Juan Antonio y yo siempre hemos tenido un gran cariño por este evento. En el año 2011 (un poco de historia, sniff sniff) acudíamos allí para presentar una charla. No fue una charla cualquiera, ya que digamos que era la primera vez que estábamos en un congreso de seguridad siendo ponentes. Y allí estábamos en Barcelona, hace 11 años, con cara de niños (algo la podemos mantener) y con ganas de darlo todo.
En años posteriores, tuvimos talleres formativos en No cON Name, hacking, forense, pasamos algunos años impartiendo talleres... Es un congreso que llevamos con nosotros por todo lo que nos aportó en aquella época. Hoy, gracias a la organización de No cON Name, podemos comentaros lo siguiente:
Si quieres conseguir un código descuento, escribe a @fluproject en Twitter por DM y te lo daremos.
Y a los que tengáis la oportunidad de participar en el evento, bien sea como público o como ponentes, disfrutad mucho de esta CON, que es legendaria y longeva, y que esperamos que todos podamos seguir disfrutando por muchos años más.
Buenas a todos, en los últimos meses no hago más que hablaros de casos y de curiosidades relacionadas con los análisis forenses que vivimos desde Zerolynx, pero por desgracia los ciberataques no dejan de incrementarse, por lo que nos toca estar preparados y actualizados en lo referente al modus operandi de la ciberdelincuencia.
Desde hace unos tres o cuatro años nos llegan muchos casos prácticamente idénticos relacionados con el ransomware. Varían las víctimas y los entornos, varían los ransomwares utilizados, y varían los kits de los atacantes, pero en esencia, la cadena de ataque suele mantenerse, y el vector de entrada más común que estamos viendo sigue siendo Team Viewer. En ocasiones el delincuente logra borrar los logs, en otras se queda a medias, en otras, ni lo intenta, pero de una manera o de otra siempre acabamos localizando un artefacto que nos evidencia que Team Viewer ha sido la más que posible vía de entrada. Por ello, hoy he querido dedicar este post para enseñaros como podríamos identificar un comportamiento de este tipo en un equipo atacado de forma sencilla, y cuales serían algunas de las primeras trazas que podríamos recolectar.
Para ilustrar el simulacro de ataque he montado 2 entornos de prueba Windows 11 sobre VirtualBox, y he instalado Team Viewer en ambos. Instalación por defecto. He dado conectividad a internet a las máquinas y a funcionar:
A continuación, y asumiendo que el atacante ha obtenido el ID y la credencial de acceso (esto da para otro post), me he autenticado:
Y en este punto he realizado algunas cosas "malas" desde la máquina atacante, simulando el comportamiento de un delincuente.
En esta fase comenzaría nuestro forense, y vamos a asumir que hemos seguido el procedimiento correcto, levantando la debida cadena de custodia, clonando el disco bit a bit (por ejemplo, con dd), y que lo hemos procesado con alguna herramienta forense tipo Autopsy. En el historial de Flu Project os aburriréis de posts donde hablo de ello largo y tendido :). Y, por cierto, tenéis artículos de Forense desde 2011, de hecho, el otro día me encontré mientras buscaba un comando con un recopilatorio de 43 posts que hice en 2013. Pero tenéis otros 50 artículos más con técnicas, herramientas y procedimientos más actuales.
A modo de práctica, podéis hacerlo sobre los propios logs de vuestro sistema Windows sin pasarle ningún parámetro:
Como veis, DeepBlue nos muestra que alguien ha creado recientemente un usuario llamado "atacante", y le ha dado permisos de administración. Por lo que con este dato vamos a irnos al visor de eventos de Windows a buscar un evento "4720". Y premio, fácilmente encontraremos que alguien ha creado el citado usuario:
Si revisamos los eventos anteriores, deberíamos encontrar en algún punto la autenticación a la máquina, evento "4624":
Como vemos, la autenticación se produce a las 19:28 P.M. Ahora, si nos vamos al log de eventos de Team Viewer, veremos que efectivamente hubo una sesión que comenzó a esa hora (la hora no está bien sincronizada y veréis un gap de 2 horas), y que finalizó 3 minutos después:
En este tipo de ataques será habitual encontraros con el ID 4672 (privilegios especiales asignados al nuevo inicio de sesión), os dejo con el detalle de la FAQ de Microsoft:
También es posible que os encontréis con algunas trazas relativas a la parada del antivirus de la máquina, esto lo podréis ver con el 7031 o el 7000, es decir, con los IDs que indican que se ha parado y no ha podido arrancar un servicio:
Esto nos lo encontramos muchísimo y siempre tras ello llega la misma pregunta del cliente. ¡PERO SI TENÍA ANTIVIRUS! ¡VAYA MIERDA! Bueno hijo, por mucho antivirus que tengas, si el atacante logró llegar a ser administrador... lo puede parar. Así que poco se puede hacer más que evitar el uso de usuarios con permisos privilegiados.
Y, finalmente, y por concluir con el post, también puede resultaros útil buscar el identificador 11707, que refleja que se ha instalado una aplicación en la máquina atacada. Con toda probabilidad, se habrá montado algún escáner de puertos o similar. Podréis verlo hacia el final de la tabla presentada en la siguiente página de Microsoft:
El blog de Kino puede seros de utilidad también para este tipo de casos, dado que de vez en cuando dedica algún post a temas relativos a la auditoría de eventos de Windows. Por ejemplo, este donde explica como monitorizar los cambios en el registro puede veniros bien. Es muy posible que el atacante use algún kit que lance desde powershell, y tenga que tocar algo en el registro, como las directivas de ejecución.
Con lo que os he contado en este artículo tenéis unas nociones básicas para investigar rápidamente un incidente de este tipo. Hay atacantes mejores que borran logs y nos ponen las cosas más difíciles, y otros que se ciegan por el éxito y dejan más huellas de las que les gustaría, pero por H o por B siempre acabamos obteniendo la información que necesitamos para acreditar el ataque. Ya lo de identificar al atacante es otro cantar... Últimamente lo que más nos encontramos son direcciones IPs de China, pero no creo que os sorprenda :).
