Actualización del Esquema Nacional de Seguridad

El pasado 23 de Octubre, el Consejo de Ministros aprobó el Real Decreto 951/2015, que actualiza el Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad (a partir de ahora ENS) en el ámbito de la Administración Electrónica.

El ENS, nació en 2010 con el objetivo de establecer una política de seguridad adecuada en la gestión de medios y transacciones electrónicas en las administraciones públicas, y cubre principios y requisitos mínimos de seguridad para permitir una protección adecuada de la información en dichas entidades. Así pues, vemos que el objetivo del esquema es proteger la información de los ciudadanos compartida con estas administraciones, consiguiendo que sus entornos sean menos vulnerables ante ciberamenaza. Hay que tener en cuenta además, que el ENS es de obligado cumplimiento por todas las administraciones públicas del estado.

Así pues, y después de 5 años de convivencia con dicho estándar, ha surgido la necesidad de llevar a cabo su actualización, adecuando así este esquema a la realidad del panorama de la ciberseguridad actual. Además, con dicha actualización, la normativa se adapta al actual contexto internacional y europeo, concretamente a lo previsto en un Reglamento comunitario de 2014, que trata sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas del mercado interior.

Vemos entonces las novedades más destacables introducidas en la reciente actualización del ENS:
  • En el artículo 11, se introduce la necesidad de disponer de una gestión continuada de la seguridad en los servicios disponibles a través de medios electrónicos, de veinticuatro horas al día.
  • El artículo 15, indica que las administraciones públicas deberán exigir a sus proveedores que éstos cuenten con profesionales cualificados para el desempeño de los servicios, y que los servicios prestados dispongan de un adecuado nivel de madurez.
  • En el artículo 18, se especifica la necesidad de que las administraciones públicas, en las contrataciones o adquisiciones de productos de seguridad,  utilicen solo productos certificados, en base a la categoría y nivel de seguridad del sistema afectado por dichas soluciones. En aquellos casos en que los riesgos resultantes no justifiquen su uso, siempre que sea de manera justificada, se podrá omitir dicho aspecto.
  • El artículo 24, detalla que a partir de ahora, va a ser necesaria la implantación de un correcto procedimiento de gestión de incidentes de seguridad, que cubra los procedimientos de detección, clasificación, análisis, notificación y resolución de incidentes en las administraciones. Además, se introduce la necesidad de actualizar dicho procedimiento de manera continua, en base a las nuevas prácticas de la industria, así como en base a las conclusiones sacadas de los incidentes de seguridad sufridos anteriormente.
  • El artículo 27, establece la definición de un documento llamado Declaración de Aplicabilidad, que deberá ser firmado formalmente por el responsable de seguridad, y en el que se deberán detallar las medidas de seguridad del Anexo II seleccionadas para la protección de los activos en el entorno de la administración. Además, se introduce la opción de reemplazar alguna de las medidas de seguridad contenidas en el Anexo II por otras medidas compensatorias, siempre que éstas garanticen de manera justificada un nivel de seguridad resultante igual o mayor sobre los activos relacionados. La Declaración de Aplicabilidad también deberá tener en cuenta las medidas compensatorias aplicadas en el entorno concreto.
  • El artículo 29, establece que las guías de seguridad elaboradas y difundidas de manera continua por el Centro Criptológico Nacional, siempre que sean aprobadas por el Ministerio de Hacienda y Administraciones Públicas, serán de obligada aplicación por las administraciones públicas. Estas guías de obligado cumplimiento se publicarán mediante resoluciones de la Secretaría de Estado de Administraciones Públicas.
  •  En el artículo 36, se añade la necesidad por parte de las administraciones públicas de notificar al Centro Criptológico Nacional aquellos incidentes sufridos, que tengan un impacto significativo en la información tratada por dichas administraciones.
Como conclusión, se puede observar que la actualización del ENS ha introducido cambios significativos en su estructura, que van a suponer que las administraciones públicas se deban replantear la protección de sus escenarios y servicios, para lograr una correcta adaptación con las nuevas medidas de seguridad requeridas por el esquema.

Recordemos por último, que todos los cambios introducidos son de obligatorio cumplimiento por todas las administraciones públicas. Dichas entidades disponen ahora de un periodo de 24 meses para adaptarse a la nueva versión del ENS.

