Internet Security Auditors seleccionados como mentores para participar en el evento ¿Cómo mejorar tu Ecommerce?

Internet Security Auditors ha sido una de las 7 empresas seleccionadas como mentores para participar en el evento “¿Cómo mejorar tu Ecommerce?” que se celebrará el viernes 9 de agosto en Bogotá, organizado por la Cámara de Colombiana de Comercio Electrónico al que se espera que acudan más de 200 asistentes.

Desde Internet Security Auditors, asesoraremos a todo el que quiera acercarse a nuestro lugar de apoyo, en materia de ciberseguridad y cumplimiento normativo relativo a la seguridad de la información y medios de pago.


 


Fraude del CEO

Contexto
Cada día más, la exposición digital del tejido social y empresarial hace que la seguridad de la información se vea potencialmente expuesta a la ciberdelincuencia, tanto a nivel corporativo como a nivel privado. Esto hace que individuos o incluso mafias organizadas, intenten explotar de formas muy distintas las debilidades existentes con el objetivo último de sacar un beneficio económico.

Algunos de los ataques a los que se pueden exponer dichas organizaciones e individuos son, según la European Union's law enforcement agency (EUROPOL), los siguientes:
  • Fraude del CEO: engaño a los empleados que tienen acceso a los recursos económicos de una compañía, para que realicen transferencias o pagos de facturas falsas desde las cuentas corporativas.
  • Estafa de inversión: promesas de alta rentabilidad y ganancias rápidas en productos de inversión lucrativa tales como acciones, bonos, criptomonedas, metales raros, inversiones en el extranjero o energía alternativa.
  • Fraude de facturas: engaño por el que se hacen pasar por representantes de un suministrador, proveedor o acreedor para cambiar los datos bancarios del beneficiario de las facturas.
  • Estafas en compras por internet: avisos de grandes ofertas en productos sorprendentes o milagrosos, o incluso ventanas emergentes que indican que has ganado un premio.
  • Phising bancario por email: envío de correos electrónicos de apariencia legítima (imitación de logotipos, tipología, colores, etc.) que intentarán que la víctima comparta su información personal, financiera o de seguridad.
  • Estafa amorosa: búsqueda de víctimas en páginas web de contactos, en redes sociales o por correo electrónico para pedir dinero, regalos o directamente los datos de las cuentas bancarias de las víctimas.
  • Smishing bancario: combinación de las palabras ‘SMS’ y ‘Phising’. Suplantación de la identidad de un banco para obtener información personal, financiera o de seguridad a través de un mensaje de texto.
  • Banca electrónica fraudulenta: intento de obtención de los datos personales y financieros a través de una página web fraudulenta. Comúnmente suelen estar enlazadas en los correos de phishing por email.
  • Vishing bancario: combinación de las palabras ‘Voz’ y ‘Phising’. Suplantación de la identidad de otra persona por voz, para que la víctima divulgue información personal, financiera o de seguridad, o que realice transferencias de dinero (también es una forma de Fraude del CEO).
  • Secuestro de datos: encriptación de datos de la víctima para solicitar seguidamente un rescate económico para su recuperación.
Pese a la publicación en 2018 del listado anterior, desde principios del año 2017, el Instituto Nacional de Ciberseguridad (INCIBE) ya informaba en una publicación de la detección de un número creciente de casos del “Fraude del CEO”, el cual se analizará en detalle en las siguientes líneas.

¿En qué consiste el Fraude del CEO?
El Fraude del CEO, como se ha explicado antes, es un tipo de estafa que consiste en engañar al personal que dispone de acceso a los recursos económicos de una empresa, haciéndose pasar por el CEO (Director General), el CFO (Director Financiero), cualquier alto ejecutivo o persona con poder en la compañía o incluso un socio comercial importante, para que se realicen transferencias (habitualmente internacionales) o el abono de facturas, aprovechando alguna o varias de las siguientes estrategias:
  • Conocimiento en profundidad de la estructura de la compañía (p.ej.: organigrama, procedimientos, etc.).
  • Solicitud de pagos urgentes en momentos que la persona suplantada no puede comunicarse (p.ej.: por estar en vuelos o reuniones, etc.).
  • Referencias a situaciones muy delicadas o críticas para la compañía (p.ej.: procesos de fusión, adquisiciones, inspecciones fiscales, etc.).
  • Solicitud de no seguir con el procedimiento habitual. (p.ej.: justificado en alguna de las situaciones críticas del punto anterior).
  • Aprovechar los cambios en las funciones habituales de los empleados (p.ej.: tras un cambio de las funciones en la organización o cuando la persona que habitualmente realiza estas tareas no está disponible –bajas, vacaciones, finalización del horario laboral, …-).
  • Contactos poco habituales de la dirección con otros empleados de la organización (p.ej.: que el Director General se ponga en contacto directo con un empleado con el que habitualmente no tiene contacto).
  • Solicitud de confidencialidad en estas actuaciones (p.ej.: enfatizando al empleado que no debe comentar nada con nadie de la organización por su carácter de secreto).
  • Ensalzamiento de la estima de la empresa hacia el empleado o la lealtad de este hacia la empresa (p.ej.: mediante expresiones como “la empresa confía en ti”, “puedo confiar en ti”, etc.).
  • Proferir amenazas varias (p.ej.: amenaza de despido o sanción disciplinaria, etc.).
¿Qué variantes del fraude existen y cómo afectan?
Como se ha explicado, el Fraude del CEO está dirigido a las organizaciones de cualquier tamaño, aun así, existen variaciones de esta estafa que afectan tanto a las arcas corporativas como al bolsillo de los propios trabajadores.

Pongamos la situación hipotética en la que se consigue suplantar a un empleado que solicita cambiar el número de cuenta bancaria en la que tiene domiciliada la nómina. Para cuando el empleado se dé cuenta de que no le llega el ingreso mensual pueden haber pasado días, incluso meses, tiempo suficiente para que los importes ingresados hayan sido retirados por los ciberdelincuentes. La situación podría llegar a empeorar si esto sucede sobre un grupo de empleados, ya que los importes podrían llegar a ser elevados.

En un caso sucedido en el Ayuntamiento de Roquetas de Mar (Almería), se intentaron desviar los fondos públicos de la cuenta desde donde se pagaban las nóminas a 200 empleados públicos por un valor de 700.000€ hacia cuentas de destinatarios en países extranjeros. Afortunadamente, en este caso el dinero no ha sido sustraído, gracias a la detección de la discordancia entre las remesas aprobadas por el ayuntamiento y las efectuadas por los bancos, aunque sí ha supuesto un retraso en el pago de las nóminas.

Este tipo de ataques se facilitan sobremanera con servicios disponibles de suplantación de llamadas telefónicas (Caller Id Spoofing) mediante los cuales, por apenas unos céntimos, es posible modificar el identificador de una llamada, modular la voz, o incluso añadir efectos de sonido fondo (p.ej.: sirenas de policía, sonidos de aviones, ruido ambiente de una oficina, etc.), entre otras opciones, para hacer pensar al receptor de la llamada que se encuentra hablando con un interlocutor legítimo. También la suplantación del correo electrónico (Email Spoofing), por el que se altera el origen de los correos para que parezcan provenir del supuesto autor de estos.

Como se ha visto, la exposición a este tipo de estafa y sus variantes puede afectar de igual manera a corporaciones y a particulares. Su efecto no es menor, pues solo en el periodo comprendido entre los años 2013 y 2018, para una muestra de multitudes de empresas de diversos sectores en más de 100 países, el Federal Bureau of Investigation (FBI) ya cifraba las pérdidas en 12,5 billones de dólares y subiendo, para un total de cerca de 80.000 víctimas. Por ello, se deben implantar un conjunto de controles, soportados por procedimientos seguros para detectar y evitar este tipo de ataques.

