• Revisar que el sitio web cuente con un certificado SSL válido.
• Si el sitio web contiene productos con precios escandalosamente bajos, es muy probable que sea un estafa.
• Haz una búsqueda similar a la siguiente "opiniones nombretienda", "estafa nombretienda" en Google.
• Revisar que tenga páginas legales para saber quién o qué está detrás del sitio web, donde, normalmente no solo aparecerá la denominación social, sino también el CIF de la empresa. Si no aparecen, mal rollito.
• Realizar una búsqueda en Google con dicho CIF o denominación social en busca de otros portales webs similares, opiniones, denuncias, etc.
• Revisar la página de envíos y leerla a conciencia, para tener claro el plazo en el que llegará el producto solicitado.
• Si es una web conocida, verifica que la URL de la web sea la real. Ejemplo: Mediamarkt - Mediamarrkt.
• Evitar realizar compras y el acceso a webs a través de enlaces que no sean de una búsqueda propia. Ejemplo: Recibimos una notificación a través de una web de que podemos conseguir un IphoneLynx 13 por 200€.
• Utilizar tarjetas de prepago o Paypal para las compras online.
• Comprar en sitios web de confianza, todos conocemos cuales son las principales tiendas online donde no tendremos casi ningún problema.
• Revisar las fotos, la marca de agua y la calidad de las mismas. En caso de tener marca de agua de otra empresa, es un indicador claro de que está utilizando imágenes de terceros.

Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)

Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:

• Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
• La identidad del empresario, incluidos los datos correspondientes a la razón social, el nombre comercial, su dirección completa y su número de teléfono y, en su caso, del empresario por cuya cuenta actúe.
• El precio total, incluidos todos los impuestos y tasas. Si por la naturaleza de los bienes o servicios, el precio no puede calcularse razonablemente de antemano o está sujeto a la elaboración de un presupuesto, la forma en que se determina el precio así como todos los gastos adicionales de transporte, entrega o postales o, si dichos gastos no pueden ser calculados razonablemente de antemano, el hecho de que puede ser necesario abonar dichos gastos adicionales.
• Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
• El procedimiento para atender las reclamaciones de los consumidores y usuarios, así como, en su caso, la información sobre el sistema extrajudicial de resolución de conflictos prevista en el artículo 21.4.
• Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios
• El consumidor y usuario dispondrá de un plazo mínimo de catorce días naturales para ejercer el derecho de desistimiento.

Podéis revisar toda esta información y mucha más en el Boletín Oficial del Estado (Disposición 3329 del BOE núm. 76 de 2014)

Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.

Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:

• Búsqueda de producto por imagen en Google Imágenes para evitar intermediarios.
• Uso de plataformas como Chollometro para encontrar ofertas.
• Comprar el producto en China. Será más barato, pero tardará más y tendrá un servicio post-venta más complicado.
• Uso de la web camelcamelcamel o la extension keepa para ver el histórico de precios de un producto de Amazon.
• Realizar búsquedas en internet con la referencia del producto y revisar tanto la sección de shopping, como la búsqueda global. Ejemplo: UE55AU7175UXXC (Revisar todos los puntos  de seguridad expuestos anteriormente)
• Acceder a Amazon reacondicionados y probar suerte! (Revisar siempre el estado del producto)
  Además, en blackfriday hay un 20% de descuento extra en productos reacondicionados.
  
  
  

  
• Revisar las opiniones de los usuarios que han comprado el producto, puede que provenga de un vendedor externo y no ofrezca la seguridad que debería.
• Revisar el precio del producto en Amazon Alemania y Amazon Italia, suelen realizar envíos a España y pueden tener un precio inferior.
• Tener cuidado con los productos cuyas valoraciones son una C, dado que, muy probablemente, dichas valoraciones hayan sido "compradas" por el vendedor.

