Top 5: los posts más leídos en 2018

lunes, 31 de diciembre de 2018

 Top 5: los posts más leídos en 2018 imagen

Ya hemos llegado al último mes del 2018, un año en el que hemos seguido creciendo gracias a todos vosotros. Llegados a final de mes, toca repasar los post más leídos del blog de ElevenPaths. O en otras palabras, los post que más han interesado a nuestra comunidad de lectores. Si se te ha pasado algún post y tienes días festivos, aprovecha para ponerte al día de lo más interesante de nuestro blog.

Aquí te los presentamos, para que puedas volver a disfrutar de su lectura. ¡A leer hackers!

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (3/3)

viernes, 28 de diciembre de 2018

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (3/3) imagen

Antes de hablar de los algoritmos de cifrados recomendados, por ejemplo, para SQL y Oracle, y los que están en desuso, vamos a explicar los algoritmos de cifrado a utilizar, incidiendo en los tipos de algoritmos simétricos y asimétricos, ya que por ejemplo Oracle soporta los dos tipos. 

Como veremos mas adelante, el simétrico usa la misma clave para encriptar y desencriptar y ambas están disponibles. El asimétrico, en cambio, usa dos claves, una publica para encriptar y una privada para desencriptar, tanto al hacer login en la BBDD como en la comunicación entre la misma BBDD servidor y cliente.

Buscando el “lado oscuro” de los aplicativos cliente/servidor

jueves, 27 de diciembre de 2018

En la actualidad, cuando se evalúa la seguridad de las empresas, por lo general, dentro de los vectores de ataque, está muy presente por parte de los auditores las tecnologías más actuales como: aplicaciones web, dispositivos de red, aplicaciones móviles, IoT (Internet of Things), VoIP, entre otros. En este artículo, no pretendemos hablar de esas tecnologías, sino más bien enfocarnos en algunas que han existido por mucho tiempo y siguen operando en muchas de las empresas. 

A las que estamos haciendo referencia es a los aplicativos conocidos como cliente/servidor o también con diferentes nombres –en inglés– como ‘Fat Client’, ‘Heavy Client’, ‘Rich Client’, ‘Thick Client’... Todas, por lo general, siguen una arquitectura cliente servidor. Estos aplicativos son desarrollados ‘in-house’ o por terceros e implementados por las empresas en las estaciones de trabajo de sus usuarios. Por ejemplo, una persona del área de contabilidad hace uso de un cliente instalado en su computador para realizar sus procesos contables que están en frecuente comunicación con el servidor central de este aplicativo. 

Foca Files Finder, nuestra nueva extensión de Chrome para alimentar la FOCA

martes, 25 de diciembre de 2018

Hemos creado una extensión de Chrome muy sencilla llamada Foca Files Finder. Utilizando la tecnología de Bing de la que ya se aprovecha la FOCA, realiza una búsqueda de documentos en el dominio en el que ese momento se esté visitando con Chrome. Esta lista (limitada a 50) queda accesible de forma rápida desde el propio navegador. Es posible exportarla a un fichero TXT que a su vez puede ser consumido por la FOCA.

Entre las opciones disponibles, se puede elegir qué tipo de documentos buscar. Y además, si quieres puedes hacerlo de forma automática sin necesidad de pulsar el botón de la extensión. Si esto ocurre, cada vez que se visite un dominio, aparecerá un indicador en el icono de la FOCA con el número de documentos potencialmente encontrados.

Foca Files Finder, nuestra nueva extensión de Chrome para alimentar la FOCA imagen

Frustración del mantenimiento open source como superficie de ataque

lunes, 24 de diciembre de 2018

Introducción
El mundo del desarrollo ha evolucionado mucho a lo largo de los últimos años. Cada vez es más frecuente encontrarse en un escenario basado en componentes, módulos y librerías de terceros que ayudan a resolver de forma efectiva ciertas problemáticas comunes de los proyectos de software y que permiten agilizar de forma significativa los tiempos de desarrollo.

Si bien las ventajas de esa reutilización de componentes son evidentes y no deben ponerse en duda, la realidad es que a su vez generan una serie de riesgos que deben ser tenidos en cuenta. Por hacer un símil, se trata de un modelo de responsabilidad compartido frente a vulnerabilidades y potenciales ataques similar al que nos encontramos en el mundo cloud en sus distintas vertientes IaaS, PaaS o SaaS.

