2019/12/05

Extrayendo la imagen de #WhatsApp con Checkwa

Por Juan Antonio Calles el 2019/12/05 con 1 comentario
Buenas a todos, en el post de hoy quería compartiros un interesante sitio web que os permitirá extraer la imagen de WhatsApp de un nº de teléfono de forma sencilla, sin dejar más rastro que el nº de teléfono consultado y el que queráis dejar al consultar el sitio web :) Se trata de Checkwa:


Su funcionamiento es tan simple como indicar el número para realizar la búsqueda, y pulsar el botón de Search:


Personalmente, en ciertas investigaciones no recomendaría utilizar una plataforma ajena para localizar detalles sobre un nº de teléfono que pueda tener algo de criticidad, pero sin duda es una manera rápida para extraer una imagen asociada a un número, que luego podríamos rastrear en redes sociales, o en otros medios digitales.



Saludos!
Leer más
    email this       edit

2019/12/04

Security Certification Progression Chart 2020

Por Juan Antonio Calles el 2019/12/04 con 0 comentarios
Buenas a todos, mientras leía el artículo de ayer de Daniel sobre las Certificaciones y los Haters, el cual me encantó por cierto, recordaba un interesante hilo que vi en Reddit hace algunos días y que presentaba un gráfico muy potente con un esquema de progresión para las certificaciones de ciberseguridad. Me pareció muy curioso y completo, y no quería dejar de compartirlo con todos vosotros, por lo que os lo dejo a continuación:



Tenéis todo el detalle en su fuente original:


¿Qué os parece este programa de certificaciones?

Saludos!
Leer más
    email this       edit

2019/12/03

Certificaciones y haters

Por el 2019/12/03 con 0 comentarios


Buenos días. Hace un par de meses participé en la presentación del programa de mentoring del grado de ingeniería de la ciberseguridad de la Universidad Rey Juan Carlos y tuve la oportunidad de hablar con los alumnos de diversos temas en los que estaban interesados, entre ellos, qué estudiar al salir de la Universidad. Por ello, he decidido estrenarme en Flu Project con un tema que para mí suele ser bastante polémico: las certificaciones de ciberseguridad. He decidido hablar sobre ellas, ya que fue un tema sobre el que me preguntaron los alumnos y pese a que se sale de la línea habitual de publicación del blog, me parecía muy interesante tratarlo por diversas circunstancias. Quiero dejar claro que, el artículo es una opinión personal (y no de este blog), y que está basada en mi experiencia en el sector. Por tanto, la considero tan buena o mala como la de cualquier otro profesional del sector y no como una verdad absoluta.

Si hablo de este tema, es porque últimamente en España está bastante de moda desacreditar los certificados y certificaciones, muchas veces sin haber llegado a plantearse ni siquiera cursarlas. Y es que, como dijo Julio Camba hace muchos años, la envidia del español no es conseguir un coche como el del vecino, sino conseguir que el vecino no tenga coche. Esto, por desgracia, se puede aplicar al mundo de las certificaciones. Hay de muchos tipos, al igual que hay muchos tipos de profesionales, los cuales pueden llegar a necesitar formación adicional. Por esto, no entiendo que existan críticos acérrimos. Cada una debe de tener su público, sus virtudes y sus defectos propios.

Muchas veces he escuchado eso de "tener certificaciones no aporta nada" y, puede ser verdad, no voy a ser yo quien diga lo contrario. El problema es encontrar la causa de por qué no le ha aportado nada. Tal vez esa persona haya cursado una certificación que no era la correcta para él, tanto por el contenido, como por el nivel. O, tal vez, ha sido su empresa quien le ha pagado una certificación que ellos necesitaban, sin tener en cuenta el interés del empleado. O incluso, puede que el formador no estuviera a la altura del curso. Puede ser, y en esos casos, como coordinador y profesor de una certificación como soy, no me quedaría más que aceptar mi parte de culpa y pedir disculpas. Pero lo que no creo que sea bueno, es decir a la gente que no se certifique, que no les va a valer de nada y que son un simple negocio, porque eso no es cierto. Por mi experiencia personal, sé que son tan válidas como otras opciones formativas y de autoaprendizaje. De hecho, mi primer trabajo, lo obtuve gracias a que tenía una certificación y a que alguien consideró que tener a alguien certificado en su organización, sería positivo para un proyecto.

Es cierto que hay un porcentaje de profesionales de este sector que "no necesitan" ningún tipo de certificación. Ellos mismos, a partir del conocimiento que trasmiten, son su propio aval. Profesionales de la talla de cr0hn o Pablo González, por poner gente del sector de sobra conocidos por todos los lectores de Flu Project, son un gran ejemplo de lo que os acabo de transmitir. Cómo todo en esta vida, también es cierto que hay otro pequeño porcentaje de personas que, en el momento en el que hablan por segunda vez, sabes que nada bueno puede salir de ahí... , pero a ellos no me referiría en ningún momento como profesionales, y mucho menos, de nuestro sector. 

Más allá de requerimientos de certificaciones en pliegos públicos o en RFPs de organizaciones privadas (algo muy habitual hoy en día), las certificaciones pueden llegar a sernos de utilidad a todos en algún momento de nuestra vida profesional. Es habitual, que cuando empezamos a trabajar en el mercado laboral y necesitemos demostrar que tenemos algún conocimiento en la materia, las certificaciones pueden ser importantes para ayudar a despuntar frente a nuestra competencia por un puesto laboral, o para cualquier otro tipo de candidatura. Y es que, no nos olvidemos, que muchas veces, quienes tienen la última palabra en las contrataciones no son personas técnicas, como cr0nh o Pablo González, por no cambiar el ejemplo, sino que quienes tienen la decisión final, pueden ser personas que poco se preocupen por el conocimiento y experiencia del trabajador, y solo se preocupen de que sean (o aparenten ser) los mejores y los más baratos. <Mente del seleccionador>Es simple, si alguien ha sido capaz de aprobar una certificación que está creada por un grupo de expertos del sector, debería de ser capaz de hacerlo bien a nivel profesional</Mente del seleccionador>. Cierto es que, hecha la ley, hecha la trampa. Son vox populi los casos de fraude en el OSCP en la India, y es más que probable, que no los contemos únicamente con los dedos de una mano ...

Nos guste o no, mientras no cambiemos esto, va a ser algo con lo que siempre nos encontremos. Por ello, no está bien desacreditar el trabajo de otros profesionales, sino que es necesario tener clara la utilidad de las distintas certificaciones y certificados dentro del mundo de la seguridad. Cómo dijeron de la popular compañía de VTCs, la ciberseguridad es un mundo muy amplio y hay sitio para todos...

Leer más
    email this       edit

2019/12/02

Trazando aviones y barcos a través de radares online

Por Juan Antonio Calles el 2019/12/02 con 0 comentarios
Buenas a todos, en el post de hoy me gustaría listaros algunas páginas de radares online para trackear los movimientos de aviones y barcos en todo el mundo. Estas páginas son muy útiles en algunos campos muy concretos, pero en ciberseguridad se suelen mostrar en los cursos de OSINT porque quedan "guay", y acaban decorando además las pantallas (a más grande mejor...) de muchos SOCs. Es bien sabido que la realidad es otra, y que aportan poco en los proyectos de ciberinteligencia que venimos abordando las empresas en general que nos dedicamos a esto (excepto pequeñas salvedades, como en el ámbito militar, policial, etc. pero por eso he matizado "empresas"). Podríamos pensar en temas muy rebuscados, como en las estafas del CEO que suelen realizarse aprovechando que un directivo está a lo largo de un gran viaje en avión y no tendrá posibilidad de ver su buzón de email durante varias horas, y queremos saber "por dónde va", pero insisto en que son casuísticas muy rebuscadas.

Independientemente de ello, lo prometido es deuda, así que os listo algunos de los radares más molones de Internet :)
















En Google encontraréis decenas de estos sitios web. Ha surgido mucho negocio alrededor de estos datos, e incluso hay suscripciones a APIs bastante potentes, que nos permitirán absorber todos estos datos tratados y realizar todo tipo de queries de búsqueda. Si os gusta la materia, aunque sea a nivel de hobby personal, hay bastantes curiosidades alrededor de esta información.

Eso es todo por hoy, hasta mañana!
Leer más
    email this       edit