26 nov 2021

OSINT shopping! O cómo hacer tus compras online más seguras (y quizás, más baratas)

Por el 26 nov 2021 con 0 comentarios


Buenas!

A raíz de escuchar bastantes casos de gente cercana que han sido estafados a través de sitios web en sus compras online, he decidido hacer una publicación explicando algunas de las medidas que tomo yo personalmente antes de hacer mis compras en cualquier sitio web.

Lo primerísimo, no solo vamos a hablar de evitar estafas, sino de reconocer mejor las webs que indican unos plazos de entrega que no van a poder cumplir o que sea muy probable que su servicio postventa sea catastrófico.

Puntos obligatorios a verificar:

  • Revisar que el sitio web cuente con un certificado SSL válido.
  • Si el sitio web contiene productos con precios escandalosamente bajos, es muy probable que sea un estafa.
  • Haz una búsqueda similar a la siguiente "opiniones nombretienda", "estafa nombretienda" en Google.
  • Revisar que tenga páginas legales para saber quién o qué está detrás del sitio web, donde, normalmente no solo aparecerá la denominación social, sino también el CIF de la empresa. Si no aparecen, mal rollito.
  • Realizar una búsqueda en Google con dicho CIF o denominación social en busca de otros portales webs similares, opiniones, denuncias, etc.
  • Revisar la página de envíos y leerla a conciencia, para tener claro el plazo en el que llegará el producto solicitado.
  • Si es una web conocida, verifica que la URL de la web sea la real. Ejemplo: Mediamarkt - Mediamarrkt.
  • Evitar realizar compras y el acceso a webs a través de enlaces que no sean de una búsqueda propia. Ejemplo: Recibimos una notificación a través de una web de que podemos conseguir un IphoneLynx 13 por 200€.
  • Utilizar tarjetas de prepago o Paypal para las compras online.
  • Comprar en sitios web de confianza, todos conocemos cuales son las principales tiendas online donde no tendremos casi ningún problema.
  • Revisar las fotos, la marca de agua y la calidad de las mismas. En caso de tener marca de agua de otra empresa, es un indicador claro de que está utilizando imágenes de terceros.

Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)


Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:

  • Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
  • La identidad del empresario, incluidos los datos correspondientes a la razón social, el nombre comercial, su dirección completa y su número de teléfono y, en su caso, del empresario por cuya cuenta actúe.
  • El precio total, incluidos todos los impuestos y tasas. Si por la naturaleza de los bienes o servicios, el precio no puede calcularse razonablemente de antemano o está sujeto a la elaboración de un presupuesto, la forma en que se determina el precio así como todos los gastos adicionales de transporte, entrega o postales o, si dichos gastos no pueden ser calculados razonablemente de antemano, el hecho de que puede ser necesario abonar dichos gastos adicionales.
  • Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
  • El procedimiento para atender las reclamaciones de los consumidores y usuarios, así como, en su caso, la información sobre el sistema extrajudicial de resolución de conflictos prevista en el artículo 21.4.
  • Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios
  • El consumidor y usuario dispondrá de un plazo mínimo de catorce días naturales para ejercer el derecho de desistimiento.

Podéis revisar toda esta información y mucha más en el Boletín Oficial del Estado (Disposición 3329 del BOE núm. 76 de 2014)

Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.

Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:

  • Búsqueda de producto por imagen en Google Imágenes para evitar intermediarios.
  • Uso de plataformas como Chollometro para encontrar ofertas.
  • Comprar el producto en China. Será más barato, pero tardará más y tendrá un servicio post-venta más complicado.
  • Uso de la web camelcamelcamel o la extension keepa para ver el histórico de precios de un producto de Amazon.
  • Realizar búsquedas en internet con la referencia del producto y revisar tanto la sección de shopping, como la búsqueda global. Ejemplo: UE55AU7175UXXC (Revisar todos los puntos  de seguridad expuestos anteriormente)
  • Acceder a Amazon reacondicionados y probar suerte! (Revisar siempre el estado del producto)
    Además, en blackfriday hay un 20% de descuento extra en productos reacondicionados.

