ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths ElevenPaths Radio – 1×10 Entrevista a Ramón López de Mántaras En este episodio hablamos con Ramón López de Mántaras, director del Instituto de Investigación en Inteligencia Artificial del CSIC, pionero de IA en España.
ElevenPaths ElevenPaths Radio – 1×03 Entrevista a Miguel Rego Ya disponible un nuevo capítulo de ElevenPaths Radio, nuestra serie de podcast en el que, a través de entrevistas a los actores más relevantes de la ciberseguridad, damos una...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityPulse: Nueva propuesta para adaptar las capacidades de la Infantería de Marina de Estados Unidos a los nuevos tiempos El jefe de la Infantería de Marina de Estados Unidos quiere remodelar su equipo. El Cuerpo de Marines está considerando ofrecer bonos y otros beneficios para atraer a los...
ElevenPaths Quiero ir a Security Innovation Day 2016 de ElevenPaths y Telefónica SORTEAMOS 1 ENTRADA DOBLE ¡Sorteamos 1 entrada doble para Security Innovation Day 2016! Sí, has leído bien. Si quieres asistir al evento del año sobre innovación y seguridad, participa en...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? (parte 1) Estar preparado para un incidente de ciberseguridad es tan importante como la respuesta al mismo. Nuestro CSA Gabriel Bergel te lo cuenta en este post.
ElevenPaths Segunda Edición de Women in Cybersecurity of Spain organizada por Telefónica El pasado martes, 11 de diciembre, celebramos en el Edificio Central de Telefónica Madrid la Segunda Edición de Women in Cybersecurity of Spain (WiCS). Este encuentro nace con el...
La tecnología y los ‘Toll Pay’… ¿(In)Seguridad en Aplicaciones Móviles de TelePeajes?Carlos Ávila 28 noviembre, 2019 Con frecuencia viajamos hacia nuestros destinos preferidos y vemos cómo las ciudades se modernizan a partir del uso a tecnologías con el fin de agilizar procesos de pago, mejorar el transito y lograr que los usuarios ganen tiempo en sus rutinas diarias. Toda esta información es gestionada desde alguna infraestructura tecnológica para tomar decisiones, como verificación de pagos y saldos, apertura de telepeajes, acceso a lugares privados, etc. En otra serie de post hemos ido analizando aplicaciones móviles enfocadas en otro tipo de entornos, quizás un poco ‘inusuales’. Para escribir este articulo pensamos en realizar una revisión general a la seguridad de las aplicaciones móviles sobre telepeaje (Pay Toll o Electronic Toll Payment en inglés), y cuál seria el estado actual de seguridad de estas aplicaciones que nos ayudan a gestionar información y realizar transacciones desde nuestro coche. Imagen 1: Muestras de Aplicaciones Móviles para gestión de Telepeajes Imagen 1: Muestras de Aplicaciones Móviles para gestión de Telepeajes Hoy en día, muchas de estas aplicaciones tienen interacción con dispositivos de telemetría, RFID o comunicación directa desde internet con sistemas de la infraestructura tecnológica interna de las organizaciones, creando un vector de ataque adicional para las mismas, sumado a que los usuarios podrían utilizar aplicaciones inseguras para gestionar sus datos. En este análisis hemos seleccionado 41 aplicaciones (tanto de iOS como de Android) que percibimos como relevantes en base a su ranking, número de descargas en sus respectivos markets y características puntuales, todas ellas en su última versión, utilizando nuestra plataforma mASAPP de análisis de vulnerabilidades en aplicaciones. Dentro de este muestreo de aplicaciones nos enfocamos en analizar únicamente de manera general y no a nivel de detalles cada aplicación móvil, ya que si bien se descubrieron debilidades del lado del servidor (backend) no fueron incluidas. Analizando apps en Android e iOS Para esta revisión utilizamos un dispositivo Android (rooteado), IPhone 5S (no jailbreak) y nuestra plataforma de análisis de seguridad continuo de aplicaciones móviles mASAPP. En base a los controles de seguridad del Top 10 Mobile de OWASP realizamos pruebas a nivel macro y los resultados nos permitieron observar que el desarrollo de este tipo de aplicaciones necesitan mejorar varios aspectos de seguridad. Imagen 2: Resumen General de Resultados En principio, ciertas evidencias de este análisis nos demuestra que las aplicaciones interactúan cada vez con servicios en la nube para almacenar la información, tipo firebase, y es así también que podemos encontrarnos con varias de estas aplicaciones exponiendo datos, como se muestra en la imagen 3. Imagen 3: Firebase DB expuesta públicamente De la misma manera, encontramos estructuras fácilmente legibles entre archivos XML, API Keys o de configuración, lo que denota otra mala práctica en cuanto almacenamiento local inseguro. Imagen 4: Archivos de Certificados/Key ‘Hardcoded’ Imagen 5: Archivos con API Keys “hardcoded” Legibles Si bien una gran parte de estas aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends; como muestran nuestro cuadro de resultados, siguen funcionando algunos canales HTTP no cifrados, aplicaciones sin verificar autenticidad de certificados, certificados autofirmados, o aplicación de métodos para mejorar la seguridad en este aspecto. Imagen 6: Uso de Certificados Auto firmados Entre las prácticas inseguras de programación de aplicaciones, se observan en este tipo de aplicaciones la falta de características de ofuscación de código (despersonalización) para dificultar el proceso de reversing. Imagen 7: Revisión de clases java luego de proceso de reversing Imagen 7: Revisión de clases java luego de proceso de reversing Un dato no menor dentro de los análisis que realizamos, es que hemos encontrado que varias de las aplicaciones analizadas son encontradas por nuestra plataforma Tacyt en markets no oficiales -en este caso 12 aplicaciones-, desplegadas por otros usuarios que no son necesariamente los dueños de la aplicación. Esperamos que este post sirva como aporte para que la industria y estos entornos continúen mejorando en aspectos de seguridad, ya que como vemos en tecnologías que son cada vez mas parte de nuestra rutina diaria, se presentan riesgos informáticos y nuevos vectores de ataque que los cibercriminales buscarán utilizar si no comenzamos a tenerlos en cuenta para su mejora y protección. Qué hemos presentado en el Security Innovation Day 2019: Open Innovation Village, Start-ups y centros de innovación (II)Chronicle, la compañía de Google especializada en amenazas informáticas
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths Nuevas capacidades para el futuro de la ciberseguridad: Security Innovation Days 2020 (Día 2) Revive en este artículo la segunda jornada del evento anual de innovación de ElevenPaths, la compañía de ciberseguridad de Telefónica Tech.
ElevenPaths Ciberseguridad y negocio en la nueva era: Security Innovation Days 2020 (Día 1) ¿Te perdiste la primera jornada del SID2020? Revive en este post el primero de los 3 días del evento anual de innovación en ciberseguridad de ElevenPaths.
Gonzalo Álvarez Marañón ¿Eres cripto-ágil para responder con rapidez a ciberamenazas cambiantes? Un negocio se considera ágil si es capaz de responder rápidamente a los cambios del mercado, adaptándose para conservar la estabilidad. Ahora bien, sin criptografía no hay seguridad y...
ElevenPaths ElevenPaths acerca el cambio de paradigma de la ciberseguridad y la transformación digital de la nueva era en el SID 2020 La compañía de ciberseguridad de Telefónica Tech celebra su VIII Security Innovation Days, esta vez en un formato virtual y ampliando de una a tres medias jornadas, los días...
