Primera empresa iberoamericana auditora de PCI PIN en el nuevo programa QPA del PCI SSC

Un nuevo hito dentro de los reconocimientos de Internet Security Auditors es haber sido una de las primeras compañías a nivel mundial en obtener la cualificación de QPA (Qualified PIN Assessor) para poder llevar a cabo auditorías de cumplimiento y certificación del programa PCI PIN en las regiones de Europa, LAC, USA/Canada, Asia Pacific y CEMEA.

Este programa, que hasta finales del año pasado estaba gestionado por VISA, pasó a ser operado por el PCI SSC dentro del proceso de transición de todos los programas a un modelo de requerimientos público y abierto.

PCI PIN es una de las normas recientemente actualizada y aplica a las empresas que desarrollan tareas de adquirencia, procesamiento e intermediación de transacciones (switch) que incluyen el PIN y a todas aquellas que gestionen las llaves de los dispositivos de pago y autoservicio, por ejemplo, redes de ATM/cajeros y/o POS/TPV, redes de marcas de tarjetas con operaciones nacionales, entidades que son adquirientes, los agentes de estas como las KIF (Key Injection Facilities ), entre otras.  En general cualquier proveedor que provea servicios para los procesos de gestión del PIN de las entidades está obligada a certificar su cumplimiento.

Tras la obtención de las homologaciones como QSA, PA-QSA, ASV, 3DS Assessor y QSA(P2PE) y la participación en el Consejo Ejecutivo Asesor del PCI SCC, la obtención de la homologación como QPA, pudiendo realizar auditorías de cumplimiento en todas las versiones vigentes a día de hoy de PCI PIN, sitúa a Internet Security Auditors como una de las empresas cinco empresas con más reconocimiento a nivel mundial en cuanto al asesoramiento y certificación del cumplimiento de Normas PCI, contando con homologación de auditor en seis programas del consejo gestionado por las marcas de tarjetas.

Internet Security Auditors seleccionada como centro de entrenamiento en la convocatoria de fortalecimiento de capacidades en el estado, en Colombia

Internet Security Auditors ha sido seleccionada, en la primera convocatoria de fortalecimiento de capacidades en el estado, como centro de entrenamiento que oferta los programas de formación para la Certified Cloud Security Professional (CCSP) como Training Partner Oficial del (ISC)². Este curso preparatorio refleja un conocimiento profundo derivado de la experiencia práctica en computación en la nube y en la seguridad de la información. Validando los conocimientos prácticos aplicables a aquellos profesionales cuyas responsabilidades diarias incluyen la arquitectura de seguridad en la nube, diseño, operaciones y coordinación del servicio. Internet Security Auditors es el único Trainer Oficial del (ISC)² seleccionado , que aparece en el listado de la convocatoria, para este curso preparatorio.

Esta convocatoria es realizada por el Instituto Colombiano de Crédito Educativo y Estudios  Técnicos en el Exterior – ICETEX y el Fondo de Tecnologías de la Información y las Comunicaciones – FONTIC, la cual está destinada a los servidores públicos (de planta y contratistas), en donde el MINTIC financiará certificaciones Internacionales en temas relacionados con la Política de Gobierno Digital, a través de créditos condonables de hasta el 100% de la obligación crediticia, cuyo objetivo es revertir en las entidades del estado conocimiento y herramientas para la apropiación, fortalecimiento y masificación de la Política de Gobierno Digital. La apertura de la convocatoria fue el día 30 de mayo de 2019 y su cierre será el día 2 de julio de 2019, dicha convocatoria corresponde al Periodo 2019-2.

Para mayor información acerca de nuestro curso de preparación, para la Certified Cloud Security Professional (CCSP), acceda a nuestro Portal de Formación y para información acerca de la convocatoria puede consultarse en el sitio web del ICETEX

Crónica Mundo Hacker Day 2019

Volvemos otro año más a MundohackerDay, ya con esta es la sexta edición. Mundohackerday es uno de los mayores eventos sobre Ciberseguridad de España.

Este año se notó la gran presencia de las comunidades como fueron #C0Npilar,  >_EASTMADH4CK, EUSKALHACK, FAq1n Congr3ss, HACK & BEERS, HackPlayers,  HACKRON, HACKING SOLIDARIO, HoneyCON, #mujeres Hacker, Qurtuba Security Congress,  Sec Admin Security Conference y Tomatinacon.con.

Pudimos también disfrutar de un CTF organizado por los miembros del equipo español (European Cyber Security Challenge).

 

La comunidad de Hackplayers nos tenía preparados una serie juegos/retos como Lock Picking (consiste en abrir cerraduras sin la llave original, empleando ganzúas u otros instrumentos o métodos no destructivos), también contamos con el Proyecto Conet (mensajes secretos, las llamadas emisoras o estaciones de números, voces "rezando" secuencias de números, palabras o letras os podéis descargar algunas pistas de la siguiente web  http://irdial.hyperreal.org/the%20conet%20project/) , también se podía ver un mensaje cifrado militar de 1914 y para rematar un mini-ctf que consistía en acceder y obtener la password de una base de datos SQLite sólo interactuando con un lector de códigos QR.



Para empezar este gran evento, comenzó la introducción Antonio Ramos, con la charla: Power Nap y vamonos!. En la cual hablaba de aplicar primero la HI, la inteligencia humana mejor antes que la Inteligencia Artificial y también nos hablaba sobre las redes sociales, las relaciones a través de ellas de esa manera tan superficial y enfocada a la imagen.

La segunda charla fue realizada por Mildrey Carbonell Castro con: “De Verano a primavera en los servicios de Red Team”. En la charla nos hablaba sobre la simulación de ataques y como también se deberían de realizar las defensas. Las cuales también necesitan organizarse y evolucionar rápidamente. Para ello, realizar simular acciones con un equipo de “Red Team” como lo haría un atacante y organizar igualmente un tipo defensivo como es el “Blue Team”.

Para continuar, seguimos con Juan Zafra y su charla : “Lo que Europa está dispuesta a hacer por la ciberseguridad. ¿Y tú?”. Nos comentaba que la ciberseguridad es cosa de todos y como la Unión Europea quiere ser autosuficiente en el campo de la ciberseguridad. Y como se va emprendiendo e innovando más en el campo de la seguridad informática.

Para descansar un poco y coger fuerzas para la siguiente charla se realizó un pequeño parón para tomar un café.

Seguimos con la ponencia de Pedro Alexander García, “Utilizando metodología de Password Cracking para algoritmos rápidos como NTLM y MD5”, el cual nos mostraba como se podían romper las contraseñas mediante fuerza bruta con diccionarios. Realizó una serie de ejercicios de Password Cracking mostrando así las diferentes técnicas más eficaces.

A continuación, dio paso Dani Creus, con “APTs en la cadena de suministro: cuando la logística se te vuelve en contra”. Nos habló sobre los vectores de ataque que más han sido explotados durante los últimos dos años, los llamados ataques a la cadena de suministro. Como cada vez los atacantes buscan una ruta indirecta, utilizan el punto más débil en la cadena de suministro. Por ejemplo, a través de canales legítimos implementar malware.

El siguiente turno fue para la mesa redonda, “Democracia hackeada: Ciberseguridad, redes sociales y manipulación de procesos electorales en la nueva era digital” con los ponentes: Ofelia Tejerina, Borja Adsuara, Antonio Vargas, Carlos Loureiro moderada por Daniel de Blas.

En esta mesa redonda debatían sobre la democracia digital que nos espera, las amenazas más peligrosas sobre libertad de pensamiento de la sociedad y como poder combatirlas.

Comentaban también que debido a la tecnología cada día tenemos más información y libertad de expresión, pero sin embargo detrás de todo esto están los cibercriminales. Los cuales son capaces de manipular datos (noticias falsas, hackeos,..) utilizar y recopilar los datos del usuario los cuales pueden suponernos una amenaza.

