- Lo mejor del año 2013, por Juan Antonio Calles
- Lo mejor del año 2014, por Juan Antonio Calles
- Lo mejor del año 2015, por Juan Antonio Calles. Parte 1
- Lo mejor del año 2015, por Juan Antonio Calles. Parte 2
- Lo mejor del año 2016, por Juan Antonio Calles
- Lo mejor del año 2017, por Juan Antonio Calles
- Lo mejor del año 2018, por Juan Antonio Calles
- Lo mejor del año 2019, por Juan Antonio Calles
- Lo mejor del año 2020, por Juan Antonio Calles
VISITS
ARCHIVE
-
►
2020
(215)
- ► septiembre (22)
-
►
2019
(123)
- ► septiembre (21)
-
►
2018
(49)
- ► septiembre (6)
-
►
2017
(78)
- ► septiembre (10)
-
►
2016
(154)
- ► septiembre (10)
-
►
2015
(176)
- ► septiembre (28)
-
►
2014
(278)
- ► septiembre (21)
-
►
2013
(359)
- ► septiembre (30)
-
►
2012
(371)
- ► septiembre (32)
-
►
2011
(386)
- ► septiembre (30)
Lo mejor del año 2021, por Juan Antonio Calles (@jantonioCalles)
Año 2021. My Backup. Lo mejor del año @pablogonzalezpe
Llegamos al final del año 2021. Un año que venía a reorientar nuestras vidas. Un año que proponía una nueva realidad y una nueva forma de afrontar la vida. Palabras como remoto, teletrabajo o confinamientos y aislamientos forman parte del día a día en muchos trabajos. Esos trabajos que tienen la suerte de poder hacerse en remoto, ya que otros muchos no lo son.
Personalmente, el año 2021 ha sido un año muy importante. Un año que ha cambiado mi camino para siempre. Un año que me ha regalado lo que nunca se podrá superar. Un año que tiene banda sonora propia e imágenes de retina que nunca se podrán olvidar. Al 2021 solo puedo darle las gracias, porque en lo personal no ha podido ser mejor. Y no es fácil para muchos avanzar en estos tiempos de pandemia, en estos tiempos que creemos que no pasan, pero que debemos comprender que pasan y no vuelven. Nunca volverás a tener la edad que tenías el día antes del comienzo de la pandemia. No lo pienses. Haz que tu vida siga, que avance, haz lo que tenías planificado, quizá en un mañana no haya opción.
Para mí es muy importante hacer cosas. No parar. Hacer cosas se transforma en nuevas ideas, nuevos proyectos, nuevos caminos y es algo que me apasiona. Me gusta tomar distancia y ver qué hacemos durante estos años. Las cosas que hemos ido haciendo, el camino que hemos ido recorriendo, los errores que hemos cometido (éstos para mi son muy importantes, aprendemos más de los fracasos que de los éxitos). Fracasa una vez y aprenderás como si de tres éxitos se tratase. Aprende lo que te gusta, lo que te motiva, lo que quieres lograr, lo que quieres hacer y fracasando aprenderás cómo no debes hacerlo, qué es lo que realmente quieres hacer y conseguir y la fórmula para lograrlo. Os dejo "My Backup" y ya son unos cuantos años. Un Pablo que ha crecido en lo personal y en lo profesional con el paso de los años.
Otra reflexión que me deja el año 2021 es el debate sobre el esfuerzo y la dedicación. Algo tan impopular, pero que nos lo han puesto en el 'foreground'. La ciberseguridad no es sencilla. La ciberseguridad es esfuerzo y dedicación. Diario. No hay aspectos mágicos. El tiempo es tu aliado. Cuando uno es joven tiene el tiempo de su parte. Tiempo para aprender, para conocer, para equivocarse, para elegir. Aprovéchalo. No tengas prisa por llegar. No tengas prisa por querer llegar a las cotas que soñaste. Prepárate y vive el sueño, paso a paso. La cultura de esfuerzo y dedicación es necesaria en la ciberseguridad y, por lo general, en el mundo de la tecnología. Con humildad, esfuerzo y dedicación todo se puede, pero requiere del elemento fundamental: el tiempo. Ese elemento tan deseado hoy día, tan complejo de conseguir y en algunos casos tan despreciado.
