Analizando el 13/11 con Tinfoleak.

Viernes 13 de noviembre de 2015, París. Esa ha sido la fecha y ciudad seleccionada por los terroristas de Daesh para cometer el mayor atentado en Europa después del 11-M ocurrido en Madrid. En el momento de escribir este artículo, las cifras hablan de 129 muertos y 350 heridos.

La noticia saltaba rápidamente a los principales medios de comunicación. No obstante, la información más directa y ágil llegaba desde las redes sociales, facilitada por los propios usuarios que eran testimonios del horror que se estaba produciendo.

Dado el volumen de información que se generaba cada minuto y en ubicaciones geográficas distintas, el poder disponer de una herramienta que facilitara el filtrado y análisis de la información publicada en las redes sociales, aportaba un gran valor.

Aprovechando algunas de las nuevas funcionalidades que incorporará la nueva versión de Tinfoleak, esa misma noche comencé a monitorizar las redes sociales para hacer un seguimiento de los hechos. Para ello, utilicé la funcionalidad de búsqueda avanzada basada en geolocalización, facilitando las coordenadas geográficas de los lugares de los atentados.

Según los medios de comunicación, a partir de las 21:00h (hora local de París) se iniciaron las actuaciones de los terroristas que, de forma coordinada, se sucederían durante varias horas.

Entre las 21:15h y las 22:00h, se produjeron tres explosiones en las inmediaciones del Estadio de Francia, donde estaba teniendo lugar el amistoso entre las selecciones de Francia y Alemania.

En este caso, es posible utilizar Tinfoleak para conocer la información que se estaba publicando en las redes sociales desde momentos previos a los atentados en las inmediaciones del estadio de fútbol.

En primer lugar, necesitamos disponer de las coordenadas del lugar a analizar. En nuestro ejemplo, el Estadio de Francia. Para ello, podemos utilizar Google Maps:

Imagen 1: Identificando coordenadas del Estadio de Francia en Google Maps.

Una vez disponemos de las coordenadas, podemos utilizar Tinfoleak para que nos recopile la información que se está publicando por los usuarios en las redes sociales dentro de un radio de acción especificado, y entre las fechas y franjas horarias que indiquemos (entre otros filtros).

La siguiente captura muestra un ejemplo de ejecución de Tinfoleak para localizar información disponible en los últimos 1000 tuits publicados un radio de 1km desde las coordenadas del estadio, entre los días 13 y 14 de noviembre:

Imagen 2: Ejemplo de ejecución de Tinfoleak

Una vez finalizada la ejecución podemos consultar el informe de salida (en formato HTML) para visualizar la información obtenida.

Los resultados se muestran en diferentes secciones del informe. En una primera sección del apartado “Advanced Search”, nos encontramos con la búsqueda por coordenadas que refleja la siguiente información (los resultados se muestran ordenados por fecha y hora, de la más reciente a la más antigua):

Imagen 3: Sección “Search by coordinates” del apartado “Advanced Search”
del informe generado por Tinfoleak

En esta primera sección podemos visualizar la fecha y hora de cada tuit, las coordenadas (en caso de que el usuario las haya habilitado) desde las que se envía cada tuit, el contenido multimedia publicado (imagen o video), la red social utilizada (Twitter, Instagram, Foursquare, etc.), así como el tuit que se ha publicado, y el usuario que lo ha enviado.

De esta forma, podemos hacer clic en las coordenadas para mostrar en Google Maps en una nueva pestaña del navegador con la posición desde la que se envió cada tuit, visualizar el contenido multimedia publicado, el contenido de cada tuit o la página del usuario que ha publicado dicho contenido.

En una segunda sección “Geolocated Users” del apartado “Advanced Search”, se muestran los usuarios que se encontraban publicando contenido en las redes sociales dentro del radio de acción especificado y con los filtros aplicados:

Imagen 4: Sección “Geolocated users” del apartado
“Advanced Search” del informe generado por Tinfoleak

Esta segunda sección es interesante ya que enumera los usuarios (de forma única, es decir, si un usuario ha publicado 3 tuits, sólo se mostrará una vez) que se encontraban en el radio de acción analizado, así como el nombre que utilizan en otras redes sociales (concretamente: Twitter, Instagram, Foursquare y Facebook). En caso de que el usuario publique algún enlace, por ejemplo a un sitio web personal, se mostraría en la columna “Other”. Asimismo, para cada usuario, se enumeran los hashtags publicados en las distintas redes sociales que ha utilizado dentro de la franja de tiempo especificada en la búsqueda.

