lunes, 13 de septiembre de 2021

XSS, Un mal que nunca acaba

Empecemos por ¿Qué es un Cross-Site Scripting o XSS?

Definámoslo de una manera sencilla, son un tipo de inyecciones. Un Cross-Site al final es una ejecución de código malicioso que puede ser JavaScript, HTML o cualquier otro lenguaje siempre y cuando el entorno donde se vaya a ejecutar sea compatible con la plataforma en la que se está ejecutando y afecte a la plataforma realizando acciones maliciosas definidas por el usuario que no espera la plataforma y esto se produce por un input mal filtrado.

Por definir un poquito los términos y para que ya nos vayan sonando, JavaScript es un lenguaje de programación interpretado que permite compilar el código durante la ejecución y actualmente es utilizado por muchísimas páginas web.

JavaScript permite que la aplicación cliente, es decir, el sitio web, procese la información que recibe del servidor o desea enviar como, por ejemplo, publicar un mensaje, enviar credenciales de usuario para iniciar sesión, etc., o incluso renderizar juegos. Actualmente se usa en muchas aplicaciones y distintas plataformas por ejemplo de CMS (Sistema de gestión de contenidos) como son Wordpress, Drupal, Jommla, Shopify, etc...

viernes, 3 de septiembre de 2021

Cambiamos nuestros números de teléfono a la Marcación Única Nacional en Colombia

Desde el 1 de septiembre de 2021 se ha implementado la marcación única nacional en Colombia, para unificar la longitud de los números telefónicos fijos y móviles a 10 dígitos, simplificando el acceso a los servicios e impulsando la transformación y modernización de las redes fijas en el país.

A partir del cambio contemplado en la regulación, el país dispondrá de un esquema unificado en el que se marcarán 10 dígitos para hacer todo tipo de llamadas desde teléfonos fijos y celulares a cualquier número telefónico de Colombia.

De esta forma, cuando quiera ponerse en contacto con nuestras oficinas en Bogotá tendrá que hacerlo de la siguiente forma:

viernes, 13 de agosto de 2021

El Esquema Nacional de Seguridad y la reducción de riesgos en Office 365

Algunas de las herramientas más comúnmente utilizadas hoy en día, en el ámbito de la gestión e intercambio de información, son las proporcionadas por el conjunto de programas de Microsoft Office 365. Dependiendo del plan contratado por el usuario u organización (hogar o empresa), el conjunto de programas ofrecido es distinto, no obstante, en este artículo se analizarán los riesgos de seguridad asociados a algunos de los servicios ofrecidos por el plan empresarial.
 
Siendo Internet Security Auditors una empresa dedicada especialmente a la seguridad de la información, este artículo pretende analizar el nivel de seguridad ofrecido por Microsoft Office 365 y las opciones ofrecidas para ser configuradas por parte del usuario según necesidades organizativas.

El artículo se centrará en el análisis de las dimensiones de confidencialidad, integridad y disponibilidad de la información, a través de las principales herramientas de intercambio de información que ofrece el plan empresarial, como lo son Microsoft Teams, SharePoint, Exchange y la propia plataforma de administración de Office 365, de acuerdo a los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS).

miércoles, 11 de agosto de 2021

Internet Security Auditors afianza su alianza con el (ISC)² como OTP de formación en Portugal y Ecuador

(ISC)², la asociación sin fines de lucro más grande del mundo de profesionales certificados en ciberseguridad, ha anunciado que Internet Security Auditors sigue afianzando su alianza, que se remonta al año 2006, con un nuevo paso como OTP (Official Training Provider) de formación en Portugal y Ecuador (añadidos a España y Colombia). Convirtiéndonos en los primeros OTP que ofrecerán cursos oficiales en estos dos países.