Después de todas las charlas anteriores, realizamos un breve descanso, en el cual pudimos degustar de distintas pizzas patrocinadas por Telepizza.

Proseguimos con la charla “Hacking en Cajeros Automáticos (ATMs) para prevención de fraude bancario” con Álvaro Andrade Sejas. Nos mostró cómo es posible hackear cajeros escalando privilegios mostrando así sus correspondientes pruebas de concepto. Entre otros ejemplos, también nos mostró la seguridad de los ATMs basados en Hardware.

Otro año más, pudimos contar con Deepak-daswani  y su ponencia “Explotando leaks de información en WhatsApp Web·. Nos enseñó en vivo y en directo, cogiendo a un espectador al azar, como es posible vulnerar la privacidad de los usuarios cuando utilizan WhatsApp Web. Nos hablaba sobre las distintas vulnerabilidades y hacía referencia a cómo es posible obtener información de las conversaciones y actividad de un usuario a partir de su sesión de WhatsApp Web. La cual pudimos ver con todo detalle.

La siguiente ponencia la realizó Marc Rivero López, con ·Deep Dive into a malware Sandbox System”. En su charla nos explicaba los diferentes aspectos relacionados con el sandboxing de malware.  “Sandboxing, de «caja de arena» (sandbox), es una técnica de seguridad que permite ejecutar un programa en un espacio cerrado y limitado”. Hacía referencia a que con lo contamos hoy en día y que nos deparará el futuro. Que tipos de entornos tenemos, trucos de malware para evitar esos sistemas y como combatirlos.

Seguimos con el gran David Marugán, con “COVCOM: de la Grecia clásica al terrorismo yihadista”. Nos mostraba los métodos de comunicaciones encubiertas (COVCOM: Covert Communications) utilizadas por servicios de inteligencia y todo tipo de redes clandestinas, haciendo especial hincapié en las comunicaciones vía radio. Hizo una prueba de concepto de un dispositivo Short Range Agent Communications (SRAC) de fabricación casera para evadir la detección por parte de los adversarios o unidades de contrainteligencia hostiles.

Llegando ya casi al final, contamos con la charla de Manuel Blanco Parajón “Behind the enemy lines”. Nos mostró algunos de los métodos que se realizan en un test de intrusión. Viendo su metodología a seguir en las operaciones del red team y el ciclo de post-explotación. Además, hizo una prueba de concepto sobre una vulnerabilidad con su respectivo exploit para, una vez conseguido acceso a un sistema, como es posible escalar privilegios de súper usuario en un operativo GNU/Linux tal y como lo realizaría un atacante los atacantes y posteriormente el desarrollo de un rootkit y el funcionamiento del mismo haciendo indetectable la intrusión.

Y ya para finalizar, terminamos con Joel Serna Moreno con la charla “Troyanizando hardware: venderías a tu madre por cargar el móvil”. Con la que nos deleitó con ejemplos de periféricos troyanizados con los cuales los atacantes se hacían con el control del dispositivo de la víctima. Nos hablaba sobre  sistemas de control remoto como WiFi, LoRa y nos mostraba OMG Cable, un cable badUSB con control remoto mediante WiFi. BadUSB (dispositivos conectables por USB que se hacen pasar por otro para que confíes en ellos).
  



Autor: Héctor Berrocal Vidal - CEH, MCP, CCNA, ITIL
Dpto. Auditoría

Vicente Aguilera entrevistado en el programa No Pot Ser! (No puede ser!) de TV3

https://pbs.twimg.com/media/D3z3CSrW4AAWpyW.jpg

Este domingo día 14 se emite la entrevista que realizó Vicente en el programa No pot ser! (No puede ser!) de la televisión catalana (TV3).

Jordi Basté, presentador del programa, explorará en este nuevo capítulo como de vulnerable es nuestra privacidad en Internet, y para ello ha contado con la ayuda de varios expertos en seguridad, entre los que se encuentra Vicente.

