ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center de Telefónica.
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Innovación y diversidad en ciberseguridad (IV) Tras hablar del futuro de las SecOps y la automatización gracias a la IA, presentar varias proyectos innovadores de Start-ups y analizar cómo mejorar la resistencia frente a ataques...
ElevenPaths Nuevo Informe: Certificate Transparency Mining, hasta un 10% de mejora en la enumeración de subdominios “de calidad” Pese a estar concebido como un mecanismo para el refuerzo de la seguridad durante la navegación web, Certificate Transparency proporciona unas capacidades laterales muy interesantes y diferentes respecto a...
ElevenPaths Security Day 2016_Security Evolution Aforo completo La revolución digital avanza de manera imparable y el ecosistema de negocio actual exige adaptación. En ElevenPaths creemos que no existe adaptación sin evolución y que la seguridad...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center de Telefónica.
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Innovación y diversidad en ciberseguridad (IV) Tras hablar del futuro de las SecOps y la automatización gracias a la IA, presentar varias proyectos innovadores de Start-ups y analizar cómo mejorar la resistencia frente a ataques...
Deepak Daswani Identificando usuarios y haciendo profiling de objetivos en la Wifi del avión A estas alturas ya deberías saber que las WiFis públicas no son seguras. En este post te mostramos un ejemplo de la información que se puede obtener.
ElevenPaths Nueva herramienta: PinPatrol para Chrome, algo más que un plugin, una herramienta forense En julio, creamos una nueva herramienta para mejorar la experiencia de uso con HPKP y HSTS en Firefox. Ahora es el momento de Chrome. PinPatrol para Chrome muestra esta...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center de Telefónica.
Sebastián Molinetti 5 maneras en las que los usuarios crean incidentes de ciberseguridad De acuerdo con la Encuesta del Estado Global de la Seguridad de la Información (GISS) 2018, aunque las empresas están gastando más recursos en ciberseguridad para mejorar sus defensas,...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 25-29 de noviembre Resumen de las noticias de ciberseguridad más importantes de los últimos días. Ataque contra Prosegur, fuga de datos en Twitter y Facebook y más.
ElevenPaths Resumen de nuestro último Whitepaper: Informe de tendencias en ciberseguridad 2019 Echamos la mirada al panorama de la ciberseguridad en 2018 para analizar la evolución de las amenazas en el mundo digital, los nuevos retos que se nos presentan y el...
Las contraseñas están en vía de extinciónDiego Samuel Espitia 4 abril, 2016 En todos los sitios donde se brinda algún servicio en Internet nos piden un usuario y una contraseña para acceder a los servicios que ofrecen, sin embargo, la mayoría de usuarios tomamos esto como una medida de seguridad, pero no es así, la combinación usuario y contraseña se creó y funciona como un mecanismo de control de acceso. Esta confusión ha generado que los usuarios sientan una falsa sensación de seguridad en Internet, pues en su mayoría las personas creen que su contraseña protege toda su información, sin tener en cuenta que cada día son más las contraseñas que han sido robadas de sitios web muy reconocidos, nada más por nombrar algunos casos críticos podemos nombrar las siguientes: Agosto, 2014: 1.200 millones de contraseñas publicadas por la mafia rusa, tras afectar más de 420.000 sitios web. Octubre, 2015: se publicaron los datos de acceso de 13 millones de usuarios de LinkedIn.Enero, 2016: sitio web de e-bay un fallo en el sistema permite robo de credenciales a través de un XSS indetectable para el cliente. Sin contar que todos los días son robadas cientos o miles de credenciales de varios sitios, que son comprometidos por bajos niveles de seguridad, exponiendo a sus usuarios a que su información sea publicada o usada para otros fines. Existen sitios que se encargan de mostrar las publicaciones de estas fugas de información en tiempo real, como el que vemos a continuación que es de 2016. Estas fugas de información generan un riesgo crítico a nivel empresarial, debido a que la mayoría de usuarios solo tienen una contraseña para entrar a todos los servicios en línea que usan, con lo cual un delincuente que obtenga acceso a una de esas contraseñas tendría la capacidad de suplantar la vida digital de la víctima, incluidos sus perfiles laborales. Por esta razón, las organizaciones que consideran la información como un pilar de su funcionamiento han tomado medidas para mitigar este riesgo generado por sus usuarios, dentro de las que se tienen el forzar el cambio de contraseña cada 3 meses y forzar que contengan características que compliquen su creación, pero ¿qué tan eficientes son estas medidas? Desafortunadamente estas medidas no son efectivas, debido a que la vulnerabilidad sigue siendo generada por el usuario y su falsa creencia de seguridad que le da la contraseña, esto lleva a que el usuario continúe usando contraseñas simples, un ejemplo claro de esto se presentó en Noviembre del 2014, cuando el FBI pudo descifrar la evidencia que tenía para condenar a un ciberdelincuente, porque éste usaba el nombre de su gato como contraseña de cifrado. ¿Qué alternativas tenemos para asegurar el acceso a nuestra información? En realidad se han generado grandes estudios para el desarrollo de sistemas que brinden una mayor seguridad que una contraseña y adicionalmente sirvan como control de acceso. Llegando a la conclusión que para garantizar la identificación y autenticación de un usuario el servicio debe solicitar: Algo que eres. Es el componente basado en la biometría de cada individuo, como la firma, la huella dactilar, la huella palmar, la forma de las venas en la mano, entre otras.Algo que tienes. Es el componente físico de los requerimientos, puede ser una tarjeta inteligente, una llave USB, entre otras.Algo que sabes. Es el componente de conocimiento que debe tener el individuo, puede ser un valor numérico o alpha-numérico único o variable con el tiempo. Estos tres componentes nos garantizan la identidad y autenticidad del usuario al momento de solicitar el acceso a un servicio y resta la complicación al usuario de tener que recordar o memorizar contraseñas para cada sitio, lo cual cada día es más inviable. Estos componentes le dan la posibilidad a las empresas de integrar las identidades de su personal con sus sistemas de información, controlando así la posibilidad de fraudes internos o de cuentas que se usen de forma compartida entre varios usuarios y brindando a los usuarios la simplicidad de autenticarse en los diferentes sistemas de información usando componentes de uso común. En la actualidad, existen desarrollos para que los usuarios validen su identidad a través de su dispositivo móvil, donde los servicios web pueden integrar de forma simple la autenticación con un sistema que garantiza la identidad del usuario con algo que tiene como es su dispositivo movil, con algo que sabe como un PIN y con algo que es como los datos cargados en el sistema del proveedor de telefónica móvil, este es el concepto fundamental de mobile connect. Matamos las contraseñas. Compruébalo por ti mismoElevenPaths Talks: Metodologías de testing de seguridad
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center de Telefónica.
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Innovación y diversidad en ciberseguridad (IV) Tras hablar del futuro de las SecOps y la automatización gracias a la IA, presentar varias proyectos innovadores de Start-ups y analizar cómo mejorar la resistencia frente a ataques...
Área de Innovación y Laboratorio de ElevenPaths A la caza del replicante: caso de uso de CapaciCard en el Security Innovation Day 2019 Descubre cómo funciona CapaciCard, nuestra tarjeta con propiedas capacitivas, con este caso de éxito del Security Innovation Day ambientado en Blade Runner.
ElevenPaths ElevenPaths Radio – 1×13 Entrevista a Pilar Vila Todo lo que rodea a la figura del perito informático forense en esta entrevista en formato podcast con Pilar Vila, CEO de Forensics&Security.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de diciembre Segunda edición de nuestro boletín semana del noticias sobre ciberseguridad. Los ataques y vulnerabilidades más relevantes, analizadas por nuestros expertos del SCC: Strandhogg: vulnerabilidad en Android que permite obtener credenciales...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Mejorando la resistencia entre ataques distribuidos de denegación de servicios (III) La última edición de nuestro evento de innovación en ciberseguridad: Security Innovation Day, dio para mucho. En esta serie de posts analizamos los temas tratados, tras explicar qué se...
