ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Área de Innovación y Laboratorio de ElevenPaths DIARIO, el detector de malware en documentos que respeta la privacidad Con DIARIO es posible escanear y analizar documentos en busca de malware sin necesidad de conocer su contenido. Descubre más en este post.
ElevenPaths ElevenPaths y Consultores de Firma Avanzada juntos para securizar el mundo de la Banca Digital, Aseguradoras y Utilities Los avances científicos en áreas del reconocimiento facial y de la voz, o del reconocimiento biométrico de la firma ya son una realidad. Hoy os anunciamos nuestro reciente acuerdo...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths El informe Chilcot y los metadatos de la guerra John Chilcot presidente de la Comisión Independiente para investigar la participación de UK en la guerra de Iraq, presentaba hace unos días el informe con el conjunto de conclusiones...
ElevenPaths SmartID y SealSign en Mobile World Congress 2015 En un mundo cada vez más digital, donde la identidad y la privacidad de los usuarios está expuesta a continuas amenazas, desde Telefónica y ElevenPaths apostamos por la creación...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
ElevenPaths Presentamos nuestros nuevos podcast: ElevenPaths Radio ¡Llega la nueva serie de podcast de ElevenPaths! Te invitamos a descubrir el apasionante mundo de la ciberseguridad junto a nuestro Chief Wellbeing Officer, Gonzalo Álvarez Marañón, y una...
ElevenPaths ElevenPaths Radio – 1×11 Entrevista a Juan Santamaría Disfruta de la entrevista a Juan Santamaría, CEO de Panda Security, en ElevenPaths Radio, nuestro podcast sobre ciberseguridad.
Google reporta el 17% de las vulnerabilidades en Microsoft. Microsoft y Qihoo, el 10%Área de Innovación y Laboratorio de ElevenPaths 22 octubre, 2019 ¿Quién encuentra más vulnerabilidades en los productos de Microsoft? ¿Qué porcentaje de vulnerabilidades son descubiertas por la propia Microsoft, empresas o brókeres de vulnerabilidades? ¿Cuántos fallos no se sabe quién los ha descubierto? En este informe hemos analizado lo datos de los últimos tres años y medio para entender quién resuelve qué en el mundo de los productos Microsoft y la gravedad de estos fallos. Asimismo, nos permite disponer de una visión interesante sobre quién investiga realmente los productos de Microsoft, los reporta de manera responsable, así como cuántas vulnerabilidades están acreditadas y cuántas no (lo que podría suponer que son descubiertas por atacantes). En este informe resolveremos las dudas de cuántos fallos encuentra Microsoft en su propio código, su gravedad, qué tendencia siguen y cuántos fallos son encontrados por terceros ya sea a través de programas de recompensa por vulnerabilidades o con sus propios medios. Hemos realizado algo muy simple. Hemos recopilado y procesado toda la información de CVEs acreditadas desde marzo de 2016 hasta septiembre de 2019. La fuente de información ha sido principalmente esta página. Estas son las vulnerabilidades acreditadas (esto es, reportadas por alguien identificable, ya sea particular o empresa). En 2019, hemos analizado 621 vulnerabilidades acreditadas (hasta septiembre). 607 en 2018, 593 en 2017 y 310 en 2016 (solo cuenta desde abril). Esto hace un total de 2131 vulnerabilidades analizadas. De todas ellas hemos extraído su gravedad a través del CVSS oficial del NIST. Este número no supone el total de fallos descubiertos cada mes ni cada año. En realidad, hemos contado además los fallos no acreditados directamente. Entendemos que la mayoría de estos fallos pueden venir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor (y no ha sido reportada de forma anónima). En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas” (que no es lo mismo que anónimas) se ve reflejada en la siguiente gráfica. Resumen Google colabora en el reporte de vulnerabilidades en productos Microsoft con algo más de un 17% de todos los fallos. Aproximadamente un 25% de los fallos son reportados por la categoría “otros” que engloba pequeñas empresas que no suelen reportar a menudo, o analistas independientes.El tercer puesto es para la propia Microsoft que corrige algo más del 10% de sus propios fallos, y seguida muy de cerca por la china Qihoo 360 que encuentra, sin embargo, fallos más graves que Microsoft.NCSC, iDefense y Check Point suelen reportar vulnerabilidades con una gravedad por encima del 5. A casi la mitad en general se les otorga una gravedad de 8.En 2017 y 2018, Google lideró el número de vulnerabilidades solucionadas en productos Microsoft. Desde 2016, los fallos encontrados por la propia Microsoft han ido en aumento; pero durante el 2019 Qihoo 360 y ZDI han encontrado un gran número de vulnerabilidades.Apenas un 2% de las vulnerabilidades acreditadas son de gravedad máxima.En 2016, un 25% de las vulnerabilidades no se atribuyeron a nadie en particular. En 2019 (hasta septiembre), tan solo un 9% de las vulnerabilidades no tuvieron un autor determinado. Esto puede indicar que se ha mejorado el número de fallos que se encuentran de forma responsable. Podemos concluir que la mayoría de vulnerabilidades encontradas en Microsoft (cuya mayoría tiene una gravedad de 8), son encontradas por cuatro principales actores: Google, Qihoo, ZDI (que aglutina a investigadores independientes) y la propia Microsoft. En los últimos años, se han invertido los papeles, y Google y Microsoft han cedido el puesto a ZDI y Qihoo. También llama la atención el importante descenso de vulnerabilidades no acreditadas (encontradas y reportadas de forma no responsable). De un 25% en 2016 a apenas un 9% en 2019, lo que implica una mejor gestión de los fallos, precisamente a través de plataformas como ZDI, donde se compensa a los investigadores y se les motiva a que los fallos se reporten de forma responsable. Quién es quién en el descubrimiento de vulnerabilidades Microsoft from ElevenPaths El fin de Enigmail descubre realidades del software que… ¿podrían matar a Thunderbird?Security Innovation Day 2019: Guards for Digital Lives
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths ElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source Esta nueva Fundación para la Seguridad del Código Abierto (OpenSSF) reúne a las empresas líderes en tecnología como Microsoft, Google, Red Hat e IBM, entre otrosCombina los esfuerzos de...
Sergio De Los Santos ¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware? Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 25-31 de julio BootHole: vulnerabilidad en GRUB2 Investigadores de Eclypsium han descubierto una vulnerabilidad de desbordamiento de búfer en el gestor de arranque GRUB2 que podría utilizarse para ejecutar código arbitrario durante el...