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (2/3)

viernes, 21 de diciembre de 2018

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (2/3) imagen

Bien, ya nos hemos acercado a la norma y tenemos claro que a nivel regulatorio el cifrado de datos es un “must have”. Ahora vamos a dedicar un momento a saber algo más acerca del cifrado a nivel de archivos, de disco, etc., pero vamos a centrarnos en el cifrado de las BBDD, de aquellas que cumplen la norma y cómo hacerlo. Aun se usan en las empresas aplicaciones de terceros que no soportan el cifrado en sus bases de datos, por lo que la primera recomendación lógica es la siguiente:

Who is Who at ElevenPaths: conoce a Javier Plaza

Who is Who at ElevenPaths: conoce a Javier Plaza imagen

En el Who is Who de hoy vamos a conocer a Javier Plaza, Product Manager de Vamps, que define a  un hacker como alguien que rompe con lo establecido, con la forma habitual de hacer las cosas. ¡Te lo presentamos aquí! 

Nuevo informe: Detección de botnets en Twitter durante eventos deportivos

jueves, 20 de diciembre de 2018

Nuevo informe: Detección de botnets en Twitter durante eventos deportivos imagen

Una botnet es un número de dispositivos conectados a Internet, cada uno de los cuales está ejecutando uno o más bots. Las botnets pueden utilizarse para realizar ataques DDoS, robar datos, enviar spam y permitir al atacante acceder al dispositivo y a su conexión. El propietario puede controlar la botnet mediante C&C.

Felices Alianzas y breve resumen del año 2018

Felices Alianzas y breve resumen del año 2018 imagen

Queremos aprovechar estas fechas para felicitar las fiestas navideñas y desear un próspero año nuevo a todos nuestros socios y aliados. Además, queremos agradecerles su continuo soporte y dedicación a lo largo del año, contribuyendo a desarrollar servicios de seguridad innovadores y disruptivos, facilitando la integración conjunta de soluciones, y en definitiva, por sumar capacidades de seguridad de vanguardia que permiten a nuestros clientes hacer frente a los retos de seguridad, de la gestión de riesgos y del cumplimiento normativo. ¡Gracias!

Segunda Edición de #GirlsInspireTech18: el laboratorio tecnológico para hijas de empleados de Telefónica

miércoles, 19 de diciembre de 2018

Segunda Edición de #GirlsInspireTech18: el laboratorio tecnológico para hijas de empleados de Telefónica imagen

Las sociedades se transforman cada vez más deprisa. Cuanto mayor es la innovación mayor es la capacidad de cambio en una sociedad. Sin embargo, esta transformación acelerada abre importantes incógnitas, ya que es capaz de generar grandes desigualdades. ¿Cómo nos afecta en función de la edad, la geografía, o el género?

Desde Telefónica creemos que para crear tecnología hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Por eso, el sábado 15 de diciembre celebramos el evento Girls Inspire Tech 2018, una iniciativa liderada por las #MujeresHacker que trabajan en Telefónica.

Nos despedimos de la comunidad de ElevenPaths

Página principal de la comunidad de ElevenPaths imagenDesde ElevenPaths pusimos en marcha una plataforma donde poder reunir y compartir el conocimiento en ciberseguridad y que sirviese como punto de encuentro en el que difundir las últimas novedades y tendencias del mundo de la seguridad informática, investigaciones, asistencia a eventos y cualquier inquietud relacionada con el sector. Gracias al apoyo y ayuda de todas las personas que formamos parte de esta comunidad hemos compartido contenido sobre código, casos de uso de herramientas y mucha información útil que esperamos os haya resultado interesante, pero la inmediatez de las nuevas formas de interacción con nuestras audiencias, ha terminado modificando la manera en la que nos comunicamos con la mayor parte de vosotros, dejando a la Comunidad en un segundo plano.

Presentamos nuestra tecnología JAWS: controla el JavaScript malicioso a través de un plugin con inteligencia colaborativa

lunes, 17 de diciembre de 2018

El navegador es la gran puerta de entrada de muchas amenazas. En los últimos años, a través de JavaScript, hemos asistido a la moda de la minería no autorizada, de los skimmers virtuales para robar tarjetas de crédito… JavaScript además es la base de muchos otros tipos de ataques. Pero sin él, la experiencia web sería muy diferente. Para colmo, la detección por parte de los antivirus de código JavaScript es pobre por definición, puesto que no es su campo especializado de acción, pocas veces toca disco, y además por su naturaleza el propio código permite pasar bastante desapercibido. Hemos desarrollado una tecnología que permite una aproximación diferente para intentar solucionar este problema.


