21 ene 2021

Jugando con GPOs III - Cómo detectar ataques sobre GPOs en tu Directorio Activo

Por el 21 ene 2021 con 0 comentarios

¡Muy buenas a todos!

Como ya comentamos en el primer artículo de esta serie, Windows permite activar el registro de modificaciones, creaciones y eliminaciones de las GPO de manera nativa en cualquier Controlador de Dominio. Esto nos permitiría, entre otras cosas, detectar posibles cambios no esperados en las GPO desplegadas en el Dominio. Dicho esto, visto lo que hemos reflejado en el artículo anterior, ¿con cuanto detalle podremos llegar a detectarlo con estos logs? Veámoslo.

Supongamos que conocemos conocemos lo que ha pasado con exactitud: El usuario Gauss ha creado una GPO (con permisos laxos) llamada GPO_Vulnerable y la ha asignado a la unidad organizativa Servidores_Web. Por otro lado, Pitágoras, usuario sin priivlegios, ha abusado de dicha política para añadirse como administrador local de WEB-01 y , posteriormente, se ha conectado por Powershell Remota.

Detectando el despliegue

1. ¿Cuándo y quién creó la política GPO_Vulnerable?

Sencillo, el evento 5137 tiene la respuesta. La GPO con ID {E2FE8993-F346-41F9-8C27-B1CC4E8C9D40} fue creada por el usuario Gauss (Domain Admin), el día 22/11/2020 a las 8:08 AM.

Fig 1: Contenido del evento 5137.

2. ¿Es una política transversal para todo el dominio o solo aplica a un grupo o unidad organizativa específica?

En este caso, el evento 5136 nos da la respuesta. El campo gPLink nos indica que se ha registrado el enlace de esta política a todos los miembros de la unidad organizativa Servidores_Web.

Fig 2: Contenido del evento 5136.

3. ¿Dónde podemos confirmar que estos datos son ciertos?

Para confirmar que lo que acabamos de observar en los logs es correcto y no hemos sido engañados, podemos acceder al Group Policy Management.

Fig 3: El ID único pertenece a la GPO_Vulnerable que, a su vez, aplica al OU Servidores_Web.

Detectando el abuso

4. ¿Quién ha abusado de la GPO?

De nuevo, el evento 5136 tiene la respuesta. Nuestro querido amigo Pitágoras ha modificado la política GPO_Vulnerable aunque, poco más podemos intuir.

Fig 4: Contenido del evento 5136 tras la modificación de Pitágoras.

Nota: Este evento es un tanto traicionero porque bajo el mismo identificador puede registrar cambios de mucha índole; enlace de política a un nuevo grupo o unidad organizativa, una manipulación vacía (abrirla y cerrar simplemente en el gestor de políticas) o, como en este caso, una modificación por parte de un usuario no deseado. ¡Mucho ojo con lo que parseais! 

5. ¿Cómo podemos saber qué cambios se han realizado sobre la GPO?

A nivel de detección, creo poder afirmar que con los logs de Windows no hay manera de saberlo con exactitud. Sin embargo, suponiendo que el atacante sea algo chapuzas, siempre podremos revisar la configuración actual de dicha política. Como podemos ver, Pitágoras ha modificado las características de la política para que se añada como usuario administrador cada vez que se despliegue.

Fig 5: Caracteristicas de la GPO.

Jugando a correlar

Como hemos comentado en el apartado anterior, no hay manera de detectar los cambios realizados sobre la GPO mediante el análisis del evento 5136. Sin embargo, Windows posee otros muchos logs interesantes que podemos emplear para hacer lo que tanto gusta en los SOC: CORRELAR.

6. ¿Qué podemos correlar?

Como mostramos en el artículo anterior, SharpGPOAbuse nos permite, entre otras cosas, añadir nuestro usuario como administrador local de las máquinas afectadas por la GPO vulnerada. Como bien sabemos, Windows tiene activado por defecto los eventos de seguridad que registran, tanto la adición de usuarios a grupos administrativos (evento 4732) como la creación de una sesión remota (evento 4624) y el cierre de esta (evento 4634). Si analizamos los logs del servidor WEB-01, podremos ver lo siguiente:

  • El usuario Pitágoras ha sido añadido al grupo de Administradores local por un proceso ejecutado por SYSTEM (la GPO).
Fig 6: Contenido del evento 4732.
  • Unos segundos después, Pitágoras ha iniciado sesión en dicho servidor.
Fig 7: Contenido del evento 4624.
  • Una vez dentro, ha listado los usuarios pertenecientes al grupo de Administradores locales (net localgrup Administrators).

Fig 8: Contenido del evento 4799.
  • Por último, cerró sesión.
Fig 9: Contenido del evento 4634.

Recapitulando

Hemos podido compensar la falta de información proporcionada por el evento 5136 (modificaciones sobre GPO) con otros eventos proporcionados por Windows. Gracias a esto, podemos asegurar con total certeza que el usuario Pitágoras modificó las características de la política GPO_Vulnerable para añadirse como Administrador local en todas las máquinas a las que les aplica esta GPO (en este caso, WEB-01). Tras desplegarse la política, Pitágoras se conectó de manera remota al servidor web, listó los usuarios pertenecientes al grupo de Administradores y, acto seguido, se desconectó. Todo detectado con los logs de Windows.

Para terminar, me gustaría destacar que aunque esto parezca un caso de uso bastante real y sencillo, el número de eventos generado por Windows es bastante alto en cuanto a modificaciones de GPO se refiere. En este labo, se generaron una media de 300 eventos sin prácticamente actividad, por lo que, imaginad lo que puede generar en un entorno productivo

Postdata

Como nota final, si nos topáramos con alguien travieso que decidiera borrar una GPO, también existe un evento que lo registra, el 5141. Nadie se salva 😈.

Fig 10: Contenido del evento 5141.

Nos vemos en el próximo artículo. Happy Juancking!

Leer más
      editar

20 ene 2021

Attack Guardduty Navigator

Por el 20 ene 2021 con 0 comentarios

Hola lectores. 

Hoy os traigo una interesante herramienta para mapear de manera visual los findings de Amazon GuardDuty con la matriz ATT&CK de Mitre. 


La herramienta está disponible en el siguiente enlace de GitHub y es de Anthony Randazzo, experto en Blue Team, con bastante enfoque a Cloud y en especial, a AWS, al que os recomiendo seguir para estar al tanto de las últimas novedades. 

En resumen, la herramienta nos permite ver los resultados de una manera visual y adaptada a la Matriz ATT&CK, lo que nos permite mapearlo frente a un estándar reconocido en el sector. Y es que tal y como reconoce el propio autor de la herramienta,  es muy interesante saber que donde nos encontramos con menos información y más desconocimiento en el mundo cloud, no es en la detección de amenazas en sí (que también lo es), sino en el propio mapeo que se hace de estas amenazas frente a estándares que nos permitan tener claro qué es lo que tenemos bajo control, y qué es lo que aún se encuentra sin supervisión y puede afectar negativamente a las entidades. Herramientas como Attack Guardduty Navigator nos permiten empezar a tener visibilidad en este punto.  

No podemos olvidarnos de que todavía hay mucho que aprender sobre los atacantes (y más aún en AWS y en la nube en general), por lo que todo lo que nos permita poder detectarlos, es una oportunidad de reaccionar a tiempo para las organizaciones.   

Espero que tengáis oportunidad de probar esta interesante herramienta y que sea de vuestro interés. 

Leer más
      editar

19 ene 2021

El avestruz enterrando la cabeza: ¿desde fuera habría sido lo mismo?

Por el 19 ene 2021 con 0 comentarios



Buenas a todos los lectores de Flu. Hoy quería hablaros en nuestro blog de un tema que por desgracia se repite no solo en nuestro sector, el de la ciberseguridad, sino en muchos otros en general, el de las personas que no quieren ver ni asumir la realidad del mundo que les rodea. Imagino que muchos de vosotros lo sufriréis habitualmente, tratando con gente que prefiere cambiarse de acera cuando llega la responsabilidad, no sea que les salpique y se les pegue algo, y que adoptan habitualmente la mentalidad de si no miro al problema, igual se soluciona solo. Estas actitudes pueden funcionar en organizaciones grandes y en puestos de poca responsabilidad, donde las decisiones de un empleado son de poco calado y las repercusiones, también. Pero por desgracia, a partir de determinados puestos las decisiones que se tomen pueden afectar a muchas personas, y más en grandes organizaciones que dan servicio a miles de empresas y particulares. 

Si sois asiduos a la prensa internacional, todos los días siguen cayendo hackeadas decenas de empresas de gran envergadura, donde los recursos (por su capacidad económica) no deberían ser un problema. Vivimos en un escenario de ciberamenazas creciente, donde los actores maliciosos se siguen profesionalizando, pero en el que las empresas siguen fallando en los mismos aspectos. ¿Cómo es esto posible?

En nuestro día a día tratamos con muchas organizaciones, unas más grandes y otras más pequeñas, y algo que observas tras varios años en esto es que todas ellas acaban cometiendo los mismos errores (a su nivel, lógicamente). Como ya uno empieza a ser perro viejo, durante los pentests y con cuatro ataques contados, acabas comprometiendo a una gran parte de las organizaciones desde el primer día de trabajo, consiguiendo ser administrador de toda la red y de los entornos cloud a los pocos días. Es decir, lo que viene siendo que esa organización contaría con un catálogo de malas prácticas de seguridad. Todo aquel que tenga dos dedos de frente, o que sepa un po-qui-tín de seguridad, se lleva las manos a la cabeza cuando ve los resultados y las conclusiones de un informe de estas características, ¿verdad?. Pero no son 4, ni 5 las veces que han llegado los responsables y han lanzado la frase dinamitadora de… 

 “Ya, pero desde fuera no habría sido lo mismo…”

...

...What?

Vamos a obviar por un segundo que se comprometieron cuentas de usuario mediante phishing. Vamos a obviar que existía la posibilidad de conectarse de forma remota, y que, de hecho, fueron técnicas utilizadas durante el ejercicio (cough, cough, Covid?). Incluso obviaremos que recientemente se hizo otro ejercicio similar, 100% desde el exterior, sin compartir nada de información, y que el resultado fue el mismo: compromiso total de la organización. Vamos a obviarlo todo y vamos a hablar, otra dichosa vez del…

“Modelo de Compromiso Asumido”

 
Do you feel special?

¿Qué dice el Modelo de Compromiso Asumido? Pues básicamente que no me cuentes milongas. Que por mucha confianza que tengas en tu perímetro, los atacantes pueden y podrán comprometer dicho perímetro. Que antes o después, te van a comprometer. Y que, de hecho, puede que ya estés comprometido y ni te hayas enterado. Que tu distinción entre lo externo y lo interno está a un phishing (o a un click) de desvanecerse. Que el empleado descontento existe y no es un factor de riesgo teórico. Que sigue siendo una de las principales preocupaciones de las empresas porque es uno de los mayores riesgos que existen. Que hemos participado no en uno o dos, sino en muchísimos proyectos en los que el vector de entrada había sido, precisamente, un empleado de la compañía. Sí, de esos que tienen ordenador corporativo, cuenta de dominio, y las contraseñas de la casa. Esos que incluso, intentan usar keyloggers físicos en el ordenador del jefe. Por no hablar de que no hace falta tener aprendices de brujo en casa, sino que es suficiente con encontrar a alguien que esté dispuesto a hacerse el tonto, y en un despiste, pinchar un USB en el ordenador del compañero que le cae mal. Y que si tu empleado no es tan bueno como este de Tesla, que rechazó un soborno de un millón de dólares, lo mismo la sorpresa es mayúscula.

El modelo de compromiso asumido nos obliga a un importante cambio de mentalidad. Nos obliga a dejar de confiar ciegamente en las redes, aplicaciones, servicios e identidades, internas o externas, percibiéndolas como no tan seguras e incluso, potencialmente comprometidas. 

Este modelo nos fuerza a mejorar nuestras capacidades de detección, respuesta y recuperación ante las amenazas. Nos obliga a crear un entorno altamente restringido que limite enormemente las capacidades de movimiento al adversario. Dejamos de invertir el 100% de nuestras capacidades en prevención de la brecha, para invertir en reducir el tiempo desde que se produce dicho incidente hasta su detección. Y, muy importante, nos ayuda a responder de forma rápida y adecuada, sin alertar al atacante y permitir que adapte sus técnicas en el proceso.

Estamos en 2021, seguimos con las mismas historias que hace 5 años (o más), y luego nos preguntamos por qué salimos en el telediario. Pues eso.

¡Saludos!

Leer más
      editar

18 ene 2021

TOP 15 de Amenazas de ENISA - Phishing

Por el 18 ene 2021 con 0 comentarios

 Continuamos con los informes del TOP 15 de amenazas de ENISA, y en este caso le toca al phishing


Como ya sabéis, el phishing es una técnica que busca robar información sensible o datos de autenticación a la potencial víctima a través de ingeniería social, generalmente, mediante correos electrónicos que parecen llegar de un origen legítimo. Sin embargo, es importante saber que el origen de estos ataques no es únicamente el correo, ya que los mensajes nos pueden llegar por SMS, a través de mensajes en redes sociales, software de mensajería como WhatsApp, etc.

El spear-phishing es la variante más peligrosa de este ataque, en la que se realiza un ataque dirigido contra personas concretas que previamente han sido investigadas, con el objetivo de aumentar las probabilidades de éxito del atacante.

Muchas veces el adversario busca explotar la respuesta emocional de sus víctimas, por lo que dentro del contexto de la concienciación, la simulación de ataques de phishing debe incluir este tipo de técnicas para preparar a los empleados de la organización.

Según el informe, se han producido pérdidas que exceden los 26.000 millones de dólares durante el 2019 a través del compromiso de correos mediante phishing, casi la mitad de los adjuntos maliciosos incluidos eran documentos de Office, y además se produjo un incremento del envío de mensajes del 667% en tan sólo un mes durante la pandemia del COVID-19.

Por primera vez, los servicios de pago han quedado en segunda posición como objetivo, siendo el principal objetivo las plataformas SaaS y de servicios de webmail, siendo uno de los principales objetivos los servicios de Microsoft 365. 


 Además, los adversarios evolucionan y la mayoría de ellos han desplegado sus ataques en webs con HTTPs habilitado, probablemente con el objetivo de engañar al usuario menos preparado.

Como sucedía con el malware, también se han identificado plataformas de Phishing-as-a-Service (PhaaS). Se mencionan más de 5000 kits de phishing detectados que se venden por cifras muy bajas ($50-$80 al mes) listos para lanzar ataques, y que además ya incluyen métodos de evasión mediante la codificación y el cifrado de los contenidos del email.

Las soluciones a este problema se pueden reducir mediante las siguientes aproximaciones:

  • Aumentar la concienciación entre empleados, utilizando campañas de phishing internas para entrenar de forma práctica a los empleados.
  • Usar gateways de seguridad de correo con antispam, antimalware, filtros de contenido, etc.
  • Marcar todo correo que llegue desde el exterior como tal, para dificultar que un atacante pueda intentar hacerse pasar por alguien interno a la compañía.
  • Deshabilitar la ejecución automática de código, macros, carga de imagenes de recursos externos, etc.
  • Implementar correctamente SPK, DMARC y DKIM.

Nos vemos en el próximo post, ¡saludos!

Leer más
      editar

15 ene 2021

Ciberseguridad y el cine (Parte 2)

Por el 15 ene 2021 con 0 comentarios

Buenos días lectores. 

Hoy vengo con un post con aroma a nostalgia, ya que os voy a hablar de la película "Hackers". A los que soy más jóvenes, tal vez no os suene, pero fue una película que paso en su momento por los cines sin pena ni gloria, pero que con el paso del tiempo, se ha convertido en película de culto y que merece su espacio en este hilo de post ya que en 2020, se celebró su 25 aniversario y "pasó desapercibido" 

Para los que no la hayáis visto, os dejo esta review de FilmAffinity, dónde desde mi punto de vista, tenéis una descripción muy acertada sobre la película:

En resumen, es una película de aventuras de 1995 con un puntito ingenuo y visionario cuya temática esta llena de pequeños guiños al mundillo de la ciberseguridad y de la informática en general, en un momento en que las redes y la programación estaba en pleno crecimiento. 

Aún hoy, casi 26 años después toca temas de actualidad ya que está en el día a día que a través de la explotación de brechas de seguridad en los sistemas informáticos se puedan producir sabotajes, espionaje, seguimientos, exfiltraciones, secuestros de datos... 

En definitiva Hackers tiene un punto ingenio y divertido, con sus patinetes y sus pulsaciones de teclado a ritmos vertiginosos, pero hace reflexionar sobre lo que está ocurriendo ahora mismo con ordenadores más potentes y más usuarios en las redes, y es que, como en esta peli, la gente sigue siendo completamente ignorante de lo que de verdad ocurre en el "ciberespacio" y continúan poniendo contraseñas débiles (a todo el que le preocupe este tema, os recomiendo este post). 

De hecho, como dijo hace poco su director, empieza a estar "tan de moda" la temática tratada, que 25 años después, puede ser el momento de tener una secuela en la que se traten temas como el Big Data, las fakenews o los leaks de información. La película no es una película de 10, pero si que debería hacer reflexionar sobre lo que nos podemos encontrar en el ciberespacio.

Espero que disfrutéis de la película. 

¡Hasta la próxima!




Leer más
      editar

14 ene 2021

CISSP: Cheatsheets y otros recursos (vol 2)

Por el 14 ene 2021 con 0 comentarios

 Hola lectores. 

Hace un tiempo mi compañero Francisco os trajo un completo post para todos aquellos que os estéis preparando el CISSP, con una serie de Cheatsheets y recursos útiles para preparar el examen. 

Para los que no lo conozcáis, existe un blog en chino e inglés, el blog de  Wentz Wu dónde este instructor del CISSP publica de manera regular y gratuita preguntas del CISSP, qué el mismo contesta y razona.


Por otro lado tiene una serie de publicaciones que personalmente me parecen muy interesantes, ya que recopila los mejores hilos de Reddit que existen para prepararse el CISSP. En ellos, se comenta el proceso que han seguido para preparar el examen, qué documentación se han leído y que test se han realizado, para pasar el examen. En el siguiente enlace tenéis la recopilación de Wentz Wu y un ejemplo de lo que os podréis encontrar en Reddit


Espero que a todos los que os estéis preparando la certificación os sea de utilidad.

Nos vemos pronto. 

Leer más
      editar

13 ene 2021

Jugando con GPOs II - Cómo abusar de una pobre GPO

Por el 13 ene 2021 con 0 comentarios

¡Muy buenas a todos! 

En el primer artículo vimos como activar los logs de un Controlador de Dominio para registrar los cambios que se realicen sobre las GPOs. En esta segunda parte, vamos a aprovechar una mala configuración de una de estas GPOs para ganar acceso como administrador sobre uno de los equipos afectados. Para ello, nuestro laboratorio constará de los siguientes elementos: 

  • Un Controlador de Dominio (DC-01).
  • Una unidad organizativa (OU) llamada Servidores_Web.
  • Un servidor web enrolado en el dominio (WEB-01) y perteneciente a la unidad organizativa Servidores_Web.
  • Un usuario de dominio sin acceso al servidor web (Pitágoras).
  • Una GPO que afecta a los equipos que forman parte de la unidad organizativa Servidores_Web y sobre la que Pitágoras tiene permisos de edición.

Creando la GPO vulnerable

En nuestro Controlador de Dominio crearemos la unidad organizativa Servidores_Web y, dentro, la GPO (GPO_Vulnerable).

Fig 1: Creando la GPO.
Una vez creada, añadiremos la configuración errónea que nos permitirá explotarla, es decir, al usuario Pitágoras le daremos permisos de edición sobre dicha GPO.

Fig 2: Añadiendo a Pitágoras como editor de la GPO.

Por último, añadiremos el servidor web WEB-01 a la unidad organizativa Servidores_Web para que dicha GPO le aplique. 

Fig 3: WEB-01 es miembro del OU Servidores_Web

Con esta configuración, el usuario Pitágoras tiene permisos de edición sobre la GPO GPO_Vulnerable que aplica a los miembros de la unidad organizativa Servidores_Web o, lo que es lo mismo, el equipo WEB-01.

Localizando GPO vulnerables

Imaginemos que tenemos una sesión en el equipo WKSTN-01 (equipo en dominio) como Pitágoras y hemos conseguido cargar Powerview, ¿cómo localizamos GPO vulnerables? 

Para ello empleamos el siguiente comando: Invoke-ACLScanner -ResolveGUIDs| ? {$_.IdentityReferenceName -eq "Pitagoras"}. Con él podremos identificar todas las ACL interesantes del dominio que aplican a nuestro usuario Pitágoras.

Fig 4: ACL interesantes.

Como podemos observar en la imagen anterior, Pitágoras tiene permisos de lectura y escritura sobre cierta política. Para saber qué política es y sobre quién aplica, podemos emplear los siguientes comandos:

  • Get-DomainGPO -Identity '{E2FE8993-F346-41F9-8C27-B1CC4E8C9D40}' | select DisplayName
  • Get-DomainOU -GPLink "{E2FE8993-F346-41F9-8C27-B1CC4E8C9D40}" -Properties DistinguishedName  
  • Get-DomainComputer | where { $_.DistinguishedName -match "Servidores_web" } |select DnsHostName

Fig 5: Enumerando la GPO.

Realizando estos pasos, hemos obtenido la siguiente información: Pitágoras tiene permisos para modificar la GPO GPO_Vulnerable que aplica al equipo WEB-01 que es miembro de la unidad Servidores_Web. Enumeración completada.

Atacando la GPO

Para abusar de la configuración errónea de la GPO, vamos a emplear la herramienta SharpGPOAbuse con la que, con un simple comando, podremos añadir nuestro usuario Pitágoras como Administrador Local de WEB-01. Primero, veamos que no tenemos permisos para obtener una sesión remota desde WKSTN-01 en WEB-01.

Fig 6: Comprobando que no tenemos acceso a WEB-01.

Sin embargo, si abusamos de la GPO con SharpGPOAbuse y esperamos a que se actualice la configuración de directivas de grupo, tendremos acceso como Administrador Local.

Fig 7: Convirtiéndonos en Administrador de WEB-01.

Nota: de media, la actualización de las directivas ocurre cada 90 minutos, por lo que, en este caso, hemos forzado una actualización mediante el comando gpupdate /force en el equipo WEB-01.

Fig 8: Gpupdate /force es mejor que esperar.

En el próximo artículo, analizaremos los logs que tenemos disponibles e intentaremos evidenciar el ataque que acabamos de realizar.

Happy Juancking!

Leer más
      editar

12 ene 2021

Clickbait: Las cifras de los ciberataques nos mienten... ¿o no?

Por el 12 ene 2021 con 1 comentario

Buenas a todos. Durante los últimos años cuando se hablaba sobre los ciberataques sufridos por las empresas, la ciudadanía ha sido testigo de una guerra de cifras, un aluvión de datos que, de ser realidad, significarían que casi la totalidad de nuestro tejido empresarial habría sido comprometido. ¿Es esto cierto? En parte sí, porque hoy en día rara es la persona física o jurídica que no se encuentra, como mínimo, en una lista de spam, en un leak de alguna red social, etc. Sin embargo, debemos de ser cautos y consecuentes con nuestras afirmaciones, dado que sembrar el miedo sin criterio no hace ningún bien a nadie, y podemos ocasionar que las empresas y la ciudadanía en general se precipiten en la toma de decisiones desacertadas. 

Los titulares de clickbait son maravillosos para ganar visitas o clientes, siempre y cuando lleven una verdad y un fundamento en su interior, pero afirmaciones como que el 91% de las empresas españolas han sido hackeadas durante 2019, como leía en la publicidad reciente de una empresa de nuestro sector, 91, así, sin anestesia y sin argumentos, creo que aportan poco, o nada.

"91" es un número entero muy concreto, un nº que se repite de forma constante en numerosos artículos generalistas de prensa desde el año 2014 (que yo haya encontrado, puede ser que hasta anterior).

¿Casualmente todos los años hackean el 91% de las empresas? ¿Cuál es la fuente original? ¿Cuál fue la población consultada? ¿Cuáles fueron las preguntas?

Encontraréis miles de cifras diferentes de cientos de estudios. Por seleccionar uno al azar, en ese año concreto, 2019, Ponemon Institute afirmaba que el 72% de las empresas habían sido hackeadas "a lo largo de su historia", y un 60% habrían sufrido un ataque en 2019. Hay nada más y nada menos que un 30% de gap. No sé Rick...


Buscando una cifra parecida, en 2018 la propia Forbes esperaba que 9 de cada 10 empresas fuesen hackeadas durante 2019, y viendo que ya ni las grandes se libran, podrían tener hasta razón. Pero es imposible comprobar este dato por más que nos empeñemos.

Uno de los grandes problemas es que la mayor parte de los ataques no se denuncian, por lo que no hay datos realistas. Y las encuestas que se realizan son, en su mayoría, en poblaciones muy limitadas y, por ello, se producen estas diferencias tan radicales entre los resultados de unos estudios y otros.

Si nos dirigimos hacia datos de verdad, como el Séptimo estudio sobre cibercriminalidad en España, con datos oficiales extraídos del Ministerio del Interior, vemos que se denunciaron 218.302 delitos relacionados con tecnología en 2019, lo que supuso un aumento en las denuncias del 35,8% frente a 2018, lo que podría justificar un aumento en los ataques, o un aumento en la concienciación de la sociedad, que se esté animando a denunciar. Sin embargo, estos datos solamente nos permiten inferir hipótesis puesto que 1) hablan de personas físicas y no de empresas (exceptuando los contados casos en infraestructuras críticas) y, lo más importante, 2) las empresas apenas denuncian, para evitar el escarnio público y su derivado daño reputacional.

Por concluir, y lo que vengo a decir con este post, es que está muy bien hablar de cifras, porque es necesario y ayuda a entender la magnitud del grave problema al que nos llevamos enfrentando varios años, pero que lo hagamos con el máximo criterio y rigor, con estudios formales, serios y por supuesto, citando siempre a las fuentes originales para que el lector pueda decidir si la cifra se la cree o no y si le aportará en una posible decisión.

¡Saludos!


Leer más
      editar

11 ene 2021

Ciberseguridad y el cine (Parte 1)

Por el 11 ene 2021 con 0 comentarios

Buenos días. 

Espero que durante las navidades hayáis tenido la oportunidad de descansar y desconectar, porque es algo que a todos nos hace falta. Por mi parte, tuve algo de tiempo libre y aproveché para disfrutar de uno de mis hobbies favoritos, el cine. Tranquilos, que no vengo a ponerme en "modo cinéfilo" y hablar de cine de autor, ni de temas películas que nada tengan que ver con el objetivo de este blog. La idea de este post, es tratar películas que tratan temas de actualidad dentro del mundo de la ciberseguridad, ya sea de manera directa, o de manera indirecta. Creo que es un tema importante y que se merece un pequeño hueco en este blog. Espero que lo acojáis con cariño y que por lo menos, a algunos de vosotros os llame la atención. 

La idea de hablar de cine y de este post en concreto, surge después de ver este anuncio de la campaña European Cybersecurity Month (ECSM) de ENISA. 

Los que nos dedicamos a esto, solemos decir que para la sociedad en general, la línea divisoria entre el mundo real y el mundo ciber prácticamente no existe y aunque se trata de algo que se ha tratado muchas veces, creo que el anuncio deja ver el problema, pero "Hater" (disponible en Netflix), lo aborda de una manera interesante y que expone la gran relación entre el mundo ciber y el mundo físico. 


Para los que no conozcan la película, os pongo algunos extractos de una crítica sobre la misma

"...La película Hater de Netflix es un claro retrato de la situación actual de la opinión pública. Somos bombardeados diariamente con miles de mensajes que pretenden apelar a nuestras emociones e influenciarnos. La mayoría de ellos son titulares sensacionalistas o noticias falsas, y su vehículo perfecto son las redes sociales. ¿Lo más siniestro? Hay empresas que se dedican a esto. El puesto de trabajo de Tomek en Best Buzz consiste en construir una estrategia a través de las redes sociales para desprestigiar a quien el cliente diga. El fin es inmoral, los medios aún más. Para conseguirlo, fabrican diariamente una gran cantidad de perfiles falsos que sirven para difundir bulos..."

La película retrata de una manera bastante acertada el mundo de las fakes news y el peso que se le da a la información sin llegar a ser contrastada. Si alguien tiene interés en este tema, aquí os dejo un post sobre el peligro de los bulos automáticos. Por otro lado, nos deja ver lo fácil que es actualmente tanto a nivel ciber, como a nivel físico, conseguir tecnología que nos permita espiar a otra persona y sacar beneficio de la información obtenida.

Espero que os guste!

Leer más
      editar

29 dic 2020

¡Hoy @FluProject hace 10 años!

Por el 29 dic 2020 con 0 comentarios

Buenas a todos, ¡hoy hacemos 10 años! Ahí es nada... ¿verdad? 10 años fantásticos tratando de acompañaros cada día durante el desayuno, con noticias y artículos de ciberseguridad para todos los niveles.


Desde aquel 29 de diciembre de 2010 que lanzamos el sitio web www.flu-project.com han ocurrido muchas cosas. Más de 2.200 artículos, 4,5 millones de visitas en el blog (desde que migramos a blogger) y más de 8 millones desde el inicio del proyecto, con picos de 20.000 visitas en un único día, eventos innumerables, herramientas con millones de descargas como Liberad a Wifi (que paramos de contar en más de 2 millones...), Flunym0us, Anubis o el propio troyano Flu, en su versión Open Source,


Pero Flu Project no son solo números, Flu es una gran familia. En este blog se iniciaron y han compartido su conocimiento muchos referentes a día de hoy como Hecky, Chema García, Dan1t0, Nicomda, Un tal Anonymous en el PC (Germán), Marc Rivero... entrevistamos a decenas de expertos como David Kennedy, creador de SET (Social Engineering Toolkit) y tuvimos colaboraciones de numerosos cracks. A lo largo de los años y tras 2 migraciones, hemos perdido algunas imágenes, pero os animo a visitar posts de hace 8 o 9 años y descubriréis verdaderas joyas de la historia de la ciberseguridad en España.

¡No queremos ponernos nostálgicos, ni enrollarnos mucho! pero han sido 10 años que a Pablo y a mí, personalmente, y a muchos de nuestros colaboradores, nos han cambiado la vida, y es que Flu, en parte, nos ha dado una profesión y nos ha permitido conocer a muchos de los que hoy son grandes amigos con los que compartimos cada día nuestra vida.

Un abrazo muy fuerte de todo el equipo que hoy está detrás del Proyecto Flu, y no dejéis de seguirnos, que este año os tenemos preparadas muchas sorpresas para conmemorar el décimo aniversario que hoy comenzamos.

¡A por otros 10 años!

Leer más
      editar
>