El programa completo en el siguiente enlace:
https://www.ccma.cat/tv3/alacarta/no-pot-ser/big-data-big-brother/video/5836380/

Eventos de Ciberseguridad para el mes de abril

Este mes de abril, se celebran varios eventos de seguridad, en los que Vicente Aguilera y Carlos Seisdedos participarán como ponentes.
  • Congreso de Ciberseguridad de Zaragoza #CONPILAR19 los días 12-13 de abril. Vicente y Carlos participarán con la ponencia: Twitter: la máquina de captar votos.


  • Overdrive Hacking Conference los días 26-27 de abril en Girona. Evento en el que Vicente a sido invitado para ofrecer la Keynote.
  • OSINT City los días 26-27 de abril en Sevilla. Taller conjunto de Vicente y Carlos: “Técnicas OSINT para la detección y análisis de perfiles terroristas” en el que se dará a conocer el uso de las redes sociales por parte de terroristas de etiología yihadista y cómo mediante técnicas OSINT es posible monitorizar sus actividades y obtener información que pueda convertirse en inteligencia procesable.


La experiencia RootedCON, vivida en su X aniversario

Esta edición 2019 de RootedCON Madrid, se llevó a cabo del 28 al 30 de Marzo en el espléndido entorno de Kinépolis Madrid Ciudad de la Imagen. No obstante, las actividades dieron comienzo realmente el 25 de marzo, con tres días intensos dedicados a formaciones (bootcamps) impartidas por expertos en la materia (entre los que se encontraban Raúl Siles y su taller sobre tecnologías inalámbricas, Pablo San Emeterio formando sobre explotación de vulnerabilidades, o Pablo González Pérez y su taller sobre pentesting).

Nuestra experiencia comienza la noche previa al inicio de las conferencias, es decir, la noche del 27 de marzo, donde asistimos a la habitual cena cóctel de ponentes en el restaurante Larumbe. Ya en su entrada, y ejerciendo de perfecto anfitrión, Román Ramiŕez (fundador de RootedCON) recibía a los invitados. Se trata de una ocasión perfecta para, en un entorno distendido, poder intercambiar opiniones, realizar nuevos contactos, o reencontrarse con aquellas personas con las que hace algún tiempo que no coincides. Además de tener la oportunidad de conversar con otros ponentes, también asisten patrocinadores y medios que asistirán al evento.

Jueves 28 de marzo
El jueves 28 de marzo, a primera hora, nos presentamos en Kinépolis donde ya se respiraba el "ambiente Rooted". Las colas para las acreditaciones eran considerables, pero sin llegar a exasperar. Sabes que vas a asistir a grandes momentos y, además, la espera sirve para comentar las últimas impresiones. Una vez dentro, muchas caras conocidas, muchos amigos, y mucho por aprender. Nota destacada: el número de asistentes a Rooted 2019 superó los 2200.

En el hall, diversos stands de empresas del sector anunciaban sus servicios. También se encontraba el espacio habitual de 0xWORD y sus conocidos libros de seguridad.

La primera conferencia de la jornada comenzó a las 10:30h y, bajo el título "Aproximación algorítmica al talento en ciberseguridad", Raúl Riesco Granadino (Head of Intelligence and ICS, INCIBE) nos narraba la evolución que ha sufrido la demanda de talento, la necesidad del mercado actual de especialistas en ciberseguridad, así como las habilidades que más escasean actualmente (entre las que destacan: detección de intrusiones, desarrollo de software y mitigación de ataques) entre otros aspectos. Así, comentó que las titulaciones y certificaciones, aunque valoradas, quedan relegadas a un segundo plano frente a la experiencia y conocimientos de la persona.

A continuación, Andrés Ruíz y Mar López (Responsable de Ciberseguridad, Departamento de Seguridad Nacional) hicieron una divertida exposición sobre "Descifrando la Seguridad Nacional". Obviamente, no revelaron ningún tipo de información sensible, pero siempre es de agradecer que este tipo de organismos tengan visibilidad en eventos de ciberseguridad, puedan expresar su punto de vista y podamos conversar con ellos.

Tras la entrega de Premios Antonio Ropero, y la pausa para el coffe-break, llegó el turno de Pablo Estevan Fernández (RSA) y su ponencia "Análisis de amenazas con herramientas de visibilidad avanzadas". Nos explicó cómo, tras sufrir RSA un incidente de seguridad hace pocos años, optaron por adquirir una de las empresas que les ayudó a identificar el origen de la intrusión, software que han ido mejorando durante este tiempo. Básicamente, trasladó la idea de que nadie es invencible, por lo que conviene ser proactivos y disponer de capacidad de detección de incidentes, así como de una clara estrategia al respecto.

Más tarde, asistimos a la conferencia "N4J, Horizonte de sucesos" impartida por Francisco Javier Sucunza Berasain. Nos habló de los "knowledge graphs", como una conexión dinámica de repositorios de datos de distintos tipos y que enlazan con fuentes externas de una manera inteligente. Como resultado, permite inferir conocimiento a través del contexto y las relaciones. Francisco comentó la diferencia entre consultas SQL y consultas con Cypher (el lenguaje de consulta de grafos para Neo4j), dejando en evidencia la facilidad y la potencia de Cypher en este contexto.


Viernes 29 de marzo
El viernes 29 de marzo era el día de nuestra participación. Acudimos con tiempo suficiente a la primera conferencia "Hackers vs Cine: las loca ciberhistoria del cine. mitos y desventuras de la ciberseguridad en el séptimo arte" que impartieron conjuntamente Francisco Jośe Ramírez Vicente (Telefónica) y José Manuel Vera Ortiz (Revista SIC). Como ya anunciaron en su inicio, no se trataba de una charla técnica. Sin embargo, resultó muy entretenida recordando viejas (y no tan viejas) películas en las que se había tratado la ciberseguridad de mejor o peor manera. Por supuesto, se habló del origen de la palabra hack y cómo se había desvirtuado gracias a los periodistas y el sensacionalismo, y no faltaron referencias a Steve Jobs, Bill Gates, Steve Wozniak, Richard Stallman, Kevin Mitnick o John Draper (el Capitán Crunch), entre otros muchos.

A continuación, en la misma sala, nos llegaba el turno a nosotros (Carlos Seisdedos y Vicente Aguilera), que impartimos la conferencia "Análisis de redes sociales (ARS) y detección de comunidades virtuales". Tras una breve introducción para contextualizar a los asistentes en los conceptos que se tratarían después, realizamos algunas demostraciones en vivo utilizando una pequeña aplicación que desarrollamos específicamente para Rooted. Mostramos el potencial que se dispone al analizar las redes sociales mediante la aplicación de técnicas de inteligencia artificial, y como pueden ser monitorizadas a tiempo real para analizar su contenido. De esta forma, utilizamos distintos videos en los que se podían realizar búsquedas por palabras clave (que se mostraran en alguna secuencia del video), o incluso búsquedas basadas en nombres de personas que aparecían en los videos, gracias al reconocimiento facial. Para ello, pusimos el ejemplo del rey Felipe VI que aparecía en un video durante la manifestación tras los fatídicos atentados terroristas sufridos en Barcelona. A continuación, presentamos una metodología de análisis de redes sociales, la importancia de considerar las redes formales e informales en los procesos de análisis de objetivos, así como su uso en acciones de influencia. Finalmente, realizamos diversas demostraciones en las que se mostraba la evolución de una red social a lo largo del tiempo: conexiones entre nodos, publicación y clasificación de contenidos, detección de comunidades virtuales, etc.

Queremos agradecer su asistencia a todos los que nos acompañaron durante la conferencia, que despertó gran expectación a juzgar por el número de asistentes a la misma.