Who is Who at ElevenPaths: conoce a Marina Bezares

viernes, 14 de diciembre de 2018


En el Who is Who de hoy vamos a presentar a Marina Bezares, Product Engineer de Metashield que comenzó a trabajar en ElevenPaths nada más nacer la Unidad de Ciberseguridad. ¡Conócela!

Segunda Edición de Women in Cybersecurity of Spain organizada por Telefónica

egunda Edición de Women in Cybersecurity of Spain organizada por Telefónica imagen

El pasado martes, 11 de diciembre, celebramos en el Edificio Central de Telefónica Madrid la Segunda Edición de Women in Cybersecurity of Spain (WiCS). Este encuentro nace con el objetivo de ser un referente para impulsar la diversidad de género en el sector de la ciberseguridad en España.

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (1/3)

miércoles, 12 de diciembre de 2018

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (1/3) imagen

Desde la entrada en vigor del nuevo reglamento europeo de protección dedatos (RGPD), y sobre su famoso articulo 32, concretamente la parte que habla de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, mucho se ha dicho y se ha escrito acerca de la obligatoriedad del cifrado de las bases de datos (BBDD), aunque mas allá del debate, es estrictamente recomendable hacerlo ya que la propia RGPD, en su articulo 34, establece la no obligatoriedad de comunicar un incidente de seguridad si los datos están cifrados, que como sabéis, es obligatorio hacerlo en las primeras 72 horas, tanto a la Agencia Española de Protección de Datos (AEPD) como al interesado, recogido en los art. 33 y 34.

En qué consiste AuthCode, nuestro premiado sistema de autenticación continua, desarrollado junto a la Universidad de Murcia

martes, 11 de diciembre de 2018

Los sistemas de autenticación continua en dispositivos móviles tienen como objetivo la identificación del comportamiento de un usuario a través de la interacción de con su dispositivo. El principal beneficio de este tipo de autenticación es la mejora de la experiencia de usuario cuando hace uso de los servicios o aplicaciones de su dispositivo móvil, sin intrusiones. Fruto de una investigación conjunta con la Universidad de Murcia desarrollamos el proyecto AuthCode. Ha alcanzado un estado de madurez que permitió presentarla en el Security Innovation Day 2018, además de ser galardonada con varios premios y publicaciones. Vamos a explicar en qué consiste con algo más de detalle.



La autenticación continua evita, en la mayor parte de los casos, tener que hacer uso de la contraseña, patrón de acceso, reconocimiento biométrico, etc. cuando se quiere acceder a una aplicación o servicio que requiere autenticación. En este sentido, tener autenticado al usuario de forma permanente aumenta la seguridad del individuo respecto a las operaciones realizadas en el dispositivo. Además, podemos aprovechar ese estado continuo de confianza para permitir que la interacción del usuario con aplicaciones sea mucho más fluida y sencilla, mejorando con ello la experiencia del usuario.

El Sesgo de Confirmación: buscamos la información que nos reasegura en nuestras decisiones descartando la evidencia en contra

lunes, 10 de diciembre de 2018

Imagínate que estás en un laboratorio durante un experimento. Te piden que examines esta serie numérica:
2, 4, 6

La serie obedece una cierta regla. ¿Cuál crees que es? Puedes elegir más secuencias de tres números, decírselas al experimentador y te confirmará si obedecen o no la regla. Puedes proponerle tantas nuevas secuencias de tres números como quieras. En cuanto estés seguro, tienes que anunciarle la regla y él te dirá si la has adivinado o no. 

Pues bien. ¿Cuál es la primera secuencia de tres números que propondrías para deducir cuál es la regla que obedece la secuencia 2, 4, 6? Antes de seguir leyendo, por favor, piénsalo bien. ¿Qué tres números usarías? 

Piénsalo un poco más..., no leas aún la respuesta...

Qué hemos presentado en el Security Innovation Day 2018: Corporate Fake News (V)

viernes, 7 de diciembre de 2018



Para poner punto y final al Security Innovation Day 2018, Chema Alonso, Chief Data Officer de Telefónica) y Chairman de ElevenPaths junto con Martina Matarí, Incident Responder CSIRT Global de Telefónica, presentaron esta charla en la que analizaron el fenómeno de las Corporate FakeNews APT, mostrando el proceso completo que siguen los atacantes, primero, para extraer los datos de los usuarios a los que dirigirán la noticia y segundo, para confeccionar esa fake new por medio de la combinación de tecnologías muy conocidas con algunas novedosas como el deepfake.