Sin más, voy a dar comienzo con mi resumen anual. Este año, por diversos motivos, menos movido que otros años, pero intenso. Contento con el resultado. Contento por seguir haciendo cosas otro año. Doer.
Enero empezó con las universidades, clases online, clases presenciales, masterclasses, sigue siendo algo que me gusta, me motiva y me llena. Espero poder seguir estando ahí mucho tiempo, aportando mi granito de arena. Además, tuve la oportunidad de estar en BSides Panamá con la charla "ATTPwn: Emulación de adversarios y técnicas ofensivas"
Hay que decir que en el mes de enero echamos mucho de menos a mi querida Sh3llCON. Espero que este año que pronto empezamos podamos volver a vernos. Oh mi Sh3llCON, mi querida Sh3llCON. Sinónimo de casa, mi casa :)
Febrero fue un mes de más clases y de una nueva edición de Morteruelo CON en 2021. En esta ocasión nos tocó hacerlo online y hablé sobre nuestra herramienta de emulación de adversarios ATTPwn. He tenido la suerte de estar en más de 5 ediciones de este congreso y siempre es un orgullo poder compartir el tiempo y las charlas con mis amigos de Cuenca. Espero que sigamos estando ahí durante muchos años. Además, en el mes de febrero me tocó dar una charla de orientación sobre la ciberseguridad y el entorno laboral. Una experiencia poder contar mi visión sobre ello y poder compartir ideas con los asistentes.
En el mes de marzo nos quedamos huérfanos de Rooted. Es el mes de la Rooted y este año nos tuvimos que aguantar sin ella. El mes de marzo seguí con las universidades, clases, sesiones, masterclasses, TFMs y alguna participación en radio y televisión. Un mes que marcaba mi punto y seguido al siguiente mes y medio que me tomé "de vacaciones". En el mes de abril estuve apagado o fuera de cobertura, así como la mitad del mes de mayo. Viviendo nuevas experiencias. Nuevas aventuras. Los sueños locos como diría Fito. Eso sí, 'para toda la vida'.
La vuelta al ruedo comenzó fuerte. Participé en un evento que celebraba la Universidad de Cádiz dónde hablé de Ciberseguridad y la emulación de adversarios. Con esto finalizamos el mes de mayo.
En el mes de junio hice un webinar sobre orientación en el pentesting en el EIP y finalizamos curso lectivo en lo que a Universidad se refiere. En el mes de junio participé en OpenExpo, por segunda vez. En esta ocasión, participé en un concurso por equipos sobre tecnología. Formé parte del equipo MyPublicInbox. Fue una experiencia interesante, y no solo porque el equipo ganara la competición (peleando con el equipo Microsoft o Geekshubs, entre otros - guiño guiño :D). Para finalizar el mes participé en un seminario sobre ciberseguridad de nuevo online. Las ganas de la presencialidad recorrían mis venas, ya que, para mí, es más interesante el 'face2face'.
En Julio volví a una charla presencial en Zaragoza de la mano de mi amigo y compañero Fran Ramírez. En mi pensamiento solo había una expresión: "Por fin". Las ganas de volver a tener la adrenalina y de volver a sentir el 'calor' de la gente. La temática de la charla era el poder de la gran pantalla en la transformación digital. ¿Cómo? Así es. Una charla con un registro diferente para mí, acostumbrado a las charlas técnicas, pero la disfruté mucho. Mucho.
También presentamos la herramienta on-the-fly que implementa funcionalidades de auditoría de red para TI, IoT o ICS. El paper y documentación de la herramienta se puede encontrar en el siguiente enlace.
Y para finalizar el año, ¡Volvió la Rooted! Eso sí, con estreno en Málaga. La Rooted Málaga se celebró los días 9 y 10 de diciembre y tuve la suerte de poder estar impartiendo un Rooted Lab sobre Hacking Ético. Tengo que decir que era mi décimo quinta edición de RootedLab entre Rooted Madrid, Rooted Valencia y la primera Rooted Málaga. Todo un honor para mí poder estar una ocasión más y espero con muchas ganas la edición de Marzo en Madrid.
Además, en el mes de diciembre se publicó un libro muy especial para mí. En el mes de agosto, Chema Alonso me propuso escribir un relato corto de lo que quisiera para contribuir en un libro benéfico, dónde los autores donamos nuestra contribución a la fundación Gomaespuma y todo lo bueno que están haciendo por los niños. Sin dudarlo me lancé a la piscina.
El libro se llama "Relatos para hackear el tiempo" y cada uno aporta una visión diferente con sus relatos. Reirás, llorarás, te estremecerás, disfrutarás, tendrás ciencia ficción, humor, pero sobre todo, aportarás a una necesidad. En este libro hay autores como Pérez-Reverte, Antonio Castelo, Juan Luis Cano, etc. Orgulloso de contribuir y poder estar en un libro con cada uno de ellos, grandes profesionales en su campo.
Por último, y abierto todo el año, deciros que sigo con mi buzón público de MyPublicInbox (dónde espero pronto dar novedades) y aportando un porcentaje de los tempos a una asociación.
Ahora ya sí, toca despedir el año y mi resumen. Para el año 2022 pido muchas cosas y también ofrezco esfuerzo. Intentaré seguir dando guerra, estar de aquí para allá, pensando y haciendo cosas que hacen nuestro recorrido en la vida algo interesante. Aportando todo en lo familiar y también en lo profesional. No sabemos cuanto tiempo nos queda, pero lo que está claro es que cuando mires atrás tengas tus recuerdos, tu mejor tesoro, tus vivencias, tu mejor conocimiento y tu mejor regalo. El año que viene más. Gracias a todos los que me apoyaron, me apoyan, a los que ya no están y que se fueron demasiado pronto, a ti (a él) y a la familia. Sin vosotros nada sería lo mismo. ¡A por el 2022!
¡Hoy @FluProject hace 11 años!
¡Buenas a todos!
Los años van pasando y por aquí seguimos 11 años después, sin pausa, pero sin prisa. No publicamos todo lo que nos gustaría, pero si nos gusta todo lo que publicamos, y así seguiremos mientras haya algunos locos que se molesten en abrir nuestro blog para leer lo se nos ocurra comentaros cualquier día random del próximo 2022 :). Por lo que en breve tendréis con vosotros nuestros ya tradicionales resúmenes del año. Nueve años contándoos nuestra vida, sobre todo sus cosas buenas, que para contar disgustos ya tenemos todos bastante ¿no pensáis?
Esperemos que el próximo 2022 sea por fin el final de esta pandemia y que pueda ser el año que todos esperamos con tantas ganas.
¡Un fuerte abrazo mío y de Pablo!
OSINT shopping! O cómo hacer tus compras online más seguras (y quizás, más baratas)
- Revisar que el sitio web cuente con un certificado SSL válido.
- Si el sitio web contiene productos con precios escandalosamente bajos, es muy probable que sea un estafa.
- Haz una búsqueda similar a la siguiente "opiniones nombretienda", "estafa nombretienda" en Google.
- Revisar que tenga páginas legales para saber quién o qué está detrás del sitio web, donde, normalmente no solo aparecerá la denominación social, sino también el CIF de la empresa. Si no aparecen, mal rollito.
- Realizar una búsqueda en Google con dicho CIF o denominación social en busca de otros portales webs similares, opiniones, denuncias, etc.
