Analytics

jueves, 28 de diciembre de 2023

Versión 4.0 de PCI DSS. Analizando el requisito 12

Nos encontramos en el último de una serie en la que estamos analizando con más profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar el requisito 12.

Este requisito tiene como objetivo establecer una política de seguridad de la información que sea conocida y cumplimentada por todos los usuarios de la organización, además de concienciar a los usuarios sobre la sensibilidad de los datos de tarjeta tratados y la responsabilidad que tienen sobre estos.

En la versión 4.0 de PCI DSS, adquiere el siguiente nombre:

Requirement 12: Support Information Security with Organizational Policies and Programs
A continuación, nos centramos en profundidad en el requisito.

martes, 19 de diciembre de 2023

Más allá del error



En este artículo hablaremos de la gestión de errores internos del servidor web, que suelen ser una respuesta común cuando ocurre algún comportamiento anormal en el host o servicio, pero el servidor no puede determinar la causa exacta del problema.

Estos fallos suelen tener bastante importancia y pueden ser de gran ayuda para un ciberatacante ya que permiten obtener más información sobre su objetivo y preparar mejor su ataque.

Estos errores se producen por configuraciones incorrectas en el servidor, por ejemplo, una mala configuración en el archivo .htaccess podría ocasionar una fuga de información exponiendo el listado de directorios, lo que permitiría ver todos los archivos y carpetas dentro de un directorio.

Si tenemos esta línea configurada de esta manera en nuestro .htaccess “Options +Indexes” tendríamos una vulnerabilidad que es directory listing (listado de directorios).

lunes, 18 de diciembre de 2023

ISecAuditors y Open-Sec unen fuerzas para impulsar la seguridad cibernética a nuevas alturas



En un esfuerzo conjunto por fortalecer la seguridad contra las crecientes amenazas cibernéticas, ISecAuditors y Open-Sec han formalizado una estratégica alianza que fusiona la experiencia global en ciberseguridad con un profundo conocimiento del entorno local. Esta colaboración única permitirá ofrecer soluciones avanzadas y adaptadas a las necesidades específicas de nuestro mercado, proporcionando a las empresas una defensa integral contra las complejidades del panorama digital.

lunes, 11 de diciembre de 2023

Tarjetas de pago: Zoom-In

¿Quién, hoy en día, no dispone de una tarjeta de pago bien sea de crédito o bien sea de débito? Esta afirmación es incluso mayor después de la situación excepcional de pandemia vivida recientemente; que supuso que el contacto directo implicase un acto de riesgo de infección. Es en este preciso momento en el que las tarjetas de pago tienen mayor aceptación a nivel mundial dado que permiten completar el intercambio de bienes y servicios mediante un canal de pago sin contacto, o contactless, como habitualmente se conoce, por el cual no se requiere la interacción física con los dispositivos que procesan la transacción, puenteando la posibilidad de que la infección se propagase durante la mera acción de pagar.

jueves, 7 de diciembre de 2023

El futuro de los pagos electrónicos, acercamiento a las monedas digitales

Últimamente es muy habitual en muchas situaciones y muchos contextos oír hablar de monedas digitales, pagos digitales, alternativas a los medios de pago tradicionales, tecnologías basadas en Blockchain, y como no, criptomonedas.


lunes, 4 de diciembre de 2023

Fin de Programa VISA PIN - Análisis y consecuencias

Recientemente VISA publicó un comunicado en el que indicaba que a partir del 1 de Octubre de 2023 cesaría su programa VISA PIN:

Important note: Effective 1st October 2023, Visa will sunset the Visa PIN Security Program and will no longer proactively validate Payment Card Industry (PCI) PIN security requirements. While the program will no longer be in effect, clients, processors and service providers will still be required to comply with PCI PIN security requirements. A PCI PIN Security Attestation of Compliance requires a Qualified PIN Assessor (QPA) to test and assess the requirements and controls and should be conducted at least every 2 years

Por lo tanto, dejando de validar activamente los requisitos PCI PIN de las organizaciones bajo el impacto de su programa.

miércoles, 29 de noviembre de 2023

La evolución de la cibercriminalidad en los últimos años (Parte II)

Este artículo es el segundo de la serie en la que analizaremos la ciberdelincuencia a lo largo de los años y como combatirla. Para comprender la relevancia de estos datos, les invitamos a leer la primera parte del artículo, caso de no haberlo hecho previamente.