  • Revisar las opiniones de los usuarios que han comprado el producto, puede que provenga de un vendedor externo y no ofrezca la seguridad que debería.
  • Revisar el precio del producto en Amazon Alemania y Amazon Italia, suelen realizar envíos a España y pueden tener un precio inferior.
  • Tener cuidado con los productos cuyas valoraciones son una C, dado que, muy probablemente, dichas valoraciones hayan sido "compradas" por el vendedor.


Un saludo y felices compras en este Black Friday! :D

Leer más
      editar

25 nov 2021

RootedCON Llega a Málaga cargada de historias, de nostalgia y de conocimiento

Por el 25 nov 2021 con 0 comentarios

Saltó la sorpresa hace unos meses. RootedCON desembarcaba en Málaga. Después de todos estos meses de pandemia y de eventos virtuales, todos tenemos ganas de volver a los eventos físicos, la posibilidad de volver a vernos y de sentir emociones que, en muchas ocasiones, es difícil sentir detrás de la pantalla. La vida es más, simplemente con poder darnos la mano. 

En esta primera aventura de RootedCON en Málaga, la gente de Rooted plantea ponentes con charlas potentes, una gran organización y los famosos Rooted Labs. Quiero aprovechar este post para agradecer a la gente de RootedCON la oportunidad de poder asistir a una nueva Rooted, la primera en Málaga. Después de hacer charlas y labs en las Rooted de Madrid y Valencia, podré disfrutar del clima, la cultura y la gente de Málaga. 

La agenda está siendo publicada poco a poco y viendo cada ponente, las charlas serán de mucho interés. Buenos amigos dando charlas en la primera Rooted en Málaga y seguro que seguirán llegando las sorpresas. 

He tenido la suerte de dar alguna que otra charla en Rooted Madrid y Valencia, así como 8 años de lab en Madrid y 6 años en Valencia. Este año, si todo va bien, toca llevar un taller sobre Ethical Hacking (muy práctico y con alguna sorpresa) a Málaga. Aquí llega el momento publicidad ^^. El taller tiene una duración de 8 horas (intensas y prácticas).  Pasaremos el rato aprendiendo sobre enumeración, explotación de vulnerabilidades, técnicas de movimiento lateral, pivoting, escalada de privilegios, etcétera. Todo para que te formes en el hacking ético, pentesting y técnicas utilizadas en momento del Red Team. La fecha de impartición es el viernes 10 de diciembre. Os dejo los lab de este año


Por encima de todo, hay ganas de Rooted, hay ganas de volver a disfrutar del trato persona a persona. De disfrutar impartiendo un Lab. La vida nos ha cambiado mucho en el último año y medio - dos años. Es el momento de volver a disfrutar, de aprender, de hacer networking y de hacer que esta pasión que tenemos dentro por la ciberseguridad vea la luz, de nuevo. 

Es el momento de ver a amigos, de contar batallitas, de ver cómo le ha ido a la gente, será un evento especial, no cabe duda. Será un evento dónde lo importante serán y son las personas. Por todas estas cosas, y más, hay ganas de Rooted, hay ganas de sentir el cosquilleo antes de empezar, de volver a sentir que tienes que dar más de ti, que te falta tiempo para preparar la última demo, la última explicación, que saldrás con la PPT casi terminada... Sin duda, todas estas cosas se han echado de menos. Volveremos. Volvimos. 

Sin duda, espero poder disfrutar de todo esto, una vez más. Siempre pienso en que estos eventos, siempre pueden ser el último, y volver a tener la oportunidad de compartir con la gente esto me llena de orgullo. Por una vez más. Otra vez más. Otra RootedCON. La primera de muchas en Málaga. 
Leer más
      editar

15 nov 2021

¿Cuánto le cuesta un leak o una brecha de datos a la empresa?

Por el 15 nov 2021 con 0 comentarios
Buenas! 

Hoy os traigo una breve explicación sobre lo que podemos perder cuando nuestra organización tiene una brecha de datos.

Imagen del leak de Twitch
Captura de pantalla del leak de datos de Twitch en 4Chan


Muchas empresas se preguntan, bueno, sí, me pueden "hackear", pueden conseguir todos los datos, pero... ¿yo qué pierdo? 😕

Lo primero que hay que explicar es que, una brecha de datos, deja al descubierto que la seguridad de tu empresa (completa) está en peligro. Estos "leaks" son pruebas, básicamente, de que la seguridad que estás empleando en tu infraestructura, software, etc, no es la adecuada.