A finales de mes llega una nueva edición de OpenExpo 2022 y será la novena. Una nueva oportunidad de volver a vernos y disfrutar de las novedades tecnológicas, de grandes speakers y de un genial ambiente en un congreso muy interesante para el mes de junio. Tendrá lugar el jueves 30 de junio de 2022 en La Nave Madrid (Calle Cifuentes, 5, 28021 Madrid) y será presencial de 9:00 a 22:00. OpenExpo es uno de los eventos más importantes a nivel empresarial líder en Innovación, Transformación Digital y Open Source.
En el congreso se tratarán temas como Machine Learning, Blockchain, Ciberseguridad, Web 3.0, entre otros, y se podrán disfrutar de grandes speakers. Para mayor detalle de la agenda se puede entrar aquí: agenda.
La novena edición de OpenExpo 2022 tendrá lugar el jueves 30 de junio de 2022 en La Nave Madrid (Calle Cifuentes, 5, 28021 Madrid) y será presencial de 9:00 a 22:00. OpenExpo es uno de los eventos más importantes a nivel empresarial líder en Innovación, Transformación Digital y Open Source. Temas como Machine Learning, Blockchain, Ciberseguridad, Web 3.0, etc, son sólo algunos de los temas que se tratarán en esta nueva edición.
Esta edición está orientada a las innovaciones tecnológicas siendo OpenExpo Europe el medio para informar a la comunidad internacional sobre las numerosas contribuciones del Open Source y el Software Libre dentro de las actuales y futuras revoluciones digitales.
Los visitantes podrán colaborar, compartir información y aprender sobre una amplia variedad de temas y conocer cómo el Open Source fomenta la innovación y la agilidad en la empresa para impulsar su transformación global y sus procesos tecnológicos.
Pero, ¿Qué es OpenExpo Europe? Solo hay que indicar que asisten más de 3.500 representantes nacionales e internacionales de las principales empresas e instituciones, desarrolladores, expertos, proveedores y usuarios de todos los niveles como ejecutivos C-level (CEOs, CMOs, CIOs, CTOs, CDOs, CFOs) y tomadores de decisiones de las principales empresas y organizaciones de diferentes industrias como; Telecom, Educación, Formación, Banca, Turismo, Ecommerce y Logística, Industrias y Servicios en búsqueda de las últimas soluciones y tendencias, aplicaciones y casos de éxito, metodologías, herramientas, conocimientos y servicios en Tecnologías Abiertas ,Blockchain, Machine Learning, IoT, IA, Big Data, Cloud, Smart Cities, Ciberseguridad, Fintech, etc.
Puedes registrarte aquí y no te olvides de echar un vistazo a MyPublicInbox, la plataforma que te permite contactar con personas relevantes que está revolucionando la redes.
Ayer publicamos en el blog de Zerolynx un artículo dedicado al Análisis Forense Digital de correos electrónicos en Microsoft Office 365. Si queréis acceder a su contenido, no dudéis en visitarlo en el siguiente enlace:
Con el avance de la nube y la automatización de los procesos en las empresas, Microsoft Office 365 se se está extendiendo de forma imparable, sustituyendo a las clásicas instalaciones de Exchange que requerían de un mayor mantenimiento y control. Sin embargo, la nube trae cambios, y toca adaptarse a un sinfín de nuevas configuraciones, nuevas vías para hacer las cosas a las que ya estábamos habituados y nuevos modos de licenciamiento.
Desde el punto de vista forense, los peritos teníamos diferentes opciones para presentar un dictamen pericial que diese fe de la existencia de determinados correos electrónicos dentro de un buzón. Entre otras opciones destacadas, y atendiendo al principio de siempre “clonar” el mayor contenedor, podíamos acceder a Exchange para exportar el buzón de correo del usuario, podíamos clonar el propio servidor de correo, o incluso, el disco duro del PC del propio usuario del que luego extraer el PST. Sin embargo, todo esto está cambiando. Los servidores ahora están en un proveedor externo, Microsoft (como ya pasaba si teníamos contratado un hosting en modo SaaS), y los usuarios se están habituando a utilizar Office 365 desde su navegador. Y, en estas circunstancias, ¿cómo clonaríamos un buzón de correo electrónico manteniendo todas las garantías de integridad forense? De eso os hablaremos en este artículo.
Ha llegado la RootedCON. Uno de los eventos más importantes de Europa ha llegado en una nueva edición. Y ya son unas cuantas. Volveremos a vernos en Madrid un año más, como solíamos hacer antes de que la pandemia cambiara nuestro día a día y nuestra forma de ver la vida. Para mi es un año especial, es un año en el que he querido renovar muchas cosas en el lab. He querido darle más importancia a la necesidad de disponer de escenarios prácticos dónde la enseñanza sea guiada por ellos. Nada nuevo, pero si para este tipo de Lab de un día en el que cada minuto cuenta y hay que sacar el máximo jugo de ello.
Ahora viene el momento publicidad. El Lab que se estrena el próximo 9 de marzo (y que durará 8 horas de entrenamiento y pentesting puro) consta de diversos escenarios para ir explicando de forma muy práctica la metodología y las diferentes fases que un pentester puede llevar a cabo. Así como el uso de herramientas cotidianas o técnicas que pueden ser de sumo interés. No todo serán escenarios, habrá instantes en el que juguemos con máquinas virtuales y podamos aprender mucho en 8 horas.
En este enlace dispones de la información sobre todo lo relacionado con el Lab y con las posibilidades que este proporciona a los alumnos. Los objetivos marcados son:
- Aprender metodología para hacer un pentesting práctico y resolver problemas
- Enfrentarse a entornos reales
- Resolver escenarios a través de un entrenamiento práctico
¿Cómo funciona el lab?
Parte I. Se enseñan diferentes técnicas de enumeración de máquinas y redes. En esta primera parte del lab, se
resuelven escenarios de enumeración y se muestra el uso de técnicas y herramientas sobre ellos.
