ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 17-21 de febrero Fox Kitten: Campaña iraní contra servidores VPN El equipo de investigadores de ClearSky ha descubierto una campaña iraní contra docenas de empresas y organizaciones en todo el mundo a la...
ElevenPaths ElevenPaths en la RSA Conference 2020, el evento referencia en ciberseguridad Un año más, volvemos a la RSA Conference, el evento referencia del sector de la ciberseguridad. Del 24 al 27 de febrero estaremos presentando nuestra propuesta bajo el lema...
ElevenPaths ElevenPaths y Check Point Software Technologies ofrecemos servicios conjuntos de seguridad móvil La oferta protegerá smartphones y tabletas iOS® y Android® utilizados en negocios de cualquier tamaño de las ciberamenazas que proliferan en el ecosistema móvil mundial. Madrid, 22 de abril de...
Óscar Maqueda Ciberataques a infraestructuras sanitarias En el momento de escribir este artículo parece que la cibercrisis del hospital de Torrejón ya está contenida y podemos respirar aliviados, pero, ¿hasta cuándo? En mi doble faceta...
Carlos Ávila El lado oscuro de las aplicaciones JavaScript Las nuevas implementaciones de las aplicaciones JavaScript pueden representar un riesgo para los usuarios. Nuestro CSA Carlos Ávila te lo cuenta aquí.
ElevenPaths #CodeTalks4Devs – Fear the FOCA: más eficiente, más funcional y más temible Primer capítulo de la cuarta temporada de los Code Talks for Devs, nuestros webinars de ciberseguridad para desarrolladores. En esta edición, será Ioseba Palop, del equipo de Ideas Locas...
ElevenPaths Historias de #MujeresHacker: Laura iglesias, experta en ciberseguridad y hacking en Telefónica Esta semana os traemos el relato de Laura Iglesias, una de las expertas en ciberseguridad con más experiencia en ElevenPaths y una de las mujeres que cree que la diversidad...
ElevenPaths Ayuda para cumplimentar la normativa GDPR con Clean-up Online Ahora que el nuevo reglamento europeo de protección de datos GDPR está en boca de todos, las organizaciones se apresuran a establecer mecanismos que les ayuden a cumplir con...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 17-21 de febrero Fox Kitten: Campaña iraní contra servidores VPN El equipo de investigadores de ClearSky ha descubierto una campaña iraní contra docenas de empresas y organizaciones en todo el mundo a la...
ElevenPaths ElevenPaths en la RSA Conference 2020, el evento referencia en ciberseguridad Un año más, volvemos a la RSA Conference, el evento referencia del sector de la ciberseguridad. Del 24 al 27 de febrero estaremos presentando nuestra propuesta bajo el lema...
ElevenPaths ElevenPaths Radio – 1×08 Entrevista a Ignacio Cirac La computación cuántica continúa, paso a paso, desarrollándose y cada vez parece más cerca el día que cambie la computación para siempre. En este nuevo capítulo de ElevenPaths Radio, entrevistamos...
Gonzalo Álvarez Marañón Eres menos racional de lo que crees cuando tomas decisiones de riesgo en condiciones inciertas Te propongo el siguiente juego de azar: Opción A: Te doy 1.000 € con un 100 % de probabilidad Opción B: Lo echamos a suertes: si sale cara, te doy 2.000...
Cyberintelligence Report: Ciberseguridad en aplicaciones móviles bancariasElevenPaths 22 noviembre, 2018 A medida que el mundo se vuelve más digital, surgen nuevas oportunidades y amenazas, y tendemos a centrarnos más en los negocios. Como consecuencia, cuando estamos tratando de desarrollar un nuevo producto, sitio web o aplicación, tendemos a priorizar la velocidad, conveniencia y facilidad de implementación en lugar de la seguridad. Desde ElevenPaths hemos realizado un análisis de un total de 56 de los principales bancos alrededor del mundo. Este análisis se basa en archivos públicos, aplicaciones web y aplicaciones móviles de estos bancos y aborda tres aspectos clave de la ciberseguridad: La seguridad integrada en las aplicaciones móvilesLos metadatos disponibles en los documentos públicosLa información que podemos obtener sobre las comunicaciones de los servicios y su calidad (es decir, los puertos abiertos en los servidores, sus vulnerabilidades, etc). Para recopilar la información hemos hecho uso de, principalmente, cuatro herramientas: FOCA OpenSource, una herramienta de desarrollo propio (gratuita y Open Source) para encontrar documentos a través de los buscadores, descargarlos, extraer sus metadatos y analizarlos.Tacyt y mASAPP, dos herramientas también de desarrollo propio que permiten visualizar la información de las apps en mercados oficiales y no oficiales, así como encontrar vulnerabilidades de aplicaciones móviles. mASAPP, además, puntúa cada aplicación usando un sistema propietario de scoring para clasificar las apps de más a menos seguras. Cuanto más alta es la puntuación de mASAPP, peor se considera la seguridad de esa aplicación.Censys, una herramienta OSINT pública de búsqueda de servidores y dispositivos expuestos en Internet. Permite también encontrar hosts y servicios específicos asociados a los dominios de cada banco y ver cómo se configuran los sitios web y sus certificados. mASAPP- Puntuación de riesgo global por región Resultados del análisis. Respecto a las aplicaciones móviles: Todos los bancos analizados tenían vulnerabilidades en sus aplicaciones oficiales, causadas principalmente por fallos en la calidad del código. La vulnerabilidad más común fue la potencial inyección SQL.Los bancos de Asia, África y Latam fueron los que obtuvieron peores resultados.Comparamos qué permisos pedía cada aplicación bancaria. A pesar de estar en la misma industria y proporcionar el mismo servicio, solamente un permiso era común a todas ellas: Acceso a Internet.Oriente Medio fue la región con el menor promedio de permisos solicitados, mientras que Asia fue la región con el mayor número de permisos solicitados por aplicación.Permisos intrusivos como acceso a los contactos del teléfono, realización de llamadas sin la confirmación del usuario, lectura y escritura de SMS o lectura y escritura de ajustes del sistema estaban presentes en varias aplicaciones analizadas.Algunos bancos africanos nunca han tenido aplicación móvil. Resultados del análisis. Respecto a los metadatos: Se detectaron cientos de cuentas de administrador y varias cuentas genéricas con características de administradores.Basándonos en los metadatos obtenidos, existen indicios de que la mayoría de los bancos puede seguir utilizando sistemas operativos que actualmente no tienen soporte de sus fabricantes.El análisis de los archivos públicos también nos ha permitido obtener la ubicación física y los nombres de varios servidores e impresoras. Esta información debe ocultarse debido a las consecuencias que puede acarrear que un actor malicioso se haga con ella. Resultados del análisis. Respecto a los servidores, los hosts y las comunicaciones: A pesar de que casi el total de los hosts utilizan HTTPS, todavía hay una gran cantidad de servicios HTTP, un protocolo no seguro.La mitad de los bancos utilizan Akamai. El tráfico pasa principalmente por servidores norteamericanos.Los bancos que no utilizan Akamai tienden a alojar sus servicios localmente. La única excepción es Asia, donde los bancos que no trabajan con Akamai también tienen sus servidores en Estados Unidos.Ninguno de los bancos analizados de África utiliza Akamai.África es la región en la que la mayoría de sus servicios están alojados localmente, seguida por Oriente Medio.El servicio más popular cuando no hay ningún Akamai involucrado es FTP, seguido por SMTP y diferentes tipos de bases de datos.La mayoría de los servicios están alojados en Norteamérica. Europa parece ser la segunda mejor opción, pero con una gran diferencia con respecto a Norteamérica. ¡INFORME COMPLETO AQUÍ! Con la colaboración de:Helene Aguirre MindeguiaPablo BentanachsSebastián García de Saint-LégerPablo Moreno González Movistar lanza Conexión Segura: Un antivirus en red para mantener seguros todos tus dipositivos y red WiFi#CyberMonday 2018 en ElevenPaths
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 17-21 de febrero Fox Kitten: Campaña iraní contra servidores VPN El equipo de investigadores de ClearSky ha descubierto una campaña iraní contra docenas de empresas y organizaciones en todo el mundo a la...
ElevenPaths ElevenPaths en la RSA Conference 2020, el evento referencia en ciberseguridad Un año más, volvemos a la RSA Conference, el evento referencia del sector de la ciberseguridad. Del 24 al 27 de febrero estaremos presentando nuestra propuesta bajo el lema...
Carlos Ávila El lado oscuro de las aplicaciones JavaScript Las nuevas implementaciones de las aplicaciones JavaScript pueden representar un riesgo para los usuarios. Nuestro CSA Carlos Ávila te lo cuenta aquí.
ElevenPaths #CodeTalks4Devs – Fear the FOCA: más eficiente, más funcional y más temible Primer capítulo de la cuarta temporada de los Code Talks for Devs, nuestros webinars de ciberseguridad para desarrolladores. En esta edición, será Ioseba Palop, del equipo de Ideas Locas...
ElevenPaths Nueva temporada de webinars de ciberseguridad para desarrolladores: Code Talks for Devs Vuelven los webinars para desarrolladores de ElevenPaths. Cuarta temporada en la que nuestros expertos presentan las últimas novedades en herramientas de ciberseguridad y cómo sacarle el mayor partido.
ElevenPaths La Alianza Global de Seguridad refuerza sus capacidades con la compartición de inteligencia de amenazas Dallas, Singapur, Madrid, 18 de febrero 2020 – La Alianza Global de Seguridad entre operadoras ha anunciado hoy nuevos esfuerzos de colaboración con el objetivo de mejorar aún más la capacidad de...