Un saludo y felices compras en este Black Friday! :D

En esta primera aventura de RootedCON en Málaga, la gente de Rooted plantea ponentes con charlas potentes, una gran organización y los famosos Rooted Labs. Quiero aprovechar este post para agradecer a la gente de RootedCON la oportunidad de poder asistir a una nueva Rooted, la primera en Málaga. Después de hacer charlas y labs en las Rooted de Madrid y Valencia, podré disfrutar del clima, la cultura y la gente de Málaga. 

La agenda está siendo publicada poco a poco y viendo cada ponente, las charlas serán de mucho interés. Buenos amigos dando charlas en la primera Rooted en Málaga y seguro que seguirán llegando las sorpresas. 

He tenido la suerte de dar alguna que otra charla en Rooted Madrid y Valencia, así como 8 años de lab en Madrid y 6 años en Valencia. Este año, si todo va bien, toca llevar un taller sobre Ethical Hacking (muy práctico y con alguna sorpresa) a Málaga. Aquí llega el momento publicidad ^^. El taller tiene una duración de 8 horas (intensas y prácticas).  Pasaremos el rato aprendiendo sobre enumeración, explotación de vulnerabilidades, técnicas de movimiento lateral, pivoting, escalada de privilegios, etcétera. Todo para que te formes en el hacking ético, pentesting y técnicas utilizadas en momento del Red Team. La fecha de impartición es el viernes 10 de diciembre. Os dejo los lab de este año. 

¡Buenas!

Siguiendo la línea de los anteriores artículos de esta serie (vol 1, vol 2 y vol3), hoy queremos enseñaros algunos recursos para preparar el CISSP que hemos encontrado recientemente.

En primer lugar queremos hablar de Sunflower-CISSP, un sitio web con material para preparar el CISSP. Concretamente cuenta con un resumen por cada uno de los dominios de CISSP en formato PDF, un glosario de términos y una herramienta (randomizator) que muestra los términos del glosario de manera aleatoria.

Por otra parte, muchas de las experiencias que se comparten a través de grupos de Telegram o en Reddit hablan de la complejidad del examen de certificación y de la gran cantidad de tiempo invertido en prepararla. Por ello, el siguiente vídeo de la instructora Kelly Handerhan tiene una componente motivacional para afrontar la certificación y proporciona una serie de recomendaciones por cada uno de los dominios que componen la certificación:

¡Esperamos que estos recursos os resulten de utilidad!

¡¡Saludos y hasta el próximo post!!

Buenas a todos/as, hoy vengo a hablar sobre cine y hackers, con una pregunta, ¿para cuándo en nuestro país nuestra serie o película sobre hackers españoles? Desde luego no nos faltan personas y recursos patrios.

No se a vosotros, pero después de terminar de ver Mr. Robot me quedé con ganas de más. Yo creo que es la serie con más referencias a herramientas de hacking, sí que es verdad que al final (tranquilidad, NO alerta spolier) la serie quedaba un poco desdibujada, en mi opinión, sobre lo que hay en la cabeza de Elliot, y sacaba otros temas más profundos que por otro lado a mí personalmente me flipan, más allá de las conspiraciones, ataques, potenciales distopias o sucesos que podrían darse, etc. Bueno vale me contengo que al final lo acabo destripando un poco.

Vale vale Elliot ya paro

Hablemos de producciones cinematográficas sobre hackers/hacking en España, desde luego tendríamos material con las personalidades que tenemos en nuestro país. Potencial no nos falta.

Hace seis años, Yago Jesús (@YJesus) escribió una carta abierta a Nacho Vigalondo (no se si él mismo se lo sigue planteando..), con toda humildad y con su permiso, quiero recoger el guante o rescatarlo.

En este artículo, Yago proponía a Nacho Vigalondo para nuestra gran producción en España sobre hacking (te comprendo, después de los fiascos que hemos visto hasta que llegó Mr. Robot al cine de Hollywood).

En su petición, pedía que fuera un retrato FIEL sobre el mundo de la ciberseguridad. Tampoco soy quién para decir cómo debe hacerse, pero si me gustaría decir, lo que como espectador (e informático) me gustaría ver. En mi opinión, muchos de los personajes que se han visto en el cine o series de hackers (me remito sobre todo a Mr. Robot), son tipos atormentados, antisociales y por otra parte, genios de los ordenadores.

Aparte de Elliot, tenemos a Lisbeth Salander, que llegó primero a la literatura. Un personaje marcado por un pasado violento y lleno de abusos, con el que el autor también quiso reivindicar y condenar a esos hombres que no amaban a las mujeres. Puede sonar tibio, ¿verdad?. Cualquiera diría los hombres que odiaban a las mujeres.

Dedico esta carta abierta y propongo para nuestra producción sobre hackers patrios, a Montxo Armendáriz(@montxoarmendari). Quizás algunos no entiendan esta propuesta, pero es que Montxo se dedicaba a la tecnología antes del cine, aunque no a la informática, pero si a la electrónica, y sé a ciencia cierta que el tema de la seguridad informática le interesa mucho. Es un director con mucha experiencia y siempre ha tratado temas comprometidos. Desde mi punto de vista tiene películas icónicas en el cine español, así que le dedico también este post. A modo de petición, ¿Porqué no hablar del grupo de la9deanon, dónde quieran que estén estas chicas? (En realidad hace poco concedieron una entrevista ) Me parece que unir lo que significan o de donde vienen con ese nombre, y el tema de hacking, es un temazo. Desde luego en este país no te va a faltar un buen asesoramiento ;). Bueno pues, soñar y proponer es gratis, ¿no?

¡Saludos!

Meowy buenas! Entre las muchas consecuencias que ha traído la pandemia Covid-19, una ha sido la mayor creación de contenido digital. No sólo han aumentado las series, mini-series, películas, documentales en las diferentes plataformas de streaming, sino que también ahora tenemos la posibilidad de asistir a muchos congresos cyber online, y han nacido una gran variedad de proyectos de formación en cyber en plataformas como Ivoox, Spotify, SoundCloud, Spreaker, o PodcastGo, entre otras.

En este post vamos a centrarnos en los podcasts a través de la plataforma de Spotify, que para salir a pasear, ir en metro o en coche (o simplemente tener algo de fondo), estos capítulos son perfectos :)

En español podemos encontrar los siguientes:

• Login Seguridad Informática.
• Vulnerable, el podcast de seguridad digital.
• Palabra de Hacker. 
• Cosas de hackers.
• Brigada OSINT.
• conCISOS.
• CyberCoffee 2019.
• Securiters.
• Seguridad Total.

Y para quienes buscáis mejorar el oído en inglés, tenemos un repertorio bastante interesante:

• The Official Offensive Security Podcast.
• The InfoSec & OSINT Show.
• The social engineer Podcast. 
• The OSINTcurious Project.
• Cyber.
• Day[0].
• Purple Squad Security.
• The Privacy, Security & OSINT Show.
• The InfoSec & OSINT Show.
• Darknet Diaries.

Por supuesto, estos indicados no son los únicos, hay muchos más, pero entre número de capítulos, cuánto hacía que no subían contenido... Me he quedado con estos.

¿Conocéis o escucháis alguno más? ¡Compartidlo con nosotros!

Muchos maullidos!

M

El CTF, llamado #TheCyberintelligenceGuru consistirá en una serie de retos que según se vayan completando liberarán otros de mayor dificultad y puntuación que os permitirán mostrar vuestras habilidades en OSINT, HUMINT, SOCINT Y GEOSINT, entre otras. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo podrán optar a una serie de premios formativos en materia de Ciberinteligencia. El CTF finalizará el domingo 12 a las 18:00 p.m. y los ganadores serán anunciados el día 13 de septiembre a las 20:00 p.m. por las redes oficiales de Twitter, LinkedIn y Telegram de Ginseg. 

