Día Mundial de la Ciberseguridad, ¡estos son nuestros consejos!

viernes, 30 de noviembre de 2018


Hoy queremos celebrar con todos vosotros el Día Mundial de la Ciberseguridad o Seguridad de la Información. Por este motivo, llevamos desde el pasado lunes publicando #CyberTricks diarios de uno de nuestros expertos vía Twitter para que no seas víctima de ningún ciberataque y mantengas seguros tus dispositivos.

Wild Wild WiFi: Publicamos el paper y el código para poder probarlo

jueves, 29 de noviembre de 2018

Recientemente hemos publicado el paper de Wild Wild WiFi. Este es un trabajo que presentó nuestro Chairman Chema Alonso durante la RootedCON de este año, y en el que se han introducido un par de nuevos conceptos: TOTP WiFi y SSID Pinning. En el trabajo se puede leer la importancia del concepto de temporalidad en una clave, y cómo se puede hacer uso del TOTP para ir cambiando dinámicamente y de forma transparente la clave WPA2 de una red WiFi al usuario.

Por otro lado, se hace hincapié en una patente que se ha logrado en el año 2017 en la que se introducen varios campos como el TOTP y rasgos biométricos para lograr una autenticación robusta e, incluso, periódica.

router utilizado en la prueba de concepto de Wild Wild WiFi imagenPara que podáis probar este concepto, os hemos dejado en nuestro repositorio de GitHub la prueba de concepto de esta implementación. Tenemos una versión para Android, una versión para Windows y el código que se debe utilizar en un router Amper ASL-26555. Con este router llevamos a cabo la prueba de concepto, mediante la instalación de LEDE y la creación de la aplicación en LUCI. El código se puede encontrar en el repositorio de GitHub del proyecto.

Qué hemos presentado en el Security Innovation Day 2018: Our princess is "always" in another castle: Chasing Innovation (III)



En el universo de Mario Bros., en cada «última» pantalla, crees que encontrarás por fin a la Princesa Peach. Pero nunca es cierto. Siempre está en otro castillo y debes jugar otra fase de otro mundo para recuperarla. La búsqueda siempre continúa. Aunque escurridiza como el horizonte (que siempre se aleja cuanto más caminas en su dirección), este es el motor de nuestra innovación. No podemos dar por terminada la partida cuando llegamos a un castillo. Existen otros mundos por conquistar. En esta presentación nos hemos centrado en las tecnologías relacionadas con la identidad en las que hemos estado trabajando durante el último año.

Eventos en los que participamos durante el mes de diciembre

miércoles, 28 de noviembre de 2018

Eventos en los que participamos durante el mes de diciembre imagen

No queda nada para terminar este 2018 y dar la bienvenida al nuevo año, pero antes de cerrar esta etapa, como todos los eses, os traemos el listado de eventos en los que participan nuestros expertos, CSAs y colaboradores.

Qué hemos presentado en el Security Innovation Day 2018: On the path towards an Intelligent MSSP (II)

martes, 27 de noviembre de 2018


Durante el pasado Security Innovation Day 2018, Alberto Sempere, Global Security Director (ElevenPaths) y Ester Tejedor, Gerente de Plataformas de Seguridad (Telefónica), fueron los ponentes principales para la parte dedicada a producto dentro de nuestro evento anual en innovación y ciberseguridad: On the path towards an Intelligent MSSP. Además contaron con la colaboración de Nikolaous Tsouroulas, Head of CyberIntelligence de ElevenPaths, que presentó una demo sobre dos herramientas propias de la Unidad de Ciberseguridad: Dinoflux y Aldara.

Breve e incompleta historia de las contraseñas, aliados y enemigos (I)

Mucho se ha hablado (y se seguirá haciendo) de las contraseñas. Una "tecnología" con demasiados defectos y primitiva. Podríamos calificarla de eslabón débil con el permiso de las "preguntas de seguridad"; no son más que un refrito que nunca debió existir y mucho menos en la era de la exhibición, donde un disco duro en un rack de un centro de datos en Arkansas tiene más datos públicos de nosotros mismos de los que creemos recordar. De hecho, muchos titulares de los medios generalistas ignoran que tras ese "Hackean..." no se esconde una APT sigilosa sino una menos cinematográfica y rimbombante versión real de los hechos: han dado con una contraseña débil o robada mediante un phishing. Una acción que mezcla buen tino, suerte, una mala interpretación de las reglas seguras para gestionar credenciales y la ignorancia o despiste de un usuario desprevenido. Vamos a borrar todo lo que sabemos sobre autenticación y comencemos con un lienzo en blanco. Tenemos una empresa que ha desarrollado una aplicación y unos usuarios dispuestos a usarla. Naturalmente, no queremos que nadie más acceda a los recursos de cada usuario que sus legítimos propietarios. ¿Cómo solucionas esto? 

Pon en orden el universo criptográfico de ElevenPaths y gana 111 euros

lunes, 26 de noviembre de 2018

Vaya, ¿Qué ha ocurrido aquí? ¿Es esto lo que llaman el Black Friday? De pronto todo se ha oscurecido, no hay luz y los planetas no están alineados esta noche como para poder leer los astros. Nada es lo que parece. Un rayo de luz rasga la oscuridad y comienzan a caer fragmentos de imágenes en dos montones de idéntico tamaño. Pieza a pieza descubrimos dos extraños mosaicos. ¿Qué son estos cuadrados? ¿Qué es este juego mágico?

#CyberMonday 2018 en ElevenPaths

viernes, 23 de noviembre de 2018

#CyberMonday 2018 en ElevenPaths imagen

No queda nada para la llegada de #CyberMonday y desde ElevenPaths nos unimos a este día de descuentos, ¡a lo loco! En nuestra Unidad siempre hemos creído que la tecnología debe de estar en el día a día de todas las personas, para ayudar a mejorar el nivel de seguridad de sus sistemas y aplicaciones personales.

Por este motivo, solo durante el lunes, 26 de noviembre, vamos a promocionar el uso de la tecnología con todos vosotros proclamando un 50 % de descuento en los productos que pueden adquirirse desde nuestra web.

Cyberintelligence Report: Ciberseguridad en aplicaciones móviles bancarias

jueves, 22 de noviembre de 2018

A medida que el mundo se vuelve más digital, surgen nuevas oportunidades y amenazas, y tendemos a centrarnos más en los negocios. Como consecuencia, cuando estamos tratando de desarrollar un nuevo producto, sitio web o aplicación, tendemos a priorizar la velocidad, conveniencia y facilidad de implementación en lugar de la seguridad.

Desde ElevenPaths hemos realizado un análisis de un total de 56 de los principales bancos alrededor del mundo. Este análisis se basa en archivos públicos, aplicaciones web y aplicaciones móviles de estos bancos y aborda tres aspectos clave de la ciberseguridad:
  • La seguridad integrada en las aplicaciones móviles
  • Los metadatos disponibles en los documentos públicos
  • La información que podemos obtener sobre las comunicaciones de los servicios y su calidad (es decir, los puertos abiertos en los servidores, sus vulnerabilidades, etc).

Los sesgos del arte del engaño

Libro de "The Art of Deception" img

Hace un par de semanas atrás, un compañero escribía una entrada en el post explicando “Los seis principios de la influencia que utilizan los cibercriminales para hackear tu cerebro”, y también, en algún webinar de los ElevenPaths Talks hemos conversado sobre la Ingeniería Social como "A la Pesca de Víctimas" y "El Arte del Engaño".

A partir de haber definido en varias ocasiones que la Ingeniería Social es una mezcla de ciencia, psicología y arte, como "cualquier acto que influya en una persona para tomar una acción que puede o no ser lo mejor para él”, creemos que la ingeniería social no siempre es negativa y abarca el cómo nos comunicamos con nuestros padres, terapeutas, hijos, cónyuges… como lo define el propio Kevin Mitnick en su libro “The Art of Deception”.

Libro de "The Art of Deception" (El arte del engaño) de Kevin Mitnick

Movistar lanza Conexión Segura: Un antivirus en red para mantener seguros todos tus dipositivos y red WiFi

miércoles, 21 de noviembre de 2018

Desde ElevenPaths creemos firmemente en la necesidad de seguir desarrollando nuevas soluciones que mejoren la seguridad de nuestros servicios, ya que, asegurar este factor es una pieza clave dentro del entorno digital en el que nos encontramos actualmente. Fruto de esa constante nace Conexión Segura, un nuevo servicio destinado a la protección de la navegación, los dispositivos y los contenidos de los usuarios. Se trata de un "antivirus en red" cuya protección se extiende al WiFi del cliente, sus líneas móviles en la red de Movistar y en la red de terceras empresas. Este servicio se ha desarrollado internamente entre los equipos de ElevenPaths y Telefónica España, junto con McAfee y Allot.

Qué hemos presentado en el Security Innovation Day 2018: Apertura Keynote (I)


El pasado 7 de noviembre celebramos en al Auditorio Central de Telefónica Madrid nuestro evento anual en innovación y ciberseguridad, Security Innovation Day 2018, bajo el lema Game is Never Over. Si no pudiste asistir al evento ya tenemos disponibles todas las presentaciones y vídeos de nuestros ponentes, así como fotografías para que puedas vivirlo como si hubieras estado allí.

El Efecto Marco: así como te presenten la información, así tomarás la decisión

martes, 20 de noviembre de 2018

El Efecto Marco: así como te presenten la información, así tomarás la decisión imagen

Has recibido una alerta de ciberinteligencia. Se avecina un terrible ciberataque de grandes dimensiones. Eres responsable en tu organización de la protección de 600 puestos de trabajo. No tienes mucho tiempo. Puedes elegir implantar uno de entre dos programas de seguridad. ¡Necesitas tomar la decisión ya!
  1. Si eliges el programa A, podrás proteger 200 puestos de trabajo.
  2. Si eliges el programa B, existe una probabilidad de un tercio (1/3) de proteger los 600 puestos de trabajo y una probabilidad de dos tercios (2/3) de no proteger ninguno. 

Presentamos CapaciCard, nuestra tecnología física de identificación y autorización de forma sencilla

lunes, 19 de noviembre de 2018

¿Imaginas autenticarte o autorizar un pago simplemente pasando una tarjeta de plástico, sin circuitería alguna, por la pantalla de tu móvil (sin NFC ni hardware específico)? ¿Te imaginas hacer lo mismo posando esa misma tarjeta sobre el touchpad del portátil? Durante el último Security Innovation Day, presentamos varias tecnologías propias que estamos desarrollando y de las que estamos particularmente orgullosos. En esta entrada hablamos de CapaciCard.

CapaciCard, tecnología física de identificación y autorización de forma sencilla

mASAPP Online o cómo analizar tus apps móviles

miércoles, 14 de noviembre de 2018

mASAPP Online o cómo analizar tus apps móviles imagen

La proliferación de aplicaciones móviles en distintas plataformas como iOS o Android abre nuevas y jugosas oportunidades de ataque contra personas y empresas. El canal móvil es un atractivo campo de operaciones para atacantes porque aún no existe suficiente consciencia de la necesidad de aplicar medidas de seguridad en nuestros teléfonos móviles y tablets, que suelen estar muy desprotegidos.

m33tfinder: Vulnerabilidad en Cisco Meeting Server descubierta por ElevenPaths

martes, 13 de noviembre de 2018

m33tfinder: Vulnerabilidad en Cisco Meeting Server descubierta por ElevenPaths imagen

El 7 de noviembre, mientras celebrábamos nuestro Security Innovation Day, Cisco publicó un security advisory con CVE-2018-15446 asociado a la vulnerabilidad que hemos reportado desde nuestro equipo de Innovación y Laboratorio en ElevenPaths sobre el software Cisco Meeting Server. La vulnerabilidad permitiría a un atacante remoto obtener información e introducirse en las reuniones celebradas a través de este software. Cisco Meeting Server (anteriormente denominado “Acano”), es un software utilizado para realizar videoconferencias. Permite a los usuarios conectarse a las reuniones con diferentes clientes como Cisco Jabber, Cisco Meeting App, Skype for Business o vía WebRTC con un navegador compatible.

Windows y las actualizaciones, ¿un pionero bastante torpe?

lunes, 12 de noviembre de 2018

"La nueva actualización de Windows provoca un problema". Para muchos, esta frase puede ser mencionada casi en cualquier momento. Hoy es porque degrada la versión del sistema operativo, pero no hace mucho fue que borraba ficheros. Y es que cuando se habla de las actualizaciones de Windows, nos encontramos con un sentimiento agridulce. Si bien fue el primero en algunos aspectos que luego han terminado por adoptar muchos otros fabricantes, quizás ha sido torpe en su ejecución. Reflexionemos sobre cómo el mundo de las actualizaciones ha ido llevándonos hasta lo que actualmente es.

