Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
ElevenPaths ElevenPaths adquirimos la tecnología Shadow de Gradiant Chema Alonso (Chief Data Officer de Telefónica, y Chairman de ElevenPaths) anunció durante el Security Innovation Day 2016, la compra de la tecnología de Gradiant para seguridad y trazabilidad...
Área de Innovación y Laboratorio de ElevenPaths Descubriendo APTualizador: el APT que parchea Windows A finales de junio de 2019 asistimos a un incidente en el que los equipos comienzan a reiniciarse prácticamente a la vez y sin causa aparente. En paralelo, Kaspersky detecta...
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
Área de Innovación y Laboratorio de ElevenPaths ¿Te atreves a crear un plugin de TheTHE? Concurso #EquinoxRoom111 Anímate y participa en nuestro concurso creando tu propio plugin en TheTHE, nuestra herramienta para equipos de Threat Hunting.
ElevenPaths En CDO buscamos talento como tú Desde la Unidad de Chief Data Office de Telefónica, liderada por Chema Alonso, buscamos a gente con talento para que forme parte de un equipo joven, y con ganas de...
Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Gabriel Bergel Descubriendo el mundo del biohacking No es la primera vez que hablamos sobre biohacking en el blog de ElevenPaths, si quieres conocer su historia te invitamos a visitar este post en el que hablamos...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 30 de marzo-3 de abril ZOOM – Amenazas en la app de videovigilancia Como consecuencia del confinamiento y las nuevas necesidades de comunicación está proliferando la descarga de nuevas aplicaciones de videoconferencia como Zoom, de...
(In)Seguridad en Aplicaciones Móviles PACS/DICOMElevenPaths 1 marzo, 2018 Con frecuencia nos hacemos análisis médicos. Toda la información que se produce como resultado tras estas pruebas, es almacenada en alguna infraestructura tecnológica de una empresa o en la nube, para luego ser utilizada por el médico y realizar un diagnostico, o por el usuario (paciente) para revisarla desde la palma de su mano. Acerca de esto, hemos estado revisando en otras entradas, sistemas de almacenamiento y transmisión de información médica y radiológica (PACS) y hemos evidenciado cómo ciertas vulnerabilidades pondrían en riesgo la información médica y análisis radiológicos de los usuarios. Aplicaciones móviles para comunicación con Servidores PACS Además de los servidores y servicios publicados sobre los que ya hemos hablado anteriormente, hemos observado un crecimiento de aplicaciones móviles para que los usuarios consulten desde sus tables o sus smartphones los datos médicos personales. Por ello, hemos partido de la misma pregunta: ¿Podría estar esta información en riesgo por alguna falla de seguridad informática? Muchas de estas aplicaciones tienen comunicación directa con internet mediante dispositivos y sistemas de la infraestructura interna tecnológica de servicios médicos, un vector de ataque adicional para las mismas… Descripciones mostradas en aplicaciones PACS/DICOM Mobile Viewer En este análisis hemos seleccionado la última versión de 35 aplicaciones (iOS/Android) visores DICOM o de conexión hacia servidores PACS, que evidenciamos como los más conocidos y tienen mayor cantidad de descargas en Apple Store y Google Play. Dentro de este muestreo de aplicaciones nos enfocamos en analizar únicamente las aplicaciones móvil, ya que a pesar de que se descubrieron debilidades del lado del servidor (backend), no han sido incluidas en este post. Para esta revisión utilizamos un dispositivo Android (rooteado), IPhone 5S (no jailbreak) y nuestra plataforma de análisis de seguridad continuo de aplicaciones móviles mASAPP. En base a los controles de seguridad del Top 10 Mobile de OWASP se realizaron pruebas a nivel macro, que solo representan un análisis general de las pruebas exhaustivas que se podrían realizar a las aplicaciones móviles, pero que estaban fuera del alcance de este análisis. Top 10 Mobile Risks OWASP Como puede verse en la siguiente imagen, los resultados demostraron que para el desarrollo de este tipo de aplicaciones la seguridad no ha sido una prioridad. Resumen General de Resultados Almacenamiento inseguro y privacidad (M2) En 18 aplicaciones Android hemos encontrado cuentas de correo electrónico de usuarios en la metadata de las apps e incluso cuentas de correo de los desarrolladores que han sido comprometidas en brechas de datos en servicios de internet. Correo de desarrollador comprometido en una brecha de datos en servicios de Internet Usuarios y contraseñas almenas en SQLite en texto plano, además de estructuras fácilmente legibles, nos denota otra mala práctica en cuanto almacenamiento local inseguro. En otros casos, nos encontramos con los passcode o pins como control de acceso en las aplicaciones, almacenados en archivos XML (XD). Bases de Datos SQLite con estructuras que almacenan contraseñas en texto plano Almacenamiento de Clave en Texto-Plan “PassCode” para acceder a la aplicación Archivo de Certificado/Key Hardcodeado en App iOS Comunicación, autenticación y cifrado (M3 – M4 – M5) Diez de las aplicaciones analizadas establecen canales HTTP no cifrados, mientras una gran parte de aplicaciones usan comunicación HTTPS con certificados autofirmados y no verifican la autenticidad del certificado digital (por ej. Métodos Certificate Pinning). Esto facilitaría a un atacante generar ataques MiTM (Main-in-the-Middle). Aplicación que alerta de Certificado Falso Uso de Certificados Auto firmados Uso de Canal HTTP para comunicación Aplicaciones que tienen “opcional” el uso de HTTPS Usando base64 para “cifrar” contraseñas Vulnerabilidades por falta de validación de datos (M7) Entre los principales hallazgos, seguimos encontrando vulnerabilidades de tipo Inyección SQL y XSS (Cross Site Scripting). En el caso particular de XSS, hemos encontrado esta vulnerabilidad en 11 aplicaciones dado que se encuentra activado en las “Webviews” para que puedan ejecutar código Javascript o a su vez agregar librerías HTML. Vulnerabilidades de XSS que permite ataques a usuarios finales de la App Otras de las malas prácticas que pudimos observar en esta categoría, es el uso o generación de funciones para ejecución de comandos desde la aplicación. Ejecución de comandos desde la aplicación Información sensible “Harcodeada” y ofuscación (M9) Las 20 aplicaciones Android se pueden descargar y modificar de manera arbitraria. Se puede obtener de manera legible las clases de JAVA de las aplicaciones porque no mantienen ninguna característica de ofuscación de código (despersonalización) para dificultar el proceso de reversing. Revisión de clases JAVA después del proceso de reversing Archivos JKS & Google API Keys “hardcoded” Esperamos que toda esta información sirva para ayudar a desarrolladores y que la industria continúe mejorando en aspectos de seguridad; ya que como vemos, al involucrar nuevas tecnologías a sectores “tradicionales”, también se pueden heredar malas prácticas que conllevan a mejorar y revisar nuevos vectores de buscan los atacantes. Los investigadores y entusiastas de la ciberseguridad día a día buscamos fallos de seguridad en esta industria y creo que aún faltan muchos por explorar; sistemas de resultados de exámenes, registros médicos en la nube, más servicios radiológicos, dispositivos embebidos (firmware) y componentes del sector de la salud que necesitan ser evaluados profundamente, ya que juegan un papel fundamental en la vida diaria de cada uno de nosotros. Carlos Avila Chief Security Ambassador @badboy_nt carlos.avila@global.11paths.com La importancia del Big Data en la CiberseguridadVentajas de la virtualización del puesto de trabajo: el ejemplo de las tiendas Movistar
Diego Escalona Rodríguez Proyecto LOCARD: registro de evidencias digitales en Blockchain Formamos parte de la plataforma colaborativa a nivel europeo que busca luchar contra el cibercrimen utilizando Blockchain.
Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
Gonzalo Álvarez Marañón El futuro de las credenciales universitarias apunta hacia Blockchain y Open Badges Descubre cómo el Blockchain y las OpenBadges van a evolucionar las credenciales tradicionales para eliminar el fraude.
ElevenPaths ElevenPaths Radio 3×13 – Entrevista a Marta García Aller Hablamos sobre algoritmos, privacidad y tecnología con Marta García Aller, periodista de El Confidencial y escritora de "Lo imprevisible".
