31 dic 2021

Lo mejor del año 2021, por Juan Antonio Calles (@jantonioCalles)



Muy buenas a todos. Hoy, 31 de diciembre, este 2021 toca a su fin. Segundo año de pandemia, y 12 meses que muchos querrán olvidar para dar paso a un 2022 que esperemos que, por fin, sea el final de la Covid-19 (al menos, tal y como hoy la conocemos). Para mi, al igual que para muchos de vosotros, no ha sido un año sencillo. Más allá del terreno personal, ha sido un año de mucho trabajo, de pelear cada día, de robarle horas a la familia, en definitiva, un año de mucho esfuerzo. Es un esfuerzo en la sombra, que no se suele ver. Los clientes y proveedores ven que todo fluye, los compañeros ven la maquinaria engrasada y que el pan llega a final de mes, mis socios y familiares intuyen lo que uno lleva a la espalda, porque son los que más cerca están. Pero las piedras en esa espalda cada vez pesan más, y a ese peso se le llama responsabilidad.

Habréis visto que tanto Pablo ayer, como yo hoy, hemos iniciado nuestro post hablando sobre la cultura del esfuerzo y la responsabilidad, y viene a colación de una conversación que tuvimos el miércoles por la tarde al teléfono, en la que debatíamos sobre lo que estaba pasando al sector en estos últimos años, y cómo se estaba perdiendo en algunas de las nuevas generaciones ese esfuerzo, ese pelear por las cosas. ¡Quiero ser Senior! (con 1 año de experiencia). ¡Quiero que me contrates para ser pentester! (con un curso DDD de 40h y sin tener unas nociones básicas de redes, sistemas o bbdd). ¡Quiero ser Director! (con 2 años de experiencia). ¡Quiero hacer Red Team! (sin saber ni lo que es...). Quiero, quiero, quiero. Yo tuve la fortuna de tener mi primera aproximación a la informática "profesional" bastante joven. En 2003, hace 18 años, entré como vocal en una asociación de consumidores dedicada a la lucha por los derechos de los afectados del Síndrome Tóxico. Soy hijo y nieto de afectadas, he vivido la enfermedad muy de cerca desde pequeño y he tratado de colaborar con ellos siempre que he podido. En 2003 comencé a llevarles la red, gestionarles su fax, sus impresoras de red, mantenerles los cuatro ordenadores que tenían, el router, el switch, etc. Labores típicas de un sysadmin, junto al apoyo en la ofimática básica, en la gestión de sus bases de datos de asociados en Access, algo de burocracia, etc. etc. Allí viví la primera instalación DSL de 128 Kbps y eché muchas horas al teléfono con soporte por los fallos constantes que todavía había. Hoy, 18 años después, aún sigo apoyándoles. Ya estudiando la carrera, en 2007, comencé a administrar una red social de automoción, ese fue mi primer trabajo remunerado, y, en 2008, empecé en Informática 64. A partir de aquí, la historia la he contado muchas veces. Recuerdo ser un afortunado por haber tocado con 20 años firewalls y switches profesionales, haber estado en un CPD o, simplemente, por haber tenido un ordenador desde enano, aunque hubiese sido un Amstrad heredado en 1992. Por esta proximidad a la tecnología desde pequeño, y porque peleé mucho, pude ir creciendo y adoptando posiciones de responsabilidad en las empresas por las que he ido pasando (aún cuando la ciberseguridad todavía era "Seguridad Informática"), hasta hoy en día, que dirijo un grupo empresarial con 40 personas. A lo largo de los años me he encontrado con grandes profesionales que peleaban por hacer su trabajo de la mejor manera posible, pero últimamente me está costando ver en este mercado ese esfuerzo que yo viví en mis primeros años en el sector. Hoy en día, el tener todo al alcance de la mano nos ha beneficiado para muchas cosas, pero para otras, puede que nos haya perjudicado... Sin ánimo de entrar en un debate filosófico, sí que creo que sería positivo si alguno compartís en los comentarios o en Twitter alguna reflexión al respecto, varios puntos de vista seguro que nos permitirán dar algo de luz a lo que está pasando en el sector.

Tras esta reflexión inicial, doy inicio a mi backup personal de 2021, para contaros precisamente algunas de estas batallas conseguidas para que perduren en el recuerdo de este particular anuario personal.

Lo mejor del año 2021
A pesar de la pandemia, ha sido un año "intenso", y no he parado de moverme de un lado para otro. En enero me incorporé como asesor voluntario de FEJUVES, la Federación Española de Jugadores de Videojuegos y Esports, con el fin de apoyar la interconexión de los mundos gamer y cyber en España. Tuve la oportunidad de promover varios webinars al respecto, alguno de ellos junto a personas muy reconocidas del sector, de lanzar campañas de concienciación, y, en definitiva, de apoyar a la comunidad.



De una de estas colaboraciones se forjó la alianza que firmó mi empresa Zerolynx, con la ESL, la entidad organizadora de deportes electrónicos más grande y antigua del mundo, y que derivó en el patrocinio de las Temporadas 9 y 10 del ESL Masters de CSGO, y en los 2 torneos CTF FromZeroToLynx que hicimos este año, y que, si competís habitualmente en Captures The Flag, probablemente conozcáis. Os dejo por aquí una fotografía del reconocimiento especial que tuvo la ESL con nosotros durante la última final.



Volviendo a enero, también podréis ver que participé en varios capítulos más del documental El Enemigo Anónimo, al igual que en 2020, y probablemente os hayáis encontrado conmigo en algunos eventos del sector más dirigidos a empresa.

Febrero fue un mes bonito porque lanzamos la nueva identidad corporativa de Zerolynx. Llevábamos trabajando el último semestre en ella (currazo de mi compañera Olga), y tuvimos tiempo para adelantar gran parte antes de las finales de la ESL. Aún con todo, seguimos migrando plantillas, y nuestra nueva web no saldrá hasta inicios de 2022, momento en el cual todo el traspaso a la nueva marca habrá sido completado.


 
Este mes también participamos en la 7ª edición de los Ciberejercicios Multisectoriales de ISMS Forum, donde mi empresa realizó la campaña de phishing sobre 26 multinacionales (gran parte, Ibex-35). Os aseguro que fue un trabajo y una experiencia espectacular. Lanzar una campaña paralela y coordinada a tantos miles de usuarios fue un reto complejo, interesante (y agobiante), con el que aprendimos mucho, y, lo más importante, con el que pudimos concienciar mucho más. Como Director fui el encargado de presentar las labores realizadas por mi empresa en 2 webinars en los que había representantes de todas las organizaciones entrenadas (dado que los eventos presenciales aún no eran una realidad).

Marzo fue un mes con mucha actividad en eventos. Desde Zerolynx patrocinamos el Capítulo de Madrid de Isaca, y ello nos dio pie a participar en muchas de las actividades que organizan. Bajo este marco de colaboración, ese mes coordiné una mesa redonda en el IV Congreso de Auditoría & GRC sobre los riesgos de la cadena de suministro. El feedback fue muy positivo, nos juntamos un grupo interesante que habíamos vivido de cerca los riesgos de los proveedores, y aportamos muchas ideas positivas a todos los asociados que estuvieron presentes.


Este mes también me invitaron desde BBVA a su InnovaHome Festival, y estuvimos charlando junto a mi compañero Jesús Alcalde sobre los riesgos de ciberseguridad en el sector.  En este caso, en formato Instagram Live. Fue mi primera vez en un directo de Instagram (normalmente ya se están haciendo en Twitch), y recuerdo que tuvimos un percance porque nos llamaron al móvil y se nos cortó "el Live". Pero en pocos minutos pudimos recuperar la conexión y acabarlo con una simple anécdota que contar.



En abril grabamos un par de reportajes para la televisión. No me gusta mucho salir en medios porque soy de los que piensa que los carga el diablo, y ya me ha pasado varias veces que se quedan con un trozo de la entrevista, dando como resultado un mensaje sin contexto que no se entiende y que incluso te puede dejar en mal lugar. Por lo que últimamente soy muy cauto y trato de aceptar aquellas entrevistas de programas y periodistas muy serios, y que se que tratarán las escenas grabadas con el mismo rigor y respeto que dedicamos nosotros a atender sus solicitudes. Por ello precisamente, en abril grabamos dos reportajes para Antena 3 y TVE sobre la ciberseguridad en movilidad, que salieron respectivamente en el telediario y en Comando Actualidad, ambos, tratados con mucho rigor:



Mayo habría sido el mes de la octava edición de X1RedMasSegura, pero dadas las circunstancias de la pandemia, consideramos conveniente cancelarla para volver con más fuerzas en 2022. Pero aún así, no tuve tiempo de aburrirme, con varios viajes de trabajo entre Euskadi y Madrid, y la organización de la Temporada 9 de la ESL, a los que aprovecho para mandar un abrazo por su involucración con nosotros, así como a HyperX e Intel por sus patrocinios. 


Entre mayo y junio colaboramos con Radia, un programa de formación en tecnologías digitales dedicado a favorecer la inclusión de mujeres con discapacidad en entornos de trabajo digitales. Bajo la firma de este programa, acogimos a 2 estudiantes que tenían interés en la ciberseguridad, y de las que pudimos aprender mucho. Os dejo con un breve video de una entrevista que nos hizo la CEOE al respecto: 



Por esta época me saqué el título de Director de Seguridad Privada en la Universidad Complutense, y obtuve el TIP, con el fin de dar apoyo al equipo de Seguridad Patrimonial que tenemos en Osane Consulting, la empresa del grupo dedicada a Seguridad Corporativa. También convalidé el CDPSE de Isaca sobre protección de datos, por mi antigua experiencia en LOPD y mis tres últimos años como DPO, y obtuvimos el Sello Pyme Innovadora en Zerolynx, tras pasar la auditoría de EQA sobre nuestro Sistema de Gestión del I+D+i. 

En agosto traté de descansar, y estuve haciendo algo de turismo nacional por nuestras islas. También aproveché para hacer un par de cursos de fotografía, y potenciar esta nueva afición que me inculcó mi suegro hace algún tiempo. De momento, disfrutando como aprendiz. 


En este mes me reconocieron un año más como MVP de Microsoft,  mil gracias por considerarme para el galardón un año más. Probablemente no sea el mejor embajador de sus productos, porque como representante de una consultora trato de mantenerme neutral y ofrecer a cada cliente lo que necesite en cada momento, sea o no del fabricante de Redmond, pero creo que esto es precisamente lo que hace grande a este premio, y es que lo hayan recibido hasta profesionales de su gran competidor, Google



En septiembre arrancamos 2 CTFs en paralelo, el de IntelCON y el de la Temporada 10 de la ESLMasters, por lo que estuvimos como locos por la oficina. Imaginaos lo que es combinar los proyectos de 40 personas con otras actividades externas que te trastocan la agenda. Fue una locura. Elaboramos casi 40 retos hacking en cuestión de pocas semanas. Pero todo salió genial y se quedó un buen sabor de boca como para repetir la experiencia. Eso sí, a ser posible habrá que intentar que no coincidan más CTFs en paralelo :).



Octubre fue un mes bonito porque nos reconoció el Ayuntamiento de Móstoles (nuestro pueblo), donde tenemos actualmente nuestra matriz, como la mejor empresa del municipio en la categoría de emprendimiento.



Las empresas premiadas recibimos un galardón cargado de simbolismo y que como no quiero explicarlo mal, prefiero contaros copiando la nota de prensa oficial donde lo describen: "El premio es una obra de arte inclusiva fabricada en cerámica, madera y tela, llevada a cabo por el Colectivo C4R y fabricada por 5 personas con diversidad funcional de la Asociación AMÁS. Para la realización del galardón, C4R ha recogido telas de uniformes de policía, sanitarios, bomberos, Protección Civil, Cruz Roja y también del comercio local, que ha estado representado por la tela de los uniformes de los panaderos. Estos retazos de tela, tejida en forma de flores, ponen el broche a un premio que simboliza el agradecimiento a todos los colectivos que no pararon durante la pandemia para que otros pudiésemos estar protegidos en nuestros hogares". 

Este galardón llevaba asociado un premio económico de 2.000€, y decidimos que no solo debíamos donarlo, sino poner otros 2.000 € más para apoyar a las asociaciones del municipio centradas en la salud, y que tanto bien hacen por nuestra sociedad.

Este mes también hicimos público que habíamos certificado nuestro SGSI con BSI bajo el estándar ISO 27001, patrocinamos algunos eventos y asistí a varias conferencias y mesas redondas como la del Congreso CiberTodos de Isaca

En noviembre nos dieron el premio a la Mejor Empresa de Seguridad TIC del año en los XIV Trofeos de la Seguridad TIC de Revista Red Seguridad. Fue un galardón inesperado, que recogió mi compañero Daniel González y que tuvo como objetivo premiar la trayectoria del grupo a lo largo de sus casi 4 años de vida. 


Y en diciembre, nos reconocieron algunos CVEs, y aprovechamos para cerrar temas de cara a final de año, así como reunirnos en un Outing navideño bajo las estrictas medidas sanitarias que mandaba la situación actual.



Releyendo estas líneas con perspectiva, puedo concluir que ha sido un año muy bonito y con muchos éxitos profesionales, pero también ha sido un año duro, con mucho trabajo y mucho esfuerzo, poco agradecido en muchas ocasiones. Ha sido una época extraña, con una inestabilidad económica en los mercados que da respeto, crisis de todo tipo (energética, logística, suministros, etc.), con el desempleo en cifras que asustan, y todo ello está siendo el caldo de cultivo perfecto para que, de nuevo, la ciberseguridad sea una de las cosas que recortar, a pesar de que los ciberataques hayan crecido de forma muy significativamente durante la pandemia. Pero nuestro sino es este, seguir trabajando y concienciando para tratar de hacer un mundo más ciberseguro, aunque siempre vayamos 10 pasos por detrás de la ciberdelincuencia.

Solamente me queda daros un abrazo a todos, en especial a los linces por aguantarnos un año más, por todo lo conseguido juntos, y por lo que aún nos queda por alcanzar.

¡Que paséis una feliz entrada de año!

30 dic 2021

Año 2021. My Backup. Lo mejor del año @pablogonzalezpe

Llegamos al final del año 2021. Un año que venía a reorientar nuestras vidas. Un año que proponía una nueva realidad y una nueva forma de afrontar la vida. Palabras como remoto, teletrabajo o confinamientos y aislamientos forman parte del día a día en muchos trabajos. Esos trabajos que tienen la suerte de poder hacerse en remoto, ya que otros muchos no lo son. 

Personalmente, el año 2021 ha sido un año muy importante. Un año que ha cambiado mi camino para siempre. Un año que me ha regalado lo que nunca se podrá superar. Un año que tiene banda sonora propia  e imágenes de retina que nunca se podrán olvidar. Al 2021 solo puedo darle las gracias, porque en lo personal no ha podido ser mejor. Y no es fácil para muchos avanzar en estos tiempos de pandemia, en estos tiempos que creemos que no pasan, pero que debemos comprender que pasan y no vuelven. Nunca volverás a tener la edad que tenías el día antes del comienzo de la pandemia. No lo pienses. Haz que tu vida siga, que avance, haz lo que tenías planificado, quizá en un mañana no haya opción. 

Para mí es muy importante hacer cosas. No parar. Hacer cosas se transforma en nuevas ideas, nuevos proyectos, nuevos caminos y es algo que me apasiona. Me gusta tomar distancia y ver qué hacemos durante estos años. Las cosas que hemos ido haciendo, el camino que hemos ido recorriendo, los errores que hemos cometido (éstos para mi son muy importantes, aprendemos más de los fracasos que de los éxitos). Fracasa una vez y aprenderás como si de tres éxitos se tratase. Aprende lo que te gusta, lo que te motiva, lo que quieres lograr, lo que quieres hacer y fracasando aprenderás cómo no debes hacerlo, qué es lo que realmente quieres hacer y conseguir y la fórmula para lograrlo. Os dejo "My Backup" y ya son unos cuantos años. Un Pablo que ha crecido en lo personal y en lo profesional con el paso de los años. 

Año 2020

Año 2019.

Año 2018.

Año 2017

Año 2016

Año 2015

 Año 2014

Año 2013

Otra reflexión que me deja el año 2021 es el debate sobre el esfuerzo y la dedicación. Algo tan impopular, pero que nos lo han puesto en el 'foreground'. La ciberseguridad no es sencilla. La ciberseguridad es esfuerzo y dedicación. Diario. No hay aspectos mágicos. El tiempo es tu aliado. Cuando uno es joven tiene el tiempo de su parte. Tiempo para aprender, para conocer, para equivocarse, para elegir. Aprovéchalo. No tengas prisa por llegar. No tengas prisa por querer llegar a las cotas que soñaste. Prepárate y vive el sueño, paso a paso. La cultura de esfuerzo y dedicación es necesaria en la ciberseguridad y, por lo general, en el mundo de la tecnología. Con humildad, esfuerzo y dedicación todo se puede, pero requiere del elemento fundamental: el tiempo. Ese elemento tan deseado hoy día, tan complejo de conseguir y en algunos casos tan despreciado. 

Sin más, voy a dar comienzo con mi resumen anual. Este año, por diversos motivos, menos movido que otros años, pero intenso. Contento con el resultado. Contento por seguir haciendo cosas otro año. Doer. 

Enero empezó con las universidades, clases online, clases presenciales, masterclasses, sigue siendo algo que me gusta, me motiva y me llena. Espero poder seguir estando ahí mucho tiempo, aportando mi granito de arena. Además, tuve la oportunidad de estar en BSides Panamá con la charla "ATTPwn: Emulación de adversarios y técnicas ofensivas


Hay que decir que en el mes de enero echamos mucho de menos a mi querida Sh3llCON. Espero que este año que pronto empezamos podamos volver a vernos. Oh mi Sh3llCON, mi querida Sh3llCON. Sinónimo de casa, mi casa :)

Febrero fue un mes de más clases y de una nueva edición de Morteruelo CON en 2021. En esta ocasión nos tocó hacerlo online y hablé sobre nuestra herramienta de emulación de adversarios ATTPwn. He tenido la suerte de estar en más de 5 ediciones de este congreso y siempre es un orgullo poder compartir el tiempo y las charlas con mis amigos de Cuenca. Espero que sigamos estando ahí durante muchos años. Además, en el mes de febrero me tocó dar una charla de orientación sobre la ciberseguridad y el entorno laboral. Una experiencia poder contar mi visión sobre ello y poder compartir ideas con los asistentes. 

En el mes de marzo nos quedamos huérfanos de Rooted. Es el mes de la Rooted y este año nos tuvimos que aguantar sin ella. El mes de marzo seguí con las universidades, clases, sesiones, masterclasses, TFMs y alguna participación en radio y televisión. Un mes que marcaba mi punto y seguido al siguiente mes y medio que me tomé "de vacaciones". En el mes de abril estuve apagado o fuera de cobertura, así como la mitad del mes de mayo. Viviendo nuevas experiencias. Nuevas aventuras. Los sueños locos como diría Fito. Eso sí, 'para toda la vida'. 

La vuelta al ruedo comenzó fuerte. Participé en un evento que celebraba la Universidad de Cádiz dónde hablé de Ciberseguridad y la emulación de adversarios. Con esto finalizamos el mes de mayo. 


En el mes de junio hice un webinar sobre orientación en el pentesting en el EIP y finalizamos curso lectivo en lo que a Universidad se refiere. En el mes de junio participé en OpenExpo, por segunda vez. En esta ocasión, participé en un concurso por equipos sobre tecnología. Formé parte del equipo MyPublicInbox. Fue una experiencia interesante, y no solo porque el equipo ganara la competición (peleando con el equipo Microsoft o Geekshubs, entre otros - guiño guiño :D). Para finalizar el mes participé en un seminario sobre ciberseguridad de nuevo online. Las ganas de la presencialidad recorrían mis venas, ya que, para mí, es más interesante el 'face2face'. 

En Julio volví a una charla presencial en Zaragoza de la mano de mi amigo y compañero Fran Ramírez. En mi pensamiento solo había una expresión: "Por fin". Las ganas de volver a tener la adrenalina y de volver a sentir el 'calor' de la gente. La temática de la charla era el poder de la gran pantalla en la transformación digital. ¿Cómo? Así es. Una charla con un registro diferente para mí, acostumbrado a las charlas técnicas, pero la disfruté mucho. Mucho.


También presentamos la herramienta on-the-fly que implementa funcionalidades de auditoría de red para TI, IoT o ICS. El paper y documentación de la herramienta se puede encontrar en el siguiente enlace


Además, el mes de julio trajo la renovación como MVP de Microsoft. Por quinto año (conseguí mi disco especial :D) tuve la suerte de que Microsoft pensara que debía disponer de este reconocimiento, del cual solo puedo dar las gracias. 

En el mes de agosto nos comunicaron una gran noticia. Por quinta vez, el equipo de IdeasLocas estaría en una BlackHat. Sería la cuarta BlackHat Europe (sin olvidar la BlackHat USA de 2020) en la que presentaríamos una herramienta con la que buscamos innovar en ciberseguridad, en la parte de seguridad ofensiva. En esta ocasión, fue mi compañero Luis Eduardo el que presentó la herramienta, así como mi compañero Roberto, que presentó la herramienta que desarrolló durante su beca en IdeasLocas aDLL


En el mes de septiembre volví como Director externo a la UEM para el Máster de Ciberseguridad para este nuevo curso lectivo que daba comienzo. Uno no sabe lo que las cosas pueden cambiar, o como los caminos pueden volver a encontrarse. Para mi es un orgullo poder aportar mi granito en la dirección, pero como digo hay que disfrutar el momento y disfrutar de lo que uno hace en este momento. Muy agradecido. 

Hacia la mitad del mes de septiembre participé en la STEAM Open Week de la UEM aportando mi visión en la ciberseguridad. Un encuentro interesante con otros colegas de otros sectores tecnológicos, en el que intentamos sumar. 

El fin de año ha sido especial para mí. Nuevas experiencias y aventuras en el plano personal. Una amiga, Marta Barrio, me entrevistó para su canal, junto a Carol. Una tarde distendida, entre amigos, y de la cual guardo un grato recuerdo. Nos faltaron las cervezas, pero podía ser una conversación de bar totalmente. Gracias chicas por la entrevista. 

   

Y para finalizar el año, ¡Volvió la Rooted! Eso sí, con estreno en Málaga. La Rooted Málaga se celebró los días 9 y 10 de diciembre y tuve la suerte de poder estar impartiendo un Rooted Lab sobre Hacking Ético. Tengo que decir que era mi décimo quinta edición de RootedLab entre Rooted Madrid, Rooted Valencia y la primera Rooted Málaga. Todo un honor para mí poder estar una ocasión más y espero con muchas ganas la edición de Marzo en Madrid. 


Además, en el mes de diciembre se publicó un libro muy especial para mí. En el mes de agosto, Chema Alonso me propuso escribir un relato corto de lo que quisiera para contribuir en un libro benéfico, dónde los autores donamos nuestra contribución a la fundación Gomaespuma y todo lo bueno que están haciendo por los niños. Sin dudarlo me lancé a la piscina. 

El libro se llama "Relatos para hackear el tiempo" y cada uno aporta una visión diferente con sus relatos. Reirás, llorarás, te estremecerás, disfrutarás, tendrás ciencia ficción, humor, pero sobre todo, aportarás a una necesidad. En este libro hay autores como Pérez-Reverte, Antonio Castelo, Juan Luis Cano, etc. Orgulloso de contribuir y poder estar en un libro con cada uno de ellos, grandes profesionales en su campo. 

Por último, y abierto todo el año, deciros que sigo con mi buzón público de MyPublicInbox (dónde espero pronto dar novedades) y aportando un porcentaje de los tempos a una asociación. 


Ahora ya sí, toca despedir el año y mi resumen. Para el año 2022 pido muchas cosas y también ofrezco esfuerzo. Intentaré seguir dando guerra, estar de aquí para allá, pensando y haciendo cosas que hacen nuestro recorrido en la vida algo interesante. Aportando todo en lo familiar y también en lo profesional. No sabemos cuanto tiempo nos queda, pero lo que está claro es que cuando mires atrás tengas tus recuerdos, tu mejor tesoro, tus vivencias, tu mejor conocimiento y tu mejor regalo. El año que viene más. Gracias a todos los que me apoyaron, me apoyan, a los que ya no están y que se fueron demasiado pronto, a ti (a él) y a la familia. Sin vosotros nada sería lo mismo. ¡A por el 2022!

29 dic 2021

¡Hoy @FluProject hace 11 años!


¡Buenas a todos! 

Los años van pasando y por aquí seguimos 11 años después, sin pausa, pero sin prisa. No publicamos todo lo que nos gustaría, pero si nos gusta todo lo que publicamos, y así seguiremos mientras haya algunos locos que se molesten en abrir nuestro blog para leer lo se nos ocurra comentaros cualquier día random del próximo 2022 :). Por lo que en breve tendréis con vosotros nuestros ya tradicionales resúmenes del año. Nueve años contándoos nuestra vida, sobre todo sus cosas buenas, que para contar disgustos ya tenemos todos bastante ¿no pensáis?

Esperemos que el próximo 2022 sea por fin el final de esta pandemia y que pueda ser el año que todos esperamos con tantas ganas. 

¡Un fuerte abrazo mío y de Pablo!

26 nov 2021

OSINT shopping! O cómo hacer tus compras online más seguras (y quizás, más baratas)



Buenas!

A raíz de escuchar bastantes casos de gente cercana que han sido estafados a través de sitios web en sus compras online, he decidido hacer una publicación explicando algunas de las medidas que tomo yo personalmente antes de hacer mis compras en cualquier sitio web.

Lo primerísimo, no solo vamos a hablar de evitar estafas, sino de reconocer mejor las webs que indican unos plazos de entrega que no van a poder cumplir o que sea muy probable que su servicio postventa sea catastrófico.

Puntos obligatorios a verificar:

  • Revisar que el sitio web cuente con un certificado SSL válido.
  • Si el sitio web contiene productos con precios escandalosamente bajos, es muy probable que sea un estafa.
  • Haz una búsqueda similar a la siguiente "opiniones nombretienda", "estafa nombretienda" en Google.
  • Revisar que tenga páginas legales para saber quién o qué está detrás del sitio web, donde, normalmente no solo aparecerá la denominación social, sino también el CIF de la empresa. Si no aparecen, mal rollito.
  • Realizar una búsqueda en Google con dicho CIF o denominación social en busca de otros portales webs similares, opiniones, denuncias, etc.
  • Revisar la página de envíos y leerla a conciencia, para tener claro el plazo en el que llegará el producto solicitado.
  • Si es una web conocida, verifica que la URL de la web sea la real. Ejemplo: Mediamarkt - Mediamarrkt.
  • Evitar realizar compras y el acceso a webs a través de enlaces que no sean de una búsqueda propia. Ejemplo: Recibimos una notificación a través de una web de que podemos conseguir un IphoneLynx 13 por 200€.
  • Utilizar tarjetas de prepago o Paypal para las compras online.
  • Comprar en sitios web de confianza, todos conocemos cuales son las principales tiendas online donde no tendremos casi ningún problema.
  • Revisar las fotos, la marca de agua y la calidad de las mismas. En caso de tener marca de agua de otra empresa, es un indicador claro de que está utilizando imágenes de terceros.

Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)


Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:

  • Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
  • La identidad del empresario, incluidos los datos correspondientes a la razón social, el nombre comercial, su dirección completa y su número de teléfono y, en su caso, del empresario por cuya cuenta actúe.
  • El precio total, incluidos todos los impuestos y tasas. Si por la naturaleza de los bienes o servicios, el precio no puede calcularse razonablemente de antemano o está sujeto a la elaboración de un presupuesto, la forma en que se determina el precio así como todos los gastos adicionales de transporte, entrega o postales o, si dichos gastos no pueden ser calculados razonablemente de antemano, el hecho de que puede ser necesario abonar dichos gastos adicionales.
  • Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
  • El procedimiento para atender las reclamaciones de los consumidores y usuarios, así como, en su caso, la información sobre el sistema extrajudicial de resolución de conflictos prevista en el artículo 21.4.
  • Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios
  • El consumidor y usuario dispondrá de un plazo mínimo de catorce días naturales para ejercer el derecho de desistimiento.

Podéis revisar toda esta información y mucha más en el Boletín Oficial del Estado (Disposición 3329 del BOE núm. 76 de 2014)

Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.

Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:

  • Búsqueda de producto por imagen en Google Imágenes para evitar intermediarios.
  • Uso de plataformas como Chollometro para encontrar ofertas.
  • Comprar el producto en China. Será más barato, pero tardará más y tendrá un servicio post-venta más complicado.
  • Uso de la web camelcamelcamel o la extension keepa para ver el histórico de precios de un producto de Amazon.
  • Realizar búsquedas en internet con la referencia del producto y revisar tanto la sección de shopping, como la búsqueda global. Ejemplo: UE55AU7175UXXC (Revisar todos los puntos  de seguridad expuestos anteriormente)
  • Acceder a Amazon reacondicionados y probar suerte! (Revisar siempre el estado del producto)
    Además, en blackfriday hay un 20% de descuento extra en productos reacondicionados.

  • Revisar las opiniones de los usuarios que han comprado el producto, puede que provenga de un vendedor externo y no ofrezca la seguridad que debería.
  • Revisar el precio del producto en Amazon Alemania y Amazon Italia, suelen realizar envíos a España y pueden tener un precio inferior.
  • Tener cuidado con los productos cuyas valoraciones son una C, dado que, muy probablemente, dichas valoraciones hayan sido "compradas" por el vendedor.


Un saludo y felices compras en este Black Friday! :D

25 nov 2021

RootedCON Llega a Málaga cargada de historias, de nostalgia y de conocimiento

Saltó la sorpresa hace unos meses. RootedCON desembarcaba en Málaga. Después de todos estos meses de pandemia y de eventos virtuales, todos tenemos ganas de volver a los eventos físicos, la posibilidad de volver a vernos y de sentir emociones que, en muchas ocasiones, es difícil sentir detrás de la pantalla. La vida es más, simplemente con poder darnos la mano. 

En esta primera aventura de RootedCON en Málaga, la gente de Rooted plantea ponentes con charlas potentes, una gran organización y los famosos Rooted Labs. Quiero aprovechar este post para agradecer a la gente de RootedCON la oportunidad de poder asistir a una nueva Rooted, la primera en Málaga. Después de hacer charlas y labs en las Rooted de Madrid y Valencia, podré disfrutar del clima, la cultura y la gente de Málaga. 

La agenda está siendo publicada poco a poco y viendo cada ponente, las charlas serán de mucho interés. Buenos amigos dando charlas en la primera Rooted en Málaga y seguro que seguirán llegando las sorpresas. 

He tenido la suerte de dar alguna que otra charla en Rooted Madrid y Valencia, así como 8 años de lab en Madrid y 6 años en Valencia. Este año, si todo va bien, toca llevar un taller sobre Ethical Hacking (muy práctico y con alguna sorpresa) a Málaga. Aquí llega el momento publicidad ^^. El taller tiene una duración de 8 horas (intensas y prácticas).  Pasaremos el rato aprendiendo sobre enumeración, explotación de vulnerabilidades, técnicas de movimiento lateral, pivoting, escalada de privilegios, etcétera. Todo para que te formes en el hacking ético, pentesting y técnicas utilizadas en momento del Red Team. La fecha de impartición es el viernes 10 de diciembre. Os dejo los lab de este año


Por encima de todo, hay ganas de Rooted, hay ganas de volver a disfrutar del trato persona a persona. De disfrutar impartiendo un Lab. La vida nos ha cambiado mucho en el último año y medio - dos años. Es el momento de volver a disfrutar, de aprender, de hacer networking y de hacer que esta pasión que tenemos dentro por la ciberseguridad vea la luz, de nuevo. 

Es el momento de ver a amigos, de contar batallitas, de ver cómo le ha ido a la gente, será un evento especial, no cabe duda. Será un evento dónde lo importante serán y son las personas. Por todas estas cosas, y más, hay ganas de Rooted, hay ganas de sentir el cosquilleo antes de empezar, de volver a sentir que tienes que dar más de ti, que te falta tiempo para preparar la última demo, la última explicación, que saldrás con la PPT casi terminada... Sin duda, todas estas cosas se han echado de menos. Volveremos. Volvimos. 

Sin duda, espero poder disfrutar de todo esto, una vez más. Siempre pienso en que estos eventos, siempre pueden ser el último, y volver a tener la oportunidad de compartir con la gente esto me llena de orgullo. Por una vez más. Otra vez más. Otra RootedCON. La primera de muchas en Málaga. 

15 nov 2021

¿Cuánto le cuesta un leak o una brecha de datos a la empresa?

Buenas! 

Hoy os traigo una breve explicación sobre lo que podemos perder cuando nuestra organización tiene una brecha de datos.

Imagen del leak de Twitch
Captura de pantalla del leak de datos de Twitch en 4Chan


Muchas empresas se preguntan, bueno, sí, me pueden "hackear", pueden conseguir todos los datos, pero... ¿yo qué pierdo? 😕

Lo primero que hay que explicar es que, una brecha de datos, deja al descubierto que la seguridad de tu empresa (completa) está en peligro. Estos "leaks" son pruebas, básicamente, de que la seguridad que estás empleando en tu infraestructura, software, etc, no es la adecuada.

¿Vas a criticar tú a Twitch? Pues sí, hay que hacerlo, puesto que, por cosas como esta, quedan al descubierto millones de datos de usuarios finales.

Bueno, a lo que veníamos... ¿Qué pierdes?
  • Pérdida de confianza y reputación
    • Cada día produce más miedo el saber que un grupo u organización criminal posee tus datos, ya que, con ellos, puede comprometer tu economía y bienestar. (Recordemos que estos datos son vendidos o cedidos a otras entidades para ser explotadas, en forma de SPAM, campañas de phising, robos, etc)
    • Dejas al descubierto que tu organización no tiene una buena seguridad.
    • Pueden volver a hacerlo siempre que quieran, recuerda que, ¡no sabes cómo lo han hecho y van a intentar dejar las menores pistas posibles!
    • Los datos extraídos de los leaks son utilizados para atacar a los usuarios en otras plataformas.
  • Pérdidas económicas directas
    • Caídas en el servicio que ofreces.
    • Coste de reestablecer el servicio.
    • Posibles indemnizaciones por denuncias de usuarios.
    • Pérdidas económicas derivadas de que los usuarios ya no realizan trámites a través de tu plataforma. (Publicidad, suscripciones 😅..)
  • Pérdidas económicas indirectas.
    • Búsqueda e investigación para determinar el o los fallos que han propiciado el leak.
    • Tiempo invertido para reestablecer los servicios + el tiempo invertido para buscar y subsanar la brecha de seguridad (en caso de que la encuentres).
Estas pérdidas económicas, según el Informe del Coste de una Vulneración de datos de 2021 de IBM Security son, de media, de 3.56M de euros. Además, este importe está aumentado al ritmo de +10% anual, por lo que se estima que en 2022 sea de 3.92M de euros de media.

Datitos interesantes:
  • En las brechas de seguridad en empresas donde se realizaba teletrabajo o trabajo remoto se ha perdido 923.000€ más de media.
  • El sector con mayor coste en materia de brecha de datos es el de Servicios Sanitarios.
  • El 20% de brechas de datos ha sido propiciada por credenciales comprometidas.
  • El número de días de media que ha costado encontrar la vulnerabilidad ha sido 287 días.
En conclusión, las empresas que han ofrecido trabajo en remoto deben tenerlo en cuenta en su plan de ciberseguridad. Las que no, deben tener en cuenta que el presupuesto invertido en ciberseguridad sea el adecuado y se estén llevando las medidas pertinentes para evitar este tipo de brechas de seguridad, en especial, en materia de credenciales.

Recordad, la ciberseguridad no es algo que sea bueno tener, es una necesidad en cualquier compañía. 

Os dejo el enlace al informe, por si queréis examinarlo vosotros mismos!

¡Un saludo!


10 nov 2021

CISSP: Cheatsheets y otros recursos (vol 4)

¡Buenas!

Siguiendo la línea de los anteriores artículos de esta serie (vol 1, vol 2 y vol3), hoy queremos enseñaros algunos recursos para preparar el CISSP que hemos encontrado recientemente.

En primer lugar queremos hablar de Sunflower-CISSP, un sitio web con material para preparar el CISSP. Concretamente cuenta con un resumen por cada uno de los dominios de CISSP en formato PDF, un glosario de términos y una herramienta (randomizator) que muestra los términos del glosario de manera aleatoria.

Por otra parte, muchas de las experiencias que se comparten a través de grupos de Telegram o en Reddit hablan de la complejidad del examen de certificación y de la gran cantidad de tiempo invertido en prepararla. Por ello, el siguiente vídeo de la instructora Kelly Handerhan tiene una componente motivacional para afrontar la certificación y proporciona una serie de recomendaciones por cada uno de los dominios que componen la certificación:


Igualmente, Kelly Handerhan cuenta con un curso de preparación de CISSP que contiene un módulo con vídeos explicativos por cada uno de los dominios de la certificación.

Otro recurso interesante, son las playlists dedicadas al CISSP en el canal de YouTube de Destination Certification, siendo la más interesante de ellas CISSP MindMaps / Domain Review.

Por último, el instructor Mohamed Atef cuenta con un curso básico gratuito de preparación de CISSP que, además, ha sido publicado en en canal de freeCodeCamp.org.

¡Esperamos que estos recursos os resulten de utilidad!

¡¡Saludos y hasta el próximo post!!

3 nov 2021

Hackers en el cine, y en España para cuando... Petición abierta

Buenas a todos/as, hoy vengo a hablar sobre cine y hackers, con una pregunta, ¿para cuándo en nuestro país nuestra serie o película sobre hackers españoles? Desde luego no nos faltan personas y recursos patrios.

No se a vosotros, pero después de terminar de ver Mr. Robot me quedé con ganas de más. Yo creo que es la serie con más referencias a herramientas de hacking, sí que es verdad que al final (tranquilidad, NO alerta spolier) la serie quedaba un poco desdibujada, en mi opinión, sobre lo que hay en la cabeza de Elliot, y sacaba otros temas más profundos que por otro lado a mí personalmente me flipan, más allá de las conspiraciones, ataques, potenciales distopias o sucesos que podrían darse, etc. Bueno vale me contengo que al final lo acabo destripando un poco.

Vale vale Elliot ya paro

Hablemos de producciones cinematográficas sobre hackers/hacking en España, desde luego tendríamos material con las personalidades que tenemos en nuestro país. Potencial no nos falta.

Hace seis años, Yago Jesús (@YJesus) escribió una carta abierta a Nacho Vigalondo (no se si él mismo se lo sigue planteando..), con toda humildad y con su permiso, quiero recoger el guante o rescatarlo.

En este artículo, Yago proponía a Nacho Vigalondo para nuestra gran producción en España sobre hacking (te comprendo, después de los fiascos que hemos visto hasta que llegó Mr. Robot al cine de Hollywood).

En su petición, pedía que fuera un retrato FIEL sobre el mundo de la ciberseguridad. Tampoco soy quién para decir cómo debe hacerse, pero si me gustaría decir, lo que como espectador (e informático) me gustaría ver. En mi opinión, muchos de los personajes que se han visto en el cine o series de hackers (me remito sobre todo a Mr. Robot), son tipos atormentados, antisociales y por otra parte, genios de los ordenadores.

Aparte de Elliot, tenemos a Lisbeth Salander, que llegó primero a la literatura. Un personaje marcado por un pasado violento y lleno de abusos, con el que el autor también quiso reivindicar y condenar a esos hombres que no amaban a las mujeres. Puede sonar tibio, ¿verdad?. Cualquiera diría los hombres que odiaban a las mujeres.


 En fin, quiero decir que por una vez, se podría retratar a los "hackers" de una forma más positiva, vale que pueden estar mucho tiempo estudiando y trabajando, y echando muchísimas horas delante del ordenador, pero todos y todas los/as que conozco, son súper abiertos/as, amigables, sociales y por supuesto unos genios, con unas ganas de enseñar y con una curiosidad, fuera de lo común.

Dedico esta carta abierta y propongo para nuestra producción sobre hackers patrios, a Montxo Armendáriz(@montxoarmendari). Quizás algunos no entiendan esta propuesta, pero es que Montxo se dedicaba a la tecnología antes del cine, aunque no a la informática, pero si a la electrónica, y sé a ciencia cierta que el tema de la seguridad informática le interesa mucho. Es un director con mucha experiencia y siempre ha tratado temas comprometidos. Desde mi punto de vista tiene películas icónicas en el cine español, así que le dedico también este post. A modo de petición, ¿Porqué no hablar del grupo de la9deanon, dónde quieran que estén estas chicas? (En realidad hace poco concedieron una entrevista ) Me parece que unir lo que significan o de donde vienen con ese nombre, y el tema de hacking, es un temazo. Desde luego en este país no te va a faltar un buen asesoramiento ;). Bueno pues, soñar y proponer es gratis, ¿no?

¡Saludos!

29 oct 2021

Podcasts de ciberseguridad

Meowy buenas! Entre las muchas consecuencias que ha traído la pandemia Covid-19, una ha sido la mayor creación de contenido digital. No sólo han aumentado las series, mini-series, películas, documentales en las diferentes plataformas de streaming, sino que también ahora tenemos la posibilidad de asistir a muchos congresos cyber online, y han nacido una gran variedad de proyectos de formación en cyber en plataformas como Ivoox, Spotify, SoundCloud, Spreaker, o PodcastGo, entre otras.

En este post vamos a centrarnos en los podcasts a través de la plataforma de Spotify, que para salir a pasear, ir en metro o en coche (o simplemente tener algo de fondo), estos capítulos son perfectos :)

En español podemos encontrar los siguientes:

Y para quienes buscáis mejorar el oído en inglés, tenemos un repertorio bastante interesante:

Por supuesto, estos indicados no son los únicos, hay muchos más, pero entre número de capítulos, cuánto hacía que no subían contenido... Me he quedado con estos.


¿Conocéis o escucháis alguno más? ¡Compartidlo con nosotros!

Muchos maullidos!

M

30 ago 2021

CTF IntelCon 2021: "The Cyberintelligence Guru"


Hoy comienza IntelCon 2021, el congreso online gratuito de Ciberinteligencia cuyo objetivo principal es la difusión de conocimiento de calidad y consolidación de una comunidad enfocada en la Ciberinteligencia. El Congreso constará de una serie de temáticas alrededor del sector de la Ciberinteligencia, que serán cubiertas en sesiones en forma de ponencias y talleres, formando parte de un itinerario guiado que gira sobre el ya conocido Ciclo de Inteligencia. A parte de todos los fundamentos que los asistentes tendréis la oportunidad de repasar a lo largo de los próximos días, IntelCon, junto a su patrocinador Zerolynx, ha creado un Capture The Flag (CTF) que dará comienzo el 6 de septiembre a las 12:00 p.m. donde podréis poner en práctica todo lo aprendido. 

El CTF, llamado #TheCyberintelligenceGuru consistirá en una serie de retos que según se vayan completando liberarán otros de mayor dificultad y puntuación que os permitirán mostrar vuestras habilidades en OSINT, HUMINT, SOCINT Y GEOSINT, entre otras. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo podrán optar a una serie de premios formativos en materia de Ciberinteligencia. El CTF finalizará el domingo 12 a las 18:00 p.m. y los ganadores serán anunciados el día 13 de septiembre a las 20:00 p.m. por las redes oficiales de Twitter, LinkedIn y Telegram de Ginseg. 

No olvides seguirnos en el twitter de Zerolynx para estar informado de todas las novedades del torneo. 

¡Regístrate ya y empieza a disfrutar! 

28 jul 2021

Clickbait o no, la odisea de saber cuánto debo invertir en ciberseguridad


Desde hace varios años, cuando empecé a cambiar el Burp por ecuaciones de 4 filas en Excel, comencé a entrar en debates algo más profundos sobre el por qué de ciertas cosas del sector. Una pregunta que siempre se suele repetir en mesas redondas, entrevistas con prensa o, simplemente, cuando visitas una empresa nueva, es la de "¿cuánto debo invertir en seguridad?". Que una Ibex35 invierta en ciberseguridad, es lo habitual. Si no, su negocio estaría perdido (y todo y con eso, muy a menudo sufren ciertos sustos). Pero... ¿y una PYME?

Antes de nada, me gustaría definir que es una PYME (en España), que es un concepto que no todo el mundo suele tener claro. De acuerdo al Anexo I del Reglamento (UE) nº 651/2014 de la Comisión, una PYME sería una empresa menor de 250 empleados o de 50 millones de euros de facturación. Dentro de las PYMEs, tendríamos 3 subdivisiones, las medianas (con más de 50 empleados y menos de 250, o más de 10 millones de euros de facturación y menos de 50 millones), las pequeñas (con más de 10 empleados y menos de 50, o más de 2 millones de facturación y menos de 10), y las micro (las que restan).

Vista la división del párrafo anterior, parece obvio que las PYMEs medianas y pequeñas deberían invertir en cyber porque se lo "pueden permitir", pero, opinión personal, nunca me han parecido acertadas las estrategias de invertir el X% de tu facturación en ciberseguridad, por poco que sea, dado que no podemos negar la evidencia de que la seguridad es un "gasto", y esto es algo que aprendes tras pegarte durante años con los departamentos de compras de infinidad de clientes. Hay que invertir, lo que haya que invertir. Entiendo su motivo, es una manera sencilla de categorizar y de recomendar algo que para muchos parece obvio, pero nos tiene que quedar claro el concepto de que la seguridad es una cuestión de confianza, y la seguridad debe implantarse cuando no tenemos confianza. ¿No confiamos en que nuestra aplicación sea robusta? Ponemos un WAF. ¿No confiamos en que nuestro servicio de correo frene el spam? Ponemos un antispam. ¿No confiamos en que nuestros desarrolladores programen sin generar brechas de seguridad? Establecemos un programa de auditorías periódicas. ¿No confiamos en que nuestra contraseña sea robusta? Desplegamos un 2FA. Cuestión de confianza. 

No todas las empresas nos dedicamos a lo mismo, y, por tanto, no todas tenemos las mismas necesidades de seguridad, ni tenemos por qué tener el mismo gasto.  Una PYME pequeña de unos 20 empleados que facture 1,5 millones de euros, y se dedique al comercio online, probablemente tenga que tener un buen ERP, un CRM, una aplicación fuerte y robusta para la venta online, una pasarela de pago, un buen WAF, un antispam top, etc. etc. Es decir, una parte importante de sus beneficios deberían ir dedicados a la calidad y seguridad de sus servicios, dado que es el core de su negocio. Sin embargo, Ibai Llanos, que también gana esos 1,5 millones de euros, probablemente le valga con tener su PC bastionado hasta los dientes con un buen antivirus, 2FA en todas sus cuentas, y en las de su mánager o agencia de marketing. ¿Veis por donde voy? Por mucho que las empresas tengan un "mismo tamaño" en lo que se refiere a nº de empleados o facturación, no tienen por que tener las mismas necesidad de seguridad, ni mucho menos tienen por qué realizar la misma inversión.

El Instituto Ponemon, que realiza muchos estudios de este tipo, sacó como conclusión en 2015 que las empresas invertían en ciberseguridad de media el 8,2% del presupuesto de TI. Así mismo, de acuerdo con otro estudio de IDG de 2020, las empresas españolas invirtieron el 4% de sus ventas en TI. Si hacemos una sencilla ecuación, obtenemos que el presupuesto cyber "medio" estaría en el 0,3% de la facturación, por lo que nuestros amigos Ibai y la PYME de comercio electrónico deberían invertir en ciberseguridad unos 45.000 € al año. Con estos números básicos, Ibai Llanos sería el influencer mejor protegido de Twitch :), pero la PYME de comercio probablemente sufra un leak más pronto que tarde...

¿Qué tenemos que hacer entonces? Pues lo que se lleva recomendando toda la vida, realizar un buen análisis de riesgos, identificar cuales son tus activos clave, localizar amenazas, riesgos y aplicar las mitigaciones que se estimen necesarias. ¿Necesito una ISO 27001 para ello? En absoluto. Si la implantas adecuadamente como mejora, te será de mucha ayuda dado que plasma el conocimiento de muchos profesionales en la materia y te dará una base sobre la que armar la seguridad global de la compañía. Pero si tu objetivo es implantarla por el mero cumplimiento (cumplo y miento), ahorratelo. Probablemente un nivel 1 de CIS Controls te dará una guía básica sobre como acometer esos primeros pasos en el camino hacia la ciberseguridad, con un trabajo que apenas te llevará una semana si eres una micropyme o una pyme pequeña. Y de esta primera revisión obtendrás un primer plan de acción que te permita calcular "cuánto" debes gastar para sentar una base mínima en seguridad.

No me enrollo más, simplemente quería dejaros esta reflexión/conclusión. No tratemos de buscar cifras mágicas que apliquen a cualquier negocio. Cada empresa necesitará gastar una cifra, y esta solo podrá ser calculada tras conocer sus necesidades y su situación actual.

Saludos!

22 jul 2021

CVE-2021-36934: Microsoft no gana para disgustos (y nosotros tampoco)

Muy buenas!

Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.


La vulnerabilidad realmente es simple: por alguna razón (¿despiste?), Microsoft ha cambiado las ACL de los ficheros SAM y SYSTEM para que puedan ser leídos por cualquier usuario del equipo, aunque no tenga privilegios de Administrador. Estos ficheros pueden ser utilizados para obtener los hashes NTLM de los usuarios locales del equipo y, de este modo, crackearlos para obtener las contraseñas en claro o usar directamente los hashes para autenticarte como otro usuario del equipo, como el administrador local del mismo, permitiendo una escalada de privilegios local de forma sencilla.

Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯

Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.

Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.


¿Y ahora qué?

Bien, lo primero que tenemos que hacer es asumir que somos vulnerables, ya que esto afecta a todos los Windows 10 a partir de la versión 1809. Este es uno de esos casos en el que actualizas y se lía (shame on you, Microsoft). Sin embargo, la solución es muy sencilla.

Si queremos confirmar que somos vulnerables, simplemente debemos lanzar el comando icacls C:\Windows\system32\config\SAM como administrador. Si aparece un resultado como el siguiente, tenemos el problema en casa:


Para arreglar esto, la solución propuesta por Microsoft en el CVE-2021-36934 es simple: arreglar manualmente las ACL a estos ficheros con el comando icacls %windir%\system32\config\*.* /inheritance:e (de nuevo, como adminstrador). En este caso, observaremos como los ficheros SAM y SYSTEM únicamente son accesibles por el grupo de Administradores.

Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.

Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).


Como no sabemos en qué momento apareció la vulnerabilidad, siempre que sea posible, la mejor opción será borrar todas las shadow copies con el comando vssadmin delete shadows /for=c: /all.

Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.


Saludos!!