¿Vas a criticar tú a Twitch? Pues sí, hay que hacerlo, puesto que, por cosas como esta, quedan al descubierto millones de datos de usuarios finales.

Bueno, a lo que veníamos... ¿Qué pierdes?
  • Pérdida de confianza y reputación
    • Cada día produce más miedo el saber que un grupo u organización criminal posee tus datos, ya que, con ellos, puede comprometer tu economía y bienestar. (Recordemos que estos datos son vendidos o cedidos a otras entidades para ser explotadas, en forma de SPAM, campañas de phising, robos, etc)
    • Dejas al descubierto que tu organización no tiene una buena seguridad.
    • Pueden volver a hacerlo siempre que quieran, recuerda que, ¡no sabes cómo lo han hecho y van a intentar dejar las menores pistas posibles!
    • Los datos extraídos de los leaks son utilizados para atacar a los usuarios en otras plataformas.
  • Pérdidas económicas directas
    • Caídas en el servicio que ofreces.
    • Coste de reestablecer el servicio.
    • Posibles indemnizaciones por denuncias de usuarios.
    • Pérdidas económicas derivadas de que los usuarios ya no realizan trámites a través de tu plataforma. (Publicidad, suscripciones 😅..)
  • Pérdidas económicas indirectas.
    • Búsqueda e investigación para determinar el o los fallos que han propiciado el leak.
    • Tiempo invertido para reestablecer los servicios + el tiempo invertido para buscar y subsanar la brecha de seguridad (en caso de que la encuentres).
Estas pérdidas económicas, según el Informe del Coste de una Vulneración de datos de 2021 de IBM Security son, de media, de 3.56M de euros. Además, este importe está aumentado al ritmo de +10% anual, por lo que se estima que en 2022 sea de 3.92M de euros de media.

Datitos interesantes:
  • En las brechas de seguridad en empresas donde se realizaba teletrabajo o trabajo remoto se ha perdido 923.000€ más de media.
  • El sector con mayor coste en materia de brecha de datos es el de Servicios Sanitarios.
  • El 20% de brechas de datos ha sido propiciada por credenciales comprometidas.
  • El número de días de media que ha costado encontrar la vulnerabilidad ha sido 287 días.
En conclusión, las empresas que han ofrecido trabajo en remoto deben tenerlo en cuenta en su plan de ciberseguridad. Las que no, deben tener en cuenta que el presupuesto invertido en ciberseguridad sea el adecuado y se estén llevando las medidas pertinentes para evitar este tipo de brechas de seguridad, en especial, en materia de credenciales.

Recordad, la ciberseguridad no es algo que sea bueno tener, es una necesidad en cualquier compañía. 

Os dejo el enlace al informe, por si queréis examinarlo vosotros mismos!

¡Un saludo!


Leer más
      editar

10 nov 2021

CISSP: Cheatsheets y otros recursos (vol 4)

Por el 10 nov 2021 con 0 comentarios

¡Buenas!

Siguiendo la línea de los anteriores artículos de esta serie (vol 1, vol 2 y vol3), hoy queremos enseñaros algunos recursos para preparar el CISSP que hemos encontrado recientemente.

En primer lugar queremos hablar de Sunflower-CISSP, un sitio web con material para preparar el CISSP. Concretamente cuenta con un resumen por cada uno de los dominios de CISSP en formato PDF, un glosario de términos y una herramienta (randomizator) que muestra los términos del glosario de manera aleatoria.

Por otra parte, muchas de las experiencias que se comparten a través de grupos de Telegram o en Reddit hablan de la complejidad del examen de certificación y de la gran cantidad de tiempo invertido en prepararla. Por ello, el siguiente vídeo de la instructora Kelly Handerhan tiene una componente motivacional para afrontar la certificación y proporciona una serie de recomendaciones por cada uno de los dominios que componen la certificación:


Igualmente, Kelly Handerhan cuenta con un curso de preparación de CISSP que contiene un módulo con vídeos explicativos por cada uno de los dominios de la certificación.

