viernes, 2 de diciembre de 2022

Protección de las comunicaciones PCI DSS externas con certificados SSL

Los certificados SSL (Secure Sockets Layer), también denominados certificados digitales o certificados de clave pública, son documentos digitales firmados por una Autoridad Certificadora (CA por sus siglas en inglés) utilizados para establecer una comunicación segura entre el navegador o computadora de un usuario, y un servidor o sitio web, garantizando la seguridad mediante cifrado robusto de los datos que son transportados como pueden ser datos de tarjeta o credenciales de inicio de sesión. La firma por parte de la CA implica que estos certificados estén verificados utilizando una cadena de confianza, asegurando su fiabilidad.

Los certificados SSL se basan en el protocolo TLS (SSL quedó obsoleto) y son los encargados de que los sitios web cambien de HTTP a HTTPS proporcionando:

viernes, 18 de noviembre de 2022

Crónica del evento: Liga de Retos en el Ciberespacio (National CyberLeague GC 2022)



Del 15 al 17 de noviembre se celebró en Madrid una nueva edición del National CyberLeague. Este año es el cuarto año consecutivo en el que Internet Security Auditors participa colaborando en la organización con el rol de mentores de los equipos participantes, donde uno de los equipos, mentorizados por nuestro Responsable de Ciberinteligencia Carlos Seisdedos, ha llegado a la final quedando en un meritorio quinto puesto.

lunes, 14 de noviembre de 2022

Novedades en la actualización del Estándar ISO/IEC 27001:2022

En febrero de este 2022 fue publicada la actualización del Anexo A del Estándar de Seguridad de la Información ISO/IEC 27001:2013, conocida como ISO/IEC 27002:2022.

La publicación de la actualización de la norma ISO/IEC 27001:2022 se realizó el pasado 25 de octubre, con la finalidad de mantenerla alineada con los cambios introducidos por la norma ISO/IEC 27002:2022 y mejorar la comprensión y aplicación de la seguridad de la información en el contexto de la gestión de riesgos empresariales.

Con la actualización de la norma ISO/IEC 27001:2022 se mantiene la compatibilidad con la norma de calidad ISO 9001:2015 y la norma ISO 14001:2015, lo que significa que las empresas que ya implementan estas normas pueden integrar fácilmente la norma ISO 27001:2022 en sus sistemas de gestión.

viernes, 11 de noviembre de 2022

Crónica del evento: Red contra el Cibercrimen de Sudamérica

El pasado miércoles 9 de noviembre tuvo lugar el evento online Red contra el Cibercrimen de Sudamérica organizado por Interpol.

Interpol, Organización International de Policía Criminal es una organización intergubernamental que cuenta con 194 países miembros, y que ayuda a la policía de estos países a colaborar entre sí facilitando el intercambio y acceso a información sobre delitos y delincuentes y también ofreciendo apoyo técnico y operativo de diversa índole.

lunes, 7 de noviembre de 2022

Carlos Seisdedos miembro nacional del grupo de trabajo: Defensa de la Democracia en el Entorno de la Información - Fundamentos y Roles para la Defensa de la OTAN




El Ministerio de Defensa ha nombrado a Carlos Seisdedos, Responsable de Ciberinteligencia, como miembro nacional del grupo de trabajo: Defensa de la Democracia en el Entorno de la Información - Fundamentos y Roles para la Defensa perteneciente a la Organización de Ciencia y Tecnología de la OTAN.

La OTAN es una alianza de países de Europa y Norteamérica. Constituye un enlace único entre estos dos continentes, lo que les permite consultar y cooperar en el campo de la defensa y la seguridad y realizar juntos operaciones multinacionales de gestión de crisis.

Carlos representará a Internet Security Auditors en el panel de investigación dando apoyo a la Alianza Atlántica con el objetivo de defender la democracia en el entorno de la información.



¡Enhorabuena Carlos por este gran logro!

viernes, 21 de octubre de 2022

LFI, una vulnerabilidad que no se puede subestimar

La inclusión de archivos locales (LFI en inglés) es una vulnerabilidad web que permite a un ciberatacante engañar a una aplicación web para que ejecute y/o exponga archivos a través de un servidor web.

Los atacantes tratan de aprovechar ciertas vulnerabilidades en el código fuente para acceder a datos confidenciales o ejecutar scripts maliciosos en el servidor de destino.

El LFI ocurre cuando una aplicación permite incluir un archivo como entrada del usuario y no lo valida correctamente. Por tanto, el atacante puede ver los archivos del sistema porque no se verifica si la entrada recibida del usuario coincide con la variable en el sistema.

martes, 4 de octubre de 2022

Windows Privesc - Unquoted Service Path – La verdadera Isla de las Tentaciones

Vamos a hacer el símil con el programa, La Isla de las Tentaciones, de la cadena Telecinco.

Los participantes

En un ordenador en el que acabamos de comprometer, hemos descubierto un sistema en el que tenemos acceso con un contexto de usuario o servicio no privilegiado.

Primero de todo como buen curioso y cotilla buscaremos, entre el montón de archivos que tiene la gran mayoría de los usuarios en el escritorio del ordenador alguno que se llame contraseñas.txt. Dado que todos los días no es Reyes y que no siempre se encuentran ficheros interesantes, disponemos a apagar la tele y empezar a enumerar el sistema con la finalidad de escalar los privilegios.

Hay diversas herramientas que enumeran automáticamente distintas formas de escalar privilegios en un sistema Windows. Una de las escaladas más comunes es Unquoted Service Path.