ElevenPaths De MDR a MSS y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths GSMA IoT Webinars dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM to Create a Trusted IoT” El próximo 23 de enero a las 16:00h, la GSMA presenta este webinar de IoT en inglés dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM...
ElevenPaths Vente a crear tecnología a la unidad Chief Data Office de Telefónica ¡Hola Hacker! La tecnología está en constante evolución y nosotros con ella. Por eso, desde Telefónica, a través de la unidad de Chief Data Office (CDO) liderada por Chema Alonso,...
ElevenPaths De MDR a MSS y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Hace poco hemos sabido que España envió 1.353 solicitudes gubernamentales para acceder a datos de usuarios de Facebook en la primera mitad de 2020. Gracias al informe de transparencia...
ElevenPaths GSMA IoT Webinars dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM to Create a Trusted IoT” El próximo 23 de enero a las 16:00h, la GSMA presenta este webinar de IoT en inglés dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2019: Clausura por Chema Alonso (VI) Te traemos la charla de nuestro Chairman Chema Alonso en la clausura del Security Innovation Day, el evento más importante de innovación en ciberseguridad.
ElevenPaths De MDR a MSS y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
Gabriel Bergel Implementando ciberseguridad desde cero (Parte 2) Con el objetivo de continuar con el post publicado en nuestro blog hace unos días sobre “Cómo implementar Ciberseguridad desde cero”, continuamos con nuestros consejos de cómo empezar a...
ElevenPaths WordPress in Paranoid Mode: Cómo fortificar tu BBDD de WordPress con Latch En ElevenPaths no hemos dejado de investigar e intentar diferentes soluciones y posibilidades para hacer el mundo digital más seguro. Chema Alonso y Pablo González realizaron una investigación sobre...
Los sesgos del arte del engañoGabriel Bergel 22 noviembre, 2018 Hace un par de semanas atrás, un compañero escribía una entrada en el post explicando “Los seis principios de la influencia que utilizan los cibercriminales para hackear tu cerebro”, y también, en algún webinar de los ElevenPaths Talks hemos conversado sobre la Ingeniería Social como “A la Pesca de Víctimas” y “El Arte del Engaño”. A partir de haber definido en varias ocasiones que la Ingeniería Social es una mezcla de ciencia, psicología y arte, como “cualquier acto que influya en una persona para tomar una acción que puede o no ser lo mejor para él”, creemos que la ingeniería social no siempre es negativa y abarca el cómo nos comunicamos con nuestros padres, terapeutas, hijos, cónyuges… como lo define el propio Kevin Mitnick en su libro “The Art of Deception”. En la entrada anterior, comentábamos sobre las formas de influir, pero en esta ocasión, queríamos tratar el tema de los sesgos. Los sesgos no son más que las desviaciones de un estándar de racionalidad o buenos juicios. Hay muchos tipos diferentes, sin embargo, estos 7 son los más importantes que queremos mencionar: Quid Pro Quo: Significa algo para algo, muy utilizado por policías y agencias de inteligencias, pero también por ingenieros sociales. Un atacante llama a números aleatorios en una empresa que reclama llamar desde el soporte técnico. Eventualmente llegaran a alguien con un problema legítimo, agradecidos de que alguien los llame para ayudarlos. El atacante “ayudará” a resolver el problema y, en el proceso, la victima tendrá que escribir comandos que le den acceso al atacante o inicien la instalación de algún código malicioso (malware). Baiting: Es como el caballo de Troya contemporáneo, se utilizan medios físicos, por lo general periféricos y se basa en la curiosidad o la codicia de la víctima. En este ataque, el atacante deja un pendrive USB infectado con malware o un disco duro externo USB en una ubicación segura (baño, ascensor, acera, estacionamiento), le da una etiqueta de aspecto legítimo y curioso, y simplemente espera a que la víctima use el dispositivo. Hoy en día no es necesaria la interacción del usuario para tomar control del computador de la victima, solo es necesario que lo conecte para que se ejecute el payload. Pretexting: Es el acto de crear y usar un escenario inventado para involucrar a una víctima específica de manera que aumente la posibilidad de que la víctima divulgue información o realice acciones que serían poco probables en circunstancias normales. Esta técnica se puede utilizar para engañar a una empresa para que divulgue información del cliente, así como por investigadores privados para obtener registros telefónicos, registros de servicios públicos, registros bancarios y otra información directamente de los representantes del servicio de la compañía. La información puede ser utilizada para establecer una legitimidad aún mayor bajo un cuestionamiento más intenso con un gerente, por ejemplo, para hacer cambios en la cuenta, obtener saldos específicos, etc. Diversion Theft: También conocido como “Corner Game” o “Juego de la esquina”, originado en el East End of London, el robo de diversión es una “estafa” ejercida por ladrones profesionales, normalmente, en contra de una empresa de transporte o mensajería. El objetivo es persuadir a las personas responsables de una entrega de que el envío se solicita en otro lugar. Tailgaiting o Piggybacking: Un atacante busca ingresar a un área restringida donde el acceso es desatendido o controlado por un control de acceso electrónico. Esta técnica consiste en simplemente entrar detrás de una persona que tiene acceso, mayormente utilizada en organizaciones donde se tiene más de una puerta o tal vez una salida secundaria al establecimiento. La persona legítima generalmente mantendrá la puerta abierta para el atacante, además, no solicita la identificación y asume que el atacante ha olvidado o perdido la tarjeta de identidad correspondiente. Phishing: Técnica de suplantación de identidad mediante correos electrónicos fraudulentos que conducen a sitios web falsos. El objetivo de este ataque es el robo de credenciales y datos sensibles, además de infección del equipo y la red. Se diferencian dos tipos de phising: Phising genérico – Características: El phishing no es necesariamente dirigido. Se cuelga de servidores y dominios existentes, y envía spam masivamente.Su efectividad es baja, pero debido al alto número de muestra, es viable. Spear Phishing – Características: El phishing es dirigido. Cuenta con dominio personalizado. Es altamente efectivo ya que si el atacante se dedica a autenticar el correo este llegaría a la bandeja de entrada de la víctima. Registro SPF, Firma DKIM, DMARC, etc. Phising de una falsa advertencia sobre una multa no pagada en una autopista de Chile. El link tiene URL de Francia, pretende que bajemos un ZIP infectado con un ransomware Sitio web falso que simula ser un Banco Estado Una de las principales conclusiones del reporte DBIR (Data Breach Investigation Report) del 2018 es que los cibercriminales siguen teniendo éxito con las mismas técnicas probadas y comprobadas, y sus víctimas siguen cometiendo los mismos errores. Hoy en día, las personas siguen cayendo en las mismas trampas de los cibercriminales, y siguen cayendo en campañas de phishing. Vishing: Esta técnica utiliza un sistema de respuesta de voz (IVR) fraudulento para recrear una copia legítima de un sistema de IVR de un banco u otra institución. Se le solicita a la víctima (generalmente a través de un correo electrónico de suplantación de identidad) que llame al “banco” a través de un número (idealmente gratuito) proporcionado para “verificar” la información, incluso puede hacer la llamada directamente haciéndose pasar por el ejecutivo del banco. Recomendaciones Las personas deben establecer marcos de confianza. (Deben de responder a estas preguntas: cuándo, dónde, porqué, cómo se debe manejar la información privada y confidencial.Verificar siempre las fuentes de información de los correos y llamadas entrantes.Nunca ingresar un link directamente desde el correo.Revisar periódicamente tus cuentas bancarias.Pedir detalles siempre sobre la identidad de quien llama, si alguien llama y no puede acreditar quien es o de qué empresa habla, no mantengas la conversación.No debes sentir obligación/urgencia/felicidad de recibir un correo/llamada y proporcionar información privada o información de tu tarjeta bancaria, por lo general si lo sientes, es un phishing. Como cita Kevin Mitnick: “Pueden contar con procesos bien definidos y robustos, además de la mejor y última tecnología disponible, sin embargo, lo único que necesita es un llamado a un usuario no capacitado o desprevenido, para vulnerar toda la seguridad de una compañía”. Conclusiones Hay que tener mucho cuidado cuando recibes un correo de un desconocido o una llamada de un extraño, las personas somos el eslabón mas débil de la ciberseguridad. Para despedirme, os invito a conocer más sobre los #11PathsTalks, webinars gratuitos impartidos por los Chief Security Ambassadors. Qué hemos presentado en el Security Innovation Day 2018: Apertura Keynote (I)#CyberMonday 2018 en ElevenPaths
ElevenPaths De MDR a MSS y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Hace poco hemos sabido que España envió 1.353 solicitudes gubernamentales para acceder a datos de usuarios de Facebook en la primera mitad de 2020. Gracias al informe de transparencia...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría...
Diego Samuel Espitia Usando librerías de desarrollo para desplegar malware Los ciberdelincuentes buscan estrategias para lograr sus objetivos: en algunos casos se trata información de usuarios; en otros, conexiones; otras veces generan redes de equipos bajo su control (botnets),...