Otro recurso interesante, son las playlists dedicadas al CISSP en el canal de YouTube de Destination Certification, siendo la más interesante de ellas CISSP MindMaps / Domain Review.

Por último, el instructor Mohamed Atef cuenta con un curso básico gratuito de preparación de CISSP que, además, ha sido publicado en en canal de freeCodeCamp.org.

¡Esperamos que estos recursos os resulten de utilidad!

¡¡Saludos y hasta el próximo post!!

Leer más
      editar

3 nov 2021

Hackers en el cine, y en España para cuando... Petición abierta

Por el 3 nov 2021 con 2 comentarios

Buenas a todos/as, hoy vengo a hablar sobre cine y hackers, con una pregunta, ¿para cuándo en nuestro país nuestra serie o película sobre hackers españoles? Desde luego no nos faltan personas y recursos patrios.

No se a vosotros, pero después de terminar de ver Mr. Robot me quedé con ganas de más. Yo creo que es la serie con más referencias a herramientas de hacking, sí que es verdad que al final (tranquilidad, NO alerta spolier) la serie quedaba un poco desdibujada, en mi opinión, sobre lo que hay en la cabeza de Elliot, y sacaba otros temas más profundos que por otro lado a mí personalmente me flipan, más allá de las conspiraciones, ataques, potenciales distopias o sucesos que podrían darse, etc. Bueno vale me contengo que al final lo acabo destripando un poco.

Vale vale Elliot ya paro

Hablemos de producciones cinematográficas sobre hackers/hacking en España, desde luego tendríamos material con las personalidades que tenemos en nuestro país. Potencial no nos falta.

Hace seis años, Yago Jesús (@YJesus) escribió una carta abierta a Nacho Vigalondo (no se si él mismo se lo sigue planteando..), con toda humildad y con su permiso, quiero recoger el guante o rescatarlo.

En este artículo, Yago proponía a Nacho Vigalondo para nuestra gran producción en España sobre hacking (te comprendo, después de los fiascos que hemos visto hasta que llegó Mr. Robot al cine de Hollywood).

En su petición, pedía que fuera un retrato FIEL sobre el mundo de la ciberseguridad. Tampoco soy quién para decir cómo debe hacerse, pero si me gustaría decir, lo que como espectador (e informático) me gustaría ver. En mi opinión, muchos de los personajes que se han visto en el cine o series de hackers (me remito sobre todo a Mr. Robot), son tipos atormentados, antisociales y por otra parte, genios de los ordenadores.

Aparte de Elliot, tenemos a Lisbeth Salander, que llegó primero a la literatura. Un personaje marcado por un pasado violento y lleno de abusos, con el que el autor también quiso reivindicar y condenar a esos hombres que no amaban a las mujeres. Puede sonar tibio, ¿verdad?. Cualquiera diría los hombres que odiaban a las mujeres.


 En fin, quiero decir que por una vez, se podría retratar a los "hackers" de una forma más positiva, vale que pueden estar mucho tiempo estudiando y trabajando, y echando muchísimas horas delante del ordenador, pero todos y todas los/as que conozco, son súper abiertos/as, amigables, sociales y por supuesto unos genios, con unas ganas de enseñar y con una curiosidad, fuera de lo común.

Dedico esta carta abierta y propongo para nuestra producción sobre hackers patrios, a Montxo Armendáriz(@montxoarmendari). Quizás algunos no entiendan esta propuesta, pero es que Montxo se dedicaba a la tecnología antes del cine, aunque no a la informática, pero si a la electrónica, y sé a ciencia cierta que el tema de la seguridad informática le interesa mucho. Es un director con mucha experiencia y siempre ha tratado temas comprometidos. Desde mi punto de vista tiene películas icónicas en el cine español, así que le dedico también este post. A modo de petición, ¿Porqué no hablar del grupo de la9deanon, dónde quieran que estén estas chicas? (En realidad hace poco concedieron una entrevista ) Me parece que unir lo que significan o de donde vienen con ese nombre, y el tema de hacking, es un temazo. Desde luego en este país no te va a faltar un buen asesoramiento ;). Bueno pues, soñar y proponer es gratis, ¿no?

¡Saludos!

