lunes, 19 de julio de 2021

API Testing, preparando un buen análisis

Cuando nos disponemos a auditar un sitio web tenemos claro lo que vamos a encontrarnos menú, opciones, formularios, cuadros de búsqueda y mucho texto, sin embargo, cuando vamos a auditar una API, debemos comprender varios puntos esenciales con el objetivo de realizar una auditoría con una adecuada metodología.

¿Qué es una API?

Se trata de un conjunto de definiciones y protocolos que se utilizan para desarrollar e integrar el software de las aplicaciones permitiendo la comunicación entre dos aplicaciones a través de un conjunto de reglas, es decir la especificación formal que establece cómo un módulo de un software se comunica o interactúa con otro.

Imaginemos que nuestra organización tiene la necesidad de crear un aplicativo de movilidad como Uber o una tienda online. ¿Te imaginas que costoso sería en tiempo y recursos el desarrollo de algunos recursos desde cero? Por eso es mejor utilizar un servicio que ya existe como Google Maps o PayPal.
Ese es el concepto de API, no rehacer el trabajo que ya han hecho otros y así poder crear un aplicativo más potente que el resto.

Además, cuando tenemos la necesidad de crear un aplicativo multiplataforma, como aplicaciones móviles tanto para iOS como para Android incluso para tablets como padOS o aplicativos webs surge la necesidad de compartir el Backend entre dichos aplicativos y ahí también aparece la definición de API.


viernes, 16 de julio de 2021

Primera empresa en Iberoamérica en acceder al programa de Card Production (CPSA) del PCI SSC

 El programa de Card Production Security Assessor (CPSA) fue uno de los últimos en ser incorporado dentro del ecosistema de estándares de seguridad del PCI SSC y define los requerimiento tanto físicos como lógicos que deben cumplir todos los fabricantes y personalizadores de tarjetas de pago.

Internet Security Auditors se convierte, marcando un nuevo hito como líder regional de referencia en consultoría y auditoría, en la primera empresa en España y Latinoamérica en entrar en el programa CPSA.

Con este programa, la compañía refuerza su liderazgo como empresa auditora en los estándares PCI, reconocida por la calidad de sus servicios de consultoría y auditoría en estas normas, para colaborar en los procesos de implementación y certificación del cumplimiento de las normas en las que ya cuenta con las acreditaciones como QSA, ASV, PA-QSA, CPSA, QSA(P2PE) y 3DS Assessor y que ampliaremos a otros programas gestionados por el PCI SSC en próximas fechas, cubriendo la totalidad de normas del PCI SSC, situándonos como líderes destacados y que nos permiten ayudar a nuestros clientes ya no sólo en el cumplimiento y auditoría de estas normas si no de servicios normativos heterogéneos mediante nuestras Oficinas Técnicas de Ciberseguridad y Cumplimiento.

https://www.pcisecuritystandards.org/assessors_and_solutions/card_production_security_assessors

jueves, 8 de abril de 2021

El PCI SSC publica la versión 3.1 del estándar PCI PIN

El pasado 12 de marzo, el PCI SSC publicó la versión 3.1 del estándar de seguridad PCI PIN. Esta publicación, catalogada con una revisión menor, añade una serie de aclaraciones y actualizaciones del estándar en base al feedback recibido. El objetivo del presente artículo es el de comentar los principales cambios introducidos.

Junto con la publicación de la nueva versión del estándar, se ha publicado una entrada en el blog del PCI SSC con un par de preguntas respondidas por Emma Sutcliffe, Standards Officer del PCI SSC, así como un documento con el resumen de los cambios.

La mayoría de estos cambios, son meramente el añadir nuevas referencias o cambios en algunas frases utilizadas, sin embargo, hay algunos puntos interesantes para revisar:

miércoles, 24 de marzo de 2021

Charlas, eventos y entrevistas

Nuestro responsable del área de Ciberinteligencia Carlos Seisdedos, colaborará como ponente en la II edición del #INTELQUORUM2021, una Jornada dedicada a la Inteligencia y Seguridad Global. Carlos hablará sobre Inteligencia de Fuentes Abiertas como elemento de valor para la organización. El evento se celebra este viernes 26 de marzo de 18:00 a 19:30.
 
Carlos también fue entrevistado el pasado jueves 18 en una importante emisora de México y estuvo hablando sobre ciberdelitos cometidos mediante redes sociales, y también como los afrontamos en ISecAuditors. La entrevista completa en el siguiente enlace (a partir de min. 1:20:00):
https://www.spreaker.com/user/heraldo-de-mexico/jesus-martin-mendoza-18-mar-21
 
Por su lado, Vicente Aguilera participará en el debate “Digitalización global, mercado de datos personales y su regularización” del programa de radio Debat a Orgull junto a la periodista Karma Peiró. El debate se emitirá este lunes a las 19:00. https://orgull.cat/debataorgull

jueves, 18 de marzo de 2021

Wi-Fi DoS: CTS Frame Attack

CTS Frame Attack es un ataque destinado a la denegación de servicio que puede dejar inoperativa una red inalámbrica durante un largo periodo de tiempo. Para entender cómo funciona el ataque y que es un paquete CTS deberemos profundizar en la base del Networking.

Modelo OSI

El modelo OSI (Open Systems Interconnection Model) es un marco conceptual usado para describir las funciones de un sistema de redes. Estas funciones se caracterizan en un conjunto universal de reglas y requisitos para respaldar la interoperabilidad entre diferentes productos y software. Las comunicaciones entre un sistema informático se dividen en siete capas abstractas:

OSI Model

En este artículo vamos a ver la capa física y profundizar en la capa de enlace para entender y ejecutar con éxito nuestro CTS Frame Attack.

Charlas, Eventos y entrevistas

La semana pasada Carlos Seisdedos, responsable del departamento de Ciberinteligencia, tuvo la oportunidad de participar nuevamente en la emisora de Radio Onda Cero, en el programa La Brújula hablando sobre las implicaciones del ataque con ransomware y rescate solicitado al SEPE (Servicio Público de Empleo Estatal). El podcast completo en el siguiente enlace:
 
https://www.ondacero.es/programas/la-brujula/programas-completos/brujula-10032021_2021031060494f3d094c980001e26804.html
 
Y hablando del ataque al SEPE, también ha podido colaborar con El Periódico sobre: ¿qué hay detrás del ciberataque que ha paralizado el SEPE?
https://www.elperiodico.com/es/economia/20210311/hay-detras-ciberataque-paralizado-sepe-11573149
 
Carlos, también ha sido entrevistado en el periódico mexicano El Universal, dónde habla sobre quien debe controlar los contenidos que subimos a las plataformas, ¿las tecnológicas o las autoridades? El artículo completo: https://www.eluniversal.com.mx/mundo/quien-vigila-al-vigilante-si-se-regulan-las-redes-cuestiona-experto-en-ciberseguridad

lunes, 15 de marzo de 2021

CISO-as-a-Service (CISOaaS): Una opción para cumplir con el Real Decreto 43/2021

 Si algo ha demostrado la pandemia del Covid-19 es que los estados han de replantearse qué es y no es estratégico para el funcionamiento de un país y de entidades como la UE. Nadie pensó en la importante que podía llegar a ser esa pequeña empresa especialista en la fabricación de respiradores para UCI pero sí se pensaba en lo importante que era ese gran hospital que los usaba, nadie pensó en esa pequeña empresa farmacéutica que podía ser capaz de fabricar un medicamento o una vacuna en caso necesario, o esa empresa industrial que era capaz de fabricar esa pequeña pero importantísima pieza para un equipamiento médico. Así se han dado muchos casos. El tejido productivo es imprescindible en situaciones de crisis y gran parte de las empresas que forman ese tejido o no era valorado como se merecía en cuanto a su criticidad, pero, para lo que nos merece aquí, no era observado en cuanto a la ciberseguridad en la implicación que repercute por esa responsabilidad.

viernes, 12 de marzo de 2021

Ampliación del IIN (BIN) de 6 a 8 dígitos: ¿Qué implicaciones conlleva?

Este artículo trata sobre la ampliación del valor del IIN, y las implicaciones que esto conlleva para el cumplimiento con el estándar PCI DSS. Antes de entrar en el tema de fondo, es necesario hacer una pequeña introducción con el fin de explicar las partes que conforman el Primary Account Number (PAN), o Número de Cuenta Primario.

Dicho número, se encuentra presente en la cara principal de todas las tarjetas de pago, y de acuerdo con lo establecido por la norma ISO/IEC 7812:2017 publicada por la Organización Internacional de Normalización ISO/IEC (2017), se compone de los siguientes valores:

lunes, 8 de marzo de 2021

Diferencias entre la ISO22301:2012 y la ISO22301:2019

 La Organización Internacional de Estandarización (ISO) es una entidad que nace en Londres en 1946, independiente y no gubernamental. Rápidamente se convierte en un referente a nivel mundial en compartición de conocimiento, desarrollo de estándares que soportan la innovación y que provee soluciones para los retos a escala global, con un total de 165 países miembros en el momento de la redacción de estas líneas, en diciembre de 2020.

viernes, 5 de marzo de 2021

Inteligencia de fuentes abiertas OSINT en la lucha contra el COVID-19

Toda información proveniente de fuentes abiertas obtenida en el transcurso de nuestra investigación, o recopilación de datos para un cliente ya sea mediante la utilización de sistemas de recolección propios o de un tercero, resulta totalmente imprescindible que deba ser analizada.

Por tanto, resulta necesario y conveniente aplicar diferentes técnicas de análisis con la finalidad de elaborar un producto de inteligencia que, como resultado de dicha evaluación, integración, análisis e interpretación, pueda ser de utilidad a nuestro cliente.

Como no me he cansado de explicar en las diferentes ponencias realizadas, la inteligencia ha de ser proactiva y ha de tratar de avanzarse a los acontecimientos para facilitar que el cliente pueda aprovechar las oportunidades que dicha inteligencia le proporciona como, por ejemplo, ayudándole a la protección contra las amenazas de la manera más eficiente, ya sea mediante la detección de elementos indiciarios de la preparación de un ataque u obteniendo elementos de quien está detrás de una campaña contra su organización.

Existen múltiples y variadas técnicas de análisis que nos ayudan en la interpretación de dichos datos, donde cada una de ellas juega un papel definido y está enfocada a un ámbito diferente de la ciberinteligencia. Así, por ejemplo, disponemos del análisis de alto impacto, diagramas de influencia, análisis estructural, análisis de actores, creación de escenarios e indicadores, o la descomposición visual, donde situaríamos el análisis de redes.

El análisis de redes es un complemento en las tareas del analista, proporcionando herramientas visuales que le ayudan en el análisis y estudio de cualquier tipología de red. El análisis de redes proporciona al analista los elementos necesarios para realizar una revisión, compilación e interpretación de los datos de los que se disponen, ofreciéndole la posibilidad de observar los datos desde un nuevo punto de vista.

Charlas, Eventos y Entrevistas

El Centro Criptológico Nacional (CCN) y el INCIBE organizan por primera vez la I Jornada STIC – Capítulo Colombia.
 
Este evento, que se celebrará los días 16 y 17 de marzo bajo el lema "Ciberseguridad el compromiso que nos une", pretende impulsar la colaboración y el intercambio de información en materia de ciberseguridad a nivel internacional.
 
Carlos Seisdedos, responsable del departamento de Ciberinteligencia ha sido seleccionado para presentar la ponencia: Técnicas OSINT para la generación de Inteligencia el día 17 de marzo a las 9:30 (hora colombiana).
 