El equipo de servicios de Internet Security Auditors será responsable de brindar programas de educación y desarrollo profesional (ISC)² para las organizaciones, con cursos oficiales preparatorios para los exámenes de las certificaciones:

  • Certified Information Systems Security Professional (CISSP)
  • Certified Secure Software Lifecycle Professional (CSSLP)
  • Certified Cloud Security Professional (CCSP)

jueves, 5 de agosto de 2021

Impacto de la COVID-19 en el estándar PCI DSS (I)

La inmersión, sin precedentes en nuestra sociedad, del coronavirus, convertido en Pandemia Mundial, ha hecho que todos reconsideremos y revisemos la forma en la cual se estaban llevando a cabo los negocios y la forma en que vivimos en general. Esto ha desembocado en la obligación de modificar sustancialmente el entorno de trabajo y los procesos que, con fuerte arraigo, las empresas tenían establecidos.

Esta situación presenta una serie completamente nueva de desafíos para los equipos de cada organización en materia de cumplimiento, tecnología y seguridad de la información, ya que estos empleados ahora operan en un entorno potencialmente menos seguro y definitivamente menos privado.

lunes, 19 de julio de 2021

API Testing, preparando un buen análisis

Cuando nos disponemos a auditar un sitio web tenemos claro lo que vamos a encontrarnos menú, opciones, formularios, cuadros de búsqueda y mucho texto, sin embargo, cuando vamos a auditar una API, debemos comprender varios puntos esenciales con el objetivo de realizar una auditoría con una adecuada metodología.

¿Qué es una API?

Se trata de un conjunto de definiciones y protocolos que se utilizan para desarrollar e integrar el software de las aplicaciones permitiendo la comunicación entre dos aplicaciones a través de un conjunto de reglas, es decir la especificación formal que establece cómo un módulo de un software se comunica o interactúa con otro.

Imaginemos que nuestra organización tiene la necesidad de crear un aplicativo de movilidad como Uber o una tienda online. ¿Te imaginas que costoso sería en tiempo y recursos el desarrollo de algunos recursos desde cero? Por eso es mejor utilizar un servicio que ya existe como Google Maps o PayPal.
Ese es el concepto de API, no rehacer el trabajo que ya han hecho otros y así poder crear un aplicativo más potente que el resto.

Además, cuando tenemos la necesidad de crear un aplicativo multiplataforma, como aplicaciones móviles tanto para iOS como para Android incluso para tablets como padOS o aplicativos webs surge la necesidad de compartir el Backend entre dichos aplicativos y ahí también aparece la definición de API.


viernes, 16 de julio de 2021

Primera empresa en Iberoamérica en acceder al programa de Card Production (CPSA) del PCI SSC

 El programa de Card Production Security Assessor (CPSA) fue uno de los últimos en ser incorporado dentro del ecosistema de estándares de seguridad del PCI SSC y define los requerimiento tanto físicos como lógicos que deben cumplir todos los fabricantes y personalizadores de tarjetas de pago.

Internet Security Auditors se convierte, marcando un nuevo hito como líder regional de referencia en consultoría y auditoría, en la primera empresa en España y Latinoamérica en entrar en el programa CPSA.

Con este programa, la compañía refuerza su liderazgo como empresa auditora en los estándares PCI, reconocida por la calidad de sus servicios de consultoría y auditoría en estas normas, para colaborar en los procesos de implementación y certificación del cumplimiento de las normas en las que ya cuenta con las acreditaciones como QSA, ASV, PA-QSA, CPSA, QSA(P2PE) y 3DS Assessor y que ampliaremos a otros programas gestionados por el PCI SSC en próximas fechas, cubriendo la totalidad de normas del PCI SSC, situándonos como líderes destacados y que nos permiten ayudar a nuestros clientes ya no sólo en el cumplimiento y auditoría de estas normas si no de servicios normativos heterogéneos mediante nuestras Oficinas Técnicas de Ciberseguridad y Cumplimiento.

https://www.pcisecuritystandards.org/assessors_and_solutions/card_production_security_assessors