Parte II. Identificación de vulnerabilidades y explotación de éstas. El alumno recorrerá diferentes escenarios
viendo cómo se detectan vulnerabilidades y cómo éstas se pueden explotar (con diferentes herramientas y con
técnicas manuales). Esta parte cubre un amplio abanico que puede ir desde la generación de un exploit propio
hasta el uso de herramientas automáticas. Todo ello sobre un escenario.
Parte III. Post-explotación. En esta parte se tratarán técnicas de escalada de privilegios, pivoting, técnicas de
movimiento lateral, extracción de credenciales, etcétera. Todo a través del uso de escenarios reales (a los que un
pentester se puede enfrentar en su día a día).
Agenda
- MakeLab: Escenarios de entrenamiento preparados
- Metodología de Pentesting
- Mochila del pentester ¿Qué debo tener a mano en un Red Team?
¿Qué debo tener a mano en un pentest? Distros & Tools
- Fase 1: Enumeración y reconocimiento
- Escenario: Enumeración Técnicas de enumeración Herramientas Información relevante Existencia de vectores de ataque Escenario propuesto
Fase 2: Identificación de vulnerabilidades y explotación
- Escenario: Identificación y explotación Técnicas para identificar vulnerabilidades Técnicas de explotación vulnerabilidades Overflow Bind. Reverse Herramientas Escenario propuesto
Fase 3: Post-Explotación
- Escenario: Post-Explotación
Recopilación de información
Escalada de privilegios
Pivoting
Herramientas
Escenario propuesto
- Resolución escenario final
En semana y media estamos ahí. Con muchas ganas de estrenar este Lab y ver la aceptación que tiene. Últimas plazas. ¡A por un gran día de entrenamiento y hacking!
Vivimos en una sociedad hiperconectada, una sociedad que nos lleva al ritmo del tiempo (Kronos) que nos marca el paso siguiente que debemos dar para no perderle. A esto nos ha llevado años de evolución a vivir angustiados porque el tiempo se nos escapa, se pierde, no se aprovecha. Los griegos hablaban de Kronos y Kairós como elementos temporales bien diferenciados en la vida, sabiendo lo que es el transcurrir o el paso del tiempo y los momentos de aprovechamiento, de distanciamiento con nuestro estrés para abrir un momento de calidad, pero que también es temporal.
Para los griegos eran elementos que se encontraban en la temporalidad, pero que debíamos saber gestionar y a cada cual en su momento. Hoy en día, estando pasando una pandemia, estando inmersos en una sociedad dónde el ‘tic-tac’ es constante es importante saber gestionar los momentos de calidad, los momentos de aprovechamiento de lo que queremos, de lo que necesitamos. Momentos que nos permiten disfrutar del ratito que necesitamos con un compañero, el ratito de aprendizaje que quiero dedicar, el ratito para reír que necesito con un amigo, el ratito que quiero echar simplemente para perderlo.
Kronos es el tiempo del día a día, el transcurrir de las cosas, de las situaciones, de los trabajos, de la vida, personal y profesional. Es el que nos agota diariamente, el que nos estresa, el que nos comprime, el que hace que no tengas el hueco en la agenda. Kairós es el que seleccionamos, el que nos permite darnos el respiro, mirar al tiempo con calidad, hacer lo que necesitamos en un momento. Ese momento Kairós es el que debemos maximizar, aprovechar y sacar el mejor rendimiento. Es el tiempo dedicado a lo que necesites, a lo que tu mente y cuerpo requiera. El momento Kairós puede ser aplicado en cualquier lugar, en cualquier instante que tu lo necesites.
La recepción de mensajes diarios vía email puede conllevar la responsabilidad o necesidad de responderlos creando cierta ansiedad. Construir tiempo y espacio para llevar a cabo dicha tarea puede ser, en algunos casos, misión imposible. Llevo tiempo usando MyPublicInbox para la gestión de consultas y respuestas valorando el tiempo tanto del que envía su email como el mío para la respuesta. Realmente, podemos ver la misma operativa, es decir, te pueden enviar un email o varios al día o puedes recibirlos a través de MyPublicInbox, pero realmente la operativa cambia cuando la necesidad del que envía el email es realmente una necesidad. Me explico:
Cuando uno está aprendiendo tiene dos formas de resolver las dudas. Primero buscando información sobre cómo puede resolver ciertas situaciones. El tiempo invertido en ese aprendizaje es tiempo de calidad, ya que, aunque le pueda parecer que no, es tiempo invertido en un aprendizaje personal, un reto que uno acaba resolviendo. La segunda opción es preguntar rápidamente al profesor.
Es cierto que el profesor está ahí para ayudarte. En mi opinión hay que disponer de un equilibrio entre el tiempo que invierto en resolver el problema y el tiempo que invierto en que me den la respuesta.
Si me dan la respuesta sin yo invertir nada de tiempo, puedo caer en la comodidad y acabar por no aprender el porqué. Esto último será lo que hará que interiorice el conocimiento en mi interior, no el que un profesor me dé la respuesta inmediatamente.
Esto a veces es complejo de ver, ya que tendemos a solicitar una respuesta a un problema a la primera persona que tenemos al lado (el profesor).
Al igual que no es lo mismo pegarme con un ejercicio o verlo resolver a otro. No es lo mismo. Cuando me sitúe frente al problema, el ejercicio o lo que sea y lo intente resolver, tendré que chocarme con ciertas piedras antes de llegar al final. Si veo a otra persona resolverlo puedo aprender el camino, pero no veré el fondo o todos los sub-caminos que podían existir en el camino básico. O incluso, no seré capaz de recrear el camino, porque hay partes que no entendí.
Si esto lo llevamos al plano anterior, lo que quiero decir es que no es lo mismo recibir correos electrónicos con consultas de todo tipo, cuando no ha habido un trabajo previo a conseguir un filtro dónde el que envía el mensaje ha utilizado su tiempo para entender lo que necesita, lo que quiere y explicar los problemas que tiene (habiendo echado tiempo a intentar solucionarlo). Cuando alguien hace ese ejercicio previo, la consulta que llega tiene mucho más valor.
