Julia Perea Una visita a la Start-up Nation de Israel Hace unos días, un grupo de 15 mujeres españolas dedicadas al mundo de la ciberseguridad, viajamos hasta Israel para mantener una serie de reuniones con instituciones públicas y privadas...
ElevenPaths Pymes y ciberseguridad, ¿por dónde empiezo? Según un estudio de Kaspersky Lab y Ponemon Institut, el 60 % de las pymes que sufren un ataque informático desaparece en los seis meses siguientes Las grandes empresas son conscientes de...
ElevenPaths Security Innovation Day 2017_ Security Rocks ¡INFÓRMATE AL DETALLE! Presentamos la V edición de nuestro Security Innovation Day 2017 con el lema Security Rocks, la seguridad como un fenómeno de masas, ¿estás preparado? Las organizaciones actuales conviven...
ElevenPaths White Paper: Practical hacking in IPv6 networks with Evil FOCA We have released a white paper about practical hacking in IPv6 networks with Evil FOCA. This document describes IPv6 basic concepts, most common IPv6 current attacks and how to implement...
ElevenPaths #CodeTalks4Devs – SuperLatch: integrando Latch en Docker y Kubernetes En este nuevo webinar para desarrolladores, nuestro experto del equipo de Ideas Locas de Telefónica CDO, Fran Ramírez, enseña a integrar nuestro pestillo digital, Latch, en el entorno Docker...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport19H1: 45.000 apps eliminadas de Google Play, 2% de ellas detectadas por antivirus Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. En el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths Take part in Latch Plugins Contest with such hacks as Paper Key. Are you game? At Elevenpaths there is a tradition of developing innovation and training the ability to transform an idea into something tangible, as you might know that in development process, projects...
ElevenPaths Bienvenido a Latch Talks Te presentamos Latch Talks, nuestros seminarios de Integración de Latch en aplicaciones web. Si eres desarrollador de aplicaciones, analista y/o técnico de seguridad informática, estás en el lugar correcto. Para...
Julia Perea Una visita a la Start-up Nation de Israel Hace unos días, un grupo de 15 mujeres españolas dedicadas al mundo de la ciberseguridad, viajamos hasta Israel para mantener una serie de reuniones con instituciones públicas y privadas...
ElevenPaths Pymes y ciberseguridad, ¿por dónde empiezo? Según un estudio de Kaspersky Lab y Ponemon Institut, el 60 % de las pymes que sufren un ataque informático desaparece en los seis meses siguientes Las grandes empresas son conscientes de...
ElevenPaths Celebramos contigo el Día de la Mujer Hoy, 8 de marzo, es el Día de la Mujer y queremos celebrarlo con todos vosotros. Desde Telefónica, hemos preparado este vídeo en el que cuatro mujeres, de distinta edad...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres En ocasiones, los gobiernos necesitan apoyarse en las grandes corporaciones para poder llevar a cabo su trabajo. Cuando una amenaza pasa por conocer la identidad o tener acceso a...
Campañas de concienciación para empleadosIgnacio Brihuega 23 enero, 2019 Hoy en día está más que aceptado por las empresas que el eslabón más débil en la cadena de la ciberseguridad son los empleados. Son el objetivo de la mayor parte de campañas de ingeniería social, ya sean mediante correos electrónicos que suplantan una web legítima (phishing), mediante llamadas telefónicas suplantando a un técnico de soporte (vishing) o bien mediante ficheros adjuntos llamativos. Al hablar de Ingeniería Social es inevitable acordarse de los 4 principios que indicaba Kevin Mitnick: Todos queremos ayudar El primer movimiento es siempre de confianza hacia el otro No nos gusta decir No A todos nos gusta que nos alaben Sin embargo, al final, las personas aprendemos de los fallos y siempre es mejor hacer simulacros mediante campañas de concienciación controladas antes de ser víctimas de ellas. De esta manera, se pueden aplicar las siguientes campañas: Campañas de phishing. Envío masivo de correos a las posibles víctimas con un enlace para que accedan a una página web suplantada con un aspecto visual casi exacto al sitio suplantado. El objetivo es robar las credenciales de los empleados.Del mismo modo, cuando el empleado cae en la “trampa”, se le redirecciona a una web indicándole que ha sido víctima, pero por suerte esta vez se basa en un simulacro y se le facilita una serie de recomendaciones y consejos para no volver a caer.En función de la complejidad que se quiere aplicar a la campaña de phishing, se pueden aplicar técnicas de typosquating o cybersquating, o directamente el envío a directivos o personal VIP (Spear-phishing) a los que anteriormente se ha estudiado. Campañas de vishing. La técnica de vishing se basa en mediante llamadas telefónicas ganarse la confianza del oyente y obtener información.Por ejemplo, la suplantación de un técnico de soporte que llama a los empleados para la revisión de equipos y solicita información como versión del sistema operativo, dirección IP, qué antivirus tiene,…o hasta introduce “esto” en el terminal.Como buen fan de Mr Robot, os dejo este vídeo en el que se aplica algo similar pero físicamente. Campañas de smshing. Son similares a la de phishing tradicional, salvo con la diferencia que la recepción del contenido con el enlace sospechoso es a través de un SMS del dispositivo móvil. Campañas de ficheros adjuntos. Estas campañas se basan en el envío de correos electrónicos con ficheros adjuntos. El objetivo es que el empleado descargué dichos adjuntos y los abra.Por ejemplo, se pueden añadir ficheros como documentos pdf, Excel o PowerPoint sobre descuentos.En el caso de ficheros de Office, la idea es inyectar código PowerShell en las macros, de tal manera que se invitará al empleado a habilitar las macros para poder visualizar correctamente el documento. Campañas de USB maliciosos. A diferencia de las anteriores, requiere acudir físicamente a las oficinas del cliente y repartir un par de dispositivos USB en zonas concurridas (máquina del café o agua, impresoras, áreas de descanso…).Se pueden dividir dos categorías: USB estándar: Es similar a la campaña de ficheros adjuntos, pero a diferencia de la anterior, se conecta el USB con el fichero malicioso almacenado. El “cebo” es introducir un nombre muy llamativo como nómina del CEO, para que los empleados cliquen por curiosidad, aun sabiendo que no deberían. Fake USB: Se base introducir un falso USB, pero que realmente se comporta como un teclado que ejecuta una serie de comandos como el acceso a una web controlada por los atacantes o la descarga de cierto programa. Para más información, os dejo un enlace de un compañero de Telefónica que lo explica perfectamente. Finalmente, la aplicación de esta serie de campañas de concienciación le sirve a las empresas para identificar el nivel de concienciación de sus empleados, así como detectar qué departamentos o particulares requieren formaciones en materia de concienciación más específica. Adicionalmente, es una medida para revisar los procedimientos internos de actuación ante incidentes, revisar los filtros de spam, configuraciones por defecto de equipos o móviles y controles de acceso al edificio. Universidad y empresa: El talento está ahí fuera (I)Se filtra la mayor colección de usuarios y contraseñas… o no (I)
Julia Perea Una visita a la Start-up Nation de Israel Hace unos días, un grupo de 15 mujeres españolas dedicadas al mundo de la ciberseguridad, viajamos hasta Israel para mantener una serie de reuniones con instituciones públicas y privadas...
ElevenPaths Pymes y ciberseguridad, ¿por dónde empiezo? Según un estudio de Kaspersky Lab y Ponemon Institut, el 60 % de las pymes que sufren un ataque informático desaparece en los seis meses siguientes Las grandes empresas son conscientes de...
ElevenPaths #CodeTalks4Devs – SuperLatch: integrando Latch en Docker y Kubernetes En este nuevo webinar para desarrolladores, nuestro experto del equipo de Ideas Locas de Telefónica CDO, Fran Ramírez, enseña a integrar nuestro pestillo digital, Latch, en el entorno Docker...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport19H1: 45.000 apps eliminadas de Google Play, 2% de ellas detectadas por antivirus Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. En el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio – 1×04 Entrevista a Silvia Barrera ¡Nuevo capítulo de nuestro podcast: #ElevenPathsRadio! A través de entrevistas con los actores más relevantes del sector, os acercamos el apasionante mundo de la ciberseguridad. ¿Quién perpetra los ataques? ¿Qué...
José Manuel Ávalos Morer Asegurando la Transformación Digital de la mano de ElevenPaths y Microsoft El pasado martes, 9 de julio, ElevenPaths y Microsoft realizaron conjuntamente el evento “Security the Digital Transformation”, focalizando la jornada en los servicios de protección en entornos Cloud para...
