1 mar 2021

Entrevista a Marcelo Vázquez a.k.a S4vitar

Por el 1 mar 2021 con 0 comentarios

Marcelo es una de esas personas que han traído un aire fresco al mundo de la ciberseguridad. Un aire desenfadado y que aporta mucho conocimiento en sus pocos años. Su canal de Youtube ya es un referente para el que quiere aprender, reciclarse o, simplemente, indagar en todo esto. Sin duda, una persona a la que seguir muy de cerca porque aprenderás, porque te divertirás y verás que hay tiempo para todo. En su juventud lleva implícita el tiempo infinito para todo lo que hace, sé de lo que hablo ;)

Hace no mucho estuvimos en su canal y tuve el placer de ser entrevistado por él. Lo pasamos bien y conocí al Marcelo "behind the scenes". Un tipo amable y simpático. Siempre dispuesto a colaborar. Siempre dispuesto a sumar. Esto hace comunidad. 

Sin más, os dejo con la entrevista a s4vitar y espero que la disfrutéis. 

1.- ¿Quién es Marcelo Vázquez a.k.a S4vitar? 

Actualmente soy un analista de seguridad, apasionado por lo que hace, al que simplemente le encanta aprender, enseñar y aportar todo lo que puede a la comunidad. Trabajo como pentester en una empresa de ciberseguridad y en paralelo soy creador de contenido en plataformas como YouTube, Twitch y Lbry, donde hasta el momento ofrezco más de 200 horas de contenido enseñando técnicas de hacking, todo ello de forma gratuita y en Español

2.- Eres una persona muy joven en una isla maravillosa, ¿En qué momento te das cuenta que lo que realmente te gusta es la ciberseguridad? 

Desde pequeño siempre hubo algo que me llamó la atención de la informática, recuerdo cómo me daba por crear programas básicos en Visual Basic o incluso usar programas como el 3D Studio Max entre otros para hacer mis pequeñas escenas y animaciones 3D, todo ello cuando tenía entre 10-12 años. Por alguna razón, todo aquello me llamaba mucho más la atención que a lo que realmente le tenía que estar dedicando mi tiempo, la tarea del colegio. Lo que es en sí el interés por la ciberseguridad, no despertó hasta los 20 años. Durante todo el transcurso hasta esa edad, todo ese interés por la informática que tenía para hacer cosas se llegó a desvanecer en algún momento, llegando a interesarme por otras cosas. Fue el reunirme con la gente adecuada, lo que hizo que ese interés volviera a despertar, llegando al punto en el que decidí dejar la carrera que estaba cursando (tercer año de ingeniería electrónica industrial y automática) para cambiarme a ingeniería informática. Es en este momento cuando volvió a despertar todo el interés que tenía de pequeño, hasta que mi propia curiosidad me llevó a la rama de la ciberseguridad. Una vez descubrí este campo, de alguna forma supe que era esto a lo que le quería dedicar horas. Me metí de lleno de manera autodidacta y poco a poco notaba que iba aprendiendo cada vez más. Lo que más me gustaba y me sigue gustando a día de hoy, es la capacidad de poder poner en práctica cada conocimiento adquirido. La gota que colmó el vaso considero que fue el ver que existían profesiones dentro del sector, donde mediante auditorías por contrato te permitían romper cosas. En resumen, fue el descubrir la profesión de Pentester o analista de ciberseguridad. Fue en ese momento cuando tuve claro que algún día quería dedicarme a ello de manera más seria.

3.- Tienes una carrera profesional emergente y que está dando que hablar, ¿Percibes eso? 

Sé que cada vez es mayor el número de personas que se apunta a querer aprender conmigo, y obviamente todo esto es una responsabilidad para mi. Mi único fin es crear contenido entretenido y divertido con el que la gente pueda aprender y animarse a echarle horas, tanto para aquellos/as que ya son experimentados en el campo como para los/as que están empezando y no tienen muchas nociones. Todo lo que aprendí en su momento y sigo aprendiendo a día de hoy, es gracias a internet, a las comunidades que aportan de sus recursos para los demás y a todos/as los/as que invierten de su tiempo para que el resto aprenda. Como agradecimiento, no puedo hacer menos que lo mismo para apoyar y hacer que a otros/as les pueda ser también de ayuda. Al fin y al cabo, uno no crece sólo en este sector, sino con el apoyo de una buena comunidad, que es algo en lo que también he estado trabajando desde que empecé a crear contenido en las plataformas anteriormente citadas.

4.- En tu canal de twitch y de YouTube estás haciendo algo que, yo, admiro. Una nueva forma de comunicar la ciberseguridad a través de videos divertidos y en el que el conocimiento y la práctica son los ejemplos, ¿En qué momento piensas que es necesario hacer esto? ¿Cuándo tienes esta idea? 

Yo sabía que habían canales de ciberseguridad en Español por las plataformas que mencionas, pero de alguna forma algo en mi interior me decía que igual era capaz de ofrecer un formato algo diferente y que a la gente le pudiera llamar la atención. Desde siempre me ha gustado mucho el enseñar, recuerdo cuando estaba en el instituto que si veía a alguien que estaba teniendo problemas con algún ejercicio en física o en matemáticas, algo me impulsaba a tener que ayudar y echar un cable para que esa persona pudiera desenvolverse bien ante el problema. Trasladado a la ciberseguridad me pasó lo mismo. A mucha gente la cuesta empezar, sobre todo porque no saben cómo dar sus primeros pasos. El poder ayudar en ese aspecto aprovechando la experiencia que he podido recoger en estos años y ofrecer un formato didáctico accesible para cualquiera en cualquier parte del mundo, desde que vi que tuve la oportunidad no me lo pensé dos veces. La idea de crear contenido para la comunidad siempre la tuve en mente, pero fueron mis seres queridos cercanos los que me motivaron y animaron más que nadie a dar un paso en firme y empezar a hacer vídeos.

5.- ¿Cómo ves la formación en Ciberseguridad? 

Creo que son bastante buenas en general, las hay de muy buen nivel tanto en Español como en Inglés. Yo creo que es algo subjetivo y depende más de la persona, pero lo que está claro es que una buena formación debe motivar al alumnado a sacar la consola y ponerse a practicar, porque es como realmente se aprende en este sector. Y no sólo practicar, sino también atreverse a probar cosas. En ocasiones, sí que hay veces en las que me he llegado a topar con cursos largos de más de 8 horas, puramente teóricos, donde en ningún momento se llega a hacer un ejercicio practico en el que los alumnos puedan ver cómo uno se desenvuelve ante un escenario, o que usan imágenes en su defecto a modo de presentación para el curso y poco más. En mi opinión, no suelo estar muy de acuerdo con la dinámica que se lleva en ese tipo de cursos, no creo que sea la mejor forma de hacer que alguien aprenda y no es la filosofía que acostumbro a llevar. Considero que debe de ser una sensación algo similar a la de ir a la universidad y estar en una clase donde el profesor lo único que hace es leer diapositivas, al final el alumno se termina aburriendo y pasados unos minutos el cerebro termina desconectando totalmente de la clase, dejando de ser productivo. Creo que un buen curso, además de trabajar el contenido práctico, debe trabajar también el motivar al alumnado, el animarlo/a a probar cosas, el tomar como objetivo del curso despertar ese gusanillo interior que seguramente tenga quien te esté escuchando, porque a fin de cuentas, por alguna razón, ha decidido querer aprender contigo.

6.- ¿Qué consejo darías a los jóvenes que te ven en el canal y que te siguen y quieren formarse en Ciberseguridad? 

De primeras puede llegar a ser mucha información, y más para aquellos/as que están empezando. Recomiendo tomar apuntes, igual que yo lo hice al empezar con una página web que tenía, la cual usaba a modo de 'recurso centralizado' para dejar evidencia de todas las cosas que iba aprendiendo. No tiene por qué ser una página web, pero lo importante es que dejes rastro de todas las cosas que vas aprendiendo y que haces. Te servirá no sólo para poder acceder rápidamente en el futuro a un recurso de interés que quieras volver a recordar, sino también para en momentos de desesperación donde igual sientas que estás estancado/a, que no avanzas o que incluso esto no es lo tuyo, pues ver un histórico de todo lo que has ido aprendiendo como evidencia. A veces el tener un histórico a mano de todo lo que has ido aprendiendo, te motiva a ver que por más que te cueste o que igual sientas que avanzas lento, estás avanzando... y es lo realmente importante. Recomiendo también unirse a comunidades de ciberseguridad, el rodearse de personas que sean mejor que tú y que estén más experimentados/as en la materia, te permite ponerte en un modo que lo llamo el 'modo esponja', que consiste en abrir bien los ojos/oídos y absorber todo el conocimiento que puedas. En este sector existen muchas profesiones a largo plazo, me refiero, en una semana o en un mes uno no va a conseguir tener toda la soltura o experiencia que alguien que lleve 10 años o más. Todo en la vida es cuestión de tiempo, hay que armarse de paciencia y simplemente hacer las cosas porque te gustan. Lo demás llegará con el tiempo, fruto de tus esfuerzos e interés por lo que haces.

7.- Dinos una meta u objetivo a corto plazo 

He visto que recientemente han sacado la certificación OSEP de Offensive Security. Hace poco estuvimos reaccionando por Twitch al tráiler que han puesto en la página oficial de Offensive, la verdad tiene muy buena pinta. Ahora mismo por cuestiones de tiempo igual se me haría un poco complicado el poder dedicarle lo necesario a la certificación, pero me gustaría tratar de tenerla este año.

8.- Dinos una meta u objetivo a largo plazo 

Hace unos meses presenté a la comunidad el proyecto H4ckNet, un proyecto para la comunidad ideal para aprender ciberseguridad de forma gratuita en un entorno controlado fácilmente desplegable, sin necesidad de requerir de conexión a internet o de contar con máquinas virtuales. La presentación del proyecto gustó muchísimo, y planeamos tanto el equipo que conforma el proyecto como yo, tenerlo lo antes posible. Lo único es que lleva su tiempo y son más cosas a tener en cuenta de las que parece. De vez en cuando trato de ir mostrando avances, el último fue de hecho hace un par de semanas por Twitch. ¡Lo bueno se hace esperar!

9.- Hace poco coincidimos en un coloquio sobre Red Team y Blue Team, ¿Qué es lo que más te llama de un ejercicio de Red Team? ¿Crees que las empresas demandarán más estos servicios? 

Lo que más me llama la atención de un ejercicio de Red Team y sobre todo lo que más me gusta, es esa sensación reconfortante que te da el haber sido capaz de conseguir cumplir los objetivos de una auditoría. Durante todo el proceso en el que te estás pegando tus horas para cumplir los hitos definidos, cabe decir que hay una fase de aprendizaje continuo, investigas nuevos conceptos, buscas formas alternativas de efectuar el mismo procedimiento y un largo etcétera. El ver que todo ese esfuerzo ha sido de provecho y que no ha sido en vano, es muy gratificante. Realmente no es el conseguir un hito lo que debe ser del todo gratificante, diría más el haber aprendido cosas nuevas, porque igual esos nuevos conceptos que has aprendido por el camino te sirven para en un futuro poder afrontar un nuevo problema que te surja. Respecto a la última pregunta, cada día vivimos rodeados de tecnología, y esto inevitablemente seguirá siendo así cada vez en mayor medida por más que pasen los años. A día de hoy llueven montón de ciberataques por minuto y creo que cada vez las empresas son más conscientes de los riesgos que hay ahí fuera. El demandar servicios de ciberseguridad debería convertirse incluso en algo obligatorio, sobre todo por los problemas que pueden llegar a acarrear el no tener las cosas bien montadas. Hay que tener en cuenta que no sólo puede llegar a estar en juego la imagen de la empresa, ciertas relaciones de confianza, proveedores e incluso propios empleados de la empresa también pueden llegar a verse afectados. El realizar una auditoría de ciberseguridad no es algo malo, ayuda a que las empresas puedan prevenir futuros ciberataques. Al fin y al cabo, ¡estamos para ayudar!

10.- Para finalizar, ¿Cómo conociste Flu Project? ¿Crees que volveremos a encontrarnos en un video de Youtube? ¿Qué te pareció la entrevista que tienes en tu canal conmigo?

Conocí Flu Project en su momento por unos retos de hacking que fueron publicados en la web. Alguno de ellos me llamaron la atención y me interesé por ver cómo se resolvían. La entrevista que te hice me pareció fantástica, tuvo muy buena aceptación y me gustó mucho la dinámica. Además, ¡el descubrir ciertos aspectos personales de Pablo González no tiene pérdida!, por mi encantado de volvernos a reencontrar y estar más Hack que nunca!!





Leer más
      editar

26 feb 2021

Seguridad en la búsqueda en Bing y aplicaciones de Microsoft 365. Si eres empresa, esto te interesa

Por el 26 feb 2021 con 0 comentarios

Buenas a todos, en el artículo de hoy me gustaría hablaros de las búsquedas en Bing, en concreto, de la nueva característica para usuarios de Microsoft 365 orientada a la búsqueda en archivos, sitios de SharePoint, contenido de OneDrive, conversaciones de Teams, Yammer y otros orígenes de datos compartidos en nuestra organización. Para los que no sepáis a que me estoy refiriendo, os dejo con un ejemplo de nuestra empresa, usuaria de 365:


En resumen, se trata de una funcionalidad que integra en el navegador oficial de Microsoft la posibilidad de buscar "dentro de nuestro perímetro" cuando estamos autenticados con una cuenta corporativa. Marco entre comillas lo de dentro de nuestro perímetro, dado que hoy en día es algo etéreo, dado que hablamos de datos situados en la nube. Esta funcionalidad también está disponible para Chrome (parcialmente, porque entre los países que han recibido la actualización, no se encuentra España aún). Podéis encontrar más información en el siguiente enlace:

https://docs.microsoft.com/en-us/deployoffice/microsoft-search-bing#how-does-the-microsoft-search-in-bing-extension-for-google-chrome-get-installed

Como os imagináis, es una funcionalidad muy útil para las empresas, dado que te puedes abstraer y recurrir a un único buscador para localizar cualquier documento, ya sea en Internet o en el propio repositorio de la empresa. Sin embargo, si nuestra organización no ha configurado las cosas "adecuadamente", podemos tener problemas. Cuando hacemos auditorías de hacking ético, además de localizar algún que otro 0-day, la mayor parte de los hallazgos suelen provenir por fallos de configuración. En muchas ocasiones, tras estos trabajos han salido a relucir infinidad de problemas derivados del uso de configuraciones por defecto y políticas con una seguridad bastante "ligera" en lugares tan críticos como SharePoint. Pues bien, en estas semanas muchas compañías se están dando cuenta gracias a esta funcionalidad de que sus configuraciones no eran del todo adecuadas, y que cualquier empleado podía acceder a cualquier documento de, por ejemplo, su SharePoint interno. 

¿Es esto culpa de Microsoft? En absoluto. Sin embargo, si se quiere desactivar esta funcionalidad para que los usuarios de nuestra organización no puedan buscar archivos internos a través de Bing, existe un check que encontraréis en el Centro de administración de Office 365:


Dentro del menú de configuración, en "Búsqueda e Inteligencia", nos dirigiremos a la quinta pestaña, "Configuraciones":


Y en este nuevo menú, encontraremos la opción para desactivar las búsquedas en nuestra organización:


Para concluir el artículo, me gustaría remarcar que esta desactivación no supone la aplicación de ninguna medida de protección. La seguridad por oscuridad es un mal que sufrimos la gente que nos dedicamos a ciberseguridad. Y, la única forma de resolver los problemas de accesos en nuestra organización, se basa en configurar las cosas adecuadamente.

¡Saludos!


Leer más
      editar

25 feb 2021

Mañana arranca MorterueloCON en Twitch

Por el 25 feb 2021 con 0 comentarios

Mañana 26 de febrero dará inicio la edición 2021 de MorterueloCON, uno de los congresos habituales de nuestro sector, donde numerosos compañeros de profesión compartirán sus conocimientos para hablar de numerosos temas de rabiosa actualidad. En el congreso participarán buenos amigos, como mi compañero de Flu Project, Pablo González, mis compañeros de X1RedMasSegura, Josep Albors e Iván Vázquez, Eduardo Sánchez con quién tuve el placer de compartir los inicios de Hack&Beers por Madrid, Iván Portillo de Ginseg (además, comunidad amiga de Flu Project) y un largo etcétera. ¿Os lo vais a perder?

Este año, dada la situación propiciada por la Covid-19, se celebrará en formato online a través de Twitch, por lo que no hay excusa:

https://www.twitch.tv/morteruelocon

La agenda del evento es muy intensa :). Comenzará a las 9:00h y finalizará a las 23:30h. Casi 15 horas de congreso (descansos mediante). Así que preparad un buen bidón de café y tened aperitivos a mano, que la jornada promete:

https://www.morteruelo.net/3/horarios-morteruelocon


¡Saludos!

Leer más
      editar

24 feb 2021

Séptima Edición de los Ciberejercicios Multisectoriales de ISMS Forum y el Cyber Security Centre

Por el 24 feb 2021 con 0 comentarios

Hoy, ISMS Forum -International Information Security Community- inaugurará su Capítulo Regional de Valencia durante un evento online que transcurrirá entre las 09:30h y las 12:30h.

Durante la jornada tendrá lugar la presentación de los resultados de la Séptima Edición de los Ciberejercicios Multisectoriales de ISMS Forum y el Cyber Security Centre. Como cada año, los “CiberMS” tienen el objetivo de fomentar el intercambio de conocimientos entre los principales actores y expertos implicados en el sector para impulsar y contribuir a la mejora de la ciberseguridad en España a través de un ejercicio de ciberseguridad consistente en la comparativa de un conjunto de pruebas de seguridad y simulacros de ataque a los sistemas de las compañías españolas participantes. Las pruebas han sido creadas con la finalidad de poner a prueba los mecanismos de seguridad lógica de las entidades, así como la cultura de seguridad de los empleados y su capacidad para detectar y comunicar de forma correcta estos incidentes a los equipos de respuesta.

Zerolynx ha sido una de las compañías seleccionadas para la realización de los CiberMS de este año, y tendré el placer de presentar los resultados junto a los representantes de las entidades que nos hemos encargado de la organización y realización de todas las pruebas: 

  • DANIEL GARCÍA, Managing Director, ISMS Forum.
  • JUAN MANUEL ZARZUELO, Director IT Risk, KPMG.  
  • DANIELA KOMINSKY, Country Manager, Spain and Portugal, Cymulate.  
  • VICENTE DE LA MORENA, Country Leader, Spain and Portugal, Riskrecon.  
  • JUAN ANTONIO CALLES, CEO, Grupo Zerolynx.
  • MAURO SÁNCHEZ, CTO & Co-Founder, SMARTFENSE.    

Más información y registro en: https://www.ismsforum.es//evento/680/inauguracion-del-capitulo-regional-valenciano-de-isms-forum/

Leer más
      editar

23 feb 2021

elhacker.NET hace 20 años

Por el 23 feb 2021 con 1 comentario

Buenas a todos, en el artículo de hoy nos gustaría hacernos eco y rendir así un pequeño homenaje a elhacker.Net, una de las comunidades que sin duda han marcado la evolución de la ciberseguridad en habla hispana y que ayer cumplió la friolera de 20 años.



Muchos somos los que hemos pasado horas y horas en su foro, compartiendo dudas e intercambiando conocimientos con otros miembros de la comunidad. Sus largos hilos vivieron, entre otros, el nacimiento de Flu Project en 2010. 

https://www.elhacker.net/historia.html

Un abrazo muy fuerte a todo su Staff (y ex staff) y enhorabuena por el trabajazo de estos 20 años, ¡a por otros 20!

Leer más
      editar

22 feb 2021

Entrevista a Marta Barrio

Por el 22 feb 2021 con 0 comentarios


Hoy comienzo una serie de artículos para Flu Project dónde entrevistaremos a varias personas del mundo de la ciberseguridad. El rincón se llamará "Entrevista a..." y cada 7-14 días iremos publicando diferentes entrevistas de personas que para nosotros son relevantes, y que consideramos que aportan a la comunidad de la ciberseguridad. 

Hoy, para inaugurar la sección, tenemos a Marta Barrio. Marta es una de esas personas que no paran de hacer cosas, que sacan el tiempo para dejarse liar de cualquier lugar y que siempre está dispuesta a sumar. Sin duda, Marta tiene una carrera intensa y si no la conocéis, os recomiendo echarle un ojo a su CV para ver que ha dedicado esfuerzo y tiempo a una de sus pasiones, la ciberseguridad. 

Sin más, os dejo con Marta Barrio. 


1.- ¿Quién es Marta Barrio?

Una persona que intenta ser feliz disfrutando de las pequeñas cosas, que cuida su salud, tanto mental como física, que le gusta practicar crossfit y leer todo lo que cae en sus manos. Además de eso, se dedica a la ciberseguridad, intenta aprender cada día algo nuevo y, si puede ayudar a alguien por el camino, mejor que mejor.

2.- ¿Cómo te das cuenta que el mundo de la informática es lo tuyo? ¿Cómo te das cuenta que en ese mundo lo que realmente te llama es la ciberseguridad? 

Me di cuenta de lo primero, siendo muy pequeña, en el colegio, teníamos clase de informática muy variada, cada semana en un ordenador y en cada ordenador te enseñaban una cosa, desde cosas básicas de office, hacerte un primer correo electrónico, juegos de lógica... Ahí vi que los ordenadores en general me entretenían, y como no se me daban mal unos cuantos compañeros y yo pasamos a ser un poco "equipo de soporte", nos llamaban en horas libres para hacer pequeñas cosillas como actualizar los equipos, instalar las impresoras, poner a punto equipos nuevos... y nosotros encantados. De la parte de ciberseguridad, con casi la carrera ya terminada, y de casualidad, empecé a trabajar en desarrollo y vi que no era lo que quería hacer el resto de mi vida, así que empecé a buscar otras opciones. En la empresa en la que estaba un buen amigo buscaban gente recién licenciada y no hacía falta experiencia, era de ciberseguridad, ahí lo terminé de descubrir y confirmé que esto sí lo puedo estar haciendo el resto de mi vida.

3.- ¿Cómo son los comienzos para ti en el mundo de la ciberseguridad? 

Pues de primeras muy perdida, pero fue un aprendizaje continuo (y lo sigue siendo), tienes alrededor gente que sabe mucho más que tú, les preguntas, empiezas a investigar por tu cuenta, y de repente estás en tu tiempo libre montando entornos y replicando pruebas que has leído en un blog, visto en un vídeo, te surgen preguntas, buscas respuestas, y comienza el bucle de diversión.

4.- Hace ya unos cuantos años que nos conocemos. Incluso, podemos decir que hemos estado metidos en varias historias: Retos de ISACA, hackersClub, hemos compartido docencia en Másteres, etc. ¿Qué es lo que te motiva a meterte en estas historias aparte de tu trabajo? 

Que no se decir que no. Me explico, veo una oportunidad de aprender y de poder ayudar a alguien, como me ayudaron a mi cuando empezaba, y esa es la verdadera recompensa. A veces en medio del proceso me arrepiento de haber dicho que sí porque no tengo tiempo, pero al final llego y la satisfacción de haber dado lo mejor de mí termina ganando a las dudas de los días previos.

5.- Para mí eres una referente que impulsa a las mujeres a meterse en este tipo de carreras profesionales, ya que andas con eventos, participando en muchas formaciones, haciendo una gran labor en tu trabajo ¿Cómo ves este tema? 

En estos años he visto una gran evolución, el número de mujeres en este mundo es cada vez mayor, antes en conferencias lo raro era ver una mujer, ahora lo raro es ver algún grupo sin que las haya, seguimos siendo menos claro, pero el cambio está ahí. La clave, en mi opinión, no está en dar más facilidades a las mujeres para becas, puestos etc. porque tengas que alcanzar un mínimo "para quedar bien" sino en dar visibilidad a que hay mujeres en todos los departamentos. Y es un cambio que tiene que suceder en la base de la educación, aquí podemos debatir mucho tiempo...

6.- ¿Cómo ves el sector de la ciberseguridad en los próximos años? ¿Somos una burbuja o somos una necesidad creciente por la transformación digital? 

A día de hoy creo que somos una necesidad creciente, por lo que en los próximos años va a seguir creciendo, ¿hasta donde? Dependerá de la importancia que los usuarios comiencen a dar a sus datos. Cuando la gente deje de decir "mis datos, ¿quién va a querer mis datos? si yo no soy famoso", puede significar que se le esté dando la importancia que se debe, pero no creo que seamos una burbuja.

7.- ¿Cómo crees que ha evolucionado la ciberseguridad en este último año debido a la pandemia? 

Ha avanzado mucho, a la fuerza, en un año puede que se haya dado una evolución que en la situación previa hubiera tardado por lo menos 5 años. Las empresas se han tenido que poner las pilas si querían sobrevivir, han tenido que hacer cambios que ni planteaban, con los riesgos de seguridad asociados, y de repente se han dado cuenta de que ese mundo de ciberseguridad que veían de lado les afectaba directamente.

8.- ¿Cómo crees que debería ser un buen entrenamiento para un Red Team? Recientemente hemos hablado de ello en un coloquio de Eniit, ¿Cómo fue la experiencia? 

Mi opinión personal, tienen que tener un plazo de tiempo de ejecución alto (¿un año?), un red team no comienza el día que se lanza la primera herramienta, puede empezar mucho antes creando el entorno de ataque (cuentas de correo, web falsas, etc.), y a partir de ahí ir registrando las acciones que se llevan a cabo y los resultados, para una vez que se entregue el informe final, poder validar con el blue team si los ataques exitosos se podrían haber detectado y cómo, para implantar soluciones, si los logs recogieron toda la información, etc. para identificar puntos de mejora. No hay que olvidar que el red team sirve para alimentar al blue team con el objetivo común de mejorar el estado de seguridad de la organización.

En cuanto al coloquio de Eniit, lo disfruté mucho, era la primera vez que participaba en una charla de este estilo y fue un placer compartirla con los grandes profesionales que participaron, y poder hablar en un ambiente relajado de lo que más nos gusta.

9.- Antes de acabar, ¿Qué consejos darías a todos los lectores que quieren meterse en este mundo de la ciberseguridad? 

Lo primero, que si se quieren meter en este mundo sea porque les guste, no como "sector con mucho futuro", lo segundo, que lean, se formen, no tengan miedo de preguntar, que por regla general en este mundo la gente te va a ayudar y te va a facilitar recursos para ayudarte. Ah, y paciencia, para aprender de verdad, las prisas no son buenas compañeras.

10.- Para finalizar, ¿Cómo conociste a Flu Project? Después de tantos años, ¿Qué diferencias ves en el blog en estos años? 

Pues echando la vista atrás... lo conozco desde hace algo más de 8 años, en cuanto empecé en ciberseguridad me lo recomendaron, reconozco que creo que leí todas las entradas desde ese momento hacia atrás, cacharreé con flu, aprendí con los retos de hacking, así que puedo decir que he aprendido mucho en él. En cuanto a diferencias, habéis madurado con la edad, al principio era mucho más técnico en cuanto a los trucos más técnicos que enseñábais, entiendo que por ocio y/o trabajo de ese momento, viví el bajón de pasar a post diario a posts "cuando podíais" y el nuevo renacer con más colaboradores que le ha dado dinamismo (cantidad de contenido) y nuevas temáticas. Así que espero seguir leyéndolo muchos años más. PD: Yo sigo siendo fan de los post más técnicos :)



Leer más
      editar

19 feb 2021

IV Congreso de Auditoría & GRC de ISACA

Por el 19 feb 2021 con 0 comentarios

 


En plena aceleración del proceso de digitalización ¿Estamos preparados para una caída prolongada de los grandes proveedores tecnológicos? ¿Qué medidas adoptan las infraestructuras críticas para garantizar la continuidad de los servicios esenciales? ¿Cómo identifican, valoran y abordan nuestras empresas e instituciones los riesgos sistémicos? Estas son algunas de las cuestiones que serán tratadas en el IV congreso de Auditoría y GRC, que tendrá lugar los próximos días 4, 11 y 18 de marzo, donde la temática general versará sobre las grandes amenazas a las que estamos expuestos en los tiempos actuales, de gran dinamismo y complejidad.

Este año tenemos el placer de patrocinar el congreso desde Zerolynx, y además, me encargaré de moderar la mesa "Grandes riesgos, vector proveedores" que tendrá lugar el 11 de marzo a las 18:50h, y en la que participarán varios actores de gran relevancia para nuestro sector:

  • Jorge Pérez, Responsable de Auditoría de Mutua
  • Antonio Ramos, CEO y socio fundador de LEET Security
  • Enrique Salgado, Global IT Manager de Cabify

En esta jornada tendremos el placer además de escuchar la Keynote "Securing ecosystems in an era of rapid transformation" de Chris Dimitriadis, tras la presentación de la presidenta Vanesa Gil.

La inscripción es totalmente gratuita para los asociados al capítulo de Madrid, y se entregarán 2,5 créditos CPE para todos los asistentes.

Más información en:

https://engage.isaca.org/madridchapter/eventos/audgrc

Leer más
      editar

18 feb 2021

101 del Real Decreto 43/2021

Por el 18 feb 2021 con 0 comentarios

Hola lectores. 

En el anterior artículo de esta cadena os comenté que se había producido un nuevo hito en el sector de la ciberseguridad con la publicación en el BOE del Real Decreto 43/2021. Como os dije, no es un tema del que solamos hablar en este blog, pero dado que el Real Decreto 43/2021 está teniendo bastante repercusión considero, que es necesario aportaros un poco más de información.


Y otra vez con el decretito...

En el artículo anterior os hablé de una conferencia que impartían desde ISACA Madrid y aesYc. Para todos los que no os pudisteis conectar, y debido a las buenas críticas que ha recibido, os la dejamos enlazada. Desde mi punto de vista fue muy interesante y tuvo un gran éxito de asistencia, con más de 1.500 personas conectadas en directo. 


Para todos aquellos que no podáis sacar tiempo suficiente para ver el video, os dejamos enlazada la publicación realizada por uno de los participantes en el debate, Vicente Moret, donde se hace un resumen de las principales obligaciones para las empresas en materia de ciberseguridad derivadas del RD 43/2021. Son dos páginas en PDF que considero de obligada lectura para todos aquellos que nos dedicamos al sector. Podéis encontrarlo aquí. 

Espero que os sea de interés a todos.
Leer más
      editar

17 feb 2021

TOP 15 de Amenazas de ENISA - SPAM

Por el 17 feb 2021 con 0 comentarios
¡Buenos días a todos!

En este artículo hablaremos de la siguiente amenaza analizada por ENISA, que en este caso se trata de los correos electrónicos no solicitados, también conocidos como SPAM.


Para que nos hagamos una idea de la magnitud de la basura que se envía a través de Internet, durante el tiempo en que se realizó el estudio, el spam llegó a alcanzar el 85% de todos los emails enviados a lo largo del mundo. Ahí es nada.

Aunque generalmente el spam no deja de ser una simple molestia para usuarios expertos, se debe recordar que a nivel corporativo también puede ser utilizado para extraer información de los sistemas y personas a los que va dirigido:

  • ¿Qué filtros antispam tienen? ¿Eliminan los adjuntos, los enlaces, los ficheros con contraseña...?
  • ¿Tienen filtros de contenido web?
  • ¿Qué información me rebotan sus servidores cuando un usuario no existe?
  • ¿Está un usuarios fuera de la oficina? ¿Hasta cuándo?
  • ¿Cuál es la firma típica de los usuarios dentro de la organización?
  • ¿Cómo y cuánto tarda en responder la organización ante una ola de correos maliciosos?

Toda esta información, recopilada en una campaña masiva, puede ser utilizada más tarde en una campaña dirigida de Spear-Phishing muchísimo más peligrosa para la organización.

Por otro lado, y de forma global, también puede tener finalidades bastante peligrosas, como la sextorsión o el envío de malware. EMOTET, que reciéntemente ha sido cerrada por Europol, por ejemplo, ha utilizado campañas de este tipo para su propagación. Sin embargo, esta misma técnica ha sido utilizada muchas veces para propagar familias de malware como Loki, Dharma, Crysis y Ryuk.

Mención especial deben recibir las campañas lanzadas a través de SMS, en las que se incluyen enlaces a páginas maliciosas que buscan capturar información, o que ofrecen descargas de APPs maliciosas que buscan robar datos bancarios.

Desgraciadamente, la crisis del COVID ha sido aprovechada por los atacantes para perfilar sus campañas, por lo que se han producido bastantes acciones de envío de spam, phishing dirigido, o difusión de malware que han utilizado este pretexto para intentar confundir a sus víctimas. En este sentido, sólo el complicado mes de marzo de 2020 se detectaron  más de 2500 ataques de estas características.

Como veis, al final se trata una amenaza que la mayoría consideraríamos de bajo perfil, pero que también requiere ser correctamente gestionada desde las empresas para evitar sustos mayores.

Las acciones de mitigación recomendadas ante este tipo de ataques son:

  • Configurar correctamente SPF, DMARC, DKIM y otros mecanismos de protección para el correo.
  • Implementar filtros de contenido que eliminen adjuntos no deseados, enlaces, o correos de orígenes no legítimos, y que marquen debidamente el correo externo a nuestros empleados.
  • Actualizar de forma periódica las listas de reputación web e IP.
  • Habilitar doble factor de autenticación, para la protección adicional de las cuentas de usuario.
  • Deshabilitar la ejecución de código automática, las macros, y la carga automática de imágenes y enlaces recibidos por correo.
  • Y sobre todo, es fundamental la concienciación de nuestros empleados para que sepan identificar y alertar ante la presencia de correos maliciosos. Y es que... ¿cuántas veces habéis levantado las debidas defensas, para daros cuenta de es el propio usuario el que ha sacado el correo de la bandeja de spam, y ya de paso, lo ha reenviado dentro de la organización? 

¡Nos vemos en la próxima, saludos!

Leer más
      editar

16 feb 2021

Cómo evaluar y hacer exámenes en remoto de forma segura

Por el 16 feb 2021 con 0 comentarios


Buenas a todos, el Centro Criptológico Nacional lanzó ayer una interesante guía con el objeto de recoger en un documento las principales medidas y condiciones necesarias para preservar la seguridad e integridad de los métodos de evaluación y examen en remoto.  

La guía viene propiciada por el Covid-19 y el inevitable aumento de las formaciones y evaluaciones online, lo que está conllevando numerosos problemas en diferentes instituciones. 

El documento se subdivide en 2 apartados, el primero orientado a la certificación de las personas, donde tratan los requerimientos plasmados en la norma ISO/IEC 17024:2012, y el segundo, sobre la evaluación y la realización de exámenes en remoto.

Desde el siguiente enlace podréis descargar el documento completo:

https://www.ccn-cert.cni.es/informes/abstracts/5711-metodos-de-evaluacion-y-examen-en-remoto/file.html

Un saludo!

Leer más
      editar
>