ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths Telefónica Empresas ya es Socio Platino de RSA La seguridad de la información representa un gran desafío para las organizaciones desde los albores de la era digital. Sin embargo, hoy en día se han combinado varios factores...
ElevenPaths Cybersecurity Shot_Fuga de Información de R2Games Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado. Cada entrega trae...
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths FOCA Open Source En el último Security Innovation Day 2017 realizado hace unos pocos días, hemos presentado muchas novedades, nuevas patentes, nuevas herramientas y nuevas alianzas… sin embargo, algo un tanto especial...
ElevenPaths Latch Plugins Contest 2016 is over Today, Monday, December 12 at 1 pm (CET), was the deadline for the submission of plugin applications to the Latch Plugins Contest, the Latch contest that looks for innovative...
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths Qué hemos presentado en el Security Day 2015 (I): éxito empresarial con la firma biométrica manuscrita El pasado 28 de mayo, celebramos la segunda edición de nuestro evento anual de seguridad, ElevenPaths Security Day 2015, donde presentamos nuestras nuevas soluciones de seguridad pensadas para simplificar...
ElevenPaths Firma digital de documentos con SealSign (III) En un artículo anterior vimos los distintos productos de SealSign e indicamos que se basaban en la firma digital, la cual puede utilizar tanto biometría como certificados digitales. En...
La industria de Seguros y sus aplicaciones móvilesCarlos Ávila 11 abril, 2019 En la actualidad, el sector de aseguradoras, como la mayoría de industrias, se suma a la transformación digital, brindando a través de la tecnología un salto relevante a nuevos y mejores servicios para sus clientes. Sin duda, las compañías de seguros siempre han buscado acercarse a sus agentes o corredores como forma de asegurar su lealtad o preferencia frente a otras compañías; así como a sus clientes finales para que ellos ser menos dependientes de los primeros. Las entidades de seguros pueden operar en uno o en múltiples servicios (hospitalarios, accidentes, automóvil, incendios, responsabilidad civil, etc.), con lo cual a día de hoy pueden desde una aplicación móvil algún usuario podría acceder a múltiples opciones como, por ejemplo, contratar un seguro medico, gestionar pólizas y reclamos, reportar siniestros, entre otros. Toda la información que se produce por los asegurados es gestionada por tu dispositivo móvil y alguna infraestructura tecnológica (propia o de tercero) de la empresa aseguradora, con lo cual, como en cualquier otro tipo de industrias estas aplicaciones podrían mantener vulnerabilidades que podrían en riesgo los datos de sus clientes. Muchas de estas aplicaciones tienen comunicación directa desde internet con dispositivos y sistemas a la interna de la compañía que ejecutan procesos internos, creando un vector de ataque adicional para los cibercriminales que intenten buscar este tipo de información. Funcionalidades de Aplicación de Compañía de Seguros Médicos En este análisis, he seleccionado la última versión de 58 aplicaciones (iOS/Android) de compañías aseguradores donde el usuario (agente, broker o empresas) accede a diversos servicios. Las aplicaciones fueron seleccionadas en base a fuentes de las compañías de ranking en Latinoamérica y en el mundo. Dentro de este muestreo de aplicaciones, nos enfocamos en analizar únicamente la aplicación móvil, ya que si bien se descubrieron debilidades del lado del servidor (backend) no fueron incluidas. Para esta revisión utilizamos un dispositivo Android (rooteado), IPhone 5S (no jailbreak) y nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles) y Tacyt (herramienta de ciberinteligencia de amenazas móviles). Los controles de seguridad del Top 10 Mobile de OWASP se realizaron pruebas a nivel general, las mismas que solo representan un vistazo general de una cantidad de pruebas en detalle y de manera exhaustiva que se podrían realizar a las aplicaciones móviles. Top 10 Mobile Risks OWASP Los resultados demostraron que, si bien se han implementados controles de seguridad para el desarrollo de este tipo de aplicaciones, se encontraron varias debilidades que deberían corregirse y sobre todo mantener la mejora continua en el proceso de desarrollo. Las vulnerabilidades encontradas conforme a los controles evaluados se encuentran en la siguiente matriz de resumen: Resumen general con resultados controles revisados Los datos y detalles técnicos donde se mencionan a la empresa dueña o detalles del desarrollador de la aplicación han sido censurados; sin