Referencias:
http://administracionelectronica.gob.es/pae_Home/pae_Actualidad/pae_Noticias/Anio2015/Octubre/Noticia-2015-10-23-Aprobada-actualizacion-del-Esquema-Nacional-de-Seguridad.html
www.boe.es/diario_boe/txt.php?id=BOE-A-2007-12352


Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.
 

Crónica No cON Name 2015

Cómo cada año, a principios de este mes de Diciembre, los días 10, 11 y 12 se celebró en Barcelona la No cON Name (NcN) el congreso de seguridad informática y hacking más antiguo en España, que reúne tanto a nuevas promesas del sector, expertos, así como a profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software.

El jueves 10 de Diciembre se celebró como cada año, el concurso Captura de Bandera (CTF) para que equipos de todas partes del mundo compitieran. El concurso lo formaron 8 equipos, con un máximo de 4 integrantes.

Fue una CTF de alto nivel en el que a lo largo del día fueron saliendo las diferentes pruebas que se debían solucionar. Después de más de 10 horas de competición, el "equipo" ganador fue L3s con 870 puntos, 50 más que los segundos clasificados. Sorprendentemente, este “grupo” sólo estaba formado por un integrante de origen francés.

Para los más curiosos ya se han publicado las soluciones de algunas de las pruebas.
http://www.haibane.org/node/39

También tuvo lugar el jueves, de forma simultánea, las jornadas de formación. Ocho horas bestiales de inyección de conocimientos. Este año las formaciones fueron “Ingeniería inversa en Sistemas Windows” de la mano de  Ricardo Rodríguez y "Metasploit Labs Pentesting" de la mano de Pablo González

Los dos días posteriores se realizaron las charlas y talleres. Este año, como en los anteriores, tuvimos el placer de asistir a  charlas de grandes ponentes.

El congreso empezó de la mano de Ruth Sala, quien nos introdujo en el mundo penal del gaming penal y prevención de riesgos en las empresas TIC, una charla que abordaba los aspectos más importantes de la nueva legislación penal que responsabiliza a las empresas que hayan sufrido el robo de datos confidenciales de sus clientes.

El ponente Mario Díaz, nos deleitó con una de las mejores charlas de la NCN, Click and Fraud, donde empezó exponiendo una serie de aplicaciones y sitios web para ganar dinero a través de la compra-venta de clics y acabó con una breve explicación de cómo usarlas fraudulentamente para ganar todavía más dinero de manera relativamente anónima.

Justo después Pau Oliva dio una charla sobre los distintos Trusted Execution Environments usados en Android repasando su funcionamiento y dejando evidencia de que no son tan "Trusted" como deberían.

Después de la pausa para comer asistimos a dos workshops más: "CERT/CSIRT's tools: Con las manos en la masa" por Borja Guaita, donde nos mostraron una serie de herramientas OpenSource (RTIR) personalizadas para ajustarse a las necesidades de los CERTs. Y "IoT yourself: hack your home" donde Fran Quinto daba varias vueltas de tuerca a su Raspberry Pi.

La jornada acabó con la charla "BadXNU - rotten apple!" del portugués osxreverser donde hizo volar por los aires eso de que OS X es una plataforma segura, con demostración incluida de un par de 0 Days.

El sábado, pudimos asistir entre otras a la presentación "Técnicas OSINT para investigadores de seguridad". Fue la primera conferencia del sábado, impartida por Vicente Aguilera Díaz, que realizó un workshop en el que describía la relevancia que tienen hoy en día las fuentes de acceso público, en especial para adquirir inteligencia que ayude en la toma de decisiones informadas en ámbitos muy diversos. Sin duda, las redes sociales juegan un papel destacado entre dichas fuentes.

Tras una breve introducción al proceso OSINT, Vicente presentó diversas herramientas utilizadas habitualmente con esta finalidad. Entre ellas, presentó su herramienta Tinfoleak para el análisis de información en Twitter (anunció la próxima liberación de una nueva versión con interesantes novedades), Maltego, Recon-ng,  theHarvester, así como otros muchos servicios disponibles de forma online.

La parte más interesante de la presentación tuvo lugar cuando presentó diversos ejercicios prácticos en los que había que obtener información muy concreta utilizando únicamente fuentes abiertas de acceso público. Fue aquí donde los asistentes interactuaron proponiendo su visión sobre cómo resolver cada uno de los problemas planteados en dichos ejercicios.

Posteriormente fue la presentación de David Sancho “Cuando la esteganografía deja de ser cool”. Su presentación causo impacto, la forma como se puede incluir información dentro de una imagen BMP o PNG y las nuevas técnicas que se están utilizando para incluir malware dentro de una imagen en principio inofensiva, estuvo jugando al gato y al ratón y demostrando que tan vulnerables podemos llegar a ser ante este tipo de ataques.

Sebastián Guerrero presento su charla con un extraño título, “Mi aplicación es una cebolla doctor. Ayúdeme” sin embargo a medida que se produce su exposición uno se da cuenta que es un título bastante acertado. Mostro infinidad de pruebas y de test de las distintas herramientas y métodos que existen en el mercado para blindar el código de aplicaciones y evitar reversing, evaluando pros y contras de cada uno de ellos.

Como nota curiosa de estas jornadas, al día siguiente la universidad de La Salle, lugar elegido para realizar el congreso de este año, se despertó con el futbolín que tienen en una de las salas de comer hackeado. Cabe decir que dicho futbolín está cubierto por una gran tapa de metacrilato, aún así los alumnos se encontraron con uno de los muñecos del futbolín desmontado desde dentro, en una zona inaccesible y un cartel sobre él que indicaba "Futbolín Hacked".

En paralelo a las conferencias se desarrollaron los talleres de la Hackathon, dedicados este año a la ingeniería inversa y las técnicas de pen-testing de aplicaciones con Radare2 y Frida, a cargo de sus creadores Sergí Alvarez y Ole André Vadla.

Por un lado, Radare2 es un popular framework para reversing, y por otro, Frida es una herramienta de análisis dinámico que permite insertar código Javascript en aplicaciones en tiempo de ejecución. Sergi y Ole mostraron como compilar, probar y en definitiva utilizar ambas herramientas en conjunto sobre aplicaciones nativas de Windows, Mac, Linux, iOS y Android.


Autores: Débora Pinto - CEH, Óscar Mira - CEH, Javier Pousa, José Domingo Carrillo, Luis E. Benítez.
Departamento de Auditoría

¿Qué hay de nuevo en la v.9.0 del CEH ?

A mediados del mes de noviembre se actualizó la versión de la certificación del EC-Council CEH (Certified Ethical Hacker) a la versión 9. ¿Qué novedades podemos encontrar en esta nueva versión?

Certified Ethical Hacker v9.0 es el curso de hacking ético más avanzado del mundo con los 18 dominios de seguridad más actualizados que cualquier profesional del hacking ético debe conocer si quiere mejorar la seguridad de la información de su organización. En 18 módulos, el curso cubre 270 tecnologías de ataque, comúnmente utilizadas por los piratas informáticos.

Escenarios Reales
Los expertos en Seguridad asesores del EC-Council han diseñado más de 140 laboratorios que imitan escenarios reales para llevar a cabo ejercicios "en vivo" a través de ataques que simulan un entorno real y proporciona acceso a más de 2.200 herramientas de hacking comúnmente utilizadas para sumergirte en el mundo del hacking.


El objetivo de este curso es ayudar a dominar una metodología de hacking ético que se puede utilizar en un test de penetración o intrusión. Cuando acabe el curso habrá adquirido habilidades de hacking ético demandas en los profesionales del sector. Este curso le preparará para el examen 312-50, del EC-Council Certified Ethical Hacker.

Esta nueva versión incluye novedades relevantes como:
  • Nuevos vectores de ataque
    • Énfasis en Tecnología Cloud Computing
      • CEHv9 se centra en diversas amenazas y ataques de hackers a la tecnología de cloud computing.
      • Cubre contramedidas para combatir ataques de cloud computing de amplio alcance.
      • Proporciona una metodología detallada test de intrusión en entornos de cloud computing para identificar amenazas con antelación.
    • Énfasis en plataformas móviles y tabletas
      • CEHv9 se centra en los últimos ataques de hacking dirigidos a las dispositivos móviles y tabletas y cubre contramedidas para asegurar la infraestructura móvil.
      • Cobertura de las últimas novedades en tecnologías móviles y web.
  • Nuevas vulnerabilidades
    • CVE-2014-0160 heartbleed
      • Heartbleed hace que la capa SSL utilizada por millones de sitios web y miles de proveedores en la nube sean vulnerables.
      • Cobertura detallada y laboratorios en el Módulo 18: Criptografía.
    • CVE-2014-6271 Shellshock
      • Shellshock expone la vulnerabilidad en Bash, la consola utilizada ampliamente en sistemas operativos basados en Unix, Linux y OS-X.
      • Cobertura detallada y laboratorios en el Módulo 11: hacking servidores web.
    • Poodle CVE-2014-3566
      • POODLE permite atacantes descifrar conexiones SSLv3 y secuestrar la cookie de sesión que identifica ante un servicio, lo que permite controlar una cuenta sin necesidad de su contraseña.
      • Caso de Estudio en el Módulo 18 : Criptografía
  • Hackear usando teléfonos móviles
    • En el CEH v9.0 se incluye la ejecución de hacking (foot printing, escaneo, enumeración de sistemas, hacking de sistemas,  sniffing, ataques DDoS, etc.) utilizando los teléfonos móviles.
    • El curso incluye herramientas de hacking móvil en todos los módulos.
  • Cobertura de los últimos troyanos, virus y backdoors.
  • El curso cubre Controles de Seguridad de Información así como leyes y estándares de Seguridad de la Información.
  • Laboratorios en plataformas de Hacking móviles y Cloud Computing
  • Más de 40% de los nuevos laboratorios se agregan desde la Versión 8
  • Más de 1500 nuevas herramientas / actualizadas
  • El Programa CEHv9 se centra en abordar los problemas de seguridad a los últimos sistemas operativos como Windows 8.1
  • También se centra en hacer frente a las amenazas existentes en entornos operativos dominados por Windows 7, Windows 8, y otros sistemas operativos (compatibilidad con versiones anteriores).
Información del examen
Número de preguntas: 125
Puntuación necesaria: 70 %
Prueba Duración: 4 Horas
Formato de examen: Opción múltiple



Para más información y consulta de fecha puede visitar nuestra web:
https://www.isecauditors.com/certified-ethical-hacker-CEH

Tinfoleak e Internet Security Auditors en el último libro del periodista Antonio Salas

Hace unos días se publicaba el libro: Los hombres que susurraban a las máquinas (Espasa) de Antonio Salas, el reportero experto en identidades falsas, ahora se camufla entre hackers.

En este nuevo libro Salas ha estado dos años infiltrado en el mundo de la ciberdelincuencia, un ámbito que, según advierte, mueve más dinero en el mundo que el tráfico de drogas, de armas o de personas.

Antonio Salas, en su nuevo libro, hace mención a la presentación que realizó Daniel Fernández en la No cON Name de 2014, dónde se presentó por primera vez la herramienta desarrollada por Vicente Aguilera, Tinfoleak, demostrando dónde estaban físicamente Xavier Trías o José Ignacio Wert entre otros.  También hace mención a Internet Security Auditors.

Tinfoleak es una herramienta de código abierto que se distribuye bajo licencia Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0), lo que significa que se puede compartir - copiar y redistribuir los materiales en cualquier medio o formato -. Y se puede adaptar - remezclar, transformar y construir sobre los materiales para cualquier propósito, incluso con fines comerciales -. Gracias a lo cual está llegando a ser de gran utilidad en diferentes ámbitos, como el de las fuerzas y cuerpos de seguridad gubernamentales, en la identificación y localización de delincuentes y terroristas.

Aprobada la nueva Ley de Facturación Electrónica de Colombia

El 24 de Noviembre de 2015  fue aprobado el decreto 2242 del Ministerio de Hacienda, específicamente el artículo 189 del numeral 11 de la constitución política Colombiana de los cuales se hace modificación a los artículos 616 -1 del Estatuto Tributario y el artículo 183 de la ley 1607 de 2012 (Decreto 2242 el Ministerio de Hacienda y Crédito Público).

En este artículo 2242 se reglamentan los contextos de la facturación electrónica en Colombia. Por medio de esta ley el Estado desea abrir la puerta a la utilización de las TIC puesto que ayudan a reducir los costos de producción (para las organizaciones) y el uso excesivo de papel, contribuyendo a la protección del medio ambiente.

Otro beneficio de esta ley es la equivalencia que tendrá la factura electrónica a la clásica factura de venta impresa; la DIAN (Dirección de Impuestos y Aduanas Nacionales de Colombia) establecerá unas adecuaciones técnicas generales para las empresas que desean acogerse a este reglamento mercantil; por supuesto, la firma electrónica es otro punto importante que se incluirá en la factura electrónica, de manera particular espera implementar para el 2017 un sistema gratuito de facturación electrónica para las Pymes.

