Analytics

jueves, 17 de mayo de 2018

Crónica Mundo Hacker Day 2018


Otro año más acudimos a MundoHackerDay, este año se ha enfocado principalmente a la era digital en la que vivimos. En este gran evento, nos ha mostrado que cada vez estamos conectados a un mundo en el cual hay una serie de amenazas que afectan tanto a empresas como a usuarios. Estas amenazas entre otras pueden ser robo de identidad, fuga de datos hasta las famosas estafas con criptomonedas.

Para dar pie a este evento, Víctor Aznar, (GlobbTV), hizo una pequeña introducción y posteriormente dio paso a Antonio Ramos que nos deleitó con su charla “The Upside Down World (Stranger Things)”. En la cual, nos habló de cómo está afectando la evolución tecnológica y los riesgos que con ello conllevan. Nos comentaba que realmente la tecnología en muchos casos nos está ayudando, pero … a su vez también nos está ocasionando problemas (falta de seguridad, riesgos, desempleo, etc... Vamos lo que viene siendo el mundo al revés, queremos tenerlo todo, pero a su vez lo estamos complicando cada vez más.

Para continuar, contamos con la presencia de Carlos Gómez (Aruba), con su charla “WPA3: Seguridad Móvil de última generación”, nos habló de cómo habían impactado las vulnerabilidades en anteriores protocolos por ejemplo en WPA 2 como krack y la evolución del protocolo wifi el cual el nuevo modelo que se va a implantar en este 2018 es WPA 3. El cual nos mencionaba que se produce una mejora de autenticación y cifrado. Que va a contar con un cifrado de 192 bits y cuenta con una implementación del protocolo Dragonfly (Autenticación Simultánea de Iguales) que mejora la seguridad en el momento del handshake, que es cuando se intercambian la clave de la red, que los ataques por diccionario ya no van a ser posibles, la mejora para dificultar los posibles ataques Mitm mediante el uso de datos cifrados de manera individual, etc.

Posteriormente seguimos con una charla de la mesa redonda, “La nueva era de la seguridad ¿Hacia un “Black Mirror” cada vez más real?”, en ella pudimos contar con la presencia de los siguientes componentes: Dani Creus (Kaspersky), Josep Albors (ESET), Conrado Crespo (Panda Security), Antonio Navas (Viewnext), Melchor Sanz (HP), Alberto Ruiz Rodas (Sophos), Daniel de Blas (Modera). En este debate se habló sobre el impacto de los ataques, que cada vez son más sofisticados. Con el paso del tiempo contamos cada vez de más avances en la tecnología, como por ejemplo la inteligencia artificial, tecnología biométrica, los aparatos que conectamos a Internet y este impacto afecta tanto a usuarios como empresas, ya sean tanto amenazas como la privacidad de los mismos.

La siguiente ponencia la realizó Jorge Hurtado de S21sec, “Operaciones de Seguridad guiadas por Inteligencia: ¿qué es la pirámide del dolor?”, En ella hizo referencia al servicio de respuesta ante incidentes, la lucha constante contra este tipo de técnicas de grupos organizados, describiendo el tipo de técnicas sus prácticas, procesos y estrategias concretas de detección y respuesta contra este tipo de amenazas persistentes avanzadas.

Continuamos con una mesa redonda, la cual contamos con: Silvia Barrera [IN]Seguridad Informática, Tamara Hueso (Deloitte), Rosa Díaz (Panda Security), María José Talavera (IBERIA VMware),Albora Trimiño (Cybersecurity Operator IT Risk Fraud and Security), Miriam Martínez (Miembro de HoneySec), Pilar Vila (Computer forensic expert), María José (ESET) Moderadora Desireé Rodriguez en la charla “Hack Woman by ESET”.  En ella, hacían referencia a la falta de mujeres en este sector de la ciberseguridad. Principalmente en España nos comentaban que estamos por debajo de la media en este sector, ya no en este sector de la ciberseguridad sino en el sector TIC.

Seguimos con Vicente Pérez “Seguridad en entornos x-cloud”, se centró en la seguridad de los datos y la privacidad que nos ofrecen dichos entornos. Nos mostraba las distintas herramientas, soluciones de seguridad, los tipos de estrategias, ya que todo es bastante complejo y para todo ello es muy importante construir un buen plan de seguridad.

Después de todas las charlas anteriores, realizamos un breve descanso, en el cual se nos invitó a todos los asistentes a café, refrescos y algo de picar patrocinado por Panda.

Para seguir, ya una vez todos más activos después del café, seguimos con la charla de Jose Pino “KEYNOTE: "Trape: the phishing evolution", nos mostró como muchas veces podemos estar expuestos a Internet, utilizando la técnica de Phising. Pudimos ver su herramienta en acción (Trape), que es una herramienta de investigación OSINT, la cual permite rastrear personas, obtener información confidencial, ejecutar ataques de ingeniería social inteligentes... sin que el propio usuario se entere.

La siguiente charla fue “Cuando la amenaza está dentro: detección y respuesta temprana frente a ataques con Aruba Introspect” por Artur Gradoli, hizo referencia al tipo de ataques y cómo podemos nosotros mejorar la detección y respuesta con una herramienta llamada Aruba Intropect, la cual aplica una seguridad basada en aprendizaje automático.

El siguiente turno fue para David Conde con “Ay, ay, ay … dándoles a los malos donde más les duele!”, hizo mención a los ciberataques y como poder tener una respuesta ante incidentes y la lucha contra algunos de los grupos organizados más sofisticados que actúan en el ámbito internacional y las amenazas avanzadas persistentes.

Proseguimos con la mesa Redonda con “las Comunidades de Hacking” en la que contamos con la compañía de : María José Montes  (Hacking Solidario),  Raúl Fuentes (TomatinaCON), Adrián Ramírez (Sec/Admin), Ángel Pablo Avilés (Por Una Red Mas Segura) , David Moya (Eastmadh4ck), Carlos García (Qurtuba Security Congress y Hack&Beers), Esteban (FaqIN ), Dauksis, Igor Lukic(Hackron), Juan Antonio (HoneyCON),  Pilar Vila (María Pita DefCon), Juan Carlos Gutierrez Florez (MundoHacker - HHS), Moderador:Tatiana Gutiérrez Marqués, INCIBE, se habló sobre las fakenews como impactac en la socidad que vivimos y la importancia de la concienciación en la ciberseguridad.

Para continuar seguimos con Gabriel Lazo Canazas, “de Digital Molotov “, nos describió algunas de las tendencias en los servicios del mercado negro del cibercrimen y como con una serie de datos pueden ser usados para generar dinero.

Seguimos con Carlos Loureiro y su ponencia “BlackThunder: Oax y phising en telegram”, nos enseñaba el uso de Telegram para realizar campañas de Oax y Phising contra objetivos específicos.

La siguiente charla fue de Óscar Atienza González, “Evolución de los Sistemas SIEM 4.0”, nos habló de la evolución de los mismos, de cómo han ido avanzando y adaptándose a lo que se está demandando en los entornos de la Seguridad de la Información.

Continuamos con Abel Valero, “Análisis de malware altamente ofuscado”, nos describió diferentes tipos de malwares con sus ejemplos y el tipo de técnicas utilizadas en cada uno, describiendo así el tipo de ofuscación y como había sido generado.

La siguiente charla fue de Josep Albors, “Amenazas dirigidas a criptomonedas”, nos mostró los vectores de ataques que se están utilizando por parte de los ciberdelicuentes. Con los cuales es posible el minado de criptomonedas y ocultar la trazabilidad de las mismas en el mercado.

Seguimos con Yago Hansen, “Indetectable Wi-Fi Rogue AP”, nos describió una técnica utilizada para crear un punto de acceso wifi el cual es capaz de evadir los firewall, DPS, Ids haciéndolo indetectable con el fin de exfiltrar información.

El siguiente ponente fue Dani Creus “Amenazas Digitales Avanzadas: Perspectiva desde las trincheras”, nos habló sobre la clasificación de amenazas que hay y nos mostró algunos ejemplos de malware en cajeros automáticos.