Who is Who at ElevenPaths: conoce a José Ramón Palanco

Who is who at ElevenPaths: José Ramón Palanco imagen

Damos la bienvenida a una nueva sección en nuestro blog en la que daremos cabida a todos los profesionales que hacen realidad la magia e innovación de la Unidad de Ciberseguridad de Telefónica, ElevenPaths: Who is Who at ElevenPaths.

Comenzando hoy, y cada viernes, hablaremos de un integrante de nuestro gran equipo de expertos para dar a conocer la plantilla que tenemos. Hoy presentamos a José Ramón Palanco.

ElevenPaths Talks: Gestión de seguridad en dispositivos móviles

miércoles, 5 de diciembre de 2018

ElevenPaths Talks: Gestión de seguridad en dispositivos móviles imagen

¿Preparados para el último #11PathsTalks del año? Nuestros Chief Security Ambassadors (CSAs), junto a un invitado especial, hablan sobre cómo gestionar la seguridad en tus dispositivos móviles, bien personales o corporativos. Todas las personas nos pasamos horas al día con nuestro teléfono móvil entre manos, navegando por la red, compartiendo imágenes y ficheros, etc. Es por esto que hemos preparado este webinar para que aprendáis a gestionar cada dispositivo, bien personal como empresarial.

Qué hemos presentado en el Security Innovation Day 2018: Stela FileTrack, el control de la información sensible (IV)


En este post hablaremos de la parte centrada en el nuevo producto estrella de la Unidad de Ciberseguridad de Telefónica, Stela FileTrack. Rames Sarwat, VP de Alianzas Estratégicas en ElevenPaths, junto a Yaiza Rubio, Analista de Seguridad, expusieron el pasado Security Innovation Day para presentar a todo el público esta nueva solución dedicada a la protección de la información documental sensible de las organizaciones.

Breve e incompleta historia de las contraseñas, aliados y enemigos (II)

martes, 4 de diciembre de 2018

Vale, pero entonces ¿Cómo deben ser las contraseñas para que sean seguras? Hemos de tener en cuenta algunos factores. En primer lugar, la contraseña no es más que un parámetro más que se le va a pasar a una función que va a generar el hash, que a su vez se depositará en la base de datos. Por lo tanto, si un atacante posee el conocimiento o datos para derivar u obtener el resto de los parámetros, su ataque se restringe a dar con una cadena que finalmente nos devuelva el hash deseado. Así, la contraseña es un valioso recurso que va a influir a su manera en la seguridad o resistencia al ataque.

Rara vez será que una contraseña se almacena cifrada mediante clave simétrica. ¿Alguna vez habéis recibido un correo de recordatorio de contraseña con la contraseña en claro? Pecado capital. Otro aspecto importante es el universo de caracteres permitidos y su mensaje sospechoso de "no utilizar caracteres que no sean alfanuméricos" o "su contraseña tiene caracteres no válidos". Esto indica que las cosas no se están haciendo de forma óptima.

Breve e incompleta historia de las contraseñas, aliados y enemigos imagen
https://imgs.xkcd.com/comics/password_strength.png

Programa ElevenPaths CSE

lunes, 3 de diciembre de 2018

Programa CSE imagen

Como sabéis en ElevenPaths siempre apostamos por el talento y la pasión por la tecnología. Por ello, hoy queremos haceros partícipes de un nuevo programa que pondremos en funcionamiento a principios de enero: Programa CSE (Chief Security Envoy).

Este programa supone una oportunidad de reconocimiento y apoyo a los excelentes profesionales de seguridad que forman parte del sector y disfrutan compartiendo su conocimiento con la comunidad. 

Ya hemos ordenado nuestro universo. Solución al reto de ElevenPaths de la semana anterior

Ya hemos ordenado nuestro universo. Solución al reto de ElevenPaths de la semana anterior imagen

El lunes anterior os pedíamos poner orden en el universo criptográfico de ElevenPaths. Se trataba de un juego con unas reglas sencillas: el primero que descubriese el mensaje secreto en las imágenes ganaría 111 euros. Este tipo de retos ya los hemos propuesto anteriormente, y ahora hemos optado por jugar con la criptografía visual y secretos compartidos.