Más información sobre el evento:
https://www.ccn-cert.cni.es/ijornada-colombia.html

miércoles, 3 de marzo de 2021

Análisis de los Cambios Introducidos por la v1.1 de PCI SSLCS

 El pasado 18 de febrero de 2021 el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de cuatro documentos a sus versiones 1.1:


Dichos documentos pertenecen al Marco de Software Seguro (PCI SSF - PCI Software Security Framework) y, en concreto, del estándar PCI Secure Software Lifecycle Standard (PCI SSLCS).

El estándar PCI Secure SLC junto con el PCI Secure Software Standard (PCI SSS) forman parte del marco de seguridad de software PCI (SSF). Este estándar proporciona requisitos de seguridad y procedimientos de evaluación para que los fabricantes de software se integren en sus ciclos de vida de desarrollo de software y validen que existen prácticas seguras de gestión del ciclo de vida.

miércoles, 24 de febrero de 2021

Red Team "No siempre lo mejor es lo más difícil"

¿Qué es el Red Team?

Un equipo de Red Team es un grupo de pentesters altamente cualificados que son contratados por una organización para probar sus defensas y mejorar su eficiencia. Básicamente, es la forma para utilizar estrategias, sistemas y metodologías para simular un escenario real y preparar las defensas de la compañía. Dichos ataques tienen que representar un ataque real de ciberdelincuentes bajo un entorno controlado.

miércoles, 17 de febrero de 2021

ISecAuditors se asocia con Kompleye para reforzar la oferta de servicios de auditoría para PCI y SOC 2

Kompleye es una empresa con licencia de contador público y evaluador de HITRUST que ofrece evaluaciones SOC 1, SOC 2, Compliance Attestation, certificación HITRUST, NIST 800-53 y 800-171. Kompleye's ha ayudado a clientes de diferentes sectores a completar con éxito sus auditorías y a reducir el estrés de las mismas.

Internet Security Auditors (ISecAuditors) es una empresa líder en servicios de ciberseguridad y en normas PCI. Sus sedes en Europa y Sudamérica les permiten operar en todo el mundo. Ha realizado con éxito cientos de certificaciones de evaluación del cumplimiento de las normas PCI desde 2007, y evaluaciones de pruebas de seguridad desde 2001.

viernes, 12 de febrero de 2021

SSL/TLS: UNA MIRADA AL ATAQUE BREACH

Para definir y comprender correctamente el ataque BREACH, es necesario tener una noción básica acerca de los ataques de canal lateral de compresión y un claro entendimiento sobre los algoritmos de compresión.

Algoritmos de compresión

Uno de los algoritmos de compresión más famoso es DEFLATE, el cual define la base del formato de archivo ZIP, la biblioteca zlib, gzip, PNGs, etc., y se compone de una combinación de codificación Huffman y compresión LZ77.
En los algoritmos de compresión como DEFLATE, se utilizan dos enfoques:

  • 1°: Las letras más utilizadas obtienen la representación más corta.
  • 2°: Cualquier frase que se repita solo se almacena una vez.

Centrándose en el segundo enfoque, si cierta cadena de caracteres se repite en algún lugar del texto, solo se almacena la primera vez junto con punteros que señalan dónde se encuentra nuevamente la misma secuencia. La segunda vez que ocurre, se incluye una referencia a la primera ocurrencia. 

miércoles, 10 de febrero de 2021

Internet Security Auditors patrocinador del CIBERSEG 2021

 Un año más la UAH (Universidad de Alcalá de Henares) ha organizado una nueva edición de las Jornadas de Seguridad y Ciberdefensa, está vez totalmente de forma online, los días 11 y 12 de febrero.

El objetivo de estas jornadas es la promoción y la difusión de temas relacionados con la seguridad y la ciberdefensa en el ámbito universitario. Para ello, se han programado un conjunto de charlas y talleres relacionados con temas de interés en este ámbito.

Después de las múltiples participaciones de Vicente Aguilera como ponente, este año desde Internet Security Auditors participamos como patrocinadores del evento.

Más información e inscripciones desde el siguiente enlace:
https://ciberseg.uah.es/