De cara al receptor de las consultas ocurre algo similar. El tiempo que va a dedicar él a la respuesta es un tiempo que invierte, simplemente, porque el quiere. Es un tiempo que quita de otras situaciones, familiares, amigos, etcétera. ¿Entonces es por la pasta? No. En muchas ocasiones ese tiempo que se invierte en responder a consultas, e-mails, etcéteras, es simplemente donado. Sobre el concepto de donar el tiempo hablaremos en otra ocasión. Para esta entrada ya hemos tenido suficiente. Simplemente os dejo una pequeña reflexión a título personal sobre el tiempo, el estrés, la calidad y los tipos de consulta.
Muy buenas a todos. Hoy, 31 de diciembre, este 2021 toca a su fin. Segundo año de pandemia, y 12 meses que muchos querrán olvidar para dar paso a un 2022 que esperemos que, por fin, sea el final de la Covid-19 (al menos, tal y como hoy la conocemos). Para mi, al igual que para muchos de vosotros, no ha sido un año sencillo. Más allá del terreno personal, ha sido un año de mucho trabajo, de pelear cada día, de robarle horas a la familia, en definitiva, un año de mucho esfuerzo. Es un esfuerzo en la sombra, que no se suele ver. Los clientes y proveedores ven que todo fluye, los compañeros ven la maquinaria engrasada y que el pan llega a final de mes, mis socios y familiares intuyen lo que uno lleva a la espalda, porque son los que más cerca están. Pero las piedras en esa espalda cada vez pesan más, y a ese peso se le llama responsabilidad.
Habréis visto que tanto Pablo ayer, como yo hoy, hemos iniciado nuestro post hablando sobre la cultura del esfuerzo y la responsabilidad, y viene a colación de una conversación que tuvimos el miércoles por la tarde al teléfono, en la que debatíamos sobre lo que estaba pasando al sector en estos últimos años, y cómo se estaba perdiendo en algunas de las nuevas generaciones ese esfuerzo, ese pelear por las cosas. ¡Quiero ser Senior! (con 1 año de experiencia). ¡Quiero que me contrates para ser pentester! (con un curso DDD de 40h y sin tener unas nociones básicas de redes, sistemas o bbdd). ¡Quiero ser Director! (con 2 años de experiencia). ¡Quiero hacer Red Team! (sin saber ni lo que es...). Quiero, quiero, quiero. Yo tuve la fortuna de tener mi primera aproximación a la informática "profesional" bastante joven. En 2003, hace 18 años, entré como vocal en una asociación de consumidores dedicada a la lucha por los derechos de los afectados del Síndrome Tóxico. Soy hijo y nieto de afectadas, he vivido la enfermedad muy de cerca desde pequeño y he tratado de colaborar con ellos siempre que he podido. En 2003 comencé a llevarles la red, gestionarles su fax, sus impresoras de red, mantenerles los cuatro ordenadores que tenían, el router, el switch, etc. Labores típicas de un sysadmin, junto al apoyo en la ofimática básica, en la gestión de sus bases de datos de asociados en Access, algo de burocracia, etc. etc. Allí viví la primera instalación DSL de 128 Kbps y eché muchas horas al teléfono con soporte por los fallos constantes que todavía había. Hoy, 18 años después, aún sigo apoyándoles. Ya estudiando la carrera, en 2007, comencé a administrar una red social de automoción, ese fue mi primer trabajo remunerado, y, en 2008, empecé en Informática 64. A partir de aquí, la historia la he contado muchas veces. Recuerdo ser un afortunado por haber tocado con 20 años firewalls y switches profesionales, haber estado en un CPD o, simplemente, por haber tenido un ordenador desde enano, aunque hubiese sido un Amstrad heredado en 1992. Por esta proximidad a la tecnología desde pequeño, y porque peleé mucho, pude ir creciendo y adoptando posiciones de responsabilidad en las empresas por las que he ido pasando (aún cuando la ciberseguridad todavía era "Seguridad Informática"), hasta hoy en día, que dirijo un grupo empresarial con 40 personas. A lo largo de los años me he encontrado con grandes profesionales que peleaban por hacer su trabajo de la mejor manera posible, pero últimamente me está costando ver en este mercado ese esfuerzo que yo viví en mis primeros años en el sector. Hoy en día, el tener todo al alcance de la mano nos ha beneficiado para muchas cosas, pero para otras, puede que nos haya perjudicado... Sin ánimo de entrar en un debate filosófico, sí que creo que sería positivo si alguno compartís en los comentarios o en Twitter alguna reflexión al respecto, varios puntos de vista seguro que nos permitirán dar algo de luz a lo que está pasando en el sector.
Tras esta reflexión inicial, doy inicio a mi backup personal de 2021, para contaros precisamente algunas de estas batallas conseguidas para que perduren en el recuerdo de este particular anuario personal.
A pesar de la pandemia, ha sido un año "intenso", y no he parado de moverme de un lado para otro. En enero me incorporé como asesor voluntario de FEJUVES, la Federación Española de Jugadores de Videojuegos y Esports, con el fin de apoyar la interconexión de los mundos gamer y cyber en España. Tuve la oportunidad de promover varios webinars al respecto, alguno de ellos junto a personas muy reconocidas del sector, de lanzar campañas de concienciación, y, en definitiva, de apoyar a la comunidad.
De una de estas colaboraciones se forjó la alianza que firmó mi empresa Zerolynx, con la ESL, la entidad organizadora de deportes electrónicos más grande y antigua del mundo, y que derivó en el patrocinio de las Temporadas 9 y 10 del ESL Masters de CSGO, y en los 2 torneos CTF FromZeroToLynx que hicimos este año, y que, si competís habitualmente en Captures The Flag, probablemente conozcáis. Os dejo por aquí una fotografía del reconocimiento especial que tuvo la ESL con nosotros durante la última final.
Volviendo a enero, también podréis ver que participé en varios capítulos más del documental El Enemigo Anónimo, al igual que en 2020, y probablemente os hayáis encontrado conmigo en algunos eventos del sector más dirigidos a empresa.