Algo importante a tener en cuenta en referencia a los requerimientos de seguridad es que en el Artículo 12 de este nuevo decreto establece que las empresas prestadoras de servicios de facturación electrónica a terceros deberán implementar y certificar sus procesos de facturación bajo un SGSI ISO 27001. Las que quieran operar y no dispongan de la certificación deberán comprometerse a disponer de esta certificación en un plazo no superior a dos años tras el inicio de sus operaciones tras la autorización por parte de la DIAN.

Está claro el compromiso de que, a partir de ahora, con la nueva regulación de factura electrónica, será necesario implementar unos procesos de cierta madurez para garantizar la seguridad de estos procesos sensibles desde el punto de vista económico que podrían implicar un perjuicio a las empresas, ciudadanos y el propio estado.


Autora: Laura M. Chacón Guzmán
Departamento Comercial

Vicente Aguilera participará en la NcN 2015 impartiendo el taller: Técnicas OSINT para investigadores de seguridad

Cómo cada año, este mes de diciembre, los días 11 y 12, se celebra una nueva edición de la No cON Name, y tras el éxito en la última edición de la NcN, este año Vicente Aguilera volverá a participar con la impartición de un taller: Técnicas OSINT para investigadores de seguridad. El taller pretende dar a conocer, de forma práctica, como utilizar fuentes de acceso público en Internet para recopilar información detallada sobre un objetivo. Además de las redes sociales de uso masivo, se mostrarán recursos online y herramientas útiles en la búsqueda de información como parte del proceso de investigación en distintos ámbitos. Dirigido a investigadores, pentesters, ingenieros sociales, personal de cuerpos y fuerzas de seguridad, analistas de mercado y estudios sociológicos, así como cualquier persona interesada en evaluar su reputación online.

Dado el volumen de información y fuentes disponibles, el hecho de conocer las herramientas adecuadas que permitan analizar y extraer los datos que puedan resultar de interés, se convierte en algo vital.

El objetivo del taller es adquirir conocimiento y explotación de fuentes de acceso público en Internet para realizar inteligencia.

Y los beneficios, que podremos obtener: la capacidad de explotar la inteligencia de fuentes abiertas con la finalidad de servir de ayuda en la toma de decisiones en ámbitos muy diversos. De esta forma, entre otros aspectos, es posible:
  • Identificar y prevenir amenazas
  • Realizar estudios sociológicos y psicológicos
  • Analizar tendencias de mercado
  • Analizar la reputación online de una marca o persona
  • Identificar información útil en la seguridad de la información


Podéis encontrar más información:
https://www.noconname.org/

Colaboramos en el "Libro Blanco de Innovación en Medios de Pago para eCommerce"

El pasado 6 de noviembre se publicó el "Libro Blanco de Innovación en Medios de Pago para eCommerce" en el que Internet Security Auditors, de la mano de Guillem Fàbregas y Daniel Fernández, han tenido una colaboración activa y relevante con un amplio capítulo dedicado a la "Seguridad en el Pago con Tarjeta".

El "Libro Blanco de Innovación en Medios de Pago para eCommerce" ha sido liderado por Jorge Ordovás, Director de la Catedrá en innovación en medios de Pago Online, experto en el pago electrónico en España y está publicado por Foro de Economía Digital Business School, dentro de la colección del Observatorio eCommerce.

Son 180 páginas que recogen el "estado del arte" de los medios de pago en el mundo y las tendencias que están surgiendo en el pago con tarjeta, con el móvil, eCommerce, monedas virtuales y, por supuesto, los aspectos de seguridad más relevantes en todos ellos y las nuevas tendencias de pago, área en la que Internet Security Auditors ha aportado su amplia experiencia.

Se publica en versión electrónica gratuita y en papel, estará disponible en librerías con ISBN 978-84-942514-9-8.

En él han colaborado, además de Internet Security Auditors, empresas de la talla de ING Direct, PayPal, y Snap, y está patrocinado por Snap e Ingenico.

Además, lo prologa el CEO de Destinia, el gran Amuda Goueli.

Puede descargarse en: http://observatorioecommerce.com/libro-blanco-de-innovacion-en-medios-de-pago-para-ecommerce/