otros apocalipsis
En general, ya se han dado casos muy similares de catástrofes que afectarían a la red tal y como la conocemos, y de la que se han desprendido titulares dantescos. El primero en llegar a las masas fue el "efecto 2000", que aunque no contó con logotipo oficial desde el principio, sí que disfrutó de una marca propia (Y2K)... pero eran otros tiempos y quedó en una especie de decepción apocalíptica que se sació con mucha literatura y algunos telefilms. Recientemente ya hemos sufrido varias veces fallos muy graves que ponían en jaque la seguridad en la red. Resumimos algunos:

#CodeTalks4Devs: Limited Secrets. Distribuye tu secreto Latch sin riesgo

domingo, 7 de enero de 2018

Code Talks for Devs. Limited Secrets webinar


¡Feliz 2018 developers! Para empezar el año con buen pie os traemos el último webinar de la serie Code Talks for Devs que tanto empeño hemos puesto en crearla. En esta ocasión, el experto Javier Espinosa cuenta cómo proteger un recurso en una aplicación Android haciendo uso de Limited Secrets para poder ser distribuida la aplicación sin riesgo.

ElevenPaths Talks: Nuevo Reglamento General de Protección de Datos (RGPD)

jueves, 4 de enero de 2018


Reglamento Europeo de Protección de Datos

¡VER EL TALK AQUÍ!

Hasta la fecha, la Ley Orgánica de Protección de Datos (LOPD) continúa vigente, aunque por poco tiempo. En mayo de 2016 se producía un cambio importante en la regulación de la privacidad, con la aprobación de un nuevo Reglamento Europeo de Protección de Datos (RGPD). Una norma que será de obligado cumplimiento para todas las organizaciones de la Unión Europea, a partir del 25 de mayo de 2018. Para facilitar su aplicación, se estableció un periodo de transición de dos años, con el objetivo de permitir una adaptación y adecuación progresivas, y limitar las sanciones por parte del organismo regulador por la no aplicación de la misma. Es por esto que, los próximos seis meses son  una oportunidad para que las organizaciones revisen y trabajen en la adecuación de procesos y sistemas desde esta nueva perspectiva regulatoria.

Air Profiling Network: Una herramienta para perfilar usuarios a través de capturas de red y Tacyt

martes, 2 de enero de 2018

Todo el tráfico que circula por la red deja un rastro e información de los hábitos y situaciones de las personas en su día a día. Además, el uso actual que hacemos del smartphone hace que el tráfico aumente y que la información sobre nuestros hábitos quede expuesta a que alguien pueda procesarla.

Con la idea de ver hasta qué punto era posible, se propuso un proyecto a través del programa de Universidades de ElevenPaths que Ismael Monje Brau decidió implementar y publicar aquí como proyecto fin de grado dirigido por el área de innovación y laboratorio..


Proyecto Universidades Air Profiling Network
Figura 1. Proyecto Universidades Air Profiling Network.