Febrero fue un mes bonito porque lanzamos la nueva identidad corporativa de Zerolynx. Llevábamos trabajando el último semestre en ella (currazo de mi compañera Olga), y tuvimos tiempo para adelantar gran parte antes de las finales de la ESL. Aún con todo, seguimos migrando plantillas, y nuestra nueva web no saldrá hasta inicios de 2022, momento en el cual todo el traspaso a la nueva marca habrá sido completado.
Este mes también participamos en la 7ª edición de los Ciberejercicios Multisectoriales de ISMS Forum, donde mi empresa realizó la campaña de phishing sobre 26 multinacionales (gran parte, Ibex-35). Os aseguro que fue un trabajo y una experiencia espectacular. Lanzar una campaña paralela y coordinada a tantos miles de usuarios fue un reto complejo, interesante (y agobiante), con el que aprendimos mucho, y, lo más importante, con el que pudimos concienciar mucho más. Como Director fui el encargado de presentar las labores realizadas por mi empresa en 2 webinars en los que había representantes de todas las organizaciones entrenadas (dado que los eventos presenciales aún no eran una realidad).
Marzo fue un mes con mucha actividad en eventos. Desde Zerolynx patrocinamos el Capítulo de Madrid de Isaca, y ello nos dio pie a participar en muchas de las actividades que organizan. Bajo este marco de colaboración, ese mes coordiné una mesa redonda en el IV Congreso de Auditoría & GRC sobre los riesgos de la cadena de suministro. El feedback fue muy positivo, nos juntamos un grupo interesante que habíamos vivido de cerca los riesgos de los proveedores, y aportamos muchas ideas positivas a todos los asociados que estuvieron presentes.
Este mes también me invitaron desde BBVA a su InnovaHome Festival, y estuvimos charlando junto a mi compañero Jesús Alcalde sobre los riesgos de ciberseguridad en el sector. En este caso, en formato Instagram Live. Fue mi primera vez en un directo de Instagram (normalmente ya se están haciendo en Twitch), y recuerdo que tuvimos un percance porque nos llamaron al móvil y se nos cortó "el Live". Pero en pocos minutos pudimos recuperar la conexión y acabarlo con una simple anécdota que contar.
En abril grabamos un par de reportajes para la televisión. No me gusta mucho salir en medios porque soy de los que piensa que los carga el diablo, y ya me ha pasado varias veces que se quedan con un trozo de la entrevista, dando como resultado un mensaje sin contexto que no se entiende y que incluso te puede dejar en mal lugar. Por lo que últimamente soy muy cauto y trato de aceptar aquellas entrevistas de programas y periodistas muy serios, y que se que tratarán las escenas grabadas con el mismo rigor y respeto que dedicamos nosotros a atender sus solicitudes. Por ello precisamente, en abril grabamos dos reportajes para Antena 3 y TVE sobre la ciberseguridad en movilidad, que salieron respectivamente en el telediario y en Comando Actualidad, ambos, tratados con mucho rigor:
Mayo habría sido el mes de la octava edición de X1RedMasSegura, pero dadas las circunstancias de la pandemia, consideramos conveniente cancelarla para volver con más fuerzas en 2022. Pero aún así, no tuve tiempo de aburrirme, con varios viajes de trabajo entre Euskadi y Madrid, y la organización de la Temporada 9 de la ESL, a los que aprovecho para mandar un abrazo por su involucración con nosotros, así como a HyperX e Intel por sus patrocinios.
Entre mayo y junio colaboramos con Radia, un programa de formación en tecnologías digitales dedicado a favorecer la inclusión de mujeres con discapacidad en entornos de trabajo digitales. Bajo la firma de este programa, acogimos a 2 estudiantes que tenían interés en la ciberseguridad, y de las que pudimos aprender mucho. Os dejo con un breve video de una entrevista que nos hizo la CEOE al respecto:
Por esta época me saqué el título de Director de Seguridad Privada en la Universidad Complutense, y obtuve el TIP, con el fin de dar apoyo al equipo de Seguridad Patrimonial que tenemos en Osane Consulting, la empresa del grupo dedicada a Seguridad Corporativa. También convalidé el CDPSE de Isaca sobre protección de datos, por mi antigua experiencia en LOPD y mis tres últimos años como DPO, y obtuvimos el Sello Pyme Innovadora en Zerolynx, tras pasar la auditoría de EQA sobre nuestro Sistema de Gestión del I+D+i.
En agosto traté de descansar, y estuve haciendo algo de turismo nacional por nuestras islas. También aproveché para hacer un par de cursos de fotografía, y potenciar esta nueva afición que me inculcó mi suegro hace algún tiempo. De momento, disfrutando como aprendiz.
En este mes me reconocieron un año más como MVP de Microsoft, mil gracias por considerarme para el galardón un año más. Probablemente no sea el mejor embajador de sus productos, porque como representante de una consultora trato de mantenerme neutral y ofrecer a cada cliente lo que necesite en cada momento, sea o no del fabricante de Redmond, pero creo que esto es precisamente lo que hace grande a este premio, y es que lo hayan recibido hasta profesionales de su gran competidor, Google.
En septiembre arrancamos 2 CTFs en paralelo, el de IntelCON y el de la Temporada 10 de la ESLMasters, por lo que estuvimos como locos por la oficina. Imaginaos lo que es combinar los proyectos de 40 personas con otras actividades externas que te trastocan la agenda. Fue una locura. Elaboramos casi 40 retos hacking en cuestión de pocas semanas. Pero todo salió genial y se quedó un buen sabor de boca como para repetir la experiencia. Eso sí, a ser posible habrá que intentar que no coincidan más CTFs en paralelo :).
Octubre fue un mes bonito porque nos reconoció el Ayuntamiento de Móstoles (nuestro pueblo), donde tenemos actualmente nuestra matriz, como la mejor empresa del municipio en la categoría de emprendimiento.
Las empresas premiadas recibimos un galardón cargado de simbolismo y que como no quiero explicarlo mal, prefiero contaros copiando la nota de prensa oficial donde lo describen: "El premio es una obra de arte inclusiva fabricada en cerámica, madera y tela, llevada a cabo por el Colectivo C4R y fabricada por 5 personas con diversidad funcional de la Asociación AMÁS. Para la realización del galardón, C4R ha recogido telas de uniformes de policía, sanitarios, bomberos, Protección Civil, Cruz Roja y también del comercio local, que ha estado representado por la tela de los uniformes de los panaderos. Estos retazos de tela, tejida en forma de flores, ponen el broche a un premio que simboliza el agradecimiento a todos los colectivos que no pararon durante la pandemia para que otros pudiésemos estar protegidos en nuestros hogares".
Este galardón llevaba asociado un premio económico de 2.000€, y decidimos que no solo debíamos donarlo, sino poner otros 2.000 € más para apoyar a las asociaciones del municipio centradas en la salud, y que tanto bien hacen por nuestra sociedad.
En noviembre nos dieron el premio a la Mejor Empresa de Seguridad TIC del año en los XIV Trofeos de la Seguridad TIC de Revista Red Seguridad. Fue un galardón inesperado, que recogió mi compañero Daniel González y que tuvo como objetivo premiar la trayectoria del grupo a lo largo de sus casi 4 años de vida.
Y en diciembre, nos reconocieron algunos CVEs, y aprovechamos para cerrar temas de cara a final de año, así como reunirnos en un Outing navideño bajo las estrictas medidas sanitarias que mandaba la situación actual.
Releyendo estas líneas con perspectiva, puedo concluir que ha sido un año muy bonito y con muchos éxitos profesionales, pero también ha sido un año duro, con mucho trabajo y mucho esfuerzo, poco agradecido en muchas ocasiones. Ha sido una época extraña, con una inestabilidad económica en los mercados que da respeto, crisis de todo tipo (energética, logística, suministros, etc.), con el desempleo en cifras que asustan, y todo ello está siendo el caldo de cultivo perfecto para que, de nuevo, la ciberseguridad sea una de las cosas que recortar, a pesar de que los ciberataques hayan crecido de forma muy significativamente durante la pandemia. Pero nuestro sino es este, seguir trabajando y concienciando para tratar de hacer un mundo más ciberseguro, aunque siempre vayamos 10 pasos por detrás de la ciberdelincuencia.
Solamente me queda daros un abrazo a todos, en especial a los linces por aguantarnos un año más, por todo lo conseguido juntos, y por lo que aún nos queda por alcanzar.
Llegamos al final del año 2021. Un año que venía a reorientar nuestras vidas. Un año que proponía una nueva realidad y una nueva forma de afrontar la vida. Palabras como remoto, teletrabajo o confinamientos y aislamientos forman parte del día a día en muchos trabajos. Esos trabajos que tienen la suerte de poder hacerse en remoto, ya que otros muchos no lo son.
Personalmente, el año 2021 ha sido un año muy importante. Un año que ha cambiado mi camino para siempre. Un año que me ha regalado lo que nunca se podrá superar. Un año que tiene banda sonora propia e imágenes de retina que nunca se podrán olvidar. Al 2021 solo puedo darle las gracias, porque en lo personal no ha podido ser mejor. Y no es fácil para muchos avanzar en estos tiempos de pandemia, en estos tiempos que creemos que no pasan, pero que debemos comprender que pasan y no vuelven. Nunca volverás a tener la edad que tenías el día antes del comienzo de la pandemia. No lo pienses. Haz que tu vida siga, que avance, haz lo que tenías planificado, quizá en un mañana no haya opción.
Para mí es muy importante hacer cosas. No parar. Hacer cosas se transforma en nuevas ideas, nuevos proyectos, nuevos caminos y es algo que me apasiona. Me gusta tomar distancia y ver qué hacemos durante estos años. Las cosas que hemos ido haciendo, el camino que hemos ido recorriendo, los errores que hemos cometido (éstos para mi son muy importantes, aprendemos más de los fracasos que de los éxitos). Fracasa una vez y aprenderás como si de tres éxitos se tratase. Aprende lo que te gusta, lo que te motiva, lo que quieres lograr, lo que quieres hacer y fracasando aprenderás cómo no debes hacerlo, qué es lo que realmente quieres hacer y conseguir y la fórmula para lograrlo. Os dejo "My Backup" y ya son unos cuantos años. Un Pablo que ha crecido en lo personal y en lo profesional con el paso de los años.
Otra reflexión que me deja el año 2021 es el debate sobre el esfuerzo y la dedicación. Algo tan impopular, pero que nos lo han puesto en el 'foreground'. La ciberseguridad no es sencilla. La ciberseguridad es esfuerzo y dedicación. Diario. No hay aspectos mágicos. El tiempo es tu aliado. Cuando uno es joven tiene el tiempo de su parte. Tiempo para aprender, para conocer, para equivocarse, para elegir. Aprovéchalo. No tengas prisa por llegar. No tengas prisa por querer llegar a las cotas que soñaste. Prepárate y vive el sueño, paso a paso. La cultura de esfuerzo y dedicación es necesaria en la ciberseguridad y, por lo general, en el mundo de la tecnología. Con humildad, esfuerzo y dedicación todo se puede, pero requiere del elemento fundamental: el tiempo. Ese elemento tan deseado hoy día, tan complejo de conseguir y en algunos casos tan despreciado.
Sin más, voy a dar comienzo con mi resumen anual. Este año, por diversos motivos, menos movido que otros años, pero intenso. Contento con el resultado. Contento por seguir haciendo cosas otro año. Doer.