Leer más
      editar

29 oct 2021

Podcasts de ciberseguridad

Por el 29 oct 2021 con 3 comentarios

Meowy buenas! Entre las muchas consecuencias que ha traído la pandemia Covid-19, una ha sido la mayor creación de contenido digital. No sólo han aumentado las series, mini-series, películas, documentales en las diferentes plataformas de streaming, sino que también ahora tenemos la posibilidad de asistir a muchos congresos cyber online, y han nacido una gran variedad de proyectos de formación en cyber en plataformas como Ivoox, Spotify, SoundCloud, Spreaker, o PodcastGo, entre otras.

En este post vamos a centrarnos en los podcasts a través de la plataforma de Spotify, que para salir a pasear, ir en metro o en coche (o simplemente tener algo de fondo), estos capítulos son perfectos :)

En español podemos encontrar los siguientes:

Y para quienes buscáis mejorar el oído en inglés, tenemos un repertorio bastante interesante:

Por supuesto, estos indicados no son los únicos, hay muchos más, pero entre número de capítulos, cuánto hacía que no subían contenido... Me he quedado con estos.


¿Conocéis o escucháis alguno más? ¡Compartidlo con nosotros!

Muchos maullidos!

M

Leer más
      editar

30 ago 2021

CTF IntelCon 2021: "The Cyberintelligence Guru"

Por el 30 ago 2021 con 0 comentarios


Hoy comienza IntelCon 2021, el congreso online gratuito de Ciberinteligencia cuyo objetivo principal es la difusión de conocimiento de calidad y consolidación de una comunidad enfocada en la Ciberinteligencia. El Congreso constará de una serie de temáticas alrededor del sector de la Ciberinteligencia, que serán cubiertas en sesiones en forma de ponencias y talleres, formando parte de un itinerario guiado que gira sobre el ya conocido Ciclo de Inteligencia. A parte de todos los fundamentos que los asistentes tendréis la oportunidad de repasar a lo largo de los próximos días, IntelCon, junto a su patrocinador Zerolynx, ha creado un Capture The Flag (CTF) que dará comienzo el 6 de septiembre a las 12:00 p.m. donde podréis poner en práctica todo lo aprendido. 

El CTF, llamado #TheCyberintelligenceGuru consistirá en una serie de retos que según se vayan completando liberarán otros de mayor dificultad y puntuación que os permitirán mostrar vuestras habilidades en OSINT, HUMINT, SOCINT Y GEOSINT, entre otras. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo podrán optar a una serie de premios formativos en materia de Ciberinteligencia. El CTF finalizará el domingo 12 a las 18:00 p.m. y los ganadores serán anunciados el día 13 de septiembre a las 20:00 p.m. por las redes oficiales de Twitter, LinkedIn y Telegram de Ginseg. 

No olvides seguirnos en el twitter de Zerolynx para estar informado de todas las novedades del torneo. 

¡Regístrate ya y empieza a disfrutar! 

Leer más
      editar

28 jul 2021

Clickbait o no, la odisea de saber cuánto debo invertir en ciberseguridad

Por el 28 jul 2021 con 1 comentario

Desde hace varios años, cuando empecé a cambiar el Burp por ecuaciones de 4 filas en Excel, comencé a entrar en debates algo más profundos sobre el por qué de ciertas cosas del sector. Una pregunta que siempre se suele repetir en mesas redondas, entrevistas con prensa o, simplemente, cuando visitas una empresa nueva, es la de "¿cuánto debo invertir en seguridad?". Que una Ibex35 invierta en ciberseguridad, es lo habitual. Si no, su negocio estaría perdido (y todo y con eso, muy a menudo sufren ciertos sustos). Pero... ¿y una PYME?

Antes de nada, me gustaría definir que es una PYME (en España), que es un concepto que no todo el mundo suele tener claro. De acuerdo al Anexo I del Reglamento (UE) nº 651/2014 de la Comisión, una PYME sería una empresa menor de 250 empleados o de 50 millones de euros de facturación. Dentro de las PYMEs, tendríamos 3 subdivisiones, las medianas (con más de 50 empleados y menos de 250, o más de 10 millones de euros de facturación y menos de 50 millones), las pequeñas (con más de 10 empleados y menos de 50, o más de 2 millones de facturación y menos de 10), y las micro (las que restan).