La ciberdelincuencia en perspectiva

Según los datos del Sistema Estadístico de Criminalidad (SEC) [28], en tan solo tres años, hemos sido testigos de un aumento sustancial en la proporción de ciberdelitos en España. Como se puede ver en el siguiente gráfico, en 2019 estos delitos representaron el 9.9% del total de delitos en el país. Sin embargo, para 2021, esa cifra se disparó a un 15.6%, lo que indica un aumento significativo en la actividad de ciberdelincuencia. Y la tendencia al alza continuó en 2022, cuando los ciberdelitos representaron un 16.1% del total de delitos registrados en España.

martes, 28 de noviembre de 2023

La evolución de la cibercriminalidad en los últimos años (Parte I)

La ciberseguridad ha experimentado una transformación asombrosa en las últimas dos décadas, y su creciente importancia es innegable. Hace solo unas pocas décadas, la idea de proteger nuestros datos y sistemas contra amenazas cibernéticas era un concepto prácticamente desconocido. Sin embargo, con la revolución digital y la creciente dependencia de la tecnología en nuestra vida cotidiana, la seguridad en línea se ha convertido en un pilar fundamental para la sociedad moderna.

En este período de tiempo, hemos presenciado una evolución constante en las amenazas cibernéticas, desde virus informáticos simples hasta sofisticados ataques cibernéticos respaldados por naciones o grandes corporaciones. La ciberseguridad se ha convertido en un campo de batalla donde gobiernos, empresas y usuarios individuales deben estar preparados para defenderse contra una amplia gama de amenazas. La creciente conectividad en línea ha hecho que la protección de datos confidenciales y la preservación de la privacidad sean más cruciales que nunca.

Actualice PCI DSS a la versión 4.0



El 31 de marzo de 2022, el PCI Security Standards Council (PCI SSC), consejo que se encarga de supervisar el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), publicó la versión 4.0, y que sustituirá a la 3.2.1. y cuyos objetivos principales son abordar las amenazas y las tecnologías emergentes, así como habilitar métodos innovadores para combatir nuevas amenazas.             

En Internet Security Auditors contamos con un equipo experto en materia PCI DSS que desde hace dos años ha estado difundiendo las novedades de la versión 4.0 a través de artículos de blog y webinars disponibles en nuestras plataformas.        

Artículos de interés:

lunes, 27 de noviembre de 2023

Descifrando el arte de la Ingeniería Inversa en aplicaciones: una mirada profunda



En el ecosistema de la ciberseguridad, la ingeniería inversa es una de las habilidades más importantes y poderosas que pueden tener los especialistas en análisis de seguridad.

En este artículo, exploraremos qué es la ingeniería inversa, sus fases, las aplicaciones y lenguajes de programación involucrados, así como su relación con el análisis de malware.

jueves, 23 de noviembre de 2023

Hardware Hacking: un mundo de retos y desafíos para la Ciberseguridad

En esta era digital, donde los dispositivos tecnológicos se han convertido en la base de nuestra vida cotidiana, y donde la facilidad del día a día se ha unido estrechamente con la ciberseguridad, esta última se ha convertido en un foco importante de preocupación y alta prioridad.

A medida que nuestra dependencia de la tecnología continúa creciendo, es crucial entender y abordar las amenazas que acechan en el ámbito cibernético.

Uno de los campos emergentes y poco explorados que ha cobrado relevancia es el hardware hacking, una técnica a través de la cual un analista o ciberatacante se aprovecha de las vulnerabilidades y debilidades que afectan a componentes físicos de los sistemas tecnológicos.

lunes, 20 de noviembre de 2023

Versión 4.0 de PCI DSS. Analizando los requisitos 10 y 11

Nos encontramos en post número 5 de una serie en la que estamos analizando más en profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar los requisitos 10 y 11.

Para introducir los dos requisitos que se hablaran en este post, vamos a comentarlos brevemente.

Estos dos requisitos forman el conjunto llamado “Regularly Monitor and Test Networks”, el cual tiene como objetivo la monitorización del entorno PCI, además de probar el entorno para controlar el nivel de seguridad y posibles fallas por donde podría ser vulnerable nuestro entorno PCI. Así mismo, ayudan a que en caso de que se genere una amenaza se pueda detectar, generar un rastro y se pueda identificar adecuadamente.

jueves, 9 de noviembre de 2023

Introducción al Pentest en “Entra ID” (Azure AD) parte I

Entra ID, antiguamente llamado Azure AD, es el servicio de identidad y acceso en la nube de Microsoft que se integra con la plataforma Azure y con otros servicios como Office 365, Dynamics 365 o Microsoft 365. Entra ID permite a las organizaciones gestionar sus usuarios, grupos, roles, aplicaciones y recursos de forma centralizada y segura. Sin embargo, como cualquier sistema, Entra ID puede ser vulnerable a ataques de ciberdelincuentes que busquen comprometer la identidad, el acceso o los datos de las organizaciones. Por eso, es importante realizar pruebas de penetración periódicas en Entra ID para evaluar su nivel de seguridad y detectar posibles debilidades o brechas.