- Revisar la página de envíos y leerla a conciencia, para tener claro el plazo en el que llegará el producto solicitado.
- Si es una web conocida, verifica que la URL de la web sea la real. Ejemplo: Mediamarkt - Mediamarrkt.
- Evitar realizar compras y el acceso a webs a través de enlaces que no sean de una búsqueda propia. Ejemplo: Recibimos una notificación a través de una web de que podemos conseguir un IphoneLynx 13 por 200€.
- Utilizar tarjetas de prepago o Paypal para las compras online.
- Comprar en sitios web de confianza, todos conocemos cuales son las principales tiendas online donde no tendremos casi ningún problema.
- Revisar las fotos, la marca de agua y la calidad de las mismas. En caso de tener marca de agua de otra empresa, es un indicador claro de que está utilizando imágenes de terceros.
Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)
Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:
- Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
- La identidad del empresario, incluidos los datos correspondientes a la razón social, el nombre comercial, su dirección completa y su número de teléfono y, en su caso, del empresario por cuya cuenta actúe.
- El precio total, incluidos todos los impuestos y tasas. Si por la naturaleza de los bienes o servicios, el precio no puede calcularse razonablemente de antemano o está sujeto a la elaboración de un presupuesto, la forma en que se determina el precio así como todos los gastos adicionales de transporte, entrega o postales o, si dichos gastos no pueden ser calculados razonablemente de antemano, el hecho de que puede ser necesario abonar dichos gastos adicionales.
- Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
- El procedimiento para atender las reclamaciones de los consumidores y usuarios, así como, en su caso, la información sobre el sistema extrajudicial de resolución de conflictos prevista en el artículo 21.4.
- Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios
- El consumidor y usuario dispondrá de un plazo mínimo de catorce días naturales para ejercer el derecho de desistimiento.
Podéis revisar toda esta información y mucha más en el Boletín Oficial del Estado (Disposición 3329 del BOE núm. 76 de 2014)
Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.
Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:
- Búsqueda de producto por imagen en Google Imágenes para evitar intermediarios.
- Uso de plataformas como Chollometro para encontrar ofertas.
- Comprar el producto en China. Será más barato, pero tardará más y tendrá un servicio post-venta más complicado.
- Uso de la web camelcamelcamel o la extension keepa para ver el histórico de precios de un producto de Amazon.
- Realizar búsquedas en internet con la referencia del producto y revisar tanto la sección de shopping, como la búsqueda global. Ejemplo: UE55AU7175UXXC (Revisar todos los puntos de seguridad expuestos anteriormente)
- Acceder a Amazon reacondicionados y probar suerte! (Revisar siempre el estado del producto)
Además, en blackfriday hay un 20% de descuento extra en productos reacondicionados. - Revisar las opiniones de los usuarios que han comprado el producto, puede que provenga de un vendedor externo y no ofrezca la seguridad que debería.
- Revisar el precio del producto en Amazon Alemania y Amazon Italia, suelen realizar envíos a España y pueden tener un precio inferior.
- Tener cuidado con los productos cuyas valoraciones son una C, dado que, muy probablemente, dichas valoraciones hayan sido "compradas" por el vendedor.
Un saludo y felices compras en este Black Friday! :D
RootedCON Llega a Málaga cargada de historias, de nostalgia y de conocimiento
En esta primera aventura de RootedCON en Málaga, la gente de Rooted plantea ponentes con charlas potentes, una gran organización y los famosos Rooted Labs. Quiero aprovechar este post para agradecer a la gente de RootedCON la oportunidad de poder asistir a una nueva Rooted, la primera en Málaga. Después de hacer charlas y labs en las Rooted de Madrid y Valencia, podré disfrutar del clima, la cultura y la gente de Málaga.
La agenda está siendo publicada poco a poco y viendo cada ponente, las charlas serán de mucho interés. Buenos amigos dando charlas en la primera Rooted en Málaga y seguro que seguirán llegando las sorpresas.
