miércoles, 29 de diciembre de 2021

Los Sistemas de Gestión de Privacidad de la Información como extensión de un Sistema de Gestión de Seguridad de la Información: La ISO27701:2019

La ISO 27701 es el estándar que especifica y provee la guía de implementación de un Sistema de Gestión de Privacidad de la Información (en adelante, SGPI) en forma de una extensión de los Sistemas de Gestión de Seguridad de la Información (en adelante, SGSI) establecidos en el estándar ISO27001.

Este artículo pretende ser una referencia rápida, no exhaustiva, a los requerimientos necesarios para adaptar los SGSI implementados para convertirlos en un SGPI y cubrir así los requerimientos del REGLAMENTO (UE) 2016/679, más conocido como: Reglamento General de Protección de Datos (en adelante, RGPD).

lunes, 27 de diciembre de 2021

Tendencias de Seguridad para este 2022

 

Finalizando este año 2021, toca mirar hacia atrás y valorar lo que ha supuesto este año en el mundo de la ciberseguridad, pero también toca mirar hacia delante y tratar de conocer qué nos vamos a encontrar en el siguiente año y a qué nos vamos a enfrentar. Con la experiencia que da un año más y atendiendo a las tendencias actuales en el mundo de la seguridad informática, desde Internet Security Auditors señalamos una serie de predicciones para este 2022:

martes, 14 de diciembre de 2021

El fraude en los pagos. Parte II: El fraude en cifras económicas

1. Introducción

En este segundo artículo de la serie ‘El fraude en los pagos’, se analiza el coste económico real causado por el uso no autorizado de las tarjetas de pago y la banca electrónica, a la vista de las publicaciones públicamente accesibles realizadas por la asociación comercial UK Finance, centradas en el mercado del Reino Unido.

2. Evaluación de los datos facilitados por UK Finance Limited

En la siguiente gráfica, se puede observar cómo ha ido evolucionando el volumen de transacciones fraudulentas realizadas. Estos valores hacen referencia al conjunto de transacciones fraudulentas no autorizadas, y engloban el conjunto de fraudes realizados con tarjetas de pago y banca electrónica. Si bien UK Finance incluye datos relativos a los fraudes realizados con cheques, el presente artículo no entra a valorar esta casuística, de modo que este valor no ha sido tenido en consideración para la elaboración de las gráficas, y no se menciona ni analiza.

martes, 7 de diciembre de 2021

Impacto de la COVID-19 en el estándar PCI DSS (III)

1. Evaluaciones remotas de entornos PCI DSS

Para terminar con esta serie de post en relación con el impacto de la COVID-19 en los entornos PCI DSS, vamos a analizar, por último, el impacto que ha tenido en la realización de las evaluaciones de cumplimiento.

Dado que los países y regiones se ven afectados de manera diferente y enfrentan diferentes tipos de restricciones, no es posible que el PCI SSC brinde una posición universal sobre la viabilidad de las evaluaciones remotas en todas las regiones. La capacidad para evaluar un entorno, y hasta qué nivel se puede completar la evaluación de acuerdo con los requisitos del programa existente, deberá determinarse caso por caso, dada la situación actual en cada región o país.

Siempre que sea posible, las evaluaciones in situ deben completarse de acuerdo con los requisitos, procedimientos y acuerdos de evaluación del programa PCI SSC aplicables. Cuando se hayan completado o puedan completarse evaluaciones in situ, los evaluadores y las entidades deben completar la evaluación y presentar su documentación de validación como de costumbre.

martes, 30 de noviembre de 2021

Transición y cambio de PA-DSS a PCI SSS

El estándar de software seguro de PCI (PCI SSS) reemplazará al estándar de seguridad de datos de aplicaciones de pago (PA-DSS) y al programa cuando se cierre oficialmente el 28 de octubre de 2022. La aceptación de presentación de nuevas solicitudes de pago para la validación de las PA-DSS se cerró el pasado 30 de junio de 2021 y, tras el cierre del programa en octubre de 2022, todas las aplicaciones pasarán a estar en “expiradas” y movidas al listado de “Aceptadas únicamente para despliegues preexistentes”.

