SlideShare una empresa de Scribd logo

Se siente usted seguro con sus dispositivos móviles

Secpro - Security Professionals
Secpro - Security Professionals

Conferencia de Seguridad en Moviles

Tecnología
1 de 66
Descargar para leer sin conexión
¿Se siente usted seguro con sus Dispositivos Móviles? David Pereira
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC. 18+ Años de experiencia en Seguridad Informática y DFIR Hacker Ético – Pentester en diversas Entidades en el mundo, de ámbitos como el Financiero, Energético, Militar, Inteligencia, Diplomático, Minero, entre otros. Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países. CEO de SecPro David F. Pereira Q.
Vulnerabilidades en Dispositivos Móviles Marco de Referencia Los SmartPhone son más jóvenes que los PC, y nunca se desconectan de la internet!!! Cada día se descubren nuevas vulnerabilidades que afectan a dispositivos móviles Los usuarios casi siempre confían en las aplicaciones descargadas y/o en los sitios web que navegan
Eso los convierte en………. EL OBJETIVO PERFECTO DE UN CIBERDELINCUENTE!!!!!! Vulnerabilidades en Dispositivos Móviles
¿Cuales son los Riesgos que afronto en mi dispositivo? Son muchos, y dependen en gran medida de como nos comportemos nosotros en el uso de nuestro equipo móvil. Vulnerabilidades en Dispositivos Móviles
Podemos clasificar las formas como los riesgos pueden afectar a nuestros dispositivos, en 3 Vectores Principales: • File System (Archivos) • Capa de Transporte (Conexiones) • Capa de Aplicación (Apps) Vulnerabilidades en Dispositivos Móviles
File System • Debemos saber qué y en donde están escribiendo las APPs en el sistema de archivos de mi dispositivo; • Como se Almacenan los datos (Texto Plano o Encriptados) Vulnerabilidades en Dispositivos Móviles
Capa de Transporte • Cómo se comunican las APPs a través de la Red? • Que Puertos y Protocolos son utilizados? Vulnerabilidades en Dispositivos Móviles
Capa de Aplicación Como se comunican las APPs a través de: • http • https • Web Services • Vpn, etc. Vulnerabilidades en Dispositivos Móviles
(Open Web Application Security Project) Crearon el OWASP Mobile Security Project (https://www.owasp.org/index.php/OWASP_ Mobile_Security_Project) Es un proyecto que tiene como objetivo darle a los Desarrolladores y Equipos de Seguridad los recursos necesarios para mantener las Aplicaciones Móviles Seguras. OWASP Mobile Security Project
Tópicos de Owasp Mobile Clasificación de Riesgos Controles de Desarrollo Capa de Aplicación Infraestructura de Servidores
OWASP TOP 10 DE RIESGOS MÓVILES V1.0
Owasp Top 10 de Riesgos en Dispositivos Móviles
10: Falta de protecciones en binarios El código binario de una aplicación puede ser analizado mediante técnicas de ingeniería inversa, bien sea para copiar el código y usarlo en una aplicación diferente, o para modificarlo y activar funcionalidades ocultas al usuario. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad media Debilidades de seguridad Prevalencia común Fácil detectabilidad Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios Owasp Top 10 de Riesgos en Dispositivos Móviles
En que Consiste? 1. Software en ambiente no confiable es expuesto a ser analizado con métodos de ingeniería inversa, modificado y aprovechado por atacantes. 2. Los atacantes pueden acceder directamente al código en binario de la aplicación y comprometer su integridad con varias herramientas y técnicas. 3. Los atacantes pueden generar pérdida de marca, de ganancias o de propiedad intelectual a través de ingeniería reversa. 10: Falta de protecciones en binarios
Posibles Resultados: 1. Compromete (deshabilita, evade) controles de seguridad como autenticación, encripción, manejo y revisión de licencias, DRM. 2. Exposición de información sensible de la aplicación, como llaves, certificados, credenciales, metadata. 3. Alteración de información crítica de negocio, control de flujo y operaciones de programa. 10: Falta de protecciones en binarios Owasp Top 10 de Riesgos en Dispositivos Móviles
Owasp Top 10 de Riesgos en Dispositivos Móviles https://www.arxan.com/arxan-discovers-top-100-android-apps-hacked-in-2013-/
Owasp Top 10 de Riesgos en Dispositivos Móviles https://www.arxan.com/assets/1/7/State_of_Security_in_the_App_Economy_Infographic_Vol.2.pdf
¿Qué persiguen los ciberdelincuentes? • Evitar los controles de seguridad. • Inyectar código malware, espía o publicitario. • Re-empaquetado (robo de propiedad intelectual). • Robar información de los usuarios. 10: Falta de protecciones en binarios Owasp Top 10 de Riesgos en Dispositivos Móviles
9: Manejo Inadecuado de Sesión Ocurre cuando el token de sesión es compartido con el atacante de manera no intencional. Owasp Top 10 de Riesgos en Dispositivos Móviles Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
9: Manejo Inadecuado de Sesión Factores Agravantes: Las sesiones de las aplicaciones móviles son generalmente, mucho más largas en el tiempo. ¿Por qué? Por conveniencia y usabilidad. Las Apps mantienen sesiones por medio de: • Cookies HTTP. • Tokens Oauth. • Servicios de autenticación SSO (Single Sign On). Mala Idea: “Usar identificadores del dispositivo como identificador de sesión”. Owasp Top 10 de Riesgos en Dispositivos Móviles
9: Manejo Inadecuado de Sesión Que puede lograr el Ciberdelincuente: • Escalamiento de privilegios. • Acceso no autorizado. • Evadir pagos y licenciamiento. Owasp Top 10 de Riesgos en Dispositivos Móviles
9: Manejo Inadecuado de Sesión Recomendaciones para Desarrolladores: • No tema hacer que el usuario se re-autentique cada vez que sea necesario. • Asegure que los tokens puedan ser removidos rápidamente en el suceso de una pérdida o de robo del dispositivo. • Utilice técnicas de generación de tokens de alta entropía. Owasp Top 10 de Riesgos en Dispositivos Móviles
Conceptos básicos del manejo de sesión La web no tiene un manejo de sesión standard. El ID único es asignado e intercambiado entre el servidor y el buscador en cada comando GET/POST Owasp Top 10 de Riesgos en Dispositivos Móviles Una vez se ha autenticado la sesión, la llave de sesión es tan poderosa como un nombre de usuario válido y su respectivo password. Por eso debe ser rigurosamente protegida. Debe ser: • Confidencial • Aleatoria • Impredecible • Infalsificable
9: Manejo Inadecuado de Sesión Owasp Top 10 de Riesgos en Dispositivos Móviles Session Fixation
9: Manejo Inadecuado de Sesión Owasp Top 10 de Riesgos en Dispositivos Móviles Session Hijacking
9: Manejo Inadecuado de Sesión Owasp Top 10 de Riesgos en Dispositivos Móviles Session Hijacking
8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles Muchas veces los desarrolladores no validan o sanitizan el input por parte del usuario. El input del usuario se toma como base para ejecución de procesos en aplicaciones; ej. Consultar una base de datos. Múltiples vectores de ataque: • Aplicaciones maliciosas. • Inyección del lado del cliente.
8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles
8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones al Desarrollador: Revise los permisos del solicitante del servicio. Pida al usuario información adicional antes de permitirle usar el servicio. En caso de que la revisión de permisos no pueda hacerse, asegure los pasos adicionales necesarios para ejecutar acciones sensibles.
7: Inyección del lado del Cliente Owasp Top 10 de Riesgos en Dispositivos Móviles Se logra por la ejecución de código malicioso a través de la aplicación en el dispositivo móvil. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto moderado Impactos en negocios Específico para aplicación y negocios
7: Inyección del lado del Cliente Owasp Top 10 de Riesgos en Dispositivos Móviles Las peticiones son enviadas por el atacante hacia el servidor con el que interactúa la aplicación web. Estas peticiones simulan la interacción con un usuario real, pero están modificadas para explotar vulnerabilidades del lado del servidor.
7: Inyección del lado del Cliente Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones al Desarrollador: • Sanitice o evada datos no confiables, antes de ejecutarlos. • Use sentencias predefinidas para llamados a la base de datos. Concatenar cadenas de caracteres siempre será mala idea. • Minimizar las capacidades nativas sensibles relacionadas con funcionalidades hibridas.
6: Criptografía Rota Owasp Top 10 de Riesgos en Dispositivos Móviles El atacante logra desencriptar código o información sensible debido a la utilización de una encriptación débil o a banderas en el proceso de encripción. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad media Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
6: Criptografía Rota Owasp Top 10 de Riesgos en Dispositivos Móviles Un algoritmo de encripción débil puede ser la puerta de entrada a un ciberdelincuente para: • Acceder a información sensible, previamente encriptada. • Hacer sniffing sobre una comunicación “segura”. • Acceder a contraseñas. • etc.
5: Autorización o autenticación pobres Owasp Top 10 de Riesgos en Dispositivos Móviles Un esquema de autenticación pobre o nulo permite que un atacante pueda acceder fácilmente al dispositivo para robar información e incluso ejecutar código malicioso. Del lado del servidor, permitiría tener acceso a recursos e información no autorizadas. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
5: Autorización o autenticación pobres Owasp Top 10 de Riesgos en Dispositivos Móviles • Algunas aplicaciones dependen solamente de valores inmutables y potencialmente comprometibles; (IMEI, IMSI, UUID) • Lo identificadores de hardware persisten después de limpieza de datos y reset de fábrica. • Adicionar información contextual es útil, más no es a prueba de errores. • Esta vulnerabilidad puede conllevar a Escalamiento de privilegios y Acceso no autorizado.
5: Autorización o autenticación pobres Owasp Top 10 de Riesgos en Dispositivos Móviles ¿Qué tan malo es? • La revelación de autenticación es común. • Ataques de tipo MitM hacen viable la captura de parámetros de autenticación, captura de sesión. • Los sistemas móviles no ofrecen mejoras inherentes sobre aplicaciones web.
4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Se da cuando un desarrollador, inadvertidamente, coloca información sensible en una ubicación a la que tienen acceso libre otras aplicaciones. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Dentro de los datos sensibles no apropiadamente asegurados por los desarrolladores están: •Bases de datos no encriptadas. •Guardar información sensible en archivos de “preferencias de usuarios”. •Encriptar datos pero guardar la llave de encripción en archivos texto. •Uso no apropiado del almacenamiento del sistema. •Registrar información sensible en los archivos de log del dispositivo.
4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Entre los datos sensibles guardados en el sistema operativo del dispositivo se encuentran: • Background screenshots (iOS). • Información de caché, incluyendo la de los buscadores y autocorrección. • El portapapeles (cut/paste) del dispositivo.
4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Desafortunadamente, los desarrolladores muy pocas veces son conscientes de que el sistema operativo del dispositivo almacena toda esta información.
3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles Un sniffer en la red inalámbrica o un malware dentro del dispositivo móvil pueden rastrear los datos intercambiados entre una aplicación y el servidor, si no está correctamente implementada la seguridad en la transmisión. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad difícil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto moderado Impactos en negocios Específico para aplicación y negocios
3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles
3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles Factores: • Completa falta de encripción para los datos transmitidos. • Datos transmitidos con un nivel de encripción muy débil. • Encripción fuerte, pero ignorando advertencias de seguridad. • Ignorar errores de validación de certificados. • Ataques Viables: Ataques de hombre en el medio. Falsificación de datos en tránsito. Pérdida de confidencialidad de datos
3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones al Desarrollador y al Usuario: Asegurarse de que todos los datos sensibles sean encriptados previamente a su transmisión. Esto incluye datos sobre redes corporativas, WiFi, e incluso NFC. Cuando una advertencia de seguridad es mostrada, es por alguna razón… NO LA IGNORES.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Se da cuando los equipos de desarrollo asumen erróneamente que los usuarios o potencial malware no tendrá acceso al filesystem del dispositivo. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Datos sensibles quedan desprotegidos. Aplica tanto para datos almacenados localmente como para los que están sincronizados en nube. Generalmente es el resultado de: • Datos no encriptados. • Almacenamiento en caché de datos que no están concebidos para almacenamiento a largo plazo. • Permisos globales o débiles.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Ubicación de archivos con datos sensibles de aplicaciones Android
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Aplicación Android guarda el ID del dispositivo en texto plano.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ubicación de archivos sensibles en dispositivos iOS: • Cache de aplicación: ~/Library/Application Support/iPhone Simulator/4.2/Applications/<app id> • Cache de snapshots: ~/Library/Application Support/iPhone Simulator/4.2/Applications/<app_id>/Library/Caches/Snapshots/ • Cache de archivos temporales (pdf, xls, doc, jpeg, etc.) ~/Library/Application Support/iPhone Simulator/4.2/Applications/<app id>/Documents/ • Cache del portapapeles ~/Library/Application Support/iPhone Simulator/4.2/Library/Caches/com.apple.UIKit.pboard • Cache de tecleado: ~/Library/Application Support/iPhone Simulator/4.2/Library/Keyboard/dynamic-text.dat
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Tipos de archivos donde puede haber información sensible en dispositivos iOS: • Archivos de bases de datos – SQL Lite, .db • Cookies binarias. • Listas de propiedades (archivos .plist)
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Aplicaciones iOS guardando contraseñas de administración en texto plano.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Aplicaciones iOS guardando contraseñas de directorios activos.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Cookies binarias en iOS
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Cookies binarias en iOS, pueden ser vistas con un editor hexa.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Los archivos de listas de propiedades pueden ser vistos con cualquier editor.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones: • Almacene datos SOLO si es absolutamente necesario. • Nunca utilice áreas de almacenamiento público (por ejemplo, la tarjeta SD) • Hacer uso de contenedores seguros y APIs de encripción. • No conceda permisos de escritura o lectura para otros usuarios.
2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Datos sensibles quedan desprotegidos. Aplica tanto para datos almacenados localmente como para los que están sincronizados en nube. Generalmente es el resultado de: • Datos no encriptados. • Almacenamiento en caché de datos que no están concebidos para almacenamiento a largo plazo. • Permisos globales o débiles.
1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles El servidor utiliza un web service o un llamado a un API, el cual está implementado usando técnicas de codificación no seguras. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles •Aplica para servicios de backend. •No es una vulnerabilidad de dispositivos móviles, por sí misma; pero afecta los servicios de las aplicaciones móviles. •“Aún no podemos confiar en el cliente” •Es necesario revisar los controles existentes (ie- out of band comms) Potencial impacto Ø Perdida de la confidencialidad de los datos. Ø Pérdida de confianza en la integridad de los datos.
1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo de una aplicación para iPhone o Android • La aplicación hace una petición SOAP simple (login). • ¿Es la aplicación siempre el remitente?
1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo de una aplicación para iPhone o Android • El servidor no solo está disponible para la aplicación. • El atacante puede hacer una simple petición SOAP (Login)
Preguntas ? Dudas? Inquietudes?
Vulnerabilidades en Dispositivos Móviles Muchas Gracias!!! DAVID PEREIRA david.pereira@secpro.org Skype: david.pereira.pyp Twitter: d4v1dp3r31ra

Recomendados

Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Secpro - Security Professionals
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atmSecpro - Security Professionals
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentesSecpro - Security Professionals
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSecpro - Security Professionals
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaSecpro - Security Professionals
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxSecpro - Security Professionals
 

Recomendados

Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Secpro - Security Professionals
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atmSecpro - Security Professionals
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentesSecpro - Security Professionals
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSecpro - Security Professionals
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaSecpro - Security Professionals
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxSecpro - Security Professionals
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesSecpro - Security Professionals
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Jose Molina
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Secpro - Security Professionals
 
Ciberguerra
CiberguerraCiberguerra
CiberguerraGuillermo Pineda
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1Luis Fernando Aguas Bucheli
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1Luis Fernando Aguas Bucheli
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1Luis Fernando Aguas Bucheli
 
Etical hacking
Etical hackingEtical hacking
Etical hackingMaurice Frayssinet
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Eduardo Brenes
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoHéctor López
 
Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1lulops
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Las redes y su seguridad
Las redes y su seguridadLas redes y su seguridad
Las redes y su seguridadDignaMariaBD
 
Seguridad digital mex
Seguridad digital mexSeguridad digital mex
Seguridad digital mexSocialTIC
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
Como los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoComo los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoJhon Jairo Hernandez
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...AEC Networks
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 

Más contenido relacionado

La actualidad más candente

Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesSecpro - Security Professionals
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Jose Molina
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Eduardo Brenes
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoHéctor López
 
Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1lulops
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Las redes y su seguridad
Las redes y su seguridadLas redes y su seguridad
Las redes y su seguridadDignaMariaBD
 
Seguridad digital mex
Seguridad digital mexSeguridad digital mex
Seguridad digital mexSocialTIC
 
Como los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoComo los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoJhon Jairo Hernandez
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 

La actualidad más candente (20)

Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
 
Ciberguerra
CiberguerraCiberguerra
Ciberguerra
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 
Etical hacking
Etical hackingEtical hacking
Etical hacking
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
 
Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Las redes y su seguridad
Las redes y su seguridadLas redes y su seguridad
Las redes y su seguridad
 
Seguridad digital mex
Seguridad digital mexSeguridad digital mex
Seguridad digital mex
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Como los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoComo los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivo
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 

Similar a Se siente usted seguro con sus dispositivos móviles

Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...AEC Networks
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 
Evolucion de las amenazas avanzadas Frank Ramirez
Evolucion de las amenazas avanzadas Frank RamirezEvolucion de las amenazas avanzadas Frank Ramirez
Evolucion de las amenazas avanzadas Frank RamirezCristian Garcia G.
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasSEINHE
 
Manejodesofwareenelequipodecomputo 111124172046-phpapp01
Manejodesofwareenelequipodecomputo 111124172046-phpapp01Manejodesofwareenelequipodecomputo 111124172046-phpapp01
Manejodesofwareenelequipodecomputo 111124172046-phpapp01lopez80
 
Tipos de virus marisol gonzalez montes de oca
Tipos de virus marisol gonzalez montes de ocaTipos de virus marisol gonzalez montes de oca
Tipos de virus marisol gonzalez montes de ocaMsolg
 
Virus -Josue Cabascango _20240322_194349_0000.pdf
Virus -Josue Cabascango _20240322_194349_0000.pdfVirus -Josue Cabascango _20240322_194349_0000.pdf
Virus -Josue Cabascango _20240322_194349_0000.pdfMiSpotify
 
Virus y antivirus - trabajo de sistemas
Virus y antivirus - trabajo de sistemasVirus y antivirus - trabajo de sistemas
Virus y antivirus - trabajo de sistemasShizuru Tsukiyomi
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
TRABAJO DE RECUPERACION DE ELIAS TIPAN.pptx
TRABAJO DE RECUPERACION DE ELIAS TIPAN.pptxTRABAJO DE RECUPERACION DE ELIAS TIPAN.pptx
TRABAJO DE RECUPERACION DE ELIAS TIPAN.pptxEliasVinicioTipanZap
 
Seguretat A Internet
Seguretat A InternetSeguretat A Internet
Seguretat A Internetnachete09
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAdriana Gil
 
Informatica
InformaticaInformatica
Informaticainterboy
 
TRABAJO RECUPERACION 3 C INF LOS VIRUS.pptx
TRABAJO RECUPERACION 3 C INF LOS VIRUS.pptxTRABAJO RECUPERACION 3 C INF LOS VIRUS.pptx
TRABAJO RECUPERACION 3 C INF LOS VIRUS.pptxangelitag1999
 

Similar a Se siente usted seguro con sus dispositivos móviles (20)

Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la Ciberextorsión
 
Evolucion de las amenazas avanzadas Frank Ramirez
Evolucion de las amenazas avanzadas Frank RamirezEvolucion de las amenazas avanzadas Frank Ramirez
Evolucion de las amenazas avanzadas Frank Ramirez
 
Seguridad Informática
Seguridad Informática Seguridad Informática
Seguridad Informática
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical Hacking
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicas
 
Manejodesofwareenelequipodecomputo 111124172046-phpapp01
Manejodesofwareenelequipodecomputo 111124172046-phpapp01Manejodesofwareenelequipodecomputo 111124172046-phpapp01
Manejodesofwareenelequipodecomputo 111124172046-phpapp01
 
Tipos de virus marisol gonzalez montes de oca
Tipos de virus marisol gonzalez montes de ocaTipos de virus marisol gonzalez montes de oca
Tipos de virus marisol gonzalez montes de oca
 
Seguridad en la red
Seguridad en la red Seguridad en la red
Seguridad en la red
 
Virus -Josue Cabascango _20240322_194349_0000.pdf
Virus -Josue Cabascango _20240322_194349_0000.pdfVirus -Josue Cabascango _20240322_194349_0000.pdf
Virus -Josue Cabascango _20240322_194349_0000.pdf
 
Virus y antivirus - trabajo de sistemas
Virus y antivirus - trabajo de sistemasVirus y antivirus - trabajo de sistemas
Virus y antivirus - trabajo de sistemas
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
TRABAJO DE RECUPERACION DE ELIAS TIPAN.pptx
TRABAJO DE RECUPERACION DE ELIAS TIPAN.pptxTRABAJO DE RECUPERACION DE ELIAS TIPAN.pptx
TRABAJO DE RECUPERACION DE ELIAS TIPAN.pptx
 
Seguretat A Internet
Seguretat A InternetSeguretat A Internet
Seguretat A Internet
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Exposicion Cienciaquimica
Exposicion CienciaquimicaExposicion Cienciaquimica
Exposicion Cienciaquimica
 
Informatica
InformaticaInformatica
Informatica
 
TRABAJO RECUPERACION 3 C INF LOS VIRUS.pptx
TRABAJO RECUPERACION 3 C INF LOS VIRUS.pptxTRABAJO RECUPERACION 3 C INF LOS VIRUS.pptx
TRABAJO RECUPERACION 3 C INF LOS VIRUS.pptx
 

Más de Secpro - Security Professionals

Más de Secpro - Security Professionals (7)

We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
 
Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
 

Último

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Último (19)

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Se siente usted seguro con sus dispositivos móviles

  • 1. ¿Se siente usted seguro con sus Dispositivos Móviles? David Pereira
  • 3. Vulnerabilidades en Dispositivos Móviles Marco de Referencia Los SmartPhone son más jóvenes que los PC, y nunca se desconectan de la internet!!! Cada día se descubren nuevas vulnerabilidades que afectan a dispositivos móviles Los usuarios casi siempre confían en las aplicaciones descargadas y/o en los sitios web que navegan
  • 9. Capa de Aplicación Como se comunican las APPs a través de: • http • https • Web Services • Vpn, etc. Vulnerabilidades en Dispositivos Móviles
  • 12. OWASP TOP 10 DE RIESGOS MÓVILES V1.0
  • 13. Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 14. 10: Falta de protecciones en binarios El código binario de una aplicación puede ser analizado mediante técnicas de ingeniería inversa, bien sea para copiar el código y usarlo en una aplicación diferente, o para modificarlo y activar funcionalidades ocultas al usuario. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad media Debilidades de seguridad Prevalencia común Fácil detectabilidad Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 15. En que Consiste? 1. Software en ambiente no confiable es expuesto a ser analizado con métodos de ingeniería inversa, modificado y aprovechado por atacantes. 2. Los atacantes pueden acceder directamente al código en binario de la aplicación y comprometer su integridad con varias herramientas y técnicas. 3. Los atacantes pueden generar pérdida de marca, de ganancias o de propiedad intelectual a través de ingeniería reversa. 10: Falta de protecciones en binarios
  • 16. Posibles Resultados: 1. Compromete (deshabilita, evade) controles de seguridad como autenticación, encripción, manejo y revisión de licencias, DRM. 2. Exposición de información sensible de la aplicación, como llaves, certificados, credenciales, metadata. 3. Alteración de información crítica de negocio, control de flujo y operaciones de programa. 10: Falta de protecciones en binarios Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 17. Owasp Top 10 de Riesgos en Dispositivos Móviles https://www.arxan.com/arxan-discovers-top-100-android-apps-hacked-in-2013-/
  • 18. Owasp Top 10 de Riesgos en Dispositivos Móviles https://www.arxan.com/assets/1/7/State_of_Security_in_the_App_Economy_Infographic_Vol.2.pdf
  • 19. ¿Qué persiguen los ciberdelincuentes? • Evitar los controles de seguridad. • Inyectar código malware, espía o publicitario. • Re-empaquetado (robo de propiedad intelectual). • Robar información de los usuarios. 10: Falta de protecciones en binarios Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 20. 9: Manejo Inadecuado de Sesión Ocurre cuando el token de sesión es compartido con el atacante de manera no intencional. Owasp Top 10 de Riesgos en Dispositivos Móviles Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 21. 9: Manejo Inadecuado de Sesión Factores Agravantes: Las sesiones de las aplicaciones móviles son generalmente, mucho más largas en el tiempo. ¿Por qué? Por conveniencia y usabilidad. Las Apps mantienen sesiones por medio de: • Cookies HTTP. • Tokens Oauth. • Servicios de autenticación SSO (Single Sign On). Mala Idea: “Usar identificadores del dispositivo como identificador de sesión”. Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 22. 9: Manejo Inadecuado de Sesión Que puede lograr el Ciberdelincuente: • Escalamiento de privilegios. • Acceso no autorizado. • Evadir pagos y licenciamiento. Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 23. 9: Manejo Inadecuado de Sesión Recomendaciones para Desarrolladores: • No tema hacer que el usuario se re-autentique cada vez que sea necesario. • Asegure que los tokens puedan ser removidos rápidamente en el suceso de una pérdida o de robo del dispositivo. • Utilice técnicas de generación de tokens de alta entropía. Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 24. Conceptos básicos del manejo de sesión La web no tiene un manejo de sesión standard. El ID único es asignado e intercambiado entre el servidor y el buscador en cada comando GET/POST Owasp Top 10 de Riesgos en Dispositivos Móviles Una vez se ha autenticado la sesión, la llave de sesión es tan poderosa como un nombre de usuario válido y su respectivo password. Por eso debe ser rigurosamente protegida. Debe ser: • Confidencial • Aleatoria • Impredecible • Infalsificable
  • 25. 9: Manejo Inadecuado de Sesión Owasp Top 10 de Riesgos en Dispositivos Móviles Session Fixation
  • 26. 9: Manejo Inadecuado de Sesión Owasp Top 10 de Riesgos en Dispositivos Móviles Session Hijacking
  • 27. 9: Manejo Inadecuado de Sesión Owasp Top 10 de Riesgos en Dispositivos Móviles Session Hijacking
  • 28. 8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 29. 8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles Muchas veces los desarrolladores no validan o sanitizan el input por parte del usuario. El input del usuario se toma como base para ejecución de procesos en aplicaciones; ej. Consultar una base de datos. Múltiples vectores de ataque: • Aplicaciones maliciosas. • Inyección del lado del cliente.
  • 30. 8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 31. 8: Tomar decisiones de seguridad partiendo de entradas no confiables Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones al Desarrollador: Revise los permisos del solicitante del servicio. Pida al usuario información adicional antes de permitirle usar el servicio. En caso de que la revisión de permisos no pueda hacerse, asegure los pasos adicionales necesarios para ejecutar acciones sensibles.
  • 32. 7: Inyección del lado del Cliente Owasp Top 10 de Riesgos en Dispositivos Móviles Se logra por la ejecución de código malicioso a través de la aplicación en el dispositivo móvil. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto moderado Impactos en negocios Específico para aplicación y negocios
  • 33. 7: Inyección del lado del Cliente Owasp Top 10 de Riesgos en Dispositivos Móviles Las peticiones son enviadas por el atacante hacia el servidor con el que interactúa la aplicación web. Estas peticiones simulan la interacción con un usuario real, pero están modificadas para explotar vulnerabilidades del lado del servidor.
  • 34. 7: Inyección del lado del Cliente Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones al Desarrollador: • Sanitice o evada datos no confiables, antes de ejecutarlos. • Use sentencias predefinidas para llamados a la base de datos. Concatenar cadenas de caracteres siempre será mala idea. • Minimizar las capacidades nativas sensibles relacionadas con funcionalidades hibridas.
  • 35. 6: Criptografía Rota Owasp Top 10 de Riesgos en Dispositivos Móviles El atacante logra desencriptar código o información sensible debido a la utilización de una encriptación débil o a banderas en el proceso de encripción. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad media Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 36. 6: Criptografía Rota Owasp Top 10 de Riesgos en Dispositivos Móviles Un algoritmo de encripción débil puede ser la puerta de entrada a un ciberdelincuente para: • Acceder a información sensible, previamente encriptada. • Hacer sniffing sobre una comunicación “segura”. • Acceder a contraseñas. • etc.
  • 37. 5: Autorización o autenticación pobres Owasp Top 10 de Riesgos en Dispositivos Móviles Un esquema de autenticación pobre o nulo permite que un atacante pueda acceder fácilmente al dispositivo para robar información e incluso ejecutar código malicioso. Del lado del servidor, permitiría tener acceso a recursos e información no autorizadas. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 38. 5: Autorización o autenticación pobres Owasp Top 10 de Riesgos en Dispositivos Móviles • Algunas aplicaciones dependen solamente de valores inmutables y potencialmente comprometibles; (IMEI, IMSI, UUID) • Lo identificadores de hardware persisten después de limpieza de datos y reset de fábrica. • Adicionar información contextual es útil, más no es a prueba de errores. • Esta vulnerabilidad puede conllevar a Escalamiento de privilegios y Acceso no autorizado.
  • 39. 5: Autorización o autenticación pobres Owasp Top 10 de Riesgos en Dispositivos Móviles ¿Qué tan malo es? • La revelación de autenticación es común. • Ataques de tipo MitM hacen viable la captura de parámetros de autenticación, captura de sesión. • Los sistemas móviles no ofrecen mejoras inherentes sobre aplicaciones web.
  • 40. 4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Se da cuando un desarrollador, inadvertidamente, coloca información sensible en una ubicación a la que tienen acceso libre otras aplicaciones. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 41. 4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Dentro de los datos sensibles no apropiadamente asegurados por los desarrolladores están: •Bases de datos no encriptadas. •Guardar información sensible en archivos de “preferencias de usuarios”. •Encriptar datos pero guardar la llave de encripción en archivos texto. •Uso no apropiado del almacenamiento del sistema. •Registrar información sensible en los archivos de log del dispositivo.
  • 42. 4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Entre los datos sensibles guardados en el sistema operativo del dispositivo se encuentran: • Background screenshots (iOS). • Información de caché, incluyendo la de los buscadores y autocorrección. • El portapapeles (cut/paste) del dispositivo.
  • 43. 4: Fuga de datos no intencionada Owasp Top 10 de Riesgos en Dispositivos Móviles Desafortunadamente, los desarrolladores muy pocas veces son conscientes de que el sistema operativo del dispositivo almacena toda esta información.
  • 44. 3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles Un sniffer en la red inalámbrica o un malware dentro del dispositivo móvil pueden rastrear los datos intercambiados entre una aplicación y el servidor, si no está correctamente implementada la seguridad en la transmisión. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad difícil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto moderado Impactos en negocios Específico para aplicación y negocios
  • 45. 3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles
  • 46. 3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles Factores: • Completa falta de encripción para los datos transmitidos. • Datos transmitidos con un nivel de encripción muy débil. • Encripción fuerte, pero ignorando advertencias de seguridad. • Ignorar errores de validación de certificados. • Ataques Viables: Ataques de hombre en el medio. Falsificación de datos en tránsito. Pérdida de confidencialidad de datos
  • 47. 3: Protección insuficiente en la capa de transporte Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones al Desarrollador y al Usuario: Asegurarse de que todos los datos sensibles sean encriptados previamente a su transmisión. Esto incluye datos sobre redes corporativas, WiFi, e incluso NFC. Cuando una advertencia de seguridad es mostrada, es por alguna razón… NO LA IGNORES.
  • 48. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Se da cuando los equipos de desarrollo asumen erróneamente que los usuarios o potencial malware no tendrá acceso al filesystem del dispositivo. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 49. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Datos sensibles quedan desprotegidos. Aplica tanto para datos almacenados localmente como para los que están sincronizados en nube. Generalmente es el resultado de: • Datos no encriptados. • Almacenamiento en caché de datos que no están concebidos para almacenamiento a largo plazo. • Permisos globales o débiles.
  • 50. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Ubicación de archivos con datos sensibles de aplicaciones Android
  • 51. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Aplicación Android guarda el ID del dispositivo en texto plano.
  • 52. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ubicación de archivos sensibles en dispositivos iOS: • Cache de aplicación: ~/Library/Application Support/iPhone Simulator/4.2/Applications/<app id> • Cache de snapshots: ~/Library/Application Support/iPhone Simulator/4.2/Applications/<app_id>/Library/Caches/Snapshots/ • Cache de archivos temporales (pdf, xls, doc, jpeg, etc.) ~/Library/Application Support/iPhone Simulator/4.2/Applications/<app id>/Documents/ • Cache del portapapeles ~/Library/Application Support/iPhone Simulator/4.2/Library/Caches/com.apple.UIKit.pboard • Cache de tecleado: ~/Library/Application Support/iPhone Simulator/4.2/Library/Keyboard/dynamic-text.dat
  • 53. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Tipos de archivos donde puede haber información sensible en dispositivos iOS: • Archivos de bases de datos – SQL Lite, .db • Cookies binarias. • Listas de propiedades (archivos .plist)
  • 54. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Aplicaciones iOS guardando contraseñas de administración en texto plano.
  • 55. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Aplicaciones iOS guardando contraseñas de directorios activos.
  • 56. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Cookies binarias en iOS
  • 57. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Cookies binarias en iOS, pueden ser vistas con un editor hexa.
  • 58. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo: Los archivos de listas de propiedades pueden ser vistos con cualquier editor.
  • 59. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Recomendaciones: • Almacene datos SOLO si es absolutamente necesario. • Nunca utilice áreas de almacenamiento público (por ejemplo, la tarjeta SD) • Hacer uso de contenedores seguros y APIs de encripción. • No conceda permisos de escritura o lectura para otros usuarios.
  • 60. 2: Almacenamiento inseguro de datos Owasp Top 10 de Riesgos en Dispositivos Móviles Datos sensibles quedan desprotegidos. Aplica tanto para datos almacenados localmente como para los que están sincronizados en nube. Generalmente es el resultado de: • Datos no encriptados. • Almacenamiento en caché de datos que no están concebidos para almacenamiento a largo plazo. • Permisos globales o débiles.
  • 61. 1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles El servidor utiliza un web service o un llamado a un API, el cual está implementado usando técnicas de codificación no seguras. Agente de ataque Específico de aplicación Vector de ataque Explotabilidad fácil Debilidades de seguridad Prevalencia común Detectabilidad fácil Impactos técnicos Impacto severo Impactos en negocios Específico para aplicación y negocios
  • 62. 1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles •Aplica para servicios de backend. •No es una vulnerabilidad de dispositivos móviles, por sí misma; pero afecta los servicios de las aplicaciones móviles. •“Aún no podemos confiar en el cliente” •Es necesario revisar los controles existentes (ie- out of band comms) Potencial impacto Ø Perdida de la confidencialidad de los datos. Ø Pérdida de confianza en la integridad de los datos.
  • 63. 1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo de una aplicación para iPhone o Android • La aplicación hace una petición SOAP simple (login). • ¿Es la aplicación siempre el remitente?
  • 64. 1: Controles débiles del lado del servidor Owasp Top 10 de Riesgos en Dispositivos Móviles Ejemplo de una aplicación para iPhone o Android • El servidor no solo está disponible para la aplicación. • El atacante puede hacer una simple petición SOAP (Login)
  • 66. Vulnerabilidades en Dispositivos Móviles Muchas Gracias!!! DAVID PEREIRA david.pereira@secpro.org Skype: david.pereira.pyp Twitter: d4v1dp3r31ra