No olvides seguirnos en el twitter de Zerolynx para estar informado de todas las novedades del torneo. 

¡Regístrate ya y empieza a disfrutar! 

Desde hace varios años, cuando empecé a cambiar el Burp por ecuaciones de 4 filas en Excel, comencé a entrar en debates algo más profundos sobre el por qué de ciertas cosas del sector. Una pregunta que siempre se suele repetir en mesas redondas, entrevistas con prensa o, simplemente, cuando visitas una empresa nueva, es la de "¿cuánto debo invertir en seguridad?". Que una Ibex35 invierta en ciberseguridad, es lo habitual. Si no, su negocio estaría perdido (y todo y con eso, muy a menudo sufren ciertos sustos). Pero... ¿y una PYME?

Antes de nada, me gustaría definir que es una PYME (en España), que es un concepto que no todo el mundo suele tener claro. De acuerdo al Anexo I del Reglamento (UE) nº 651/2014 de la Comisión, una PYME sería una empresa menor de 250 empleados o de 50 millones de euros de facturación. Dentro de las PYMEs, tendríamos 3 subdivisiones, las medianas (con más de 50 empleados y menos de 250, o más de 10 millones de euros de facturación y menos de 50 millones), las pequeñas (con más de 10 empleados y menos de 50, o más de 2 millones de facturación y menos de 10), y las micro (las que restan).

Vista la división del párrafo anterior, parece obvio que las PYMEs medianas y pequeñas deberían invertir en cyber porque se lo "pueden permitir", pero, opinión personal, nunca me han parecido acertadas las estrategias de invertir el X% de tu facturación en ciberseguridad, por poco que sea, dado que no podemos negar la evidencia de que la seguridad es un "gasto", y esto es algo que aprendes tras pegarte durante años con los departamentos de compras de infinidad de clientes. Hay que invertir, lo que haya que invertir. Entiendo su motivo, es una manera sencilla de categorizar y de recomendar algo que para muchos parece obvio, pero nos tiene que quedar claro el concepto de que la seguridad es una cuestión de confianza, y la seguridad debe implantarse cuando no tenemos confianza. ¿No confiamos en que nuestra aplicación sea robusta? Ponemos un WAF. ¿No confiamos en que nuestro servicio de correo frene el spam? Ponemos un antispam. ¿No confiamos en que nuestros desarrolladores programen sin generar brechas de seguridad? Establecemos un programa de auditorías periódicas. ¿No confiamos en que nuestra contraseña sea robusta? Desplegamos un 2FA. Cuestión de confianza. 

No todas las empresas nos dedicamos a lo mismo, y, por tanto, no todas tenemos las mismas necesidades de seguridad, ni tenemos por qué tener el mismo gasto.  Una PYME pequeña de unos 20 empleados que facture 1,5 millones de euros, y se dedique al comercio online, probablemente tenga que tener un buen ERP, un CRM, una aplicación fuerte y robusta para la venta online, una pasarela de pago, un buen WAF, un antispam top, etc. etc. Es decir, una parte importante de sus beneficios deberían ir dedicados a la calidad y seguridad de sus servicios, dado que es el core de su negocio. Sin embargo, Ibai Llanos, que también gana esos 1,5 millones de euros, probablemente le valga con tener su PC bastionado hasta los dientes con un buen antivirus, 2FA en todas sus cuentas, y en las de su mánager o agencia de marketing. ¿Veis por donde voy? Por mucho que las empresas tengan un "mismo tamaño" en lo que se refiere a nº de empleados o facturación, no tienen por que tener las mismas necesidad de seguridad, ni mucho menos tienen por qué realizar la misma inversión.

