Gonzalo Álvarez Marañón Retos y oportunidades de negocio de la criptografía postcuántica Antes o después habrá que dar el salto a la criptografía postcuántica. Descubre este nuevo sistema y prepara a tu organización para el cambio.
ElevenPaths Telefónica invierte en Nozomi Networks, compañía líder en seguridad y sistemas de control industrial La inversión refuerza el acuerdo que mantienen ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, y Nozomi Networks.
ElevenPaths Primer aniversario de la Cyber Threat Alliance La necesidad de datos de seguridad relevantes ha experimentado un aumento constante, dado que la gestión de la seguridad de la información se está convirtiendo en un componente clave...
ElevenPaths [Nuevo informe] “Ciberamenazas Sector Financiero Q2 2016” elaborado por Kaspersky Labs y Telefónica Descárgate el informe completo Ya está disponible el nuevo informe sobre Ciberamenazas en el sector Financiero correspondiente al segundo trimestre de 2016 elaborado conjuntamente por Kaspersky Labs y...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 27 de junio-3 de julio Adobe, Mastercard y Visa advierten de la necesidad de actualizar a Magento 2.x Los proveedores de pagos Visa y Mastercard, junto con Adobe, han intentado por última vez convencer a...
ElevenPaths Ciberamenazas durante la COVID-19, una investigación de la Telco Security Alliance ¿Cómo se han comportado los cibercriminales durante la pandemia de la COVID-19? Descúbrelo en este informe de ElevenPaths junto a Alien Labs y Trustwave.
ElevenPaths Hidden Networks: Detectando redes ocultas con los dispositivos USB < Llevamos un tiempo en ElevenPaths investigando un tema relacionada con la seguridad corporativa y las redes ocultas que se crean dentro de las organizaciones. Cuando un departamento de IT...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2017 (IV): Innovation: A Path to Success “Cuando nos preguntan qué tipo de trabajo realizamos desde el área de innovación y laboratorio de ElevenPaths y cómo funcionamos, cada uno de los interlocutores traslada consigo una idea...
Carlos Ávila La seguridad y la privacidad en el “Internet de la salud” Lo primero es la salud, pero primero debemos asegurarnos de que nuestros datos médicos cuentan con los mecanismos de seguridad adecuados para ser fiables.
Gonzalo Álvarez Marañón Retos y oportunidades de negocio de la criptografía postcuántica Antes o después habrá que dar el salto a la criptografía postcuántica. Descubre este nuevo sistema y prepara a tu organización para el cambio.
ElevenPaths Nueva versión de SDK Go para Latch SDK Go para Latch Latch tiene varios SDK implementados en varios lenguajes conocidos como Python o .NET. pero hasta ahora no había ninguno para el lenguaje Go, el cual cada vez está ganando más popularidad....
ElevenPaths La tarjeta de coordenadas: una muerte anunciada Hoy en día, las entidades bancarias que ofrecen sus productos y servicios por internet usan diferentes técnicas de autenticación (para identificar a sus clientes) y autorización (para llevar a...
Un ataque, 5 erroresElevenPaths 19 agosto, 2013 Hace pocos días se ha dado a conocer que el popular periódico Washington Post sufrió un ataque coordinado y su web fue comprometida. Lograron redirigir a los visitantes a una página panfletaria. Se sabe que un simple phishing a ciertos reporteros ha supuesto una parte del origen del problema. Nada fuera de lo común, pero después del incidente cabe reflexionar, ¿cuántos errores en cadena se han cometido y cómo se podría haber evitado? El autodenominado grupo de atacantes Syrian Electronic Army, consiguió tomar cierto control de la web del prestigioso periódico. La propia cabecera admitió que una parte del ataque comenzó el robo a un reportero de deportes la cuenta de correo a través de una simple falsificación del portal interno de Outlook. ¿Qué errores se esconden tras este incidente? 1) Como todo ataque, comenzó con algo de investigación. Los atacantes recopilaron nombres y cuentas de correo de reporteros (al parecer los que disponían de cuenta en Twitter). A estos les enviaron correos personalizados “que parecían venir de colegas de trabajo” invitando a introducir su contraseña de email puesto que al parecer la sesión había “expirado”. Aunque en algunos casos sea inevitable, conviene controlar en lo posible la fuga de información sensible que pueden suponer datos como el correo, nombres o direcciones URL internas que se pueden filtrar a través de diversos medios, como metadatos, cuentas personales de trabajadores en redes sociales… Esta es una asignatura pendiente para muchas empresas, que facilitan la labor de investigación previa de muchos atacantes. 2) Como se puede apreciar en la imagen del ataque real, el correo llevaba a un phishing normal y corriente (no es “sofisticado” como lo califican desde el Washington Post), donde se falsifica a través de un dominio de tercer nivel (site88.com) la dirección del periódico. Fuente: http://krebsonsecurity.com/2013/08/washington-post-site-hacked-after-successful-phishing-campaign/ El dominio real que se pretende suplantar se puede apreciar en esta otra imagen: Aunque no se ha dado a conocer el contenido del correo enviado en primera instancia que invitaba a visitar el enlace, es más que probable que también falsificara el dominio de procedencia, haciendo creer que venían de otros compañeros. Se sabe que se enviaron en una segunda ronda, correos desde una cuenta ya robada. Aquí los errores son claros y variados. Washington Post (como la mayoría) no utiliza DKIM y ni siquiera es muy restrictivo a la hora de usar SPF (no bloquea por defecto, sino que deja la elección al cliente). … puede que técnicamente se pudiese haber evitado que el primer correo llegara a los buzones de los usuarios. Al menos esa primera ronda que proviene de un tercero (una vez que una cuenta es robada, no hay forma de evitar que el atacante la use para enviar nuevos correos aún más creíbles). En todo caso, una vez el correo está en el buzón de entrada, quizás lo más importante es que los administradores tampoco han “entrenado” a sus usuarios para no caer en este tipo de estafas simples (correos que redirigen a enlaces que piden credenciales) aunque parezcan provenir de compañeros. 3) Ya con la web falsa mostrada en el navegador, la víctima no comprueba que el acceso no se hace cifrado, ni por supuesto, el certificado. El SSL, socialmente roto, es otra de las grandes asignaturas pendientes para los usuarios. Entrenarlos y ayudarles en este sentido es algo muy necesario. 4) Con la contraseña del correo de la víctima en las manos, el atacante probablemente, ya podría haber publicado en la web oficial como si de un editor se tratara. Sin embargo, la versión oficial salta (sin relación aparente con el phishing perpetrado previamente) a un problema de un tercero para justificar el ataque a su web. Parece que el phishing se utilizó solo para acceder al Twitter de algunos editores y el ataque a la web es en realidad un acto “complementario” al ataque. Washington Post utiliza Outbrain, una red de publicidad que se encarga de sugerir al lector otros temas y artículos en los que puede estar interesado. Outbrain reconoce un problema de seguridad, que fue comprometida, y que eso explica por qué consiguieron atacar a la CNN, y la revista Time “de un solo golpe” (también usan Outbrain). Por tanto (aunque en un principio no quedaba claro) parece que no hubo relación entre el problema de seguridad en Outbrain que condujo a la redirección en la web y el robo de credenciales de ciertos redactores o editores. En otros escenarios, lo habitual hubiese sido (simplificando): Se podría haber utilizado algún sistema de “recordar contraseña” a través del correo ya robado para obtener el acceso tanto al Twitter de sus editores como quizás a algún componente de la web manejada por los editores. Nunca se debe devolver el dato en texto claro en un correo, sino que se debe obligar a la generación de una contraseña nueva, y que este hecho sea notificado inmediatamente al administrador. El usuario podría utilizar la misma contraseña para el correo que para editar en la página. Esto debe estar prohibido por políticas. El atacante, haciéndose pasar por el legítimo dueño de la cuenta de correo, podría haber solicitado acceso especial para publicar en la web (ingeniería social). 5) Finalmente, es probable que atacante escalara privilegios o eludiese restricciones para poder controlar artículos en la web gracias al fallo de seguridad en Outbrain. En cualquier caso, una auditoría previa interna de su web, tipo “caja blanca” podría haber facilitado el descubrir lo antes posible la vulnerabilidad y solucionar previamente el fallo. Conclusiones Puede resultar muy aventurado deducir cómo ocurrió un ataque sin manejar los datos reales, sin embargo, esta estructura básica de errores en cadena expuesta con el caso del Washington Post de fondo, resulta el escenario más habitual en la mayoría de los ataques. El phishing poco sofisticado sigue siendo una herramienta eficaz y muy usada para cumplir los objetivos de los atacantes. El usuario, su desconocimiento, las tecnologías que no se entienden y la falta de políticas estrictas por miedo a incomodar al propio usuario, son el cóctel perfecto para que cualquiera que sepa clonar una página, pueda conseguir unas credenciales valiosas para realizar otros ataques más dañinos. Sergio de los Santos ssantos@11paths.com Fuga de información en empresas líderes en Data Loss PreventionExtended Validation Certificate (EV SSL): Cómo funciona técnica y socialmente
Carlos Ávila La seguridad y la privacidad en el “Internet de la salud” Lo primero es la salud, pero primero debemos asegurarnos de que nuestros datos médicos cuentan con los mecanismos de seguridad adecuados para ser fiables.
Gonzalo Álvarez Marañón Retos y oportunidades de negocio de la criptografía postcuántica Antes o después habrá que dar el salto a la criptografía postcuántica. Descubre este nuevo sistema y prepara a tu organización para el cambio.
ElevenPaths Telefónica invierte en Nozomi Networks, compañía líder en seguridad y sistemas de control industrial La inversión refuerza el acuerdo que mantienen ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, y Nozomi Networks.
Área de Innovación y Laboratorio de ElevenPaths Nuevo servidor DoH de ElevenPaths (beta) que filtra dominios maliciosos Descubre el servidor DoH que, gracias a nuestro sistema de inteligencia, filtra dominios maliciosos en tu navegador.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 27 de junio-3 de julio Adobe, Mastercard y Visa advierten de la necesidad de actualizar a Magento 2.x Los proveedores de pagos Visa y Mastercard, junto con Adobe, han intentado por última vez convencer a...
Diego Samuel Espitia Cómo protegerse de ciberataques pandémicos con herramientas gratuitas Descubre qué herramientas gratuitas puedes utilizar para proteger tu equipo ante los ciberataques más comunes y cómo configurarlas correctamente.
