Security Art Work

Afortunadamente, cada día son más las empresas que, convencidas de los beneficios de articular y normalizar sus actividades sobre la estructura de sistemas de gestión, van adoptando e implantando algunos de ellos: desde el primigenio Sistema de Gestión de la Calidad ISO 9001, pasando por el Sistema de Gestión Ambiental ISO 14001, el Sistema de Gestión de la Continuidad de Negocio ISO 22301 o los más afines con las Tecnologías de la Información, el Sistema de Gestión de Servicios ISO 20000-1 y el Sistema de Gestión de Seguridad de la Información ISO 27001.

Pero, en el marco de este esfuerzo continuado y creciente de implantación de un Sistema Integrado de Gestión que aglutine los diversos sistemas de gestión de la empresa, ¿qué ocurre cuando el alcance de los primeros sistemas de gestión resulta demasiado genérico para su transposición a los nuevos sistemas de gestión que se van incorporando a dicho sistema integrado?

[Read more…]

Vivimos una situación excepcional en el mundo. Esta crisis sanitaria nos ha cogido a todos de improviso. No solo las empresas han visto que su plan de continuidad no contemplaba escenarios de siniestro como el que vivimos, sino que la inmensa mayoría de gobiernos, que deberían tener todo preparado para estas situaciones, han demostrado que no estaban preparados para una crisis de este calibre.

En el caso de España, hace más de un mes que se decretó el estado de alarma en todo el país, y desde ese momento, las decisiones del gobierno han venido reguladas a través de decretos y órdenes que han ido permitiendo la aplicación de las medidas de actuación establecidas por el ejecutivo.

En este sentido, son muchos los artículos de opinión publicados en relación al ya citado estado de alarma y el impacto que este puede suponer en lo que respecta a los derechos y libertades de los ciudadanos. Nosotros, fieles a nuestra condición de blog de ciberseguridad, vamos a dejar de lado los aspectos políticos e ideológicos y a centrarnos en aquellos aspectos que pueden tener un impacto en la seguridad de los ciudadanos y la privacidad de sus datos.

A la hora de utilizar un dominio para la comunicación con el servidor de mando y control y/o de exfiltración, los grupos de mayor sofisticación suelen utilizar nombres que pasan desapercibidos en un primer vistazo (e incluso hasta después de varios) por los analistas.

La utilización de palabras del ámbito tecnológico o relacionadas con el sector de la organización suelen proporcionar una capa adicional de ocultación en las ya de por sí discretas comunicaciones. Sin embargo, ¿podemos detectar estos dominios?

El objetivo del siguiente artículo es buscar patrones entre los IoC de diferentes APT y compararlos con el listado del millón de dominios más utilizados que proporciona Alexa, de cara a generar un algoritmo que permita ponderar la probabilidad de que un dominio intente hacerse pasar por legítimo.

[Read more…]

La entrada de hoy viene de la mano de Gabriel Sánchez-Román Urrutia, Teniente de navío de la Armada y Analista de Ciberseguridad del MCCD. Disfruten con su lectura.

¿Cómo enfrentarse a un APT? Esa es la gran pregunta que nos hacemos los que nos dedicamos a la ciberseguridad, bien sean de empresas o de diferentes organizaciones. Recientemente, escribí un artículo en el Instituto Español de Estudios Estratégicos sobre el posible uso de las APT cómo un método de disuasión por parte de los estados, en el que comparo las APT con algo que conozco muy bien: los submarinos.

Básicamente, sus similitudes emanan de las características principales de una APT: resiliencia, anonimato e invisibilidad frente a los principios fundamentales submarinistas: seguridad, discreción y conservación de la iniciativa.

Un aspecto a tener en cuenta previamente, de forma breve, es el concepto de acústica submarina. A grandes rasgos, la velocidad del sonido en el agua depende de la temperatura, la profundidad y, en menos medida, de la salinidad y aumenta hasta un punto conocido como profundidad de capa. A partir de ahí, la velocidad del sonido (y la detección) comienza a disminuir de forma drástica y más tarde a aumentar. Es muy importante para el submarino conocer el valor de la profundidad de capa, la cual se puede conocer de forma teórica o ser medida a través de un baticelerímetro. Por lo tanto, por encima de la profundidad de capa el submarino y el buque tendrán mejor detección el uno del otro, mientras que si el submarino está por debajo de esa profundidad estará en una zona de sombra, siendo indetectable por el buque salvo que utilice sonares de profundidad variable. Aquí está el juego del ratón y el gato entre buque y submarino, algo parecido a lo que ocurre en el ciberespacio con las APT.

Por todo el mundo son conocidas las dificultades de los departamentos internos de Tecnologías de la Información (TI) para alcanzar y mantener “El Dorado” de su integración en los procesos de negocio de sus compañías. Los cambios constantes y la transformación del negocio son una característica intrínseca de cualquier sector; incluso entre los más exitosos, quien no evoluciona corre un serio riesgo de quedar en la cuneta más pronto que tarde.

Inmersos en esta dinámica, los departamentos internos de TI se afanan por adaptarse, no quedar rezagados del negocio y, en su caso, gestionar el “shadow IT” y sus consustanciales problemas de seguridad para las compañías. ¿Dónde se encuentra la raíz de los problemas?, ¿solo es un problema de tecnólogos poco decididos a seguir el ritmo del negocio o hay algo más profundo?

Como punto de partida cabe admitir que los proveedores internos de TI comparten unas características y vocación comunes: en primer lugar, se afanan en proporcionar al negocio capacidades basadas en la utilización de TI; además, se ocupan de administrar esas capacidades; y, finalmente, aspiran a convertir la TI en un elemento de ventaja competitiva a través de la innovación que introducen estas tecnologías. Corresponde entonces analizar los espacios de confluencia entre las necesidades y expectativas de negocio y, por otro lado, las actividades que vertebran el empleo de la TI.

La actual situación de pandemia provocada por el infausto COVID-19 (o Coronavirus) está impactando en todos los ámbitos de la sociedad: el primero y más importante, el de la salud pública y el consustancial instinto primario de supervivencia del individuo; probablemente, la segunda preocupación sea el impacto económico que, como trabajador o como emprendedor, la epidemia está causando en la operativa y en las previsiones de las empresas y corporaciones de cualquier sector y naturaleza.

Pero el mundo no se detiene… ¡y las organizaciones tampoco pueden permitirse parar su operativa de negocio!

Tras su última disputa (https://www.securityartwork.es/2018/02/26/evadiendo-av-shellter-tambien-sysmon-wazuh-i/), Pepote ha decidido volver a contratar a Pepito, quien en el fondo era un buen trabajador. Pero antes, Pepote ha tomado un par de precauciones, como bloquear páginas web con contenido de “hacking” que puedan facilitar a Pepito realizar acciones indebidas.

Pepito ha aceptado, pero aún le guarda rencor del tiempo que estuvo en la cárcel, así que en su primer día de trabajo ya intenta buscar formas para realizar acciones malintencionadas contra su jefe. (Ya desde aquí huele a relación laboral prometedora y cordial, pero eso para otro día).

[Read more…]

Con motivo de la pandemia mundial que nos afecta, son muchas las cuestiones o dudas que se han ido planteando a lo largo de estas semanas y que con toda seguridad se seguirán abordando.

Algunas de las cuestiones más notorias han sido: ¿Puede mi empresa tratar datos personales de salud de los empleados sin tener en cuenta nada más? ¿Hay que cumplir con la legislación vigente? ¿Las autoridades sanitarias pueden tratar todos los datos que consideren necesarios, y cómo?, ¿me van a vigilar a través del móvil?

En primer lugar, debemos hacer especial hincapié en que tanto la normativa en materia de protección de datos como la normativa sectorial o específica, siguen siendo plenamente aplicables como ha confirmado la autoridad de control en su Informe 0017/2020 y FAQS sobre COVID-19, así como el Comité Europeo de Protección de Datos.

Con la colaboración de Josep Soriano

Desde que en 2013 la consultora de ciberseguridad estadounidense Mandiant publicara su famoso report sobre APT1 evidenciando sus vínculos con diferentes agencias asociadas al gobierno chino, las noticias sobre sus actuaciones en el ciberespacio no ha hecho más que incrementarse.

Entre otros, nos encontramos con APT15, APT27 o Winnti Group (APT41); las acusaciones de ciberespionaje del DoJ estadounidense hacia cinco militares chinos asociados al grupo APT1; las vinculaciones que el FBI ha establecido entre Zhu Hua y Zhang Shilong y APT10; o el presunto vínculo de la unidad 61398 del PLA (People’s Liberations Army) con APT1.

Con el permiso de Rusia y su popular operación contra el DNC, China se ha convertido en el principal actor en el ciberespacio, desarrollando un incontable número de operaciones contra todo tipo de sectores: grandes tecnológicas, industrias militares o navales, y diferentes organizaciones gubernamentales. A veces utilizando malware más sofisticado, y a veces menos, pero cada vez más con un sello propio ligado a su extensa tradición.

[Read more…]

En los tiempos que corren, la ciberseguridad parece haber quedado en un segundo plano (y no sin razón, hay mucha gente que tiene otras preocupaciones más acuciantes).

Sin embargo, los cibercriminales no descansan. Y en estos momentos en los que todo aquel que puede está en su casa teletrabajando (¡bien hecho!), en muchos casos a marchas forzadas, somos especialmente vulnerables a ciberataques (un ransomware, por ejemplo, podría ser desastroso).

[Read more…]