SlideShare una empresa de Scribd logo

Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques

Francisco Javier Barrena
Francisco Javier Barrena

La cosa se está poniendo interesante. El avance hacia una sociedad conectada de los últimos años, la cantidad de dispositivos IoT que se venden, y especialmente a la velocidad a la que lo hacen, están aumentando exponencialmente la superficie de ataque para los ciberdelincuentes. Y aunque pueda parecer que los objetivos principales de los malos son las empresas (que es cierto), también es cierto que las personas "normales" también somos un objetivo para ellos. En esta charla veremos hasta dónde llega la imaginación y la pericia de los malos, veremos cómo lo han conseguido y debatiremos sobre el delicado equilibrio entre la digitalización de la vida y nuestra privacidad. Y es que el ciberespacio se parece cada vez más a Gotham, pero con el jefe Wiggum en lugar de Batman...

Tecnología
1 de 50
Descargar para leer sin conexión
@DogDeveloper #T3chDays5 Welcome to gotham Francisco Javier Barrena Castillo @DogDeveloper Nuevas formas ingeniosas y terroríficas de ciberataques
@DogDeveloper #T3chDays5 Who’s that guy • Security Advocate & Software Architect en @ITI_TIC • Actualmente en proyectos de investigación de ciberseguridad en entornos cloud y detección basada en Machine Learning • +10 años con proyectos comerciales • Profesor en Máster Big Data Analytics de Universidad Politécnica de Valencia • Profesor en curso de especialista universitario en Esquema Nacional de Seguridad en la Universidad de Mondragón • Formador y ponente • +60 cursos y charlas https://www.linkedin.com/in/fjbarrena https://twitter.com/DogDeveloper https://github.com/fjbarrena https://www.slideshare.net/fjbarrena
@DogDeveloper #T3chDays5 El problema
@DogDeveloper #T3chDays5 El problema
@DogDeveloper #T3chDays5 El problema
@DogDeveloper #T3chDays5 El problema
@DogDeveloper #T3chDays5 El problema
@DogDeveloper #T3chDays5 El problema
@DogDeveloper #T3chDays5 • La mayoría de ataques no son demasiado sofisticados… pero es que se lo ponemos muy fácil • Centraros en resolver lo fácil, lo previsible. Cuando estéis en ese punto, ya os preocuparéis de los más inverosímil • La ciberdefensa no es un sprint, es una maratón. Requiere entrenamiento y tiempo, empieza por correr en carreras más pequeñas y ves subiendo el nivel poco a poco Normalmente os diría…
@DogDeveloper #T3chDays5 Pero hoy…
@DogDeveloper #T3chDays5 The rise of the iot > 10GB de datos robados
@DogDeveloper #T3chDays5 • Por lo general, el IOT es inseguro • No se invierte en securizar tu aplicación que gestiona las nóminas, se va a invertir en securizar un maldito acuario… • ¿Entonces no compro IOT y tengo que darle de comer a los peces a mano como UN ANIMAL? • O eso, o bien montas una WIFI alternativa, que no tenga acceso a elementos sensibles de tu empresa como la base de datos de tus clientes HULIO • No se trata de evitar usar tecnología, se trata de planificar cómo usarla sin aumentar tus riesgos de seguridad The rise of the iot
@DogDeveloper #T3chDays5 •Compra IOTs con buenas prácticas de seguridad • Que tengan contraseña estaría bien… • Que mandaran la información cifrada estaría mejor… • Que pudieran actualizar su firmware / SO estaría aún mejor… • Que la WIFI de los IOTs esté aislada del resto de redes de tu infraestructura • Así evitamos que si nos comprometen el IOT nos puedan entrar en la base de datos de clientes… • Si no puedes, al menos segmenta tu red y coloca firewalls en la entrada de cada subred para cortar tráfico extraño • Monitoriza, monitoriza y monitoriza The rise of the iot
@DogDeveloper #T3chDays5 medidas Victim Organizations Figure 59: Median Loss Based on Presence of Anti-Fraud Controls Control Percent of Cases Control in Place Control Not in Place Percent Reduction Proactive Data Monitoring/Analysis 36.7% $92,000 $200,000 54.0% Management Review 64.7% $100,000 $200,000 50.0% Hotline 60.1% $100,000 $200,000 50.0% Management Certification of Financial Statements 71.9% $104,000 $205,000 49.3% Surprise Audits 37.8% $100,000 $195,000 48.7% Dedicated Fraud Department, Function, or Team 41.2% $100,000 $192,000 47.9% Job Rotation/Mandatory Vacation 19.4% $89,000 $170,000 47.6% External Audit of Internal Controls over Financial Reporting 67.6% $105,000 $200,000 47.5% Fraud Training for Managers/Executives 51.3% $100,000 $190,000 47.4% Fraud Training for Employees 51.6% $100,000 $188,000 46.8% Formal Fraud Risk Assessments 39.3% $100,000 $187,000 46.5% Employee Support Programs 56.1% $100,000 $183,000 45.4% Anti-Fraud Policy 49.6% $100,000 $175,000 42.9% Internal Audit Department 73.7% $123,000 $215,000 42.8% Code of Conduct 81.1% $120,000 $200,000 40.0% Rewards for Whistleblowers 12.1% $100,000 $163,000 38.7% Independent Audit Committee 62.5% $114,000 $180,000 36.7% External Audit of Financial Statements 81.7% $150,000 $175,000 14.3% Figure 60: Median Duration of Fraud Based on Presence of Anti-Fraud Controls La medida más efectiva para reducir los fraudes, pero de las menos usadas. La medida más extendida, pero la menos efectiva
@DogDeveloper #T3chDays5 The rise of the iot Cierre de negocio
@DogDeveloper #T3chDays5 The rise of the iot •¿De verdad estás en un restaurante encendiendo el horno por bluetooth? •Deshabilita las opciones que no utilices •No compres features que no necesitas…
@DogDeveloper #T3chDays5 The rise of the iot https://youtu.be/bJrIh94RSiI
@DogDeveloper #T3chDays5 The rise of the iot
@DogDeveloper #T3chDays5 vishing > 250.000€ defraudados
@DogDeveloper #T3chDays5 •El cibercrimen es muy lucrativo • Algunos dicen que mueve más dinero que el narcotráfico •La escalada armamentística en el lado de los malos está siendo muy significativa • Se contratan ingenieros para desarrollar herramientas que serán utilizadas para estafas y engaños • Uno de los primeros ataques que hacen uso de IA es el vishing (voice phishing) • Utilizando Machine Learning y con un conjunto de datos públicos, son capaces de generar un DEEPFAKE para engañar a través de una llamada telefónica vishing
@DogDeveloper #T3chDays5 • Este caso (2019): • Sucursal de UK de una multinacional alemana • El CEO alemán tiene muchos videos y charlas en Internet • Los malos cogieron esos videos y entrenaron un modelo de Machine Learning que imitaba su voz • Escriben el texto que quieren que diga • Y el software lo habla con las peculiaridades de la víctima • Llamaron al CEO de la sucursal de UK y, usando la voz del CEO alemán, ordenaron un pago de más de 250.000€ a un supuesto proveedor húngaro • Como tuvieron éxito, lo repitieron, con una cifra mucho más astronómica, que levantó sospechas • En cualquier caso, nunca recuperaron los 250.000€ vishing
@DogDeveloper #T3chDays5 •Técnicamente es bastante difícil parar estos ataques •El éxito de estos ataques evidencian una carencia en los procesos en una empresa, y de eso se aprovechan los malos • Por muy CEO que seas, ni siquiera tú deberías estar por encima de los procesos • La mejor defensa en estos casos es tener varios filtros y realizar comprobaciones antes de transferir un pastizal a una cuenta húngara… • Implanta un proceso en tu empresa, añade comprobaciones rigurosas y no permitas que nadie se la salte, ni siquiera tú vishing
@DogDeveloper #T3chDays5 infraestructuras críticas +36 muertes adicionales por cada 10000 ataques al corazón + Daños económicos
@DogDeveloper #T3chDays5 • Muchas infraestructuras críticas, como los hospitales, no mantienen una buena higiene de ciberseguridad • Tampoco los ayuntamientos por ejemplo, aunque no se si tildarlo de infraestructura crítica ;) • Son por tanto objetivos plausibles para ciberdelincuentes sin demasiados escrúpulos… • Juegan no solo con el volúmen y la sensibilidad de los datos • Si no también con la urgencia de reponerse al ciberataque • Ya que estos ataques pueden llegar a paralizar operaciones y ser un riesgo para la salud de los pacientes •Esto es más habitual de lo que nos pensamos infraestructuras críticas
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5 infraestructuras críticas Potencialmente peligroso
@DogDeveloper #T3chDays5 infraestructuras críticas Rescate ($$$) Desestabilización?
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5 • Ni siquiera la protección de infraestructuras críticas parece ser robusta •Y es que la ciberseguridad es difícil • Y no me refiero a que ”escaseen perfiles cualificados” • HAY perfiles cualificaos • Lo que NO ABUNDA son perfiles cualificados a precio de CRIMPACABLES • Me refiero a que la seguridad de una infraestructura o un sistema es un CONTINUO • No se invierte una vez al año para pasar la certificación… • Es un trabajo continuo, constante y minucioso que requiere que DIRECCIÓN lo VALORE ADECUADAMENTE y deje de considerarlo como un GASTO infraestructuras críticas
@DogDeveloper #T3chDays5 • No hay balas de plata • Mantén tu infraestructura actualizada • Reduce la superficie de ataque • Sigue el principio del mínimo privilegio • Evita tener software del año de la POLKA • Añade elementos de protección, “cuantos más mejor” (seguridad por capas) • MONITORIZA, MONITORIZA, MONITORIZA • Y que alguien esté pendiente de lo que monitorizas claro… • Las certificaciones, los sellos y las MAMANDURRIAS están muy bien, pero CÉNTRATE EN TRABAJAR infraestructuras críticas
@DogDeveloper #T3chDays5 infraestructuras críticas
@DogDeveloper #T3chDays5 Developers, developers, developers, developers Robo de datos Seguridad nacional
@DogDeveloper #T3chDays5 • El propio desarrollo de software, y las fases por las que éste pasa, se considera un objetivo • Pensadlo, ¿qué hay en vuestro Git y en vuestro pipeline de CI/CD? • Primero, código. El código hace cosas. Literalmente, puede hacer cualquier cosa que programes en él… • Y ese código tiene dependencias… que también es código, y que también pueden hacer cualquier cosa… • Segundo, histórico. No solo está el código actual, también está cualquier commit que se hizo en cualquier momento de la historia de ese proyecto • Si subiste una contraseña por error, está en el histórico • Tercero, contraseñas, API Keys... Si, y subidas a propósito… Y de muchas clases: base de datos, servicios en la nube, entornos de develop, testing, staging y producción… • A veces, incluso hay volcados de bases de datos de producción, con sus usuarios y sus contraseñas… • ¿Cómo no va a ser un objetivo? Developers, developers, developers, developers
@DogDeveloper #T3chDays5 • Por otra parte, los desarrolladores no siempre somos diligentes en temas de seguridad… • Tenemos muchas features que liberar y poco tiempo para hacerlo • No solemos tener herramientas de análisis de seguridad en nuestros pipelines • A duras penas tenemos de test… • No solemos gestionar las vulnerabilidades de las dependencias de nuestros proyectos software • Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil • No solemos tener herramientas que evalúen la seguridad de nuestro código • No solemos prestar atención a la seguridad cuando construimos imágenes Docker, etc. Developers, developers, developers, developers
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5 • Por otra parte, los desarrolladores no siempre somos diligentes en temas de seguridad… • Tenemos muchas features que liberar y poco tiempo para hacerlo • No solemos tener herramientas de análisis de seguridad en nuestros pipelines • A duras penas tenemos de test… • No solemos gestionar las vulnerabilidades de las dependencias de nuestros proyectos software • Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil • No solemos tener herramientas que evalúen la seguridad de nuestro código • No solemos prestar atención a la seguridad cuando construimos imágenes Docker, etc. Developers, developers, developers, developers
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5 • Os recomiendo empezar por: • SonarQube para análisis de vulnerabilidades en vuestro código • OWASP Dependency Track para la gestión de vulnerabilidades en las dependencias • Puedes integrarlo en tu pipeline de CI/CD con la ALUCINANTE UTILIDAD… Developers, developers, developers, developers https://www.npmjs.com/package/@fjbarrena/dtrack-cli
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5 Developers, developers, developers, developers Robo de Bitcoins
@DogDeveloper #T3chDays5 Developers, developers, developers, developers 2 meses sin detectar El autor original de la librería dejo de mantenerla y transfirió su ownership a otra persona que resulto ser maligna
@DogDeveloper #T3chDays5 En el heap…
@DogDeveloper #T3chDays5 • Cómo continuar: • Configura los equipos de los developers con algún hook de git para evitar el pusheo de credenciales • Monitoriza tu base de código en búsqueda de leaks de datos, contraseñas, etc. • Siempre hay algún listillo que se desinstala el hook • Si lo encuentras, golpe de remo • Activa 2FA en general (Git, NPM…) • ¿Y si firmas los commits a Git? • Lo sé, es un coñazo… • Plantéate usar alguna tecnología como Vault para gestionar las credenciales y secrets de tus proyectos • Es muuuuy interesante • Añade a tus arquitecturas elementos específicos de seguridad como un WAF, RASP o WAAP • Que son como que lo mismo pero con nombres marketinianos diferentes Developers, developers, developers, developers https://www.vaultproject.io/
@DogDeveloper #T3chDays5
@DogDeveloper #T3chDays5 Gracias!
@DogDeveloper #T3chDays5

Recomendados

Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)luis enrique
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoWiktor Nykiel ✔
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 

Recomendados

Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)luis enrique
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoWiktor Nykiel ✔
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Secpro - Security Professionals
 
Fuga de información
Fuga de informaciónFuga de información
Fuga de informaciónjosecuartas
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes segurasDavid Narváez
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
Revista
RevistaRevista
RevistaFelipe Londoño Vega
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxSecpro - Security Professionals
 
OSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesOSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesemilianox
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Jorge Martínez Taboada
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksMauricio Velazco
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-infoCristian Borghello
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentesSecpro - Security Professionals
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
 
La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónQuantiKa14
 
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerIngenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
 
Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMFrancisco Javier Barrena
 
Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Iñaki Huerta (ikhuerta)
 

Más contenido relacionado

La actualidad más candente

OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Fuga de información
Fuga de informaciónFuga de información
Fuga de informaciónjosecuartas
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes segurasDavid Narváez
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
OSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesOSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesemilianox
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Jorge Martínez Taboada
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksMauricio Velazco
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-infoCristian Borghello
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
 
La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónQuantiKa14
 
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerIngenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
 

La actualidad más candente (20)

OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
 
Fuga de información
Fuga de informaciónFuga de información
Fuga de información
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
 
Revista
RevistaRevista
Revista
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
 
OSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesOSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigaciones
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-info
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas
 
La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la información
 
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerIngenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
 

Similar a Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques

Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMFrancisco Javier Barrena
 
Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Iñaki Huerta (ikhuerta)
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Francisco Javier Barrena
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivosEudy Zerpa
 
Webinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudWebinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudFrancisco Javier Barrena
 
Webinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesWebinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesTGS
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Transformación digital y el nuevo paradigma de TI
Transformación digital y el nuevo paradigma de TI Transformación digital y el nuevo paradigma de TI
Transformación digital y el nuevo paradigma de TI Software Guru
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfFabricioGallardo8
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfIngenieria8
 

Similar a Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques (20)

Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVM
 
Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019
 
Blockchain, tenemos una solución busquemos el problema
Blockchain, tenemos una solución busquemos el problemaBlockchain, tenemos una solución busquemos el problema
Blockchain, tenemos una solución busquemos el problema
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retail
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivos
 
Webinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudWebinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del Cloud
 
Webinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesWebinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industriales
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informatica
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Transformación digital y el nuevo paradigma de TI
Transformación digital y el nuevo paradigma de TI Transformación digital y el nuevo paradigma de TI
Transformación digital y el nuevo paradigma de TI
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdf
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libre
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdf
 

Más de Francisco Javier Barrena

¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu softwareFrancisco Javier Barrena
 
Codemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfCodemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfFrancisco Javier Barrena
 
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...Francisco Javier Barrena
 
Codemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el caminoCodemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el caminoFrancisco Javier Barrena
 
Deja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOpsDeja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOpsFrancisco Javier Barrena
 
NestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y PuntoneterosNestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y PuntoneterosFrancisco Javier Barrena
 
Angular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhereAngular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhereFrancisco Javier Barrena
 
Aplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.ioAplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.ioFrancisco Javier Barrena
 

Más de Francisco Javier Barrena (9)

¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
 
Codemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfCodemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdf
 
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
 
Codemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el caminoCodemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el camino
 
Deja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOpsDeja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOps
 
NestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y PuntoneterosNestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y Puntoneteros
 
Angular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhereAngular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhere
 
Kubernetes - The Cloud King
Kubernetes - The Cloud KingKubernetes - The Cloud King
Kubernetes - The Cloud King
 
Aplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.ioAplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.io
 

Último

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 

Último (20)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 

Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques

  • 1. @DogDeveloper #T3chDays5 Welcome to gotham Francisco Javier Barrena Castillo @DogDeveloper Nuevas formas ingeniosas y terroríficas de ciberataques
  • 2. @DogDeveloper #T3chDays5 Who’s that guy • Security Advocate & Software Architect en @ITI_TIC • Actualmente en proyectos de investigación de ciberseguridad en entornos cloud y detección basada en Machine Learning • +10 años con proyectos comerciales • Profesor en Máster Big Data Analytics de Universidad Politécnica de Valencia • Profesor en curso de especialista universitario en Esquema Nacional de Seguridad en la Universidad de Mondragón • Formador y ponente • +60 cursos y charlas https://www.linkedin.com/in/fjbarrena https://twitter.com/DogDeveloper https://github.com/fjbarrena https://www.slideshare.net/fjbarrena
  • 9. @DogDeveloper #T3chDays5 • La mayoría de ataques no son demasiado sofisticados… pero es que se lo ponemos muy fácil • Centraros en resolver lo fácil, lo previsible. Cuando estéis en ese punto, ya os preocuparéis de los más inverosímil • La ciberdefensa no es un sprint, es una maratón. Requiere entrenamiento y tiempo, empieza por correr en carreras más pequeñas y ves subiendo el nivel poco a poco Normalmente os diría…
  • 11. @DogDeveloper #T3chDays5 The rise of the iot > 10GB de datos robados
  • 12. @DogDeveloper #T3chDays5 • Por lo general, el IOT es inseguro • No se invierte en securizar tu aplicación que gestiona las nóminas, se va a invertir en securizar un maldito acuario… • ¿Entonces no compro IOT y tengo que darle de comer a los peces a mano como UN ANIMAL? • O eso, o bien montas una WIFI alternativa, que no tenga acceso a elementos sensibles de tu empresa como la base de datos de tus clientes HULIO • No se trata de evitar usar tecnología, se trata de planificar cómo usarla sin aumentar tus riesgos de seguridad The rise of the iot
  • 13. @DogDeveloper #T3chDays5 •Compra IOTs con buenas prácticas de seguridad • Que tengan contraseña estaría bien… • Que mandaran la información cifrada estaría mejor… • Que pudieran actualizar su firmware / SO estaría aún mejor… • Que la WIFI de los IOTs esté aislada del resto de redes de tu infraestructura • Así evitamos que si nos comprometen el IOT nos puedan entrar en la base de datos de clientes… • Si no puedes, al menos segmenta tu red y coloca firewalls en la entrada de cada subred para cortar tráfico extraño • Monitoriza, monitoriza y monitoriza The rise of the iot
  • 14. @DogDeveloper #T3chDays5 medidas Victim Organizations Figure 59: Median Loss Based on Presence of Anti-Fraud Controls Control Percent of Cases Control in Place Control Not in Place Percent Reduction Proactive Data Monitoring/Analysis 36.7% $92,000 $200,000 54.0% Management Review 64.7% $100,000 $200,000 50.0% Hotline 60.1% $100,000 $200,000 50.0% Management Certification of Financial Statements 71.9% $104,000 $205,000 49.3% Surprise Audits 37.8% $100,000 $195,000 48.7% Dedicated Fraud Department, Function, or Team 41.2% $100,000 $192,000 47.9% Job Rotation/Mandatory Vacation 19.4% $89,000 $170,000 47.6% External Audit of Internal Controls over Financial Reporting 67.6% $105,000 $200,000 47.5% Fraud Training for Managers/Executives 51.3% $100,000 $190,000 47.4% Fraud Training for Employees 51.6% $100,000 $188,000 46.8% Formal Fraud Risk Assessments 39.3% $100,000 $187,000 46.5% Employee Support Programs 56.1% $100,000 $183,000 45.4% Anti-Fraud Policy 49.6% $100,000 $175,000 42.9% Internal Audit Department 73.7% $123,000 $215,000 42.8% Code of Conduct 81.1% $120,000 $200,000 40.0% Rewards for Whistleblowers 12.1% $100,000 $163,000 38.7% Independent Audit Committee 62.5% $114,000 $180,000 36.7% External Audit of Financial Statements 81.7% $150,000 $175,000 14.3% Figure 60: Median Duration of Fraud Based on Presence of Anti-Fraud Controls La medida más efectiva para reducir los fraudes, pero de las menos usadas. La medida más extendida, pero la menos efectiva
  • 15. @DogDeveloper #T3chDays5 The rise of the iot Cierre de negocio
  • 16. @DogDeveloper #T3chDays5 The rise of the iot •¿De verdad estás en un restaurante encendiendo el horno por bluetooth? •Deshabilita las opciones que no utilices •No compres features que no necesitas…
  • 17. @DogDeveloper #T3chDays5 The rise of the iot https://youtu.be/bJrIh94RSiI
  • 20. @DogDeveloper #T3chDays5 •El cibercrimen es muy lucrativo • Algunos dicen que mueve más dinero que el narcotráfico •La escalada armamentística en el lado de los malos está siendo muy significativa • Se contratan ingenieros para desarrollar herramientas que serán utilizadas para estafas y engaños • Uno de los primeros ataques que hacen uso de IA es el vishing (voice phishing) • Utilizando Machine Learning y con un conjunto de datos públicos, son capaces de generar un DEEPFAKE para engañar a través de una llamada telefónica vishing
  • 21. @DogDeveloper #T3chDays5 • Este caso (2019): • Sucursal de UK de una multinacional alemana • El CEO alemán tiene muchos videos y charlas en Internet • Los malos cogieron esos videos y entrenaron un modelo de Machine Learning que imitaba su voz • Escriben el texto que quieren que diga • Y el software lo habla con las peculiaridades de la víctima • Llamaron al CEO de la sucursal de UK y, usando la voz del CEO alemán, ordenaron un pago de más de 250.000€ a un supuesto proveedor húngaro • Como tuvieron éxito, lo repitieron, con una cifra mucho más astronómica, que levantó sospechas • En cualquier caso, nunca recuperaron los 250.000€ vishing
  • 22. @DogDeveloper #T3chDays5 •Técnicamente es bastante difícil parar estos ataques •El éxito de estos ataques evidencian una carencia en los procesos en una empresa, y de eso se aprovechan los malos • Por muy CEO que seas, ni siquiera tú deberías estar por encima de los procesos • La mejor defensa en estos casos es tener varios filtros y realizar comprobaciones antes de transferir un pastizal a una cuenta húngara… • Implanta un proceso en tu empresa, añade comprobaciones rigurosas y no permitas que nadie se la salte, ni siquiera tú vishing
  • 23. @DogDeveloper #T3chDays5 infraestructuras críticas +36 muertes adicionales por cada 10000 ataques al corazón + Daños económicos
  • 24. @DogDeveloper #T3chDays5 • Muchas infraestructuras críticas, como los hospitales, no mantienen una buena higiene de ciberseguridad • Tampoco los ayuntamientos por ejemplo, aunque no se si tildarlo de infraestructura crítica ;) • Son por tanto objetivos plausibles para ciberdelincuentes sin demasiados escrúpulos… • Juegan no solo con el volúmen y la sensibilidad de los datos • Si no también con la urgencia de reponerse al ciberataque • Ya que estos ataques pueden llegar a paralizar operaciones y ser un riesgo para la salud de los pacientes •Esto es más habitual de lo que nos pensamos infraestructuras críticas
  • 29. @DogDeveloper #T3chDays5 • Ni siquiera la protección de infraestructuras críticas parece ser robusta •Y es que la ciberseguridad es difícil • Y no me refiero a que ”escaseen perfiles cualificados” • HAY perfiles cualificaos • Lo que NO ABUNDA son perfiles cualificados a precio de CRIMPACABLES • Me refiero a que la seguridad de una infraestructura o un sistema es un CONTINUO • No se invierte una vez al año para pasar la certificación… • Es un trabajo continuo, constante y minucioso que requiere que DIRECCIÓN lo VALORE ADECUADAMENTE y deje de considerarlo como un GASTO infraestructuras críticas