De esta forma, es posible acceder a los distintos perfiles de los que dispone cada usuario identificado, simplemente haciendo clic en su nombre.

En una tercera sección “Tagged Users” del apartado “Advanced Search” del informe, encontramos usuarios que, aunque no hayan publicado información en las redes sociales, podemos ubicarlos en la zona analizada ya que han sido etiquetados por otros usuarios en alguna imagen. En concreto, esta sección muestra: el usuario etiquetado, el usuario que lo ha etiquetado, y la imagen en la que se encuentra etiquetado.

Imagen 5: Sección “Tagged users” del apartado
“Advanced Search” del informe generado por Tinfoleak

Por ejemplo, el usuario con identificador “karstendevreugd” en Instagram, publicó una foto el día 14 de noviembre etiquetando al usuario “csofiedu” (también con cuenta en Instagram):

Imagen 6: Fotografía de un usuario etiquetado, identificado desde el informe generado por Tinfoleak

Una cuarta sección (“Media Resources”) del apartado “Advanced Search” del informe generado como resultado de la búsqueda realizada, nos muestra la siguiente información: imagen o video publicado, usuario que ha publicado dicha imagen o video (incluyendo su fotografía de perfil en Twitter, su identificador en Twitter, la fecha y la hora de la publicación de la imagen o video), usuario que ha retuiteado el tuit en el que se publicaba dicha imagen o video (incluyendo la misma información que para el usuario fuente), así como un enlace al tuit que contiene la imagen o video, para visualizar el contenido del mismo.

Imagen 7: Sección “Media resources” del apartado
“Advanced Search” del informe generado por Tinfoleak

Esta sección nos permite realizar una rápida visita por el contenido publicado y, de forma muy visual, identificar aquellos recursos y usuarios que pudieran ser de interés para nuestra investigación. Haciendo clic en la imagen o video, podemos ampliar y reproducirlo en una nueva pestaña del navegador (o directamente desde la vista previa).

De esta forma, haciendo clic en una de las imágenes reportadas por Tinfoleak podemos, por ejemplo, visualizar la siguiente fotografía que fue publicada por el usuario “megamodelnyc” en Instagram el 14/11 a las 00:08h:

Imagen 8: Fotografía tomada por un usuario y obtenida desde Tinfoleak

Asimismo, haciendo clic en el contenido de la publicación, vemos como diferentes medios de comunicación le solicitaban permiso para publicar la fotografía:

Desde los primeros instantes en los que se iniciaron los atentados, los usuarios comenzaban a alertar de lo ocurrido en las redes sociales, publicando fotografías de los lugares de los hechos.

Continuando con la cronología de los hechos, a continuación se muestran algunos ejemplos.

En la sección “Search by Coordinates” del informe, nos encontramos que, a las 21:53h del viernes 13 de noviembre, el usuario “justdizle” publicaba una imagen en Twitter:

Imagen 10: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram

Haciendo clic en el enlace “view” podemos consultar el tuit publicado por este usuario, conteniendo la imagen:

Imagen 11: Mensaje publicado por un usuario en las redes sociales

O haciendo clic en el enlace “Image”, consultamos directamente la imagen publicada en Instagram:

Imagen 12: Fotografía tomada por un usuario en las
inmediaciones del Estadio de Francia y obtenida con Tinfoleak

Haciendo clic en las coordenadas, observamos como la fotografía fue tomada a escasos metros de la estación de tren, y muy cerca del Estadio de Francia:

Imagen 13: Visualizando en Google Maps las coordenadas de un tuit geolocalizado por Tinfoleak

De la misma forma, en la sección “Search by Coordinates” del informe, observamos que a las 22:35h del viernes 13 de noviembre, el usuario “rabonamag” publicaba contenido en Twitter:

Imagen 14: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram

Haciendo clic en el enlace “view”, accedemos al contenido de la publicación:

Imagen 15: Mensaje publicado por un usuario en las redes sociales

Igualmente, podemos visualizar la imagen publicada por este usuario en Instagram a través del enlace “Image”, donde observamos el interior del estadio de Francia (recordemos, se encontraba el presidente François Hollande y que fue evacuado minutos antes) en el que permanecían los asistentes al partido de fútbol entre las selecciones de Alemania y Francia:

Imagen 16: Fotografía tomada por un usuario desde el Estadio de Francia y obtenida con Tinfoleak

En esos momentos, muchos usuarios ya querían informar a sus seres queridos de que no había sufrido daño. Ese es el caso del usuario “stephendevries” que, a las 23:01h y tras encontrarse fuera del estadio, comunicaba mediante Twitter que se encontraba a salvo:

Imagen 17: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram

Imagen 18: Mensaje publicado por un usuario en las redes sociales

Junto a este mensaje publicaba la siguiente fotografía en la que se aprecia como la policía ya había tomado posiciones en las calles cercanas al Estadio de Francia:

Imagen 19: Fotografía tomada por un usuario en las calles de París y obtenida con Tinfoleak

Más allá del mero hecho informativo, los datos que se pueden obtener en las redes sociales cobran especial relevancia, ya que pueden proporcionar pistas sobre la ejecución de los atentados o los propios terroristas.

Es el caso, por ejemplo, de los videos que publicaban los usuarios minutos antes de que comenzara el partido de fútbol en el que tuvo lugar el primero de los atentados.

Imagen 20: Identificación de videos publicados por los usuarios mediante búsquedas con Tinfoleak

El usuario de Twitter “justdizle”, a las 00:52h del día 14 de noviembre, publicaba el siguiente video[3] momentos antes de acceder al estadio:

Imagen 21: Reproducción de un video publicado minutos antes del partido Francia-Alemania, obtenido con Tinfoleak

Haciendo clic en el enlace “view”, podemos consultar el mensaje publicado junto al video, donde comenta que el video fue realizado 30 minutos antes de comenzar el partido:

Imagen 22: Mensaje publicado por un usuario en las redes sociales

Entre las 21:20h y 21:43h se produjeron tres tiroteos. Las redes sociales no cesaban de suministrar información sobre los lugares de los hechos, publicando fotografías y videos.

Imagen 23: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Muchos usuarios se refugiaban en casas o comercios donde se les abría las puertas (el hashtag “porteouverte” fue de gran ayuda y demostró el nivel de solidaridad del pueblo francés). Es el caso del usuario “SydneyBaloue”, que publicaba el siguiente tuit a las 00:03h en las cercanías del restaurante Le Petit Cambodge, donde los terroristas asesinaron a doce personas:

Imagen 24: Mensaje publicado por un usuario en las redes sociales

Haciendo clic en el enlace “view” del informe de Tinfoleak, se visualiza la fotografía ampliada que publicaba en Instagram:

Imagen 25: Fotografía realizada por un usuario e identificada desde Tinfoleak

Pero, sin duda, la situación más dramática se vivía en la popular sala de teatro Bataclan, donde tenía lugar un concierto de la banda Eagles of Death Metal. Allí accedieron varios terroristas tomando como rehenes a un elevado número de personas que se encontraban en pleno concierto.

A las 23:35h Leo Novel, un reportero gráfico, fotografiaba como la policía acordonaba las inmediaciones de la sala Bataclan:

Imagen 26: Identificación de los datos asociados a la imagen publicada por un usuario en Twitter

Imagen 27: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Publicando el siguiente mensaje en Twitter:

Imagen 28: Mensaje publicado por un usuario en las redes sociales

Con esta fotografía en Instagram (reportada por Tinfoleak y a la que es posible acceder sin necesidad de pasar por la red social):

Imagen 29: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak

Un gran número de medios de comunicación contactaban con los usuarios a través de las redes sociales para ampliar la información:

Imagen 30: Mensaje publicado por un medio de comunicación hacia uno de los usuarios

A las 00:15h del día 14 de noviembre, el usuario “TraceyFriley” de Twitter, publicaba en Instagram un video[5] con numerosos servicios de emergencia circulando por una de las calles de París:

Imagen 31: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak

Accediendo al contenido de la publicación a través del enlace “view”:

Imagen 32: Mensaje publicado por un usuario en las redes sociales

Y visualizando el video haciendo clic en la vista previa:

Imagen 33: Video obtenido con Tinfoleak mostrando vehículos de emergencia en una calle de París

Otros usuarios publicaban videos desde sus casas, como el usuario de Twitter “ianmcall” que a las 01:18h del día 14 de noviembre publicaba el siguiente:

Imagen 34: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak

Imagen 35: Video obtenido con Tinfoleak desde la vivienda de un usuario

O directamente desde la calle, en las inmediaciones de la zona. Como el publicado por el usuario de Twitter  “matte_mag" desde la Place de la République mostrando números medios policiales:

Imagen 36: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak

Imagen 37: Video obtenido con Tinfoleak mostrando vehículos policiales en las calles de París

El usuario de Instagram “mickael_rahmeek” publicaba distintas fotos minutos antes del asalto por parte de la policía francesa:

Imagen 38: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Imagen 39: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak

Imagen 40: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak

Observando las coordenadas desde las que publicaba estos tuits, se aprecia que se encontraba a escasos metros de la sala Bataclan:

Imagen 41: Identificación de los datos asociados a imágenes publicadas por un usuario en Instagram

Imagen 42: Mostrando posición de un tuit en Google Maps geolocalizado mediante Tinfoleak

Minutos después, conoceríamos el fatídico desenlace. Los cuerpos de seguridad franceses asaltaban la sala de teatro Bataclan para liberar a los rehenes. Tres de los terroristas que se encontraban en el interior, accionaron los explosivos que llevaban en sus cinturones incrementado así la tragedia, provocando un elevado número de muertos y heridos (muchos de ellos en estado crítico).

Nuestras condolencias a los familiares y amigos de todas y cada una de las víctimas.

Referencias

Tinfoleak.
La Vanguardia - Cronología de los atentados de París
Video realizado 30 minutos antes del inicio del partido Francia-Alemania
Video mostrando los numerosos servicios de emergencia
Video desde la vivienda de un usuario
Video desde la Place de la République

---

Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader 
Director Departamento de Auditoría. 

Publicada la Guía del Programa PA- DSS v2.2 (SSL y PA DSS v2.0)

Con la aparición de vulnerabilidades consideradas como críticas en el protocolo SSL: Beast, Crime, Heartbleed, Poodle y Freak recientemente, obligaron al PCI SSC a reaccionar, y a publicar una actualización en la versión 3.0 de PA DSS (PA DSS v3.1), obligando a los fabricantes de aplicaciones de pago que quieran certificar sus aplicaciones a no utilizar el protocolo SSL bajo ningún concepto.

Como existe la posibilidad de que un cliente certifique su entorno PCI DSS por la v3.1 utilizando una aplicación PA DSS certificada por la v2.0, el PCI SSC ha publicado una nueva versión de la “Program Guide” para la versión 2.0 de PA DSS.

Con esta nueva versión de la Program Guide v2.2, aquellas empresas que quieran mantener su aplicación certificada por PA DSS bajo la versión 2.0, deberán revisar el desarrollo de su aplicación y eliminar el uso de este protocolo, debiendo garantizar que la aplicación soporta protocolos de cifrado que aún no han sido vulnerados (TLS v1.1 y TLS v1.2) para la transmisión.

En caso de que un cambio calificado como de bajo impacto (low impact change) afecte solo a requerimientos PA DSS de transmisión segura de datos (por ejemplo, requisitos 6, 8.2, 11 y 12), la aplicación de pago debe soportar únicamente protocolos seguros (TLS 1.1 y 1,.2).

---

Autora: Carmen de Alba - CISM, CISA, PCI QSA, PCI PA-QSA
Departamento de Consultoría.

9º Congreso de Prevención del Fraude y Seguridad. Bogotá

Los pasados 29 y 30 de octubre se celebró el 9º Congreso de Prevención del Fraude y Seguridad organizado por Asobancaria. Asobancaria es el gremio representativo del sector financiero colombiano. Está integrada por los bancos comerciales nacionales y extranjeros, públicos y privados, las más significativas corporaciones financieras e instituciones oficiales especiales siendo el Banco de la República, Banco Central de Colombia, miembro honorario.

Este evento, uno de los más relevantes del sector financiero en el área de la seguridad, en el cual reúne a responsables de seguridad, riesgos, auditoría, etc. de las entidades financieras del país y a los profesionales de la seguridad.

Parte del equipo de Internet Security Auditors en Colombia asistió al evento para estar actualizados en los temas más significativos de seguridad en el país, además conocer las novedades que se anunciarían en este relevante congreso y así tener conocimiento de primera mano,  de algunas de las preocupaciones, inquietudes e iniciativas que el sector financiero de Colombia tiene hasta el momento.

Tras la apertura por parte del Presidente de Asobancaria, Santiago Castro Gómez, quien presentó el evento, la situación del sector, inquietudes y objetivos del sector, Jorge Fernando Perdomo, Vicefiscal General de la Nación, expuso un conjunto de recomendaciones de seguridad que, con una pequeña inversión e incluso con buenas prácticas, permiten mejorar la seguridad.

Si bien es cierto que algunos temas recurrentes, como la seguridad física y los aspectos relacionados con las medidas de seguridad por parte de las entidades para proteger a los clientes, Jorge Iván Otálvaro, Presidente del Comité de Seguridad de Asobancaria y Vicepresidente de Servicios Administrativos del Grupo Bancolombia nos introdujo aspectos muy interesantes sobre las preocupaciones del sector en la proliferación de nuevos agentes en el comercio electrónico y la importancia y la necesidad de una regulación del comercio electrónico que, sin impedir éste ni suponer obstáculos en su desarrollo, sí garantice la seguridad del comprador y la información de los datos de pago. Miguel Ángel Villalobos, Superintendente Delegado para Riesgos Operativos de la Superintendencia Financiera de Colombia y Santiago Ángel Jaramillo, Director de Regulación del Ministerio de Comercio, Industria y Turismo de Colombia presentaron nuevas iniciativas desde el sector público y dieron a conocer en qué se está trabajando para la regulación y protección final del consumidor y mejora de la seguridad en diversas vertientes.

Desde México también se presentaron casos reales de iniciativas en la facilitación del comercio electrónico, la seguridad y la protección de la información, de la mano de Alejandro Rodríguez, Subdirector de Auditoría Interna del Banco Multiva, S.A.  y  Carlos Chalico, Director de Ouest Business Solutions, quien hizo bastante hincapié en la protección de datos personales, tomando como base las diferentes circulares del comercio Colombiano.

En las diferentes sesiones que se desarrollaron, de forma muy dinámica de forma paralela, dos aspectos clave se presentaron: la importancia de la protección de datos de carácter personal y la necesidad de la implementación de buenas prácticas en seguridad para remediar ciertas situaciones que impactan directamente en la seguridad del usuario. Sin duda, PCI DSS apareció en muchas presentaciones. La importancia de la implementación de la norma y su uso como estándar de referencia para la mejora de la seguridad en el ecosistema tanto financiero como del comercio electrónico fue un concepto recurrente y común en muchas de las presentaciones. Incluso en alguna de ellas se presentó como meta para la mejora de la confianza de los usuarios y clientes y como herramienta clave para la reducción del fraude relacionado con el compromiso de la información de tarjetahabientes.

Casos prácticos de cómo malas prácticas en seguridad se pueden encontrar desde aplicaciones móviles del market de Google para Android, en muchos casos con fines malévolos, como presentó Claudio Caracciolo, de Eleven Paths; casos prácticos de incidentes por troyanización con malware Plutus de cajeros en México el 2014, por parte de Adolfo Grego, Director Ejecutivo del Grupo RF; el uso de protocolos inseguros en aplicaciones móviles, según presentó Joji Montelibano, de CSC, etc.

En presentaciones de diversa temática, se trataron también aspectos sobre el estado del arte de la ciberseguridad desde la visión de Alberto Partida, experto en seguridad y autor de diversos libros de referencia, o con el punto de vista de la Policía Nacional, o de la gestión del fraude interno, por parte de Arturo del Castillo, de KPMG.

