Security Art Work

Vivimos una situación excepcional en el mundo. Esta crisis sanitaria nos ha cogido a todos de improviso. No solo las empresas han visto que su plan de continuidad no contemplaba escenarios de siniestro como el que vivimos, sino que la inmensa mayoría de gobiernos, que deberían tener todo preparado para estas situaciones, han demostrado que no estaban preparados para una crisis de este calibre.

En el caso de España, hace más de un mes que se decretó el estado de alarma en todo el país, y desde ese momento, las decisiones del gobierno han venido reguladas a través de decretos y órdenes que han ido permitiendo la aplicación de las medidas de actuación establecidas por el ejecutivo.

En este sentido, son muchos los artículos de opinión publicados en relación al ya citado estado de alarma y el impacto que este puede suponer en lo que respecta a los derechos y libertades de los ciudadanos. Nosotros, fieles a nuestra condición de blog de ciberseguridad, vamos a dejar de lado los aspectos políticos e ideológicos y a centrarnos en aquellos aspectos que pueden tener un impacto en la seguridad de los ciudadanos y la privacidad de sus datos.

A la hora de utilizar un dominio para la comunicación con el servidor de mando y control y/o de exfiltración, los grupos de mayor sofisticación suelen utilizar nombres que pasan desapercibidos en un primer vistazo (e incluso hasta después de varios) por los analistas.

La utilización de palabras del ámbito tecnológico o relacionadas con el sector de la organización suelen proporcionar una capa adicional de ocultación en las ya de por sí discretas comunicaciones. Sin embargo, ¿podemos detectar estos dominios?

El objetivo del siguiente artículo es buscar patrones entre los IoC de diferentes APT y compararlos con el listado del millón de dominios más utilizados que proporciona Alexa, de cara a generar un algoritmo que permita ponderar la probabilidad de que un dominio intente hacerse pasar por legítimo.

[Read more…]

La entrada de hoy viene de la mano de Gabriel Sánchez-Román Urrutia, Teniente de navío de la Armada y Analista de Ciberseguridad del MCCD. Disfruten con su lectura.

¿Cómo enfrentarse a un APT? Esa es la gran pregunta que nos hacemos los que nos dedicamos a la ciberseguridad, bien sean de empresas o de diferentes organizaciones. Recientemente, escribí un artículo en el Instituto Español de Estudios Estratégicos sobre el posible uso de las APT cómo un método de disuasión por parte de los estados, en el que comparo las APT con algo que conozco muy bien: los submarinos.

Básicamente, sus similitudes emanan de las características principales de una APT: resiliencia, anonimato e invisibilidad frente a los principios fundamentales submarinistas: seguridad, discreción y conservación de la iniciativa.

Un aspecto a tener en cuenta previamente, de forma breve, es el concepto de acústica submarina. A grandes rasgos, la velocidad del sonido en el agua depende de la temperatura, la profundidad y, en menos medida, de la salinidad y aumenta hasta un punto conocido como profundidad de capa. A partir de ahí, la velocidad del sonido (y la detección) comienza a disminuir de forma drástica y más tarde a aumentar. Es muy importante para el submarino conocer el valor de la profundidad de capa, la cual se puede conocer de forma teórica o ser medida a través de un baticelerímetro. Por lo tanto, por encima de la profundidad de capa el submarino y el buque tendrán mejor detección el uno del otro, mientras que si el submarino está por debajo de esa profundidad estará en una zona de sombra, siendo indetectable por el buque salvo que utilice sonares de profundidad variable. Aquí está el juego del ratón y el gato entre buque y submarino, algo parecido a lo que ocurre en el ciberespacio con las APT.

Por todo el mundo son conocidas las dificultades de los departamentos internos de Tecnologías de la Información (TI) para alcanzar y mantener “El Dorado” de su integración en los procesos de negocio de sus compañías. Los cambios constantes y la transformación del negocio son una característica intrínseca de cualquier sector; incluso entre los más exitosos, quien no evoluciona corre un serio riesgo de quedar en la cuneta más pronto que tarde.

Inmersos en esta dinámica, los departamentos internos de TI se afanan por adaptarse, no quedar rezagados del negocio y, en su caso, gestionar el “shadow IT” y sus consustanciales problemas de seguridad para las compañías. ¿Dónde se encuentra la raíz de los problemas?, ¿solo es un problema de tecnólogos poco decididos a seguir el ritmo del negocio o hay algo más profundo?

Como punto de partida cabe admitir que los proveedores internos de TI comparten unas características y vocación comunes: en primer lugar, se afanan en proporcionar al negocio capacidades basadas en la utilización de TI; además, se ocupan de administrar esas capacidades; y, finalmente, aspiran a convertir la TI en un elemento de ventaja competitiva a través de la innovación que introducen estas tecnologías. Corresponde entonces analizar los espacios de confluencia entre las necesidades y expectativas de negocio y, por otro lado, las actividades que vertebran el empleo de la TI.

La actual situación de pandemia provocada por el infausto COVID-19 (o Coronavirus) está impactando en todos los ámbitos de la sociedad: el primero y más importante, el de la salud pública y el consustancial instinto primario de supervivencia del individuo; probablemente, la segunda preocupación sea el impacto económico que, como trabajador o como emprendedor, la epidemia está causando en la operativa y en las previsiones de las empresas y corporaciones de cualquier sector y naturaleza.

Pero el mundo no se detiene… ¡y las organizaciones tampoco pueden permitirse parar su operativa de negocio!

Tras su última disputa (https://www.securityartwork.es/2018/02/26/evadiendo-av-shellter-tambien-sysmon-wazuh-i/), Pepote ha decidido volver a contratar a Pepito, quien en el fondo era un buen trabajador. Pero antes, Pepote ha tomado un par de precauciones, como bloquear páginas web con contenido de “hacking” que puedan facilitar a Pepito realizar acciones indebidas.

Pepito ha aceptado, pero aún le guarda rencor del tiempo que estuvo en la cárcel, así que en su primer día de trabajo ya intenta buscar formas para realizar acciones malintencionadas contra su jefe. (Ya desde aquí huele a relación laboral prometedora y cordial, pero eso para otro día).

[Read more…]

Con motivo de la pandemia mundial que nos afecta, son muchas las cuestiones o dudas que se han ido planteando a lo largo de estas semanas y que con toda seguridad se seguirán abordando.

Algunas de las cuestiones más notorias han sido: ¿Puede mi empresa tratar datos personales de salud de los empleados sin tener en cuenta nada más? ¿Hay que cumplir con la legislación vigente? ¿Las autoridades sanitarias pueden tratar todos los datos que consideren necesarios, y cómo?, ¿me van a vigilar a través del móvil?

En primer lugar, debemos hacer especial hincapié en que tanto la normativa en materia de protección de datos como la normativa sectorial o específica, siguen siendo plenamente aplicables como ha confirmado la autoridad de control en su Informe 0017/2020 y FAQS sobre COVID-19, así como el Comité Europeo de Protección de Datos.

Con la colaboración de Josep Soriano

Desde que en 2013 la consultora de ciberseguridad estadounidense Mandiant publicara su famoso report sobre APT1 evidenciando sus vínculos con diferentes agencias asociadas al gobierno chino, las noticias sobre sus actuaciones en el ciberespacio no ha hecho más que incrementarse.

Entre otros, nos encontramos con APT15, APT27 o Winnti Group (APT41); las acusaciones de ciberespionaje del DoJ estadounidense hacia cinco militares chinos asociados al grupo APT1; las vinculaciones que el FBI ha establecido entre Zhu Hua y Zhang Shilong y APT10; o el presunto vínculo de la unidad 61398 del PLA (People’s Liberations Army) con APT1.

Con el permiso de Rusia y su popular operación contra el DNC, China se ha convertido en el principal actor en el ciberespacio, desarrollando un incontable número de operaciones contra todo tipo de sectores: grandes tecnológicas, industrias militares o navales, y diferentes organizaciones gubernamentales. A veces utilizando malware más sofisticado, y a veces menos, pero cada vez más con un sello propio ligado a su extensa tradición.

[Read more…]

En los tiempos que corren, la ciberseguridad parece haber quedado en un segundo plano (y no sin razón, hay mucha gente que tiene otras preocupaciones más acuciantes).

Sin embargo, los cibercriminales no descansan. Y en estos momentos en los que todo aquel que puede está en su casa teletrabajando (¡bien hecho!), en muchos casos a marchas forzadas, somos especialmente vulnerables a ciberataques (un ransomware, por ejemplo, podría ser desastroso).

[Read more…]

(Nota del editor: teniendo en cuenta que la mayor parte de la información sobre blockchain se encuentra en inglés y las traducciones al castellano de los conceptos son relativamente jóvenes, y para facilitar la comprensión del contenido, hemos evitado traducir algunos términos específicos de blockchain. Pedimos disculpas a los puristas, empezando por uno mismo)

El artículo de hoy está escrito por Stefan Beyer, CEO @ Cryptonics, Consultor de Blockchain y Auditor de Contratos Inteligentes. Disfruten.

Es difícil conseguir hacer bien un smart contract. Sus tres propiedades principales, la capacidad de representar valor, la transparencia y la inmutabilidad son esenciales para su funcionamiento. Sin embargo, estas propiedades también los convierten en un riesgo para la seguridad y un objetivo de gran interés para los ciberdelincuentes. Incluso sin ataques deliberados, hay muchos ejemplos de fondos que se bloquean y de empresas que pierden dinero debido a los fallos y vulnerabilidades de los smart contracts.

En los últimos dos años, en Cryptonics hemos auditado los smart contracts de más de 40 proyectos. Estos incluyen diferentes tipos de tokenización de activos, pólizas de seguro, plataformas financieras descentralizadas, fondos de inversión e incluso juegos de ordenador.

Como resultado, hemos observado ciertas tendencias en las vulnerabilidades que solemos encontrar, y algunas son más comunes que otras. En este artículo, describiremos los cinco problemas más comunes que hemos venido detectando en nuestras actividades de auditoría.

[Read more…]