Proseguimos con Simón Roses “Tácticas Recon”, nos mostró algunas de las técnicas de reconocimiento más modernas que se utilizan en la actualidad, las cuales se utilizan mucho sobre todo en las fases de pentesting.

Seguimos con Enrique Serrano “Hacking Scripting Toolbox”, nos habló del uso de la librería de Scapy y realizo ejemplos prácticos de ataques como por ejemplo Sniffer Wifi, Fake Ap, robo de credenciales, encuestas.

Continuamos con Alberto Ruiz, “Más allá del Machine Learning: Deep Learning”, nos describía que es el Deep Learning, que es el Machine Learning y como se utiliza en la actualidad.

Seguimos con Alberto Ruiz “DenyEvery1: Defending Active Directory against the hunt for privileged users”, exhibió algunas de las técnicas que se utilizan a la hora de atacar o realizar un pentest para escalar privilegios de administrador en un entorno de Active Directory.

La siguiente charla la dio Manuel Huerta “Asegurar el Ciberiesgo: Pólizas Ciber, desde las grandes multinacionales a las pymes, ¿de qué protegen?”, en su charla hizo mención a que es necesario proteger los sistemas de las empresas ante posibles riesgos cibernéticos, saber cuál es el estado de las posibles vulnerabilidades que podamos tener en nuestra empresa, entre otras y tener buenos métodos de actuaciones dirigidas a la prevención y contención de riesgos.

 Seguimos con Pedro Candel con “Where is Wally?, nos enseñó con distintos ejemplos el uso de los dispositivos IMSI Catchers y mediante dispositivos de bajo coste como un SDR, permitiría obtener información de geolocalización remota de terminales móviles mediante técnicas de consulta a las celdas y diferentes comprobaciones al HLR/VLR del SS7 o incluso la interceptación dentro del rango de cobertura del terminal a localizar.

Llegando ya casi al final contamos con David Marugan y Fernando Corrales “Comunicaciones secretas Y Redes “Stay-Behind”: El proyecto “Harpoon”, en la charla se describieron y se mostraron algunos ejemplos de las redes clandestinas Stay-Behind, el funcionamiento a nivel técnico y de COMSEC (Seguridad en Comunicaciones) de las redes secretas de espionaje, usando el equipo transceptor FS-5000 “HARPOON”, usado desde finales de la Guerra Fría para comunicaciones cifradas.

Y ya para finalizar, terminamos con Deepak Daswani “Operación eBikini”, que nos mostraba los posibles peligros que hay a nuestro alrededor, como son algunas apps de gimnasios y la explotación de servicios de las mismas.

También y no menos importante mencionar al grupo de CTF Academy, cuyos miembros enseñaron a futuros expertos en seguridad como poder resolver y enfrentarse a los retos hacking.

Autor:
Héctor Berrocal Vidal
CEH, MCP, CCNA, ITIL
Dpto. Auditoría

jueves, 10 de mayo de 2018

Las noticias más relevantes del mes en Medios de Pago

Resumimos algunas de las noticias más relevantes relacionadas con la Seguridad en Medios de Pago compiladas de diferentes fuentes, medios y recursos confiables, con el fin de mantener a nuestros seguidores al día en lo que respecta al ámbito de la seguridad de medios de pago.

Australia's Commonwealth Bank pierde datos de 20 millones de cuentas
Para un país como Australia que tiene 26 millones de habitantes, la potencial pérdida de información del banco Australia's Commonwealth de 19.8 millones de registros en un par de cintas magnéticas podría catalogarse como desastrosa, sin embargo hasta el momento esta información no parece haber sido usada de manera maliciosa. La implementación de unos pocos controles de PCI DSS habría evitado un evento de este tipo.
Fuente: Bank Info Security

Actualización al lineamiento de computación en la nube de PCI SSC
En abril se liberó una revisión del suplemento informativo de lineamientos para computación en la nube. Esta actualización pretende ayudar a entender la responsabilidad compartida para proteger los datos entre todas las partes involucradas y cómo mitigar los riesgos potenciales asociados al uso de la computación en la nube.
Fuente: PCI SSC

Plazo límite para migración a TLS
El 30 de junio de 2018 es el plazo límite para aquellos que aun usan SSL o TLS 1.0 como mecanismo para protección de las comunicaciones. A partir de esta fecha se deberá haber migrado a versiones recientes de TLS en todos los sistemas del ambiente de tarjetahabiente. Solo aquellos POS POI que han sido verificados como no susceptibles a las explotaciones conocidas podrán seguir usando estos protocolos. Algunos recursos han sido publicados por el PCI SSC para aquellos que deben hacer la migración.
Fuente: PCI SSC

Atlanta gastó 2.6 millones de dólares para recuperarse de una crisis de ransomware con perdidas de 52 mil dólares
La municipalidad de la ciudad de Atlanta ha gastado más de 2.6 millones de dólares en los esfuerzos de emergencia para responder el ataque del ramsomware SamSam, el cual pedía un rescate de 50.000 dólares en bicoins por cada estación infectada, no hay información de si se intentó pagar este rescate pero el sitio web de los atacantes que debía recibir la información fue dado de baja. La ciudad ha tenido que establecer 8 contratos para cubrir las necesidades de personal adicional, labores forenses, expertos en infraestructura de la nube, comunicaciones, manejo de crisis, entre otros.
Fuente: Wired

Grupo de hacking detrás de brechas de seguridad en Saks Fifth Avenue
El grupo de tiendas por departamentos de Saks Fith Avenue reveló una brecha en sus tiendas Saks Off 5th y Lord & Taylor, con un impacto sobre 5 millones de tarjetas débito y crédito de sus clientes, este mismo grupo ha estado recuperándose los últimos años de un ataque a otros negocios del grupo (Omni Hotels & Resorts, Trump Hotels, Jason’s Deli, Whole Foods, Chipotle). Estos ataques vienen de un grupo organizado llamado Fin7. Este grupo de habla rusa, generalmente trabaja en horas hábiles y ha desarrollado sus propias herramientas de aplicaciones maliciosas y estilos de ataque que les permite evadir la detección de herramientas antivirus y a las autoridades.
Fuente: Wired

Yahoo multado por permanecer en silencio acerca de la brecha en Mega
La brecha del 2014 que tuvo Yahoo le sigue acarreando multas, esta última está relacionada con la obligación que tienen las empresas de notificar a tiempo las brechas (y no dos años después). Esta brecha que fue detectada por el equipo de seguridad unos días después de que ocurrió y notificada al equipo directivo y al departamento legal, fue revelada por la empresa a las autoridades y al público dos años después de que ocurrió.
Fuente: Naked security

Orbitz revela exposición de 880.000 tarjetas de pago a causa de una brecha de seguridad
La compañía reveló recientemente que uno de sus sitios viejos fue comprometido exponiendo información de las personas que hacen compras en línea, esta brecha expuso cerca de 880,000 registros de tarjetas de crédito junto con información personal como nombre, dirección, fecha de nacimiento, teléfono, dirección de correo electrónico y género. Este tipo de brechas muestran la necesidad de asegurar todas las plataformas de la organización sin dejar de lado las viejas o las que se van a reemplazar por su complejidad para asegurarlas.
Fuente: The hacker news

Datos expuestos de miles de clientes de Delta Air Lines y Sears Holding Corp
Delta Airlines reveló que fue víctima de un brecha donde se pueden haber expuesto miles de datos de pago de sus clientes, esta brecha ocurrió en el proveedor de software [24]7, que igualmente pudo afectar a otros clientes como Sears Holding
Fuente: Certsi

La AEPD centrará sus planes de inspección en los sectores de la salud, financiero y de telecomunicaciones
La AEPD, a través de su directora Mar España, ha reiterado que no habrá moratorias para la aplicación del RGPD uqe debe iniciar su aplicación a partir del 25 de mayo. Seto será tangible con los planes de inspección definidos que iniciarán por los sectores más sensibles: salud, instituciones financieras y telecomunicaciones.
Fuente: Noticias jurídicas

Sin tarjeta requerida: Ataques "Black Box" a cajeros automáticos llegan a Europa
Los incidentes que han venido ocurriendo en diversas partes del mundo sobre los ATMs, se están moviendo a Europa, estos incidentes están asociados a un ataque llamado Black Box que implica el compromiso de un puerto USB expuesto.
Fuente: Bank Info Security