Controles para empresas cotizadas en España
Actualmente, la complejidad de las normas de preparación de la información financiera de las entidades cotizadas ha aumentado de forma exponencial, debido principalmente a su sofisticación. Con el objetivo de dar respuesta a dichos requerimientos, los sistemas de control interno de este tipo de empresas deben evolucionar y proporcionar un nivel de seguridad razonable sobre la fiabilidad de la información financiera suministrada al mercado de valores.

A propuesta de la Comisión Nacional del Mercado de Valores (CNMV) se han elaborado un conjunto de recomendaciones sobre el Sistema de Control Interno de la Información Financiera (SCIIF). Dichas recomendaciones, tienen como uno de sus objetivos, el establecer un marco de referencia de principios y buenas prácticas cuya finalidad es ayudar en el diseño, implantación, funcionamiento y supervisión de su SCIIF.

Descrito en las actividades de control de los SCIIF, se especifica que se deberá:
Incorporar en los sistemas de control un balance adecuado entre mecanismos preventivos (mitigan el riesgo de que se produzcan errores o fraudes en la información financiera) y detectivos (localizan los errores y fraudes cuando se produzcan). De igual modo, parte de los controles deben realizarse por personas (manuales) y otros por los sistemas informáticos de la entidad (automatizados).
Atendiendo a dicha actividad de control, las empresas cotizadas, deberán disponer de mecanismos suficientes para no ser víctimas de este tipo de estafas, específicamente en lo referente a sus procedimientos de control de compras y pagos.

Controles para empresas no cotizadas
Las empresas no cotizadas, son más vulnerables a este tipo de ataques ya que, por lo general, no se les exige el cumplimiento de SCIIF, sin perjuicio que se puedan adherir de forma voluntaria. Por ello, es más que aconsejable que realicen las acciones que se relacionan a continuación, según lo indicado por la EUROPOL y el FBI:
  • Realizar un plan de formación y concienciación a sus trabajadores.
  • Alentar al personal a ser precavidos en la realización de las compras y pagos.
  • Implantar procedimientos internos para la realización de operaciones de compras y pagos.
  • Implantar procedimientos internos para la verificación de la legitimidad en las solicitudes de pago o de cambio de información relacionada, especialmente la recibida por correo electrónico y llamada telefónica, mediante la utilización de sistemas de doble factor de autenticación.
  • Implantar reglas de marcaje para correos con extensiones similares a los de la compañía en un sistema de detección de intrusos.
  • Implantar procedimientos internos de gestión del fraude interno y externo.
  • Implantar un sistema de código de colores para los correos internos y externos.
  • Mejorar de forma continua la seguridad de los sistemas de información.
  • Avisar a la policía en caso de intento de fraude, incluso en los casos en los que se ha conseguido evitar.
Asimismo, los empleados deberían extremar las precauciones mediante las siguientes consignas:
  • Respetar siempre los procedimientos establecidos de compras y pagos.
  • Revisar las direcciones de email cuando se trata con información delicada.
  • Consultar a los responsables directos en caso de duda o sospecha.
  • Evitar la apertura de enlaces o ficheros adjuntos sospechosos en correos electrónicos, o bien que estén redactados en un lenguaje poco habitual.
  • Limitar la información proporcionada en las redes sociales.
  • No compartir información interna de la compañía, tal como: organigrama, elementos de seguridad o los procedimientos internos de la compañía.
  • Utilizar el sentido común y ante cualquier email o llamada sospechosa, informar al servicio de informática de la compañía.

En resumen, para reducir el riesgo de convertirse en una víctima consumada de este tipo de estafas, será necesario abordar la seguridad en forma de procesos integrales y de monitorización continua sobre la información manejada por las organizaciones y los particulares que trabajan en ellas, haciendo especial hincapié en todos los procesos relacionados con los movimientos económicos, especialmente: las nóminas de los empleados, los cobros de clientes o los pagos a proveedores.

Referencias


Autor: José A. Prieto - CISA, ISO 27001 L.A.
Dpto. Consultoría

Primeras grandes multas GDPRs (British Airways y Marriott)

El Information Commissioner’s Office (ICO), que es la Autoridad en materia de protección de datos del Reino Unido (homólogo a la “Agencia Española de Protección de Datos” en España) hacía público en el día de ayer que pretende sancionar a British Airways con una multa de 183,39 millones de libras (más de 203 millones de €), y en el día de hoy, también ha hecho pública la intención de sancionar a la hotelera Marriott con 99 millones de libras (más de 110 millones de €), ambos por incumplimiento de la normativa de protección de datos (GDPR / RGPD). Concretamente, por brechas de seguridad de datos que han llegado a exponer:
  • British AirWays: credenciales, datos de tarjetas de crédito y datos de reservas de 500.000 clientes.
  • Marriott: 339 millones de registros de huéspedes de todo el mundo, de los cuáles 30 millones eran relativos a residentes de los países la CEE.

Para poner en perspectiva estas dos sanciones, recordad que la mayor multa aplicada hasta la fecha era de medio millón de libras a Facebook por el caso de Cambridge Analytica. Lo cuál suponen unas multas de 366 y 198 veces la de Facebook.




Por supuesto, son las primeras sanciones pero no serán las últimas, ni las más cuantiosas, ni en el único país en el que se van a producir.

La importancia de la seguridad de la información cobra mayor relevancia y hay que concienciarse de que la seguridad de la información se debe considerar como inversión y no como un gasto.

Referencias

Autor: José A. Prieto - CISA, ISO 27001 L.A.
Dpto. Consultoría

Internet Security Auditors participa en las Jornadas de Ciberseguridad en Bogotá

El pasado jueves 4 de julio se celebró en Bogotá una Jornada de Ciberseguridad de la mano de INCIBE y ICEX. Internet Security Auditors participó, como una de las empresas españolas del sector con presencia en Colombia y referente en la Ciberseguridad, de la mano de Daniel Fernández en el panel de concienciación de ciberseguridad.

Primera empresa iberoamericana auditora de PCI PIN en el nuevo programa QPA del PCI SSC

Un nuevo hito dentro de los reconocimientos de Internet Security Auditors es haber sido una de las primeras compañías a nivel mundial en obtener la cualificación de QPA (Qualified PIN Assessor) para poder llevar a cabo auditorías de cumplimiento y certificación del programa PCI PIN en las regiones de Europa, LAC, USA/Canada, Asia Pacific y CEMEA.

Este programa, que hasta finales del año pasado estaba gestionado por VISA, pasó a ser operado por el PCI SSC dentro del proceso de transición de todos los programas a un modelo de requerimientos público y abierto.

PCI PIN es una de las normas recientemente actualizada y aplica a las empresas que desarrollan tareas de adquirencia, procesamiento e intermediación de transacciones (switch) que incluyen el PIN y a todas aquellas que gestionen las llaves de los dispositivos de pago y autoservicio, por ejemplo, redes de ATM/cajeros y/o POS/TPV, redes de marcas de tarjetas con operaciones nacionales, entidades que son adquirientes, los agentes de estas como las KIF (Key Injection Facilities ), entre otras.  En general cualquier proveedor que provea servicios para los procesos de gestión del PIN de las entidades está obligada a certificar su cumplimiento.