El Instituto Ponemon, que realiza muchos estudios de este tipo, sacó como conclusión en 2015 que las empresas invertían en ciberseguridad de media el 8,2% del presupuesto de TI. Así mismo, de acuerdo con otro estudio de IDG de 2020, las empresas españolas invirtieron el 4% de sus ventas en TI. Si hacemos una sencilla ecuación, obtenemos que el presupuesto cyber "medio" estaría en el 0,3% de la facturación, por lo que nuestros amigos Ibai y la PYME de comercio electrónico deberían invertir en ciberseguridad unos 45.000 € al año. Con estos números básicos, Ibai Llanos sería el influencer mejor protegido de Twitch :), pero la PYME de comercio probablemente sufra un leak más pronto que tarde...

¿Qué tenemos que hacer entonces? Pues lo que se lleva recomendando toda la vida, realizar un buen análisis de riesgos, identificar cuales son tus activos clave, localizar amenazas, riesgos y aplicar las mitigaciones que se estimen necesarias. ¿Necesito una ISO 27001 para ello? En absoluto. Si la implantas adecuadamente como mejora, te será de mucha ayuda dado que plasma el conocimiento de muchos profesionales en la materia y te dará una base sobre la que armar la seguridad global de la compañía. Pero si tu objetivo es implantarla por el mero cumplimiento (cumplo y miento), ahorratelo. Probablemente un nivel 1 de CIS Controls te dará una guía básica sobre como acometer esos primeros pasos en el camino hacia la ciberseguridad, con un trabajo que apenas te llevará una semana si eres una micropyme o una pyme pequeña. Y de esta primera revisión obtendrás un primer plan de acción que te permita calcular "cuánto" debes gastar para sentar una base mínima en seguridad.

No me enrollo más, simplemente quería dejaros esta reflexión/conclusión. No tratemos de buscar cifras mágicas que apliquen a cualquier negocio. Cada empresa necesitará gastar una cifra, y esta solo podrá ser calculada tras conocer sus necesidades y su situación actual.

Saludos!

Muy buenas!

Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.

Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯

Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.

Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.

¿Y ahora qué?

Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.

Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).

Como no sabemos en qué momento apareció la vulnerabilidad, siempre que sea posible, la mejor opción será borrar todas las shadow copies con el comando vssadmin delete shadows /for=c: /all.

Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.

El próximo día 22 de julio (jueves) a las 18.00 la Universidad Europea de Madrid realiza un evento sobre el reto que supone la ciberseguridad en la era digital. Tengo la suerte de estar presente en el evento, ya que llevaré el peso de las preguntas, junto a unos invitados de primer nivel. El próximo mes de septiembre tengo el honor de volver a la Dirección del Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones. De 2018 a 2020 tuve la suerte de compartir Dirección y ahora en el curso 2021-2022 tengo la suerte de volver. 

¿Qué habrá en las mesas redondas? Habrá 3 mesas redondas con diferentes temáticas. 

Mesa 1: 18.00 a 18.40

El futuro de la ciberseguridad y el trabajo en el sector

Iván Sánchez (CISO de Sanitas en Europa y LatAm) 

Silvia Barrera

Daniel González Gutiérrez (Vicepresidente y Socio de Zerolynx) 

Pilar Vila (CEO en Forensic & Security y directora del Curso Online en Peritaje Informático) 

Juan Francisco Bolivar (Director, Head of Cybersecurity Operations and Cyber-Resilience en Radisson Hotel Group)

Mesa 2: 18:40 a 19:15

Ciberseguridad, una gran oportunidad de desarrollo para jóvenes

Elías Grande (ex-alumno. BBVA) 

Álvaro Nuñez-Romero (ex-alumno. Telefónica Tech) 

Paula de la Hoz (Telefónica Tech)

Mesa 3: 19:15 a 19:40

Nuevas tendencias y plataformas: Youtube, Twitch y Ciberseguridad

Marcelo Vázquez (aka S4vitar)

Guillermo Obispo (Protapp)

Puedes contactar con los ponentes a través de MyPublicInbox.

Os esperamos en el evento el día 22 de julio a las 18.00.