ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TSL ¿Qué es un certificado digital? Un Certificado digital SSL/TSL (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Innovación y Laboratorio de ElevenPaths, en el foro Transfiere junto con Andalucía Open Future ElevenPaths, de la mano de Telefónica y Andalucía Open Future, ha participado este año en Transfiere 2018, el gran foro profesional y multisectorial para la transferencia de conocimiento y...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Eventos en los que participa ElevenPaths en marzo de 2020 Entérate de los eventos, charlas y conferencias en las que participan los expertos de ElevenPaths durante el mes de marzo de 2020.
ElevenPaths ElevenPaths with triple representation at the eCrime 2015 conference This year, the antiphishing working group organizes the eCrime 2015 conference in Barcelona from May 26 to 29. This symposium on eCrime investigation is attended by professionals who have...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
Sergio De Los Santos El fin de Enigmail descubre realidades del software que… ¿podrían matar a Thunderbird? La nueva arquitectura de APIs de las extensiones en Mozilla va a dejar fuera de combate a Enigmail. Analizamos el software que podría matar a Thunderbird.
Yamila Levalle El lado oscuro de la impresión 3D: desafíos, riesgos y usos maliciosos (II) La tecnología de impresión 3D está revolucionando los procesos de fabricación y sus entusiastas imaginan un futuro donde cada hogar y empresa tenga al menos uno de estos dispositivos, lo que...
Detectando los indicadores de un ataqueDiego Samuel Espitia 21 enero, 2021 En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como son las celdas fotovoltaicas, las puertas trampa o las cámaras de vídeo. Todas esas medidas previenen o disuaden a los delincuentes a entrar a una propiedad, pero para que cumplan su función requieren una configuración previa y un mantenimiento o monitoreo constante.Adicionalmente, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando las posibles debilidades que pueda aprovechar para su objetivo criminal. Por lo que, para que puedan ser realmente preventivas, es necesario que estén bajo un monitoreo constante y una investigación de las anomalías o comportamientos sospechosos almacenados en los vídeos o en los eventos de los mecanismos instalados. Configurando sistemas para prevenir y disuadir Esto mismo sucede con los sistemas de seguridad de la información, dónde todos los recursos técnicos que se configuran buscan prevenir o disuadir, para lo cual toman como base de configuración las características que permiten detectar los ataques que se van conociendo y que, dependiendo de cada mecanismo de protección, se van configurando dentro de los motores de detección y alerta, para que los sistemas de monitoreo puedan ser avisados de la presencia de una amenaza.Por lo tanto, al igual que como sucede en la seguridad física, son mecanismos que si no se mantienen monitoreados y actualizados en sus configuraciones de detección, se convierten en sistemas que pueden ser analizados por delincuentes para la detección de fallas que puedan ser aprovechadas.Para mantener estas actualizaciones, cada tecnología dispone de formas automáticas o manuales de actualización de los sensores de detección Por ejemplo, los sistemas tradicionales de antivirus reciben constantemente actualización de las formas de detección, y los sistemas actualizados que utilizan Machine Learning aprenden a detectar las amenazas usando muestras de diferentes tipos de malware, como las que tenemos en nuestra herramienta CARMA de las amenazas de Android. Indicadores de compromiso (IoC) como mecanismo de actualización Sin embargo, uno de los mecanismos que más se ha propagado para mantener una constante actualización de las configuraciones son los indicadores de compromiso (IoC), los cuales son piezas de evidencia forense que se han recolectado tras un incidente y que permite identificar patrones comunes como direcciones IP, dominios o hashes que hayan sido utilizamos previamente y actualizar así los sensores de detección para que califiquen como amenaza a cualquier acción dentro de la red que contenga una de estas piezas de evidencia. Una de las técnicas de prevención es realizar investigaciones sobre alertas de los sistemas de monitoreo que permitan determinar si las acciones recolectadas se pueden relacionar con incidentes previamente reportados en el mundo, este método en seguridad de la información es conocido como Threat Hunting, siendo la metodología más completa y compleja para la detección de posibles intrusiones que hayan saltado los controles establecidos, usando los IoC como base de comparación. De detectores reactivos a detectores proactivos Pero, ¿qué pasa si el delincuente usa mecanismos totalmente desconocidos?, ¿qué pasa si el malware no toca el disco y los antivirus no pueden comparar con sus firmas?, ¿qué pasa si el IPS no tiene ese trama de datos dentro de sus comparaciones de alerta? Lo que sucede es que nada se alerta, el monitoreo por más que sea persistente no va a recibir ninguna alarma de anomalía y, el delincuente, tras un riguroso análisis de nuestros sistemas de seguridad, habría encontrado la brecha o la técnica para esconderse y conseguir su objetivo. En muchas ocasiones, esto es lo que esta sucediendo en los incidentes cibernéticos que se han reportado este año, por lo que es necesario que las áreas de seguridad de la información empiecen a cambiar el enfoque de detectores reactivos, como los IoC, a detectores proactivos, que permitan poder detectar amenazas o incidentes en el mismo momento que suceden y que no dependan del conocimiento previo de otros incidentes. Indicadores de Ataque (IoA) Esto es lo que se ha denominado como Indicadores de Ataque (IoA), que permite a los equipos de detección (Blue Team) identificar sucesos por patrones de comportamiento, por ejemplo un escaneo de red, una comunicación a un C&C o cualquier comportamiento que entregue señales de que algo saltó las defensas de la red. Debido a esta particularidad, es complicado tener un listado o una base de datos común de IoA’s, pues están atados a las tácticas mostradas en la matriz de ATT&CK de Mitre y a las características de seguridad propias de cada empresa, usando el contexto para determinar cuando una acción es o no un indicador de ataque. Por este motivo, la implementación no es sencilla y requiere de un conocimiento a profundidad de las actividades TI normales de todos los departamentos de una organización, de la implementación de sistemas de Zero Trust Network Access e implementación de controles de trafico de red en todos los sistemas que gestionen información, para así poder tener las actividades básicas que se mencionan a continuación para la detección de los IoAs: Análisis de todas las conexiones cuyo destino sea fuera de la red corporativa, dando prioridad a destinos marcado como maliciosos o a lugares donde no se debería hacer comunicaciones desde la empresa.Todo intento de trafico en la red por puertos no convencionales o de servicios que se hayan habilitado dentro de la red o en horarios fuera de oficina.Cualquier equipo que tenga múltiples conexiones activas o intentos de conexión con equipos dentro de la red a los cuales no tienen permiso o que no tenga dentro de su historial de conexiones.Reporte de eventos repetidos, como malware o trafico malicioso, en uno o varios equipos por los sistemas de detección.Procesos de autenticación de los usuarios, que impliquen cualquier conexión simultanea o intentos fallidos. Con estas investigaciones permanentes se inicia la generación de la base de conocimiento de los IoA y los procesos de respuesta de incidentes mejoran. De esta manera el sistema se basa no en datos que han sucedido y que pueden ser evadidos por los atacantes, si no en actividades y técnicas asociadas tanto a las tácticas de ataque como a las características propias de la red de la organización. CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organizaciónBoletín semanal de ciberseguridad 16-22 enero
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TSL ¿Qué es un certificado digital? Un Certificado digital SSL/TSL (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
