Virginia Cabrera 5 herramientas muy productivas de Linkedin que quizás no conoces Son muchos quienes piensan que en Linkedin solo hay currículos, y que si no estás en búsqueda activa de empleo, no tienes por qué tener un perfil en dicha...
Virginio Gallardo El capital social: ¿es urgente que gestiones tu marca personal? El capital social de las empresas es el conjunto de relaciones que tienen sus empleados. La marca, reputación o sus ventas, es decir, la capacidad de conexión de una...
Juan Luis Manfredi Cuatro pasos imprescindibles para retener el talento En las pequeñas empresas casi todo se puede comprar, adquirir, alquilar o prestar. Los activos se encuentran disponibles en los mercados y, con un poco de suerte, se puede...
Juan Luis Manfredi 10 ideas esenciales en la gestión de empresas El nuevo curso se presenta interesante. Habrá turbulencias económicas, según todas las previsiones, y algunas novedades políticas (elecciones, nuevos gobiernos municipales y regionales). Todo, o casi todo, va a...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
Sergio de los Santos Las 26 razones por las que Chrome no confía en la CA española Camerfirma A partir de la inminente versión 90, Chrome mostrará un error de certificado cuando un usuario intente acceder a cualquier web con un certificado firmado por Camerfirma. Aunque quizás...
Ana Tarazona El II Futurecamp de Open Future: sostenibilidad e impacto social Open Future es una de las iniciativas de Innovación Abierta de Telefónica que tienen el objetivo principal de fomentar el emprendimiento local y regional, descentralizando el emprendimiento de los...
Think Big Empresas Innovation Ventures: cómo encontrar las mejores startups estratégicas para Telefónica Desde 2007, el área de Innovation Ventures de Telefónica ha invertido directamente en startups y, como limited partner, en fondos de venture capital de Estados Unidos, Israel, España, Brasil,...
Gestión de datos de laboratorios (LIMS) y sus aplicaciones móvilesCarlos Ávila 14 enero, 2021 Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades especializadas para laboratorios de I+D, laboratorios de desarrollo y fabricación de procesos o laboratorios bioanalíticos. Este tipo de software en muchos casos es encargado del tratamiento de datos patológicos, procesos de fabricación, gestión de muestras, datos personales, resultados clínicos, procesos químicos, formulas de experimentos “secretos”, intercambio de datos electrónicos, etc. Con lo cual, este tipo de información es un atractivo para los ciberdelincuentes como en cualquier otra industria de hoy en día. Las plataformas LIMS (Laboratory Information Management System, por sus siglas en inglés), conocidas también como LIS, son un tipo de software diseñado para mejorar la productividad y la eficiencia de los laboratorios actuales. Estas aplicaciones permiten realizar un seguimiento de los datos asociados con muestras, experimentos, flujos de trabajo de los laboratorios e instrumentos. La arquitectura y despliegue de este tipo de plataformas está presente en varios modelos, entre los principales están ‘thick-client’ y ‘thin-client’, clientes que se ejecutan desde cualquier estación de trabajo, entornos web, aplicaciones móviles y los entornos Cloud y SaaS, que permiten a los usuarios de estos sistemas conectarse a los servidores donde se albergan las funcionalidades y los datos del core de LIMS. En este articulo haremos una aproximación al estado de la seguridad de las aplicaciones móviles que son parte de la plataforma integral de un LIMS proporcionadas por los fabricantes. Analizando aplicaciones móviles LIMS Hemos seleccionado la última versión de 24 aplicaciones (iOS/Android) donde los usuarios pueden interactuar con una arquitectura LIMS desplegada en una organización y ejecutar las tareas correspondientes. Dentro de este muestreo de aplicaciones nos enfocamos en analizar de manera general únicamente la aplicación móvil. Para esta revisión utilizamos un dispositivo Android (rooteado), iPhone (sin jailbreak) y nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles) y Tacyt (herramienta de ciberinteligencia de amenazas móviles). Los principales controles de seguridad del Top 10 Mobile de OWASP fueron considerados para esta revisión. Los mismos, que solo representan un vistazo general, de una cantidad de pruebas que en detalle y de manera exhaustiva se podrían realizar. Los resultados demostraron que, si bien se han implementados controles de seguridad para el desarrollo de este tipo de aplicaciones, se encontraron varias debilidades que deberían corregirse y sobre todo mantener la mejora continua en el proceso de desarrollo. Las vulnerabilidades encontradas conforme a los controles evaluados se encuentran en la siguiente matriz de resumen: Sumario general de resultados controles analizados(-) Característica que aplica solo en plataformas Android Debilidades encontradas A continuación, queremos destacar varias debilidades que encontramos en estructuras fácilmente legibles entre archivos XML, API Keys o de configuración, lo que denota una mala práctica en cuanto almacenamiento local inseguro. Imagen 1: Archivos de Certificados / Key Hardcoded Imagen 2: Archivos con API Keys Legibles Imagen 3: API Keys Hardcoded en código fuente Si bien una gran parte de estas aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends como muestra nuestro cuadro de resultados, siguen funcionando algunos canales HTTP no cifrados, aplicaciones sin verificar autenticidad de certificados, certificados autofirmados o aplicación de métodos para mejorar la seguridad en este aspecto. Imagen 4: Uso de canales HTTP (inseguros) hacia el backend Así mismo, entre las practicas inseguras de programación de aplicaciones, continuamos observando la falta de características de ofuscación de código (despersonalización) para dificultar el proceso de reversing, eliminar archivos obsoletos o de pruebas, no usar funciones o APIs deprecadas, no utilizar funciones de debug o logging en aplicaciones productivas o comentarios muy descriptivos en el código. Características que incluyen la mayoría de guías de practicas segura de desarrollo. Imagen 5: Revisión de clases luego de proceso de decompilar dlls Imagen 6: Archivos para test almacenados en la App Imagen 7: Uso inseguro para transmisión de credenciales (base64) Imagen 8: Funciones de debug/logging utilizadas Conclusiones Las aplicaciones móviles han beneficiado al monitoreo y automatización de procesos de los laboratorios, donde se pueden destacar funcionalidades como ubicación y seguimiento de muestras, inventarios, integración con instrumentos y otras plataformas, optimización de flujos de trabajo y muchas más. Sin embargo, no debemos dejar de lado los desafíos asociados a los controles de seguridad que en este tipo de aplicaciones requieren una consideración cuidadosa por parte de los diseñadores de equipos, los desarrolladores de software y sistemas de control, así como una buena concienciación de los usuarios que las usan. Los negocios de las empresas de la llamada ‘bioeconomia’ y sus laboratorios del futuro se están enfrentando de los riesgos informáticos asociados a fallos de seguridad que puedan aprovechar los ciberdelicuentes para obtener réditos dentro de la industria del cibercrimen. En el otro lado de la moneda estamos los investigadores, las organizaciones, fabricantes y la comunidad que intentamos aportar seguridad a este “nuevo” ecosistema. ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CKNoticias de Ciberseguridad: Boletín semanal 9-15 de enero
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