lunes, 6 de noviembre de 2023

Navegando por el Laberinto de los Ciberriesgos: Cómo su gestión impulsa el éxito empresarial

Las amenazas cibernéticas evolucionan constantemente, y las empresas que no abordan de manera proactiva estos riesgos corren el riesgo, valga la redundancia, de sufrir ataques devastadores que pueden poner en peligro la integridad de la organización. A continuación, se navegará por el laberinto de los ciberriesgos, explorando la importancia de la gestión de estos y cómo esta práctica no solo protege a las empresas, si no que también impulsa su éxito y sostenibilidad a largo plazo. En la era digital en la que vivimos, la gestión de los riesgos cibernéticos se ha convertido en un elemento crítico para el éxito empresarial.

lunes, 30 de octubre de 2023

Versión 4.0 de PCI DSS. Analizando los requisitos 7, 8 y 9

El estándar PCI DSS, en su versión 4.0, ha experimentado una serie de cambios significativos en los requisitos clave, específicamente en los Requisitos 7, 8 y 9, que se centran en la autorización y gestión de privilegios, la identificación y autenticación de usuarios, sistemas y aplicaciones, y la seguridad física de los datos de titulares de tarjetas.

Aquí, desglosamos estos cambios para comprender su alcance y relevancia.

Requisito 7: Restrict Access to System Components and Cardholder Data by Business Need to Know

El Requisito 7 se centra en los criterios para la autorización y la gestión de privilegios. Es decir, establece pautas y prácticas relacionadas con quién tiene acceso a los sistemas y datos de tarjetas de pago, y cómo se gestionan esos accesos.

El primer cambio lo tenemos en el nombre del propio requisito, cuyo nombre en la versión 3.2.1 era "Restrict Access to cardholder data by business need to know". El título del requisito se ha modificado para incluir tanto los componentes del sistema como los datos de tarjetas.

jueves, 26 de octubre de 2023

Los peligros del “por defecto”


Hoy en día los diferentes sistemas, aplicaciones, frameworks, etc… vienen con un sinfín de configuraciones que algunas veces no son ni revisados. Incluso dentro del equipo de Sistemas, se suele hacer la broma de que instalar cosas en Windows es "next next next…" o en programación "seguir el tutorial X hasta que funcione".

La seguridad es un punto totalmente aparte de la funcionalidad de un sistema/aplicación e incluso muchas veces ni siquiera se llevan bien. Suele ser relativamente fácil poner en marcha una plataforma, pero no tanto hacerlo de manera segura tanto para el propio ecosistema como para el usuario.

En este artículo, vamos a ver los peligros que pueden provocar en cualquier empresa los diferentes tipos de "por defecto", causados por: la inexperiencia de los técnicos, la excusa de "está en la red interna, no va a pasar nada" o incluso un jefe que quiere algo "para ayer" o el técnico, que su prioridad va a ser que funcione, no que sea seguro.

martes, 24 de octubre de 2023

La Ciberseguridad no es como se lee o se ve sino como se asimila y se actúa



Muchas empresas cuando se les habla de un plan de ciberseguridad lo interpretan como un coste adicional difícil de amortizar y justificar. Y se entiende. Hay varios factores de por medio que lo podrían respaldar: la falta de conocimiento en materia de Seguridad Informática, la falta de previsión, la falta de formación a usuarios, la falta de asesores especializados de confianza y sobre todo el asumir riesgos de forma innecesaria o lo que es peor, no conocer los verdaderos riesgos y amenazas de la organización.

lunes, 9 de octubre de 2023

ISecAuditors participa en una charla con los alumnos del Máster Oficial en Ciberseguridad de la UPC

El pasado jueves 28 de septiembre Carles Sans del departamento de consultoría estuvo con los alumnos del Máster Oficial en Ciberseguridad de la Universitat Politécnica de Catalunya (UPC) dando una charla sobre casos prácticos de aplicación e incumplimiento del RGPD en la asignatura Applications Security.