He tenido la suerte de dar alguna que otra charla en Rooted Madrid y Valencia, así como 8 años de lab en Madrid y 6 años en Valencia. Este año, si todo va bien, toca llevar un taller sobre Ethical Hacking (muy práctico y con alguna sorpresa) a Málaga. Aquí llega el momento publicidad ^^. El taller tiene una duración de 8 horas (intensas y prácticas). Pasaremos el rato aprendiendo sobre enumeración, explotación de vulnerabilidades, técnicas de movimiento lateral, pivoting, escalada de privilegios, etcétera. Todo para que te formes en el hacking ético, pentesting y técnicas utilizadas en momento del Red Team. La fecha de impartición es el viernes 10 de diciembre. Os dejo los lab de este año.
¿Cuánto le cuesta un leak o una brecha de datos a la empresa?
- Pérdida de confianza y reputación
- Cada día produce más miedo el saber que un grupo u organización criminal posee tus datos, ya que, con ellos, puede comprometer tu economía y bienestar. (Recordemos que estos datos son vendidos o cedidos a otras entidades para ser explotadas, en forma de SPAM, campañas de phising, robos, etc)
- Dejas al descubierto que tu organización no tiene una buena seguridad.
- Pueden volver a hacerlo siempre que quieran, recuerda que, ¡no sabes cómo lo han hecho y van a intentar dejar las menores pistas posibles!
- Los datos extraídos de los leaks son utilizados para atacar a los usuarios en otras plataformas.
- Pérdidas económicas directas
- Caídas en el servicio que ofreces.
- Coste de reestablecer el servicio.
- Posibles indemnizaciones por denuncias de usuarios.
- Pérdidas económicas derivadas de que los usuarios ya no realizan trámites a través de tu plataforma. (Publicidad, suscripciones 😅..)
- Pérdidas económicas indirectas.
- Búsqueda e investigación para determinar el o los fallos que han propiciado el leak.
- Tiempo invertido para reestablecer los servicios + el tiempo invertido para buscar y subsanar la brecha de seguridad (en caso de que la encuentres).
- En las brechas de seguridad en empresas donde se realizaba teletrabajo o trabajo remoto se ha perdido 923.000€ más de media.
- El sector con mayor coste en materia de brecha de datos es el de Servicios Sanitarios.
- El 20% de brechas de datos ha sido propiciada por credenciales comprometidas.
- El número de días de media que ha costado encontrar la vulnerabilidad ha sido 287 días.
CISSP: Cheatsheets y otros recursos (vol 4)
¡Buenas!
Siguiendo la línea de los anteriores artículos de esta serie (vol 1, vol 2 y vol3), hoy queremos enseñaros algunos recursos para preparar el CISSP que hemos encontrado recientemente.
En primer lugar queremos hablar de Sunflower-CISSP, un sitio web con material para preparar el CISSP. Concretamente cuenta con un resumen por cada uno de los dominios de CISSP en formato PDF, un glosario de términos y una herramienta (randomizator) que muestra los términos del glosario de manera aleatoria.
Por otra parte, muchas de las experiencias que se comparten a través de grupos de Telegram o en Reddit hablan de la complejidad del examen de certificación y de la gran cantidad de tiempo invertido en prepararla. Por ello, el siguiente vídeo de la instructora Kelly Handerhan tiene una componente motivacional para afrontar la certificación y proporciona una serie de recomendaciones por cada uno de los dominios que componen la certificación:
¡Esperamos que estos recursos os resulten de utilidad!
¡¡Saludos y hasta el próximo post!!
Hackers en el cine, y en España para cuando... Petición abierta
Buenas a todos/as, hoy vengo a hablar sobre cine y hackers, con una pregunta, ¿para cuándo en nuestro país nuestra serie o película sobre hackers españoles? Desde luego no nos faltan personas y recursos patrios.
