Crónica del evento: OSINTomático Conference 2023

Los pasados 12 y 13 de mayo se celebró en el Centro de Convenciones “La Nave”, en la ciudad de Madrid una nueva edición de OSINTomático, unas conferencias que nacieron con el objetivo de formar y concienciar a estudiantes, profesionales, empresas y público en general sobre técnicas de Inteligencia de Fuentes Abiertas e Ingeniería Social por medio de ponencias y talleres brindados por speakers de renombre internacional.

ISecWebinar: Fortaleciendo la seguridad empresarial. Proactividad anticipativa y escalado de capacidades a través de un SOC de Ciberinteligencia

Si quieres saber cómo fortalecer la seguridad de tu empresa de forma proactiva no te pierdas nuestro próximo webinar: "Fortaleciendo la seguridad empresarial. Proactividad anticipativa y escalado de capacidades a través de un SOC de Ciberinteligencia".

Vicente Aguilera nuevamente jurado de los Trofeos de la Seguridad TIC de la revista Red Seguridad

 

La revista Red Seguridad celebra este año su edición 16 de sus prestigiosos Trofeos de la Seguridad TIC, que además coinciden con su 20 aniversario, lo que promete una convocatoria de especial calado. Estos prestigiosos galardones se entregarán en el marco del 15º Encuentro de la Seguridad Integral (Seg2), que tendrá lugar en junio. La finalidad de estos premios es reconocer públicamente a profesionales, proyectos, programas, operaciones y soluciones más destacados de del año pasado.

Escaneos ASV, no son sólo una tarea de cumplimiento

En el año 2006 un grupo de entidades financieras preocupados por el alto índice de fraudes con tarjetas, fundaron un consejo denominado PCI Security Standarsd Council. Este grupo esta formado por American Express, Discover Finalcial Services, JCB International, MasterCard, VISA y otras organizaciones que se han sumado a estos esfuerzos, así nació PCI DSS.

PCI DSS consiste en 12 requisitos de seguridad agrupados en 6 categorías:

• Construir y mantener redes seguras.
• Proteger la información del tarjeta habiente.
• Contar con herramientas de vulnerabilidades
• Implementar controles de acceso robustos.
• Monitorear y probar acceso a la red regularmente.
• Mantener políticas de seguridad de la información.

Para facilitar la vigilancia y apoyo en este cumplimiento del estándar PCI Council se crearon diferentes figuras, de manera que las organizaciones obtengan la ayuda adecuada de expertos en seguridad que les orienten y evalúen el cumplimiento, uno de ellos es ASV (Approved Scannig Vendor).

Cambios regulatorios y su impacto en las estructuras de decisión de las empresas

En mayo de 2017, las autoridades que conforman el Sistema Europeo de Supervisores Financieros, Autoridad Bancaria Europea (EBA), Autoridad Europea de Mercados y Valores (ESMA) y Autoridad de Seguros y Pensiones (EIOPA) publicaron una serie de propuestas que refrendaban la necesidad de crear un marco común de cooperación que permitiera  un equilibrio entre innovación y garantías para el consumidor, desde el punto de vista de la prestación de servicios digitales.

La EIOPA diseño seis áreas de estrategia para garantizar la protección de los consumidores y salvaguardar la estabilidad financiera:

Tips: cómo empezar en el Hacking

Ideas y consejos para empezar en el mundillo del Hacking

Como a muchos de vosotros(as) supongo que os gustará saber cómo empezar y aprender en el mundo del Hacking en este artículo os daré una serie de ideas que os podrían venir muy bien para iniciaros en este mundillo.

Antes de nada, me gustaría empezar definiendo qué es el Hacking. Lo podríamos definir como:

Actualice su SGSI ISO 27001 a la nueva versión 2022

La última versión de la ISO/IEC 27001, publicada el 25 de octubre de 2022, ofrece a las organizaciones un plazo de transición de 3 años para adaptar y certificar sus sistemas al nuevo estándar.

Fuzzing: No todo lo que brilla es oro

En este artículo hablaremos sobre el fuzzing, primero con una breve explicación de que es, sus principales usos y finalmente de la una serie de problemas que pueden acarrear su uso ya que, como todo, pese a ser una herramienta muy útil y adaptable, no es perfecta y tiene una serie de riesgos y problemas.

Para empezar, ¿qué es el fuzzing?, el fuzzing o fuzz testing, es una técnica usada para descubrir bugs, fallas de seguridad o errores de código en cualquier tipo de aplicación, página web, o software en los que existe algún lugar dónde introducir datos. Este puede darse con distintos objetivos o distintos métodos. El objetivo en el que nos centraremos nosotros es el descubrimiento de directorios, contraseñas o cualquier otro dato, pero no el de provocar denegaciones de servicio.

En su uso podemos distinguir distintos pasos, el primero de ellos es la identificación del sistema objetivo, y dentro de este, los inputs dónde se producirá el fuzzing. El segundo paso será la generación de los datos que utilizaremos para fuzzear.

¡Este 2023 volvemos a la RSA Conference!

