lunes, 19 de julio de 2021

API Testing, preparando un buen análisis

Cuando nos disponemos a auditar un sitio web tenemos claro lo que vamos a encontrarnos menú, opciones, formularios, cuadros de búsqueda y mucho texto, sin embargo, cuando vamos a auditar una API, debemos comprender varios puntos esenciales con el objetivo de realizar una auditoría con una adecuada metodología.

¿Qué es una API?

Se trata de un conjunto de definiciones y protocolos que se utilizan para desarrollar e integrar el software de las aplicaciones permitiendo la comunicación entre dos aplicaciones a través de un conjunto de reglas, es decir la especificación formal que establece cómo un módulo de un software se comunica o interactúa con otro.

Imaginemos que nuestra organización tiene la necesidad de crear un aplicativo de movilidad como Uber o una tienda online. ¿Te imaginas que costoso sería en tiempo y recursos el desarrollo de algunos recursos desde cero? Por eso es mejor utilizar un servicio que ya existe como Google Maps o PayPal.
Ese es el concepto de API, no rehacer el trabajo que ya han hecho otros y así poder crear un aplicativo más potente que el resto.

Además, cuando tenemos la necesidad de crear un aplicativo multiplataforma, como aplicaciones móviles tanto para iOS como para Android incluso para tablets como padOS o aplicativos webs surge la necesidad de compartir el Backend entre dichos aplicativos y ahí también aparece la definición de API.


viernes, 16 de julio de 2021

Primera empresa en Iberoamérica en acceder al programa de Card Production (CPSA) del PCI SSC

 El programa de Card Production Security Assessor (CPSA) fue uno de los últimos en ser incorporado dentro del ecosistema de estándares de seguridad del PCI SSC y define los requerimiento tanto físicos como lógicos que deben cumplir todos los fabricantes y personalizadores de tarjetas de pago.

Internet Security Auditors se convierte, marcando un nuevo hito como líder regional de referencia en consultoría y auditoría, en la primera empresa en España y Latinoamérica en entrar en el programa CPSA.

Con este programa, la compañía refuerza su liderazgo como empresa auditora en los estándares PCI, reconocida por la calidad de sus servicios de consultoría y auditoría en estas normas, para colaborar en los procesos de implementación y certificación del cumplimiento de las normas en las que ya cuenta con las acreditaciones como QSA, ASV, PA-QSA, CPSA, QSA(P2PE) y 3DS Assessor y que ampliaremos a otros programas gestionados por el PCI SSC en próximas fechas, cubriendo la totalidad de normas del PCI SSC, situándonos como líderes destacados y que nos permiten ayudar a nuestros clientes ya no sólo en el cumplimiento y auditoría de estas normas si no de servicios normativos heterogéneos mediante nuestras Oficinas Técnicas de Ciberseguridad y Cumplimiento.

https://www.pcisecuritystandards.org/assessors_and_solutions/card_production_security_assessors

jueves, 8 de abril de 2021

El PCI SSC publica la versión 3.1 del estándar PCI PIN

El pasado 12 de marzo, el PCI SSC publicó la versión 3.1 del estándar de seguridad PCI PIN. Esta publicación, catalogada con una revisión menor, añade una serie de aclaraciones y actualizaciones del estándar en base al feedback recibido. El objetivo del presente artículo es el de comentar los principales cambios introducidos.

Junto con la publicación de la nueva versión del estándar, se ha publicado una entrada en el blog del PCI SSC con un par de preguntas respondidas por Emma Sutcliffe, Standards Officer del PCI SSC, así como un documento con el resumen de los cambios.

La mayoría de estos cambios, son meramente el añadir nuevas referencias o cambios en algunas frases utilizadas, sin embargo, hay algunos puntos interesantes para revisar:

miércoles, 24 de marzo de 2021

Charlas, eventos y entrevistas

Nuestro responsable del área de Ciberinteligencia Carlos Seisdedos, colaborará como ponente en la II edición del #INTELQUORUM2021, una Jornada dedicada a la Inteligencia y Seguridad Global. Carlos hablará sobre Inteligencia de Fuentes Abiertas como elemento de valor para la organización. El evento se celebra este viernes 26 de marzo de 18:00 a 19:30.
 
Carlos también fue entrevistado el pasado jueves 18 en una importante emisora de México y estuvo hablando sobre ciberdelitos cometidos mediante redes sociales, y también como los afrontamos en ISecAuditors. La entrevista completa en el siguiente enlace (a partir de min. 1:20:00):
https://www.spreaker.com/user/heraldo-de-mexico/jesus-martin-mendoza-18-mar-21
 
Por su lado, Vicente Aguilera participará en el debate “Digitalización global, mercado de datos personales y su regularización” del programa de radio Debat a Orgull junto a la periodista Karma Peiró. El debate se emitirá este lunes a las 19:00. https://orgull.cat/debataorgull

jueves, 18 de marzo de 2021

Wi-Fi DoS: CTS Frame Attack

CTS Frame Attack es un ataque destinado a la denegación de servicio que puede dejar inoperativa una red inalámbrica durante un largo periodo de tiempo. Para entender cómo funciona el ataque y que es un paquete CTS deberemos profundizar en la base del Networking.

Modelo OSI

El modelo OSI (Open Systems Interconnection Model) es un marco conceptual usado para describir las funciones de un sistema de redes. Estas funciones se caracterizan en un conjunto universal de reglas y requisitos para respaldar la interoperabilidad entre diferentes productos y software. Las comunicaciones entre un sistema informático se dividen en siete capas abstractas:

OSI Model

En este artículo vamos a ver la capa física y profundizar en la capa de enlace para entender y ejecutar con éxito nuestro CTS Frame Attack.

Charlas, Eventos y entrevistas

La semana pasada Carlos Seisdedos, responsable del departamento de Ciberinteligencia, tuvo la oportunidad de participar nuevamente en la emisora de Radio Onda Cero, en el programa La Brújula hablando sobre las implicaciones del ataque con ransomware y rescate solicitado al SEPE (Servicio Público de Empleo Estatal). El podcast completo en el siguiente enlace:
 
https://www.ondacero.es/programas/la-brujula/programas-completos/brujula-10032021_2021031060494f3d094c980001e26804.html
 
Y hablando del ataque al SEPE, también ha podido colaborar con El Periódico sobre: ¿qué hay detrás del ciberataque que ha paralizado el SEPE?
https://www.elperiodico.com/es/economia/20210311/hay-detras-ciberataque-paralizado-sepe-11573149
 
Carlos, también ha sido entrevistado en el periódico mexicano El Universal, dónde habla sobre quien debe controlar los contenidos que subimos a las plataformas, ¿las tecnológicas o las autoridades? El artículo completo: https://www.eluniversal.com.mx/mundo/quien-vigila-al-vigilante-si-se-regulan-las-redes-cuestiona-experto-en-ciberseguridad

lunes, 15 de marzo de 2021

CISO-as-a-Service (CISOaaS): Una opción para cumplir con el Real Decreto 43/2021

 Si algo ha demostrado la pandemia del Covid-19 es que los estados han de replantearse qué es y no es estratégico para el funcionamiento de un país y de entidades como la UE. Nadie pensó en la importante que podía llegar a ser esa pequeña empresa especialista en la fabricación de respiradores para UCI pero sí se pensaba en lo importante que era ese gran hospital que los usaba, nadie pensó en esa pequeña empresa farmacéutica que podía ser capaz de fabricar un medicamento o una vacuna en caso necesario, o esa empresa industrial que era capaz de fabricar esa pequeña pero importantísima pieza para un equipamiento médico. Así se han dado muchos casos. El tejido productivo es imprescindible en situaciones de crisis y gran parte de las empresas que forman ese tejido o no era valorado como se merecía en cuanto a su criticidad, pero, para lo que nos merece aquí, no era observado en cuanto a la ciberseguridad en la implicación que repercute por esa responsabilidad.