embargo, iremos presentando hallazgos que hemos considerado muestreos relevantes de potenciales debilidades. Dichas vulnerabilidades podrían estar poniendo en riesgo los datos de los usuarios e inclusive la infraestructura con que interactúan y a continuación te contamos más detalles. Almacenamiento Inseguro y Privacidad (M2) En 21 aplicaciones de las 58 analizadas hemos encontramos datos a los que hemos catalogado como “privados o sensibles” en donde se pudieron obtener usuarios y contraseñas de acceso a servicios como APIs, archivos XML de configuraciones, archivos SQLite sin protección, entre otros. Los resultados se obtuvieron mediante el análisis estático de la aplicación y observando las aplicaciones en ejecución. Evidencias de Hardcode Claves en Texto-Plano (acceso API y uso de servicio web) Archivo de Certificados/Key “Hardcode” en App iOS Comunicación, Autenticación y Cifrado (M3 – M4 – M5)Doce de las aplicaciones establecen canales HTTP no cifrados, mientras una gran parte de aplicaciones usan comunicación HTTPS con certificados autofirmados y no verifican la autenticidad del certificado digital (por ej. Métodos Certificate Pinning), lo que facilitaría a un atacante generar ataques MiTM (Main-in-the-Middle). Uso de Certificados Auto firmados en Apps Evidencia de uso de canales HTTP (sin cifrar) en Apps para comunicación con Backends Vulnerabilidades por Desarrollo de Código Inseguro (M7) Entre los principales hallazgos de este tipo de vulnerabilidades seguimos encontrando malas practicas de desarrollo que exponen a el App a vulnerabilidades de tipo Inyección SQL y XSS (Cross Site Scripting) dado que se encuentra permitido el uso de Webviews (funcionalidad deprecada) para que puedan ejecutar código JavaScript o a su vez agregan librerías HTML. Uso de consultas concatenadas vulnerables potencialmente a SQL Injection Hardcode de clave secreta Otras de las malas prácticas que pudimos observar en esta categoría, es el uso indebido o generación de funciones para realizar debugging o logging de aplicaciones en producción. Este tipo de funciones deberían usarse exclusivamente en entornos de desarrollo. Uso de Funciones de debugging “Console” activadas en producción Información Sensible “Harcodeada” y Uso de Ofuscación (M9) En 22 aplicaciones Android de las 30 analizadas se pueden descargar y modificar de manera arbitraria, con lo cual se puede obtener de manera legible las clases de java de las aplicaciones ya que no mantienen ninguna característica de ofuscación de código (despersonalización) para dificultar el proceso de reversing. Revisión de clases java luego de proceso de reversing Archivos con API Keys legibles Desde nuestras investigaciones, generación de post y contenido, creemos que esto sigue siendo un aporte más y esperamos que sirva para ayudar a desarrolladores y que la industria continúe mejorando en aspectos de seguridad; ya que, como vemos al involucrar nuevas tecnologías, también se pueden heredar malas prácticas que conllevan a mejorar y revisar nuevos vectores de buscan los atacantes. Sin duda, gracias a los nuevos recursos digitales, las compañías de seguros tienen posibilidades de acceso, personalización y contacto; sin embargo, es importante que sean consientes que los datos de sus clientes estas expuestos a riesgos informáticos por lo cual mediante controles apropiados y evaluaciones constantes deberían protegerlos manteniendo a salvo también la su infraestructura tecnológica ante potenciales amenazas. Carlos ÁvilaChief Security Ambassadorcarlos.avila@global.11paths.com @badboy_nt Cómo predecir el futuro y reducir la incertidumbre gracias a la inferencia bayesiana (I)Resumen de nuestro último Whitepaper: Informe de tendencias en ciberseguridad 2019
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
Área de Innovación y Laboratorio de ElevenPaths Nueva herramienta Aridi: obteniendo información del sistema y su infraestructura en Linux Dentro de nuestro programa de tutorización de proyectos fin de máster, desde el área de Innovación y Laboratorio de ElevenPaths, hemos considerado oportuno destacar el trabajo de Daniel Pozo...
Gabriel Bergel Implementando ciberseguridad desde cero (Parte 2) Con el objetivo de continuar con el post publicado en nuestro blog hace unos días sobre “Cómo implementar Ciberseguridad desde cero”, continuamos con nuestros consejos de cómo empezar a...
Área de Innovación y Laboratorio de ElevenPaths KORDO, nuestra tecnología para solucionar el registro de jornada (apoyada en Latch) Desde el pasado 12 de mayo, las empresas deben registrar diariamente la jornada de sus trabajadores, tras la aprobación por el Gobierno del Real Decreto-ley de medidas urgentes de...