Enero empezó con las universidades, clases online, clases presenciales, masterclasses, sigue siendo algo que me gusta, me motiva y me llena. Espero poder seguir estando ahí mucho tiempo, aportando mi granito de arena. Además, tuve la oportunidad de estar en BSides Panamá con la charla "ATTPwn: Emulación de adversarios y técnicas ofensivas"
Hay que decir que en el mes de enero echamos mucho de menos a mi querida Sh3llCON. Espero que este año que pronto empezamos podamos volver a vernos. Oh mi Sh3llCON, mi querida Sh3llCON. Sinónimo de casa, mi casa :)
Febrero fue un mes de más clases y de una nueva edición de Morteruelo CON en 2021. En esta ocasión nos tocó hacerlo online y hablé sobre nuestra herramienta de emulación de adversarios ATTPwn. He tenido la suerte de estar en más de 5 ediciones de este congreso y siempre es un orgullo poder compartir el tiempo y las charlas con mis amigos de Cuenca. Espero que sigamos estando ahí durante muchos años. Además, en el mes de febrero me tocó dar una charla de orientación sobre la ciberseguridad y el entorno laboral. Una experiencia poder contar mi visión sobre ello y poder compartir ideas con los asistentes.
En el mes de marzo nos quedamos huérfanos de Rooted. Es el mes de la Rooted y este año nos tuvimos que aguantar sin ella. El mes de marzo seguí con las universidades, clases, sesiones, masterclasses, TFMs y alguna participación en radio y televisión. Un mes que marcaba mi punto y seguido al siguiente mes y medio que me tomé "de vacaciones". En el mes de abril estuve apagado o fuera de cobertura, así como la mitad del mes de mayo. Viviendo nuevas experiencias. Nuevas aventuras. Los sueños locos como diría Fito. Eso sí, 'para toda la vida'.
La vuelta al ruedo comenzó fuerte. Participé en un evento que celebraba la Universidad de Cádiz dónde hablé de Ciberseguridad y la emulación de adversarios. Con esto finalizamos el mes de mayo.
En el mes de junio hice un webinar sobre orientación en el pentesting en el EIP y finalizamos curso lectivo en lo que a Universidad se refiere. En el mes de junio participé en OpenExpo, por segunda vez. En esta ocasión, participé en un concurso por equipos sobre tecnología. Formé parte del equipo MyPublicInbox. Fue una experiencia interesante, y no solo porque el equipo ganara la competición (peleando con el equipo Microsoft o Geekshubs, entre otros - guiño guiño :D). Para finalizar el mes participé en un seminario sobre ciberseguridad de nuevo online. Las ganas de la presencialidad recorrían mis venas, ya que, para mí, es más interesante el 'face2face'.
En Julio volví a una charla presencial en Zaragoza de la mano de mi amigo y compañero Fran Ramírez. En mi pensamiento solo había una expresión: "Por fin". Las ganas de volver a tener la adrenalina y de volver a sentir el 'calor' de la gente. La temática de la charla era el poder de la gran pantalla en la transformación digital. ¿Cómo? Así es. Una charla con un registro diferente para mí, acostumbrado a las charlas técnicas, pero la disfruté mucho. Mucho.
Además, el mes de julio trajo la renovación como MVP de Microsoft. Por quinto año (conseguí mi disco especial :D) tuve la suerte de que Microsoft pensara que debía disponer de este reconocimiento, del cual solo puedo dar las gracias.
En el mes de agosto nos comunicaron una gran noticia. Por quinta vez, el equipo de IdeasLocas estaría en una BlackHat. Sería la cuarta BlackHat Europe (sin olvidar la BlackHat USA de 2020) en la que presentaríamos una herramienta con la que buscamos innovar en ciberseguridad, en la parte de seguridad ofensiva. En esta ocasión, fue mi compañero Luis Eduardo el que presentó la herramienta, así como mi compañero Roberto, que presentó la herramienta que desarrolló durante su beca en IdeasLocas aDLL.
En el mes de septiembre volví como Director externo a la UEM para el Máster de Ciberseguridad para este nuevo curso lectivo que daba comienzo. Uno no sabe lo que las cosas pueden cambiar, o como los caminos pueden volver a encontrarse. Para mi es un orgullo poder aportar mi granito en la dirección, pero como digo hay que disfrutar el momento y disfrutar de lo que uno hace en este momento. Muy agradecido.
Hacia la mitad del mes de septiembre participé en la STEAM Open Week de la UEM aportando mi visión en la ciberseguridad. Un encuentro interesante con otros colegas de otros sectores tecnológicos, en el que intentamos sumar.
El fin de año ha sido especial para mí. Nuevas experiencias y aventuras en el plano personal. Una amiga, Marta Barrio, me entrevistó para su canal, junto a Carol. Una tarde distendida, entre amigos, y de la cual guardo un grato recuerdo. Nos faltaron las cervezas, pero podía ser una conversación de bar totalmente. Gracias chicas por la entrevista.
Y para finalizar el año, ¡Volvió la Rooted! Eso sí, con estreno en Málaga. La Rooted Málaga se celebró los días 9 y 10 de diciembre y tuve la suerte de poder estar impartiendo un Rooted Lab sobre Hacking Ético. Tengo que decir que era mi décimo quinta edición de RootedLab entre Rooted Madrid, Rooted Valencia y la primera Rooted Málaga. Todo un honor para mí poder estar una ocasión más y espero con muchas ganas la edición de Marzo en Madrid.
Además, en el mes de diciembre se publicó un libro muy especial para mí. En el mes de agosto, Chema Alonso me propuso escribir un relato corto de lo que quisiera para contribuir en un libro benéfico, dónde los autores donamos nuestra contribución a la fundación Gomaespuma y todo lo bueno que están haciendo por los niños. Sin dudarlo me lancé a la piscina.
El libro se llama "Relatos para hackear el tiempo" y cada uno aporta una visión diferente con sus relatos. Reirás, llorarás, te estremecerás, disfrutarás, tendrás ciencia ficción, humor, pero sobre todo, aportarás a una necesidad. En este libro hay autores como Pérez-Reverte, Antonio Castelo, Juan Luis Cano, etc. Orgulloso de contribuir y poder estar en un libro con cada uno de ellos, grandes profesionales en su campo.
Por último, y abierto todo el año, deciros que sigo con mi buzón público de MyPublicInbox (dónde espero pronto dar novedades) y aportando un porcentaje de los tempos a una asociación.
Ahora ya sí, toca despedir el año y mi resumen. Para el año 2022 pido muchas cosas y también ofrezco esfuerzo. Intentaré seguir dando guerra, estar de aquí para allá, pensando y haciendo cosas que hacen nuestro recorrido en la vida algo interesante. Aportando todo en lo familiar y también en lo profesional. No sabemos cuanto tiempo nos queda, pero lo que está claro es que cuando mires atrás tengas tus recuerdos, tu mejor tesoro, tus vivencias, tu mejor conocimiento y tu mejor regalo. El año que viene más. Gracias a todos los que me apoyaron, me apoyan, a los que ya no están y que se fueron demasiado pronto, a ti (a él) y a la familia. Sin vosotros nada sería lo mismo. ¡A por el 2022!
Los años van pasando y por aquí seguimos 11 años después, sin pausa, pero sin prisa. No publicamos todo lo que nos gustaría, pero si nos gusta todo lo que publicamos, y así seguiremos mientras haya algunos locos que se molesten en abrir nuestro blog para leer lo se nos ocurra comentaros cualquier día random del próximo 2022 :). Por lo que en breve tendréis con vosotros nuestros ya tradicionales resúmenes del año. Nueve años contándoos nuestra vida, sobre todo sus cosas buenas, que para contar disgustos ya tenemos todos bastante ¿no pensáis?
Esperemos que el próximo 2022 sea por fin el final de esta pandemia y que pueda ser el año que todos esperamos con tantas ganas.
A raíz de escuchar bastantes casos de gente cercana que han sido estafados a través de sitios web en sus compras online, he decidido hacer una publicación explicando algunas de las medidas que tomo yo personalmente antes de hacer mis compras en cualquier sitio web.
Lo primerísimo, no solo vamos a hablar de evitar estafas, sino de reconocer mejor las webs que indican unos plazos de entrega que no van a poder cumplir o que sea muy probable que su servicio postventa sea catastrófico.
Puntos obligatorios a verificar:
Revisar que el sitio web cuente con un certificado SSL válido.
Si el sitio web contiene productos con precios escandalosamente bajos, es muy probable que sea un estafa.
Haz una búsqueda similar a la siguiente "opiniones nombretienda", "estafa nombretienda" en Google.
Revisar que tenga páginas legales para saber quién o qué está detrás del sitio web, donde, normalmente no solo aparecerá la denominación social, sino también el CIF de la empresa. Si no aparecen, mal rollito.
Realizar una búsqueda en Google con dicho CIF o denominación social en busca de otros portales webs similares, opiniones, denuncias, etc.
Revisar la página de envíos y leerla a conciencia, para tener claro el plazo en el que llegará el producto solicitado.
Si es una web conocida, verifica que la URL de la web sea la real.Ejemplo: Mediamarkt - Mediamarrkt.
Evitar realizar compras y el acceso a webs a través de enlaces que no sean de una búsqueda propia. Ejemplo: Recibimos una notificación a través de una web de que podemos conseguir un IphoneLynx 13 por 200€.
Utilizar tarjetas de prepago o Paypal para las compras online.
Comprar en sitios web de confianza, todos conocemos cuales son las principales tiendas online donde no tendremos casi ningún problema.
Revisar las fotos, la marca de agua y la calidad de las mismas. En caso de tener marca de agua de otra empresa, es un indicador claro de que está utilizando imágenes de terceros.
Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)
Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:
Los procedimientos de pago, entrega y ejecución, la fecha en que el
empresario se compromete a entregar los bienes o a ejecutar la prestación del
servicio.
La identidad del empresario, incluidos los datos correspondientes a la
razón social, el nombre comercial, su dirección completa y su número de teléfono y,
en su caso, del empresario por cuya cuenta actúe.
El precio total, incluidos todos los impuestos y tasas. Si por la naturaleza
de los bienes o servicios, el precio no puede calcularse razonablemente de
antemano o está sujeto a la elaboración de un presupuesto, la forma en que se
determina el precio así como todos los gastos adicionales de transporte, entrega
o postales o, si dichos gastos no pueden ser calculados razonablemente de
antemano, el hecho de que puede ser necesario abonar dichos gastos
adicionales.
Los procedimientos de pago, entrega y ejecución, la fecha en que el
empresario se compromete a entregar los bienes o a ejecutar la prestación del
servicio.
El procedimiento para atender las reclamaciones de los consumidores y
usuarios, así como, en su caso, la información sobre el sistema extrajudicial de
resolución de conflictos prevista en el artículo 21.4.
Los empresarios no podrán facturar a los consumidores y usuarios, por el
uso de determinados medios de pago, cargos que superen el coste soportado por
el empresario por el uso de tales medios
El consumidor y usuario dispondrá de un plazo mínimo de catorce días
naturales para ejercer el derecho de desistimiento.
Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.
Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:
Búsqueda de producto por imagen en Google Imágenes para evitar intermediarios.
Uso de plataformas como Chollometro para encontrar ofertas.
Comprar el producto en China. Será más barato, pero tardará más y tendrá un servicio post-venta más complicado.
Uso de la web camelcamelcamel o la extension keepa para ver el histórico de precios de un producto de Amazon.
Realizar búsquedas en internet con la referencia del producto y revisar tanto la sección de shopping, como la búsqueda global. Ejemplo: UE55AU7175UXXC (Revisar todos los puntos de seguridad expuestos anteriormente)
Acceder a Amazon reacondicionados y probar suerte! (Revisar siempre el estado del producto) Además, en blackfriday hay un 20% de descuento extra en productos reacondicionados.
Revisar las opiniones de los usuarios que han comprado el producto, puede que provenga de un vendedor externo y no ofrezca la seguridad que debería.
Revisar el precio del producto en Amazon Alemania y Amazon Italia, suelen realizar envíos a España y pueden tener un precio inferior.
Tener cuidado con los productos cuyas valoraciones son una C, dado que, muy probablemente, dichas valoraciones hayan sido "compradas" por el vendedor.
Un saludo y felices compras en este Black Friday! :D
