Crónica No cON Name 2019


Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name, el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), que en esta edición cumple 20 años. Durante el discurso de apertura, la organización presentó los nuevos cambios de esta edición, fruto de su apuesta por avanzar hacia un formato de congreso más internacional, con charlas paralelas en espacios autogestionados, y que dependa principalmente de los ingresos derivados de las entradas de los participantes.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante su segunda jornada:

“NIDS for malware hunting and classification” (Tatyana Shishkova)
Tatyana empezó su charla realizando una introducción a los NIDS (Network Intrusion Detection System), exponiendo sus distintas tipologías: los basados en el escaneo de tráfico en vivo (scanning traffic), y los de análisis de volcados de tráfico a posteriori (dumps). Así como los basados en firmas (signature-based), y los basados en la detección de anomalías en el comportamiento del tráfico (anomaly-based).

Después, centró su charla en los NIDS basados en firmas, presentando algunas de las principales soluciones disponibles actualmente, como son Snort, Suricata y Zeek. Así como la existencia de las diferentes fuentes de firmas tanto públicas (ej. Emerging Threats), como comerciales.

Posteriormente, presentó varios ejemplos de malware (Dinihou worm, HQWar dropper, Sauron Locker, etc), y el proceso de caracterización llevado a cabo, para generar firmas capaces de detectarlos. A su vez, expuso cómo evoluciona el malware en respuesta a la implementación de las firmas, utilizando técnicas de codificación y cifrado para hacer más difícil su detección.

Finalmente, Tatyana resumió que los NIDS son actualmente una de las mejores soluciones para detectar amenazas multiplataforma (multiplatform threats), pero que para mantener sus capacidades de detección es necesario actualizar periódicamente sus firmas, y realizar suficientes pruebas de tráfico.

“Practical LoRaWAN auditing and exploitation” (Cesar Cerrudo, Matías Sequeira)

Cesar y Matías iniciaron su charla presentando el protocolo de comunicaciones IoT LoRaWAN. Se trata de un protocolo abierto ubicado por encima del protocolo cerrado de capa MAC (Medium Access Control) LoRA, que a su vez es promovido por las organizaciones que forman la LoRa Alliance. LoRaWAN es un protocolo robusto, de largo alcance (de 1 hasta 20 km de distancia), con velocidades de transmisión de datos de 0.3 hasta 50 Kbps, que utiliza la banda de frecuencias de uso libre (unlicensed spectrum). LoRaWAN se caracteriza por disponer de mecanismos de control de integridad y de confidencialidad a través de cifrado simétrico punto a punto.

Actualmente, es utilizado por más de 100 proveedores de servicios y operadores de telecomunicaciones, en más de 100 países. Este 2018 ha experimentado un crecimiento de uso del 60%, y las proyecciones de mercado apuntan a la incorporación de 100 millones de nuevos dispositivos cada año para 2021.

Posteriormente, Cesar y Matías expusieron los resultados de su análisis de vulnerabilidades de la versión de LoRaWAN 1.0.4, llevado a cabo mediante un gateway basado en un transmisor-receptor RAK831 y una Raspberry Pi 3, con un coste de aproximadamente 230$.

Destacaron, la vulnerabilidad de dicha versión del protocolo frente a ataques de replay, debido a no forzar la renegociación de las claves de cifrado de sesión una vez desbordado el contador de paquetes. Así como a ataques de eavesdropping, que con poco conocimiento sobre el payload de los mismos permitirían su descifrado, y de bitflipping, derivados de una falta de comprobación de integridad de los paquetes más allá del servidor de red de la arquitectura LoRaWAN.

Finalmente, expusieron otros problemas de implementación, como la debilidad, reutilización, diseminación y desprotección de las claves de cifrado (harcoded en el código fuente, firmware de los dispositivos, ficheros de configuración de APPs móviles, etc), que una vez establecidas no pueden ser modificadas. Por todo ello, recomendaron cambiar las claves por defecto, estableciendo una clave única para cada dispositivo y protegerlas almacenándolas en módulos HSM (Hardware Security Module) y SE (Secure Element), especialmente en aplicaciones sensibles. Así como realizar auditorías periódicas de claves para detectar aquellas que sean débiles, y también de toda la infraestructura LoRaWAN.

