ElevenPaths participa en los retos científicos de las JNIC 2017: Buscamos equipos de investigación

June 26, 2017, 12:55 am

≫ Next: Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD

≪ Previous: Path6 ya tiene nombre. Hola mASAPP

Como anunciamos tiempo atrás, ElevenPaths participa junto al INCIBE y el Ministerio de Defensa en el Track de Transferencia de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC) 2017, organizadas por la Universidad Rey Juan Carlos. Desde el día 10 de junio, ya está abierta a la comunidad científica la inscripción a los retos de investigación para proponer vuestras soluciones y enfoques. Una oportunidad óptima para trabajar estrechamente con nosotros y resolver grandes necesidades del sector de la ciberseguridad.

ElevenPaths, ha colaborado desde el primer momento en esta iniciativa ocupando un rol activo como retadores, cuya labor ha consistido en la elaboración de un conjunto de propuestas de retos científicos de interés que puedan ser abordados por la comunidad investigadora nacional. Pero además, de cara a apoyar plenamente este proceso, formamos parte del comité de supervisión de este Track de Transferencia, velando para que los retos propuestos adquieran un balance adecuado entre el interés científico, objetivos a cumplir, impacto y adecuadas vías de explotación de los resultados.

Las JNIC fueron el escenario escogido para presentar esta propuesta de cooperación entre el sector privado y el académico con el pleno apoyo de INCIBE. Unas jornadas donde los máximos exponentes de la ciberseguridad nacional se dieron cita y que se presentaba como un escenario óptimo al que trasladar el mensaje de nuestra iniciativa. Describimos una serie de necesidades reales de diversos sectores empresariales y gubernamentales a los equipos científicos, explicando en términos realistas para la comunidad académica los objetivos a cumplir, teniendo en consideración las capacidades científicas y tecnológicas de los investigadores que opten a su ejecución.

Los diferentes retos exponen algunas de las necesidades localizadas en distintos ámbitos de nuestras áreas de ciberseguridad. Esto quiere decir que surgen como intereses o requisitos y, por tanto, nuestra implicación y colaboración con los equipos de investigación está más que justificada. Somos los primeros interesados en obtener unos avances científicos de calidad, por tanto, estableceremos un diálogo individual con cada equipo, estudiando todos las opciones que estén en nuestra manos durante la ejecución para que las soluciones a los retos obtengan su mejor expresión y forma. Toda la información del Track de Transferencia y los retos están publicadas en la propia web de las JNIC. Ahí se encuentran encontrar la documentación, las bases del certamen, las plantillas necesarias y los retos ampliamente descritos y caracterizados.

Describimos brevemente a continuación los tres retos que hemos propuesto desde ElevenPaths:

Análisis y correlación en Android de PUPs & Adware: Actualmente el software potencialmente malicioso (Potential Unwanted Program/Application – PUP/PUA) y el Adware están presentes en gran parte de las aplicaciones disponibles en los repositorios comerciales. Tal es su expansión que este tipo de software y sus acciones se han convertido en las actividades más incómodas e intrusivas de cara a los usuarios. En este sentido, los desarrolladores de PUPs y Adware utilizan técnicas cada vez más agresivas y avanzadas gracias a la permisividad que se les confiere, ya que en ocasiones su software no se clasifica como malware y están amparadas en un marco legal válido y protegido. Esta propuesta tiene un marcado carácter científico para el equipo implicado puesto que inicialmente centra el foco en la generación de una serie de publicaciones, informes y deducciones que permitan elevar el grado de conocimiento respecto a PUPs y Adware existente en markets de aplicaciones móviles. El equipo de investigación dispondrá de libertad a la hora de decidir cuál será su enfoque y procedimiento para realizar el procesado de datos obtenidos en Tacyt.

Autenticación continua e identificación adaptativa en dispositivos móviles: Los mecanismos de identificación y control de acceso han adquirido una importancia crucial a la hora de habilitar o impedir el acceso a los dispositivos y a las aplicaciones. En concreto, una adecuada autenticación de los usuarios permite gestionar los privilegios y derechos de uso de SmartPhones y evitar un uso indebido sin autorización del propietario. Pero a su vez gracias a la constante validación de la identidad del usuario se puede facilitar la gestión de elementos de seguridad, permitiendo incluso que los usuarios no tengan que depender constantemente del uso de contraseñas, pines o factores adicionales de autenticación. Esta propuesta plantea al equipo de investigación el diseño de un mecanismo de identificación y autenticación continua de usuarios, realizando un análisis de manera desapercibida durante el uso cotidiano de dispositivos móviles, tales como SmartPhones o Tablets. Debido a la gran variedad de recursos tecnológicos, de comportamiento y biométricos se valorarán aquellas propuestas que realmente puedan proporcionar una solución práctica y usable, no intrusiva y que no requiera de una elevación de privilegios en el dispositivo, algo que resultaría inviable de cara a la comercialización.

Técnicas de análisis del alcance e impacto de los incidentes de ciberseguridad en las empresas: Este reto trata de abordar la problemática real existente en sectores corporativos a la hora de cuantificar los daños y el impacto que podría provocar o ha provocado un incidente de ciberseguridad. Este análisis del impacto debe combinar un estudio que permita parametrizar una serie de variables correspondientes a la configuración empresarial, con unos modelos matemáticos que permitan realizar una valoración comprensible por los clientes y que integre un proceso de aprendizaje para mejorar sus capacidades analíticas. Todo esto enmarcado en un enfoque lo más automatizado posible y que debe poder efectuar tanto una evaluación anticipada como posterior de manera aproximada pero justificada. En ningún caso se esperan análisis forenses ni tampoco una verificación formal de cumplimiento normativo para realizar la estimación del impacto.

Los equipos de investigación que aborden estas propuestas no deben limitar su enfoque científico ni acotar su ambición tecnológica a los términos expresados por los retos si esto supone un perjuicio de cara a las expectativas alcanzables por los investigadores. Siempre se valorará positivamente la incorporación de factores de valor diferenciales que permitan trazar una hoja de ruta mucho más ambiciosa. Para ello establecemos un contacto estrecho y constante con el sector académico y docente de donde surge el conocimiento más innovador en este sentido. No perdáis esta oportunidad de participar si pertenecéis a la comunidad científica y os interesa cooperar con nosotros e iniciar un camino conjunto en investigación en tecnologías innovadoras aplicadas a la ciberseguridad.

Innovación y laboratorio

www.elevenpaths.com

↧

Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD

June 27, 2017, 1:09 am

≫ Next: Qué hemos presentado en Security Day 2017 (VII): El Ayuntamiento de Alcobendas apuesta por encuestas electrónicas basadas en Blockchain

≪ Previous: ElevenPaths participa en los retos científicos de las JNIC 2017: Buscamos equipos de investigación

Durante el Security Day, ElevenPaths, la unidad de ciberseguridad de Telefónica, presentó la solución que ayuda al cumplimiento del nuevo reglamento de protección de datos que el 25 de mayo de 2018 entrará en vigor. En un artículo anterior describimos en detalle las novedades del reglamento, así como la norma completa.

Vídeo de la ponencia de David Prieto, Responsable Global de los Servicios de Seguridad Gestionada y Seguridad de Red de ElevenPaths, durante el Security Day:

El proceso de construcción de una solución de RGPD que cubra todas las coyunturas del articulado no es tarea fácil. Esto se deriva a dos razones: la complejidad y exigencia del propio reglamento y la necesidad de adecuarlo a la idiosincrasia de cada organización. Por esta razón, partimos del convencimiento de que no existe la poción mágica de Panoramix que nos otorgue una fuerza sobrenatural, sino que el cumplimiento normativo solo puede construirse mediante una detallada planificación, una ejecución comprometida y la selección justa y necesaria de los servicios de protección del dato y la seguridad.

En ElevenPaths, tras un concienzudo análisis de la norma, hemos concluido que lo más adecuado es un plan de entrenamiento en cuatro fases que nos conduzca en último término a poder llegar a la meta del RGPD.

Este modelo se inicia con un proceso de reconocimiento previo de las facultades internas sobre protección de datos para descubrir cuanto de lejos estamos de la forma física necesaria para terminar la maratón. Tras este análisis, se debe proceder a definir un plan de entrenamiento e implantar las herramientas que faciliten el seguimiento diario de este. A partir de este momento ya estamos listos para comenzar a entrenar las dos facultades necesarias para la carrera de RGPD: la privacidad y la seguridad.

Evaluación

Esta primera fase del proceso consiste en la comprensión de la norma y de cómo afecta de manera particular a la empresa. La primera tarea es inferir el gap regulatorio a partir de las medidas ya implantadas para la protección de datos.

Es imprescindible averiguar cuáles son los tratamientos de datos personales que se llevan a cabo en la organización y una vez conocidos los datos que se están procesando y cómo se realiza el procesamiento, podremos identificar:

Los incumplimientos respecto a la norma
Si existe la necesidad de elaborar una EIPD (Evaluación del Impacto en la Protección de los Datos Personales) para el tratamiento
Si existe la necesidad de contar con un DPD (Delegado de Protección de Datos Personales)

La consecuencia de esta evaluación será un plan de acción compuesto por las tareas necesarias para alcanzar un nivel de cumplimiento óptimo. El plan de acción nos facilitará la construcción de un caso de negocio, que sirva a la organización para estimar el coste de cumplir la norma, el cual ha de incluir, entre otras cosas, los recursos que se deben incorporar, la formación al personal y los servicios de protección y seguridad que se requiere contratar.

Puesto que RGPD presenta numerosas dificultades, colegimos que la mejor aproximación es contratar una asesoría experta que colabore con el DPD en el discernimiento de las necesidades inmediatas, de las de más largo plazo y, por último, a construir el plan de adecuación. De esta manera, es posible ahorrar costes de formación específica a personal interno y conseguir las máximas garantías de calidad.

De acuerdo a este principio, Telefónica ofrece un equipo experto de consultoría multidisciplinar para cumplimiento normativo a través de Govertis, que con la colaboración de las oficinas técnicas de Telefónica podrán garantizar que las organizaciones instauren y ejecuten la protección de datos de la manera más efectiva y adecuada a sus obligaciones particulares. Este equipo multidisciplinar incluye tanto consultores, técnicos expertos en la implantación de Sistemas de Gestión de la Seguridad y abogados especializados en TI con una gran experiencia en privacidad y protección de datos.

Gobernanza

Tras el análisis previo, el siguiente paso es definir e implantar los procesos necesarios para lograr el cumplimiento continuo de la norma.

El cumplimiento no puede ser una actividad puntual que se desarrolle dentro de una ventana de tiempo y que posteriormente se abandone. Debe formar parte de los procesos de la organización y ser tenido en cuenta desde la misma concepción del proceso productivo de la organización. Este concepto se conoce en el nuevo reglamento como protección de datos desde el diseño y por defecto. Además, el cumplimiento debe ser revisado periódicamente ya que las organizaciones no son entidades estáticas. Los objetivos de negocio cambian, cambian los procesos internos, las tecnologías utilizadas y también las personas implicadas. Además, los propios textos normativos están vivos y son modificados con regularidad.

Por lo tanto, la utilización de un sistema de gestión permite estructurar las actividades de cumplimiento y facilitar iteraciones sobre el mismo para implantar un plan de mejora continua y también evidenciar frente al regulador que se cumple el reglamento.

SandaS GRC es la plataforma de gestión del cumplimiento que permitirá desarrollar este sistema de gestión dentro de una secuencia iterable en las fases Plan, Do, Check y Act. Dentro de este esquema, la fase de Plan está alineada con la etapa de evaluación y, como hemos visto anteriormente, se trata de identificar el gap de cumplimiento para planificar las actividades de adecuación dentro.

Ese plan de acción se ejecuta en la fase de Do. El registro de actividades del tratamiento se obtendrá directamente desde SandaS GRC con toda la información registrada en la fase de Plan. Además, en esta fase se elaborarán y aprobarán los procedimientos pertinentes y se implantarán las medidas de seguridad planificadas incluyendo, entre otros, los servicios de monitorización de seguridad para identificar las brechas de seguridad.

Regularmente, y aunque la nueva norma ya no prescribe una periodicidad mínima para las auditorías de cumplimiento, convendrá comprobar si los controles (medidas de seguridad implementadas) siguen en vigor y su nivel de efectividad. También este será el momento de comprobar si ha habido cambios significativos en la organización que hayan quedado fuera de la huella del cumplimiento (nuevos servicios, nuevas sedes, nuevos procesos, etcétera).

SandaS GRC ofrece un módulo de evaluación del cumplimiento que facilita la fase de Check de cada control de la norma a cualquier nivel (global a la organización, para un conjunto de tratamientos o para un tratamiento individual). También permite seleccionar un conjunto de controles y enviar un formulario de evaluación a la persona que encargada de responder. Como resultado de estos controles periódicos obtenemos:

Una actualización del nivel de cumplimiento
Un plan de mejora

En la última fase Act, ejecutamos el plan de mejora prescrito en la fase anterior de Check.

Para conseguir una mejora continua del sistema de gestión, este ciclo se ha de repetir, normalmente con una periodicidad anual, aunque dependerá de las circunstancias particulares de cada organización.

