ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
Área de Innovación y Laboratorio de ElevenPaths KORDO, nuestra tecnología para solucionar el registro de jornada (apoyada en Latch) Desde el pasado 12 de mayo, las empresas deben registrar diariamente la jornada de sus trabajadores, tras la aprobación por el Gobierno del Real Decreto-ley de medidas urgentes de...
ElevenPaths Girls Inspire Tech #GIT2017: el laboratorio tecnológico de CDO para hijas de empleados de Telefónica Desde Telefónica creemos que para crear tecnología hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Por eso, el sábado 16 de diciembre...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
Área de Innovación y Laboratorio de ElevenPaths Una investigación de ElevenPaths en la Digital Crimes Consortium y DIARIO en la RootedCON La Unidad de Delitos Digitales de Microsoft invita a las fuerzas del orden a unirse con expertos y profesionales de la seguridad en el encuentro privado anual “Digital Crimes...
Roberto Velasco RASP: un nuevo enfoque en la protección de aplicaciones A medida que las aplicaciones web y los ataques aumentan, es necesario introducir enfoques como la tecnología RASP para automatizar su defensa y protección.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths Seguridad criptográfica en IoT (II) La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques de red usando la ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
La industria de Seguros y sus aplicaciones móvilesCarlos Ávila 11 abril, 2019 En la actualidad, el sector de aseguradoras, como la mayoría de industrias, se suma a la transformación digital, brindando a través de la tecnología un salto relevante a nuevos y mejores servicios para sus clientes. Sin duda, las compañías de seguros siempre han buscado acercarse a sus agentes o corredores como forma de asegurar su lealtad o preferencia frente a otras compañías; así como a sus clientes finales para que ellos ser menos dependientes de los primeros. Las entidades de seguros pueden operar en uno o en múltiples servicios (hospitalarios, accidentes, automóvil, incendios, responsabilidad civil, etc.), con lo cual a día de hoy pueden desde una aplicación móvil algún usuario podría acceder a múltiples opciones como, por ejemplo, contratar un seguro medico, gestionar pólizas y reclamos, reportar siniestros, entre otros. Toda la información que se produce por los asegurados es gestionada por tu dispositivo móvil y alguna infraestructura tecnológica (propia o de tercero) de la empresa aseguradora, con lo cual, como en cualquier otro tipo de industrias estas aplicaciones podrían mantener vulnerabilidades que podrían en riesgo los datos de sus clientes. Muchas de estas aplicaciones tienen comunicación directa desde internet con dispositivos y sistemas a la interna de la compañía que ejecutan procesos internos, creando un vector de ataque adicional para los cibercriminales que intenten buscar este tipo de información. Funcionalidades de Aplicación de Compañía de Seguros Médicos En este análisis, he seleccionado la última versión de 58 aplicaciones (iOS/Android) de compañías aseguradores donde el usuario (agente, broker o empresas) accede a diversos servicios. Las aplicaciones fueron seleccionadas en base a fuentes de las compañías de ranking en Latinoamérica y en el mundo. Dentro de este muestreo de aplicaciones, nos enfocamos en analizar únicamente la aplicación móvil, ya que si bien se descubrieron debilidades del lado del servidor (backend) no fueron incluidas. Para esta revisión utilizamos un dispositivo Android (rooteado), IPhone 5S (no jailbreak) y nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles) y Tacyt (herramienta de ciberinteligencia de amenazas móviles). Los controles de seguridad del Top 10 Mobile de OWASP se realizaron pruebas a nivel general, las mismas que solo representan un vistazo general de una cantidad de pruebas en detalle y de manera exhaustiva que se podrían realizar a las aplicaciones móviles. Top 10 Mobile Risks OWASP Los resultados demostraron que, si bien se han implementados controles de seguridad para el desarrollo de este tipo de aplicaciones, se encontraron varias debilidades que deberían corregirse y sobre todo mantener la mejora continua en el proceso de desarrollo. Las vulnerabilidades encontradas conforme a los controles evaluados se encuentran en la siguiente matriz de resumen: Resumen general con resultados controles revisados Los datos y detalles técnicos donde se mencionan a la empresa dueña o detalles del desarrollador de la aplicación han sido censurados; sin embargo, iremos presentando hallazgos que hemos considerado muestreos relevantes de potenciales debilidades. Dichas vulnerabilidades podrían estar poniendo en riesgo los datos de los usuarios e inclusive la infraestructura con que interactúan y a continuación te contamos más detalles. Almacenamiento Inseguro y Privacidad (M2) En 21 aplicaciones de las 58 analizadas hemos encontramos datos a los que hemos catalogado como “privados o sensibles” en donde se pudieron obtener usuarios y contraseñas de acceso a servicios como APIs, archivos XML de configuraciones, archivos SQLite sin protección, entre otros. Los resultados se obtuvieron mediante el análisis estático de la aplicación y observando las aplicaciones en ejecución. Evidencias de Hardcode Claves en Texto-Plano (acceso API y uso de servicio web) Archivo de Certificados/Key “Hardcode” en App iOS Comunicación, Autenticación y Cifrado (M3 – M4 – M5)Doce de las aplicaciones establecen canales HTTP no cifrados, mientras una gran parte de aplicaciones usan comunicación HTTPS con certificados autofirmados y no verifican la autenticidad del certificado digital (por ej. Métodos Certificate Pinning), lo que facilitaría a un atacante generar ataques MiTM (Main-in-the-Middle). Uso de Certificados Auto firmados en Apps Evidencia de uso de canales HTTP (sin cifrar) en Apps para comunicación con Backends Vulnerabilidades por Desarrollo de Código Inseguro (M7) Entre los principales hallazgos de este tipo de vulnerabilidades seguimos encontrando malas practicas de desarrollo que exponen a el App a vulnerabilidades de tipo Inyección SQL y XSS (Cross Site Scripting) dado que se encuentra permitido el uso de Webviews (funcionalidad deprecada) para que puedan ejecutar código JavaScript o a su vez agregan librerías HTML. Uso de consultas concatenadas vulnerables potencialmente a SQL Injection Hardcode de clave secreta Otras de las malas prácticas que pudimos observar en esta categoría, es el uso indebido o generación de funciones para realizar debugging o logging de aplicaciones en producción. Este tipo de funciones deberían usarse exclusivamente en entornos de desarrollo. Uso de Funciones de debugging “Console” activadas en producción Información Sensible “Harcodeada” y Uso de Ofuscación (M9) En 22 aplicaciones Android de las 30 analizadas se pueden descargar y modificar de manera arbitraria, con lo cual se puede obtener de manera legible las clases de java de las aplicaciones ya que no mantienen ninguna característica de ofuscación de código (despersonalización) para dificultar el proceso de reversing. Revisión de clases java luego de proceso de reversing Archivos con API Keys legibles Desde nuestras investigaciones, generación de post y contenido, creemos que esto sigue siendo un aporte más y esperamos que sirva para ayudar a desarrolladores y que la industria continúe mejorando en aspectos de seguridad; ya que, como vemos al involucrar nuevas tecnologías, también se pueden heredar malas prácticas que conllevan a mejorar y revisar nuevos vectores de buscan los atacantes. Sin duda, gracias a los nuevos recursos digitales, las compañías de seguros tienen posibilidades de acceso, personalización y contacto; sin embargo, es importante que sean consientes que los datos de sus clientes estas expuestos a riesgos informáticos por lo cual mediante controles apropiados y evaluaciones constantes deberían protegerlos manteniendo a salvo también la su infraestructura tecnológica ante potenciales amenazas. Carlos ÁvilaChief Security Ambassadorcarlos.avila@global.11paths.com @badboy_nt Cómo predecir el futuro y reducir la incertidumbre gracias a la inferencia bayesiana (I)Resumen de nuestro último Whitepaper: Informe de tendencias en ciberseguridad 2019
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths Nuevas capacidades para el futuro de la ciberseguridad: Security Innovation Days 2020 (Día 2) Revive en este artículo la segunda jornada del evento anual de innovación de ElevenPaths, la compañía de ciberseguridad de Telefónica Tech.
ElevenPaths Ciberseguridad y negocio en la nueva era: Security Innovation Days 2020 (Día 1) ¿Te perdiste la primera jornada del SID2020? Revive en este post el primero de los 3 días del evento anual de innovación en ciberseguridad de ElevenPaths.
Gonzalo Álvarez Marañón ¿Eres cripto-ágil para responder con rapidez a ciberamenazas cambiantes? Un negocio se considera ágil si es capaz de responder rápidamente a los cambios del mercado, adaptándose para conservar la estabilidad. Ahora bien, sin criptografía no hay seguridad y...
ElevenPaths ElevenPaths acerca el cambio de paradigma de la ciberseguridad y la transformación digital de la nueva era en el SID 2020 La compañía de ciberseguridad de Telefónica Tech celebra su VIII Security Innovation Days, esta vez en un formato virtual y ampliando de una a tres medias jornadas, los días...