El nuevo estándar PCI SSS amplía los principios clave de protección de aplicaciones y datos de pago, que se introdujeron por primera vez en PA-DSS, y está diseñado para admitir un conjunto mucho mayor de arquitecturas de software de pago, funciones y metodologías de desarrollo de software.

Desde el pasado 2020 se abrió la aceptación de envíos de evaluaciones para publicación de listados en el programa marco SSF, el cual cuenta con un período de validación de tres años.

viernes, 26 de noviembre de 2021

Análisis de la Actualización de PCI SSF v1.0 a v1.1

Desde el pasado febrero de 2021 (ya publicamos en marzo un artículo al respecto https://blog.isecauditors.com/2021/03/analisis-cambios-version-pci-sslcs.html) el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de varios documentos a sus versiones 1.1, siendo la más reciente de septiembre de 2021:

  • Estándares
    • Estándar PCI de Software Seguro v1.1
    • Estándar PCI del Ciclo de Vida del Software Seguro v1.1
    • Resumen de cambios del estándar PCI SSS v1.0 a v1.1
    • Resumen de cambios del estándar PCI SSLCS v1.0 a v1.1
  • Documentos de soporte
    • Requisitos de calificación para asesores SSF v1.1
    • Guía del programa de software seguro v1.1
    • Guía del programa de SLC seguro v1.1
    • Glosario de términos, abreviaturas y acrónimos de SSF v1.1
  • Formularios y plantillas de informes
    • Plantilla de informe de validación de software seguro (ROV) v1.1
    • Atestado de validación de software seguro (AOV) v1.1
    • Plantilla de informe de cumplimiento (ROC) de SLC seguro v1.1
    • Atestado de cumplimiento de SLC seguro (AOC) v1.1
  • Preguntas frecuentes
    • Preguntas frecuentes sobre SSF v1.1
  • Guías Generales
    • Transición de PA-DSS al marco de seguridad del software de PCI v1.1

martes, 23 de noviembre de 2021

Internet Security Auditors homologada Software Security Assessor por el PCI SSC

 El PCI Security Standards Council (PCI SSC) lanzó el año 2018 lo que sería, de forma progresiva, la evolución del anterior programa PA-DSS, enfocado únicamente en la certificación de aplicaciones de pago. Este nuevo marco consiste en una colección de estándares y programas creados para asegurar el diseño y desarrollo de software de pago. Con la entrada en vigor del nuevo estándar PCI Software Security Framework (SSF), el existente, PA-DSS, será remplazado con requisitos modernos que admiten una amplia gama de tipos de software de pago, tecnologías y metodologías de desarrollo


El SSF nace para dar cobertura a las empresas desarrolladoras de aplicaciones de pago, pero también a las empresas desarrolladoras de software para empresas que exigen y requieren a sus proveedores software seguro para ser desplegado en sus entornos de cumplimiento de PCI DSS. Con una visión mucho más ambiciosa y pragmática en cuanto a los escenarios en los que las empresas de desarrollo de software impactan con sus productos y servicios en los entornos de cumplimiento de PCI DSS. Si en este este caso, se pedía el cumplimiento de PCI DSS a las empresas de desarrollo, una norma que no estaba realmente pensada para esto, ahora las empresas de desarrollo ya cuentan con un estándar sobre el que trabajar para ofrecer las garantías de seguridad de sus productos de desarrollo a sus clientes de forma específica.
 

Como empresa especialista por una parte en la Seguridad en Medios de Pago y, por otra, en la seguridad en el Ciclo de Vida de Desarrollo de Software, Internet Security Auditors se convierte, de nuevo, en una de las primeras empresas a nivel global en certificarse en este programa y alcanzar un nuevo hito en nuestra trayectoria como expertos en Normas PCI.

jueves, 11 de noviembre de 2021

Automatizando tareas de pentesting con bash

¿Qué es bash?

Bash es un intérprete de comandos, interpreta las órdenes que nosotros le ingresemos y normalmente se ejecuta en Linux. Los scripts son el primer paso hacia la automatización.