En resumen, el Congreso resulto merecer indudablemente la asistencia para tener la oportunidad conocer a algunas de las personas clave en el mundo de la seguridad del sector financiero del país y tener la oportunidad de presentar a Internet Security Auditors como la empresa que pretende tener la relevancia en el sector de la seguridad que ya tiene en España, siendo, por ejemplo, referente experto en normas PCI. Esperamos que en próximos congresos Internet Security Auditors pueda presentar sus experiencias en el país y aportar un granito de arena en la mejora de la seguridad de tan importante sector en Colombia.

---

Autora: Laura M. Chacón Guzmán
Departamento Comercial

Crónica del (ISC)2 Security Congress EMEA 2015

La segunda edición del congreso anual que organiza (ISC)2 para la región EMEA, tuvo lugar los días  20 y 21 de octubre de 2015 en Munich. Aunque el sol no se dejó ver y la lluvia hizo acto de presencia de forma casi constante, la experiencia de formar parte del congreso (en mi caso, como ponente) fue realmente enriquecedora.

El congreso, del que hay que destacar su envidiable nivel de organización, incluía una jornada previa a las conferencias en las que se impartieron dos talleres: "Digital Forensics" (impartido por Lorenz Kuhlee, de Verizon) y "Cloud Security" (impartido por Tim J. Sandage y Gavin Fitzpatrick, ambos de Amazon). Dichos talleres, de media jornada de duración, se impartían en horario de mañana y tarde con el fin de facilitar la asistencia a todos aquellos interesados en los mismos.

Respecto las conferencias, se organizaban en seis tracks (las tres primeras el primer día, y las siguientes el segundo):

• Track 1: Mobile and Cloud
• Track 2: Analytics and Forensics
• Track 3: Risk and Governance
• Track 4: Technology, Business and the Future
• Track 5: Privacy and Data Security
• Track 6: Hackers and Threat Intelligence

Por otro lado, se incluían sesiones fuera de estos tracks, por parte de distintos keynotes y panelistas. Entre las ausencias, cabe destacar la de Howard A. Schmidt (Executive Director en SAFECode, con una dilatada experiencia y antiguo coordinador y asesor en materia de ciberseguridad de Barack Obama hasta el año 2012) que, aunque había sido anunciada su presencia, finalmente no pudo asistir.

De este congreso, destacaría tres aspectos: por un lado, el carácter internacional del mismo (tanto a nivel de ponentes como de asistentes), por otro, la clara orientación hacia el networking (con pausas para intercambiar impresiones cada dos horas aproximadamente) y, finalmente, la extraordinaria precisión (recordemos que se organizaba en Alemania) en cuanto al horario establecido en el programa.

PRIMER DÍA DE CONFERENCIAS
Tras recoger la acreditación y realizar los primeros contactos durante el tiempo del café, David Shearer (CEO de (ISC)2) inauguraba el congreso con una breve introducción y daba paso a los primeros keynotes. En esa mañana, especialmente interesante me resultaron las siguientes conferencias:

"The Cyberpsychology of Information Security: Managing Risk in Leaderless Environments"
La conferencia del Dr. Ciarán Mc Mahon (coordinador de investigación y desarrollo del CyberPsichology Research Centre, en Irlanda) se realizaba desde una perspectiva totalmente distinta a la que estamos acostumbrados, y analizaba el choque entre humanos y tecnología: qué impacto tienen las tecnologías emergentes en el comportamiento humano. En una de sus slides, se podia leer el siguiente mensaje: ¿es 2015 el año en el que la ciberseguridad muestra su lado humano? Expuso conceptos como comunicación persuasiva y como influir en la capacidad y motivación de las personas a la hora de prestar atención.

En la pausa de mediodía, tuve la oportunidad de conversar con el Dr. Ciarán y, tras un intercambio de impresiones, me mostró su interés por las posibilidades que podía llegar a ofrecer mi herramienta Tinfoleak en el análisis del comportamiento y conductas humanas a partir de la información públicada en redes sociales.

"The Science Behind The Analogies Project"
Bruce Hallas, fundador de The Analogies Project, nos expuso la filosofía del proyecto que lidera (y en el que puede colaborar cualquier persona). El objetivo es hacer entender la seguridad de la información a toda la sociedad. Para ello, utiliza analogías fácilmente identificables y comprensibles por cualquier persona, independientemente del sector en el que se encuentre. Por ejemplo, a través del paralelismo entre algo que la persona conoce o puede tener interés (como el deporte o la política) y un concepto de seguridad, se facilita la comprensión del mismo.