“Attacks on IVR-systems and Call-centers in 2019” (Aleksandr Kolchanov)

Aleksandr, inició su presentación introduciéndonos en los IVR-systems y Call-centers, sistemas ampliamente utilizados en muchos sectores como el bancario, operadoras de telefonía, etc. Se trata de sistemas importantes que nos permiten llevar a cabo una gran cantidad de operaciones en nuestro día a día, como la efectuación de pagos, transferencias de dinero, el bloqueo de tarjetas de crédito, cambios de tarifas, etc.

Destacó que las regulaciones normativas de los diferentes países, acerca de la ilegalidad de la suplantación de identidad en dichos sistemas, no ofrece garantías suficientes y proporciona en muchos casos una falsa sensación de seguridad. Esto se debe a que la legalidad de dichas acciones no es una de las principales barreras para los hackers, para llevar este tipo de ataques. 

Entre los principales problemas de seguridad detectados en su investigación, apuntó a la ausencia de procesos de autorización completa (full authorisation), sumado a la existencia de sistemas no seguros (en los que es fácil suplantar el Caller ID, con códigos por defecto o conocidos -well-known-, códigos de 4 dígitos sin sistemas de protección ante ataques de fuerza bruta, etc). Así, como las filtraciones y errores de los gestores de estos sistemas, en los que en muchas ocasiones utilizando técnicas de ingeniería social y disponiendo de menos información de la necesaria, de relativamente fácil acceso (ej. números de pasaporte), es posible obtener acceso a dichos sistemas y efectuar operaciones.

Finalmente, Aleksandr compartió su preocupación acerca de cómo conseguir motivar a las operadoras de telefonía y al resto de empresas, para que protejan suficientemente también este tipo de sistemas.

“Sitel, ETI A/S, ‘Lawful’ interception in Spain and Europe” (Claudio Chifa)

Para acabar la jornada, Claudio nos presentó su charla sobre la escucha activa (legal interception) de las comunicaciones electrónicas por parte de los Estados miembro de la Unión Europea, a través los sistemas SITEL (Integrated Telephone Interception System) y ETI A/S. Esta interceptación se basó entre 2006 y 2014 en la Data Retention Directive 2006/24/EC hasta que el Tribunal de Luxemburgo la declaró inválida. Esta Directiva, establecía que los Estados miembro debían almacenar los datos de las comunicaciones electrónicas de sus ciudadanos, durante un período mínimo de 6 meses y un máximo de 24 meses. Destacó el posicionamiento inicial que adoptó Rumanía, una vez aprobada la Directiva, de oposición a adaptarla a su legislación estatal, declarando que esta medida resultaba inconstitucional.

Posteriormente, expuso que todos los países disponen de Unidades militares o policiales de escucha activa. Y que, disponiendo de una orden judicial, las Fuerzas y Cuerpos de seguridad pueden disponer de todas las medidas que consideren necesarias, para interceptar las comunicaciones de personas que estén siendo investigadas. A su vez, expuso que los principales fabricantes de dispositivos de comunicaciones (CISCO, Juniper Networks, Huawei, etc), disponen de guías públicas de configuración de sus dispositivos para la escucha activa, así como repositorios públicos de Lawful Intercept MIBs (Management Information Base).

También, recordó que en España es ilegal levantar una BTS (Base Transceiver Station) si no se dispone de licencia de emisión, debido a que la banda de frecuencias utilizada es de pago (licensed spectrum). A su vez, destacó el riesgo de poder interferir en llamadas de emergencia efectuadas por personas en situación de riesgo, que se puedan encontrar dentro del alcance de la BTS.

Finalmente, Claudio recomendó no tomar excesivas medidas de seguridad en relación a la escucha activa (lawful interception), porque ello puede acabar afectando negativamente a nuestras vidas. En su lugar recomendó, pensar antes en cada situación y tomar medidas comunes de seguridad para preservar nuestra privacidad.



Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría

La Dirección General de la Guardia Civil invita a Carlos Seisdedos al programa de Mentorado de la 1ª Liga Nacional Interuniversitaria de Retos en el Ciberespacio


La Dirección General de la Guardia Civil, con ocasión de los actos de celebración del 175 Aniversario de la Fundación del Cuerpo de la Guardia Civil (1844-2019), ha puesto en marcha un ambicioso proyecto organizando la 1ª Liga Nacional Interuniversitaria de Retos en el Ciberespacio, y para ello han invitado a Carlos Seisdedos, del departamento de ciberinteligencia, a participar en el programa de mentorado, por sus cualidades personales y profesionales.

Para la consecución de tan ambiciosos objetivos se han diseñado diferentes actividades, siendo una de las principales un programa de mentorado, en el que reputados profesionales del sector de la ciberseguridad (tecnológico, legal, de comunicación y financiero) orienten a los jóvenes participantes en este complejo, pero apasionante mundo profesional en el que comienzan a dar sus primeros pasos.

La actividad de los mentores se centrará en la Fase Final de la Liga, que tendrá lugar en el Centro Universitario de la Guardia Civil en Aranjuez (Madrid), entre los días 14 y 16 de noviembre.

Internet Security Auditors seleccionados como mentores para participar en el evento ¿Cómo mejorar tu Ecommerce?

Internet Security Auditors ha sido una de las 7 empresas seleccionadas como mentores para participar en el evento “¿Cómo mejorar tu Ecommerce?” que se celebrará el viernes 9 de agosto en Bogotá, organizado por la Cámara de Colombiana de Comercio Electrónico al que se espera que acudan más de 200 asistentes.

Desde Internet Security Auditors, asesoraremos a todo el que quiera acercarse a nuestro lugar de apoyo, en materia de ciberseguridad y cumplimiento normativo relativo a la seguridad de la información y medios de pago.


 


Fraude del CEO

Contexto
Cada día más, la exposición digital del tejido social y empresarial hace que la seguridad de la información se vea potencialmente expuesta a la ciberdelincuencia, tanto a nivel corporativo como a nivel privado. Esto hace que individuos o incluso mafias organizadas, intenten explotar de formas muy distintas las debilidades existentes con el objetivo último de sacar un beneficio económico.

Algunos de los ataques a los que se pueden exponer dichas organizaciones e individuos son, según la European Union's law enforcement agency (EUROPOL), los siguientes:
  • Fraude del CEO: engaño a los empleados que tienen acceso a los recursos económicos de una compañía, para que realicen transferencias o pagos de facturas falsas desde las cuentas corporativas.
  • Estafa de inversión: promesas de alta rentabilidad y ganancias rápidas en productos de inversión lucrativa tales como acciones, bonos, criptomonedas, metales raros, inversiones en el extranjero o energía alternativa.
  • Fraude de facturas: engaño por el que se hacen pasar por representantes de un suministrador, proveedor o acreedor para cambiar los datos bancarios del beneficiario de las facturas.
  • Estafas en compras por internet: avisos de grandes ofertas en productos sorprendentes o milagrosos, o incluso ventanas emergentes que indican que has ganado un premio.
  • Phising bancario por email: envío de correos electrónicos de apariencia legítima (imitación de logotipos, tipología, colores, etc.) que intentarán que la víctima comparta su información personal, financiera o de seguridad.
  • Estafa amorosa: búsqueda de víctimas en páginas web de contactos, en redes sociales o por correo electrónico para pedir dinero, regalos o directamente los datos de las cuentas bancarias de las víctimas.
  • Smishing bancario: combinación de las palabras ‘SMS’ y ‘Phising’. Suplantación de la identidad de un banco para obtener información personal, financiera o de seguridad a través de un mensaje de texto.
  • Banca electrónica fraudulenta: intento de obtención de los datos personales y financieros a través de una página web fraudulenta. Comúnmente suelen estar enlazadas en los correos de phishing por email.
  • Vishing bancario: combinación de las palabras ‘Voz’ y ‘Phising’. Suplantación de la identidad de otra persona por voz, para que la víctima divulgue información personal, financiera o de seguridad, o que realice transferencias de dinero (también es una forma de Fraude del CEO).
  • Secuestro de datos: encriptación de datos de la víctima para solicitar seguidamente un rescate económico para su recuperación.
Pese a la publicación en 2018 del listado anterior, desde principios del año 2017, el Instituto Nacional de Ciberseguridad (INCIBE) ya informaba en una publicación de la detección de un número creciente de casos del “Fraude del CEO”, el cual se analizará en detalle en las siguientes líneas.

¿En qué consiste el Fraude del CEO?
El Fraude del CEO, como se ha explicado antes, es un tipo de estafa que consiste en engañar al personal que dispone de acceso a los recursos económicos de una empresa, haciéndose pasar por el CEO (Director General), el CFO (Director Financiero), cualquier alto ejecutivo o persona con poder en la compañía o incluso un socio comercial importante, para que se realicen transferencias (habitualmente internacionales) o el abono de facturas, aprovechando alguna o varias de las siguientes estrategias:
  • Conocimiento en profundidad de la estructura de la compañía (p.ej.: organigrama, procedimientos, etc.).
  • Solicitud de pagos urgentes en momentos que la persona suplantada no puede comunicarse (p.ej.: por estar en vuelos o reuniones, etc.).
  • Referencias a situaciones muy delicadas o críticas para la compañía (p.ej.: procesos de fusión, adquisiciones, inspecciones fiscales, etc.).
  • Solicitud de no seguir con el procedimiento habitual. (p.ej.: justificado en alguna de las situaciones críticas del punto anterior).
  • Aprovechar los cambios en las funciones habituales de los empleados (p.ej.: tras un cambio de las funciones en la organización o cuando la persona que habitualmente realiza estas tareas no está disponible –bajas, vacaciones, finalización del horario laboral, …-).
  • Contactos poco habituales de la dirección con otros empleados de la organización (p.ej.: que el Director General se ponga en contacto directo con un empleado con el que habitualmente no tiene contacto).
  • Solicitud de confidencialidad en estas actuaciones (p.ej.: enfatizando al empleado que no debe comentar nada con nadie de la organización por su carácter de secreto).
  • Ensalzamiento de la estima de la empresa hacia el empleado o la lealtad de este hacia la empresa (p.ej.: mediante expresiones como “la empresa confía en ti”, “puedo confiar en ti”, etc.).
  • Proferir amenazas varias (p.ej.: amenaza de despido o sanción disciplinaria, etc.).
¿Qué variantes del fraude existen y cómo afectan?
Como se ha explicado, el Fraude del CEO está dirigido a las organizaciones de cualquier tamaño, aun así, existen variaciones de esta estafa que afectan tanto a las arcas corporativas como al bolsillo de los propios trabajadores.

Pongamos la situación hipotética en la que se consigue suplantar a un empleado que solicita cambiar el número de cuenta bancaria en la que tiene domiciliada la nómina. Para cuando el empleado se dé cuenta de que no le llega el ingreso mensual pueden haber pasado días, incluso meses, tiempo suficiente para que los importes ingresados hayan sido retirados por los ciberdelincuentes. La situación podría llegar a empeorar si esto sucede sobre un grupo de empleados, ya que los importes podrían llegar a ser elevados.

En un caso sucedido en el Ayuntamiento de Roquetas de Mar (Almería), se intentaron desviar los fondos públicos de la cuenta desde donde se pagaban las nóminas a 200 empleados públicos por un valor de 700.000€ hacia cuentas de destinatarios en países extranjeros. Afortunadamente, en este caso el dinero no ha sido sustraído, gracias a la detección de la discordancia entre las remesas aprobadas por el ayuntamiento y las efectuadas por los bancos, aunque sí ha supuesto un retraso en el pago de las nóminas.

Este tipo de ataques se facilitan sobremanera con servicios disponibles de suplantación de llamadas telefónicas (Caller Id Spoofing) mediante los cuales, por apenas unos céntimos, es posible modificar el identificador de una llamada, modular la voz, o incluso añadir efectos de sonido fondo (p.ej.: sirenas de policía, sonidos de aviones, ruido ambiente de una oficina, etc.), entre otras opciones, para hacer pensar al receptor de la llamada que se encuentra hablando con un interlocutor legítimo. También la suplantación del correo electrónico (Email Spoofing), por el que se altera el origen de los correos para que parezcan provenir del supuesto autor de estos.

Como se ha visto, la exposición a este tipo de estafa y sus variantes puede afectar de igual manera a corporaciones y a particulares. Su efecto no es menor, pues solo en el periodo comprendido entre los años 2013 y 2018, para una muestra de multitudes de empresas de diversos sectores en más de 100 países, el Federal Bureau of Investigation (FBI) ya cifraba las pérdidas en 12,5 billones de dólares y subiendo, para un total de cerca de 80.000 víctimas. Por ello, se deben implantar un conjunto de controles, soportados por procedimientos seguros para detectar y evitar este tipo de ataques.

Controles para empresas cotizadas en España
Actualmente, la complejidad de las normas de preparación de la información financiera de las entidades cotizadas ha aumentado de forma exponencial, debido principalmente a su sofisticación. Con el objetivo de dar respuesta a dichos requerimientos, los sistemas de control interno de este tipo de empresas deben evolucionar y proporcionar un nivel de seguridad razonable sobre la fiabilidad de la información financiera suministrada al mercado de valores.

A propuesta de la Comisión Nacional del Mercado de Valores (CNMV) se han elaborado un conjunto de recomendaciones sobre el Sistema de Control Interno de la Información Financiera (SCIIF). Dichas recomendaciones, tienen como uno de sus objetivos, el establecer un marco de referencia de principios y buenas prácticas cuya finalidad es ayudar en el diseño, implantación, funcionamiento y supervisión de su SCIIF.

Descrito en las actividades de control de los SCIIF, se especifica que se deberá:
Incorporar en los sistemas de control un balance adecuado entre mecanismos preventivos (mitigan el riesgo de que se produzcan errores o fraudes en la información financiera) y detectivos (localizan los errores y fraudes cuando se produzcan). De igual modo, parte de los controles deben realizarse por personas (manuales) y otros por los sistemas informáticos de la entidad (automatizados).
Atendiendo a dicha actividad de control, las empresas cotizadas, deberán disponer de mecanismos suficientes para no ser víctimas de este tipo de estafas, específicamente en lo referente a sus procedimientos de control de compras y pagos.

Controles para empresas no cotizadas
Las empresas no cotizadas, son más vulnerables a este tipo de ataques ya que, por lo general, no se les exige el cumplimiento de SCIIF, sin perjuicio que se puedan adherir de forma voluntaria. Por ello, es más que aconsejable que realicen las acciones que se relacionan a continuación, según lo indicado por la EUROPOL y el FBI:
  • Realizar un plan de formación y concienciación a sus trabajadores.
  • Alentar al personal a ser precavidos en la realización de las compras y pagos.
  • Implantar procedimientos internos para la realización de operaciones de compras y pagos.
  • Implantar procedimientos internos para la verificación de la legitimidad en las solicitudes de pago o de cambio de información relacionada, especialmente la recibida por correo electrónico y llamada telefónica, mediante la utilización de sistemas de doble factor de autenticación.
  • Implantar reglas de marcaje para correos con extensiones similares a los de la compañía en un sistema de detección de intrusos.
  • Implantar procedimientos internos de gestión del fraude interno y externo.
  • Implantar un sistema de código de colores para los correos internos y externos.
  • Mejorar de forma continua la seguridad de los sistemas de información.
  • Avisar a la policía en caso de intento de fraude, incluso en los casos en los que se ha conseguido evitar.
Asimismo, los empleados deberían extremar las precauciones mediante las siguientes consignas:
  • Respetar siempre los procedimientos establecidos de compras y pagos.
  • Revisar las direcciones de email cuando se trata con información delicada.
  • Consultar a los responsables directos en caso de duda o sospecha.
  • Evitar la apertura de enlaces o ficheros adjuntos sospechosos en correos electrónicos, o bien que estén redactados en un lenguaje poco habitual.
  • Limitar la información proporcionada en las redes sociales.
  • No compartir información interna de la compañía, tal como: organigrama, elementos de seguridad o los procedimientos internos de la compañía.
  • Utilizar el sentido común y ante cualquier email o llamada sospechosa, informar al servicio de informática de la compañía.

En resumen, para reducir el riesgo de convertirse en una víctima consumada de este tipo de estafas, será necesario abordar la seguridad en forma de procesos integrales y de monitorización continua sobre la información manejada por las organizaciones y los particulares que trabajan en ellas, haciendo especial hincapié en todos los procesos relacionados con los movimientos económicos, especialmente: las nóminas de los empleados, los cobros de clientes o los pagos a proveedores.

Referencias


Autor: José A. Prieto - CISA, ISO 27001 L.A.
Dpto. Consultoría

Primeras grandes multas GDPRs (British Airways y Marriott)

El Information Commissioner’s Office (ICO), que es la Autoridad en materia de protección de datos del Reino Unido (homólogo a la “Agencia Española de Protección de Datos” en España) hacía público en el día de ayer que pretende sancionar a British Airways con una multa de 183,39 millones de libras (más de 203 millones de €), y en el día de hoy, también ha hecho pública la intención de sancionar a la hotelera Marriott con 99 millones de libras (más de 110 millones de €), ambos por incumplimiento de la normativa de protección de datos (GDPR / RGPD). Concretamente, por brechas de seguridad de datos que han llegado a exponer:
  • British AirWays: credenciales, datos de tarjetas de crédito y datos de reservas de 500.000 clientes.
  • Marriott: 339 millones de registros de huéspedes de todo el mundo, de los cuáles 30 millones eran relativos a residentes de los países la CEE.

Para poner en perspectiva estas dos sanciones, recordad que la mayor multa aplicada hasta la fecha era de medio millón de libras a Facebook por el caso de Cambridge Analytica. Lo cuál suponen unas multas de 366 y 198 veces la de Facebook.




Por supuesto, son las primeras sanciones pero no serán las últimas, ni las más cuantiosas, ni en el único país en el que se van a producir.

La importancia de la seguridad de la información cobra mayor relevancia y hay que concienciarse de que la seguridad de la información se debe considerar como inversión y no como un gasto.

Referencias

Autor: José A. Prieto - CISA, ISO 27001 L.A.
Dpto. Consultoría

Internet Security Auditors participa en las Jornadas de Ciberseguridad en Bogotá

El pasado jueves 4 de julio se celebró en Bogotá una Jornada de Ciberseguridad de la mano de INCIBE y ICEX. Internet Security Auditors participó, como una de las empresas españolas del sector con presencia en Colombia y referente en la Ciberseguridad, de la mano de Daniel Fernández en el panel de concienciación de ciberseguridad.

Primera empresa iberoamericana auditora de PCI PIN en el nuevo programa QPA del PCI SSC

Un nuevo hito dentro de los reconocimientos de Internet Security Auditors es haber sido una de las primeras compañías a nivel mundial en obtener la cualificación de QPA (Qualified PIN Assessor) para poder llevar a cabo auditorías de cumplimiento y certificación del programa PCI PIN en las regiones de Europa, LAC, USA/Canada, Asia Pacific y CEMEA.

Este programa, que hasta finales del año pasado estaba gestionado por VISA, pasó a ser operado por el PCI SSC dentro del proceso de transición de todos los programas a un modelo de requerimientos público y abierto.

PCI PIN es una de las normas recientemente actualizada y aplica a las empresas que desarrollan tareas de adquirencia, procesamiento e intermediación de transacciones (switch) que incluyen el PIN y a todas aquellas que gestionen las llaves de los dispositivos de pago y autoservicio, por ejemplo, redes de ATM/cajeros y/o POS/TPV, redes de marcas de tarjetas con operaciones nacionales, entidades que son adquirientes, los agentes de estas como las KIF (Key Injection Facilities ), entre otras.  En general cualquier proveedor que provea servicios para los procesos de gestión del PIN de las entidades está obligada a certificar su cumplimiento.

Tras la obtención de las homologaciones como QSA, PA-QSA, ASV, 3DS Assessor y QSA(P2PE) y la participación en el Consejo Ejecutivo Asesor del PCI SCC, la obtención de la homologación como QPA, pudiendo realizar auditorías de cumplimiento en todas las versiones vigentes a día de hoy de PCI PIN, sitúa a Internet Security Auditors como una de las empresas cinco empresas con más reconocimiento a nivel mundial en cuanto al asesoramiento y certificación del cumplimiento de Normas PCI, contando con homologación de auditor en seis programas del consejo gestionado por las marcas de tarjetas.