Tras la obtención de las homologaciones como QSA, PA-QSA, ASV, 3DS Assessor y QSA(P2PE) y la participación en el Consejo Ejecutivo Asesor del PCI SCC, la obtención de la homologación como QPA, pudiendo realizar auditorías de cumplimiento en todas las versiones vigentes a día de hoy de PCI PIN, sitúa a Internet Security Auditors como una de las empresas cinco empresas con más reconocimiento a nivel mundial en cuanto al asesoramiento y certificación del cumplimiento de Normas PCI, contando con homologación de auditor en seis programas del consejo gestionado por las marcas de tarjetas.

Internet Security Auditors seleccionada como centro de entrenamiento en la convocatoria de fortalecimiento de capacidades en el estado, en Colombia

Internet Security Auditors ha sido seleccionada, en la primera convocatoria de fortalecimiento de capacidades en el estado, como centro de entrenamiento que oferta los programas de formación para la Certified Cloud Security Professional (CCSP) como Training Partner Oficial del (ISC)². Este curso preparatorio refleja un conocimiento profundo derivado de la experiencia práctica en computación en la nube y en la seguridad de la información. Validando los conocimientos prácticos aplicables a aquellos profesionales cuyas responsabilidades diarias incluyen la arquitectura de seguridad en la nube, diseño, operaciones y coordinación del servicio. Internet Security Auditors es el único Trainer Oficial del (ISC)² seleccionado , que aparece en el listado de la convocatoria, para este curso preparatorio.

Esta convocatoria es realizada por el Instituto Colombiano de Crédito Educativo y Estudios  Técnicos en el Exterior – ICETEX y el Fondo de Tecnologías de la Información y las Comunicaciones – FONTIC, la cual está destinada a los servidores públicos (de planta y contratistas), en donde el MINTIC financiará certificaciones Internacionales en temas relacionados con la Política de Gobierno Digital, a través de créditos condonables de hasta el 100% de la obligación crediticia, cuyo objetivo es revertir en las entidades del estado conocimiento y herramientas para la apropiación, fortalecimiento y masificación de la Política de Gobierno Digital. La apertura de la convocatoria fue el día 30 de mayo de 2019 y su cierre será el día 2 de julio de 2019, dicha convocatoria corresponde al Periodo 2019-2.

Para mayor información acerca de nuestro curso de preparación, para la Certified Cloud Security Professional (CCSP), acceda a nuestro Portal de Formación y para información acerca de la convocatoria puede consultarse en el sitio web del ICETEX

Crónica Mundo Hacker Day 2019

Volvemos otro año más a MundohackerDay, ya con esta es la sexta edición. Mundohackerday es uno de los mayores eventos sobre Ciberseguridad de España.

Este año se notó la gran presencia de las comunidades como fueron #C0Npilar,  >_EASTMADH4CK, EUSKALHACK, FAq1n Congr3ss, HACK & BEERS, HackPlayers,  HACKRON, HACKING SOLIDARIO, HoneyCON, #mujeres Hacker, Qurtuba Security Congress,  Sec Admin Security Conference y Tomatinacon.con.

Pudimos también disfrutar de un CTF organizado por los miembros del equipo español (European Cyber Security Challenge).

 

La comunidad de Hackplayers nos tenía preparados una serie juegos/retos como Lock Picking (consiste en abrir cerraduras sin la llave original, empleando ganzúas u otros instrumentos o métodos no destructivos), también contamos con el Proyecto Conet (mensajes secretos, las llamadas emisoras o estaciones de números, voces "rezando" secuencias de números, palabras o letras os podéis descargar algunas pistas de la siguiente web  http://irdial.hyperreal.org/the%20conet%20project/) , también se podía ver un mensaje cifrado militar de 1914 y para rematar un mini-ctf que consistía en acceder y obtener la password de una base de datos SQLite sólo interactuando con un lector de códigos QR.



Para empezar este gran evento, comenzó la introducción Antonio Ramos, con la charla: Power Nap y vamonos!. En la cual hablaba de aplicar primero la HI, la inteligencia humana mejor antes que la Inteligencia Artificial y también nos hablaba sobre las redes sociales, las relaciones a través de ellas de esa manera tan superficial y enfocada a la imagen.

La segunda charla fue realizada por Mildrey Carbonell Castro con: “De Verano a primavera en los servicios de Red Team”. En la charla nos hablaba sobre la simulación de ataques y como también se deberían de realizar las defensas. Las cuales también necesitan organizarse y evolucionar rápidamente. Para ello, realizar simular acciones con un equipo de “Red Team” como lo haría un atacante y organizar igualmente un tipo defensivo como es el “Blue Team”.

Para continuar, seguimos con Juan Zafra y su charla : “Lo que Europa está dispuesta a hacer por la ciberseguridad. ¿Y tú?”. Nos comentaba que la ciberseguridad es cosa de todos y como la Unión Europea quiere ser autosuficiente en el campo de la ciberseguridad. Y como se va emprendiendo e innovando más en el campo de la seguridad informática.

Para descansar un poco y coger fuerzas para la siguiente charla se realizó un pequeño parón para tomar un café.

Seguimos con la ponencia de Pedro Alexander García, “Utilizando metodología de Password Cracking para algoritmos rápidos como NTLM y MD5”, el cual nos mostraba como se podían romper las contraseñas mediante fuerza bruta con diccionarios. Realizó una serie de ejercicios de Password Cracking mostrando así las diferentes técnicas más eficaces.

A continuación, dio paso Dani Creus, con “APTs en la cadena de suministro: cuando la logística se te vuelve en contra”. Nos habló sobre los vectores de ataque que más han sido explotados durante los últimos dos años, los llamados ataques a la cadena de suministro. Como cada vez los atacantes buscan una ruta indirecta, utilizan el punto más débil en la cadena de suministro. Por ejemplo, a través de canales legítimos implementar malware.

El siguiente turno fue para la mesa redonda, “Democracia hackeada: Ciberseguridad, redes sociales y manipulación de procesos electorales en la nueva era digital” con los ponentes: Ofelia Tejerina, Borja Adsuara, Antonio Vargas, Carlos Loureiro moderada por Daniel de Blas.

En esta mesa redonda debatían sobre la democracia digital que nos espera, las amenazas más peligrosas sobre libertad de pensamiento de la sociedad y como poder combatirlas.

Comentaban también que debido a la tecnología cada día tenemos más información y libertad de expresión, pero sin embargo detrás de todo esto están los cibercriminales. Los cuales son capaces de manipular datos (noticias falsas, hackeos,..) utilizar y recopilar los datos del usuario los cuales pueden suponernos una amenaza.

Después de todas las charlas anteriores, realizamos un breve descanso, en el cual pudimos degustar de distintas pizzas patrocinadas por Telepizza.

Proseguimos con la charla “Hacking en Cajeros Automáticos (ATMs) para prevención de fraude bancario” con Álvaro Andrade Sejas. Nos mostró cómo es posible hackear cajeros escalando privilegios mostrando así sus correspondientes pruebas de concepto. Entre otros ejemplos, también nos mostró la seguridad de los ATMs basados en Hardware.

Otro año más, pudimos contar con Deepak-daswani  y su ponencia “Explotando leaks de información en WhatsApp Web·. Nos enseñó en vivo y en directo, cogiendo a un espectador al azar, como es posible vulnerar la privacidad de los usuarios cuando utilizan WhatsApp Web. Nos hablaba sobre las distintas vulnerabilidades y hacía referencia a cómo es posible obtener información de las conversaciones y actividad de un usuario a partir de su sesión de WhatsApp Web. La cual pudimos ver con todo detalle.