Bruce propuso un juego entre los asistentes. Pensar y describir ejemplos de analogías en una cartulina (previamente facilitada por la organización del congreso entre los materiales que recibían los asistentes) y facilitarla para formar parte de un concurso en el que se seleccionaría al día siguiente los ganadores.

Entre las sesiones de la tarde, cabe destacar la ponencia "Information Security in Nuclear Facilities: Notes from a High Threat, Highly Regulated Industry" de Andrea Cavin, colaborador de distintos organismos internacionales, entre ellos la ONU, en materia de seguridad en instalaciones nucleares. En su presentación, Andrea expuso la problemática de estos entornos "especiales", mostrando ejemplos de posibles amenazas (en los momentos que vivimos actualmente, una amenaza terrorista se encuentra claramente presente y gestionada en todos los gobiernos), el impacto en la sociedad y, sobretodo, el alto nivel de regulación existente en esta materia.

En una conversación con Andrea, tras su presentación, me comentó su nivel de extrañeza al observar el bajo nivel de participación de perfiles españoles en numerosos ejercicios de simulación de ataques (los famosos tabletop) sobre instalaciones nucleares que se llevan a cabo en distintos continentes. Máxime, cuando España dispone de este tipo de instalaciones y de personal altamente cualificado. Le hice saber que miembros de nuestro equipo de hacking habían participado en un tabletop organizado por CSFI (Cyber Security Forum Initiative), aunque coincidía con él en su visión global de la falta de recurrencia en este tipo de actividades por personal de nuestro país.

Una vez finalizadas las conferencias del primer día, (ISC)2 había organizado una cena donde, en un ambiente distendido (y como indicaba el propio CEO, David Shearer, "fuera trajes, con vestimenta casual") se facilitaba el networking entre ponentes y asistentes. A las 18:00h, tal y como recogía el programa, ya nos esperaban los autocares para desplazarnos hasta el restaurante donde tendría lugar la cena. A nuestra llegada, fuimos recibidos con un cocktail previo en el que se iniciaban animadas conversaciones. En un momento dado, Adrian Davis (Managing Director para EMEA del (ISC)2) nos llamaba la atención con un triángulo (el instrumento), que hizo arremolinar a todos los asistentes a su alrededor. David Shearer se subía en una silla para hacerse ver y oir mejor, y leía distintas notas con los motivos por los que los presidentes de varios capítulos de (ISC)2 eran premiados debido a un esfuerzo/dedicación especial en el último año. Cada uno de estos presidentes, recogía su premio entre los aplausos de los allí asistentes. A las 19:00h comenzamos la cena, repartidos en las distintas salas del restaurante. Como si del principio de un chiste se tratara, en mi mesa nos encontrábamos un australiano, un inglés, un italiano (Andra Cavina) y un español. Fue una grata sorpresa conocer que Andrea, con el que había conversado previamente en inglés, hablaba un perfecto español (eso sí, con acento mexicano).

SEGUNDO DÍA DE CONFERENCIAS
El segundo día se iniciaba, tras el café inicial, con una breve introducción a la jornada por parte de Rainer Rehm, presidente del capítulo alemán de (ISC)2. A continuación, tuvo lugar una interesante conferencia ("The Myths in Biometrics: Some Answers") a cargo de Alexander Nouak (Head of the Competence Center "Identification and Briometrics de Fraunhofer Institute for Computer Graphics Research, y co-funddador y presidente de European Association for Biometrics). Destacar el nivel de inversión que se realiza en Alemania en investigación. Por ejemplo, la organización donde Alexander Nouak realiza su trabajo (Fraunhofer), formada por 66 institutos y más de 24000 miembros, dispone de un presupuesto anual en investigación de 2.000 millones de euros. En su exposición, tras definir las características básicas de la biometría comentaba sus limitaciones, la falta de cumplimiento de los sistemas biométricos con los principios de privacidad de los datos (en Europa, la regulación de protección de datos se encuentra en desarrollo desde 2012), así como guías técnicas sobre socomo implementar requerimientos de privacidad y protección de datos (ISO/IEC 24745-2011: Biometric Information Protection) entre otros aspectos. Interesante también la idea que expuso en relación a que la biometría conduce necesariamente a la vigilancia de las personas.

Durante la mañana, realicé mi presentación "You are being watched..." en la sala principal, donde presenté la problemática asociada a la capacidad de obtención de información sensible, sobre cualquiera de nosotros, únicamente utilizando datos accesibles públicamente en redes sociales. Dejando de lado la vigilancia por parte de gobiernos u otras organizaciones, mi presentación se centraba en la capacidad real de la que dispone un usuario particular con unos recursos muy limitados, de obtener información privada sobre nosotros. Quizás alguien de nuestro entorno, o alguien ubicado a miles de kilómetros pero que nuestro perfil entra dentro del patrón de usuario que desea analizar, posiblemente con finalidades maliciosas. En mi presentación, eminentemente práctica, mostré funcionalidades que incorporará la nueva versión de mi herramienta Tinfoleak.

Ya en la tarde, tuvieron lugar dos sesiones interesantes, en la que todos los asistentes fuimos invitados a participar de forma activa. La primera, a cargo de la Dra. Sally Leivesley (Managing Director en Newrisk Limited) propuso un ejercicio: como manejar la respuesta a incidentes (momentos de crisis) relacionados con un ataque a suministros de energía en un pais. En grupos de 10 personas se formaron equipos, en los que durante 15 minutos se debía pensar en posibles incidentes que pudieran ocurrir y cómo se reaccionaba ante los mismos desde distintos ámbitos. Todo esto intentando ofrecer respuesta a 12 cuestiones planteadas previamente por la Dra. Leivesley (desde como se podía haber gestionado la ciberseguridad de forma previa al ataque, o como gestionar el aviso de comunicación posterior a la sociedad, presentar propuesta de alternativas y soluciones para continuar ofreciendo los servicios requeridos, etc.). Tras dicho tiempo, cada equipo seleccionaba un portavoz y presentaba brevemente sus planteamientos al respecto. Posteriormente, la Dra. Leivesley aportaba su visión sobre cada una de las exposiciones. Sobra decir que, dado el elevado número de equipos, no todos tuvieron ocasión de exponer los resultados de su deliberación.

La segunda de las sesiones "prácticas" en las que debían participar los asistentes, y perfectamente dinamizada por Adrian Davis (Managing Director EMEA de (ISC)2), consistía en un quiz en el que igualmente se conformaban equipos en la disputa de un premio. Las preguntas, clasificadas en distintas secciones, eran muy diversas: desde describir una de las vulnerabilidades con las que comprometer un dispositivo Android, indicar el nombre de la empresa de seguridad que sufrió un grave incidente en 2014, o describir tres de las vulnerabilidades que forman parte del Top 10 de OWASP. Para ello, cada equipo disponía de varias hojas con las preguntas. Tras el tiempo definido para redactar las respuestas, se intercambiaban las hojas entre los distintos equipos, y una vez Adrian facilitaba las soluciones (las preguntas eran puntuadas en función de su nivel de dificultad), cada equipo debía puntuar las respuestas que se encontraban en las hojas que había recibido. De esta forma, se obtenía una puntuación final por equipo. A continuación, se retornaban las hojas puntuadas al equipo que las había respondido. En ese momento, Adrian solicitó que todos los asistentes se pusieran en pie. Primero dijo: "aquellos equipos con una puntuación inferior a 5, pueden sentarse", a continuación: "pueden sentarse los equipos con una puntuación inferior a 8", y así sucesivamente. De esta forma, fueron eliminándose rápidamente equipos (cabe destacar que el equipo en el que me encontré, fuimos finalistas), hasta quedar un equipo ganador que recibía un premio por parte de (ISC)2.

Tras unas conferencias posteriores, dedicadas a IoT (Internet of Things) y tendencias en ciberseguridad, se clausuró el congreso.

Sin duda, un congreso muy recomendable y de exquisita organización. Especialmente resaltable, el aspecto que mencionaba al inicio de esta crónica: la clara orientación hacia el networking y la capacidad de atracción internacional.

---

Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader 
Director Departamento de Auditoría.