¿Cómo hacer scripts en bash desde Linux?

Cuando escribimos un archivo en bash lo primero que tenemos que hacer es crear un archivo  .sh
Los archivos sh son scripts de comandos ejecutables por el shell de Unix que están escritos en lenguaje Bash.

Para ello, podemos utilizar en nuestra terminal el comando touch y añadir el texto que queramos terminado en sh, como por ejemplo “test.sh” lo que creará un archivo vacio. Posteriormente podremos editarlo con nano test.sh.


martes, 2 de noviembre de 2021

Vicente Aguilera jurado de los Trofeos de la Seguridad TIC de la revista Red Seguridad

La revista Red Seguridad retoma este año la convocatoria de sus prestigiosos Trofeos de la Seguridad TIC, ya en su XIV edición, que destacan por su imparcialidad. Un año más, desde Internet Security Auditors, estaremos allí con Vicente Aguilera como miembro del jurado representando a OWASP, papel que desempeña desde la segunda edición de estos trofeos hace 14 años.

lunes, 25 de octubre de 2021

Impacto de la COVID-19 en el estándar PCI DSS (II)

Según mencionábamos en el anterior artículo de esta serie, actualmente con la aparición de la COVID-19, han aparecido nuevos riesgos que antes no teníamos en cuanto a la seguridad que debemos abordar con medidas de seguridad eficaces para evitar posibles brechas de seguridad.

Además, este nuevo paradigma ha propiciado que los QSAs no puedan desplazarse a las ubicaciones de forma física que se deben evaluar bajo el estándar PCI DSS, por lo que proliferan las auditorías o evaluaciones remotas. Para llevar a cabo este tipo de auditorías, debemos tener en cuenta una serie de factores para que el PCI SSC las considera válidas.

A continuación, vamos a analizar algunas de las medidas de seguridad que podemos llevar a cabo para mitigar los riesgos que se plantean con el teletrabajo y también analizaremos los factores a tener en cuenta para realizar evaluaciones PCI DSS remotas de forma adecuada.

lunes, 4 de octubre de 2021

El fraude en los pagos. Parte I: Los datos de tarjeta y los diferentes tipos de ataques

 1. Introducción

Esta publicación se compone de tres artículos. En este primer artículo, de carácter introductorio, se brinda información básica sobre las tarjetas de pago, los tipos de pago y los datos requeridos para efectuarlos. Es necesario introducir esta información al lector con el fin de asegurar un nivel de conocimiento mínimo. Una vez logrado este punto, se introducen los diferentes tipos de ataque a los que se encuentran expuestos los titulares de tarjetas de pago en el momento de utilizarlas.

1.1. Tipos de pago

Antes de empezar, es importante explicar las tipologías de pagos que hay cuando se habla de pagos realizados con tarjetas. Estos pagos se diferencian en dos tipos, los pagos presenciales (al que nos referiremos por sus siglas en inglés, CP, Card Present) y los pagos no presenciales, o pagos sin presencia de la tarjeta (CNP, Card Not Present). 

lunes, 13 de septiembre de 2021

XSS, Un mal que nunca acaba

Empecemos por ¿Qué es un Cross-Site Scripting o XSS?

Definámoslo de una manera sencilla, son un tipo de inyecciones. Un Cross-Site al final es una ejecución de código malicioso que puede ser JavaScript, HTML o cualquier otro lenguaje siempre y cuando el entorno donde se vaya a ejecutar sea compatible con la plataforma en la que se está ejecutando y afecte a la plataforma realizando acciones maliciosas definidas por el usuario que no espera la plataforma y esto se produce por un input mal filtrado.

Por definir un poquito los términos y para que ya nos vayan sonando, JavaScript es un lenguaje de programación interpretado que permite compilar el código durante la ejecución y actualmente es utilizado por muchísimas páginas web.

JavaScript permite que la aplicación cliente, es decir, el sitio web, procese la información que recibe del servidor o desea enviar como, por ejemplo, publicar un mensaje, enviar credenciales de usuario para iniciar sesión, etc., o incluso renderizar juegos. Actualmente se usa en muchas aplicaciones y distintas plataformas por ejemplo de CMS (Sistema de gestión de contenidos) como son Wordpress, Drupal, Jommla, Shopify, etc...

viernes, 3 de septiembre de 2021

Cambiamos nuestros números de teléfono a la Marcación Única Nacional en Colombia

Desde el 1 de septiembre de 2021 se ha implementado la marcación única nacional en Colombia, para unificar la longitud de los números telefónicos fijos y móviles a 10 dígitos, simplificando el acceso a los servicios e impulsando la transformación y modernización de las redes fijas en el país.

A partir del cambio contemplado en la regulación, el país dispondrá de un esquema unificado en el que se marcarán 10 dígitos para hacer todo tipo de llamadas desde teléfonos fijos y celulares a cualquier número telefónico de Colombia.

De esta forma, cuando quiera ponerse en contacto con nuestras oficinas en Bogotá tendrá que hacerlo de la siguiente forma:

viernes, 13 de agosto de 2021

El Esquema Nacional de Seguridad y la reducción de riesgos en Office 365

Algunas de las herramientas más comúnmente utilizadas hoy en día, en el ámbito de la gestión e intercambio de información, son las proporcionadas por el conjunto de programas de Microsoft Office 365. Dependiendo del plan contratado por el usuario u organización (hogar o empresa), el conjunto de programas ofrecido es distinto, no obstante, en este artículo se analizarán los riesgos de seguridad asociados a algunos de los servicios ofrecidos por el plan empresarial.
 
Siendo Internet Security Auditors una empresa dedicada especialmente a la seguridad de la información, este artículo pretende analizar el nivel de seguridad ofrecido por Microsoft Office 365 y las opciones ofrecidas para ser configuradas por parte del usuario según necesidades organizativas.

El artículo se centrará en el análisis de las dimensiones de confidencialidad, integridad y disponibilidad de la información, a través de las principales herramientas de intercambio de información que ofrece el plan empresarial, como lo son Microsoft Teams, SharePoint, Exchange y la propia plataforma de administración de Office 365, de acuerdo a los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS).

miércoles, 11 de agosto de 2021

Internet Security Auditors afianza su alianza con el (ISC)² como OTP de formación en Portugal y Ecuador

(ISC)², la asociación sin fines de lucro más grande del mundo de profesionales certificados en ciberseguridad, ha anunciado que Internet Security Auditors sigue afianzando su alianza, que se remonta al año 2006, con un nuevo paso como OTP (Official Training Provider) de formación en Portugal y Ecuador (añadidos a España y Colombia). Convirtiéndonos en los primeros OTP que ofrecerán cursos oficiales en estos dos países.

El equipo de servicios de Internet Security Auditors será responsable de brindar programas de educación y desarrollo profesional (ISC)² para las organizaciones, con cursos oficiales preparatorios para los exámenes de las certificaciones:

  • Certified Information Systems Security Professional (CISSP)
  • Certified Secure Software Lifecycle Professional (CSSLP)
  • Certified Cloud Security Professional (CCSP)

jueves, 5 de agosto de 2021

Impacto de la COVID-19 en el estándar PCI DSS (I)

La inmersión, sin precedentes en nuestra sociedad, del coronavirus, convertido en Pandemia Mundial, ha hecho que todos reconsideremos y revisemos la forma en la cual se estaban llevando a cabo los negocios y la forma en que vivimos en general. Esto ha desembocado en la obligación de modificar sustancialmente el entorno de trabajo y los procesos que, con fuerte arraigo, las empresas tenían establecidos.

Esta situación presenta una serie completamente nueva de desafíos para los equipos de cada organización en materia de cumplimiento, tecnología y seguridad de la información, ya que estos empleados ahora operan en un entorno potencialmente menos seguro y definitivamente menos privado.

lunes, 19 de julio de 2021

API Testing, preparando un buen análisis

Cuando nos disponemos a auditar un sitio web tenemos claro lo que vamos a encontrarnos menú, opciones, formularios, cuadros de búsqueda y mucho texto, sin embargo, cuando vamos a auditar una API, debemos comprender varios puntos esenciales con el objetivo de realizar una auditoría con una adecuada metodología.

¿Qué es una API?

Se trata de un conjunto de definiciones y protocolos que se utilizan para desarrollar e integrar el software de las aplicaciones permitiendo la comunicación entre dos aplicaciones a través de un conjunto de reglas, es decir la especificación formal que establece cómo un módulo de un software se comunica o interactúa con otro.

Imaginemos que nuestra organización tiene la necesidad de crear un aplicativo de movilidad como Uber o una tienda online. ¿Te imaginas que costoso sería en tiempo y recursos el desarrollo de algunos recursos desde cero? Por eso es mejor utilizar un servicio que ya existe como Google Maps o PayPal.
Ese es el concepto de API, no rehacer el trabajo que ya han hecho otros y así poder crear un aplicativo más potente que el resto.

Además, cuando tenemos la necesidad de crear un aplicativo multiplataforma, como aplicaciones móviles tanto para iOS como para Android incluso para tablets como padOS o aplicativos webs surge la necesidad de compartir el Backend entre dichos aplicativos y ahí también aparece la definición de API.


viernes, 16 de julio de 2021

Primera empresa en Iberoamérica en acceder al programa de Card Production (CPSA) del PCI SSC

 El programa de Card Production Security Assessor (CPSA) fue uno de los últimos en ser incorporado dentro del ecosistema de estándares de seguridad del PCI SSC y define los requerimiento tanto físicos como lógicos que deben cumplir todos los fabricantes y personalizadores de tarjetas de pago.

Internet Security Auditors se convierte, marcando un nuevo hito como líder regional de referencia en consultoría y auditoría, en la primera empresa en España y Latinoamérica en entrar en el programa CPSA.

Con este programa, la compañía refuerza su liderazgo como empresa auditora en los estándares PCI, reconocida por la calidad de sus servicios de consultoría y auditoría en estas normas, para colaborar en los procesos de implementación y certificación del cumplimiento de las normas en las que ya cuenta con las acreditaciones como QSA, ASV, PA-QSA, CPSA, QSA(P2PE) y 3DS Assessor y que ampliaremos a otros programas gestionados por el PCI SSC en próximas fechas, cubriendo la totalidad de normas del PCI SSC, situándonos como líderes destacados y que nos permiten ayudar a nuestros clientes ya no sólo en el cumplimiento y auditoría de estas normas si no de servicios normativos heterogéneos mediante nuestras Oficinas Técnicas de Ciberseguridad y Cumplimiento.

https://www.pcisecuritystandards.org/assessors_and_solutions/card_production_security_assessors

jueves, 8 de abril de 2021

El PCI SSC publica la versión 3.1 del estándar PCI PIN

El pasado 12 de marzo, el PCI SSC publicó la versión 3.1 del estándar de seguridad PCI PIN. Esta publicación, catalogada con una revisión menor, añade una serie de aclaraciones y actualizaciones del estándar en base al feedback recibido. El objetivo del presente artículo es el de comentar los principales cambios introducidos.

Junto con la publicación de la nueva versión del estándar, se ha publicado una entrada en el blog del PCI SSC con un par de preguntas respondidas por Emma Sutcliffe, Standards Officer del PCI SSC, así como un documento con el resumen de los cambios.

La mayoría de estos cambios, son meramente el añadir nuevas referencias o cambios en algunas frases utilizadas, sin embargo, hay algunos puntos interesantes para revisar:

miércoles, 24 de marzo de 2021

Charlas, eventos y entrevistas

Nuestro responsable del área de Ciberinteligencia Carlos Seisdedos, colaborará como ponente en la II edición del #INTELQUORUM2021, una Jornada dedicada a la Inteligencia y Seguridad Global. Carlos hablará sobre Inteligencia de Fuentes Abiertas como elemento de valor para la organización. El evento se celebra este viernes 26 de marzo de 18:00 a 19:30.
 
Carlos también fue entrevistado el pasado jueves 18 en una importante emisora de México y estuvo hablando sobre ciberdelitos cometidos mediante redes sociales, y también como los afrontamos en ISecAuditors. La entrevista completa en el siguiente enlace (a partir de min. 1:20:00):
https://www.spreaker.com/user/heraldo-de-mexico/jesus-martin-mendoza-18-mar-21
 
Por su lado, Vicente Aguilera participará en el debate “Digitalización global, mercado de datos personales y su regularización” del programa de radio Debat a Orgull junto a la periodista Karma Peiró. El debate se emitirá este lunes a las 19:00. https://orgull.cat/debataorgull

jueves, 18 de marzo de 2021

Wi-Fi DoS: CTS Frame Attack

CTS Frame Attack es un ataque destinado a la denegación de servicio que puede dejar inoperativa una red inalámbrica durante un largo periodo de tiempo. Para entender cómo funciona el ataque y que es un paquete CTS deberemos profundizar en la base del Networking.

Modelo OSI

El modelo OSI (Open Systems Interconnection Model) es un marco conceptual usado para describir las funciones de un sistema de redes. Estas funciones se caracterizan en un conjunto universal de reglas y requisitos para respaldar la interoperabilidad entre diferentes productos y software. Las comunicaciones entre un sistema informático se dividen en siete capas abstractas:

OSI Model

En este artículo vamos a ver la capa física y profundizar en la capa de enlace para entender y ejecutar con éxito nuestro CTS Frame Attack.

Charlas, Eventos y entrevistas

La semana pasada Carlos Seisdedos, responsable del departamento de Ciberinteligencia, tuvo la oportunidad de participar nuevamente en la emisora de Radio Onda Cero, en el programa La Brújula hablando sobre las implicaciones del ataque con ransomware y rescate solicitado al SEPE (Servicio Público de Empleo Estatal). El podcast completo en el siguiente enlace:
 
https://www.ondacero.es/programas/la-brujula/programas-completos/brujula-10032021_2021031060494f3d094c980001e26804.html
 
Y hablando del ataque al SEPE, también ha podido colaborar con El Periódico sobre: ¿qué hay detrás del ciberataque que ha paralizado el SEPE?
https://www.elperiodico.com/es/economia/20210311/hay-detras-ciberataque-paralizado-sepe-11573149
 
Carlos, también ha sido entrevistado en el periódico mexicano El Universal, dónde habla sobre quien debe controlar los contenidos que subimos a las plataformas, ¿las tecnológicas o las autoridades? El artículo completo: https://www.eluniversal.com.mx/mundo/quien-vigila-al-vigilante-si-se-regulan-las-redes-cuestiona-experto-en-ciberseguridad

lunes, 15 de marzo de 2021

CISO-as-a-Service (CISOaaS): Una opción para cumplir con el Real Decreto 43/2021

 Si algo ha demostrado la pandemia del Covid-19 es que los estados han de replantearse qué es y no es estratégico para el funcionamiento de un país y de entidades como la UE. Nadie pensó en la importante que podía llegar a ser esa pequeña empresa especialista en la fabricación de respiradores para UCI pero sí se pensaba en lo importante que era ese gran hospital que los usaba, nadie pensó en esa pequeña empresa farmacéutica que podía ser capaz de fabricar un medicamento o una vacuna en caso necesario, o esa empresa industrial que era capaz de fabricar esa pequeña pero importantísima pieza para un equipamiento médico. Así se han dado muchos casos. El tejido productivo es imprescindible en situaciones de crisis y gran parte de las empresas que forman ese tejido o no era valorado como se merecía en cuanto a su criticidad, pero, para lo que nos merece aquí, no era observado en cuanto a la ciberseguridad en la implicación que repercute por esa responsabilidad.

viernes, 12 de marzo de 2021

Ampliación del IIN (BIN) de 6 a 8 dígitos: ¿Qué implicaciones conlleva?

NOTA ACLARATORIA - SEPTIEMBRE 2021

El PCI SSC ha actualizado la FAQ#1091 relativa a los formatos de truncamiento aceptados por las marcas de pago. Este cambio incluye nuevos criterios por parte de VISA y Mastercard para todos aquellos PAN con un BIN de 8 cifras.

De este modo, se permite almacenar los 8 primeros dígitos (BIN) y otros 4 cualesquiera. Esto hace que únicamente deba eliminarse de forma permanente un segmento de 4 cifras, y no de 6 cifras.


Para los PAN con un BIN de 6 dígitos no hay cambios, por lo que en este caso se sigue exigiendo que únicamente sean legibles los primeros 6 y otros 4 cualesquiera, exigiendo que se elimine permanentemente un segmento de un mínimo de 6 dígitos.


Este artículo trata sobre la ampliación del valor del IIN, y las implicaciones que esto conlleva para el cumplimiento con el estándar PCI DSS. Antes de entrar en el tema de fondo, es necesario hacer una pequeña introducción con el fin de explicar las partes que conforman el Primary Account Number (PAN), o Número de Cuenta Primario.

Dicho número, se encuentra presente en la cara principal de todas las tarjetas de pago, y de acuerdo con lo establecido por la norma ISO/IEC 7812:2017 publicada por la Organización Internacional de Normalización ISO/IEC (2017), se compone de los siguientes valores:

lunes, 8 de marzo de 2021

Diferencias entre la ISO22301:2012 y la ISO22301:2019

 La Organización Internacional de Estandarización (ISO) es una entidad que nace en Londres en 1946, independiente y no gubernamental. Rápidamente se convierte en un referente a nivel mundial en compartición de conocimiento, desarrollo de estándares que soportan la innovación y que provee soluciones para los retos a escala global, con un total de 165 países miembros en el momento de la redacción de estas líneas, en diciembre de 2020.

viernes, 5 de marzo de 2021

Inteligencia de fuentes abiertas OSINT en la lucha contra el COVID-19

Toda información proveniente de fuentes abiertas obtenida en el transcurso de nuestra investigación, o recopilación de datos para un cliente ya sea mediante la utilización de sistemas de recolección propios o de un tercero, resulta totalmente imprescindible que deba ser analizada.

Por tanto, resulta necesario y conveniente aplicar diferentes técnicas de análisis con la finalidad de elaborar un producto de inteligencia que, como resultado de dicha evaluación, integración, análisis e interpretación, pueda ser de utilidad a nuestro cliente.

Como no me he cansado de explicar en las diferentes ponencias realizadas, la inteligencia ha de ser proactiva y ha de tratar de avanzarse a los acontecimientos para facilitar que el cliente pueda aprovechar las oportunidades que dicha inteligencia le proporciona como, por ejemplo, ayudándole a la protección contra las amenazas de la manera más eficiente, ya sea mediante la detección de elementos indiciarios de la preparación de un ataque u obteniendo elementos de quien está detrás de una campaña contra su organización.

Existen múltiples y variadas técnicas de análisis que nos ayudan en la interpretación de dichos datos, donde cada una de ellas juega un papel definido y está enfocada a un ámbito diferente de la ciberinteligencia. Así, por ejemplo, disponemos del análisis de alto impacto, diagramas de influencia, análisis estructural, análisis de actores, creación de escenarios e indicadores, o la descomposición visual, donde situaríamos el análisis de redes.

El análisis de redes es un complemento en las tareas del analista, proporcionando herramientas visuales que le ayudan en el análisis y estudio de cualquier tipología de red. El análisis de redes proporciona al analista los elementos necesarios para realizar una revisión, compilación e interpretación de los datos de los que se disponen, ofreciéndole la posibilidad de observar los datos desde un nuevo punto de vista.

Charlas, Eventos y Entrevistas

El Centro Criptológico Nacional (CCN) y el INCIBE organizan por primera vez la I Jornada STIC – Capítulo Colombia.
 
Este evento, que se celebrará los días 16 y 17 de marzo bajo el lema "Ciberseguridad el compromiso que nos une", pretende impulsar la colaboración y el intercambio de información en materia de ciberseguridad a nivel internacional.
 
Carlos Seisdedos, responsable del departamento de Ciberinteligencia ha sido seleccionado para presentar la ponencia: Técnicas OSINT para la generación de Inteligencia el día 17 de marzo a las 9:30 (hora colombiana).
 
