Presentamos CapaciCard, nuestra tecnología física de identificación y autorización de forma sencilla

lunes, 19 de noviembre de 2018

¿Imaginas autenticarte o autorizar un pago simplemente pasando una tarjeta de plástico, sin circuitería alguna, por la pantalla de tu móvil (sin NFC ni hardware específico)? ¿Te imaginas hacer lo mismo posando esa misma tarjeta sobre el touchpad del portátil? Durante el último Security Innovation Day, presentamos varias tecnologías propias que estamos desarrollando y de las que estamos particularmente orgullosos. En esta entrada hablamos de CapaciCard.

CapaciCard, tecnología física de identificación y autorización de forma sencilla

mASAPP Online o cómo analizar tus apps móviles

miércoles, 14 de noviembre de 2018

mASAPP Online o cómo analizar tus apps móviles imagen

La proliferación de aplicaciones móviles en distintas plataformas como iOS o Android abre nuevas y jugosas oportunidades de ataque contra personas y empresas. El canal móvil es un atractivo campo de operaciones para atacantes porque aún no existe suficiente consciencia de la necesidad de aplicar medidas de seguridad en nuestros teléfonos móviles y tablets, que suelen estar muy desprotegidos.

m33tfinder: Vulnerabilidad en Cisco Meeting Server descubierta por ElevenPaths

martes, 13 de noviembre de 2018

m33tfinder: Vulnerabilidad en Cisco Meeting Server descubierta por ElevenPaths imagen

El 7 de noviembre, mientras celebrábamos nuestro Security Innovation Day, Cisco publicó un security advisory con CVE-2018-15446 asociado a la vulnerabilidad que hemos reportado desde nuestro equipo de Innovación y Laboratorio en ElevenPaths sobre el software Cisco Meeting Server. La vulnerabilidad permitiría a un atacante remoto obtener información e introducirse en las reuniones celebradas a través de este software. Cisco Meeting Server (anteriormente denominado “Acano”), es un software utilizado para realizar videoconferencias. Permite a los usuarios conectarse a las reuniones con diferentes clientes como Cisco Jabber, Cisco Meeting App, Skype for Business o vía WebRTC con un navegador compatible.

Windows y las actualizaciones, ¿un pionero bastante torpe?

lunes, 12 de noviembre de 2018

"La nueva actualización de Windows provoca un problema". Para muchos, esta frase puede ser mencionada casi en cualquier momento. Hoy es porque degrada la versión del sistema operativo, pero no hace mucho fue que borraba ficheros. Y es que cuando se habla de las actualizaciones de Windows, nos encontramos con un sentimiento agridulce. Si bien fue el primero en algunos aspectos que luego han terminado por adoptar muchos otros fabricantes, quizás ha sido torpe en su ejecución. Reflexionemos sobre cómo el mundo de las actualizaciones ha ido llevándonos hasta lo que actualmente es.

Windows y las actualizaciones imaegn

Stela FileTrack protagonista de la VI edición del SID 2018

miércoles, 7 de noviembre de 2018


La Unidad de Ciberseguridad de Telefónica celebra su VI Security Innovation Day, bajo el lema Game Is Never Over.
  • Stela FileTrack, la nueva solución para la protección de la información documental sensible de las organizaciones.
  • El SOC de Telefónica en Madrid, un equipo de respuesta a incidentes cualificado y experimentado 24x7. 
  • Comercialización de Faast for WordPress y mASAPP Online enfocado a la venta online. 
  • Nuevos servicios de seguridad IoT que se sustentan en la fortaleza de los SOCs de Telefónica. 
  • El VI Security Innovation Day puede seguirse por streaming a través de este enlace

Security Innovation Day 2018 también en streaming

Esta tarde a las 15:30h dará comienzo la VI edición del Security Innovation Day 2018, nuestro evento del año sobre innovación en ciberseguridad orientado a profesionales de la seguridad de la información. Cuenta con ponentes de referencia, innovación, la presentación de nuestras principales y futuras líneas estratégicas y lo podrás seguir en directo vía streaming con traducción simultánea (castellano-inglés). ¿Te lo vas a perder? Aún estás a tiempo de registrarte al streaming y seguirnos minuto a minuto en nuestro Twitter con los hashtags #SID2018 #TimeforRealSecurity y #TimeforRealInnovation dónde realizaremos además un Persicope en directo del auditorio y las salas demos.

Security Innovation Day 2018 Streaming imagen

La vulnerabilidad de elevación de privilegios de Xorg a examen

martes, 6 de noviembre de 2018

En un test de penetración, romper el perímetro y adentrarse tras las líneas enemigas es un hito importante, pero no es el último paso. Más allá de las puertas se encuentra la prueba real que separa al ocasional atacante con suerte del experimentado y curtido veterano: elevar privilegios, la obtención del uid cero, la joya de la corona del sistema, es decir, convertirse en root.

Existen bastantes exploits para alcanzar esa cima, pero ni todos son válidos en todos los contextos ni siempre se posee el conocimiento para adaptarlos a una situación particular. De vez en cuando van apareciendo técnicas y scripts para facilitar esa tarea y solo muy de vez en cuando se nos presenta un ejemplar que hace de esta tarea un juego infantil.

El estado del ciber riesgo en España

lunes, 5 de noviembre de 2018

En España, la ciberseguridad se está convirtiendo cada vez más en una prioridad para las empresas de todos los sectores. Una manera de cuantificar estas posturas de ciberseguridad es analizar los ratings sectoriales de seguridad de España con respecto a Europa. En España, los ratings de seguridad de BitSight se sitúan, de media, 119 puntos por debajo de Europa. El sector con mejor rendimiento es el inmobiliario, que tiene un rating de seguridad de 71 puntos más que la media europea. Los sectores con peor rendimiento son los servicios financieros y seguros, que se encuentran más de 200 puntos por debajo de la media europea. Dada la sensibilidad de los datos que poseen las empresas de servicios financieros, este informe sugiere que es necesaria una inversión adicional en ciberseguridad y gestión del ciber riesgo. A medida que las empresas invierten en programas de transformación digital, su exposición al riesgo aumenta y requiere una mayor inversión en la gestión del riesgo en toda su organización.

Eres menos racional de lo que crees cuando tomas decisiones de riesgo en condiciones inciertas

Te propongo el siguiente juego de azar:
  • Opción A: Te doy 1.000 € con un 100 % de probabilidad
  • Opción B: Lo echamos a suertes: si sale cara, te doy 2.000 €; si sale cruz, no te doy nada
¿Qué opción elegirías? ¿La ganancia segura o la posibilidad de ganar el doble (o nada)? Si eres como el 84 % de la población, habrás elegido la opción A, la ganancia segura.
Vale, ahora te propongo un nuevo escenario. Tienes que pagar una multa y te dan a elegir cómo hacerlo:
  • Opción A: Pagas 1.000 € de multa con un 100 % de probabilidad.
  • Opción B: Lo echan a suertes: si sale cara, pagas 2.000 € de multa; si sale cruz, te vas de rositas sin pagar ni un euro.
¿Qué opción elegirías en este caso? ¿Pagar la multa sí o sí o jugártela a suertes, pudiendo pagar nada (o el doble)? Pues en este caso, si eres como el 70 % de la población, habrás elegido la opción B.
Entonces, ¿lo estás haciendo bien? ¿Mal? Vamos a examinar ahora qué está pasando aquí desde un punto de vista puramente racional.