Privacidad

Esta fase conlleva la implantación de procesos y servicios que permitan a la organización garantizar la legitimidad del proceso y los derechos del ciudadano (acceso, migración y olvido) y cumplir con lo que se conoce como seguridad del proceso, que se corresponde con la confidencialidad de los datos de los ciudadanos.

Está íntimamente ligada con el desarrollo de la EIPD acometido en la fase de evaluación, puesto que los tratamientos de datos de carácter personal identificados en esa fase previa deben ser supervisados en este momento para garantizar que, en ningún momento, los datos de carácter personal sean utilizados para algo que no se haya explícitamente informado al ciudadano. Es lo que se conoce como legitimidad del proceso.

Por tanto, es necesario implantar unas medidas de vigilancia tanto de los procesos como sobre los datos para detectar posibles deficiencias del propio proceso, descubrir otros tratamientos que no han sido previamente identificados o incluso actuaciones que por despiste o mala fe impliquen una utilización de los datos más allá del conocimiento del DPO y no contemplados por el EIPD. En detalle, estas medidas incluyen el descubrimiento, para identificar datos personales que han escapado del proceso de análisis y el posible proceso asociado, o tratamientos no autorizados para datos ya registrados (Data Discovery), y también la trazabilidad para conocer en todo momento donde se está almacenando la información (Data Traceability) para que en el momento que el ciudadano solicite ejercer sus derechos sobre los datos, la organización pueda proporcionarlos sin dilación alguna.

Para dar solución a esta problemática, Telefónica incluye en su portafolio el servicio de Data Management, el cual permite la recolección y almacenaje en una plataforma centralizada de cualquier tipo de eventos generados por dispositivos finales, sistemas de TI, equipamiento de seguridad o aplicaciones. Con el servicio de Data Management, puesto que incluye funcionalidades de correlación y un motor de creación de indicadores, se facilita la visibilidad, trazabilidad y control sobre los datos personales involucrados en los procesos de la organización. Este servicio se integra con SandaS GRC para poder hacer un seguimiento con datos reales y de cómo se están aplicando las políticas de cumplimiento.

Así, a partir de la información generada por los sistemas de información donde tienen lugar los tratamientos de datos, Data Management da respuesta a preguntas como: ¿qué datos personales tengo en mis sistemas?, ¿dónde se encuentran?, ¿quién es el responsable?, ¿cómo se utilizan? En definitiva, detectar usos incorrectos, información redundante o fuera del sistema de cumplimiento.

En segundo lugar, la norma también determina que las organizaciones deben implementar las medidas técnicas y organizativas para asegurar un apropiado nivel de seguridad de acuerdo con el riesgo, y entre las cuales se incluye: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Estas medidas comprenden una amplia gama de situaciones, por lo que una vez más vemos la necesidad imperiosa de realizar una adecuada evaluación (EIPD si se dan las circunstancias de que así se requiera) de las condiciones de la empresa para así concluir cuales son las medidas apropiadas según el riesgo. Telefónica ofrece servicios muy variados en su portafolio para cubrir la mayor parte de estas medidas, desde seguridad en la red, protección de entornos y aplicaciones en la nube y datacenters, hasta protección del puesto de trabajo, servicios de cifrado de correo electrónico o Data Loss protection. El procedimiento adecuado es identificar en la fase de análisis cuales son las medidas necesarias de acuerdo al riesgo y la idiosincrasia de la empresa y después buscar la solución del mercado que mejor se adecúe.

Seguridad

Uno de los aspectos novedosos de la norma es el tratamiento de las brechas y filtraciones de datos de carácter personal, los cuales deben de ser notificados en unos plazos extremadamente cortos tanto al regulador como al ciudadano. Esta fase está íntimamente relacionada con el análisis de riesgos realizado en la fase de assessment el cual determina las medidas de seguridad adecuadas. De acuerdo al tipo de datos que la organización maneje, su volumen, el riesgo de ser un blanco de ataques las medidas de protección son diferentes, desde las más básicas hasta sistemas avanzados basados en big data o machine learning. Se debe entender que el reglamento no especifica si se ha de instalar un cortafuego o un SIEM, sino que las medidas deben estar de acuerdo a la Evaluación de Impacto relativa a la Protección de Datos (EIPD) realizado.

Telefónica cuenta con una amplia experiencia en esta área de prevención, detección de brechas y monitorización continua y por tanto dispone de una serie de servicios que se adecúan a las posibles necesidades identificadas en la fase de evaluación.

Por un lado, ofrece un conjunto de servicios de ciberseguridad, entre los cuales se incluyen los sistemas de prevención –como auditorias de seguridad y análisis de vulnerabilidades de infraestructuras o aplicaciones–, así como los sistemas detección avanzada, el control de la cadena de proveedores y el análisis continuo del ciberespacio para detectar filtraciones de datos.

Y por otro lado, los servicios de seguridad gestionada, para la monitorización y notificación inmediata de incidentes de seguridad, soportados mediante la plataforma SandaS y operados por los SOCs de Telefónica, y de los cuales es posible encontrar información adicional en el siguiente enlace.

Juan Antonio Gil Belles

Jefe de producto en Riesgo y Cumplimiento

@breggovic

juanantonio.gil@11paths.com

Francisco Oteiza Lacalle

Jefe de producto en Seguridad Gestionada

@Fran_Oteiza

francisco.oteizalacalle@telefonica.com

David Prieto Marqués

Gerente de Seguridad Gestionada y Seguridad en red

@DaPriMar

david.prietomarques@telefonica.com

↧

Qué hemos presentado en Security Day 2017 (VII): El Ayuntamiento de Alcobendas apuesta por encuestas electrónicas basadas en Blockchain

June 28, 2017, 1:35 am

≫ Next: Potenciales usos maliciosos de Blockchain

≪ Previous: Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD

Innovación hacia la excelencia

El Ayuntamiento de Alcobendas apuesta por la cultura de la calidad como forma de gestión. Trabaja con el Modelo Europeo de Excelencia como patrón de referencia, donde las herramientas de calidad (sistemas de indicadores, gestión por procesos, certificaciones ISO, cartas de compromiso, medición gracias al observatorio de la ciudad, laboratorio económico y brújula económica) están plenamente integradas en los trabajos cotidianos de la institución.

Vídeo de la presentación de la alianza Blockchain durante el Security Day 2017:

Como ejemplo de esta apuesta, Javier Peña, Analista de Innovación Tecnológica del Ayuntamiento, destaca que “Alcobendas es el único ayuntamiento español certificado con el Sello Europeo de Excelencia y , ahora también, el único de Europa con el Gran Premio EFQM EXCELLENCE AWARD 2016”.

Dentro de este contexto de alta exigencia de los ciudadanos, Javier resume la motivación del proyecto conjunto con su departamento de participación ciudadana, como la búsqueda de una solución capaz de cumplir con la más alta calidad en el proceso y al mismo tiempo una gran sencillez de uso por parte de los ciudadanos.

El proyecto escogido es un sistema de encuestas electrónicas basadas en la tecnología Blockchain con la facilidad de uso desde cualquier dispositivo mediante la integración con Mobile Connect para la autenticación sencilla y segura de los ciudadanos.

Como comenta Salvador Sánchez, Head of Solutions and Services Partners, la elección de la tecnología Blockchain, como ejemplo más destacado de las cadenas de bloques distribuidas conocidas como DLT, nos permite aplicar las últimas innovaciones respecto a la confiabilidad, inmutabilidad y escalabilidad distribuida del proceso de votación para alcanzar el nivel de calidad requerido.

Javier a su vez explica que la ventaja de usar Mobile Connect, como tecnología de autenticación, frente a otras soluciones empleadas en el pasado, como certificados electrónicos u otros más novedosos de claves concertadas, es la gran sencillez de su uso desde el punto de vista del usuario, sobre la base de familiaridad de un dispositivo casi universalmente extendido.

Para probar la tecnología internamente el proyecto se dividirá en tres fases de encuestas, comenzando por una primera fase para un reducido número de funcionarios involucrados en la elaboración de presupuestos, continuando con una intermedia que involucrará a todos los trabajadores municipales para seleccionar aquellas ONG donde invertir los presupuestos destinados a tal propósito, y a partir de aquí una última fase extendida a todos los ciudadanos en una participación universal.

Igualmente, Javier comenta que la asociación con ElevenPaths como socio innovador es ya una buena costumbre para ellos, desde la adopción de la tecnología de firma biométrica de ElevenPaths de uso ampliamente extendido para los procesos digitalizados en la organización.

Mobile Connect es una solución estándar y normalizada de identificación y autenticación de usuarios, que permite que el número de teléfono móvil pueda funcionar como el identificador único del mismo y que tiene como objetivo simplificar la vida de las personas dentro del nuevo mundo digital, ofreciendo un servicio simple, seguro y con total control de la privacidad por parte del usuario.

La iniciativa Mobile Connect está siendo liderada por la GSMA (Global System for Mobile Communications Association), y el servicio se encuentra desplegado actualmente en más de 50 operadores a nivel mundial, habilitando a nivel mundial a más de 3 billones de usuarios que pueden hacer uso del mismo.

Si estás interesado en saber más sobre Mobile Connect accede aquí.

Salvador Sánchez Taboada

Responsable de Partners de Soluciones

@salvador_st

salvador.sanchez@global.11paths.com

↧

Potenciales usos maliciosos de Blockchain

June 29, 2017, 12:23 am

≫ Next: Qué hemos presentado en Security Day 2017 (VIII): Hack your attitude, entrega de premios del concurso de plugin Latch 2016

≪ Previous: Qué hemos presentado en Security Day 2017 (VII): El Ayuntamiento de Alcobendas apuesta por encuestas electrónicas basadas en Blockchain

La tecnología Blockchain ha cambiado todo para siempre. Desde enero de 2009, cuando se registró la primera operación en la cadena de bloques de Bitcoin, han surgido cada vez más aplicaciones que hacen uso de esta tecnología más allá de utilizarla como un registro de operaciones de pago. Sin embargo, no existen demasiadas publicaciones que se han atrevido a darle una vuelta para identificar potenciales usos maliciosos. Con este objetivo se presentó en EuskalHack la charla Make This Last Forever: Blockchain-based C&C.

Antes de la aparición de Blockchain, los desarrolladores de aplicaciones maliciosas debían buscar diferentes formas para que el C&C estuviera siempre accesible con el objetivo de que las víctimas supieran dónde encontrar las órdenes a ejecutar. Han pasado de utilizar chats IRC y servidores web a redes sociales para ocultar la comunicación del C&C en un bosque de información legítima existente enviada por usuarios legítimos. En este sentido, a principio del mes de junio la empresa de seguridad ESET descubrió que el grupo Turla utilizaba el perfil de Britney Spears para la publicación del C&C aprovechando que damos por hecho que este tipo de redes sociales siempre permanecerán accesibles.

Pero Blockchain ya habría solucionado (sin querer) el objetivo de la perpetuidad de la comunicación que estarían buscando los administradores de una botnet con sus víctimas. En 2013, fue incorporada la funcionalidad del 0P_RETURN en donde se puede almacenar una pequeña parte de información (hasta 80 bytes) en la cadena de bloques. Tras deserializar una transacción podríamos acudir al campo scriptPubKey y convertir de haxadecimal a ASCII el contenido de dicho campo con el objetivo de saber cuál es la información incrustada. En plataformas como Coin Secrets, ya se dedican a enumerar los mensajes que se incluyen en las distintas transacciones registradas en la cadena de bloques de Bitcoin.

Figura 1. Ejemplo de información incorporado en una transacción en la cadena de bloques.

La prueba de concepto que preparamos para ilustrar la charla tendría dos fases. La primera, una aplicación en Python que permitiría al admin hacer una transacción incluyendo la orden a ejecutar en el campo OP_RETURN. La segunda, dos clientes en JavaScript y en Python destinados a ejecutar las órdenes almacenadas en la cadena de bloques que, en esta prueba de concepto serían consultadas por las víctimas a través de plataformas de terceros que facilitan dicha información como, por ejemplo, blockexplorer.com. De esta manera, y dado que la información una vez anclada en la blockchain es muy difícil de eliminar, el administrador podría actualizar el listado de órdenes de forma recurrente.

Figura 2. Esquema de comunicación del admin con las víctimas.

Otro caso que podría darse es el uso de Blockchain para la resolución de dominios. Tal y como publicamos en este blog a principios de año, la agencia de noticias AMAQ de Estado Islámico habría utilizado extensiones de navegador para facilitar a sus seguidores el acceso a sus páginas web. En el caso de que se quisiera evadir cualquier tipo de censura, el campo 0P_RETURN podría utilizarse en el caso de que se quisiera que los seguidores supieran en todo momento a qué webs deberían conectarse. En el caso de que dicho servidor dejara de estar disponible, el admin únicamente tendría que realizar una nueva transacción que añadir a la cadena de bloques donde se publicara a través de OP_RETURN la nueva URL a la que conectarse.

Figura 3. Esquema de comunicación del admin con sus seguidores.

Las demos que pusimos en la prueba de concepto estaban realizadas sobre la testnet de Bitcoin. Sin embargo, existen otros proyectos menos conocidos por el gran público, que también podrían utilizarse con un objetivo similar. En concreto, Namecoin cuya cadena de bloques puede almacenar hasta 520 bytes de información, o Ethereum que es una plataforma de computación distribuida que implementa funciones de contratos inteligentes de forma nativa ampliando los casos de uso de la tecnología, o incluso Bitmessage como protocolo de comunicación descentralizado y cifrado.

Lo que sí que parece claro es que la tecnología ofrece posibilidades interesantes. Es cuestión de tiempo que un threat actor llegue a implementar este tipo de comunicación a sabiendas que existe poco margen para su detección. En muchos casos, la aspiración pasaría por identificar peticiones a proveedores de información de la cadena de bloques, compartir información sobre direcciones vinculadas a muestras de malware vistas en el pasado o, del mismo modo que Coinsecrets, monitorizar la información expuesta mediante la funcionalidad del OP_RETURN.

Félix Brezo

Intelligence Analyst at ElevenPaths

@febrezo

felix.brezo@11paths.com

Yaiza Rubio

Intelligence Analyst at ElevenPaths

@yrubiosec
yaiza.rubio@11paths.com

↧

Qué hemos presentado en Security Day 2017 (VIII): Hack your attitude, entrega de premios del concurso de plugin Latch 2016

June 30, 2017, 2:38 am

≫ Next: Nueva herramienta: PySCTChecker

≪ Previous: Potenciales usos maliciosos de Blockchain

Durante el pasado Security Day, se procedió a la entrega de los premios de nuestro concurso Latch plugin contest del 2016, donde pudimos conocer a los ganadores y visualizar sus ideas de una forma más cercana.

En el siguiente vídeo podemos ver la entrega de premios e intervenciones de nuestros ganadores durante el Security Day 2017:

Los ganadores nos detallaron sus trabajos y motivaciones para presentarse a nuestro concurso, y que exponemos en esta entrada.

Alvaro Caso Mosquitto MQTT

Alvaro Caso, nos indicaba como inicio su trabajo como un "baturillo de ideas" que fue tomando forma según iba avanzando. También nos dibujaba la perfecta conjunción entre IoT y Latch, debido a que el ecosistema de servicios y productos de IoT podríamos definirlo como un "pequeño caos", el uso de un elemento de seguridad sencillo y seguro como es el caso de Latch que permite esa simbiosis perfecta.

Para Alvaro, la definición de Latch como "un interruptor de seguridad “para nuestra "vida digital" se convierte en un leivmotiv para avanzar en la visión de Latch, como el "interruptor digital" y desarrollar el trabajo presentado. En su opinión, en el IoT actual la seguridad tiene una definición básica y preconfigurada con un planteamiento de opciones por defecto. Es el plugin Mosquitto el que nos permite a través del protocolo MQTT, poder integrar Latch con las comunicaciones entre dispositivos: Wifi, RJ45, NFC. Para concluir su intervención Alvaro nos dibuja posibles usos, como pudieran ser; control industrial, equipos médicos y seguridad física a través de geolocalización.

Nombre Plugin: Mosquitto MQTT
Autor: Álvaro Caso
Descripción: Plugin Mosquitto que nos permite añadir fácilmente, un segundo factor de autorización dentro del ecosistema de IoT, realizando la integración en la plataforma (MQTT Broker), permitiendo liberar recursos de estos y maximizando compatibilidad y escalabilidad.

Juan Camero Latch OpenWRT

Juan Camero con su trabajo sobre OpenWRT, que es una distribución GNU/Linux extensible para dispositivos embebidos como pueden ser routers, consiguió desarrollar una solución para mejorar la seguridad de las redes inalámbricas evitando acciones ilegales sobre esta.Los objetivos definidos en la solución fueron los siguientes:

Facilidad de instalación.
Administración.
Integración completa.

El trabajo presentado permite comprobar los dispositivos inalámbricos conectadas sin permiso y los bloquea, alerta al administrador de la conexión para darle permiso o bloquearlo y para concluir con una nueva comprobación y expulsión.

Nombre Plugin: Latch OpenWRT.
Autor: Juan Camero.
Descripción: Plugin para el firmware libre OpenWRT para routers neutros, que permite gestionar la conexión a internet de dispositivos inalámbricos de forma intuitiva a través de un Smartphone con Latch.

Si quieres saber más información para profundizar en las integraciones disponible con Latch entra en el área de desarrolladores de Latch, y en la comunidad de ElevenPaths. ¡Te estamos esperando!

Juan Carlos Vigo López

Product Manager

juancarlos.vigolopez@11paths.com

↧

Nueva herramienta: PySCTChecker

July 3, 2017, 3:31 am

≫ Next: Agenda de eventos en julio para estar al día en Seguridad Informática

≪ Previous: Qué hemos presentado en Security Day 2017 (VIII): Hack your attitude, entrega de premios del concurso de plugin Latch 2016

Esta nueva herramienta es un script "quick and dirty" que permite comprobar si un dominio implementa correctamente Certificate Transparency. Además, si lo implementa, es posible comprobar si lo hace correctamente en el lado del servidor.

Cuando un servidor implementa Certificate Transparency, debe ofrecer al menos un SCT (una prueba de la inclusión del certificado TLS del servidor en un log de transparencia.

El servidor puede ofrecer el un SCT por tres diferentes vías:

Incrustado en el certificado
Como una extensión TLS
Vía OCSP Stapling

Utilizando PySCTChecker es posible identificar mediante qué vías ofrece el servidor los SCT y a qué logs de CT se ha enviado el certificado. Además, es posible comprobar si los SCT ofrecidos son válidos y están legítimamente firmados por los logs a los que pertenecen.

El script solo necesita como entrada una lista de dominios. Para cada uno de estos dominios, comprobará si implementa correctamente Certificate Transparency. Si el servidor ofrece algún SCT, el script mostrará información extra como por ejemplo porqué vía lo ofrece el servidor y los logs a los que se ha enviado el certificado.

Uso:

python PySCTChecker/ct_domains_sct_checker.py [domain1 domain2 ...]

Ejemplo de salida:

Esta es una implementación "quick and dirty" puesto que se apoya en OpenSSL para ciertas funcionalidades, pero esperamos que permita entender mejor cómo funciona certificate transparency.

El código se puede descargar y comprobar desde aquí.

Esta herramienta viene a complementar nuestro conjunto de herramientas relacionadas con certificate transparency desarrollado desde ElevenPaths:

Innovación y laboratorio

www.elevenpaths.com

↧

Agenda de eventos en julio para estar al día en Seguridad Informática

July 4, 2017, 12:44 pm

≫ Next: Las mayores fugas de datos de la historia reciente

≪ Previous: Nueva herramienta: PySCTChecker

Hola hackers! El mes de julio llega cargados de eventos de seguridad, tecnología y hacking en los que desde ElevenPaths participaremos con diferentes charlas y ponencias:

Curso inteligencia y seguridad. La seguridad en el ciberespacio

Durante el 11 y 13 de julio nuestros analistas de inteligencia Yaiza Rubio y Félix Brezo viajan a La Rioja para asistir a este curso en el que hablarán sobre Blockchain y Bitcoin. Este curso se envuelve dentro del marco de "Seguridad en el Ciberespacio". Si quieres conocer más sobre ciberriegos no te pierdas esta cita. ¡Te encantará!

Black Hat USA 2017

Este evento anual sobre seguridad informática que reúne a una variedad de personas interesadas en la seguridad de la información se va a desarrollar a lo largo de la semana del 22 al 27 de julio en Las Vegas. Por parte de ElevenPaths asistirán varios compañeros que participarán en diferentes charlas:

Yaiza Rubio y Félix Brezo. Osrframework: Open Sources Research Framework. El miércoles 26 de julio, nuestro equipo de analistas de inteligencia hablarán sobre el framework que han implementado dedicado a la investigación para la monitorización de identidades digitales.
Claudio Caracciolo y Sheila Ayelen Berta. The Bicho: an Advanced Car Backdoor Maker. El miércoles 26 de julio nuestros compañeros estarán también en Las Vegas dando una ponencia sobre ciberseguridad. Os dejamos el enlace directo a la web en inglés para que le echéis un vistazo. ¡No os lo perdáis!

ElevenPaths Talks

Como venimos haciendo durante todo el año, los jueves a las 15.30h (CET) tienes una cita con nuestros expertos en la serie de webinars onlines gratuitos. Durante este mes de julio tendremos dos sesiones impartidas por nuestros expertos CSAs. Estos son los próximos webcast de los que puedes disfrutar y aprender de manera gratuita:

6 de julio. PinPay y Seguridad en Micro Pagos: ¿Qué son los micro pagos? ¿Cómo afecta a la seguridad del proceso de pago? Nuestros CSAs Jorge Rivera y Pablo San Emeterio junto a un invitado especial resuelven tus dudas. ¡Toma nota!
20 de julio. Diferencias entre NOC, SOC y CiberSoc: ¿Qué diferencias hay entre los NOC, SOC y CyberSOC? ¿Cuáles son sus funciones y objetivos? ¿Cómo evaluarlos? Nuestros CSAs Pablo San Emeterio y Gabriel Bergel junto a un invitado especial resolverán estas cuestiones. ¡No te pierdas este Talk!

Os dejamos todas los seminarios completos de nuestras tres temporadas:

» ElevenPaths Talks - Temporada 1
» ElevenPaths Talks - Temporada 2
» ElevenPaths Talks - Temporada 3

Si eres un amante de la seguridad informática no te puedes perder estas citas con otros profesionales y expertos del mundo de la ciberseguridad. Let's hack!

↧

Las mayores fugas de datos de la historia reciente

July 5, 2017, 4:32 am

≫ Next: ElevenPaths Talks: PinPay y seguridad en micro pagos

≪ Previous: Agenda de eventos en julio para estar al día en Seguridad Informática

La fuga de información o data breaches que han sufrido diferentes empresas y organizaciones, tanto si ocurren desde dentro (los llamados inside jobs) o desde fuera (ejecutada por atacantes externos), ha ido creciendo en número con el paso del tiempo. Estos ataques suelen tener como objetivo agencias del gobierno, páginas sociales, páginas de citas, venta online, bancos y sitios que gestionan temas relacionados con la salud.

La información tiende a estar almacenada cada vez más en servicios online tipo nube con los riesgos que esto conlleva. El riesgo de fuga de datos aumenta cada día ya que cada vez más aparecen vulnerabilidades y técnicas de ataque que permiten explotar fallos que pueden suponer un acceso no autorizado a la información almacenada en sus servidores.

Los tipos de ataques externos son los más comunes y estos ocurren principalmente cuando un atacante se infiltra y extrae información sensible de una organización o empresa que se ha marcado como objetivo. Puede ser un ataque con acceso físico (accediendo directamente a los ordenadores dentro de la organización o desde una red interna) o con acceso externo, saltándose las protecciones de seguridad de la red de la empresa. Estos ataques suelen estar compuestos de varias fases:

Investigación: se buscan fallos y vulnerabilidades, por ejemplo, en las plataformas que alojan la infraestructura de la empresa u organización. Se pueden buscar fallos en las personas, sistemas o redes.

Ataque: se realiza desde la red o desde un ataque tipo ingeniería social

Ataque de Red: el atacante utiliza fallos de seguridad (por ejemplo, un 0Day) o herramientas de seguridad para atacar la infraestructura de la empresa, sistemas, aplicaciones o redes para encontrar una vulnerabilidad y acceder.
Ataque Ingeniería Social: un empleado puede ser engañado para conseguir sus credenciales o para convencerle a abrir un fichero malicioso enviado a su ordenador o cualquier otro dispositivo móvil.

Exfiltración: una vez dentro de la organización o de la empresa, el atacante puede abrirse paso dentro de la misma hasta encontrar una fuente de información. Puede utilizar internamente también los tipos de ataques antes descritos.

Antes del año 2009, la mayoría de las fugas de datos fueron causadas por errores o actuaciones de personas internas a la organización. Por ejemplo, pérdida de dispositivos con información (disco duro, pendrives, portátiles, etc) o robo intencionado desde el interior de la empresa (los antes mencionados inside jobs). Con el auge de los negocios por Internet, es a partir de este año 2009 cuando comienzan a aparecer otros tipos de ataques más relacionados con la explotación de vulnerabilidades o técnicas de cracking.

En este gráfico, en su versión interactiva que puedes ver aquí, podemos filtrar según el tipo de organización y el tipo de ataque:

Impresionan algunos números como por ejemplo la fuga de información de la empresa River City Media con 1.370 millones de registros perdidos, el caso de LinkedIn donde se filtró una base de datos con 167 millones de presuntas credenciales o los famosos 1.000 millones de Yahoo!. De todas formas, tenemos que tener en cuenta no sólo el número de registros perdidos sino la sensibilidad de los mismos. Los datos de robados en Yahoo! o de otras plataformas como Weebly, son mucho más sensibles que los perdidos en River City Media. En el caso de River City Media, la información comprometida era básicamente correos electrónicos y en cambio en Yahoo! y Weebly los datos robados contenían información mucho más sensible como cuentas bancarias, direcciones, números de teléfono, etc.

Pero, ¿cuál es el valor de esta información? Basándonos en el tipo de dato robado, la información puede tener un valor diferente dentro del mercado negro en el Deep Web. Estos datos pueden tener como destino final por ejemplo duplicar tarjetas de crédito, usurpación de identidad e incluso chantaje. Es bastante habitual que esta información contenga información como nombre, apellidos, fecha de nacimiento, número de la seguridad social (sobre todo en EEUU) o DNI, email, número de teléfono, cuentas bancarias, etc. Por ejemplo, una cuenta de Gmail puede costar entre 0,7$ hasta 1,2$, una de Amazon puede llegar a los 6$, Netflix 1$, datos de usuarios de páginas de adultos suele costar 1$, sitios de citas entre 4 y 10$ por cuenta, etc.

Un único usuario no suele ser el objetivo de los cibercriminales que están robando este tipo de información (excepto en casos de personas muy influyentes o con mucho peso dentro de la organización, a los cuales se les realiza un tipo de ataque especial llamado Spear Phishing). En cambio, es muy probable que le afecte indirectamente esta fuga de datos, así que es recomendable cambiar la contraseña de todos los servicios que hayan podido ser afectados. También podemos acudir a páginas web que permiten comprobar si nuestro correo o nuestro nombre de usuario ha sido comprometido en algún servicio como haveibeenpwned.com y breachalarm.com.

¿Cómo podemos evitar la fuga de datos? Un factor clave es analizar y eliminar la información que ofrecen al exterior nuestros metadatos. Hay muchas empresas que se toman en serio este problema y existen herramientas como Metashield Protector que ayudan a filtrar y controlar la información contenido por ejemplo en gestores documentales. Si tienes alguna consulta relacionada con metadatos y como tratarlos, no dudes en hablar con nuestros expertos en ciberseguridad en la Comunidad Técnica de ElevenPaths.

Fran Ramírez

Investigador de ElevenPaths y escritor del libro “Microhistorias: anécdotas y curiosidades de la Informática”

franciscojose.ramirezvicente@telefonica.com
@cyberhadesblog

↧

ElevenPaths Talks: PinPay y seguridad en micro pagos

July 6, 2017, 4:57 am

≫ Next: Qué hemos presentado en Security Day 2017 (IX): Technology Experience sobre ciberincidentes como WannaCry

≪ Previous: Las mayores fugas de datos de la historia reciente

¡Más detalles aquí!

Nuestros CSAs Jorge Rivera y Pablo San Emeterio, junto a un invitado especial, profundizan en este webinar sobre el significado de los micro pagos y en cómo afecta a la seguridad del proceso de pago.

Cada vez son más las personas que se suman a hacer pequeñas transacciones online con su SmartPhone. Estas nuevas formas se están empezando a desplegar por todos los países y casi todas las empresas de la industria de las tarjetas de crédito están implementando o analizando soluciones similares que apuntar a bancarizar y trabajar con estas transferencias instantáneas.

No cabe duda de que es un sistema que nos da mayor rapidez y comodidad a la hora de hacer pequeños pagos y nos permite evitar movernos con dinero efectivo o tarjetas de crédito, ya que casi siempre la solución se basa en un teléfono móvil. Pero... ¿estamos realmente seguros con este tipo de cobros?

No te pierdas el webinar de hoy a las 15.30h (CET) con nuestros CSAs Jorge Rivera y Pablo San Emeterio, y el invitado especial que lo diremos en nuestro canal de Twitter. Te esperamos en el canal de YouTube de ElevenPaths. ¡Dará qué hablar!

Pásate por la Comunidad de ElevenPaths durante la sesión para debatir y opinar con nuestros expertos y aprender más sobre ciberseguridad.

Más información en:
talks.elevenpaths.com

↧

Qué hemos presentado en Security Day 2017 (IX): Technology Experience sobre ciberincidentes como WannaCry

July 7, 2017, 5:00 am

≫ Next: Innovación y laboratorio de ElevenPaths participa en el proyecto AMBER (“enhAnced Mobile BiomEtRics”)

≪ Previous: ElevenPaths Talks: PinPay y seguridad en micro pagos

En nuestro Security Day 2017 tuvo lugar una mesa redonda sobre experiencias de diversas empresas españolas en el ámbito de la gestión de ciberincidentes, aprovechando el caso de análisis del reciente incidente de seguridad con Wannacry.

En la mesa intervinieron Jose Antonio Sánchez, CTO de Viesgo; Jesús Milán, CISO de LiberBank; Juan Cobo, CISO Global de Ferrovial; y Enrique Rubio-Manzanares, CISO de Evo Bank. La mesa fue moderada por Alejandro Becerra, CISO Global de Telefonica.

El foco de la sesión fue el análisis de la preparación real, práctica de las diversas empresas intervinientes en la gestión de ciberincidentes como el que recientemente ocurrió en Mayo.

El debate trató temas como la preparación real de las empresas frente a dichos incidentes, la evolución de las capacidades requeridas por parte de los proveedores de servicios de seguridad, el papel que juega hoy día y a futuro la colaboración en seguridad o la influencia de las nuevas regulaciones en privacidad y ciberseguridad.

Jose Antonio Sánchez, CTO de Viesgo, presentó su visión sobre la evolución del riesgo en ciberseguridad en el ámbito de las compañías industriales. En su caso, con la aparición de los nuevos escenarios con Internet de las Cosas (IoT), la creciente regulación y la necesidad de mantenerse como mínimo a la velocidad del contexto de riesgos de seguridad. Todo esto se generó en un entorno tremendamente dinámico como el de la gestión automatizada de dispositivos contadores o del control de los prosumidores. Citó la concienciación como un elemento fundamental en la gestión de la seguridad en las compañías y aún más en las fases críticas de respuesta y gestión de incidentes de seguridad.

Juan Cobo, CISO Global de Ferrovial, indicó que las grandes corporaciones actuales están ‘razonablemente preparadas’ para una gestión de incidentes de seguridad; pero que estas capacidades se ven desafiadas con la naturaleza global de los incidentes que vienen siendo cada vez más frecuentes, más globales y con mayor impacto en los procesos de negocio. Citó el reequilibrio en los procesos de seguridad desde los preventivos, más desarrollados tradicionalmente, frente a los detectivos, con mayor foco en la actualidad, y a los reactivos, que serán cada vez más críticos dada la probabilidad creciente de dichos incidentes, ante los nuevos retos digitales como Internet de las Cosas, la transformación digital que todos los sectores están abordando, la inteligencia artificial, etc. No se percibe posible abordar todo esto con una estrategia de seguridad en perímetro como se venía desarrollando hasta el momento. Refirió la especial relevancia de una gestión integral de los incidentes en casos como el de Ferrovial con una presencia multinacional generalizada, para la gestión de la información en semejante entorno complejo.

Jesús Milán, CISO de Liberbank, insistió también en el equilibrio necesario entre la prevención, la detección y la reacción frente a los incidentes. Citó como crítica la necesidad de salir de la gestión de la seguridad, basada exclusivamente en circunstancias internas, para incorporar de forma generalizada información, en tiempo real, de la evolución de riesgos e incidentes en el exterior, para lo que la colaboración con empresas especializadas que aglutinan capacidades de gestión de ciberincidentes. En su opinión, este apoyo será cada vez más importante, aunque aún queda un amplio espacio de mejora en los servicios ofrecidos, su contextualización en procesos de negocio de las empresas cliente (que deben retener esa visión extremo a extremo de los incidentes y su gestión) y la colaboración, más allá de la actual. Esta colaboración está basada en las fuertes relaciones personales entre CISOs, y debe apoyarse en una mayor formalización de los procesos de gestión colaborativa frente a incidentes globales.

Enrique Rubio-Manzanares, CISO de Evo Bank, citó la especial relevancia de unos servicios potentes de seguridad por las empresas especializadas. Lo utilizó en el contexto de un tratamiento cuidadoso de la información durante los incidentes que si bien facilite la colaboración entre organizaciones para una respuesta anticipativa frente a los mismos, y que asegure la protección de la reputación de las compañías. También indicó la necesidad de dichos proveedores de servicios de progresar más en el plano de gestión que en el de las puras capacidades o tecnologías, apreciándose que la gestión de los recursos en caso de incidentes globales debe orquestarse de una forma más efectiva. Ésto evitaría que la limitación de los recursos compartidos en servicios de seguridad con diversos clientes pudiera significar atención deficiente a alguno de ellos.

Los participantes concluyeron mencionando que incidentes como el acontecido como Wannacry suponen los mejores ciberejercicios posibles, que la colaboración actual es fuerte pero basada fundamentalmente en las relaciones interpersonales entre los responsables de las corporaciones y requieren de mayor formalización. También que la regulación va a forzar a todas las empresas a trabajar de una forma más transparente (y por tanto más confiable para los clientes y reguladores). En ello, un ecosistema de proveedores potentes de servicios de seguridad es crítico, así como el apoyo de los organismos públicos (CCN, CNPIC, Incibe, las Fuerzas y Cuerpos de Seguridad del Estado). Un aspecto positivo de los incidentes recientes es que se muestra que nadie está a salvo de los mismos facilitando la transparencia en la comunicación y que el conjunto de las empresas se pueda beneficiar de forma ágil de la información de los primeros afectados.

Alejandro Becerra Gonzalez

Global CISO Telefonica

a.becerra@telefonica.com

@Albegoz

↧

Innovación y laboratorio de ElevenPaths participa en el proyecto AMBER (“enhAnced Mobile BiomEtRics”)

July 10, 2017, 5:51 am

≫ Next: Qué hemos presentado en Security Day (X): Startups y emprendedores en ciberseguridad como CounterCraft y Wayra

≪ Previous: Qué hemos presentado en Security Day 2017 (IX): Technology Experience sobre ciberincidentes como WannaCry

ElevenPaths participa en el proyecto AMBER ("enhAnced Mobile BiomEtRics") desde el 1 de enero de 2017 como socio industrial. AMBER pertenece a la Red de Formación Innovadora (Innovative Training Network) Marie Skłodowska-Curie con Número de Acuerdo 675087, abordando una serie de retos y necesidades relativas a las soluciones biométricas en dispositivos móviles. Este proyecto concluirá el 31 de diciembre de 2020 y hasta entonces liderará el entrenamiento y la formación de la siguiente generación de investigadores en el área de la biometría. Ayudará a acomodar sus actividades científicas tanto para cumplir con los objetivos académicos como para satisfacer los requisitos industriales y profesionales del mercado actual.

El Proyecto AMBER acogerá diez proyectos Marie Sklodowska-Curie Early Stage Researcher (ESR) en cinco universidades Europeas distintas. Dichos proyectos recibirán soporte directo de siete socios industriales que mentorizarán el desarrollo de los proyectos y comprobarán su alineamiento con las necesidades del mercado. El objetivo de esta red radica en unificar y complementar el sector académico con la experiencia industrial a nivel europeo, entrenando y equipando a la siguiente generación de investigadores para definir, investigar e implementar soluciones, desarrollando mecanismos que garanticen la seguridad, ubiquidad y eficiencia de los sistemas de autenticación a la vez que se protege la privacidad de los ciudadanos.

Estos últimos años, la ubiquidad de las plataformas móviles como smartphones y tablets ha crecido considerablemente. Esos dispositivos proveen de un rango de interacción sin límites que era inimaginable hace tan solo diez años. Esta habilidad para interaccionar con servicios y con los individuos acarrea la necesidad de autenticar con precisión la identidad de la persona, requiriendo una serie de datos que puede incluso contener vínculos financieros o legales.

Las soluciones biométricas también han incrementado su presencia durante la última década con implementaciones a gran escala en ciertas áreas, como en pasaportes o sistemas nacionales de identidad. La adopción de sensores específicos para biometría por los fabricantes de móviles indica una estrategia a largo plazo en términos de autenticación. Esta adopción demuestra un factor crítico, los usuarios deben confiar en la biometría en términos de usabilidad, privacidad y rendimiento; donde ninguna de estas categorías debe verse comprometida o de lo contrario se adolecería de desconfianza y reticencia a adoptar estos mecanismos por encima de los métodos convencionales de autenticación. El diseño, implementación y valoración de la biometría en dispositivos móviles requiere por tanto de un rango de soluciones que ayuden a la adopción inicial y continuada. La UE necesita disponer de expertos entrenados específicamente en este campo, para garantizar la participación, competitividad y éxito en el mercado global.

AMBER se compone de cuatro elementos clave para proceder con el entrenamiento y reclutado de los ESRs, investigadores en etapa temprana:

Una institución Beneficiaria Anfitriona proveerá de recursos y experiencia directamente asociada a cada proyecto.
Traslado a una institución académica vinculada (una de las Beneficiarias Académicas) que trabaje en una sub-disciplina complementaria y que provea de experiencia adicional y recursos.
Traslado a una compañía industrial (entre las Organizaciones socias como ElevenPaths) lo cual permitirá una comprensión de las demandas actuales y futuras del mercado en cuanto a soluciones, acceso a recursos industriales, clientes y la posible integración de soluciones en la implementación de tecnologías líderes del mercado.
Una serie de eventos de formación coordinados para vincular varios de los proyectos de AMBER y que provean de un rango de habilidades transferibles que permitan tanto investigaciones futuras como desarrollos de calidad en el campo de la biometría.

ElevenPaths apoyará a la Universidad Carlos III de Madrid (UC3M) en el ESR9, Vulnerability assessment in the use of biometrics in unsupervised environments: La utilización de biometría en dispositivos móviles implica que la autenticación será gestionada sin ningún tipo de supervisión. Al no existir supervisión, el usuario (o cualquiera que haya tenido acceso al dispositivo) puede realizar cualquier clase de ataque al proceso de autenticación sin restricciones. Por tanto, los mecanismos para detectar dichos ataques y evitar el uso malintencionado del dispositivo deber ser implementados. Aunque este objetivo es común a muchos sistemas de autenticación, nuevos retos a tener en cuenta surgen al considerar el uso de dispositivos móviles. El primero es la variedad de fabricantes, modelos y sistemas operativos de los dispositivos que poseen los ciudadanos. Este reto significa que las soluciones obtenidas deben ser multiplataforma, tanto como sea posible. Otro reto es que los dispositivos móviles no han sido fabricados considerando autenticación biométrica, incluso sin mecanismos de autenticación, pero sí para proveer de otros servicios a los usuarios (e.j. llamadas, conexión de datos, navegación web, etc.). Esto significa que el investigador debe, a priori, no considerar ningún tipo de ayuda de los fabricantes móviles, incluso algunos de estos fabricantes pueden mostrarse contrarios ante cualquier tipo de sugerencia de integrar nuevos sensores debido al potencial aumento de los costes. Por otro lado, los dispositivos móviles disponen de otros muchos sensores que pueden ser aprovechados por el proceso de autenticación para mitigar vulnerabilidades. Por tanto podemos definir otro reto adicional que consiste en analizar cómo estos sensores pueden ser utilizados para el beneficio del ciudadano a bajo coste.

Este proyecto de tres años comenzará con el estudio de la biometría, tecnologías móviles y la seguridad. A continuación, el ESR realizará distintos análisis de seguridad y evaluaciones de riesgos, abordando diferentes casos de uso. A tenor de los resultados obtenidos, en particular de las vulnerabilidades detectadas, se procederá con las actividades de I+D de cara a desarrollar un marco de trabajo cuantificable y herramientas que permitan identificar y mitigar las vulnerabilidades, manteniendo la universalidad a un nivel viable (e.j. sin reducir significativamente la cantidad de usuarios por introducir dichos mecanismos). Finalmente, la tecnología desarrollada será integrada en alguna aplicación de uso común que pueda evaluar el rendimiento, la robustez y la aceptación del usuario, promoviendo el uso del dispositivo y dicho marcho de trabajo en la industria

Innovación y laboratorio

www.elevenpaths.com

↧

Qué hemos presentado en Security Day (X): Startups y emprendedores en ciberseguridad como CounterCraft y Wayra

July 11, 2017, 1:20 am

≫ Next: Hidden Networks: Detectando redes ocultas con los dispositivos USB

≪ Previous: Innovación y laboratorio de ElevenPaths participa en el proyecto AMBER (“enhAnced Mobile BiomEtRics”)

Los emprendedores son esas personas, que a veces no parecen de este mundo pero que sin embargo han cambiado y continúan cambiando nuestro mundo innovando para cambiar los modelos de negocio a través de las nuevas tecnologías.

Esta innovación por ser disruptiva y novedosa, requiere de un tiempo de maduración para ser aceptada por los mercados y demostrar su utilidad. El mundo de la seguridad, al igual que otros sectores, necesita de esta innovación y por ello desde Telefónica queremos dar el apoyo que necesitan a través de iniciativas como Wayra y Open Future.

Andres Saborido, Country Manager de Open Future/Wayra en España nos explica que desde Wayra se dedican a identificar compañías en sus fases iniciales, cuando ya tienen un producto y sus primeros clientes para invertir en ellas tomando una participación minoritaria y trabajar con el equipo fundador para ayudarles a perfeccionar su producto, recibir más inversión, tener presencia en medios y eventos internacionales y alcanzar nuevos mercados trabajando con la red comercial de Telefónica. Esta es nuestra manera de acercar la innovación al grupo Telefónica y nuestros clientes.

Para conseguir estos objetivos, contamos con 11 espacios o academias Wayra distribuidos por el mundo, con 32 espacios de crowdworking y hasta la fecha hemos invertido en más de 700 startups con una inversión total de 120 millones de euros.

Seleccionar las startups donde invertir no es una tarea fácil y tratamos de alinear estas inversiones con las demandas del mercado y las necesidades de Telefónica. En los últimos cuatro años las inversiones en startups especializadas en seguridad han crecido, pasando a representar desde un 4% en 2013 a un 20% en 2017.

En el gráfico siguiente se pueden observar el crecimiento de las inversiones realizadas por Open Future en startups de seguridad en los últimos años a través de los diferentes programas e iniciativas que hemos puesto en marcha.

En el último año, entre las iniciativas que se han llevado a cabo para incrementar nuestra presencia en el sector de la ciberseguridad nos gustaría destacar dos especialmente. Por una parte, la colaboración con el GCHQ, una de las agencias de inteligencia del Reino Unido, con Wayra UK donde se han seleccionado en el primer trimestre de 2017 a siete startups de ciberseguridad para convertir e impulsar su desarrollo. Y por otra parte, la iniciativa de una convocatoria específica de ciberseguridad realizada en España conjuntamente, entre Wayra España y ElevenPaths, y donde se han recibido 27 solicitudes que se encuentra en fase de resolución.

Una de las empresas que innovan en ciberseguridad y que Telefónica seleccionó para invertir y apoyar su expansión fue CounterCraft.

CounterCraft es una empresa con un poco más de año y medio de vida que detectó que existía una necesidad de los clientes en asuntos relativos a contrainteligencia para permitir a las empresas responder de forma activa a los posibles ataques e incidentes.

La empresa cuenta con dos sedes, una en la bella ciudad de San Sebastian y otra en Londres. Es una startup con una proyección internacional desde sus primeros inicios, que ha recibido el apoyo de entidades públicas en España y UK, así como de fondos de inversión entre los que se incluye Telefónica.

Se dedican a crear escenarios creíbles de todo tipo dentro de las infraestructuras empresariales que permiten engañar y manipular a los atacantes y adversarios, creando campañas de contrainteligencia que permiten engañar a los atacantes mientras recaban información útil sobre los objetivos y técnicas empleadas.

Su CEO, David Barroso, afirma que los incidentes ocurren y tenemos que estar preparados para hacérselo más difícil a nuestros adversarios y que es necesario un cambio de mentalidad en las empresas sobre cómo afrontarlos.

Rames Sarwat

Head of Strategic Alliances and Partnerships of ElevenPaths

rames.sarwatshaker@telefonica.com

@ramessarwat

↧

Hidden Networks: Detectando redes ocultas con los dispositivos USB

July 12, 2017, 4:46 am

≫ Next: Los 433 MHz y el software libre. Parte 1.

≪ Previous: Qué hemos presentado en Security Day (X): Startups y emprendedores en ciberseguridad como CounterCraft y Wayra

Llevamos un tiempo en ElevenPaths investigando un tema relacionada con la seguridad corporativa y las redes ocultas que se crean dentro de las organizaciones. Cuando un departamento de IT controla y gestiona las redes que conforman la red corporativa suelen olvidar lo que se denomina redes ocultas. Este tipo de redes son creadas entre los empleados que utilizan los dispositivos USB como medio para intercambiar información.

Las redes ocultas son redes que pueden unir equipos de diferentes redes segmentadas o diferentes VLANes, poniendo en riesgo lo que se quiere aislar por criticidad. En este paper se realiza un estudio del problema y se publican, además, dos scripts que utilizan diferentes tecnologías Microsoft con los que se pueden descubrir este tipo de redes ocultas.

Con el análisis de la investigación se pueden crear mapeos de red entre las redes físicas y las redes ocultas destapando riesgos no controlados por el departamento de IT correspondiente.

Puedes visualizar el paper en español y en inglés en nuestro canal de Slideshare. Además, os dejamos un vídeo dónde se muestra la ejecución del script para WinRM sobre un dominio y la obtención de los datos relevantes de las redes ocultas creadas a través de los dispositivos USB.

Pablo Gonzalez Pérez

Security Researcher Technical Manager

pablo.gonzalez@11paths.com

@pablogonzalezpe

↧

Los 433 MHz y el software libre. Parte 1.

July 14, 2017, 1:58 am

≫ Next: Redes más seguras con Machine Learning: Una prueba de concepto

≪ Previous: Hidden Networks: Detectando redes ocultas con los dispositivos USB

Los sistemas de Radiofrecuencia y la Seguridad han mantenido siempre una discreta relación, aunque recientemente está adquiriendo un elevado protagonismo gracias a la proliferación de dispositivos IoT y Domóticos, que utilizan múltiples vías de comunicación hasta ahora inadvertidas.

Esta situación quedó de manifiesto durante la conferencia de Seguridad RootedCON de 2016; en la ponencia de Raúl Siles, “La Cena de los IdoTas”. Se abordaban diferentes cuestiones de seguridad entorno a dispositivos IoT Domóticos dotados de diversas conexiones inalámbricas.

Raúl hizo hincapié en las nuevas amenazas que acechan a los sistemas que trabajaban en las “bandas Sub-Gigahercio”, es decir, cuya frecuencia es inferior a 1000 MHz.

Realizó una demostración en la que capturaba señales emitidas por mandos de radiocontrol de interruptores y luces domésticas en la frecuencia de 433 MHz, analizaba el protocolo, y posteriormente conseguía volver emitir las señales adecuadas para manejar los dispositivos a su antojo. Con este sencillo ejemplo se evidenciaba la ausencia de medidas de seguridad en muchas de las aplicaciones que hacen uso de esta banda.

Tanto la captura de las señales de radiofrecuencia, como su re-emisión, se efectuaba por medio de un dispositivo hardware específico, el YARK Stick One, de elevado coste y difícil de conseguir; en contraste con la tendencia actual en los sistemas de radiofrecuencia, la cual gira vertiginosamente hacia el SDR (Radio Definida por Software), limitando al mínimo imprescindible la implementación por hardware.

YARD Stick One

Estas circunstancias, unidas a la gran cantidad de Software Libre y de Código Abierto disponible para diferentes aplicaciones de radiofrecuencia en la banda de 433 MHz, invita a reflexionar sobre sus posibles usos junto con el mínimo hardware posible.

Sistemas de Radiofrecuencia

La excelente interoperabilidad que disfrutamos en los sistemas de radio comunicación obedece en gran medida a la minuciosa gestión del espectro electromagnético que realiza la Unión Internacional de Telecomunicaciones “ITU”.

Con sede en Ginebra, la ITU es la organización intergubernamental más antigua del mundo, creada en 1865 para controlar las conexiones internacionales de telégrafos. Actualmente dependiente de la Organización de Naciones Unidas “ONU”, confecciona el Reglamento de Radiocomunicaciones “ITU-R”, el cual es adoptado, con rango de tratado, por los países adheridos.

El espectro electromagnético es el conjunto de todas las posibles frecuencias de radiación de las ondas electromagnéticas, abarcando desde la mínima longitud de Planck, hasta el infinito. Las ondas pueden medirse tanto por su frecuencia de oscilación, en ciclos por segundo, como por la distancia que recorre su perturbación en un ciclo, expresando esta longitud en metros, junto con múltiplos y submúltiplos, desde el Kilometro al Ångström.

Representación del espectro electromagnético

La unidad del “Sistema Internacional de Unidades”, para la medida de la frecuencia (ciclos por segundo) de las ondas electromagnéticas es el Hercio (Hz), llamada así en honor al físico alemán Heinrich Rudolf Hertz por descubrir su propagación. Son de uso generalizado sus múltiplos: Kilohercio (KHz), Megahercio (MHz) y Gigahercio (GHz).

Se utiliza el termino “banda” para referenciar un intervalo, segmento, rango o porción del espectro electromagnético. De forma general, tanto la ITU como otros organismos internacionales, designan con abreviaturas o numéricamente diferentes bandas de frecuencias dentro del intervalo denominado de radiofrecuencia “RF”, comprendido entre los 3 KHz y los 300 GHz.

Ditribución de diferentes bandas de radiofrecuencia (lurailabs.com)

Regulación

Cada país dispone de una cierta autonomía para gestionar el uso del espectro electromagnético en su territorio, así como la explotación comercial del mismo, otorgando licencias para radios comerciales, televisiones, telefonía móvil, y otros usos profesionales, procurando no contradecir los dictámenes del UTI-R.

No obstante, los principales organismos reguladores, la FCC, Comisión Federal de Comunicaciones de los EEUU, y el ETSI, Instituto Europeo de Normas de Telecomunicaciones, no siempre coinciden plenamente en sus normativas, existiendo diferencias en cuanto a la atribución de uso de ciertas bandas, con independencia de la legislación nacional que aplique individualmente cada país en su territorio.

En España por ejemplo, las regulaciones nacionales se articulan mediante el CNAF, Cuadro Nacional de Atribución de Frecuencias, el cual emite las notas de Utilización Nacional (UN), que matizan, amplían o restringen, los dictámenes del UTI-R y el ETSI.

Las concesiones de uso comercial son de carácter público, y pueden consultarse online en la página web del “Registro Público de Concesiones de Telecomunicaciones”:

Ejemplo de licencia de concesión de Telecomunicaciones

La activad del UTI es independiente de otros organismo encargados de estandarizar el uso del espectro en función de su asignación, destacando los trabajos del ETSI, que con proyección mundial, ha promovido la estandarización de los sistemas de telefónica móvil GSM y el sistema de radió profesional TETRA. Estando adscrito al ETIS el consorcio 3GPP (3rd Generation Partnership Project) encargado de definir las especificaciones de las redes de tercera generación 3G derivadas del GSM, como GPRS, EDGE o UMTS.

Jorge Rivera

CSA Global de ElevenPaths

jorge.rivera@11paths.com

↧

Redes más seguras con Machine Learning: Una prueba de concepto

July 17, 2017, 2:30 am

≫ Next: ElevenPaths es Aliado Tecnológico de Fortinet

≪ Previous: Los 433 MHz y el software libre. Parte 1.

Las tecnologías de Machine Learning (ML) pueden aportar (y aportan) mucho valor al mundo de la seguridad. Una de las aplicaciones directas conocidas de estas técnicas es la detección de anomalías de tráfico de red. Hacen referencia a comportamientos no esperables de acuerdo al funcionamiento habitual de la red. Por ejemplo, situaciones en las que se genere gran cantidad de tráfico repentino o muy diferente al habitual. El arte de estas técnicas consiste precisamente en determinar qué es diferente, habitual y disponer de los mecanismos adecuados para detectarlo. En el gráfico se puede ver un ejemplo simple en el que se representa el número de flujos recibidos en un determinado momento. En rojo se señalan picos que representan anomalías en el tráfico de la red.

En la detección de anomalías en general se distingue entre dos enfoques.

El basado en firmas se centra en buscar patrones de ataques conocidos. Una de las desventajas de este enfoque es que sólo detectaría los ya definidos con firmas, lo que obviamente limita la capacidad de detección de nuevos ataques.
Por otro lado, la detección de anomalías en general define el comportamiento normal y considera anomalías todo aquello que se desvíe lo suficiente de este comportamiento. Esto permite solventar las limitaciones referentes a la detección de nuevos ataques que presentaba el enfoque anterior, aunque resulte más propenso a falsos positivos como contraprestación.

Por sus características, los algoritmos de ML pueden ayudar en el proceso de detección de anomalías. La idea es que permitan detectar de forma automática aquellos comportamientos que un experto calificaría como anómalos en el comportamiento de la red. Para ilustrar este proceso se muestra en esta entrada de una forma práctica y sencilla de qué manera se pueden aplicar los algoritmos de ML para la detección de anomalías en red.

Netflow

Para el ejemplo en particular, se trabaja con Netflow, que es un protocolo de red desarrollado por Cisco (1996) y que extrae estadísticas sobre el tráfico. La versión 9 de este protocolo viene recogida en el RFC 3954. Algunos de los campos más destacados incluyen la fecha y hora de comienzo y finalización del flujo, dirección IP de origen y destino, puerto origen y destino, tipo de protocolo, flags, bytes y paquetes de entrada y salida, entre otros. Dadas las grandes cantidades de tráfico que pueden circular por la red, Netflow puede ser útil para dar visibilidad sobre lo que está sucediendo en la red. Un sistema recolector de este tipo de tráfico consta de tres componentes principales:

Exportador (probe): Agrega los paquetes en flujos y los exporta a uno o más colectores.
Colector: Recibe, almacena y preprocesa los flujos recibidos.
Analizador: Analiza la información de los flujos según el propósito.

Paralelamente, de forma muy general, la aplicación de ML se puede traducir en tres etapas: la recolección de datos, la aplicación de los algoritmos de ML (data science) y el análisis de los resultados.

A continuación, y a modo de introducción se explica uno de estos casos concretos basados en la prueba de concepto creada en colaboración con la unidad de LUCA y seguridad en redes. Este fue el ejemplo básico mostrado en un Talk titulado precisamente: Redes más seguras con Machine Learning y el área de MSS y Network Security.

Recolección de datos

Para aplicar los algoritmos de ML es fundamental contar con un buen conjunto de datos sobre el que aplicar el aparataje matemático de los algoritmos. Para ello es necesario recolectar tanto tráfico normal como anómalo. Obtener buenos conjuntos de datos etiquetados no es sencillo. Existen algunos conjuntos de datos disponibles, y estos conjuntos pueden ser útiles para realizar pruebas, pero en determinados casos pero suelen tener algunas limitaciones, como por ejemplo ser tráfico simulado o sintético, no encontrarse actualizados, etc.

En este caso hemos generado nuestro propio tráfico limpio o libre de anomalías, montando un entorno muy simple como el que se ve en la figura, en el que mediante un port mirror del switch se hace llegar al netflow probe el tráfico del que queremos generar las estadísticas. El tráfico Netflow se envía a una máquina en Amazon donde se encuentra el colector y desde donde posteriormente se realizarán los procesos de data science y ML.

En un entorno en el que el colector se sitúe en la misma máquina que el probe, esto se puede llevar a cabo con los siguientes comandos:

De esta forma se obtienen los ficheros CSV que contienen los valores para los diferentes campos de Netflow correspondientes al tráfico normal de la red.

Para recolectar el tráfico con las anomalías, en nuestro caso nos hemos centrado en el malware para representar anomalías en red. El malware hoy en día, en su inmensa mayoría y en sus diferentes fases, generará tráfico particular que es susceptible de ser estudiado. En este caso, y como simple prueba de concepto, se han tomado ejemplos de http://www.malware-traffic-analysis.net que, aunque con las obvias restricciones puede suponer un buen punto de partida. Para el ejemplo concreto mostrado en este vídeo demostrativo, se ha seleccionado esta muestra de impacto en el tráfico durante una infección por exploit kit "pseudoDarkleech Rig-V sends Cerber ransomware".

En la figura se pueden ver algunos paquetes correspondientes al tráfico generado durante la infección. A partir de la línea 730 el comportamiento no sigue los patrones de tráfico habituales en una red. Se pueden observar paquetes UDP que en un breve intervalo de tiempo (menos de 2 segundos) proceden de una misma IP de origen y que se dirige a diferentes (y en muchos casos consecutivas) IP de destino públicas. Además, los puertos origen y destino son fijos.

Basándonos en esta simple observación se define una característica que cuenta el número de flujos en un intervalo de tiempo de 5 segundos que desde una misma IP origen se conectan a diferentes IP destino públicas, con tráfico de un determinado protocolo y usando un cierto puerto destino. De esta manera traducimos los datos de Netflow a valores numéricos que pueda entender el algoritmo. Lo que se espera es que para el tráfico normal este valor sea bajo y se consideran anomalías aquellos que tengan valores altos. Esto se trata tan solo de un simple ejemplo y se podrían definir más características. De hecho, definir características acertadas (además de la adecuada elección del dataset) es el arte que puede llevar a que los algoritmos de aprendizaje sirvan realmente en el mundo real.

Data science y aplicación de los algoritmos de ML

El proceso de data science es fundamental. La manipulación de los datos tiene un gran impacto en los resultados, por lo que es una etapa a la que debe de prestarse la atención necesaria. A partir de los datos de Netflow se realiza la extracción de características para los algoritmos de ML, es decir, convertir los datos en valores que el algoritmo pueda entender. Como trabajamos en un enfoque de anomalías, lo que se persigue es que las características definan cuál es el comportamiento normal del tráfico y por tanto, lo que se desvíe de ahí se considera anómalo. Como se ha mencionado, el conocimiento de los expertos es vital en esta etapa, para definir cuáles son las características que permiten distinguir entre los comportamientos normales y anómalos en la red.

Los algoritmos se suelen dividir entre supervisados o no supervisados, en función de si se tiene la información o no de si los datos son satisfactorios para el objetivo de aprendizaje (los datos están etiquetados o no). Se pueden usar redes neuronales, árboles de decisión, SVM, redes bayesianas, etc. Isolation Forest es un algoritmo no supervisado que se puede aplicar para detección de anomalías. Trabaja con varios árboles de decisión binarios. Resumiendo su funcionamiento, iría seleccionando características de modo aleatorio y eligiendo también aleatoriamente valores de las variables (entre el valor mínimo de la variable y el máximo) para particionar el espacio de búsqueda y generar ramas del árbol de decisión. De este modo, se categorizan como anomalías aquellas instancias que tienen menor profundidad en el árbol (menor longitud de la hoja a la raíz), puesto que se asume que las anomalías son más fáciles de aislar mediante el particionamiento recursivo del dataset. Más detalles se pueden concentrar en este estudio.

En este ejemplo se puede ver el proceso de particionado recursivo y construcción del árbol de decisión.

En ésta página se pueden ver más explicaciones de cómo funciona éste algoritmo.

Análisis de los resultados

En ElevenPaths hemos montado una prueba de concepto sencilla que lleve estos conceptos a la práctica. Utilizando el ejemplo y la característica mencionada, se aplica el algoritmo Isolation Forest. En particular éste se ha instanciado para usar 100 árboles con un máximo de 256 muestras y se establece el valor del parámetro contamination a 0,0001. Este parámetro establece el umbral que determina qué se considera anomalía. El algoritmo devuelve un 1 en caso de que el flujo se considere normal y -1 si se considera anómalo.

Aplicando esto se ve que es posible detectar el malware, que ha obtenido un valor de 320 en la característica que cuenta el número de flujos y que sobresale como un valor fuera de lo normal. Sin embargo, existen otros flujos que eran normales y que el algoritmo considera anómalos; se trata de falsos positivos. Los resultados obtenidos (medidos entre 0 y 1) son 0.99 para los flujos normales caracterizados como tal y 0.0001 falsos positivos, lo que supone una tasa aceptable si esta prueba se realizara a otra escala.

Carmen Torrano

carmen.torrano@11paths.com

Innovación y Laboratorio

en colaboración con el área de MSS & Network Security

↧

ElevenPaths es Aliado Tecnológico de Fortinet

July 18, 2017, 12:20 am

≫ Next: ElevenPaths Talks: Diferencias entre NOC, SOC y CiberSOC

≪ Previous: Redes más seguras con Machine Learning: Una prueba de concepto

Integraciones con Vamps y Metashield

Fortinet es Partner Estratégico de ElevenPaths, la unidad de ciberseguridad de Telefónica, con más de 15 años trabajando juntos, y en Junio 2016 reforzamos esa alianza estratégica incorporando la arquitectura Security Fabric de Fortinet para ofrecer soluciones integradas con algunos de los servicios clave de seguridad gestionada de Telefónica.

Somos un Reseller Platinum Partner y un MSSP Platinum Partner de Fortinet, y ahora en ElevenPaths estamos orgullosos de haber sido reconocidos recientemente también como Aliado Tecnológico de Fortinet, para ofrecer estas soluciones conjuntas e integradas de Fortinet y ElevenPaths, para ayudar a nuestros clientes a obtener aún más valor de sus despliegues de seguridad:

La integración de FortiWeb Web Application Firewall (WAF) de Fortinet junto con nuestro producto Vamps de ElevenPaths, solución conjunta de evaluación de vulnerabilidades y parcheo virtual: Para ayudar a las organizaciones de manera sencilla y rentable a maximizar la implantación oportuna de parches virtuales, y para facilitar el cumplimiento de las políticas de seguridad que eviten la explotación de una vulnerabilidad conocida. Los clientes pueden de esta forma implantar fácilmente parches virtuales de sus aplicaciones web, y de sus APIs y servicios web; y

La integración de FortiGate Firewall de Fortinet junto con nuestro producto Metashield de ElevenPaths, solución conjunta de protección integral de información y activos: Para ayudar a las organizaciones a prevenir y detectar la fuga de información sensible resultante de los metadatos. Esta solución conjunta va a permitir a nuestros clientes que sus archivos web se procesen correctamente, sin información sensible o confidencial que pueda suponer un riesgo de fuga de información debido a sus metadatos e información oculta.

Estas soluciones conjuntas van a permitir a nuestros clientes incrementar el valor de los despliegues de FortiWeb y FortiGate en las organizaciones, completando con Metashield cualquier programa razonable de cumplimiento del Reglamento General de Protección de Datos (RGPD) al prevenir la filtración de metadatos; y mejorar sus capacidades de detección y respuesta al permitir junto con FortiWeb y Vamps el parcheo oportuno y temprano de las vulnerabilidades detectadas por los expertos analistas de Telefónica.

En ElevenPaths creemos en la idea de “juntos sumamos más”, y este reconocimiento como Aliado Tecnológico de Fortinet confirma nuestro deseo de asociarnos con los Partners más punteros del mercado, aportando aún más valor para ayudar a las organizaciones a transformarse digitalmente de forma segura.

Pablo Alarcón Padellano

Responsable Alianzas Estratégicas de ElevenPaths

pablo.alarconpadellano@telefonica.com

↧

ElevenPaths Talks: Diferencias entre NOC, SOC y CiberSOC

July 20, 2017, 12:41 am

≫ Next: Los 433 MHz y el software libre. Parte 2.

≪ Previous: ElevenPaths es Aliado Tecnológico de Fortinet

Más información

Presentamos este webinar en el que nuestros CSAs Pablo San Emeterio y Gabriel Bergel, junto a un invitado especial, hablarán sobre NOC, SOC y CiberSoc, y se centrarán en aclarar cuestiones como qué diferencias hay entre ellas, cuáles son sus funciones y objetivos, y la mejor forma de evaluarlas.

Si quieres saber más acerca del tema, no dudes en pasarte por la Comunidad de ElevenPaths antes y después de la sesión donde podrás debatir con nuestros expertos CSAs, compartir opiniones y aprender sobre ciberseguridad.

Para quien se lo haya perdido, os dejamos todas los seminarios completos de nuestras tres temporadas:

» ElevenPaths Talks - Temporada 1

» ElevenPaths Talks - Temporada 2

» ElevenPaths Talks - Temporada 3

Te esperamos hoy a las 15:30h (CET) en nuestro canal de Youtube. Si eres un amante de la seguridad informática no te puedes perder estas citas con otros profesionales y expertos del mundo de la ciberseguridad. ¡Anímate y apúntate a ElevenPaths Talks los jueves a la misma hora!

Más información en: talks.elevenpaths.com

↧

Los 433 MHz y el software libre. Parte 2.

July 21, 2017, 1:14 am

≫ Next: Telefónica y Subex firman un acuerdo marco global para proporcionar una solución disruptiva anti- fraude

≪ Previous: ElevenPaths Talks: Diferencias entre NOC, SOC y CiberSOC

Las bandas ISM

El UTI-R define varias bandas de frecuencias para usos no comerciales, conocidas como bandas ISM por la siglas en inglés de “Industrial, Científico y Médico”, con fines industriales, científicos, médicos, domésticos o similares, las cuales no requieren de una licencia para su uso, denominándose “sin licencia” o en inglés “license-free”; lo que no significa que se puedan utilizar libremente, ya que siguen estando fuertemente regladas, tanto a nivel técnico, como en sus condiciones de uso.

Principales bandas ISM reguladas internacionalmente

De forma adicional a las bandas ISM, y a instancias del UTI-R, los organismos reguladores definen muchas otras bandas de frecuencias para otros usos “no licenciados”, como por ejemplo:

Banda PMR446, (446 MHz) regulada por el ETSI para el uso de intercomunicadores de mano (walkies) en el territorio Europeo (CEPT).
Banda FSR (462 MHz y 467 MHz) regulada por la FCC para el uso de intercomunicadores de mano (walkies) en EEUU.
Banda LDP433 (433 Mhz) regulada por el ETSI para el uso de intercomunicadores de baja potencia en el territorio Europeo (CEPT).
Banda CB (27 MHz) o “Banda Ciudadana”, que aunque regulada nacionalmente, su aceptación es prácticamente global.
Bandas U-NII (5 GHz) “Unlicensed National Information Infrastructure”, regulada por la FCC para su uso en redes digitales de nueva generación en EEUU.

Cabe destacar que la regulación de uso de estas bandas sin licencia, no implica que estén reservadas de forma exclusiva, ya que en la mayoría de los casos estas bandas se comparten, total o parcialmente, con otros usos, como por ejemplo: radiolocalización, radiobúsqueda, radiobalizas, telemandos, etc., y de forma muy recurrente, con las bandas atribuidas a los “radioaficionados licenciados”.

Bandas atribuidas a Radioaficionados

El UTI-R designa un generoso número de bandas de frecuencia para su uso por parte del colectivo de radioaficionados, los cuales deben de estar en posesión de una licencia que les acredita como tales.

En los primeros años del siglo XX, los aficionados a las comunicaciones a través de la radiofrecuencia, recién descubierta por aquel entonces, crecieron rápidamente al mismo ritmo que la propia tecnología que utilizaban, en muchas ocasiones gracias a sus experimentos e investigaciones.

Se organizan en asociaciones nacionales reunidas bajo la “La Unión Internacional de Radioaficionados” IARU, por sus siglas inglés, emitiendo su propia reglamentación y planificación de uso dentro de las bandas atribuidas.

Las bandas de radioaficionados cubren todos los segmentos del espectro radioeléctrico, ya que cada segmento posee unas características de propagación y uso particulares, que dependen de diferentes factores atmosféricos y climatológicos. Se identifican por su longitud de onda, de forma preferente al rango de frecuencias o frecuencia central que ocupan.

Análogamente a las bandas ISM, las bandas de radioaficionados no están reservadas en exclusiva, compartiendo su utilización en muchas ocasiones, por lo que no deben causar interferencias perjudiciales en otros usos, ni reclamar protección frente a la interferencia procedente de ellos. De hecho, para el caso particular de compartición con bandas ISM, el UTI-R indica específicamente que deben aceptar la interferencia perjudicial resultante de estas aplicaciones.

La banda ISM de 2.4GHz es, sin lugar a dudas, la que soporta un uso más intensivo, ya que es utilizada en diferentes estándares de redes Wi-Fi (IEEE 802.11b/g/n) y Bluetooth, (IEEE 802.15.1), llegando en muchas ocasiones a su completa saturación. Situación que está provocando una progresiva migración a otras bandas ISM: la de 5GHz para las redes Wi-Fi (IEEE 802.11ac) y las bandas Sub-GHz para las aplicaciones y redes LPWAN del ecosistema IoT como Sigfox, LoRaWan, Dash7, Z-Wave, Neul, etc., no sin dificultades en este último caso.

Uno de los mayores problemas está originado por la diferencia en las regulaciones de la banda ISM justo por debajo del Gigahercio:

Banda ISM 902 – 928 MHz regulada por la FCC para EEUU.
Banda ISM 868 – 869 MHz regulada por el ETSI para Europa (CEPT Countries).

Por este motivo, muchos de los nuevos estándares tienen a soportar diferentes bandas ISM, como es el caso de Zigbee (IEEE 802.15.4), que pese a soportar estas dos bandas, su uso generalizado está en la banda ISM de 2.4GHz por la globalidad que esta proporciona.

Banda ISM de 433 MHz

La banda ISM de 433MHz, cohabita en la banda UHF de 70cm de radioaficionados, la cual en España está limitada por el CNAP, al rango de frecuencias comprendido entre 430 MHz y 440 MHz.

Asignación de usos entorno a la banda UHF de 70 cm de radioaficionados en España

El ancho de la banda ISM de 433 MHz es, en oposición al termino que lo define, relativamente estrecho, únicamente 1750 KHz, comprendidos entre 433,050 MHz y 434,790 MHz. Siendo la máxima potencia radiada aparente (PRA) permitida de tan solo 100 mW (milivatios), contrastando con los hasta 1000 W (vatios) de potencia isotrópica radiada equivalente (PIRE), a los que pueden llegar los radioaficionados en algunos casos (cien mil veces más).

En determinadas ocasiones podemos encontrar analogías y paralelismos entre los sistemas de 433 MHz y los de 315 MHz, esto es debido a que Japón y otros países asiáticos han regulado la banda ISM equivalente a 433 MHz en la frecuencia de 315 MHz, permitiendo a su vez una cierta compatibilidad con las regulaciones de la FCC en EEUU.

La infinidad de aplicaciones que hacen uso de la banda ISM de 433 MHz puede dividirse en dos grandes grupos en función del tipo de modulación que utilicen: AM o FM; generalmente en modos de codificación digital.

Modulación AM/FM

Recientemente se está popularizando la utilización de modos digitales derivados de la modulación de frecuencia (FM): FSK, PSK, GFSK, MSK o GMFK, junto al patentado LoRa, en gran parte gracias a la disponibilidad de módulos económicos, como la serie RFM de HopeRF.

Módulos de radiofrecuencia a 433MHz con modulación FM

El proyecto “Moteino” fue pionero integrando estos módulos junto con Arduino, le siguió Adafruit, y con la irrupción de LoRaWan ha aparecido un gran número de adaptaciones compatibles tanto con Arduino como con Raspberry PI. Otro uso muy generalizado de estas modulaciones en la banda ISM de 433 MHz lo encontramos en los sistemas de telemetría para drones y otros vehículos de aeromodelismo.

Aunque el uso tradicional de la banda ISM de 433 MHz, y por ende el más extendido, es en modulación de amplitud de onda (AM), y concretamente en el modo de más sencillo de codificación digital binaria “OOK” (On-Off Keying), por desplazamiento de amplitud “ASK” (Amplitude Shift Keying).

Ejemplos de modulación: de amplitus, de frecuencia y de fase

La facilidad con la que puede implementarse la modulación digital ASK/OOK, tanto en emisores como en receptores, ha hecho que sea profusamente utilizada en todo tipo de dispositivos domóticos domésticos de uso cotidiano, como telemandos de automóviles, de puertas de garaje, en la automatización de toldos y persianas, estaciones meteorológicas, detectores de humo y gases, sensores de alarmas para puertas, ventanas o de movimiento, interruptores de luces y pequeños electrodomésticos, dimmers, termostatos, timbres, medidores de consumo eléctrico, etc. la lista es interminable.

Dispositivos de radiofrecuencia a 422MHz AM (ASK/OOK)

No obstante, cada fabricante ha desarrollado su propio protocolo de codificación, por lo que aunque la frecuencia de trabajo sea la misma o muy similar, varían el número y la duración de los pulsos OOK, así como su significado, por lo que la compatibilidad entre dispositivos de diferentes fabricantes es prácticamente inexistente, y en ocasiones, incluso tratándose del mismo fabricante.

Pese a que hay algunos protocolos relativamente estándar y documentados, la mayoría de los fabricantes guardan con recelo los detalles de implementación de sus protocolos, especialmente cuando incorporan mecanismos de seguridad como algoritmos de cifrado o rolling-code.

Por este motivo, la implementación hardware en emisores y receptores de radiofrecuencia suele incluir únicamente el modulador o demodulador ASK/OOK con entrada o salida binaria, estando la lógica del protocolo de codificación implementa por software en un microcontrolador u otro elemento similar.

Gracias a esta particularidad, hay disponibles una gran cantidad de módulos emisores y receptores AM (ASK/OOK) para la banda ISM de 433MHz, de bajo coste y elevada facilidad de integración con cualquier plataforma de desarrollo, como Arduino o Raspberry PI.

Módulos genéricos de RF 433MHz AM (ASK/OOK)

Los módulos más accesibles de origen chino rondan poco más de un Euro; los hay de muchos tipos, cada uno con sus peculiaridades. Normalmente se encuentran en parejas de emisor y receptor, aunque todos son compatibles entre si. El más popular es el par XD-FST FS1000A, pero su receptor es muy ruidoso; por más o menos el mismo precio, el receptor RXB6 ofrece unas prestaciones muy superiores, aunque todavía lejos de fabricantes europeos como Aurel, que incluso dispone de un dispositivo que integra emisor y receptor en un mismo módulo; muy utilizado en sistemas comerciales por usar una única antena para la emisión y recepción, aunque requiere de electrónica adicional para gestionar esta conmutación, y consecuentemente su coste es más elevado.

Codificación

Existen varios protocolos que por su sencillez y para facilitar su integración en aplicaciones de escasa criticidad, se implementan por hardware en un chip específico que realiza las tareas de codificación y descodificación; como por ejemplo estas parejas de emisor/receptor:

HX2262 / HX2272 - PT2262 / PT2272 - SC5262 / SC5272 (compatibles entre si)
EV1527 / RT1527 - FP1527 / HS1527 (compatibles entre si)

Los conjuntos emisor/receptor que utilizan estos protocolos implementados en hardware siempre vienen emparejados para garantizar su correcto funcionamiento de forma prácticamente autónoma, sin que sea necesario ningún elemento adicional.

Módulos de RF 433MHz AM (ASK/OOK) con protocolo codificado por hardware

Salvo estas excepciones y alguna otra como X10, donde el protocolo de codificación está perfectamente documentado, la inmensa mayoría de la información disponible sobre los cientos de protocolos existentes ha sido obtenida mediante técnicas de ingeniería inversa por una nutrida comunidad de investigadores, los cuales, en la mayoría de los casos hacen públicos sus descubrimientos, y comparten bajo diferentes licencias de Software Libre y Código Abierto, su implementación por software.

La nomenclatura de los protocolos no está regida en modo alguno, por lo que podemos encontrar diferentes nombres para identificar un mismo protocolo, según la implementación, librería o software que estemos utilizando. Por ejemplo; “Nexa”, “Proove”, “Anslut”, e incluso “HomeEasy”, son sinónimos del mismo protocolo.

Jorge Rivera

CSA Global de ElevenPaths

jorge.rivera@11paths.com

↧

Telefónica y Subex firman un acuerdo marco global para proporcionar una solución disruptiva anti- fraude

July 24, 2017, 1:39 am

≫ Next: Blockchain VI. Blockchain hasta en la sopa, una paradoja

≪ Previous: Los 433 MHz y el software libre. Parte 2.

MADRID— 18 de julio de 2017— Subex Limited, proveedor líder de soluciones analíticas de comunicaciones, ha sido seleccionado por ElevenPaths, la unidad de Ciberseguridad de Telefónica, para ofrecer una solución de gestión de fraude (FMaaS). Telefónica es una de las mayores empresas de telecomunicaciones del mundo, con presencia global en 21 países y un promedio de 125.000 profesionales y 350 millones de accesos.

El acuerdo entre Telefónica y Subex dará lugar a la nueva "Telefónica FMaaS Powered by Subex" para proteger contra un amplio conjunto de riesgos y amenazas digitales, junto con una biblioteca de procesos de detección de fraudes. La solución aborda el fraude de suscripción, el fraude interno, el fraude en servicios de tarificación adicional (Premium Rate Service Fraud – PRS Fraud) y el fraude internacional de coparticipación (International Revenue Share Fraud – IRSF), entre otros. Además, la tecnología de gestión de fraude de ROC desplegada por Subex ofrecerá la capacidad de implementar procesos, técnicas y estrategias de detección enfocados en el cliente y aplicado a las necesidades particulares de cada sitio.

"Estamos muy contentos de asociarnos con Telefónica para habilitar conjuntamente nuestra Solución de Gestión de Fraudes ROC, líder de la industria. Hoy en día, en el proceso de transformación digital, las organizaciones se enfrentan a amenazas emergentes y nuevos fraudes, razón por la cual los clientes están demandando soluciones proactivas de gestión de fraude en tiempo real. Nuestra colaboración es un paso importante para hacer que nuestros clientes tengan más éxito en los próximos años con una solucióncloud, mientras que se preparan para el viaje digital que tienen por delante ", dijo Surjeet Singh, CEO y MD, Subex Limited.

"Encantados con esta colaboración con Subex, un líder global en la gestión del fraude en el mundo digital. En comparación con las soluciones tradicionales, la habilitación de FMaaS garantizará tiempos de implementación mucho más rápidos, proporcionando mucha más flexibilidad, facilidad de acceso y agilidad, a nuestras operaciones comerciales. Subex 'junto con la experiencia de ElevenPaths en el desarrollo, despliegue y operación de productos y servicios antifraude en todo el mundo, nos permitirá proporcionar una solución de Gestión de Riesgos de fraude, adaptativa y convergente, que minimice el Riesgo de Fraude y Resiliencia del Negocio. Esto, a su vez, ayudará a nuestros clientes a lidiar con los riesgos de fraude de manera más rápida y efectiva ", dijo Pedro Pablo Pérez García, CEO de ElevenPaths.

»Descargar la nota informativa "Telefónica y Subex firman un acuerdo marco global para proporcionar una solución disruptiva anti- fraude".

↧

Blockchain VI. Blockchain hasta en la sopa, una paradoja

July 24, 2017, 8:43 am

≫ Next: Entorno nube seguro con un Telco Cloud Provider

≪ Previous: Telefónica y Subex firman un acuerdo marco global para proporcionar una solución disruptiva anti- fraude

Tras esta serie de entradas, quizás podemos concluir que blockchain es una tecnología revolucionaria. Pero no hemos enumerado simplemente sus virtudes, su esencia criptográfica y su robustez… sino que hemos comprobado cómo ha sido fundamental el conocimiento y el ingenio humano para escoger sabiamente ese aparente santo grial. La imaginación y la resolución humana han sido las que verdaderamente han encontrado los casos de mayor éxito del blockchain, tanto para bien como para mal. En esta entrada repasaremos algunos proyectos montados sobre blockchain que demuestran la versatilidad y capacidad de aplicación de la cadena de bloques.

Ethereum
Sin duda hay que comenzar con el fork más prometedor y posiblemente el más útil de todos los que han surgido. Ethereumpermite realizar contratos inteligentes dotando de características avanzadas cada transacción. Unas acciones supeditadas a otra criptodivisa, que en este caso son los Ethers. La esencia de Ethereum radica en que contiene código ejecutable para cumplir las condiciones del contrato, desarrollando aplicaciones descentralizadas e inmutables. Este código permite que Ethereum sea más que una criptomoneda, sino que lo convierte en un protocolo para muchísimos tipos de usos que deban ser versátiles, realizar una ejecución y a la par obtenga el soporte, seguridad y robustez que provee el núcleo de blockchain. Es decir, Ethereum puede definir las reglas que rigen una transacción, por tanto, es un sistema financiero por sí solo, sin intermediarios.¿Aún no se entiende? Veamos un ejemplo: Podríamos realizar una porra deportiva sobre un evento deportivo donde cada uno de los ejecutantes del contrato realizaría una apuesta. Tras el evento, el ganador recibirá la recaudación, como ha estipulado el contrato hecho en Ethereum.

El Ether ha tenido por fin su merecida expansión económica a lo largo del 2017, y eso que su razón de ser es alimentar y permitir los contratos que se generan. Cabe por tanto preguntar si los Ethers están fuera del interés de los especuladores. Lamentablemente no, y basta ver el flujo de revalorización de esta moneda para comprobar que no escapa del vicio especulativo de las criptomonedas. Pero a día de hoy Ethereum tiene dos problemas mucho más destacables y recurrentes. El primero es la baja tolerancia de su red a las Initial Coin Offering (ICO), que básicamente es apartar (comprar) una buena reserva de Ethers para iniciar una actividad o servicio en paralelo montado sobre Ethereum, utilizando para ello una ronda de inversión. A día de hoy algunas de las ICOs han generado auto DDoS temporales a nivel global en la red de nodos de Ethereum, con el perjuicio que esto supone.

El segundo problema está ligado a una de estas ICO para la criptomoneda DAO en mayo de 2016. Un error de código de dicha criptomoneda permitía robar y desviar dinero según ciertas condiciones de los contratos, un completo fiasco. Lo grave fue que Ethereum trató de recuperar y reinsertar dichas monedas en su flujo principal anulando todas las transacciones relacionadas con DAO, algo que chocaba taxativamente con las directrices del blockchain. Esto (para que lo entendamos) está al mismo nivel que borrar las leyes de la robótica del Roomba y pedirle que atropelle al vecino. El incidente provocó la separación de Ethereum en dos forks, uno donde se corrigió el error de DAO y otro, el Ethereum Classic donde permanece inmutable y se aprendió a convivir con DAO en su historial.

Qué anecdótico sería por tanto, que se juntasen estos dos problemas a la vez, es decir, aprovecharse de un ICO para "hackear" la creación de una nueva moneda. Dicho y hecho, 18 de julio de 2017, CoinHash es atacada durante una ampliación de capital mediante un ICO. Si bien es cierto que el ataque nada tuvo que ver con Ethereum directamente, sino de la plataforma web de CoinHash. No se quedan ahí las anomalías, Ethereum classic también ha sufrido recientemente cuando este mismo mes de julio de 2017 fue también atacado haciéndose con el control de su hosting web, lo que aprovecharon pararedirigir transacciones a cuentas maliciosas.

Internet de las cosas
Este es sin duda uno de los ejemplos más claros donde una tecnología de seguridad distribuida casa a la perfección con un entorno de trabajo tan distribuido como el IoT. Ya suena entre los tertulianos un "Chain of IoT" mientras remueven su copa de coñac. Y no hay pocos casos de ejemplos de blockchains creados para estos entornos como los que definen una red inalámbrica segura como Filament. O para introducir mecanismos de autenticación continua de los dispositivos a través de blockchain como quiere hacer el operador de comunicaciones Telstra.

Pero no se queda ahí la cosa, el IoT es el mercado tecnológico más en auge y que más sensibilidad despierta recientemente respecto a su seguridad. No podemos olvidar el impacto de la red Mirai. Por tanto toda iniciativa en que mejore la seguridad global de las redes IoT tendrá un prometedor futuro y una acogida favorable por el mercado.

También en este sentido, se trata de aprovechar el potencial M2M de los dispositivos que establecen comunicación entre pares para comunicarla a través de una red blockchain. Un caso de los más claros sería la compartición de información de manera segura entre vehículos (C2C), mejorando las notificaciones de sucesos de interés y siempre circunscrito a los elementos de seguridad de la cadena de bloques. También han surgido intereses mucho más comerciales como la venta privada de la telemetría de los dispositivos IoT o similares, como podrían ser los mencionados vehículos, como propone Tilepay.

Identidad y validación de datos
La gestión de la identidad es un discurso ampliamente alimentado por los constantes debates sobre privacidad y el control de los datos personales. Más cuando la cantidad de datos que las empresas conocen sobre nosotros es tan preocupantemente elevada. Actualmente existen muchísimas soluciones sobre blockchain destinadas al empoderamiento de los usuarios sobre sus datos privados y personales, como son Civic, Onename y muchos más. Así como también para gestionar los derechos de propiedad. De esta manera podemos tener un registro público donde son las confirmaciones de los usuarios quien garantiza la identidad del individuo y sus bienes en propiedad, siempre respaldados por otros tipos de factores vinculados al individuo como podrían ser los biométricos. Esto ha sido extendido a distintos servicios de validación de todo tipo de datos, expandiéndose a ámbitos notariales, administrativos, médicos, judiciales, etc. Así hace Factom, Tieriom y tantísimos más.

Seguimiento y tracking
El seguimiento y tracking puede a priori no demostrar un encaje con blockchain, pero pueden existir entre los agentes implicados en la distribución, distintos intereses para alterar y manipular la procedencia o la calidad de algún determinado producto, por tanto podemos entender la importancia de un mecanismo inmutable y verificable. Esto mismo pensó EverLedger para permitir el marcaje y trazabilidad de un bien tan codiciado como los diamantes, permitiendo reducir el fraude gracias a una inmutable asociación entre las joyas y su procedencia. Pero esto no se queda aquí, podríamos aplicarlo a frutas, verduras o jamones... Este es un paso interesante para favorecer la tan socorrida transparencia de la cadena de suministro.

En concreto sobre alimentación, existen cientos de ejemplos en uso como Provenance y proyectos en vigor con cierta madurez como la propia Walmart que realiza una exhaustiva traza de los productos que ofrece en sus supermercados. La logística y la industria del transporte mira con buenos ojos este tipo de herramientas, teniendo en cuenta que es un sector muy controlado y al que se le impone un elevado grado de exigencia. Por tanto sus principios casan a la perfección con los que acompañan a blockchain como habilitador.

Voto Electrónico
Supongamos que queremos permitir a la población que efectúen votos electrónicos sobre determinadas decisiones de gobierno que influirán al conjunto de los habitantes. Para ello es necesario que el sistema sea capaz de identificar, autenticar, proteger el voto, anonimizar el envío y por último realizar el escrutinio de forma confiable, pero a la vez verificable. En cualquier caso, debe ser constatable que un individuo ha realizado un voto, independiente de lo que haya votado. Desde el punto de vista de la seguridad, el blockchain para el voto electrónico es bastante interesante al utilizar mecanismos de cifrado homomórfico, que permite realizar el cifrado de datos de manera incremental (a medida que llegan nuevos votos) y que únicamente a la conclusión y con toda la colección de datos se puede descifrar la información. Ningún intermediario puede interceptar y descubrir información relativa a las votaciones gracias a este mecanismo criptográfico.

Telefónica y ElevenPaths trabajamos junto a varios socios en varios proyectos destinados a explorar las necesidades de seguridad emergentes en el voto electrónico. Uno de los proyectos más avanzados se ejecuta junto a Stampery, pero no debemos descuidar la gran cantidad de empresas que se dedican de igual forma a la aplicación de blockchain para estos usos como puede ser también Follow my vote.

Un gran cajón de sastre
No nos metamos aún en la cabina de suicidio ya que todavía no hemos arañado siquiera la superficie. Existen otros usos del blockchain algo más "curiosos". Se podría, por ejemplo, participar en un ecosistema que facilite el contacto y la comunicación entre pacientes y dentistas. Se plantea en Dentalcoin.

Como es lógico no podemos abordar todo el abanico de usos del blockchain, apenas hemos hablado de las Altcoins, o monedas que llegaron tras el bitcoin, como LiteCoin o ZCash. O las Sidechains que básicamente son otras redes blockchain que se alimentan en su comienzo de una reserva de bitcoins para proveer de servicios, de igual forma que lo haría un ICO en Ethereum. No hemos hablado de su uso en la industria aeronáutica para controlar la cantidad de dispositivos, sensores y elementos de los aviones. También en la protección de la integridad de los datos donde en ningún caso se puede acceder a ficheros ni a su localización salvo a través del blockchain. O unos movimientos muy interesantes que se están efectuando para migrar parte de las capacidades de blockchain a módulos criptográficos hardware, con múltiples aplicaciones en asuntos de certificación hardware y mejora de la cadena de confianza en la ejecución de software firmado. También en la definición de redes sociales/foros de opinión donde no exista la figura del administrador, etc.

Conclusión
Blockchain lo inunda todo, está presente en todos los ámbitos. Tan extendido está, que si una empresa no tiene un frente activo con Blockchain no parece que esté en el cutting edge cool master race de las empresas tecnológicas. Hemos repasado usos realistas y útiles donde Blockchain es el elemento principal. El problema suele ser (en casi todo) que cuando surge una corriente del "todo vale" algo abusiva, muchas aplicaciones del Blockchain parecen poco justificadas y en muchos casos fuera de lugar. Como dijimos al principio el ingenio humano ha permitido alzar la tecnología de Blockchain a su ámbito natural, y esperamos que la lógica se encargue de impedir que su expansión roce en algunos casos el ridículo. Solo queda decir que Blockchain tiene inimaginables posibilidades, y aunque algunas de ellas puedan parecer estúpidas, no nos engañemos, seguramente lo sean.

Marcos Arjona

Innovación y laboratorio
marcos.arjona@11paths.com

↧