La siguiente ponencia la realizó Marc Rivero López, con ·Deep Dive into a malware Sandbox System”. En su charla nos explicaba los diferentes aspectos relacionados con el sandboxing de malware.  “Sandboxing, de «caja de arena» (sandbox), es una técnica de seguridad que permite ejecutar un programa en un espacio cerrado y limitado”. Hacía referencia a que con lo contamos hoy en día y que nos deparará el futuro. Que tipos de entornos tenemos, trucos de malware para evitar esos sistemas y como combatirlos.

Seguimos con el gran David Marugán, con “COVCOM: de la Grecia clásica al terrorismo yihadista”. Nos mostraba los métodos de comunicaciones encubiertas (COVCOM: Covert Communications) utilizadas por servicios de inteligencia y todo tipo de redes clandestinas, haciendo especial hincapié en las comunicaciones vía radio. Hizo una prueba de concepto de un dispositivo Short Range Agent Communications (SRAC) de fabricación casera para evadir la detección por parte de los adversarios o unidades de contrainteligencia hostiles.

Llegando ya casi al final, contamos con la charla de Manuel Blanco Parajón “Behind the enemy lines”. Nos mostró algunos de los métodos que se realizan en un test de intrusión. Viendo su metodología a seguir en las operaciones del red team y el ciclo de post-explotación. Además, hizo una prueba de concepto sobre una vulnerabilidad con su respectivo exploit para, una vez conseguido acceso a un sistema, como es posible escalar privilegios de súper usuario en un operativo GNU/Linux tal y como lo realizaría un atacante los atacantes y posteriormente el desarrollo de un rootkit y el funcionamiento del mismo haciendo indetectable la intrusión.

Y ya para finalizar, terminamos con Joel Serna Moreno con la charla “Troyanizando hardware: venderías a tu madre por cargar el móvil”. Con la que nos deleitó con ejemplos de periféricos troyanizados con los cuales los atacantes se hacían con el control del dispositivo de la víctima. Nos hablaba sobre  sistemas de control remoto como WiFi, LoRa y nos mostraba OMG Cable, un cable badUSB con control remoto mediante WiFi. BadUSB (dispositivos conectables por USB que se hacen pasar por otro para que confíes en ellos).
  



Autor: Héctor Berrocal Vidal - CEH, MCP, CCNA, ITIL
Dpto. Auditoría

Vicente Aguilera entrevistado en el programa No Pot Ser! (No puede ser!) de TV3

https://pbs.twimg.com/media/D3z3CSrW4AAWpyW.jpg

Este domingo día 14 se emite la entrevista que realizó Vicente en el programa No pot ser! (No puede ser!) de la televisión catalana (TV3).

Jordi Basté, presentador del programa, explorará en este nuevo capítulo como de vulnerable es nuestra privacidad en Internet, y para ello ha contado con la ayuda de varios expertos en seguridad, entre los que se encuentra Vicente.

El programa completo en el siguiente enlace:
https://www.ccma.cat/tv3/alacarta/no-pot-ser/big-data-big-brother/video/5836380/

Eventos de Ciberseguridad para el mes de abril

Este mes de abril, se celebran varios eventos de seguridad, en los que Vicente Aguilera y Carlos Seisdedos participarán como ponentes.
  • Congreso de Ciberseguridad de Zaragoza #CONPILAR19 los días 12-13 de abril. Vicente y Carlos participarán con la ponencia: Twitter: la máquina de captar votos.


  • Overdrive Hacking Conference los días 26-27 de abril en Girona. Evento en el que Vicente a sido invitado para ofrecer la Keynote.
  • OSINT City los días 26-27 de abril en Sevilla. Taller conjunto de Vicente y Carlos: “Técnicas OSINT para la detección y análisis de perfiles terroristas” en el que se dará a conocer el uso de las redes sociales por parte de terroristas de etiología yihadista y cómo mediante técnicas OSINT es posible monitorizar sus actividades y obtener información que pueda convertirse en inteligencia procesable.


La experiencia RootedCON, vivida en su X aniversario

Esta edición 2019 de RootedCON Madrid, se llevó a cabo del 28 al 30 de Marzo en el espléndido entorno de Kinépolis Madrid Ciudad de la Imagen. No obstante, las actividades dieron comienzo realmente el 25 de marzo, con tres días intensos dedicados a formaciones (bootcamps) impartidas por expertos en la materia (entre los que se encontraban Raúl Siles y su taller sobre tecnologías inalámbricas, Pablo San Emeterio formando sobre explotación de vulnerabilidades, o Pablo González Pérez y su taller sobre pentesting).

Nuestra experiencia comienza la noche previa al inicio de las conferencias, es decir, la noche del 27 de marzo, donde asistimos a la habitual cena cóctel de ponentes en el restaurante Larumbe. Ya en su entrada, y ejerciendo de perfecto anfitrión, Román Ramiŕez (fundador de RootedCON) recibía a los invitados. Se trata de una ocasión perfecta para, en un entorno distendido, poder intercambiar opiniones, realizar nuevos contactos, o reencontrarse con aquellas personas con las que hace algún tiempo que no coincides. Además de tener la oportunidad de conversar con otros ponentes, también asisten patrocinadores y medios que asistirán al evento.

Jueves 28 de marzo
El jueves 28 de marzo, a primera hora, nos presentamos en Kinépolis donde ya se respiraba el "ambiente Rooted". Las colas para las acreditaciones eran considerables, pero sin llegar a exasperar. Sabes que vas a asistir a grandes momentos y, además, la espera sirve para comentar las últimas impresiones. Una vez dentro, muchas caras conocidas, muchos amigos, y mucho por aprender. Nota destacada: el número de asistentes a Rooted 2019 superó los 2200.

En el hall, diversos stands de empresas del sector anunciaban sus servicios. También se encontraba el espacio habitual de 0xWORD y sus conocidos libros de seguridad.

La primera conferencia de la jornada comenzó a las 10:30h y, bajo el título "Aproximación algorítmica al talento en ciberseguridad", Raúl Riesco Granadino (Head of Intelligence and ICS, INCIBE) nos narraba la evolución que ha sufrido la demanda de talento, la necesidad del mercado actual de especialistas en ciberseguridad, así como las habilidades que más escasean actualmente (entre las que destacan: detección de intrusiones, desarrollo de software y mitigación de ataques) entre otros aspectos. Así, comentó que las titulaciones y certificaciones, aunque valoradas, quedan relegadas a un segundo plano frente a la experiencia y conocimientos de la persona.

A continuación, Andrés Ruíz y Mar López (Responsable de Ciberseguridad, Departamento de Seguridad Nacional) hicieron una divertida exposición sobre "Descifrando la Seguridad Nacional". Obviamente, no revelaron ningún tipo de información sensible, pero siempre es de agradecer que este tipo de organismos tengan visibilidad en eventos de ciberseguridad, puedan expresar su punto de vista y podamos conversar con ellos.

Tras la entrega de Premios Antonio Ropero, y la pausa para el coffe-break, llegó el turno de Pablo Estevan Fernández (RSA) y su ponencia "Análisis de amenazas con herramientas de visibilidad avanzadas". Nos explicó cómo, tras sufrir RSA un incidente de seguridad hace pocos años, optaron por adquirir una de las empresas que les ayudó a identificar el origen de la intrusión, software que han ido mejorando durante este tiempo. Básicamente, trasladó la idea de que nadie es invencible, por lo que conviene ser proactivos y disponer de capacidad de detección de incidentes, así como de una clara estrategia al respecto.

Más tarde, asistimos a la conferencia "N4J, Horizonte de sucesos" impartida por Francisco Javier Sucunza Berasain. Nos habló de los "knowledge graphs", como una conexión dinámica de repositorios de datos de distintos tipos y que enlazan con fuentes externas de una manera inteligente. Como resultado, permite inferir conocimiento a través del contexto y las relaciones. Francisco comentó la diferencia entre consultas SQL y consultas con Cypher (el lenguaje de consulta de grafos para Neo4j), dejando en evidencia la facilidad y la potencia de Cypher en este contexto.


Viernes 29 de marzo
El viernes 29 de marzo era el día de nuestra participación. Acudimos con tiempo suficiente a la primera conferencia "Hackers vs Cine: las loca ciberhistoria del cine. mitos y desventuras de la ciberseguridad en el séptimo arte" que impartieron conjuntamente Francisco Jośe Ramírez Vicente (Telefónica) y José Manuel Vera Ortiz (Revista SIC). Como ya anunciaron en su inicio, no se trataba de una charla técnica. Sin embargo, resultó muy entretenida recordando viejas (y no tan viejas) películas en las que se había tratado la ciberseguridad de mejor o peor manera. Por supuesto, se habló del origen de la palabra hack y cómo se había desvirtuado gracias a los periodistas y el sensacionalismo, y no faltaron referencias a Steve Jobs, Bill Gates, Steve Wozniak, Richard Stallman, Kevin Mitnick o John Draper (el Capitán Crunch), entre otros muchos.

A continuación, en la misma sala, nos llegaba el turno a nosotros (Carlos Seisdedos y Vicente Aguilera), que impartimos la conferencia "Análisis de redes sociales (ARS) y detección de comunidades virtuales". Tras una breve introducción para contextualizar a los asistentes en los conceptos que se tratarían después, realizamos algunas demostraciones en vivo utilizando una pequeña aplicación que desarrollamos específicamente para Rooted. Mostramos el potencial que se dispone al analizar las redes sociales mediante la aplicación de técnicas de inteligencia artificial, y como pueden ser monitorizadas a tiempo real para analizar su contenido. De esta forma, utilizamos distintos videos en los que se podían realizar búsquedas por palabras clave (que se mostraran en alguna secuencia del video), o incluso búsquedas basadas en nombres de personas que aparecían en los videos, gracias al reconocimiento facial. Para ello, pusimos el ejemplo del rey Felipe VI que aparecía en un video durante la manifestación tras los fatídicos atentados terroristas sufridos en Barcelona. A continuación, presentamos una metodología de análisis de redes sociales, la importancia de considerar las redes formales e informales en los procesos de análisis de objetivos, así como su uso en acciones de influencia. Finalmente, realizamos diversas demostraciones en las que se mostraba la evolución de una red social a lo largo del tiempo: conexiones entre nodos, publicación y clasificación de contenidos, detección de comunidades virtuales, etc.

Queremos agradecer su asistencia a todos los que nos acompañaron durante la conferencia, que despertó gran expectación a juzgar por el número de asistentes a la misma.

Tras la pausa para la comida, llegó un momento que seguro era de los más esperados por la mayoría de las asistentes en base a las colas que se formaban con más de media hora de antelación. Nos referimos a la conferencia de Chema Alonso (CDO de Telefónica) titulada "A hacker's gotta do what a daddy's gotta do". Con una duración más reducida de lo esperada (lo bueno si breve...) Chema nos comentó su experiencia personal acerca de cómo los hijos se introducen en la tecnología a edades cada vez más tempranas. Con dos divertidos videos, nos hizo ver como sus hijas le acompañan en algunas de sus experiencias.


Sábado 30 de marzo
El sábado 30 de marzo, únicamente pudimos asistir a la interesante conferencia de Pablo González y Enrique Blanco, del Departamento de Ideas Locas de Telefónica. Nos hablaron sobre IA aplicada a la ciberseguridad, y nos mostraron resultados de su investigación con ejemplos prácticos en vivo. Especialmente llamativo fue lo que llamaron "La estafa del CDO", en la que, tras un modelo entrenado previamente, conseguían suplantar la imagen y voz de Chema Alonso para llevar a cabo una acción maliciosa. También nos ilustraron sobre las famosas GANs (Generative Adversarial Networks) y la elaboración de deep fakes. Los patrones biométricos que pueden identificarse en los videos permiten detectar manipulaciones que pueden derivar en fake news. Se trata de un problema que puede abordarse mediante técnicas de machine learning.

De forma previa a la conferencia de Pablo González y Enrique Blanco, Román Ramírez ofreció un reconocimiento especial a Agux, una de las personas que asiste fielmente a todas las ediciones de RootedCON y que, además, es de los primeros en inscribirse y personarse en los eventos.

Finalmente, queremos felicitar a RootedCON por su X aniversario y el gran éxito conseguido, así como agradecer a los organizadores por permitirnos participar en esta edición y hacernos sentir como en casa.

Autores:
Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader. Director Departamento de Auditoría.
Carlos J. Seisdedos. Responsable Departamento Ciberinteligencia.

Análisis de la actividad en Twitter relacionada con los candidatos de los principales partidos políticos

Con motivo de las próximas elecciones generales en España el próximo 28 de abril, en Internet Security Auditors hemos realizado el análisis de la actividad en Twitter relacionada con los candidatos de los principales partidos políticos: Pedro Sánchez (PSOE), Pablo Casado (PP), Albert Rivera (Ciudadanos), Pablo Iglesias (Podemos) y Santiago Abascal (VOX), elaborando una serie de infografías con la información más relevante.

Hoy publicamos las infografías que resumen la actividad en Twitter del periodo comprendido entre el viernes 8 y el jueves 14 de marzo, en el que se han analizado más de 400.000 tuits. Entre la información que se muestra, se encuentra la siguiente:
  • Datos sobre el perfil de cada candidato
  • Actividad de cada candidato desglosada por horas
  • Aplicaciones utilizadas por cada candidato
  • Nube de hashtags utilizados por cada candidato
  • Número de menciones a cada candidato, desglosada por día
  • Franjas horarias de cada día con mayor número de menciones a cada candidato
  • Evaluación y clasificación de los mensajes en los que se menciona a cada candidato, desglosados en: Muy positivo, Positivo, Neutral, Negativo y Muy negativo.
  • Nube de palabras más utilizadas por cada candidato

Infografía Pedro Sánchez (PSOE):

https://www.isecauditors.com/downloads/infografias_2019/pedro-sanchez.png

Infografía Pablo Casado (PP):

https://www.isecauditors.com/downloads/infografias_2019/pablo-casado.png















Infografía Albert Rivera (Ciudadanos):

https://www.isecauditors.com/downloads/infografias_2019/albert-rivera.png















Infografía Pablo Iglesias (Podemos):

https://www.isecauditors.com/downloads/infografias_2019/pablo-iglesias.png















Infografía Santiago Abascal (VOX):

https://www.isecauditors.com/downloads/infografias_2019/santiago-abascal.png















Dejamos en manos del lector la interpretación de los interesantes resultados que revelan estas infografías, y le invitamos a permanecer atento a las próximas actualizaciones.

Carlos Seisdedos invitado al curso Terrorismo, inmigración y ciberamenazas: nuevos desafíos del siglo XXI para debatir sobre Ciberinteligencia

El próximo 26 de abril da comienzo el curso: Terrorismo, inmigración y ciberamenazas: nuevos desafíos del siglo XXI organizado por la Fundación General de la Universidad de Málaga y Carlos Seisdedos, ha sido invitado como experto en la materia para debatir sobre estos temas.

Más información:
https://fguma.es/course/terrorismo-inmigracion-ciberamenazas-nuevos-desafios/

Tokenización en PCI DSS: FAQ y diseño básico de una solución con AWS (Capítulo 1)

La mejor manera sin duda alguna de reducir el ámbito de aplicación de PCI-DSS sobre cualquier sistema que trate datos de tarjeta, resulta tan eficaz como obvia: no usar datos de tarjeta.

Lamentablemente, no siempre es posible, por lo que una buena aproximación puede ser la tokenización de estos datos de tarjeta; otra sería el cifrado, del cual podemos hablar en otro artículo si algún lector está interesado.

En este artículo trataremos el tema de la tokenización en relación a PCI-DSS, repasando los conceptos básicos de la tokenización, hasta mostrar un diseño básico de implementación de un tokenizador para las tarjetas de pago empleando los servicios en la nube de Amazon Web Services.

Hemos dividido el artículo en dos partes:
  • Capítulo 1:  Tokenización, ¿qué, por qué y para qué?
  • Capítulo 2:  Diseño básico de una solución en AWS
A lo largo del artículo, para evitar interpretaciones erróneas o confusas, emplearemos la nomenclatura oficial en inglés vista en la norma y guías del PCI Security Standards Council (PCI SSC), VISA, MASTERCARD y Amazon Web Services (AWS).

Capítulo 1. Tokenización, ¿qué, por qué y para qué?

Antes de entrar en materia, esta primera parte la dedicaremos a clarificar algunas preguntas frecuentes que suelen surgir al respecto de la tokenización así como algunas confusiones o interpretaciones poco precisas que suelen traer de cabeza a aquellas organizaciones que deciden emprender un proyecto de tokenización en sus servicios.

Definiciones y conceptos previos:

Acquirer: también se lo conoce como "banco adquirente" o "institución financiera adquirente", es la entidad bancaria que ofrece al comercio el procesado de sus transacciones de tarjetas de pago, y por lo tanto existirá un contrato entre el adquiriente y el comercio para la prestación de dichos servicios. El adquiriente está reconocido por una marca de pago como tal (Visa los denomina como “Visa Europe member”), y se encuentran sujetos a las reglas y procedimientos de las marcas de pago con respecto al cumplimiento del comerciante.

Issuer: También se lo conoce como "banco emisor" o "entidad financiera emisora", es la entidad bancaria responsable o que respalda la emisión de las tarjeta bancarias a su titular junto con el PIN, o que presta servicios de emisión relacionados (p.ejem. servicio de autenticación de las transacciones).

Processing: operaciones entre una o varias redes de pagos que incluye los servicios de:
  • «Authorization» (autorización): garantizar que la transacción sea válida
  • «Clearing» (compensación): garantizar la disponibilidad de fondos
  • «Settlement» (liquidación): garantizar que el importe se abone y cargue de forma apropiada.


Nota aclaratoria: En España, tenemos una casuística un poco especial, ya que en la práctica los adquirientes no realizan el procesado de las transacciones, esa función la delegan en sus procesadores de pago (Redsys  o Cecabank ), que prestan el servicio en su nombre de manera trasparente para el comercio (son denominados “member agent” por Visa), las cuales a su vez están conectadas a redes de pagos para operativas internacionales (Visa,Mastercard, UnionPay, AMEX, etc.) y nacionales (por un lado ServiRed  y Sistema 4B , dependientes de Redsys, y por otro euro6000 , dependiente de Cecabank); cómo ver una red de pago de forma simplificada, como un procesador junto con varias entidades bancarias adheridas. La fusión entre las diversas redes de pago nacionales fue aprobada por la CNMV el pasado 1 de febrero del 2018.

Datos sensibles de autenticación: son los datos correspondientes a la banda magnética o datos equivalentes en chip de la tarjeta, el CAV2/CVC2/CVV2/CID, o el PINs/PIN blocks.

Pre-authorizatoin: también abreviado como “pre-auth”, en esta operación únicamente existe un flujo de información, no se lleva a cabo ningún flujo contable. Típicamente, cuando un comercio recaba los datos de tarjeta para un pago pero no va a procesarlo hasta pasado un tiempo, p.ejem. al generar las reservas en hoteles, cuyo cobro muchas veces no se realiza hasta el check-out, o en el alquiler de vehículos, se lanza una pre-autorización con el objetivo único de validar que la tarjeta existe, se encuentra activa y tiene fondos suficientes (nunca puede ser con un importe superior al total final). Ésta “pre-auth” expirará normalmente en los siguientes 7 días para MASTERCARD o en 30 días para VISA en caso de que finalmente no se acabe realizando la “authorization” por la totalidad del importe (estos periodos suelen variar en cada marca de tarjeta según el Merchant Category Code (MCC) asignado a la entidad. En el caso de tarjetas de crédito, esta “reserva” se suele visualizar como un decremento en el límite de crédito en la cuenta destino; en el caso de las de débito, de suele observar como un asiento contable temporal.

Pregunta: ¿A qué nos referimos con tokenización en el mundo PCI-DSS?

Respuesta corta: PCI-DSS aplica sobre los datos de tarjeta, si en su lugar tenemos un token…. quizás pueda evitar que me aplique PCI-DSS.

Respuesta larga: La idea subyacente de la tokenización es simple: transmutar algo valioso y útil como es un PAN en algo que no vale nada por sí mismo, como es un identificador formado por una secuencia de dígitos y/o caracteres que llamaremos token, y que solo puede ser usado para iniciar una transacción dentro de un contexto determinado (una aplicación, sistema, etc.). Para saber identificar si estamos realizando una adecuada implantación de nuestro sistema de tokenización debemos tener presente en todo momento esta máxima; en el momento en que un atacante pudiese darle valor a ese token en otros contextos no autorizados (i.e. emplearlo para realizar una transacción cuando y donde quiera, p.ejem. en otros comercios), nuestra solución dejará de ser viable, al menos para el propósito de reducir el alcance de PCI-DSS.

Pregunta: ¿qué datos puedo tokenizar?

Respuesta corta: según el requerimiento 3.2 de PCI-DSS, todo dato de tarjeta es tokenizable salvo los datos sensibles de autenticación (banda magnética o datos equivalentes en chip, CAV2/CVC2/CVV2/CID, y PINs/PIN blocks)

Respuesta larga:  en caso de que llegásemos a generar un token a partir de estos datos sensibles antes de realizar la “Authorization”, deberá ser tratado tal y como se haría con el dato en claro, debiendo ser igualmente borrado una vez se haya recibido la autorización de la transacción , cuya única excepción será en caso de que seamos un emisor de tarjetas o participemos en la emisión de las mismas. En este sentido, es importante tener claro el concepto de “pre-authorization” frente al de “authorization” de una transacción que describimos en el apartado inicial “Definiciones y conceptos previos”. Mientras dure la “pre-authorization”, los datos sensibles de autenticación o el token generado en su lugar, podrán ser almacenados.

Pregunta: ¿Qué tipos de tokens existen? ¿aplica PCI-DSS sobre todos ellos?

Respuesta corta: Varios, incluso podemos tener diferentes formas de clasificarlos, dependiendo de quién los genera y emite, con qué límites se pueden emplear (en qué contexto o si puede ser empleada más de una vez); cada uno tiene sus ventajas e inconvenientes y sobre algunos no aplica PCI-DSS.

Respuesta larga:
Según PCI-DSS, tenemos los siguientes tipos de tokens:
  • Acquiring tokens: son tokens generados por el adquiriente, un comercio o un proveedor a partir del PAN original facilitado por el titular de la tarjeta. No sigue ningún estándar o norma, generándose según criterios y formatos que la entidad desee ya que generalmente es solo para su propio uso. Una vez generados, este tipo de tokens no pueden ser empleados para posteriores autorizaciones , a menos que sea para procesar pagos recurrentes ya autorizados (es importante tener en cuenta que para los pagos recurrentes no es necesario conservar los datos sensibles de autenticación una vez ya se ha realizado la primera autorización), o bien si ofrecemos al usuario la posibilidad de almacenar sus PAN para futuras compras, conocido como “card-on-file” por PCI-DSS (en este caso, será necesario solicitar de nuevo al titular los datos sensibles de autenticación para poder autorizar la transacción).

    Este tipo de tokens serán los que podremos generar como comercio o proveedor de servicios y será el objeto de nuestro diseño de tokenizador.
  • Issuer tokens: llamados también electronic-only PANs, Virtual Credit Card (VCC) por VISA o Virtual Card Number (VCN) por MASTERCARD, son generados por los emisores del pago y son indistinguibles de un PAN real. Son ampliamente usados por el sector turístico (p.ejem. Online Travel Agencies (OTA) como Booking.com o Expedia.com, y Global Distribution System (GDS) como Amadeus) en su modalidad “single-use o one-time” ya que una vez empleadas para trasferir el pago a algún comercio como un hotel (entendiéndose el concepto de “empleadas” por el hecho concreto de que ya se ha realizado la autorización de la transacción), no pueden volver a ser usadas para futuras transacciones sin ser rechazadas.

    Sobre estos últimos tokens, cuyo acrónimo es SU-VCC/VCN (Single-use Virtual Credit Card/Number), cada una de las marcas de pago determina si le aplica PCI-DSS o no y bajo qué circunstancias; en el caso concreto de VISA y MASTERCARD, a fecha de este artículo, nos indican expresamente que no es necesario protegerlos bajo PCI-DSS (si solo tratamos este tipo de tokens en nuestros sistemas, podríamos no aplicar PCI-DSS sobre éstos). En el caso de VISA matiza una excepción: solo estaremos exentos de aplicar PCI-DSS sobre los mismos si somos el receptor del token (el caso habitual si somos un comercio), pero no si lo emitimos o participamos de algún modo en la emisión de los mismos.

    En el caso de que tratemos con MU-VCC/VCN (Multi-use Virtual Credit Card/Number), i.e. tarjetas válidas para más de una transacción, siempre nos aplicará PCI-DSS.
  • Payment tokens: también llamados EMVCo Payment Tokens, son emitidos a los propios titulares de la tarjeta, así como a los merchants que empleen sus servicios, por los proveedores de tokenización (TSP) registrados bajo el esquema EMVCo Technical Framework  y que deben cumplir a su vez con la norma PCI TSP. El titular del token lo puede usar en un comercio como si de una tarjeta real se tratase, y es muy habitual en los pagos “1-Clic” en comercios online donde se busca evitar que el usuario tenga que volver a introducir sus datos de tarjeta. En este escenario, el titular de la tarjeta únicamente emplea el token para realizar el pago, y el comercio únicamente recibe ese token para iniciar la transacción.
    Un par de ejemplos típicos en comercio online lo encontramos en Paypal, empleado directamente por el titular de la tarjeta o ApplePay; en el caso del comercio en venta presencial, lo podemos encontrar en tarjetas empleadas por compañías de alquiler de vehículos por horas, donde realizamos el pago de combustible con tarjetas físicas con un token en formato chip.
    Cualquier comercio o proveedor que únicamente trate en sus sistemas EMV Payment Tokens, no está obligado a implementar PCI-DSS.
     
Pregunta: soy un comercio o proveedor ¿en qué medida puedo reducir la aplicación de PCI-DSS empleando tokens?

Respuesta corta: como la mayoría de las cosas en la vida, depende y mucho, y en este aspecto el PCI SSC no concreta más de lo estrictamente necesario, dejándolo a criterio de las marcas de pago y adquirientes según cada caso.

Respuesta larga: de manera muy resumida, tenemos dos grandes opciones si decidimos aplicar tokenización para reducir el alcance de PCI-DSS (mostradas de mayor reducción del entorno a menos, y dejando de lado otras soluciones híbridas que habría que analizar en cada caso concreto):

Opción 1) Contratar los servicios de un proveedor de tokenización de manera que únicamente almacenemos, procesemos o trasmitamos tokens en nuestros sistemas. En este escenario, dependerá de cómo integremos en nuestros sistemas la pasarela del proveedor de tokenización, a modo ilustrativo y no limitativo, podríamos tener que:
  • Aplicar los requerimientos relativos a un SAQ A/ROCA si somos un comercio o los análogos dentro de un SAQ-DA o ROCA si somos un proveedor, cuando integramos la plataforma del tokenizador en una redirección o iframe donde el titular de la tarjeta introduzca sus datos en una web ajena a la nuestra. 
  • Aplicar los requerimientos relativos a un SAQ A-EP/ROCA-EP si somos un comercio o los análogos dentro de un SAQ-DA-EP o ROCA-EP si somos un proveedor, cuando integramos la plataforma del tokenizador empleando un formulario de captura de datos del titular de la tarjeta generado por nosotros mediante métodos y acciones Javascript, o una API/Webhook (también llamado “Direct Post”). 
  • Aplicar los requerimientos relativos a un SAQ D/ROC si capturamos y enviamos los datos de tarjeta vía XML, JSON, otros… 

Opción 2) Montar nuestro propio tokenizador (estaríamos generando los llamados “acquiring tokens”), de manera que al menos una parte de nuestro entorno única y exclusivamente tenga acceso a los tokens, no esté conectado el sistema o red directamente a la zona del tokenizador y no tenga acceso a la obtención de los PANs o funciones/API que devuelvan el PAN a partir de los datos que posea.

En este escenario, por norma general, sobre el entorno que procese/almacene o transmita únicamente los tokens, podríamos dejarlo fuera del alcance de PCI-DSS (en caso de duda, siempre se deberá acudir a un PCI-DSS QSA debidamente acreditado, el cual valorará esta exclusión del alcance).

Veamos un clásico ejemplo de mal diseño…

Supongamos que soy un comercio y despliego una solución capaz de tokenizar mis datos de tarjeta (PANs), y qué como resultado, mi solución me devuelve el token más un hash de la tarjeta, los cuales almacenaré en una base de datos que yo, a priori, considero fuera de alcance de PCI-DSS, ya que teóricamente no hay ningún dato de tarjeta…

PAN original:   1111 2222 3333 4444

Token generado:   1111 22ab cdef 4444

Hash: 62530E41812B2028A7B0415237A10DA8475EB5739F36529734C3BB777083E26

En este ejemplo, el algoritmo hash empleado no tiene mayor importancia.

¿y dónde está el problema?

Fijémonos que cualquiera que acceda al token y al hash, podría de manera trivial encontrar por fuerza bruta en un corto tiempo cuales son los valores truncados ya que sólo hay 10^6 combinaciones posibles, y eso sin descartar aquellas combinaciones que no cumplan el algoritmo de Luhn. Por todo esto, podemos llegar a valorar que allá donde se almacene el token más el hash, será equivalente en cuanto a los requerimientos de PCI-DSS aplicables, a tener el PAN en claro almacenado.