Vista la división del párrafo anterior, parece obvio que las PYMEs medianas y pequeñas deberían invertir en cyber porque se lo "pueden permitir", pero, opinión personal, nunca me han parecido acertadas las estrategias de invertir el X% de tu facturación en ciberseguridad, por poco que sea, dado que no podemos negar la evidencia de que la seguridad es un "gasto", y esto es algo que aprendes tras pegarte durante años con los departamentos de compras de infinidad de clientes. Hay que invertir, lo que haya que invertir. Entiendo su motivo, es una manera sencilla de categorizar y de recomendar algo que para muchos parece obvio, pero nos tiene que quedar claro el concepto de que la seguridad es una cuestión de confianza, y la seguridad debe implantarse cuando no tenemos confianza. ¿No confiamos en que nuestra aplicación sea robusta? Ponemos un WAF. ¿No confiamos en que nuestro servicio de correo frene el spam? Ponemos un antispam. ¿No confiamos en que nuestros desarrolladores programen sin generar brechas de seguridad? Establecemos un programa de auditorías periódicas. ¿No confiamos en que nuestra contraseña sea robusta? Desplegamos un 2FA. Cuestión de confianza. 

No todas las empresas nos dedicamos a lo mismo, y, por tanto, no todas tenemos las mismas necesidades de seguridad, ni tenemos por qué tener el mismo gasto.  Una PYME pequeña de unos 20 empleados que facture 1,5 millones de euros, y se dedique al comercio online, probablemente tenga que tener un buen ERP, un CRM, una aplicación fuerte y robusta para la venta online, una pasarela de pago, un buen WAF, un antispam top, etc. etc. Es decir, una parte importante de sus beneficios deberían ir dedicados a la calidad y seguridad de sus servicios, dado que es el core de su negocio. Sin embargo, Ibai Llanos, que también gana esos 1,5 millones de euros, probablemente le valga con tener su PC bastionado hasta los dientes con un buen antivirus, 2FA en todas sus cuentas, y en las de su mánager o agencia de marketing. ¿Veis por donde voy? Por mucho que las empresas tengan un "mismo tamaño" en lo que se refiere a nº de empleados o facturación, no tienen por que tener las mismas necesidad de seguridad, ni mucho menos tienen por qué realizar la misma inversión.

El Instituto Ponemon, que realiza muchos estudios de este tipo, sacó como conclusión en 2015 que las empresas invertían en ciberseguridad de media el 8,2% del presupuesto de TI. Así mismo, de acuerdo con otro estudio de IDG de 2020, las empresas españolas invirtieron el 4% de sus ventas en TI. Si hacemos una sencilla ecuación, obtenemos que el presupuesto cyber "medio" estaría en el 0,3% de la facturación, por lo que nuestros amigos Ibai y la PYME de comercio electrónico deberían invertir en ciberseguridad unos 45.000 € al año. Con estos números básicos, Ibai Llanos sería el influencer mejor protegido de Twitch :), pero la PYME de comercio probablemente sufra un leak más pronto que tarde...

¿Qué tenemos que hacer entonces? Pues lo que se lleva recomendando toda la vida, realizar un buen análisis de riesgos, identificar cuales son tus activos clave, localizar amenazas, riesgos y aplicar las mitigaciones que se estimen necesarias. ¿Necesito una ISO 27001 para ello? En absoluto. Si la implantas adecuadamente como mejora, te será de mucha ayuda dado que plasma el conocimiento de muchos profesionales en la materia y te dará una base sobre la que armar la seguridad global de la compañía. Pero si tu objetivo es implantarla por el mero cumplimiento (cumplo y miento), ahorratelo. Probablemente un nivel 1 de CIS Controls te dará una guía básica sobre como acometer esos primeros pasos en el camino hacia la ciberseguridad, con un trabajo que apenas te llevará una semana si eres una micropyme o una pyme pequeña. Y de esta primera revisión obtendrás un primer plan de acción que te permita calcular "cuánto" debes gastar para sentar una base mínima en seguridad.