NIST ha liberado un borrador de revisión del estándar 800-57 parte 2, relacionado con el manejo de llaves.
Fuente: NIST

NIST publicó la versión 1.1 del marco de trabajo de ciberseguridad.
Después de varias revisiones el marco de trabajo de ciberseguridad de NIST ha llegado a la versión 1.1, esta nueva versión incluye algunas actualizaciones en el manejo de autenticación e identidad, auto evaluación del riesgo, gestión de la ciber seguridad en la cadena de suministros, revelaciones de vulnerabilidades.
Fuente: NIST

Actualización de Lineamientos del PCI SSC para computación en la nube
El PCI SSC ha publicado una actualización de la guía que apoya la implementación de servicios en la nube para organizaciones que deban cumplir con los requerimientos de la norma PCI DSS.
Fuentes: PCI SSC

Revisión menor de norma PCI DSS
El próximo mes el PCI SSC publicará una revisión menor del estándar PCI DSS que tendrá como número la 3.2.1, esta revisión removerá las fechas que ya han pasado en algunos requerimientos, se actualizará el anexo A2 para reflejar el hecho de que únicamente los POS POI podrán hacer uso de SSL y TLS 1.0 hasta el 30 de junio de 2018.
Fuente: Blog PCI SSC

Infiltración al sitio web del banco BGFI
El 12 de abril el pirata informático "Venganza" de quince años se infiltró en el banco comercial BGFI. En un primer ingreso el pirata modificó la página de acceso administrativo para demostrar que tuvo acceso al sitio, cuatro días más tarde después de que el banco había reportado la corrección, modificó nuevamente la página de acceso al banco.
Fuente: ZatazMag

Desarticulada red de distribución de malware
La red de distribución de aplicaciones maliciosas “ElTest” que operaba desde el 2011 desviando 2 millones de usuarios de sitios legales contenido maliciosos, ha sido (al memos temporalmente) deshabilitada por un grupo de investigadores de seguridad.
Fuente: Bank Info Security

Hackers hallan nueva técnica para evadir detección.
Un grupo de investigadores de seguridad ha detectado una nueva técnica usada por aplicaciones maliciosas para evadir las técnicas de detección, esta técnica llamada "Early Bird" permite que el código malicioso sea inyectado en una etapa temprana del inicio del hilo del código de ejecución evitando que las aplicaciones de detección los detecten. Esta técnica ya ha sido encontrada en tres ataques sofisticados.
Fuente: Seguridad y Firewall

Reporte Trustwave Global Security 2018
El reporte de seguridad global de Trustwave ha sido publicado, algunos puntos que se pueden destacar en este reporte: el crimen organizado ahora está detrás del 50% de las brechas, los ataques ransomware se han doblado, el DDoS, el phishing  y ataques de comando y control se han convertido en una amenaza prominente, el error humano sigue contribuyendo en la mayoría de las brechas. El correo electrónico sigue siendo uno de los principales vectores de distribución, Las compañías tienen tres veces más ataques por ingeniería social que ataques técnicos.
Fuente: Trustwave

miércoles, 2 de mayo de 2018

Análisis de la nueva versión del documento de directrices de seguridad para entornos de pago en la nube (Cloud Computing Guidelines) del PCI SSC



Análisis de la nueva versión del documento de directrices de seguridad para entornos de pago en la nube (Cloud Computing Guidelines) del PCI SSC

El suplemento informativo de directrices de computación en la nube (Information Supplement - Cloud Computing Guidelines) del PCI SSC[1] es una guía pensada para organizaciones que desean incluir servicios de computación en la nube (cloud) dentro de su entorno de cumplimiento de PCI DSS y describe las recomendaciones generales a tener en cuenta para la contratación y monitorización de cumplimiento de proveedores en la nube (Cloud Service Providers – CSP) que pueden estar involucrados directa o indirectamente en el procesamiento, transmisión y almacenamiento de datos de tarjetas de pago.
La clave de este proceso está en la identificación y delegación de responsabilidades entre el proveedor de servicios en la nube (Cloud Service Provider – CSP) y el cliente de dichos servicios (Cloud Service Customer – CSC), con base en las categorías de servicios y modelos de despliegue descritas en la publicación especial del NIST 800-145:
  • Infraestructura como servicio (Infrastructure as a Service – IaaS),
  • Plataforma como servicio (Platform as a Service – PaaS), y
  • Software como servicio (Software as a Service – SaaS).
Figura 1. Modelos de servicios generales de computación en la nube: IaaS, PaaS y SaaS (Fuente: Microsoft)

Desde esta óptica, el concepto de cloud se entiende como “un modelo para habilitar un acceso conveniente, en demanda y a través de la red a un conjunto de recursos computacionales compartidos (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo administrativo o con poca interacción por parte del proveedor de servicio”[2]

Figura 2. Nivel de control/responsabilidad para clientes (CSC) y proveedores de servicios de computación en la nube (CSP) a través de los diferentes modelos de servicio


Cuando se incluye un Cloud Service Provider dentro de un entorno de cumplimiento de PCI DSS es indispensable que la organización determine de forma clara y detallada el propósito para el cual se usará el servicio, los requerimientos de PCI DSS que serán delegados en el CSP, los servicios y los componentes de sistemas que el CSP ha validado dentro de su propio cumplimiento de PCI DSS y el tipo de servicio a contratar (IaaS, PaaS, SaaS) siguiendo las premisas de due diligence y monitorización de cumplimiento de proveedores citadas en los requisitos 12.8 y 12.9 de PCI DSS.
Como en cualquier delegación de servicios en terceros, el detalle de responsabilidades debe quedar acordado en términos contractuales, sin olvidar que el responsable último del cumplimiento de PCI DSS del entorno al completo sigue siendo el cliente (Cloud Service Customer). Esto quiere decir que por más que los servicios ofrecidos por el proveedor (CSP) estén certificados en PCI DSS no implica que de forma directa el entorno de sus clientes (CSC) también lo estará. Siempre existirá una responsabilidad compartida entre cliente y proveedor de servicio distribuida en mayor o menor medida en cada extremo en función del modelo de servicio escogido.

Figura 3. Tabla de asignación de responsabilidades en los requisitos de PCI DSS de acuerdo con los diferentes modelos de servicio

Como se puede ver en la tabla anterior, la responsabilidad de cumplimiento se divide en tres escenarios:
  • Customer: El cliente del servicio de computación en la nube (CSC) es el responsable de la totalidad del cumplimiento.
  • Provider: El proveedor del servicio de computación en la nube (CSP) es el responsable de la totalidad del cumplimiento.
  • Shared: En algunos controles en particular, la responsabilidad es compartida entre ambos actores. En este caso, siempre debe quedar claro quién es el responsable de qué parte.
En últimas, esta matriz de delegación de responsabilidades entrará a hacer parte integral del cumplimiento del requisito 12.8.5 de PCI DSS.

Figura 4. Requisito 12.8.5 de PCI DSS

Igualmente, es responsabilidad del cliente (CSC) realizar las siguientes comprobaciones en el momento de la contratación de un CSP y repetirlas de forma anual:
  • Verificación del cumplimiento de PCI DSS del CSP a través de su Attestation of Compliance (AoC) o Report on Compliance (RoC). Los servicios que estén integrados dentro del entorno de cumplimiento de PCI DSS del cliente deberán estar certificados en PCI DSS por el proveedor.
  • En el caso de que los servicios del CSP no estén certificados en PCI DSS implicará que de forma directa tales servicios entrarán dentro de las acciones de auditoría y evaluación de PCI DSS del entorno del CSC.
Algunos ejemplos de todas las acciones enumeradas anteriormente se pueden encontrar en las páginas de cumplimiento de PCI DSS de los proveedores de servicios de computación en la nube más importantes hoy en día, quienes ya facilitan la documentación de cumplimiento de sus servicios (AoC), matrices de delegación de responsabilidad y guías de integración para facilitar la convergencia de cumplimiento entre ambas partes:


Figura 5. Extracto de la matriz de responsabilidades de cumplimiento de PCI DSS de AWS



 Figura 6. Extracto de la matriz de responsabilidades de cumplimiento de PCI DSS de Microsoft Azure

En el suplemento informativo de directrices de computación en la nube, el PCI SSC entra al detalle en todas las acciones necesarias para la evaluación, selección, contratación y monitorización del cumplimiento de PCI DSS de los CSP, incluyendo consideraciones de seguridad (gestión de riesgos, due diligence, acuerdos de nivel de servicio (Service Level Agreements – SLA), planes de continuidad del negocio y recuperación de desastres y recursos humanos), seguridad física y del entorno, seguridad de datos y cumplimiento legal, respuesta a incidentes y cómputo forense y gestión de vulnerabilidades.

Novedades en la versión 3.0 del suplemento informativo de computación en la nube
En abril del 2018 el PCI SSC actualizó a la versión 3.0 el documento Information Supplement - Cloud Computing Guidelines como resultado del trabajo mancomunado del Cloud SIG (Special Interest Group) luego de una espera de cinco años, teniendo en cuenta que la versión 2.0 fue publicada en febrero de 2013 y que muchas cosas han cambiado desde entonces. Como siempre, el documento está disponible para descarga gratuita en la biblioteca de documentación del PCI SSC en https://www.pcisecuritystandards.org/document_library.
En términos generales, esta nueva versión ha restructurado partes del documento, ha actualizado múltiples secciones y se han incluido guías específicas para nuevas tecnologías en los entornos de computación en la nube en el Apéndice E del documento (Appendix E - Technical Security Considerations):
  • Alineación con los criterios de seguridad del suplemento informativo de virtualización[3],
  • Seguridad en entornos multi-cliente (multi-tenancy),
  • Seguridad en el Internet de las cosas (Internet of Things – IoT) y computación en la niebla (Fog Computing),
  • Criterios de aislamiento y segmentación en Redes Definidas por Software (Software Defined Networks – SDN),
  • Responsabilidades en la implementación de sistemas de detección y prevención de intrusiones (IDS/IPS),
  • Seguridad en los hipervisores (hypervisor),
  • Criterios de aseguramiento y despliegue en tecnologías de contenedores (containers),
  • Seguridad en infraestructuras de escritorios virtuales (Virtual Desktop Infrastructure – VDI),
  • Gestión de la elasticidad de recursos,
  • Encriptación de datos y gestión de seguridad de las claves de encriptación,
  • Seguridad de dispositivos de criptografía en la nube,
  • Gestión y detección de cambios en sistemas en entornos en la nube,
  • Seguridad en interfaces de software (API),
  • Gestión de acceso e identidades, y
  • Administración de registros de eventos.
Finalmente, el documento enumera una serie de preguntas abiertas a ser planteadas por los clientes a sus proveedores de servicios de computación en la nube para entender las características de sus entornos, determinar el grado de responsabilidad en el cumplimiento y determinar escenarios que puedan estar sujetos a controles de seguridad alternativos (controles compensatorios): 


Figura 7. Extracto de la tabla de consideraciones de implementación de PCI DSS en entornos de computación en la nube

Sin llegar a ser una guía exhaustiva - ya que el PCI SSC asume que cada entorno tiene sus peculiaridades - este documento sirve de referencia tanto a las organizaciones como a los asesores cualificados (QSA) para el establecimiento de los límites del entorno de cumplimiento de PCI DSS (scope) cuando se emplean infraestructuras de computación provistas por proveedores externos, ayuda en la definición de responsabilidades en cada control del estándar y permite un entendimiento del impacto de estas nuevas tecnologías dentro de los procesos transaccionales con tarjetas de pago. 


[1] Information Supplement: PCI SSC Cloud Computing Guidelines https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf
[2] The NIST Definition of Cloud Computing Special Publication 800-145, NIST Special Publication 800-145 - https://doi.org/10.6028/NIST.SP.800-145
[3] PCI DSS Virtualization Guidelines:  https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

Autor: David Eduardo Acosta 
CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, BS25999 L.A.
Dpto. Consultoría