viernes, 6 de octubre de 2023

Crónica del evento: Conferencia Cybersecurity Bank & Government 2023



El 14 de septiembre de 2023 en el Hotel Marriot de Bogotá D.C se inauguró uno de los eventos más relevantes y académicamente cargado de nuevas estrategias, soluciones, técnicas, conocimiento, etc., en el ámbito de la ciberseguridad y seguridad de la información a nivel empresarial y de gobierno, MTics (cuya CEO es Mónica Tasat) agencia de producción de congresos y eventos de ciberseguridad, fue la responsable de guiar, planificar y llevar a cabo este evento, donde se pudo contemplar varios discursos, en los cuales grandes representantes de algunas prestigiosas empresas del sector tecnológico y organismos públicos, expusieron varias metodologías, soluciones, estadísticas, tácticas y opiniones acerca de los desafíos y tendencias más actuales en el área de la seguridad de los datos.

miércoles, 4 de octubre de 2023

Cómo gestionar el requisito 12.3.1 de PCI DSS v4.0 mediante un FRA

Desde la publicación de la v4.0 del estándar PCI DSS, los nuevos requisitos incluidos (y que están detallados en el documento de resumen del cambio de v3.2.1 a v4.0: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r2.pdf) se han dividido en dos grupos; por un lado aquellos que son obligatorios desde el momento que se alinea el entorno a la v4.0 y, por otro lado, aquellos que son recomendados, mejores prácticas o, como describe el estándar en su versión en español, "prácticas recomendadas" hasta el 31 de marzo de 2025, momento a partir del cual se convertirán en obligatorios. Este sería el caso del requisito 12.3.1 que vamos a analizar y para ello voy a tratar de responder a diversas cuestiones que considero fundamentales para entender el contexto y contenido de este requisito en concreto.

viernes, 29 de septiembre de 2023

Versión 4.0 de PCI DSS. Analizando los requisitos 5 y 6

Nos encontramos en el post número 3 de una serie en la que estamos analizando más en profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar los requisitos 5 y 6.

Dando una visión general, los requisitos 5 y 6 pertenecen al conjunto "Mantain a Vulnerability Management Program" y se centran en elaborar y mantener un sistema de protección ante posibles vulnerabilidades y malware. Más concretamente, en proteger todos los sistemas, redes y softwares y mantenerlos libres de cualquier amenaza de forma proactiva. 

En la versión 4.0 de PCI DSS, adquieren los siguientes nombres:

  • Requirement 5: Protect All Systems and Networks from Malicious Software
  • Requirement 6: Develop and Maintain Secure Systems and Software

A continuación, nos centramos en profundidad en cada uno de los requisitos.

miércoles, 27 de septiembre de 2023

Versión 4.0 de PCI DSS. Analizando los requisitos 3 y 4

En este nuevo artículo analizaremos los cambios de la nueva versión del estándar relativos a la protección de los datos de tarjeta, incluyendo la seguridad en el almacenamiento de los datos de cuenta dentro del entorno PCI DSS (requisito 3) y del envío de los datos de tarjeta de forma segura a través de redes abiertas y públicas utilizando cifrado robusto (requisito 4), ambos correspondientes al segundo objetivo de control definido en el estándar: "Protect Account Data".

martes, 26 de septiembre de 2023

CISO: La Llave Maestra para la Ciberseguridad Empresarial

En el pasado artículo "Desentrañando las principales novedades de la Directiva NIS2" se introdujo la importancia del CISO en el ámbito empresarial, posición que, día tras día, va ganando una crucial representación debido al aumento de concienciación respecto a su necesidad, independientemente de que estemos hablando de empresas pequeñas, medianas o grandes. Por ello, el presente artículo está dedicado a su figura, al CISO, la llave maestra para la ciberseguridad empresarial contemporánea.

Tal y como expone El Libro Blanco del CISO (2019), aunque algunas organizaciones pueden haber tardado en reconocer esta necesidad, otras han tenido esta figura durante más de 25 años. El/la CISO es esencial para dirigir la estrategia de ciberseguridad de la organización, alinear los objetivos de seguridad con los objetivos empresariales y liderar varios comités de gestión relacionados con la ciberseguridad, como el Comité de Seguridad de la Información y el Comité de Ciberseguridad.

viernes, 22 de septiembre de 2023

Asegurando la Resiliencia Industrial: Implementación de normas de seguridad en el mundo OT

Actualmente, casi todos los servicios existentes en el mundo actual son soportados por las tecnologías de la información y las comunicaciones (TIC). Se prevé que en el futuro esta dependencia siga aumentando, ya que la digitalización de los procesos industriales comporta una serie de mejoras importantes ayudando así al progreso de la humanidad.