No me enrollo más, simplemente quería dejaros esta reflexión/conclusión. No tratemos de buscar cifras mágicas que apliquen a cualquier negocio. Cada empresa necesitará gastar una cifra, y esta solo podrá ser calculada tras conocer sus necesidades y su situación actual.

Saludos!

Leer más
      editar

22 jul 2021

CVE-2021-36934: Microsoft no gana para disgustos (y nosotros tampoco)

Por el 22 jul 2021 con 1 comentario

Muy buenas!

Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.


La vulnerabilidad realmente es simple: por alguna razón (¿despiste?), Microsoft ha cambiado las ACL de los ficheros SAM y SYSTEM para que puedan ser leídos por cualquier usuario del equipo, aunque no tenga privilegios de Administrador. Estos ficheros pueden ser utilizados para obtener los hashes NTLM de los usuarios locales del equipo y, de este modo, crackearlos para obtener las contraseñas en claro o usar directamente los hashes para autenticarte como otro usuario del equipo, como el administrador local del mismo, permitiendo una escalada de privilegios local de forma sencilla.

Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯

Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.

Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.


¿Y ahora qué?

Bien, lo primero que tenemos que hacer es asumir que somos vulnerables, ya que esto afecta a todos los Windows 10 a partir de la versión 1809. Este es uno de esos casos en el que actualizas y se lía (shame on you, Microsoft). Sin embargo, la solución es muy sencilla.

Si queremos confirmar que somos vulnerables, simplemente debemos lanzar el comando icacls C:\Windows\system32\config\SAM como administrador. Si aparece un resultado como el siguiente, tenemos el problema en casa:


Para arreglar esto, la solución propuesta por Microsoft en el CVE-2021-36934 es simple: arreglar manualmente las ACL a estos ficheros con el comando icacls %windir%\system32\config\*.* /inheritance:e (de nuevo, como adminstrador). En este caso, observaremos como los ficheros SAM y SYSTEM únicamente son accesibles por el grupo de Administradores.

Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.

Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).


Como no sabemos en qué momento apareció la vulnerabilidad, siempre que sea posible, la mejor opción será borrar todas las shadow copies con el comando vssadmin delete shadows /for=c: /all.

Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.


Saludos!!

Leer más
      editar

20 jul 2021

Ciberseguridad: El gran reto de la era digital

Por el 20 jul 2021 con 0 comentarios

El próximo día 22 de julio (jueves) a las 18.00 la Universidad Europea de Madrid realiza un evento sobre el reto que supone la ciberseguridad en la era digital. Tengo la suerte de estar presente en el evento, ya que llevaré el peso de las preguntas, junto a unos invitados de primer nivel. El próximo mes de septiembre tengo el honor de volver a la Dirección del Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones. De 2018 a 2020 tuve la suerte de compartir Dirección y ahora en el curso 2021-2022 tengo la suerte de volver. 

¿Qué habrá en las mesas redondas? Habrá 3 mesas redondas con diferentes temáticas. 

Mesa 1: 18.00 a 18.40

El futuro de la ciberseguridad y el trabajo en el sector

Iván Sánchez (CISO de Sanitas en Europa y LatAm) 

Silvia Barrera

Daniel González Gutiérrez (Vicepresidente y Socio de Zerolynx) 

Pilar Vila (CEO en Forensic & Security y directora del Curso Online en Peritaje Informático) 

Juan Francisco Bolivar (Director, Head of Cybersecurity Operations and Cyber-Resilience en Radisson Hotel Group)


Mesa 2: 18:40 a 19:15

Ciberseguridad, una gran oportunidad de desarrollo para jóvenes

Santiago Hernández Ramos (ex-alumno. BBVA) 

Elías Grande (ex-alumno. BBVA) 

Álvaro Nuñez-Romero (ex-alumno. Telefónica Tech) 

Paula de la Hoz (Telefónica Tech)


Mesa 3: 19:15 a 19:40

Nuevas tendencias y plataformas: Youtube, Twitch y Ciberseguridad

Marcelo Vázquez (aka S4vitar)

Guillermo Obispo (Protapp)


Puedes contactar con los ponentes a través de MyPublicInbox.

Os esperamos en el evento el día 22 de julio a las 18.00.



Leer más
      editar
>