lunes, 9 de noviembre de 2020

Riesgos de rootear nuestro dispositivo Android

En este artículo vamos a comentar y mostrar los posibles riesgos que se encuentran asociados al hecho de rootear nuestro dispositivo.

Lo primero que tenemos que conocer es qué significa en sí la palabra inglesa “root”. Si la traducimos al español quiere decir raíz y en lo que se refiere a sistemas operativos es tener acceso al directorio raíz, es decir acceso a todos los directorios y archivos existentes en el sistema de ficheros.

Por tanto, la primera consideración es que a rootear el dispositivo estamos permitiendo acceso a todo el sistema de ficheros, incluyendo áreas sensibles del mismo.

Hemos de ser conscientes de que al rootear el dispositivo perderemos la garantía de nuestro terminal, ya el que fabricante entiende que, al hacer este tipo de operación, somos los responsables de todo lo que pueda llegar a partir de ese momento. Por tanto, estamos asumiendo dicho riesgo.

Otro aspecto que debemos conocer es que muchas aplicaciones realizan verificaciones para detectar si el dispositivo ha sido rooteado y, en determinadas ocasiones, puede no permitir su instalación. Un ejemplo es SafetyNet, un sistema que disponen los desarrolladores de aplicaciones para verificar si el dispositivo es genuino y no ha sufrido modificaciones. Es decir, lo que hace es comprobar el software y hardware del dispositivo para verificar que su integridad no haya sido comprometida, comparando el estado actual con los datos de referencias recogidos durante el test de compatibilidad (CTS).

Otro riesgo que debemos contemplar es que se podría dañar el software del dispositivo ya que, recordemos, se dispone de acceso a todo el sistema de ficheros. De esta forma, se podría eliminar o modificar contenido no esperado y causar un impacto en el resto del sistema.

lunes, 2 de noviembre de 2020

Mecanismos de protección ante las principales amenazas en el correo electrónico (II)

Según mencionábamos en el anterior artículo de esta serie, actualmente una de las grandes amenazas en el correo electrónico son el phishing y el spoofing (suplantación de identidad), cuya identificación puede llegar a ser especialmente problemática.

Para mitigar este problema existen principalmente tres mecanismos:

  • SPF, el convenio de remitentes. Permitirá a una organización definir desde qué servidores o IPs se puede mandar correo en su nombre.
  • DKIM, que hace uso de una firma para garantizar la autenticidad del correo.
  • DMARC, la combinación de SPF y DKIM, que permitirá realizar valoraciones cruzadas y, en base a sus resultados, determinar qué se hace con un correo (eliminarlo, dejarlo en cuarentena o entregarlo con normalidad).

jueves, 29 de octubre de 2020

Mecanismos de protección ante las principales amenazas en el correo electrónico (I)

 A pesar de que ya han pasado décadas desde su aparición, el correo electrónico sigue siendo una herramienta de comunicación básica en el ámbito personal, pero, sobre todo, en el profesional. En todos estos años han surgido apps de mensajería instantánea, redes sociales e infinidad de soluciones corporativas, cada cual más innovadora que la anterior, y, sin embargo, el clásico email sigue siendo el soporte de comunicación formal por excelencia dentro de cualquier compañía.

Por este motivo, los ciberdelincuentes ven el correo electrónico como una ventana muy atractiva para intentar “colarse” dentro de una organización o para contactar y engañar a los empleados de la misma, asegurándose el anonimato.

Imagen: freepik.es

En esta serie de dos artículos veremos: primero, algunas de las principales amenazas a día de hoy para una empresa; y a continuación, nos detendremos a revisar con más detalle cuál es el funcionamiento técnico de los mecanismos anti-phishing: SPF, DKIM y DMARC.

martes, 20 de octubre de 2020

La importancia de las suites de cifrado en las comunicaciones en PCI DSS

 1. Introducción

Desde 1995, SSL (Secure Sockets Layer) se convirtió en uno de los protocolos más utilizados y extendidos a nivel mundial para el cifrado de las comunicaciones. La gran cantidad de vulnerabilidades en SSL hizo que en 1999 se desarrollase Transport Layer Security 1.0 (TLSv1.0), un protocolo que buscaba mejorar la seguridad en las comunicaciones, aunque como ocurrió en SSL, fueron apareciendo vulnerabilidades en dicho protocolo, principalmente ante ataques BEAST, por lo que tuvo que evolucionar y ser sustituido por TLSv1.1 en 2006.

TLSv1.1 mejoró a TLSv1.0 en cuanto a la seguridad ya que añadía protección con el cifrado de bloques, garantizando el intercambio de datos en un entorno securizado y privado entre dos entes (usuario y servidor); su facilidad de implementación y su uso complementando a otros protocolos en expansión como HTTP, SSH o SMTP, permitió su consolidación en los sistemas de hoy día. Actualmente, son muchas las organizaciones y fabricantes que lo consideran obsoleto (poniendo como fecha límite marzo de 2020) y no se aconseja su utilización para aplicaciones comerciales y comunicaciones a través de redes públicas, por lo que la transición a las versiones TLSv1.2 (2008) o TLSv1.3 (2018) es lo más recomendable puesto que son protocolos más actuales y los cuales están menos afectados por vulnerabilidades y que ofrecen comunicaciones seguras.

NOTA: Este artículo no va enfocado a explicar la criptografía, sino que se centra en el uso de los protocolos de comunicaciones seguros y de cómo las suites de cifrado favorecen esa seguridad.

lunes, 5 de octubre de 2020

Anonimización y Seudonimización de datos de carácter personal

 1. Introducción

Desde la entrada en escena del nuevo Reglamento General de Protección de Datos personales (en adelante, RGPD) han sido muchas las técnicas estudiadas y utilizadas para cumplir con cada uno de los artículos del mismo y, en particular, para proteger de una manera efectiva los datos de carácter personal que se tratan por parte de una organización, de tal manera que, exista un equilibrio entre seguridad y negocio. Sin embargo, existen una serie de técnicas y/o conceptos que todavía causan bastante confusión en la industria y de los cuales se suelen utilizar indistintamente, cuando en realidad, son totalmente distintos. Estas técnicas de protección de datos personales son las que se conocen con el nombre de Anonimización y Seudonimización de datos de carácter personal. Realmente, el único concepto nuevo que se ha introducido con el RGPD ha sido el de Seudonimización, ya que la Ley de protección de Datos, anterior al reglamento, ya recogía en su cuerpo el proceso de anonimización.


En la actualidad, pocas empresas, debido precisamente a la falta de entendimiento de este tipo de técnicas tan beneficiosas en algunas ocasiones, utilizan la Anonimización y Seudonimización para la protección de los datos personales que tratan en sus procesos de negocio.

lunes, 21 de septiembre de 2020

ISecAuditors de nuevo en el GEAR 2020-22 del PCI SSC

 El GEAR (Global Executive Assessor Roundtable) se creó el año 2018, fecha desde la cual hemos formado parte de este grupo internacional de asesores, para obtener recomendaciones y aportaciones de los altos directivos de las empresas de asesoría de seguridad de pago acreditadas por el PCI SSC. Esta iniciativa ha permitido a los altos ejecutivos de las empresas asesoras en Normas PCI de todo el mundo proporcionar asesoramiento, retroalimentación y orientación al PCI SSC sobre las cuestiones y preocupaciones relacionadas con las evaluaciones y los programas de evaluación, representando las perspectivas de las regiones y clientes dónde y con los que trabajan.

El hecho de ser la única empresa Iberoamericana con presencia en el GEAR demuestra el posicionamiento y relevancia de Internet Security Auditors en el entorno de Normas PCI y el valor que considera el PCI SSC que tiene la compañía en las regiones donde trabaja desde hace más de 12 años, ayudando a sus clientes en la consecución del cumplimiento de las diferentes Normas PCI como uno de los líderes indiscutibles y reconocimiento por la calidad de su trabajo.

Más información en el microsite de GEAR del PCI SSC:
https://www.pcisecuritystandards.org/get_involved/global_executive_assessor_roundtable

lunes, 17 de agosto de 2020

Charlas, Eventos y Entrevistas

Aún en estos meses de verano nuestro responsable de ciberinteligencia, Carlos Seisdedos, no para ni un momento. Desde Cifal Málaga han publicado el Libro Blanco de Reflexiones y Propuestas para una Nueva Sociedad post Covid19, en el que un centenar de expertos han participado exponiendo sus soluciones a los retos y desafíos a los que se enfrenta el mundo debido a la pandemia.

Entre ellos, Carlos Seisdedos, con un artículo sobre ciberinteligencia frente al cibercrimen en el COVID-19

Carlos también participará como ponente en la DragonJar Security Conference que se celebrará los días del 4 al 6 de septiembre, este año de forma online y gratuita.

Desde reKnowledge, empresa dedicada a la fabricación de software para análisis de inteligencia han publicado un artículo en su blog en el que recomiendan el perfil de Twitter de Carlos cómo uno de los “especialistas” en OSINT a los que seguir.

Y para finalizar, el pasado 13 de agosto la cadena de TV La Sexta Noticias entrevistó a Carlos Seisdedos, dónde estuvo hablando sobre la nueva aplicación del gobierno, Radar, en la investigación y rastreo de personas con covid.