Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (1/3)

miércoles, 12 de diciembre de 2018

Las Bases de Datos y el RGPD...¡Vamos a Cifrar! (1/3) imagen

Desde la entrada en vigor del nuevo reglamento europeo de protección dedatos (RGPD), y sobre su famoso articulo 32, concretamente la parte que habla de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, mucho se ha dicho y se ha escrito acerca de la obligatoriedad del cifrado de las bases de datos (BBDD), aunque mas allá del debate, es estrictamente recomendable hacerlo ya que la propia RGPD, en su articulo 34, establece la no obligatoriedad de comunicar un incidente de seguridad si los datos están cifrados, que como sabéis, es obligatorio hacerlo en las primeras 72 horas, tanto a la Agencia Española de Protección de Datos (AEPD) como al interesado, recogido en los art. 33 y 34.

En qué consiste AuthCode, nuestro premiado sistema de autenticación continua, desarrollado junto a la Universidad de Murcia

martes, 11 de diciembre de 2018

Los sistemas de autenticación continua en dispositivos móviles tienen como objetivo la identificación del comportamiento de un usuario a través de la interacción de con su dispositivo. El principal beneficio de este tipo de autenticación es la mejora de la experiencia de usuario cuando hace uso de los servicios o aplicaciones de su dispositivo móvil, sin intrusiones. Fruto de una investigación conjunta con la Universidad de Murcia desarrollamos el proyecto AuthCode. Ha alcanzado un estado de madurez que permitió presentarla en el Security Innovation Day 2018, además de ser galardonada con varios premios y publicaciones. Vamos a explicar en qué consiste con algo más de detalle.



La autenticación continua evita, en la mayor parte de los casos, tener que hacer uso de la contraseña, patrón de acceso, reconocimiento biométrico, etc. cuando se quiere acceder a una aplicación o servicio que requiere autenticación. En este sentido, tener autenticado al usuario de forma permanente aumenta la seguridad del individuo respecto a las operaciones realizadas en el dispositivo. Además, podemos aprovechar ese estado continuo de confianza para permitir que la interacción del usuario con aplicaciones sea mucho más fluida y sencilla, mejorando con ello la experiencia del usuario.

El Sesgo de Confirmación: buscamos la información que nos reasegura en nuestras decisiones descartando la evidencia en contra

lunes, 10 de diciembre de 2018

Imagínate que estás en un laboratorio durante un experimento. Te piden que examines esta serie numérica:
2, 4, 6

La serie obedece una cierta regla. ¿Cuál crees que es? Puedes elegir más secuencias de tres números, decírselas al experimentador y te confirmará si obedecen o no la regla. Puedes proponerle tantas nuevas secuencias de tres números como quieras. En cuanto estés seguro, tienes que anunciarle la regla y él te dirá si la has adivinado o no. 

Pues bien. ¿Cuál es la primera secuencia de tres números que propondrías para deducir cuál es la regla que obedece la secuencia 2, 4, 6? Antes de seguir leyendo, por favor, piénsalo bien. ¿Qué tres números usarías? 

Piénsalo un poco más..., no leas aún la respuesta...

Qué hemos presentado en el Security Innovation Day 2018: Corporate Fake News (V)

viernes, 7 de diciembre de 2018



Para poner punto y final al Security Innovation Day 2018, Chema Alonso, Chief Data Officer de Telefónica) y Chairman de ElevenPaths junto con Martina Matarí, Incident Responder CSIRT Global de Telefónica, presentaron esta charla en la que analizaron el fenómeno de las Corporate FakeNews APT, mostrando el proceso completo que siguen los atacantes, primero, para extraer los datos de los usuarios a los que dirigirán la noticia y segundo, para confeccionar esa fake new por medio de la combinación de tecnologías muy conocidas con algunas novedosas como el deepfake.

Who is Who at ElevenPaths: conoce a José Ramón Palanco

Who is who at ElevenPaths: José Ramón Palanco imagen

Damos la bienvenida a una nueva sección en nuestro blog en la que daremos cabida a todos los profesionales que hacen realidad la magia e innovación de la Unidad de Ciberseguridad de Telefónica, ElevenPaths: Who is Who at ElevenPaths.

Comenzando hoy, y cada viernes, hablaremos de un integrante de nuestro gran equipo de expertos para dar a conocer la plantilla que tenemos. Hoy presentamos a José Ramón Palanco.

ElevenPaths Talks: Gestión de seguridad en dispositivos móviles

miércoles, 5 de diciembre de 2018

ElevenPaths Talks: Gestión de seguridad en dispositivos móviles imagen

¿Preparados para el último #11PathsTalks del año? Nuestros Chief Security Ambassadors (CSAs), junto a un invitado especial, hablan sobre cómo gestionar la seguridad en tus dispositivos móviles, bien personales o corporativos. Todas las personas nos pasamos horas al día con nuestro teléfono móvil entre manos, navegando por la red, compartiendo imágenes y ficheros, etc. Es por esto que hemos preparado este webinar para que aprendáis a gestionar cada dispositivo, bien personal como empresarial.

Qué hemos presentado en el Security Innovation Day 2018: Stela FileTrack, el control de la información sensible (IV)


En este post hablaremos de la parte centrada en el nuevo producto estrella de la Unidad de Ciberseguridad de Telefónica, Stela FileTrack. Rames Sarwat, VP de Alianzas Estratégicas en ElevenPaths, junto a Yaiza Rubio, Analista de Seguridad, expusieron el pasado Security Innovation Day para presentar a todo el público esta nueva solución dedicada a la protección de la información documental sensible de las organizaciones.

Breve e incompleta historia de las contraseñas, aliados y enemigos (II)

martes, 4 de diciembre de 2018

Vale, pero entonces ¿Cómo deben ser las contraseñas para que sean seguras? Hemos de tener en cuenta algunos factores. En primer lugar, la contraseña no es más que un parámetro más que se le va a pasar a una función que va a generar el hash, que a su vez se depositará en la base de datos. Por lo tanto, si un atacante posee el conocimiento o datos para derivar u obtener el resto de los parámetros, su ataque se restringe a dar con una cadena que finalmente nos devuelva el hash deseado. Así, la contraseña es un valioso recurso que va a influir a su manera en la seguridad o resistencia al ataque.

Rara vez será que una contraseña se almacena cifrada mediante clave simétrica. ¿Alguna vez habéis recibido un correo de recordatorio de contraseña con la contraseña en claro? Pecado capital. Otro aspecto importante es el universo de caracteres permitidos y su mensaje sospechoso de "no utilizar caracteres que no sean alfanuméricos" o "su contraseña tiene caracteres no válidos". Esto indica que las cosas no se están haciendo de forma óptima.

Breve e incompleta historia de las contraseñas, aliados y enemigos imagen
https://imgs.xkcd.com/comics/password_strength.png

Programa ElevenPaths CSE

lunes, 3 de diciembre de 2018

Programa CSE imagen

Como sabéis en ElevenPaths siempre apostamos por el talento y la pasión por la tecnología. Por ello, hoy queremos haceros partícipes de un nuevo programa que pondremos en funcionamiento a principios de enero: Programa CSE (Chief Security Envoy).

Este programa supone una oportunidad de reconocimiento y apoyo a los excelentes profesionales de seguridad que forman parte del sector y disfrutan compartiendo su conocimiento con la comunidad. 

Ya hemos ordenado nuestro universo. Solución al reto de ElevenPaths de la semana anterior

Ya hemos ordenado nuestro universo. Solución al reto de ElevenPaths de la semana anterior imagen

El lunes anterior os pedíamos poner orden en el universo criptográfico de ElevenPaths. Se trataba de un juego con unas reglas sencillas: el primero que descubriese el mensaje secreto en las imágenes ganaría 111 euros. Este tipo de retos ya los hemos propuesto anteriormente, y ahora hemos optado por jugar con la criptografía visual y secretos compartidos.