ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 20-24 de enero Las noticias de ciberseguridad más destacadas de la última semana reunidas en este informe realizado por nuestros expertos del Security Cyberoperations Center.
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
ElevenPaths Qué hemos presentado en el Security Innovation Day 2017 (IV): Innovation: A Path to Success “Cuando nos preguntan qué tipo de trabajo realizamos desde el área de innovación y laboratorio de ElevenPaths y cómo funcionamos, cada uno de los interlocutores traslada consigo una idea...
ElevenPaths Primer aniversario de la Cyber Threat Alliance La necesidad de datos de seguridad relevantes ha experimentado un aumento constante, dado que la gestión de la seguridad de la información se está convirtiendo en un componente clave...
Gonzalo Álvarez de Marañón SHA-1 no celebrará más cumpleaños, ha muerto En este post te contámos por qué el algoritmo SHA-1 ha acabado por considerarse completamente inseguro.
ElevenPaths ¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio Presentamos un nuevo programa de ElevenPaths Radio. La actualidad en ciberseguridad más destacada analizada por nuestros Chief Security Ambassadors.
ElevenPaths Cómo lanzar escaneos con Faast Faast incorpora pentesting 24×7, es decir, añade un modo de pentesting persistente que estará en funcionamiento las 24 horas de los siete días de la semana. Esto supone un...
ElevenPaths Accediendo (y “hackeando”) el registro de Windows Phone Aunque Microsoft se esfuerza en proteger Windows Phone 8 de los hacks de la comunidad, acceder al registro de los dispositivos todavía es posible con algunas limitaciones. Escribir en...
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
ElevenPaths ¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio Presentamos un nuevo programa de ElevenPaths Radio. La actualidad en ciberseguridad más destacada analizada por nuestros Chief Security Ambassadors.
Gonzalo Álvarez de Marañón Cómo el marmitako de bonito te ayudará a interpretar los resultados de pruebas, tests y evaluaciones El 15 de agosto se celebra en España la fiesta de la Asunción. Ese día, en la villa costera de Castro Urdiales se convoca un concurso de marmitako de...
ElevenPaths Estos son nuestros ElevenPaths CSEs en Ecuador Desde ElevenPaths queremos reconocer a profesionales del sector con la figura de nuestros ElevenPaths CSE, esta vez en Ecuador. ¡Conócelos!
Campañas de concienciación para empleadosNacho Brihuega 23 enero, 2019 Hoy en día está más que aceptado por las empresas que el eslabón más débil en la cadena de la ciberseguridad son los empleados. Son el objetivo de la mayor parte de campañas de ingeniería social, ya sean mediante correos electrónicos que suplantan una web legítima (phishing), mediante llamadas telefónicas suplantando a un técnico de soporte (vishing) o bien mediante ficheros adjuntos llamativos. Al hablar de Ingeniería Social es inevitable acordarse de los 4 principios que indicaba Kevin Mitnick: Todos queremos ayudar El primer movimiento es siempre de confianza hacia el otro No nos gusta decir No A todos nos gusta que nos alaben Sin embargo, al final, las personas aprendemos de los fallos y siempre es mejor hacer simulacros mediante campañas de concienciación controladas antes de ser víctimas de ellas. De esta manera, se pueden aplicar las siguientes campañas: Campañas de phishing. Envío masivo de correos a las posibles víctimas con un enlace para que accedan a una página web suplantada con un aspecto visual casi exacto al sitio suplantado. El objetivo es robar las credenciales de los empleados.Del mismo modo, cuando el empleado cae en la “trampa”, se le redirecciona a una web indicándole que ha sido víctima, pero por suerte esta vez se basa en un simulacro y se le facilita una serie de recomendaciones y consejos para no volver a caer.En función de la complejidad que se quiere aplicar a la campaña de phishing, se pueden aplicar técnicas de typosquating o cybersquating, o directamente el envío a directivos o personal VIP (Spear-phishing) a los que anteriormente se ha estudiado. Campañas de vishing. La técnica de vishing se basa en mediante llamadas telefónicas ganarse la confianza del oyente y obtener información.Por ejemplo, la suplantación de un técnico de soporte que llama a los empleados para la revisión de equipos y solicita información como versión del sistema operativo, dirección IP, qué antivirus tiene,…o hasta introduce “esto” en el terminal.Como buen fan de Mr Robot, os dejo este vídeo en el que se aplica algo similar pero físicamente. Campañas de smshing. Son similares a la de phishing tradicional, salvo con la diferencia que la recepción del contenido con el enlace sospechoso es a través de un SMS del dispositivo móvil. Campañas de ficheros adjuntos. Estas campañas se basan en el envío de correos electrónicos con ficheros adjuntos. El objetivo es que el empleado descargué dichos adjuntos y los abra.Por ejemplo, se pueden añadir ficheros como documentos pdf, Excel o PowerPoint sobre descuentos.En el caso de ficheros de Office, la idea es inyectar código PowerShell en las macros, de tal manera que se invitará al empleado a habilitar las macros para poder visualizar correctamente el documento. Campañas de USB maliciosos. A diferencia de las anteriores, requiere acudir físicamente a las oficinas del cliente y repartir un par de dispositivos USB en zonas concurridas (máquina del café o agua, impresoras, áreas de descanso…).Se pueden dividir dos categorías: USB estándar: Es similar a la campaña de ficheros adjuntos, pero a diferencia de la anterior, se conecta el USB con el fichero malicioso almacenado. El “cebo” es introducir un nombre muy llamativo como nómina del CEO, para que los empleados cliquen por curiosidad, aun sabiendo que no deberían. Fake USB: Se base introducir un falso USB, pero que realmente se comporta como un teclado que ejecuta una serie de comandos como el acceso a una web controlada por los atacantes o la descarga de cierto programa. Para más información, os dejo un enlace de un compañero de Telefónica que lo explica perfectamente. Finalmente, la aplicación de esta serie de campañas de concienciación le sirve a las empresas para identificar el nivel de concienciación de sus empleados, así como detectar qué departamentos o particulares requieren formaciones en materia de concienciación más específica. Adicionalmente, es una medida para revisar los procedimientos internos de actuación ante incidentes, revisar los filtros de spam, configuraciones por defecto de equipos o móviles y controles de acceso al edificio. Universidad y empresa: El talento está ahí fuera (I)Se filtra la mayor colección de usuarios y contraseñas… o no (I)
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 20-24 de enero Las noticias de ciberseguridad más destacadas de la última semana reunidas en este informe realizado por nuestros expertos del Security Cyberoperations Center.
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
Gonzalo Álvarez de Marañón SHA-1 no celebrará más cumpleaños, ha muerto En este post te contámos por qué el algoritmo SHA-1 ha acabado por considerarse completamente inseguro.
ElevenPaths ¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio Presentamos un nuevo programa de ElevenPaths Radio. La actualidad en ciberseguridad más destacada analizada por nuestros Chief Security Ambassadors.
Gonzalo Álvarez de Marañón Fiat Cryptography, el sistema del MIT para generar código criptográfico optimizado para todo tipo de hardware Analizamos el sistema desarrollado por investigadores del MIT para generar algoritmos criptográficos optimizados en todas las plataformas de hardware.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación...