  • 30. @DogDeveloper #T3chDays5 • No hay balas de plata • Mantén tu infraestructura actualizada • Reduce la superficie de ataque • Sigue el principio del mínimo privilegio • Evita tener software del año de la POLKA • Añade elementos de protección, “cuantos más mejor” (seguridad por capas) • MONITORIZA, MONITORIZA, MONITORIZA • Y que alguien esté pendiente de lo que monitorizas claro… • Las certificaciones, los sellos y las MAMANDURRIAS están muy bien, pero CÉNTRATE EN TRABAJAR infraestructuras críticas
  • 32. @DogDeveloper #T3chDays5 Developers, developers, developers, developers Robo de datos Seguridad nacional
  • 33. @DogDeveloper #T3chDays5 • El propio desarrollo de software, y las fases por las que éste pasa, se considera un objetivo • Pensadlo, ¿qué hay en vuestro Git y en vuestro pipeline de CI/CD? • Primero, código. El código hace cosas. Literalmente, puede hacer cualquier cosa que programes en él… • Y ese código tiene dependencias… que también es código, y que también pueden hacer cualquier cosa… • Segundo, histórico. No solo está el código actual, también está cualquier commit que se hizo en cualquier momento de la historia de ese proyecto • Si subiste una contraseña por error, está en el histórico • Tercero, contraseñas, API Keys... Si, y subidas a propósito… Y de muchas clases: base de datos, servicios en la nube, entornos de develop, testing, staging y producción… • A veces, incluso hay volcados de bases de datos de producción, con sus usuarios y sus contraseñas… • ¿Cómo no va a ser un objetivo? Developers, developers, developers, developers
  • 34. @DogDeveloper #T3chDays5 • Por otra parte, los desarrolladores no siempre somos diligentes en temas de seguridad… • Tenemos muchas features que liberar y poco tiempo para hacerlo • No solemos tener herramientas de análisis de seguridad en nuestros pipelines • A duras penas tenemos de test… • No solemos gestionar las vulnerabilidades de las dependencias de nuestros proyectos software • Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil • No solemos tener herramientas que evalúen la seguridad de nuestro código • No solemos prestar atención a la seguridad cuando construimos imágenes Docker, etc. Developers, developers, developers, developers
  • 36. @DogDeveloper #T3chDays5 • Por otra parte, los desarrolladores no siempre somos diligentes en temas de seguridad… • Tenemos muchas features que liberar y poco tiempo para hacerlo • No solemos tener herramientas de análisis de seguridad en nuestros pipelines • A duras penas tenemos de test… • No solemos gestionar las vulnerabilidades de las dependencias de nuestros proyectos software • Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil • No solemos tener herramientas que evalúen la seguridad de nuestro código • No solemos prestar atención a la seguridad cuando construimos imágenes Docker, etc. Developers, developers, developers, developers
  • 39. @DogDeveloper #T3chDays5 • Os recomiendo empezar por: • SonarQube para análisis de vulnerabilidades en vuestro código • OWASP Dependency Track para la gestión de vulnerabilidades en las dependencias • Puedes integrarlo en tu pipeline de CI/CD con la ALUCINANTE UTILIDAD… Developers, developers, developers, developers https://www.npmjs.com/package/@fjbarrena/dtrack-cli
  • 45. @DogDeveloper #T3chDays5 Developers, developers, developers, developers 2 meses sin detectar El autor original de la librería dejo de mantenerla y transfirió su ownership a otra persona que resulto ser maligna
  • 47. @DogDeveloper #T3chDays5 • Cómo continuar: • Configura los equipos de los developers con algún hook de git para evitar el pusheo de credenciales • Monitoriza tu base de código en búsqueda de leaks de datos, contraseñas, etc. • Siempre hay algún listillo que se desinstala el hook • Si lo encuentras, golpe de remo • Activa 2FA en general (Git, NPM…) • ¿Y si firmas los commits a Git? • Lo sé, es un coñazo… • Plantéate usar alguna tecnología como Vault para gestionar las credenciales y secrets de tus proyectos • Es muuuuy interesante • Añade a tus arquitecturas elementos específicos de seguridad como un WAF, RASP o WAAP • Que son como que lo mismo pero con nombres marketinianos diferentes Developers, developers, developers, developers https://www.vaultproject.io/