El futuro post-cuántico está a la vuelta de la esquina y aún no estamos preparados

martes, 29 de enero de 2019


Que cada año contemos con ordenadores más potentes con capacidad de cálculo cada vez mayor: ¿es bueno o malo? Piénsalo bien antes de responder. 

Depende, si la seguridad de la información de todo el planeta se basa en la complejidad computacional de ciertas funciones, que los ordenadores se vuelvan cada vez más rápidos será una muy, muy mala noticia.

De hecho, la espada de Damocles se cierne sobre nuestros sistemas de cifrado de clave pública: RSA, DSA, ECDSA. Su seguridad depende de la dificultad de resolver ciertos problemas matemáticos considerados hoy en día intratables, como la factorización de grandes números enteros o el logaritmo discreto. La gran promesa de la computación cuántica es que dichos problemas matemáticos se resolverán con rapidez. ¿Está herida de muerte la criptografía? ¿Hay esperanza para el mundo? ¿Podremos seguir comunicándonos de manera segura tras los primeros ordenadores cuánticos? Vayamos por partes.

Se filtra la mayor colección de usuarios y contraseñas... o no (I)

lunes, 28 de enero de 2019

De vez en cuando, alguien libera, por descuido (o no), una gigantesca colección de archivos de texto con millones de contraseñas en ellos. Un listado casi interminable de cuentas de correo acompañadas de una contraseña o su hash equivalente. Se repiten los titulares en los medios: "Se filtran millones de contraseñas…". Si bien no es un titular falso, algunas veces sí que puede llegar a ser algo engañoso. En concreto hablamos del último “leak” masivo, apodado "Collection #1".

Hemos analizado este último leak gigantesco. Más allá de "Collection #1" que ha trascendido a los medios, nos hemos hecho con un superconjunto con más de 600 gigas de contraseñas. Es tan grande que en nuestros análisis llegamos a contar más de 12.000.000.000 de combinaciones de usuarios y contraseñas en bruto. A priori, un número astronómico pero lo importante aquí es que están "en bruto". ¿Qué queda de interesante tras realizar alguna limpieza? Debemos tener en cuenta que una filtración de una filtración no es una filtración. Si hace meses o años alguien filtró una base de datos de cierto sitio, eso es un leak. Pero si alguien concatena ese archivo con otros y lo publica no es una filtración, simplemente está poniendo a disposición de Internet su colección particular de leaks.

Día Internacional de la Protección de Datos

28 enero día internacional protección de datos imagen
Como viene siendo habitual hoy, 28 de enero, celebramos el Día Internacional de la Protección de Datos. Su celebración está más de actualidad que nunca debido a las numerosas novedades normativas como la recién estrenada en España Ley Orgánica de Protección de Datos y Protección de los Derechos Digitales. 

Dicha ley adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD). Si bien es verdad que no supondrá grandes problemas de adaptación para las empresas, sí que conviene saber que se desarrollan algunos aspectos con más detalle. No es objeto de este post enumerar una lista exhaustiva de los mismos pero sí que queremos destacar algunas de las cuestiones que se especifican en la misma. Entre otros se explica la forma en que debe informarse a los interesados acerca del tratamiento que se realiza de sus datos personales a través de un sistema de capas de informació: la protección de datos de las personas fallecidas, el nuevo régimen sancionador del RGPD, y algunas cuestiones relacionadas con el Delegado de Protección de Datos, como son los supuestos en los que es necesaria su designación por parte de las organizaciones o sus atribuciones. 

Campañas de concienciación para empleados

miércoles, 23 de enero de 2019

Hoy en día está más que aceptado por las empresas que el eslabón más débil en la cadena de la ciberseguridad son los empleados. Son el objetivo de la mayor parte de campañas de ingeniería social, ya sean mediante correos electrónicos que suplantan una web legítima (phishing), mediante llamadas telefónicas suplantando a un técnico de soporte (vishing) o bien mediante ficheros adjuntos llamativos.

Campañas de concienciación as a service imagen

Universidad y empresa: El talento está ahí fuera (I)

martes, 22 de enero de 2019

En ElevenPaths perseguimos el talento. La innovación, en cualquiera de sus formas, se debe nutrir de nuevas ideas, ingenio y originalidad, sin ignorar que todo ese espíritu debe ser enfocado y plasmado en elementos prácticos para el mundo real. No son las grandes ocurrencias las que nos permitirán avanzar en ciberseguridad, sino su ejecución. Por eso es importante participar en programas de formación como Másteres, Cursos de Expertos, Grados y otras iniciativas similares donde el contacto con las ideas y propuestas de los estudiantes aportan un valor diferenciador al sector. ElevenPaths tutoriza y mentoriza muchos de estos proyectos, de forma que los estudiantes realicen desarrollos demandados por el mercado. A su vez, estas actividades son una gran oportunidad para mejorar nuestras capacidades y renovar nuestra visión tecnológica, así como ese espíritu innovador que nos define.

Comenzamos una serie donde destacaremos los proyectos más relevantes sacados de estas colaboraciones con universidades.

Universidad y empresa: El talento está ahí fuera (I) imagen

Comenzamos con dos proyectos tutorizados del Máster en Ciberseguridad por la UCAM (Unversidad Católica San Antonio de Murcia). El primero es una propuesta de Diodo de Datos y el segundo trata sobre la obtención y análisis de IOCs inteligente. Los autores (José Luis Domínguez, y José Luis Sánchez, respectivamente) describen sus proyectos a continuación.

#CyberSecurityPulse, ahora la actualidad técnica se encuentra en nuestro nuevo canal de Telegram

lunes, 21 de enero de 2019

#CyberSecurityPulse imagen

#CyberSecurityPulse nació como una lista de correo de ElevenPaths donde dos veces al mes se repasaba la actualidad de la ciberseguridad. Pero a partir de ahora, se transforma en un canal de Telegram de difusión donde publicaremos una síntesis de las noticias que consideremos más interesantes en el mundo de la ciberseguridad.

Who is Who at ElevenPaths: conoce a Pablo Alarcón

viernes, 18 de enero de 2019

Pablo Alarcón partners imagen

¿Sabías que en ElevenPaths tenemos un equipo de alianzas? Hoy os presentamos a Pablo Alarcón, Global Strategic Alliances Manager de ElevenPaths. En Alianzas se encargan de crear, fortalecer y mantener las relaciones con nuestros principales socios, actividad totalmente necesaria si queremos que la Unidad de Ciberseguridad de Telefónica siga creciendo.

Analizando el impacto de las vulnerabilidades FakesApp y descifrando el tráfico de WhatsApp Web con “Whatsapp Decoder” (Parte 1/2)

jueves, 17 de enero de 2019


Según los investigadores de CheckPoint, las vulnerabilidades descubiertas permitían interceptar y manipular los mensajes que se enviaban, tanto en conversaciones privadas como en grupos. Esto abría la puerta a diferentes tipos de ataques orientados a intentar distribuir fakes news o información falsa utilizando este popular sistema de mensajería. En el post original donde exponían su trabajo, describían tres posibles escenarios de ataque que mostraban cómo combinando las vulnerabilidades descubiertas y la ingeniería social se puede engañar a los usuarios y hacerles llegar contenido falso.

Los mensajes que se podían manipular eran los que se recibían en una sesión WhatsApp Web, al ser transferidos del móvil al navegador. En este momento, el atacante podría interceptar los mensajes que recibía para modificar el contenido enviado por el remitente en su propia sesión de WhatsApp Web. La vulnerabilidad estaba en que, si el atacante respondía al remitente tras haber modificado su mensaje y utilizaba la función de “quote” (la de citar el mensaje en la respuesta), al recibir dicha respuesta el remitente vería en la cita el texto modificado por el atacante, en lugar del que él envió. En esencia, el atacante conseguiría poner palabras en boca del remitente que jamás pronunció. Esto podría generar confusión y algún quebradero de cabeza, aunque el remitente fuera consciente de que él jamás envió el mensaje que aparece como suyo en la cita de la respuesta.