Windows y las actualizaciones imaegn

Stela FileTrack protagonista de la VI edición del SID 2018

miércoles, 7 de noviembre de 2018


La Unidad de Ciberseguridad de Telefónica celebra su VI Security Innovation Day, bajo el lema Game Is Never Over.
  • Stela FileTrack, la nueva solución para la protección de la información documental sensible de las organizaciones.
  • El SOC de Telefónica en Madrid, un equipo de respuesta a incidentes cualificado y experimentado 24x7. 
  • Comercialización de Faast for WordPress y mASAPP Online enfocado a la venta online. 
  • Nuevos servicios de seguridad IoT que se sustentan en la fortaleza de los SOCs de Telefónica. 
  • El VI Security Innovation Day puede seguirse por streaming a través de este enlace

Security Innovation Day 2018 también en streaming

Esta tarde a las 15:30h dará comienzo la VI edición del Security Innovation Day 2018, nuestro evento del año sobre innovación en ciberseguridad orientado a profesionales de la seguridad de la información. Cuenta con ponentes de referencia, innovación, la presentación de nuestras principales y futuras líneas estratégicas y lo podrás seguir en directo vía streaming con traducción simultánea (castellano-inglés). ¿Te lo vas a perder? Aún estás a tiempo de registrarte al streaming y seguirnos minuto a minuto en nuestro Twitter con los hashtags #SID2018 #TimeforRealSecurity y #TimeforRealInnovation dónde realizaremos además un Persicope en directo del auditorio y las salas demos.

Security Innovation Day 2018 Streaming imagen

La vulnerabilidad de elevación de privilegios de Xorg a examen

martes, 6 de noviembre de 2018

En un test de penetración, romper el perímetro y adentrarse tras las líneas enemigas es un hito importante, pero no es el último paso. Más allá de las puertas se encuentra la prueba real que separa al ocasional atacante con suerte del experimentado y curtido veterano: elevar privilegios, la obtención del uid cero, la joya de la corona del sistema, es decir, convertirse en root.

Existen bastantes exploits para alcanzar esa cima, pero ni todos son válidos en todos los contextos ni siempre se posee el conocimiento para adaptarlos a una situación particular. De vez en cuando van apareciendo técnicas y scripts para facilitar esa tarea y solo muy de vez en cuando se nos presenta un ejemplar que hace de esta tarea un juego infantil.

El estado del ciber riesgo en España

lunes, 5 de noviembre de 2018

En España, la ciberseguridad se está convirtiendo cada vez más en una prioridad para las empresas de todos los sectores. Una manera de cuantificar estas posturas de ciberseguridad es analizar los ratings sectoriales de seguridad de España con respecto a Europa. En España, los ratings de seguridad de BitSight se sitúan, de media, 119 puntos por debajo de Europa. El sector con mejor rendimiento es el inmobiliario, que tiene un rating de seguridad de 71 puntos más que la media europea. Los sectores con peor rendimiento son los servicios financieros y seguros, que se encuentran más de 200 puntos por debajo de la media europea. Dada la sensibilidad de los datos que poseen las empresas de servicios financieros, este informe sugiere que es necesaria una inversión adicional en ciberseguridad y gestión del ciber riesgo. A medida que las empresas invierten en programas de transformación digital, su exposición al riesgo aumenta y requiere una mayor inversión en la gestión del riesgo en toda su organización.

Eres menos racional de lo que crees cuando tomas decisiones de riesgo en condiciones inciertas

Te propongo el siguiente juego de azar:
  • Opción A: Te doy 1.000 € con un 100 % de probabilidad
  • Opción B: Lo echamos a suertes: si sale cara, te doy 2.000 €; si sale cruz, no te doy nada
¿Qué opción elegirías? ¿La ganancia segura o la posibilidad de ganar el doble (o nada)? Si eres como el 84 % de la población, habrás elegido la opción A, la ganancia segura.
Vale, ahora te propongo un nuevo escenario. Tienes que pagar una multa y te dan a elegir cómo hacerlo:
  • Opción A: Pagas 1.000 € de multa con un 100 % de probabilidad.
  • Opción B: Lo echan a suertes: si sale cara, pagas 2.000 € de multa; si sale cruz, te vas de rositas sin pagar ni un euro.
¿Qué opción elegirías en este caso? ¿Pagar la multa sí o sí o jugártela a suertes, pudiendo pagar nada (o el doble)? Pues en este caso, si eres como el 70 % de la población, habrás elegido la opción B.
Entonces, ¿lo estás haciendo bien? ¿Mal? Vamos a examinar ahora qué está pasando aquí desde un punto de vista puramente racional.