Tras la pausa para la comida, llegó un momento que seguro era de los más esperados por la mayoría de las asistentes en base a las colas que se formaban con más de media hora de antelación. Nos referimos a la conferencia de Chema Alonso (CDO de Telefónica) titulada "A hacker's gotta do what a daddy's gotta do". Con una duración más reducida de lo esperada (lo bueno si breve...) Chema nos comentó su experiencia personal acerca de cómo los hijos se introducen en la tecnología a edades cada vez más tempranas. Con dos divertidos videos, nos hizo ver como sus hijas le acompañan en algunas de sus experiencias.


Sábado 30 de marzo
El sábado 30 de marzo, únicamente pudimos asistir a la interesante conferencia de Pablo González y Enrique Blanco, del Departamento de Ideas Locas de Telefónica. Nos hablaron sobre IA aplicada a la ciberseguridad, y nos mostraron resultados de su investigación con ejemplos prácticos en vivo. Especialmente llamativo fue lo que llamaron "La estafa del CDO", en la que, tras un modelo entrenado previamente, conseguían suplantar la imagen y voz de Chema Alonso para llevar a cabo una acción maliciosa. También nos ilustraron sobre las famosas GANs (Generative Adversarial Networks) y la elaboración de deep fakes. Los patrones biométricos que pueden identificarse en los videos permiten detectar manipulaciones que pueden derivar en fake news. Se trata de un problema que puede abordarse mediante técnicas de machine learning.

De forma previa a la conferencia de Pablo González y Enrique Blanco, Román Ramírez ofreció un reconocimiento especial a Agux, una de las personas que asiste fielmente a todas las ediciones de RootedCON y que, además, es de los primeros en inscribirse y personarse en los eventos.

Finalmente, queremos felicitar a RootedCON por su X aniversario y el gran éxito conseguido, así como agradecer a los organizadores por permitirnos participar en esta edición y hacernos sentir como en casa.

Autores:
Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader. Director Departamento de Auditoría.
Carlos J. Seisdedos. Responsable Departamento Ciberinteligencia.

Análisis de la actividad en Twitter relacionada con los candidatos de los principales partidos políticos

Con motivo de las próximas elecciones generales en España el próximo 28 de abril, en Internet Security Auditors hemos realizado el análisis de la actividad en Twitter relacionada con los candidatos de los principales partidos políticos: Pedro Sánchez (PSOE), Pablo Casado (PP), Albert Rivera (Ciudadanos), Pablo Iglesias (Podemos) y Santiago Abascal (VOX), elaborando una serie de infografías con la información más relevante.

Hoy publicamos las infografías que resumen la actividad en Twitter del periodo comprendido entre el viernes 8 y el jueves 14 de marzo, en el que se han analizado más de 400.000 tuits. Entre la información que se muestra, se encuentra la siguiente:
  • Datos sobre el perfil de cada candidato
  • Actividad de cada candidato desglosada por horas
  • Aplicaciones utilizadas por cada candidato
  • Nube de hashtags utilizados por cada candidato
  • Número de menciones a cada candidato, desglosada por día
  • Franjas horarias de cada día con mayor número de menciones a cada candidato
  • Evaluación y clasificación de los mensajes en los que se menciona a cada candidato, desglosados en: Muy positivo, Positivo, Neutral, Negativo y Muy negativo.
  • Nube de palabras más utilizadas por cada candidato

Infografía Pedro Sánchez (PSOE):

https://www.isecauditors.com/downloads/infografias_2019/pedro-sanchez.png

Infografía Pablo Casado (PP):

https://www.isecauditors.com/downloads/infografias_2019/pablo-casado.png















Infografía Albert Rivera (Ciudadanos):

https://www.isecauditors.com/downloads/infografias_2019/albert-rivera.png















Infografía Pablo Iglesias (Podemos):

https://www.isecauditors.com/downloads/infografias_2019/pablo-iglesias.png















Infografía Santiago Abascal (VOX):

https://www.isecauditors.com/downloads/infografias_2019/santiago-abascal.png















Dejamos en manos del lector la interpretación de los interesantes resultados que revelan estas infografías, y le invitamos a permanecer atento a las próximas actualizaciones.