Detectamos una extensión activa desde febrero en Chrome Web Store que roba tarjetas de crédito

martes, 15 de enero de 2019

Hemos detectado una extensión para Google Chrome, aún activa, que roba los datos de los formularios de las páginas que son visitadas por las víctimas. El complemento, que aún se encuentra disponible en el market de extensiones para Chrome, lleva activo desde febrero del año pasado. Está oculto a las búsquedas en la Web Store, y solo puede accederse a través de un enlace que los atacantes están distribuyendo por medio de ataques de inyección de JavaScript en webs que los redirige a él.

Chrome web store Javascript ciberseguridad imagen



#CyberSecurityReport18H2, nuestro nuevo informe periódico sobre ciberseguridad

lunes, 14 de enero de 2019

Es cierto que existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. En el equipo de innovación y laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la segunda mitad de 2018. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad. Está pensado para ser consumido tanto por profesionales como aficionados, de una manera sencilla y visualmente atractiva. Explicamos algunos de los datos de esta primera edición, que tendrá continuidad y, sin duda, mejoras futuras.

Aunque actualmente existe una sobreexposición de información sobre ciberseguridad, esto no significa que se entienda, se analice correctamente y por tanto se aproveche esta avalancha de información para mejorar los procesos y ser menos vulnerables. La falta de información es tan perjudicial como su exceso. No solo se debe estar al día e informar, sino que es necesario analizar y saber priorizar, conocer qué es importante y por qué.

Who is Who at ElevenPaths: Marian García

viernes, 11 de enero de 2019

Who is Who at ElevenPaths: Marian García imagen

Después de la vuelta de Navidad, volvemos con nuestra campaña Who is Who para que conozcáis a todas las personas que estamos detrás del gran equipo de ElevenPaths. Hoy presentamos a Marian García, Responsable de Oferta Integrada en Go To Market. ¡Conócela!

GSMA IoT Webinars dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM to Create a Trusted IoT”

jueves, 10 de enero de 2019

Webinar sobre GSMA IoT: SIM-ply Secure - Aprovechando la SIM para crear un IO de confianza imagen

El próximo 23 de enero a las 16:00h, la GSMA presenta este webinar de IoT en inglés dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM to Create a Trusted IoT" , presentado por cuatro profesionales y expertos en seguridad de IoT. Miguel Ángel Recio, IoT Security Product Manager de Telefónica será uno de los expertos que mostrará nuestra línea de trabajo en Telefónica para simplificar a nuestros clientes la administración de credenciales en sus dispositivos IoT. Además de esto, explicaremos cómo podemos proporcionar un servicio basado en nuestros activos de red y en el uso de la SIM como “Root of Trust” seguro para provisionar y almacenar certificados necesarios para interactuar con plataformas IoT en la nube.

No, 2019 no será el año en el que los ordenadores cuánticos acaben con la criptografía que todos usamos

martes, 8 de enero de 2019

ordenadores cuanticos ciberseguridad imagen

¿Qué pasaría si hoy mismo entrara en funcionamiento un ordenador cuántico de varios miles de qubits lógicos y sin errores? Las infraestructuras de clave pública colapsarían. Los secretos del mundo quedarían al descubierto. Reinaría el caos. ¿Cuán lejos o cerca queda ese día? ¿Cómo afectaría a nuestra criptografía? ¿Qué hacer para proteger nuestra información confidencial ante el inminente advenimiento de los ordenadores cuánticos?

IPFS, la nueva web resiliente

viernes, 4 de enero de 2019

IPFS web estructura distribuida imagen

Cuando analizamos detalladamente cómo funciona la entrega de contenido web en la actualidad, nos damos cuenta que las arquitecturas de estos servicios muchas veces son poco eficientes e inseguras. En varios de nuestros talks ya hemos analizado diferentes amenazas y mecanismos de protección pero hoy, queremos hablar de algunos de los problemas y necesidades que nos podemos encontrar al respecto: