Guillermo Conde ¿Open Data vino a quedarse? Últimamente se habla mucho de las políticas de Datos Abiertos (Open Data), poco a poco se ven iniciativas arrancando y adquiriendo vida. Aún así difícilmente alguien nos entendería si...
David Fernández 10 consejos infalibles para elegir un buen dominio A la hora de comenzar un proyecto o abrir un nuevo negocio es imprescindible, salvo excepciones aisladas, pensar en digital. Y como en el mundo off, es importante que...
David Fernández ¡Viva la improvisación en la empresa! Debemos pasar del concepto de “empresa líquida”, enunciado en el año 2000 por Zygmunt Bauman (Premio Príncipe de Asturias de Comunicación y Humanidades 2010), al de «empresa gaseosa», en...
Moncho Terol Las herramientas digitales que necesitas para el teletrabajo El trabajo a distancia se ha vuelto una tendencia en la actualidad, sobre todo, por sus múltiples ventajas. Pero, esta modalidad también tiene sus obstáculos, ya que para realizar...
Carlos Ávila La tecnología y los ‘Toll Pay’… ¿(In)Seguridad en Aplicaciones Móviles de TelePeajes? La tecnología está presente en todos los ámbitos, y sus riesgos también. En este post analizamos las aplicaciones para gestión de pagos en peajes.
Sergio De Los Santos Certificate pinning. El qué, el cómo y el porqué (III) Después de aclarar conceptos en las entradas anteriores de esta serie sobre certificate pinning (las cuales puedes encontrar al final de este post) acerca de las debilidades de las PKI,...
AI of Things Lo más destacado del BDID2017 (IV): Transformando los puntos de venta y atención del sector retail ¿Qué más podemos destacar del Big Data Innovation Day 2017? A día de hoy la mayoría de transacciones se realizan a través de un canal presencial, es decir, nos...
Carlos Lorenzo Cómo vender en Movistar+ tus productos o servicios con una pasarela de pago propia Aumentar los ingresos y reducir los costes operativos es el gran pulso al que se enfrentan todas las empresas, sin importar su tamaño o el sector al que pertenecen. Para...
Detectando los indicadores de un ataqueDiego Samuel Espitia 21 enero, 2021 En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como son las celdas fotovoltaicas, las puertas trampa o las cámaras de vídeo. Todas esas medidas previenen o disuaden a los delincuentes a entrar a una propiedad, pero para que cumplan su función requieren una configuración previa y un mantenimiento o monitoreo constante.Adicionalmente, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando las posibles debilidades que pueda aprovechar para su objetivo criminal. Por lo que, para que puedan ser realmente preventivas, es necesario que estén bajo un monitoreo constante y una investigación de las anomalías o comportamientos sospechosos almacenados en los vídeos o en los eventos de los mecanismos instalados. Configurando sistemas para prevenir y disuadir Esto mismo sucede con los sistemas de seguridad de la información, dónde todos los recursos técnicos que se configuran buscan prevenir o disuadir, para lo cual toman como base de configuración las características que permiten detectar los ataques que se van conociendo y que, dependiendo de cada mecanismo de protección, se van configurando dentro de los motores de detección y alerta, para que los sistemas de monitoreo puedan ser avisados de la presencia de una amenaza.Por lo tanto, al igual que como sucede en la seguridad física, son mecanismos que si no se mantienen monitoreados y actualizados en sus configuraciones de detección, se convierten en sistemas que pueden ser analizados por delincuentes para la detección de fallas que puedan ser aprovechadas.Para mantener estas actualizaciones, cada tecnología dispone de formas automáticas o manuales de actualización de los sensores de detección Por ejemplo, los sistemas tradicionales de antivirus reciben constantemente actualización de las formas de detección, y los sistemas actualizados que utilizan Machine Learning aprenden a detectar las amenazas usando muestras de diferentes tipos de malware, como las que tenemos en nuestra herramienta CARMA de las amenazas de Android. Indicadores de compromiso (IoC) como mecanismo de actualización Sin embargo, uno de los mecanismos que más se ha propagado para mantener una constante actualización de las configuraciones son los indicadores de compromiso (IoC), los cuales son piezas de evidencia forense que se han recolectado tras un incidente y que permite identificar patrones comunes como direcciones IP, dominios o hashes que hayan sido utilizamos previamente y actualizar así los sensores de detección para que califiquen como amenaza a cualquier acción dentro de la red que contenga una de estas piezas de evidencia. Una de las técnicas de prevención es realizar investigaciones sobre alertas de los sistemas de monitoreo que permitan determinar si las acciones recolectadas se pueden relacionar con incidentes previamente reportados en el mundo, este método en seguridad de la información es conocido como Threat Hunting, siendo la metodología más completa y compleja para la detección de posibles intrusiones que hayan saltado los controles establecidos, usando los IoC como base de comparación. De detectores reactivos a detectores proactivos Pero, ¿qué pasa si el delincuente usa mecanismos totalmente desconocidos?, ¿qué pasa si el malware no toca el disco y los antivirus no pueden comparar con sus firmas?, ¿qué pasa si el IPS no tiene ese trama de datos dentro de sus comparaciones de alerta? Lo que sucede es que nada se alerta, el monitoreo por más que sea persistente no va a recibir ninguna alarma de anomalía y, el delincuente, tras un riguroso análisis de nuestros sistemas de seguridad, habría encontrado la brecha o la técnica para esconderse y conseguir su objetivo. En muchas ocasiones, esto es lo que esta sucediendo en los incidentes cibernéticos que se han reportado este año, por lo que es necesario que las áreas de seguridad de la información empiecen a cambiar el enfoque de detectores reactivos, como los IoC, a detectores proactivos, que permitan poder detectar amenazas o incidentes en el mismo momento que suceden y que no dependan del conocimiento previo de otros incidentes. Indicadores de Ataque (IoA) Esto es lo que se ha denominado como Indicadores de Ataque (IoA), que permite a los equipos de detección (Blue Team) identificar sucesos por patrones de comportamiento, por ejemplo un escaneo de red, una comunicación a un C&C o cualquier comportamiento que entregue señales de que algo saltó las defensas de la red. Debido a esta particularidad, es complicado tener un listado o una base de datos común de IoA’s, pues están atados a las tácticas mostradas en la matriz de ATT&CK de Mitre y a las características de seguridad propias de cada empresa, usando el contexto para determinar cuando una acción es o no un indicador de ataque. Por este motivo, la implementación no es sencilla y requiere de un conocimiento a profundidad de las actividades TI normales de todos los departamentos de una organización, de la implementación de sistemas de Zero Trust Network Access e implementación de controles de trafico de red en todos los sistemas que gestionen información, para así poder tener las actividades básicas que se mencionan a continuación para la detección de los IoAs: Análisis de todas las conexiones cuyo destino sea fuera de la red corporativa, dando prioridad a destinos marcado como maliciosos o a lugares donde no se debería hacer comunicaciones desde la empresa.Todo intento de trafico en la red por puertos no convencionales o de servicios que se hayan habilitado dentro de la red o en horarios fuera de oficina.Cualquier equipo que tenga múltiples conexiones activas o intentos de conexión con equipos dentro de la red a los cuales no tienen permiso o que no tenga dentro de su historial de conexiones.Reporte de eventos repetidos, como malware o trafico malicioso, en uno o varios equipos por los sistemas de detección.Procesos de autenticación de los usuarios, que impliquen cualquier conexión simultanea o intentos fallidos. Con estas investigaciones permanentes se inicia la generación de la base de conocimiento de los IoA y los procesos de respuesta de incidentes mejoran. De esta manera el sistema se basa no en datos que han sucedido y que pueden ser evadidos por los atacantes, si no en actividades y técnicas asociadas tanto a las tácticas de ataque como a las características propias de la red de la organización. CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organizaciónBoletín semanal de ciberseguridad 16-22 enero
María Riesgo Educación en tecnología de la información, ¿peligro u oportunidad? El mundo avanza considerablemente rápido. Si echamos un vistazo atrás, no podríamos imaginarnos la posibilidad de conectarnos a un ordenador sin interrumpir el teléfono fijo de casa o contestar...
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