Sin embargo, estas tecnologías vienen asociadas a una serie de amenazas, rompiendo con la falsa sensación de seguridad existente en el entorno industrial de los últimos tiempos.

lunes, 18 de septiembre de 2023

Explorando la Ciberseguridad Nacional en España en el mundo OT

En un mundo caracterizado por la interconexión digital y una creciente dependencia de la tecnología, la ciberseguridad ha emergido como una preocupación esencial para naciones de todo planeta. En este contexto, España ha forjado un camino sólido hacia la protección de sus infraestructuras críticas y la salvaguardia de su entorno digital e industrial a través de una serie de estrategias y marcos regulatorios integrales. Este artículo se adentra en la compleja red que compone la ciberseguridad nacional en España, explorando cuatro pilares fundamentales: la Estrategia de Ciberseguridad Nacional, la Ley de Protección de Infraestructuras Críticas, el Esquema Nacional de Seguridad y la Directiva NIS (Seguridad de las Redes y la Información).

miércoles, 6 de septiembre de 2023

Versión 4.0 de PCI DSS. Analizando los requisitos 1 y 2

En marzo de 2.022 salía a la luz la nueva versión del estándar PCI DSS, la versión 4.0 que sustituirá definitivamente a la 3.2.1 el 31 de marzo de 2.024.


 La versión 4.0 de PCI DSS mantiene la estructura de los 12 requisitos pero trae consigo numerosos cambios que iremos analizando en este y otros artículos del blog. Las principales novedades (enfoque al riesgo, personalización de los subrequisitos, etc.) fueron analizadas en otro artículo del blog (Novedades de PCI DSS en la Versión 4.0), por lo que en esta serie de 6 artículos nos centraremos en los cambios introducidos por cada uno de los requisitos, haciendo énfasis en los principales cambios de contenido en los subrequisitos y obviando los cambios en la numeración o en la fusión/separación de requisitos.

lunes, 4 de septiembre de 2023

Acciones Estratégicas para Tiempos Desafiantes: Explorando el Esquema Nacional de Seguridad

El origen del Esquema Nacional de Seguridad

Actualmente, el progreso tecnológico está llevando a la evolución de las amenazas, así como, la creación de nuevos vectores de ataque afectando así a la Ciberseguridad de las organizaciones. Asimismo, a medida que aumenta la tecnología en la sociedad, el desafío para la gestión de su seguridad es cada vez mayor. Para adaptarse a esta nueva realidad es necesario el desarrollo de nuevos mecanismos de respuesta alineándolos con las regulaciones europeas y nacionales que sean de aplicación.

Las características del mundo actual, cada vez más hiperconectado, hacen que implementar la ciberseguridad hoy en día sea una prioridad estratégica. Sin embargo, la magnitud de los riesgos que afectan a la seguridad cibernética es tan grande que las empresas del sector público o privado no pueden abordar por si solas.

viernes, 1 de septiembre de 2023

Crónica del evento: ISACA DAY Bogotá Chapter 2023



El pasado 12 de Julio se llevó a cabo el ISACA DAY, un evento organizado por el capítulo de ISACA Bogotá, en el cual se presentaron varias charlas con conferencistas internacionales, empresas de la industria y varios patrocinadores, el cual tuvo como tema principal "Conociendo el riesgo cibernético". El congreso de los especialistas en gestión de gobierno, auditoría, control, aseguramiento, seguridad y riesgos al nivel de las tecnologías de información.

viernes, 18 de agosto de 2023

La Importancia de una Buena Estrategia de Continuidad de Negocio y cómo conseguirla: Protegiendo el Éxito Empresarial ante la Adversidad

¿Por qué es necesaria una buena estrategia de continuidad?

En un mundo cada vez más volátil e incierto, las empresas se enfrentan constantemente a una amplia gama de riesgos que podrían poner en peligro su supervivencia. Así pues, los riesgos relacionados con la continuidad de negocio son eventos o circunstancias que pueden interrumpir o afectar negativamente las operaciones y la capacidad de una organización para proporcionar productos o servicios de manera continua. Estos riesgos pueden surgir tanto de forma interna como externa. Es importante identificarlos y gestionarlos adecuadamente para garantizar la resiliencia y la continuidad de la organización. Los riesgos más comunes pueden agruparse en los siguientes campos:  desastres naturales, amenazas de origen industrial, errores y fallos no intencionados y ataques intencionados.