No se a vosotros, pero después de terminar de ver Mr. Robot me quedé con ganas de más. Yo creo que es la serie con más referencias a herramientas de hacking, sí que es verdad que al final (tranquilidad, NO alerta spolier) la serie quedaba un poco desdibujada, en mi opinión, sobre lo que hay en la cabeza de Elliot, y sacaba otros temas más profundos que por otro lado a mí personalmente me flipan, más allá de las conspiraciones, ataques, potenciales distopias o sucesos que podrían darse, etc. Bueno vale me contengo que al final lo acabo destripando un poco.
![]() |
Vale vale Elliot ya paro |
Hablemos de producciones cinematográficas sobre hackers/hacking en España, desde luego tendríamos material con las personalidades que tenemos en nuestro país. Potencial no nos falta.
Hace seis años, Yago Jesús (@YJesus) escribió una carta abierta a Nacho Vigalondo (no se si él mismo se lo sigue planteando..), con toda humildad y con su permiso, quiero recoger el guante o rescatarlo.
En este artículo, Yago proponía a Nacho Vigalondo para nuestra gran producción en España sobre hacking (te comprendo, después de los fiascos que hemos visto hasta que llegó Mr. Robot al cine de Hollywood).
En su petición, pedía que fuera un retrato FIEL sobre el mundo de la ciberseguridad. Tampoco soy quién para decir cómo debe hacerse, pero si me gustaría decir, lo que como espectador (e informático) me gustaría ver. En mi opinión, muchos de los personajes que se han visto en el cine o series de hackers (me remito sobre todo a Mr. Robot), son tipos atormentados, antisociales y por otra parte, genios de los ordenadores.
Aparte de Elliot, tenemos a Lisbeth Salander, que llegó primero a la literatura. Un personaje marcado por un pasado violento y lleno de abusos, con el que el autor también quiso reivindicar y condenar a esos hombres que no amaban a las mujeres. Puede sonar tibio, ¿verdad?. Cualquiera diría los hombres que odiaban a las mujeres.
En fin, quiero decir que por una vez, se podría retratar a los "hackers" de una forma más positiva, vale que pueden estar mucho tiempo estudiando y trabajando, y echando muchísimas horas delante del ordenador, pero todos y todas los/as que conozco, son súper abiertos/as, amigables, sociales y por supuesto unos genios, con unas ganas de enseñar y con una curiosidad, fuera de lo común.
Dedico esta carta abierta y propongo para nuestra producción sobre hackers patrios, a Montxo Armendáriz(@montxoarmendari). Quizás algunos no entiendan esta propuesta, pero es que Montxo se dedicaba a la tecnología antes del cine, aunque no a la informática, pero si a la electrónica, y sé a ciencia cierta que el tema de la seguridad informática le interesa mucho. Es un director con mucha experiencia y siempre ha tratado temas comprometidos. Desde mi punto de vista tiene películas icónicas en el cine español, así que le dedico también este post. A modo de petición, ¿Porqué no hablar del grupo de la9deanon, dónde quieran que estén estas chicas? (En realidad hace poco concedieron una entrevista ) Me parece que unir lo que significan o de donde vienen con ese nombre, y el tema de hacking, es un temazo. Desde luego en este país no te va a faltar un buen asesoramiento ;). Bueno pues, soñar y proponer es gratis, ¿no?
¡Saludos!
Podcasts de ciberseguridad
Meowy buenas! Entre las muchas consecuencias que ha traído la pandemia Covid-19, una ha sido la mayor creación de contenido digital. No sólo han aumentado las series, mini-series, películas, documentales en las diferentes plataformas de streaming, sino que también ahora tenemos la posibilidad de asistir a muchos congresos cyber online, y han nacido una gran variedad de proyectos de formación en cyber en plataformas como Ivoox, Spotify, SoundCloud, Spreaker, o PodcastGo, entre otras.
En este post vamos a centrarnos en los podcasts a través de la plataforma de Spotify, que para salir a pasear, ir en metro o en coche (o simplemente tener algo de fondo), estos capítulos son perfectos :)
En español podemos encontrar los siguientes:
- Login Seguridad Informática.
- Vulnerable, el podcast de seguridad digital.
- Palabra de Hacker.
- Cosas de hackers.
- Brigada OSINT.
- conCISOS.
- CyberCoffee 2019.
- Securiters.
- Seguridad Total.
Y para quienes buscáis mejorar el oído en inglés, tenemos un repertorio bastante interesante:
- The Official Offensive Security Podcast.
- The InfoSec & OSINT Show.
- The social engineer Podcast.
- The OSINTcurious Project.
- Cyber.
- Day[0].
- Purple Squad Security.
- The Privacy, Security & OSINT Show.
- The InfoSec & OSINT Show.
- Darknet Diaries.
Por supuesto, estos indicados no son los únicos, hay muchos más, pero entre número de capítulos, cuánto hacía que no subían contenido... Me he quedado con estos.
¿Conocéis o escucháis alguno más? ¡Compartidlo con nosotros!
Muchos maullidos!
M
CTF IntelCon 2021: "The Cyberintelligence Guru"
El CTF, llamado #TheCyberintelligenceGuru consistirá en una serie de retos que según se vayan completando liberarán otros de mayor dificultad y puntuación que os permitirán mostrar vuestras habilidades en OSINT, HUMINT, SOCINT Y GEOSINT, entre otras. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo podrán optar a una serie de premios formativos en materia de Ciberinteligencia. El CTF finalizará el domingo 12 a las 18:00 p.m. y los ganadores serán anunciados el día 13 de septiembre a las 20:00 p.m. por las redes oficiales de Twitter, LinkedIn y Telegram de Ginseg.
No olvides seguirnos en el twitter de Zerolynx para estar informado de todas las novedades del torneo.
Clickbait o no, la odisea de saber cuánto debo invertir en ciberseguridad
Desde hace varios años, cuando empecé a cambiar el Burp por ecuaciones de 4 filas en Excel, comencé a entrar en debates algo más profundos sobre el por qué de ciertas cosas del sector. Una pregunta que siempre se suele repetir en mesas redondas, entrevistas con prensa o, simplemente, cuando visitas una empresa nueva, es la de "¿cuánto debo invertir en seguridad?". Que una Ibex35 invierta en ciberseguridad, es lo habitual. Si no, su negocio estaría perdido (y todo y con eso, muy a menudo sufren ciertos sustos). Pero... ¿y una PYME?
Antes de nada, me gustaría definir que es una PYME (en España), que es un concepto que no todo el mundo suele tener claro. De acuerdo al Anexo I del Reglamento (UE) nº 651/2014 de la Comisión, una PYME sería una empresa menor de 250 empleados o de 50 millones de euros de facturación. Dentro de las PYMEs, tendríamos 3 subdivisiones, las medianas (con más de 50 empleados y menos de 250, o más de 10 millones de euros de facturación y menos de 50 millones), las pequeñas (con más de 10 empleados y menos de 50, o más de 2 millones de facturación y menos de 10), y las micro (las que restan).
Vista la división del párrafo anterior, parece obvio que las PYMEs medianas y pequeñas deberían invertir en cyber porque se lo "pueden permitir", pero, opinión personal, nunca me han parecido acertadas las estrategias de invertir el X% de tu facturación en ciberseguridad, por poco que sea, dado que no podemos negar la evidencia de que la seguridad es un "gasto", y esto es algo que aprendes tras pegarte durante años con los departamentos de compras de infinidad de clientes. Hay que invertir, lo que haya que invertir. Entiendo su motivo, es una manera sencilla de categorizar y de recomendar algo que para muchos parece obvio, pero nos tiene que quedar claro el concepto de que la seguridad es una cuestión de confianza, y la seguridad debe implantarse cuando no tenemos confianza. ¿No confiamos en que nuestra aplicación sea robusta? Ponemos un WAF. ¿No confiamos en que nuestro servicio de correo frene el spam? Ponemos un antispam. ¿No confiamos en que nuestros desarrolladores programen sin generar brechas de seguridad? Establecemos un programa de auditorías periódicas. ¿No confiamos en que nuestra contraseña sea robusta? Desplegamos un 2FA. Cuestión de confianza.
No todas las empresas nos dedicamos a lo mismo, y, por tanto, no todas tenemos las mismas necesidades de seguridad, ni tenemos por qué tener el mismo gasto. Una PYME pequeña de unos 20 empleados que facture 1,5 millones de euros, y se dedique al comercio online, probablemente tenga que tener un buen ERP, un CRM, una aplicación fuerte y robusta para la venta online, una pasarela de pago, un buen WAF, un antispam top, etc. etc. Es decir, una parte importante de sus beneficios deberían ir dedicados a la calidad y seguridad de sus servicios, dado que es el core de su negocio. Sin embargo, Ibai Llanos, que también gana esos 1,5 millones de euros, probablemente le valga con tener su PC bastionado hasta los dientes con un buen antivirus, 2FA en todas sus cuentas, y en las de su mánager o agencia de marketing. ¿Veis por donde voy? Por mucho que las empresas tengan un "mismo tamaño" en lo que se refiere a nº de empleados o facturación, no tienen por que tener las mismas necesidad de seguridad, ni mucho menos tienen por qué realizar la misma inversión.
El Instituto Ponemon, que realiza muchos estudios de este tipo, sacó como conclusión en 2015 que las empresas invertían en ciberseguridad de media el 8,2% del presupuesto de TI. Así mismo, de acuerdo con otro estudio de IDG de 2020, las empresas españolas invirtieron el 4% de sus ventas en TI. Si hacemos una sencilla ecuación, obtenemos que el presupuesto cyber "medio" estaría en el 0,3% de la facturación, por lo que nuestros amigos Ibai y la PYME de comercio electrónico deberían invertir en ciberseguridad unos 45.000 € al año. Con estos números básicos, Ibai Llanos sería el influencer mejor protegido de Twitch :), pero la PYME de comercio probablemente sufra un leak más pronto que tarde...
¿Qué tenemos que hacer entonces? Pues lo que se lleva recomendando toda la vida, realizar un buen análisis de riesgos, identificar cuales son tus activos clave, localizar amenazas, riesgos y aplicar las mitigaciones que se estimen necesarias. ¿Necesito una ISO 27001 para ello? En absoluto. Si la implantas adecuadamente como mejora, te será de mucha ayuda dado que plasma el conocimiento de muchos profesionales en la materia y te dará una base sobre la que armar la seguridad global de la compañía. Pero si tu objetivo es implantarla por el mero cumplimiento (cumplo y miento), ahorratelo. Probablemente un nivel 1 de CIS Controls te dará una guía básica sobre como acometer esos primeros pasos en el camino hacia la ciberseguridad, con un trabajo que apenas te llevará una semana si eres una micropyme o una pyme pequeña. Y de esta primera revisión obtendrás un primer plan de acción que te permita calcular "cuánto" debes gastar para sentar una base mínima en seguridad.
No me enrollo más, simplemente quería dejaros esta reflexión/conclusión. No tratemos de buscar cifras mágicas que apliquen a cualquier negocio. Cada empresa necesitará gastar una cifra, y esta solo podrá ser calculada tras conocer sus necesidades y su situación actual.
Saludos!
CVE-2021-36934: Microsoft no gana para disgustos (y nosotros tampoco)
Muy buenas!
Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.
Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯
Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.
Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.
¿Y ahora qué?
Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.
Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).
Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.
Saludos!!