Después del éxito del año pasado y la gran experiencia que vivimos, este año 2023 hemos querido repetir.

De la mano de ICEX España, INCIBE y la Oficina Económica y Comercial de España en Los Ángeles tenemos nuevamente la oportunidad, junto a nuestro partner en USA Kompleye de volver a participar como expositores en el evento más importante a nivel internacional de la industria de la ciberseguridad.
Bajo el lema ‘Stronger together’, la RSA Conference se celebrará en su ubicación tradicional, el Moscone Center de San Francisco (California, EE.UU.), durante los días 24 al 27 de abril de 2023.

Regulaciones de ciberseguridad del sector asegurador

Estrategia de Ciberseguridad de la Comisión Europea

Una de las prioridades de la Comisión Europea en un mundo cada vez más interconectado digitalmente es garantizar la ciberseguridad. Si bien los ataques en el ciberespacio ya estaban sucediendo con anterioridad, debido a la situación de pandemia global que se ha vivido en los últimos años, no han dejado de aumentar y han llegado a afectar gravemente a instituciones gubernamentales, centros hospitalarios, empresas privadas y por supuesto a usuarios finales de los sistemas de información y comunicación.

Con el objetivo de luchar contra el cibercrimen la Comisión Europea ha desarrollado a lo largo de los años una serie de iniciativas enfocadas a adoptar medidas firmes para que la economía y los ciudadanos de los estados miembros de la UE se encuentren debidamente preparados ante el escenario que se dibuja [3][7].

Diario de una Intrusión con Ransomware. ¿Cómo pudo haberse evitado?

Durante los últimos años hemos visto como los incidentes relacionados con intrusiones han ido en aumento, principalmente debido a delincuentes relacionados con el Ransomware.

En este artículo se pretende ilustrar al lector con ejemplos reales de intrusiones para tomar conciencia sobre las dinámicas, tiempos de los que disponen los defensores y las tácticas y eventos que deben de buscar en su red para detectar este tipo de ataques.

Para ilustrar estas dinámicas vamos a analizar una intrusión real, en la que se emplea Emotet con fecha de junio de 2022 explicada de forma magistral en DFIR REPORT.

Desentrañando las principales novedades de la Directiva NIS2

Desde el año 2013, la Unión Europea está construyendo y fortificando su estrategia de ciberseguridad a fin de asegurar que redes y sistemas de información, ubicados en los Estados miembros, estén protegidos ante potenciales ciberataques.

Fue el 19 de julio de 2016 cuando, en vistas de un escenario de amenazas cibernéticas in crescendo, el Parlamento Europeo y el Consejo de la Unión Europea dieron un gran paso a favor de la defensa tecnológica publicando la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, comúnmente conocida como Directiva NIS, por las siglas en inglés “Network and Information Security”.

Como la práctica lleva a la excelencia, con la implementación de dicha Directiva se vislumbró una necesidad de mejora del propio documento, ya que, se identificaron dificultades para llegar al teórico nivel común de seguridad en todos los Estados miembros.

La Seguridad de la Información en la era de la Computación Cuántica

Mecanismos de seguridad de la información

A lo largo de los últimos años y, cada vez más, se observan los aspectos de la seguridad de la información como un tema relevante y necesario en el mundo personal y profesional. Cuando se hace referencia a estos aspectos, se acostumbra a tener en cuenta típicamente:

• la identificación: que identifica de forma exclusiva a una persona o un usuario en un sistema o en una aplicación.
• la autenticación: que asegura que una persona o un usuario de un sistema o de una aplicación es quien dice ser.
• la autorización: que protege los recursos importantes de un sistema de información, limitando el uso de los activos a únicamente aquellas personas que se encuentran autorizadas.
• la confidencialidad: que protege a la información para que no pueda divulgarse sin la debida autorización.
• la integridad: que protege a los datos de su modificación de forma no autorizada.
• la disponibilidad: que asegura que los datos son accesibles cuando sean necesarios.
• la auditoría: que registra y comprueba sucesos para detectar intentos o sucesos de actividades sospechosas o no autorizadas.

PCI DSS v4.0 – Actualización SAQs

El estándar PCI DSS v3.2.1 ha sido actualizado a la v4.0 el pasado marzo de 2022 por lo que, actualmente, nos encontramos en un periodo de transición entre ambas versiones. Dicho periodo finalizará el 31 de marzo de 2024, momento en el cual la v3.2.1 será retirada y la v4.0 será la única activa.

Dentro de este período de transición, estaba previsto que en el Q1 de 2022 se lanzara oficialmente la v4.0, incluidos sus documentos de validación y, finalmente, en abril 2022 se publicaron dichos documentos. Entre los documentos disponibles en la biblioteca pública del PCI SSC (https://www.pcisecuritystandards.org/document_library/) para ser usados tanto por comercios, proveedores y empresas QSAC, es posible filtrar por aquellos relativos a los cuestionarios de autoevaluación o SAQs, que son los que analizaremos a continuación.

El fraude en los pagos. Parte III - Entrega I: Innovaciones en las tarjetas de pago y los sistemas bancarios en pro de la seguridad

Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude.