lunes, 4 de octubre de 2021

El fraude en los pagos. Parte I: Los datos de tarjeta y los diferentes tipos de ataques

 1. Introducción

Esta publicación se compone de tres artículos. En este primer artículo, de carácter introductorio, se brinda información básica sobre las tarjetas de pago, los tipos de pago y los datos requeridos para efectuarlos. Es necesario introducir esta información al lector con el fin de asegurar un nivel de conocimiento mínimo. Una vez logrado este punto, se introducen los diferentes tipos de ataque a los que se encuentran expuestos los titulares de tarjetas de pago en el momento de utilizarlas.

1.1. Tipos de pago

Antes de empezar, es importante explicar las tipologías de pagos que hay cuando se habla de pagos realizados con tarjetas. Estos pagos se diferencian en dos tipos, los pagos presenciales (al que nos referiremos por sus siglas en inglés, CP, Card Present) y los pagos no presenciales, o pagos sin presencia de la tarjeta (CNP, Card Not Present). 

lunes, 13 de septiembre de 2021

XSS, Un mal que nunca acaba

Empecemos por ¿Qué es un Cross-Site Scripting o XSS?

Definámoslo de una manera sencilla, son un tipo de inyecciones. Un Cross-Site al final es una ejecución de código malicioso que puede ser JavaScript, HTML o cualquier otro lenguaje siempre y cuando el entorno donde se vaya a ejecutar sea compatible con la plataforma en la que se está ejecutando y afecte a la plataforma realizando acciones maliciosas definidas por el usuario que no espera la plataforma y esto se produce por un input mal filtrado.

Por definir un poquito los términos y para que ya nos vayan sonando, JavaScript es un lenguaje de programación interpretado que permite compilar el código durante la ejecución y actualmente es utilizado por muchísimas páginas web.

JavaScript permite que la aplicación cliente, es decir, el sitio web, procese la información que recibe del servidor o desea enviar como, por ejemplo, publicar un mensaje, enviar credenciales de usuario para iniciar sesión, etc., o incluso renderizar juegos. Actualmente se usa en muchas aplicaciones y distintas plataformas por ejemplo de CMS (Sistema de gestión de contenidos) como son Wordpress, Drupal, Jommla, Shopify, etc...

viernes, 3 de septiembre de 2021

Cambiamos nuestros números de teléfono a la Marcación Única Nacional en Colombia

Desde el 1 de septiembre de 2021 se ha implementado la marcación única nacional en Colombia, para unificar la longitud de los números telefónicos fijos y móviles a 10 dígitos, simplificando el acceso a los servicios e impulsando la transformación y modernización de las redes fijas en el país.

A partir del cambio contemplado en la regulación, el país dispondrá de un esquema unificado en el que se marcarán 10 dígitos para hacer todo tipo de llamadas desde teléfonos fijos y celulares a cualquier número telefónico de Colombia.

De esta forma, cuando quiera ponerse en contacto con nuestras oficinas en Bogotá tendrá que hacerlo de la siguiente forma:

viernes, 13 de agosto de 2021

El Esquema Nacional de Seguridad y la reducción de riesgos en Office 365

Algunas de las herramientas más comúnmente utilizadas hoy en día, en el ámbito de la gestión e intercambio de información, son las proporcionadas por el conjunto de programas de Microsoft Office 365. Dependiendo del plan contratado por el usuario u organización (hogar o empresa), el conjunto de programas ofrecido es distinto, no obstante, en este artículo se analizarán los riesgos de seguridad asociados a algunos de los servicios ofrecidos por el plan empresarial.
 
Siendo Internet Security Auditors una empresa dedicada especialmente a la seguridad de la información, este artículo pretende analizar el nivel de seguridad ofrecido por Microsoft Office 365 y las opciones ofrecidas para ser configuradas por parte del usuario según necesidades organizativas.

El artículo se centrará en el análisis de las dimensiones de confidencialidad, integridad y disponibilidad de la información, a través de las principales herramientas de intercambio de información que ofrece el plan empresarial, como lo son Microsoft Teams, SharePoint, Exchange y la propia plataforma de administración de Office 365, de acuerdo a los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS).

miércoles, 11 de agosto de 2021

Internet Security Auditors afianza su alianza con el (ISC)² como OTP de formación en Portugal y Ecuador

(ISC)², la asociación sin fines de lucro más grande del mundo de profesionales certificados en ciberseguridad, ha anunciado que Internet Security Auditors sigue afianzando su alianza, que se remonta al año 2006, con un nuevo paso como OTP (Official Training Provider) de formación en Portugal y Ecuador (añadidos a España y Colombia). Convirtiéndonos en los primeros OTP que ofrecerán cursos oficiales en estos dos países.

El equipo de servicios de Internet Security Auditors será responsable de brindar programas de educación y desarrollo profesional (ISC)² para las organizaciones, con cursos oficiales preparatorios para los exámenes de las certificaciones:

  • Certified Information Systems Security Professional (CISSP)
  • Certified Secure Software Lifecycle Professional (CSSLP)
  • Certified Cloud Security Professional (CCSP)

jueves, 5 de agosto de 2021

Impacto de la COVID-19 en el estándar PCI DSS (I)

La inmersión, sin precedentes en nuestra sociedad, del coronavirus, convertido en Pandemia Mundial, ha hecho que todos reconsideremos y revisemos la forma en la cual se estaban llevando a cabo los negocios y la forma en que vivimos en general. Esto ha desembocado en la obligación de modificar sustancialmente el entorno de trabajo y los procesos que, con fuerte arraigo, las empresas tenían establecidos.

Esta situación presenta una serie completamente nueva de desafíos para los equipos de cada organización en materia de cumplimiento, tecnología y seguridad de la información, ya que estos empleados ahora operan en un entorno potencialmente menos seguro y definitivamente menos privado.

lunes, 19 de julio de 2021

API Testing, preparando un buen análisis

Cuando nos disponemos a auditar un sitio web tenemos claro lo que vamos a encontrarnos menú, opciones, formularios, cuadros de búsqueda y mucho texto, sin embargo, cuando vamos a auditar una API, debemos comprender varios puntos esenciales con el objetivo de realizar una auditoría con una adecuada metodología.

¿Qué es una API?

Se trata de un conjunto de definiciones y protocolos que se utilizan para desarrollar e integrar el software de las aplicaciones permitiendo la comunicación entre dos aplicaciones a través de un conjunto de reglas, es decir la especificación formal que establece cómo un módulo de un software se comunica o interactúa con otro.

Imaginemos que nuestra organización tiene la necesidad de crear un aplicativo de movilidad como Uber o una tienda online. ¿Te imaginas que costoso sería en tiempo y recursos el desarrollo de algunos recursos desde cero? Por eso es mejor utilizar un servicio que ya existe como Google Maps o PayPal.
Ese es el concepto de API, no rehacer el trabajo que ya han hecho otros y así poder crear un aplicativo más potente que el resto.

Además, cuando tenemos la necesidad de crear un aplicativo multiplataforma, como aplicaciones móviles tanto para iOS como para Android incluso para tablets como padOS o aplicativos webs surge la necesidad de compartir el Backend entre dichos aplicativos y ahí también aparece la definición de API.