Finalmente, se nos presenta un dilema cuando revisamos la guía emitida por el PCI SSC relativa a la generación de “acquiring tokens” que lleva por título “Information Supplement - PCI DSS Tokenization Guidelines”  (importante notar que, al fin y al cabo, son eso: “guías”, no se consideran parte de la norma), en su página 20 nos presenta lo que llama “high-value tokens”, que al parecer son todos aquellos tokens que permitan iniciar una transacción por sí mismos, en cuyo caso, serán consideramos como si fuesen PANs en claro y les aplicarán los mismos requerimientos de PCI-DSS.

En este sentido, y como opinión personal después de que tras años de la aparición de dicha guía, aún no se haya especificado nada más concreto y clarificador de qué es un “high-value token”, es necesario una evaluación detallada de cada implementación por un PCI-DSS QSA, con el fin de determinar si ese token es o no de este tipo en base a: cómo se genera, en qué contexto se puede usar, cual es el riesgo real de fraude, etc.

En el siguiente capítulo…
En el próximo capítulo, Diseño básico de una solución en AWS, presentaremos el código básico y diseño de la arquitectura serverless que pretendemos desplegar a modo de prueba de concepto en nuestra cuenta de Amazon Web Services (https://aws.amazon.com), empleando, entre otros, los servicios de AWS API Gateway, AWS Lamda, etc…

Autor: Ero Rodríguez Losada - CISA, CRISC, PCI QSA, PCIP, ISO 22301 L.A., ITILF
Dpto. Consultoría

Vicente Aguilera y Carlos Seisdedos participan en el evento CISO Day 2019

El próximo 12 de junio se celebra en Madrid el evento CISO Day 2019, uno de los eventos que marcarán la agenda del sector de la ciberseguridad en este 2019.

Un evento que hace hincapié en la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Basará su agenda en los 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

Vicente Aguilera y Carlos Seisdedos participarán este año en la mesa redonda con la temática de Ciberinteligencia.

Más información sobre el evento en:
https://cisoday.es/

Internet Security Auditors colabora en el Máster en Ciberinteligencia de la Universidad Francisco de Vitoria

El próximo 14 de mayo se inicia de forma online el Máster en Ciberinteligencia con el aval académico y el reconocido prestigio de la Universidad Francisco de Vitoria, siendo uno de los principales programas formativos del Campus Internacional de Ciberseguridad.

Este Máster nace de la necesidad de impartir formación en ciberinteligencia sólida, actualizada y que abarque la formación que un Analista de Ciberinteligencia requiere para poder desarrollar su actividad profesional. Con el potencial suficiente para evaluar, analizar, integrar e interpretar información para poder realizar un análisis completo de ciberinteligencia. La Universidad Francisco de Vitoria ha contado con Vicente Aguilera para diseñar el contenido del máster en calidad de Director del mismo. Carlos Seisdedos participa también en el master como uno de sus profesores.

Para más información:
https://www.campusciberseguridad.com/masters/master-en-ciberinteligencia

Publicado en el periódico EuropaSur: Carlos Seisdedos detecta una advertencia de Al Qaeda con una imagen de Algeciras

El domingo 3 de marzo, en el periódico EuropaSur publicaron una noticia sobre el descubrimiento por parte de Carlos Seisdedos, Responsable del departamento de Ciberinteligencia, de una advertencia de Al Qaeda con una imagen de Algeciras.

Carlos se hizo eco, a través de su cuenta de Twitter, de que canales afines a Al Qaeda han publicado "una advertencia" que ilustra con una fotografía de la Plaza Alta de Algeciras.

Para leer la noticia completa:
https://www.europasur.es/algeciras/experto-ciberseguridad-advertencia-Qaeda-Algeciras_0_1333066992.html

Anuario de Terrorismo Yihadista

El Observatorio Internacional de Estudios sobre Terrorismo publica hoy el listado completo de los capítulos y los autores que han participado en el Anuario de terrorismo yihadista 2018. Entre los autores, se encuentra nuestro compañero y Responsable del Área de Ciberinteligencia Carlos Seisdedos, que ha elaborado el artículo: “Ciberterrorismo de perfil yihadista”.

La presentación del Anuario se realizará el mañana martes 5 de marzo a las 12:00 en la sede de la Universidad Deusto en Madrid, a la cual asistirá Carlos Seisdedos como colaborador del anuario 2018.

Una vez hecha la presentación, el anuario estará disponible para descarga de la publicación en su totalidad, en el siguiente enlace:

https://observatorioterrorismo.com/

Vicente Aguilera y Carlos Seisdedos en la Rooted CON 2019

Un año más se celebra en Madrid los días 28, 29 y 30 de marzo uno de los eventos de seguridad más conocidos, la Rooted CON que nació con el propósito de promover el intercambio de conocimiento entre los miembros de la comunidad de seguridad, reivindicando la enorme capacidad de los profesionales hispanoparlantes.

Y un año más han contado con Vicente Aguilera como ponente. Este año Vicente participa junto con Carlos Seisdedos, del departamento de auditoría, en una ponencia conjunta: “Análisis de redes sociales (ARS) y detección de comunidades virtuales” en la que se presentará una metodología de análisis de redes sociales (ARS) así como la aplicación de la misma mediante ejercicios prácticos en vivo para la detección de comunidades virtuales y su representación visual. Se mostrará la relevancia de dichas comunidades en diversos aspectos como: la difusión de contenido, la identificación de actores de poder y capacidad de influencia, procesos de acercamiento a objetivos, fugas de información, o detección de amenazas entre otros.

Su utilidad es extrapolable a un amplio conjunto de sectores: análisis de la reputación, análisis de campañas publicitarias, análisis de candidatos a un proceso de selección, extracción de información para tareas de ingeniería social o pentesting, etc.

Para más información:
https://www.rootedcon.com

Vicente Aguilera participa en la cuarta Open Class organizada por el Campus Ciberseguridad

El jueves 31/01/2019 Vicente Aguilera participó como invitado especial en la OpenClass organizada por Campus Internacional de Seguridad.

En dicha OpenClass, bajo el título “Todo lo que quisiste saber sobre Ciberinteligencia y no sabías a quién consultar”, Vicente fue entrevistado por Juanjo Salvador (coordinador académico de Campus Internacional de Seguridad) con el que mantuvo una conversación en la que se aclararon conceptos sobre ciberinteligencia y se abordó la necesidad de contar con especialistas que permitan llevar a cabo procesos de investigación en el ciberespacio debido a la creciente demanda de estos servicios en sectores muy diversos. Como algunos sugieren, nos encontramos en la edad de los analíticos. El volumen de datos existente es tal que tan sólo somos capaces de explotar una pequeña parte de estos. Las mejoras en las capacidades de almacenamiento y procesamiento, así como la aparición de nuevos algoritmos, resultan insuficientes si no existe personal capacitado para realizar la labor de análisis e interpretación de la información adquirida. Estos analistas generan inteligencia que puede ser consumida en ámbitos tan diversos como el ecónomico, político, militar, ambiental, social o salud, entre otros.

Vicente habló también sobre las bondades de su herramienta “tinfoleak”, y realizó una breve demostración para hacer ver cómo las herramientas ayudan a adquirir y procesar la información de forma que faciliten la tarea de los analistas.

Por último, se presentó el Máster en Ciberinteligencia que va a dirigir Vicente y cuya primera edición comenzará en mayo de este año. Este Máster es un título avalado por la Universidad Francisco de Vitoria y cuenta con un excelente y reconocido elenco de profesores. Al finalizar este Máster, los alumnos contarán con el potencial suficiente para desarrollar las tareas de un analista de ciberinteligencia, uno de los perfiles más demandados y con mayor proyección actualmente.