ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Área de Innovación y Laboratorio de ElevenPaths CyberSecurityPulse, nuestro canal de Telegram, ya tiene página web Nuestro canal de Telegram Cybersecurity Pulse ya tiene página web. Síguenos para estar al día de las noticias más relevantes en ciberseguridad.
ElevenPaths La experiencia de DefCon contada por un CSA Durante la semana del 7 al el 12 de agosto, en Las Vegas, anualmente se celebran tres conferencias de seguridad de la información, que inician con BSides Las Vegas,...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Gonzalo Álvarez Marañón Qué es la privacidad diferencial y por qué Google y Apple la usan con tus datos La privacidad diferencial te permite conocer a tus usuarios sin comprometer su privacidad, pero conseguirla es complejo. Aquí te contamos por qué.
ElevenPaths [NUEVO] Así funcionan nuestras soluciones de ciberseguridad para dispositivos IoT en tu empresa La semana pasada os presentamos nuestro nuevo informe de seguridad IoT titulado “Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas”. En este informe os hablamos...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Nacho Brihuega Zerologon, ¡parchea o muere! Zerologon. Si te dedicas al mundo IT y no aún no has escuchado este nombre, preocúpate y sigue leyendo. Zerologon es, posiblemente, la vulnerabilidad de este año tan “especial” y...
ElevenPaths Boletín semanal de ciberseguridad 30 enero – 5 febrero Chrome rechazará los certificados de Camerfirma Google planea prohibir y eliminar el soporte de Chrome para los certificados digitales emitidos por la autoridad certificadora (CA) Camerfirma, una empresa española que...
Cyberintelligence Report: Ciberseguridad en aplicaciones móviles bancariasElevenPaths 22 noviembre, 2018 A medida que el mundo se vuelve más digital, surgen nuevas oportunidades y amenazas, y tendemos a centrarnos más en los negocios. Como consecuencia, cuando estamos tratando de desarrollar un nuevo producto, sitio web o aplicación, tendemos a priorizar la velocidad, conveniencia y facilidad de implementación en lugar de la seguridad. Desde ElevenPaths hemos realizado un análisis de un total de 56 de los principales bancos alrededor del mundo. Este análisis se basa en archivos públicos, aplicaciones web y aplicaciones móviles de estos bancos y aborda tres aspectos clave de la ciberseguridad: La seguridad integrada en las aplicaciones móvilesLos metadatos disponibles en los documentos públicosLa información que podemos obtener sobre las comunicaciones de los servicios y su calidad (es decir, los puertos abiertos en los servidores, sus vulnerabilidades, etc). Para recopilar la información hemos hecho uso de, principalmente, cuatro herramientas: FOCA OpenSource, una herramienta de desarrollo propio (gratuita y Open Source) para encontrar documentos a través de los buscadores, descargarlos, extraer sus metadatos y analizarlos.Tacyt y mASAPP, dos herramientas también de desarrollo propio que permiten visualizar la información de las apps en mercados oficiales y no oficiales, así como encontrar vulnerabilidades de aplicaciones móviles. mASAPP, además, puntúa cada aplicación usando un sistema propietario de scoring para clasificar las apps de más a menos seguras. Cuanto más alta es la puntuación de mASAPP, peor se considera la seguridad de esa aplicación.Censys, una herramienta OSINT pública de búsqueda de servidores y dispositivos expuestos en Internet. Permite también encontrar hosts y servicios específicos asociados a los dominios de cada banco y ver cómo se configuran los sitios web y sus certificados. mASAPP- Puntuación de riesgo global por región Resultados del análisis. Respecto a las aplicaciones móviles: Todos los bancos analizados tenían vulnerabilidades en sus aplicaciones oficiales, causadas principalmente por fallos en la calidad del código. La vulnerabilidad más común fue la potencial inyección SQL.Los bancos de Asia, África y Latam fueron los que obtuvieron peores resultados.Comparamos qué permisos pedía cada aplicación bancaria. A pesar de estar en la misma industria y proporcionar el mismo servicio, solamente un permiso era común a todas ellas: Acceso a Internet.Oriente Medio fue la región con el menor promedio de permisos solicitados, mientras que Asia fue la región con el mayor número de permisos solicitados por aplicación.Permisos intrusivos como acceso a los contactos del teléfono, realización de llamadas sin la confirmación del usuario, lectura y escritura de SMS o lectura y escritura de ajustes del sistema estaban presentes en varias aplicaciones analizadas.Algunos bancos africanos nunca han tenido aplicación móvil. Resultados del análisis. Respecto a los metadatos: Se detectaron cientos de cuentas de administrador y varias cuentas genéricas con características de administradores.Basándonos en los metadatos obtenidos, existen indicios de que la mayoría de los bancos puede seguir utilizando sistemas operativos que actualmente no tienen soporte de sus fabricantes.El análisis de los archivos públicos también nos ha permitido obtener la ubicación física y los nombres de varios servidores e impresoras. Esta información debe ocultarse debido a las consecuencias que puede acarrear que un actor malicioso se haga con ella. Resultados del análisis. Respecto a los servidores, los hosts y las comunicaciones: A pesar de que casi el total de los hosts utilizan HTTPS, todavía hay una gran cantidad de servicios HTTP, un protocolo no seguro.La mitad de los bancos utilizan Akamai. El tráfico pasa principalmente por servidores norteamericanos.Los bancos que no utilizan Akamai tienden a alojar sus servicios localmente. La única excepción es Asia, donde los bancos que no trabajan con Akamai también tienen sus servidores en Estados Unidos.Ninguno de los bancos analizados de África utiliza Akamai.África es la región en la que la mayoría de sus servicios están alojados localmente, seguida por Oriente Medio.El servicio más popular cuando no hay ningún Akamai involucrado es FTP, seguido por SMTP y diferentes tipos de bases de datos.La mayoría de los servicios están alojados en Norteamérica. Europa parece ser la segunda mejor opción, pero con una gran diferencia con respecto a Norteamérica. ¡INFORME COMPLETO AQUÍ! Con la colaboración de:Helene Aguirre MindeguiaPablo BentanachsSebastián García de Saint-LégerPablo Moreno González Movistar lanza Conexión Segura: Un antivirus en red para mantener seguros todos tus dipositivos y red WiFi#CyberMonday 2018 en ElevenPaths
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...