Más información sobre el evento:
https://www.ccn-cert.cni.es/ijornada-colombia.html

miércoles, 3 de marzo de 2021

Análisis de los Cambios Introducidos por la v1.1 de PCI SSLCS

 El pasado 18 de febrero de 2021 el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de cuatro documentos a sus versiones 1.1:


Dichos documentos pertenecen al Marco de Software Seguro (PCI SSF - PCI Software Security Framework) y, en concreto, del estándar PCI Secure Software Lifecycle Standard (PCI SSLCS).

El estándar PCI Secure SLC junto con el PCI Secure Software Standard (PCI SSS) forman parte del marco de seguridad de software PCI (SSF). Este estándar proporciona requisitos de seguridad y procedimientos de evaluación para que los fabricantes de software se integren en sus ciclos de vida de desarrollo de software y validen que existen prácticas seguras de gestión del ciclo de vida.

miércoles, 24 de febrero de 2021

Red Team "No siempre lo mejor es lo más difícil"

¿Qué es el Red Team?

Un equipo de Red Team es un grupo de pentesters altamente cualificados que son contratados por una organización para probar sus defensas y mejorar su eficiencia. Básicamente, es la forma para utilizar estrategias, sistemas y metodologías para simular un escenario real y preparar las defensas de la compañía. Dichos ataques tienen que representar un ataque real de ciberdelincuentes bajo un entorno controlado.

miércoles, 17 de febrero de 2021

ISecAuditors se asocia con Kompleye para reforzar la oferta de servicios de auditoría para PCI y SOC 2

Kompleye es una empresa con licencia de contador público y evaluador de HITRUST que ofrece evaluaciones SOC 1, SOC 2, Compliance Attestation, certificación HITRUST, NIST 800-53 y 800-171. Kompleye's ha ayudado a clientes de diferentes sectores a completar con éxito sus auditorías y a reducir el estrés de las mismas.

Internet Security Auditors (ISecAuditors) es una empresa líder en servicios de ciberseguridad y en normas PCI. Sus sedes en Europa y Sudamérica les permiten operar en todo el mundo. Ha realizado con éxito cientos de certificaciones de evaluación del cumplimiento de las normas PCI desde 2007, y evaluaciones de pruebas de seguridad desde 2001.

viernes, 12 de febrero de 2021

SSL/TLS: UNA MIRADA AL ATAQUE BREACH

Para definir y comprender correctamente el ataque BREACH, es necesario tener una noción básica acerca de los ataques de canal lateral de compresión y un claro entendimiento sobre los algoritmos de compresión.

Algoritmos de compresión

Uno de los algoritmos de compresión más famoso es DEFLATE, el cual define la base del formato de archivo ZIP, la biblioteca zlib, gzip, PNGs, etc., y se compone de una combinación de codificación Huffman y compresión LZ77.
En los algoritmos de compresión como DEFLATE, se utilizan dos enfoques:

  • 1°: Las letras más utilizadas obtienen la representación más corta.
  • 2°: Cualquier frase que se repita solo se almacena una vez.

Centrándose en el segundo enfoque, si cierta cadena de caracteres se repite en algún lugar del texto, solo se almacena la primera vez junto con punteros que señalan dónde se encuentra nuevamente la misma secuencia. La segunda vez que ocurre, se incluye una referencia a la primera ocurrencia. 

miércoles, 10 de febrero de 2021

Internet Security Auditors patrocinador del CIBERSEG 2021

 Un año más la UAH (Universidad de Alcalá de Henares) ha organizado una nueva edición de las Jornadas de Seguridad y Ciberdefensa, está vez totalmente de forma online, los días 11 y 12 de febrero.

El objetivo de estas jornadas es la promoción y la difusión de temas relacionados con la seguridad y la ciberdefensa en el ámbito universitario. Para ello, se han programado un conjunto de charlas y talleres relacionados con temas de interés en este ámbito.

Después de las múltiples participaciones de Vicente Aguilera como ponente, este año desde Internet Security Auditors participamos como patrocinadores del evento.

Más información e inscripciones desde el siguiente enlace:
https://ciberseg.uah.es/