Contar con una buena estrategia de continuidad de negocio se ha convertido en una necesidad esencial para cualquier organización. En este artículo, exploraremos la importancia de una estrategia de continuidad de negocio sólida y cómo puede ayudar a proteger y asegurar la supervivencia empresarial.

lunes, 14 de agosto de 2023

¿Nos vemos en ANDICOM 2023? ISecAuditors estará en esta nueva edición del congreso de innovación TIC referente en Colombia


Del 6 al 8 de septiembre se celebra una nueva edición del Congreso Internacional de las TIC ANDICOM 2023. Este año, tras el éxito de la edición anterior y la gran afluencia de asistencia este 2023 el evento se traslada al Complejo de las Américas en Cartagena de Indias (Colombia), con un formato renovado, en donde los asistentes podrán vivir una experiencia de integración de los negocios con el mundo digital, en los más de 70 mil metros cuadrados que tiene este complejo.

martes, 25 de julio de 2023

Aviso importante del PCI SSC sobre estafas recientes usando su nombre



El phishing es un tipo de ataque de ingeniería social que busca robar datos de los usuarios, como credenciales de inicio de sesión y números de tarjetas de crédito. Es uno de los ataques más comunes que podemos encontrar hoy en día.

Este tipo de fraude se produce cuando un atacante, haciéndose pasar por una entidad de confianza, engaña a una víctima para que abra un correo electrónico, un mensaje instantáneo o un mensaje de texto, para que, a continuación, el usuario que lo recibe haga clic en un enlace malicioso, que puede derivar en: una instalación de malware, la congelación del sistema como parte de un ataque de ransomware o la revelación de información sensible.

lunes, 17 de julio de 2023

Directiva de Servicios de Pago PSD3: Impulsando la Innovación y la Seguridad en el Sector Financiero


En un mundo cada vez más digitalizado, donde las transacciones financieras se realizan en línea con mayor frecuencia, la regulación y la seguridad son fundamentales para garantizar la confianza de los consumidores y fomentar la innovación en el sector financiero.

La Directiva de Servicios de Pago (PSD, por sus siglas en inglés) es un conjunto de regulaciones de la Unión Europea (UE) que busca lograr precisamente eso.

miércoles, 12 de julio de 2023

Crónica del evento: C1B3RWALL


El pasado 20 de junio tuvo lugar una nueva entrega del evento "C1berwall" que tuvo lugar en la Academia de Policía Nacional de Ávila. Durante este evento, se abordaron temas clave relacionados con la ciberseguridad, incluyendo OSINT (Inteligencia de Fuentes Abiertas) y OPSEC (Operational Security).

martes, 11 de julio de 2023

ChatGPT, un arma de doble filo

Lo primero de todo ¿qué es ChatGPT?

Es un chatbot que se basa en inteligencia artificial y que permite formular preguntas y obtener respuestas como si fuera una conversación. Es el acrónimo de Chat Generative Pre-trained Transformer (Chat Generativo Preentrenado Transformador). Creado por la empresa Open AI en 2022.

ChatGPT es una aplicación de Inteligencia Artificial (IA) que en función de las preguntas que le hagamos nos contesta con respuestas automáticas simulando una conversación con una persona que conoce sobre el tema propuesto.

lunes, 10 de julio de 2023

Crónica del evento: V Encuentros ENS



El pasado jueves 29 de junio se celebró en la Fábrica Nacional de Moneda y Timbre de Madrid una nueva edición del evento V Encuentro ENS, titulado "La gestión de la seguridad como tarea clave" y contó con la participación de destacados profesionales de las principales agencias y organismos encargados de la ciberseguridad de las administraciones pública en España.

lunes, 29 de mayo de 2023

Crónica del evento: OSINTomático Conference 2023



Los pasados 12 y 13 de mayo se celebró en el Centro de Convenciones “La Nave”, en la ciudad de Madrid una nueva edición de OSINTomático, unas conferencias que nacieron con el objetivo de formar y concienciar a estudiantes, profesionales, empresas y público en general sobre técnicas de Inteligencia de Fuentes Abiertas e Ingeniería Social por medio de ponencias y talleres brindados por speakers de renombre internacional.

lunes, 22 de mayo de 2023

Vicente Aguilera nuevamente jurado de los Trofeos de la Seguridad TIC de la revista Red Seguridad

 

La revista Red Seguridad celebra este año su edición 16 de sus prestigiosos Trofeos de la Seguridad TIC, que además coinciden con su 20 aniversario, lo que promete una convocatoria de especial calado. Estos prestigiosos galardones se entregarán en el marco del 15º Encuentro de la Seguridad Integral (Seg2), que tendrá lugar en junio. La finalidad de estos premios es reconocer públicamente a profesionales, proyectos, programas, operaciones y soluciones más destacados de del año pasado.

viernes, 12 de mayo de 2023

Escaneos ASV, no son sólo una tarea de cumplimiento

En el año 2006 un grupo de entidades financieras preocupados por el alto índice de fraudes con tarjetas, fundaron un consejo denominado PCI Security Standarsd Council. Este grupo esta formado por American Express, Discover Financial Services, JCB International, MasterCard, VISA y otras organizaciones que se han sumado a estos esfuerzos, así nació PCI DSS.

PCI DSS consiste en 12 requisitos de seguridad agrupados en 6 categorías:

  • Construir y mantener redes seguras.
  • Proteger la información del tarjeta habiente.
  • Contar con herramientas de vulnerabilidades
  • Implementar controles de acceso robustos.
  • Monitorear y probar acceso a la red regularmente.
  • Mantener políticas de seguridad de la información.

Para facilitar la vigilancia y apoyo en este cumplimiento del estándar PCI Council se crearon diferentes figuras, de manera que las organizaciones obtengan la ayuda adecuada de expertos en seguridad que les orienten y evalúen el cumplimiento, uno de ellos es ASV (Approved Scanning Vendor).

jueves, 13 de abril de 2023

Cambios regulatorios y su impacto en las estructuras de decisión de las empresas

En mayo de 2017, las autoridades que conforman el Sistema Europeo de Supervisores Financieros, Autoridad Bancaria Europea (EBA), Autoridad Europea de Mercados y Valores (ESMA) y Autoridad de Seguros y Pensiones (EIOPA) publicaron una serie de propuestas que refrendaban la necesidad de crear un marco común de cooperación que permitiera  un equilibrio entre innovación y garantías para el consumidor, desde el punto de vista de la prestación de servicios digitales.

La EIOPA diseño seis áreas de estrategia para garantizar la protección de los consumidores y salvaguardar la estabilidad financiera:

martes, 21 de marzo de 2023

Tips: cómo empezar en el Hacking

Ideas y consejos para empezar en el mundillo del Hacking

Como a muchos de vosotros(as) supongo que os gustará saber cómo empezar y aprender en el mundo del Hacking en este artículo os daré una serie de ideas que os podrían venir muy bien para iniciaros en este mundillo.

Antes de nada, me gustaría empezar definiendo qué es el Hacking. Lo podríamos definir como:

viernes, 17 de marzo de 2023

Actualice su SGSI ISO 27001 a la nueva versión 2022

La última versión de la ISO/IEC 27001, publicada el 25 de octubre de 2022, ofrece a las organizaciones un plazo de transición de 3 años para adaptar y certificar sus sistemas al nuevo estándar.

jueves, 9 de marzo de 2023

Fuzzing: No todo lo que brilla es oro

En este artículo hablaremos sobre el fuzzing, primero con una breve explicación de que es, sus principales usos y finalmente de la una serie de problemas que pueden acarrear su uso ya que, como todo, pese a ser una herramienta muy útil y adaptable, no es perfecta y tiene una serie de riesgos y problemas.

Para empezar, ¿qué es el fuzzing?, el fuzzing o fuzz testing, es una técnica usada para descubrir bugs, fallas de seguridad o errores de código en cualquier tipo de aplicación, página web, o software en los que existe algún lugar dónde introducir datos. Este puede darse con distintos objetivos o distintos métodos. El objetivo en el que nos centraremos nosotros es el descubrimiento de directorios, contraseñas o cualquier otro dato, pero no el de provocar denegaciones de servicio.

En su uso podemos distinguir distintos pasos, el primero de ellos es la identificación del sistema objetivo, y dentro de este, los inputs dónde se producirá el fuzzing. El segundo paso será la generación de los datos que utilizaremos para fuzzear.

martes, 7 de marzo de 2023

¡Este 2023 volvemos a la RSA Conference!

Después del éxito del año pasado y la gran experiencia que vivimos, este año 2023 hemos querido repetir.

De la mano de ICEX España, INCIBE y la Oficina Económica y Comercial de España en Los Ángeles tenemos nuevamente la oportunidad, junto a nuestro partner en USA Kompleye de volver a participar como expositores en el evento más importante a nivel internacional de la industria de la ciberseguridad.
Bajo el lema ‘Stronger together’, la RSA Conference se celebrará en su ubicación tradicional, el Moscone Center de San Francisco (California, EE.UU.), durante los días 24 al 27 de abril de 2023.

lunes, 6 de marzo de 2023

Regulaciones de ciberseguridad del sector asegurador

Estrategia de Ciberseguridad de la Comisión Europea

Una de las prioridades de la Comisión Europea en un mundo cada vez más interconectado digitalmente es garantizar la ciberseguridad. Si bien los ataques en el ciberespacio ya estaban sucediendo con anterioridad, debido a la situación de pandemia global que se ha vivido en los últimos años, no han dejado de aumentar y han llegado a afectar gravemente a instituciones gubernamentales, centros hospitalarios, empresas privadas y por supuesto a usuarios finales de los sistemas de información y comunicación.

Con el objetivo de luchar contra el cibercrimen la Comisión Europea ha desarrollado a lo largo de los años una serie de iniciativas enfocadas a adoptar medidas firmes para que la economía y los ciudadanos de los estados miembros de la UE se encuentren debidamente preparados ante el escenario que se dibuja [3][7].

lunes, 20 de febrero de 2023

Diario de una Intrusión con Ransomware. ¿Cómo pudo haberse evitado?

Durante los últimos años hemos visto como los incidentes relacionados con intrusiones han ido en aumento, principalmente debido a delincuentes relacionados con el Ransomware.

En este artículo se pretende ilustrar al lector con ejemplos reales de intrusiones para tomar conciencia sobre las dinámicas, tiempos de los que disponen los defensores y las tácticas y eventos que deben de buscar en su red para detectar este tipo de ataques.

Para ilustrar estas dinámicas vamos a analizar una intrusión real, en la que se emplea Emotet con fecha de junio de 2022 explicada de forma magistral en DFIR REPORT.

martes, 7 de febrero de 2023

Desentrañando las principales novedades de la Directiva NIS2

Desde el año 2013, la Unión Europea está construyendo y fortificando su estrategia de ciberseguridad a fin de asegurar que redes y sistemas de información, ubicados en los Estados miembros, estén protegidos ante potenciales ciberataques.

Fue el 19 de julio de 2016 cuando, en vistas de un escenario de amenazas cibernéticas in crescendo, el Parlamento Europeo y el Consejo de la Unión Europea dieron un gran paso a favor de la defensa tecnológica publicando la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, comúnmente conocida como Directiva NIS, por las siglas en inglés “Network and Information Security”.

Como la práctica lleva a la excelencia, con la implementación de dicha Directiva se vislumbró una necesidad de mejora del propio documento, ya que, se identificaron dificultades para llegar al teórico nivel común de seguridad en todos los Estados miembros.

jueves, 19 de enero de 2023

La Seguridad de la Información en la era de la Computación Cuántica

Mecanismos de seguridad de la información

A lo largo de los últimos años y, cada vez más, se observan los aspectos de la seguridad de la información como un tema relevante y necesario en el mundo personal y profesional. Cuando se hace referencia a estos aspectos, se acostumbra a tener en cuenta típicamente:

  • la identificación: que identifica de forma exclusiva a una persona o un usuario en un sistema o en una aplicación.
  • la autenticación: que asegura que una persona o un usuario de un sistema o de una aplicación es quien dice ser.
  • la autorización: que protege los recursos importantes de un sistema de información, limitando el uso de los activos a únicamente aquellas personas que se encuentran autorizadas.
  • la confidencialidad: que protege a la información para que no pueda divulgarse sin la debida autorización.
  • la integridad: que protege a los datos de su modificación de forma no autorizada.
  • la disponibilidad: que asegura que los datos son accesibles cuando sean necesarios.
  • la auditoría: que registra y comprueba sucesos para detectar intentos o sucesos de actividades sospechosas o no autorizadas.

lunes, 16 de enero de 2023

PCI DSS v4.0 – Actualización SAQs

El estándar PCI DSS v3.2.1 ha sido actualizado a la v4.0 el pasado marzo de 2022 por lo que, actualmente, nos encontramos en un periodo de transición entre ambas versiones. Dicho periodo finalizará el 31 de marzo de 2024, momento en el cual la v3.2.1 será retirada y la v4.0 será la única activa.

Dentro de este período de transición, estaba previsto que en el Q1 de 2022 se lanzara oficialmente la v4.0, incluidos sus documentos de validación y, finalmente, en abril 2022 se publicaron dichos documentos. Entre los documentos disponibles en la biblioteca pública del PCI SSC (https://www.pcisecuritystandards.org/document_library/) para ser usados tanto por comercios, proveedores y empresas QSAC, es posible filtrar por aquellos relativos a los cuestionarios de autoevaluación o SAQs, que son los que analizaremos a continuación.

viernes, 13 de enero de 2023

El fraude en los pagos. Parte III - Entrega I: Innovaciones en las tarjetas de pago y los sistemas bancarios en pro de la seguridad

Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude.