Este documento presenta varios principios y conceptos clave sobre seguridad en aplicaciones web. En primer lugar, introduce principios como asegurar el eslabón más débil, defensa en profundidad, fallar de forma segura y seguir el principio del mínimo privilegio. Luego discute conceptos como identificación, autenticación y autorización de usuarios, así como amenazas comunes como inyecciones e XSS. Finalmente, analiza tendencias en ataques y vulnerabilidades a lo largo del tiempo.
COVID-19 esta cambiando la perspectiva de ciberseguridad.
14,000%incremento de spam and phishing relacionado COVID-19
84%incremento en trabajo remoto desde el inicio de la crisis, en Febrero
Título: Presentación del seminario virtual "Ciberseguridad para profesionales online" (#webinarsUNIA, Programa de Formación de Profesorado de la UNIA 2019).
Fecha: 04/11/2019.
Temática: Innovación, Formación de Profesorado.
Descriptores: webinarsUNIA, webinars, seminario, UNIA, universidad, Málaga, Innovación, Formación de Profesorado, TICs, competencias digitales, enseñanza-aprendizaje online, uniainnova, webconferencia, Mar Cabra, filtrado, información, investigación, datos, seguridad online, ciberseguridad, phishing, herramientas, deep web, cifrado, contraseñas, riesgos, codificación, fuentes, periodismo.
Sinopsis:
En este seminario virtual, enmarcado en el Programa de Formación de Profesorado de la UNIA en materia de Innovación Docente y Digital del curso 2019, Mar Cabra, periodista de datos e investigación premiada con un Pulitzer por Los Papeles de Panamá, comparte, sobre una serie de principios básicos de seguridad online, claves y herramientas útiles para cualquier usuario online.
El seminario tuvo lugar empleando el servicio de aulas virtuales de la UNIA (basado en Adobe Connect), y en él pudo participar cualquier interesado/a, más allá de docentes en activo de la Universidad.
Más información: unia.es/oferta-academica/webinars-unia
Control: MS
COVID-19 esta cambiando la perspectiva de ciberseguridad.
14,000%incremento de spam and phishing relacionado COVID-19
84%incremento en trabajo remoto desde el inicio de la crisis, en Febrero
Título: Presentación del seminario virtual "Ciberseguridad para profesionales online" (#webinarsUNIA, Programa de Formación de Profesorado de la UNIA 2019).
Fecha: 04/11/2019.
Temática: Innovación, Formación de Profesorado.
Descriptores: webinarsUNIA, webinars, seminario, UNIA, universidad, Málaga, Innovación, Formación de Profesorado, TICs, competencias digitales, enseñanza-aprendizaje online, uniainnova, webconferencia, Mar Cabra, filtrado, información, investigación, datos, seguridad online, ciberseguridad, phishing, herramientas, deep web, cifrado, contraseñas, riesgos, codificación, fuentes, periodismo.
Sinopsis:
En este seminario virtual, enmarcado en el Programa de Formación de Profesorado de la UNIA en materia de Innovación Docente y Digital del curso 2019, Mar Cabra, periodista de datos e investigación premiada con un Pulitzer por Los Papeles de Panamá, comparte, sobre una serie de principios básicos de seguridad online, claves y herramientas útiles para cualquier usuario online.
El seminario tuvo lugar empleando el servicio de aulas virtuales de la UNIA (basado en Adobe Connect), y en él pudo participar cualquier interesado/a, más allá de docentes en activo de la Universidad.
Más información: unia.es/oferta-academica/webinars-unia
Control: MS
Equipos de respuesta a incidentes seguridad informáticaYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para conocer qué son y cómo trabajan los equipos de respuesta a incidentes de seguridad informática conocidos como CERT o CSIRT. Cuándo surgen los primeros, qué protocolos d actuación siguen, en qué sectores es vital contar con este tipo de equipos son algunas de las cuestiones que se tratan en este debate. Más información: https://www.yolandacorral.com/que-es-la-deep-web-ciberdebate-en-palabra-de-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad informática Ismael Valenzuela, Joaquín Molina, Marc Rivero y Rubén Aquino.
Invitada por la comunidad LATAM Cybersecurity by Women ofrecí un webinar en el que compartí mi experiencia personal en el mundo de la ciberseguridad desde la comunicación y la formación. En esta charla comparto cómo surgió todo, qué es Palabra de hacker, cómo aporto valor en el mundo de la ciberseguridad y un montón de cosas que espero sirvan de inspiración para muchos.
Yolanda Corral (https://twitter.com/yocomu). Licenciada en Ciencias de la Información. Periodista y formadora freelance especializada en seguridad digital, privacidad, alfabetización digital, TICs, redes sociales y contenidos digitales. Fundadora y organizadora de las Jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Cibercooperante de INCIBE-IS4K. Fundadora del canal divulgativo Palabra de hacker, ciberseguridad de tú a tú.
LATAM Cybersecurity by Women: https://www.linkedin.com/company/cysecbywomen
https://twitter.com/CySecByWomen
Más información disponible en: https://www.yolandacorral.com/ciberseguridad-de-tu-a-tu-cybersecurity-by-women
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
La Concientizacion en Ciberseguridad es parte de la estrategia para enfrentar los ataques ciberneticos y los delitos de alta tecnología. Mientras mas conocimientos tengan los usuarios de las TICS menos incidentes ciberneticos se presentaran.
Esta charla la preparé para el Segurinfo 2011 que se realizó en Perú, esta charla trata de identificar aquellos temas que deben estar dentro de las prioridades de un oficial de seguridad de la información, de tal manera que la organización trabaje de manera segura, pero sin perder la capacidad de hacer negocios, y dentro de ese día a día, surgen una serie de consideraciones, que hacen que esta labor, no sea nada facil...
Presentacion utilizada en Segurinfo Argentina 2009, para iniciar la discusión sobre modelos madurativos de controles y capacidades de seguridad informática o de la información bajo la premisa de distintos niveles de dependencia tecnológica de los procesos de negocio.
Charla presentada en el CyberSecurity Goverment Day que se realizó en Lima Perú en el año 2014. Habla sobre el planteamiento del NIST sobre la necesidad de proteger nuestras infraestructuras críticas nacionales.
Título: Presentación del seminario virtual "Búsqueda (y verificación) de información en red" (#webinarsUNIA, Programa de Formación de Profesorado de la UNIA 2019).
Fecha: 04/11/2019.
Temática: Innovación, Formación de Profesorado.
Descriptores: webinarsUNIA, webinars, seminario, UNIA, universidad, Málaga, Innovación, Formación de Profesorado, TICs, competencias digitales, enseñanza-aprendizaje online, uniainnova, webconferencia, Michaela Cancela, buscadores, herramientas, verificación, datos, información, desinformación, noticias falsas, fake news, imágenes invertidas, vídeos, fuentes, periodismo.
Sinopsis:
En este seminario virtual, enmarcado en el Programa de Formación de Profesorado de la UNIA en materia de Innovación Docente y Digital del curso 2019, Michaela Cancela, periodista de la Agencia France Press y ex-teacher Fellow de Google News Lab, comparte, sobre una serie de principios básicos de seguridad online, claves y herramientas útiles para cualquier usuario online.
El seminario tuvo lugar empleando el servicio de aulas virtuales de la UNIA (basado en Adobe Connect), y en él pudo participar cualquier interesado/a, más allá de docentes en activo de la Universidad.
Más información: unia.es/oferta-academica/webinars-unia
Control: MS
De que sirve la seguridad si nuestro eslabón mas débil se rompe. Tenemos la responsabilidad de fortalecerlo como personal de IT. Para ellos es posible valernos de varias estrategias que no necesitan que nos involucremos personalmente y hagamos uso de otras herramientas tecnológicas incluso de algunas que como departamento dentro de las empresas administramos.
BYOD: ventajas, desventajas y consideraciones de seguridad.Maximiliano Alonzo
Desde hace un tiempo venimos viendo como las personas llevan a su trabajo sus dispositivos personales, tales como celulares, notebook y tablets, y realizan desde los mismos las actividades asociadas a sus funciones accediendo para ello a los datos de las empresas.
Esta tendencia tuvo sus inicios con los altos directivos de las empresas, que en su momento solicitaban poder acceder a su correo electrónico desde sus ultraportables o sus PocketPC, pero que hoy no solo se limita a ellos si no que se ha difundido a gran parte de los funcionarios de las empresas.
Se ha llegado al punto en que algunas empresas ya han identificado ciertas ventajas y bondades de este comportamiento denominado BYOD (Bring your own device) y lo han incorporado como políticas de funcionamiento propias.
Ahora nos preguntamos...
¿Cuales son esas ventajas y bondades que algunas empresas han identificado?
¿Existen algún tipo de Riesgo al permitir este comportamiento en nuestras empresas?
¿Como afecta el mismo a la Seguridad de nuestra información?
¿De que manera podemos mitigar estos Riesgos?
¿Que herramientas y controles podemos implementar para mejorar nuestro esquema de seguridad ante esta nueva realidad?
Conversia - Puntos clave para mejorar la ciberseguridad de tu empresaConversia
Hoy en día, nuestra identidad digital y nuestra privacidad dependen de las contraseñas que escogemos para protegerlas. Por comodidad, solemos elegir contraseñas cortas y comunes, como por ejemplo nuestra fecha de nacimiento, pero éstas no suelen tener la seguridad suficiente.
En Conversia te facilitamos esta presentación, con 5 consejos útiles para mejorar la ciberseguridad de tu empresa.
¡Únete a las redes sociales de Conversia! Puedes encontrar Conversia en Linkedin, Facebook, Twitter y Youtube. Estamos presentes en la red para informarte de todas aquellas noticias relacionadas con las normativas de obligado cumplimiento. Asimismo, en ella también encontrarás consejos, infografías y otros materiales para ayudarte a solucionar problemas o dudas con las normativas vigentes. ¡Forma parte de la comunidad digital de Conversia!
Debido a que en estos tiempos se ve el aumento de compañías que permiten a sus socios y proveedores acceder a sus bases de información, por lo tanto es importante saber los recursos tecnológicos de la empresa. Estas necesitan una protección para controlar su acceso al sistema y los derechos de nosotros los usuarios informáticos, los mismos procedimientos se aplican cuando se accede ala compañía atreves de Internet debido a las tendencias creacientes hacia un estilo de vida muy nómada de hoy en día .
Equipos de respuesta a incidentes seguridad informáticaYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para conocer qué son y cómo trabajan los equipos de respuesta a incidentes de seguridad informática conocidos como CERT o CSIRT. Cuándo surgen los primeros, qué protocolos d actuación siguen, en qué sectores es vital contar con este tipo de equipos son algunas de las cuestiones que se tratan en este debate. Más información: https://www.yolandacorral.com/que-es-la-deep-web-ciberdebate-en-palabra-de-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad informática Ismael Valenzuela, Joaquín Molina, Marc Rivero y Rubén Aquino.
Invitada por la comunidad LATAM Cybersecurity by Women ofrecí un webinar en el que compartí mi experiencia personal en el mundo de la ciberseguridad desde la comunicación y la formación. En esta charla comparto cómo surgió todo, qué es Palabra de hacker, cómo aporto valor en el mundo de la ciberseguridad y un montón de cosas que espero sirvan de inspiración para muchos.
Yolanda Corral (https://twitter.com/yocomu). Licenciada en Ciencias de la Información. Periodista y formadora freelance especializada en seguridad digital, privacidad, alfabetización digital, TICs, redes sociales y contenidos digitales. Fundadora y organizadora de las Jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Cibercooperante de INCIBE-IS4K. Fundadora del canal divulgativo Palabra de hacker, ciberseguridad de tú a tú.
LATAM Cybersecurity by Women: https://www.linkedin.com/company/cysecbywomen
https://twitter.com/CySecByWomen
Más información disponible en: https://www.yolandacorral.com/ciberseguridad-de-tu-a-tu-cybersecurity-by-women
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
La Concientizacion en Ciberseguridad es parte de la estrategia para enfrentar los ataques ciberneticos y los delitos de alta tecnología. Mientras mas conocimientos tengan los usuarios de las TICS menos incidentes ciberneticos se presentaran.
Esta charla la preparé para el Segurinfo 2011 que se realizó en Perú, esta charla trata de identificar aquellos temas que deben estar dentro de las prioridades de un oficial de seguridad de la información, de tal manera que la organización trabaje de manera segura, pero sin perder la capacidad de hacer negocios, y dentro de ese día a día, surgen una serie de consideraciones, que hacen que esta labor, no sea nada facil...
Presentacion utilizada en Segurinfo Argentina 2009, para iniciar la discusión sobre modelos madurativos de controles y capacidades de seguridad informática o de la información bajo la premisa de distintos niveles de dependencia tecnológica de los procesos de negocio.
Charla presentada en el CyberSecurity Goverment Day que se realizó en Lima Perú en el año 2014. Habla sobre el planteamiento del NIST sobre la necesidad de proteger nuestras infraestructuras críticas nacionales.
Título: Presentación del seminario virtual "Búsqueda (y verificación) de información en red" (#webinarsUNIA, Programa de Formación de Profesorado de la UNIA 2019).
Fecha: 04/11/2019.
Temática: Innovación, Formación de Profesorado.
Descriptores: webinarsUNIA, webinars, seminario, UNIA, universidad, Málaga, Innovación, Formación de Profesorado, TICs, competencias digitales, enseñanza-aprendizaje online, uniainnova, webconferencia, Michaela Cancela, buscadores, herramientas, verificación, datos, información, desinformación, noticias falsas, fake news, imágenes invertidas, vídeos, fuentes, periodismo.
Sinopsis:
En este seminario virtual, enmarcado en el Programa de Formación de Profesorado de la UNIA en materia de Innovación Docente y Digital del curso 2019, Michaela Cancela, periodista de la Agencia France Press y ex-teacher Fellow de Google News Lab, comparte, sobre una serie de principios básicos de seguridad online, claves y herramientas útiles para cualquier usuario online.
El seminario tuvo lugar empleando el servicio de aulas virtuales de la UNIA (basado en Adobe Connect), y en él pudo participar cualquier interesado/a, más allá de docentes en activo de la Universidad.
Más información: unia.es/oferta-academica/webinars-unia
Control: MS
De que sirve la seguridad si nuestro eslabón mas débil se rompe. Tenemos la responsabilidad de fortalecerlo como personal de IT. Para ellos es posible valernos de varias estrategias que no necesitan que nos involucremos personalmente y hagamos uso de otras herramientas tecnológicas incluso de algunas que como departamento dentro de las empresas administramos.
BYOD: ventajas, desventajas y consideraciones de seguridad.Maximiliano Alonzo
Desde hace un tiempo venimos viendo como las personas llevan a su trabajo sus dispositivos personales, tales como celulares, notebook y tablets, y realizan desde los mismos las actividades asociadas a sus funciones accediendo para ello a los datos de las empresas.
Esta tendencia tuvo sus inicios con los altos directivos de las empresas, que en su momento solicitaban poder acceder a su correo electrónico desde sus ultraportables o sus PocketPC, pero que hoy no solo se limita a ellos si no que se ha difundido a gran parte de los funcionarios de las empresas.
Se ha llegado al punto en que algunas empresas ya han identificado ciertas ventajas y bondades de este comportamiento denominado BYOD (Bring your own device) y lo han incorporado como políticas de funcionamiento propias.
Ahora nos preguntamos...
¿Cuales son esas ventajas y bondades que algunas empresas han identificado?
¿Existen algún tipo de Riesgo al permitir este comportamiento en nuestras empresas?
¿Como afecta el mismo a la Seguridad de nuestra información?
¿De que manera podemos mitigar estos Riesgos?
¿Que herramientas y controles podemos implementar para mejorar nuestro esquema de seguridad ante esta nueva realidad?
Conversia - Puntos clave para mejorar la ciberseguridad de tu empresaConversia
Hoy en día, nuestra identidad digital y nuestra privacidad dependen de las contraseñas que escogemos para protegerlas. Por comodidad, solemos elegir contraseñas cortas y comunes, como por ejemplo nuestra fecha de nacimiento, pero éstas no suelen tener la seguridad suficiente.
En Conversia te facilitamos esta presentación, con 5 consejos útiles para mejorar la ciberseguridad de tu empresa.
¡Únete a las redes sociales de Conversia! Puedes encontrar Conversia en Linkedin, Facebook, Twitter y Youtube. Estamos presentes en la red para informarte de todas aquellas noticias relacionadas con las normativas de obligado cumplimiento. Asimismo, en ella también encontrarás consejos, infografías y otros materiales para ayudarte a solucionar problemas o dudas con las normativas vigentes. ¡Forma parte de la comunidad digital de Conversia!
Debido a que en estos tiempos se ve el aumento de compañías que permiten a sus socios y proveedores acceder a sus bases de información, por lo tanto es importante saber los recursos tecnológicos de la empresa. Estas necesitan una protección para controlar su acceso al sistema y los derechos de nosotros los usuarios informáticos, los mismos procedimientos se aplican cuando se accede ala compañía atreves de Internet debido a las tendencias creacientes hacia un estilo de vida muy nómada de hoy en día .
Cybersecurity seminar which include a long list of topics like introduction to cybersecurity, logic and physical control, digital threats, social engineering, tehnical and non-technical cyber solutions/controls, IT assets best practices, confidential information management, password management, etc.
Criptomonedas y otras inversiones en la red: oportunidades y riesgos.Fernando Tricas García
Desde una posición escéptica y prudente.
Intervención en las " XXII Jornada de Información sobre consumo en los municipios"
Valderrobres, 19 de octubre de 2023.
Presentación para el Instituto de Enseñanza Secundaria Andalán.
Título alternativo: "Algunas ideas en positivo sobre Inteligencia Artificial de un no experto. Con algo de ayuda de algunas inteligencias artificiales"
2023-05-11
Introducción al Esquema Nacional de Seguridad (ENS) dentro de las jorndas de formación para funcionarios de nuevo ingreso en el Instituto de Administraciones Públicas del Gobierno de Aragón.
Presentación para las VI JORNADAS DE TURISMO RURAL EN RIODEVA.
http://www.turismocuencasmineras.es/noticia.php/noticia/vi-jornadas-de-turismo-rural-en-riodeva/5540/45
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfsandradianelly
Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestr
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
1. Algunas ideas sobre seguridad en aplicaciones web
Fernando Tricas Garc´ıa
Departamento de Inform´atica e Ingenier´ıa de Sistemas
Universidad de Zaragoza
http://webdiis.unizar.es/~ftricas/
http://elmundoesimperfecto.com/
ftricas@unizar.es
3. El sistema m´as seguro del mundo es ....
http://www.youtube.com/watch?v=uqQwY-T6tE0
Otro:
http://www.youtube.com/watch?v=_3syp77QPts
Algunas ideas sobre seguridad en aplicaciones web. 3
6. Gesti´on del riesgo
La seguridad es un compromiso entre muchos factores:
Tiempo hasta que se puede vender
Coste
Flexibilidad
Reutilizabilidad
Relaciones entre los anteriores
Hay que establecer las prioridades, a veces la seguridad no es
la principal necesidad.
Algunas ideas sobre seguridad en aplicaciones web. 5
7. Seguro o Inseguro
Es mas realista pensar en t´erminos de gesti´on de riesgo:
¿Cu´anto riesgo?
¿Cu´anto cuesta reducirlo?
Recordar: los ’malos’ no crean los defectos, simplemente los
utilizan.
Algunas ideas sobre seguridad en aplicaciones web. 6
8. Algunas cifras
Year Num. of Vulns
1988 2
1989 3
1990 11
1991 15
1992 13
1993 13
1994 25
1995 25
1996 75
1997 252
1998 246
1999 894
2000 1020
2001 1677
2002 2156
2003 1527
2004 2451
2005 4933
2006 6608
2007 6514
2008 (4673) 5632
2009 5733
2010 (4091) 4639
2011 (3451) 4150
2012 (4565) 5289
2013 (4532) 5186
2014 (6785) 7937
2015 (5628) 6847
2016 6447
2017 14646
2018 3602
NIST: National Institute of Standards and
Technology
NVD: National Vulnerabilities Database
http://web.nvd.nist.gov/view/vuln/statistics-results
24 de marzo de 2018
Algunas ideas sobre seguridad en aplicaciones web. 7
9. Ataques
‘2017 Trustwave Global Security Report’
https://www2.trustwave.com/2017-Trustwave-Global-Security-Report.html
Algunas ideas sobre seguridad en aplicaciones web. 8
10. Robo de datos
Information is Beautiful
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
‘The Biggest Data Thefts In Recent History [Infographic]‘
http://www.popsci.com/technology/article/2013-07/infographic-biggest-thefts-data-visualized
Algunas ideas sobre seguridad en aplicaciones web. 9
11. Vendedores
RiskBased Security. Vulnerability QuickView. 2016 Year End
https://www.riskbasedsecurity.com/2017/02/
15000-vulnerabilities-disclosed-in-2016-major-vendors-continue-to-be-affected/
Algunas ideas sobre seguridad en aplicaciones web. 10
12. Consecuencias
RiskBased Security. Vulnerability QuickView. 2016 Year End
https://www.riskbasedsecurity.com/2017/02/
15000-vulnerabilities-disclosed-in-2016-major-vendors-continue-to-be-affected/
Algunas ideas sobre seguridad en aplicaciones web. 11
14. ¿Contra qu´e nos protegemos?
https://profjohncole.com/2014/11/29/making-an-anti-fraguile-australia-by-2040/
Algunas ideas sobre seguridad en aplicaciones web. 13
15. Los principios
1. Asegurar el eslab´on m´as d´ebil
2. Seguridad en profundidad
3. Fallar de modo seguro
4. Seguir el principio del m´ınimo privilegio
5. Compartimentalizar
6. Simplicidad
7. Promover la privacidad (intimidad)
8. Recordar: guardar secretos es dif´ıcil
9. Ser desconfiados
10. Utilizar los recursos de tu comunidad
Algunas ideas sobre seguridad en aplicaciones web. 14
16. Asegurar el eslab´on m´as d´ebil
La identificaci´on del punto m´as d´ebil tiene que ver con el
an´alisis de riesgos
Si tenemos un buen an´alisis, mitigar el riesgo m´as grave
primero es mejor que mitigar el riesgo m´as ‘sencillo’
No siempre el programa es el eslab´on m´as d´ebil; a veces tiene
que ver con lo que le rodea.
http://www.flickr.com/photos/bulle_de/349393319/
Algunas ideas sobre seguridad en aplicaciones web. 15
17. Defensa en profundidad
Estrategias defensivas diversas, en niveles
Si algo falla, hay m´as barreras detr´as
Algunas ideas sobre seguridad en aplicaciones web. 16
18. Fallar de forma segura
Cualquier sistema suficientemente complejo fallar´a
Hay que procurar que eso no suponga problemas de seguridad
Si se rompe un sistema de control
... de una caja fuerte, ¿c´omo deber´ıa quedar?
¿y de un cine?
¿y en un sitio web controlado por claves?
Mejor ... Degradaci´on controlada
http://www.flickr.com/photos/bargas/3695903512/
Algunas ideas sobre seguridad en aplicaciones web. 17
19. Fallar de forma segura. ¿Y las configuraciones?
Por defecto, el sistema lo mas seguro posible
Recordad que los ejemplos terminan us´andose
Avisar de las consecuencias de los cambios
Algunas ideas sobre seguridad en aplicaciones web. 18
20. Principio del m´ınimo privilegio
Dar el acceso m´ınimo necesario para la tarea encargada
M´ınimo tiempo posible
Si alguien nos recoje el correo durante las vacaciones ... ¿le
damos tambi´en las llaves del piso?
Cuando compramos un piso, ¿conservamos la cerradura?
Ventanas de vulnerabilidad (windows of vulnerability) tan
peque˜nas como sea posible
Algunas ideas sobre seguridad en aplicaciones web. 19
21. Principio del m´ınimo privilegio
Si necesitamos permiso para leer un objeto, no darlo tambi´en
para escribir
Una vez que hayamos leido, quitarse los privilegios, si no
hacen falta m´as
La pereza es nuestro enemigo
Algunas ideas sobre seguridad en aplicaciones web. 20
24. Simplicidad
KISS: Keep It Simple Stupid!:
La complejidad incrementa la posibilidad de que aparezcan
problemas
El dise˜no y la implementaci´on deber´ıa ser tan sencillo como se
pueda
Dise˜nos complejos son m´as dif´ıciles de entender
M´as dif´ıcil de mantener
M´as fallos
Algunas ideas sobre seguridad en aplicaciones web. 22
25. Simplicidad
Ergonom´ıa (usability)
Todos los usuarios deber´ıan tener acceso a la mejor seguridad
de nuestro sistema, y no poder introducir puntos inseguros
por descuido.
Algunas ideas (Norman 1989, Nielsen 1993):
1. Los usuarios no leen
2. Hablar con los usuarios
3. Los usuarios no tienen raz´on siempre
4. Los usuarios son perezosos
Que el camino seguro sea el sencillo
Algunas ideas sobre seguridad en aplicaciones web. 23
26. Simplicidad
Making the simple complicated is commonplace; making
the complicated simple, awesomely simple, that’s
creativity.
Charles Mingus
Algunas ideas sobre seguridad en aplicaciones web. 24
27. Simplicidad
Making the simple complicated is commonplace; making
the complicated simple, awesomely simple, that’s
creativity.
Charles Mingus
Make everything as simple as possible, but not simpler.
Albert Einstein
(Fotograf´ıas: Wikipedia)
Algunas ideas sobre seguridad en aplicaciones web. 24
28. Promover la privacidad
Muchos usuarios consideran su intimidad un asunto de
seguridad
Tenemos que tratar de no comprometer los datos de nuestros
usuarios
La mayor´ıa de sitios ‘serios’ no guarda nuestra clave, ni el
n´umero de la tarjeta, ...
Al menos, no mostrarla (nunca entera)
Almacenarla cifrada
Almacenarla en otra m´aquina diferente
Algunas ideas sobre seguridad en aplicaciones web. 25
29. Esconder secretos es dif´ıcil
No divulgar datos de los usuarios
No divulgar claves
Los ‘malos’ son muy h´abiles (DVD, chips consolas,
‘jailbreaks’, ...)
Ataques desde dentro
Descontentos
Inadvertidos
En todo caso ... la mayor´ıa
No pueden robarnos los datos que no tenemos
Algunas ideas sobre seguridad en aplicaciones web. 26
30. Cuidado con la confianza
No poner secretos en el c´odigo del cliente
Dise˜nar los servidores para no confiar en los clientes
Ser desconfiado puede ayudar en la compartimentalizaci´on
Muchos desarrolladores, arquitectos y gestores de proyectos no
saben mucho sobre dise˜no seguro (incluso los que hacen
herramientas de seguridad).
Algunas ideas sobre seguridad en aplicaciones web. 27
31. Cuidado con la confianza
No extender la confianza al servicio de atenci´on al cliente
(ingenier´ıa social)
Seguir a la manada: a veces se hacen algunas cosas por
influencia de los competidores
Es sano desconfiar hasta de uno mismo
Confianza transitiva (amigos de amigos...)
Algunas ideas sobre seguridad en aplicaciones web. 28
32. Utilizar los recursos de la comunidad
No seguir ciegamente a la masa pero ...
El uso continuado de una tecnolog´ıa ayuda
El escrutinio p´ublico tambi´en
Ejemplo: la criptograf´ıa, bibliotecas seguras, ...
Algunas ideas sobre seguridad en aplicaciones web. 29
33. “Estos son mis principios. Si no le gustan tengo otros.”
(Fotograf´ıa: Wikipedia)
Algunas ideas sobre seguridad en aplicaciones web. 30
34. Otros principios
Exactidud, precisi´on (‘accuracy’)
¿Corresponde el dise˜no (y el software luego) a la ‘realidad’?
Claridad
Acoplamiento d´ebil
Menos complejidad, menos dependencias, ...
Cohesi´on fuerte
Los m´odulos gestionan tareas relacionadas entre si: hay una
buena descomposici´on y modularizaci´on.
Adecuada gesti´on de fallos
Algunas ideas sobre seguridad en aplicaciones web. 31
35. Los principios de Microsoft
SD3 + C
Seguro por dise˜no
Seguro por defecto
Seguro en la implantaci´on (‘Deployment’)
Comunicaci´on (con los clientes)
http://msdn.microsoft.com/en-us/magazine/cc163705.aspx
Algunas ideas sobre seguridad en aplicaciones web. 32
36. ¿De qu´e me tengo que preocupar?
Algunas ideas sobre seguridad en aplicaciones web. 33
37. ¿De qu´e me tengo que preocupar?
https://www.owasp.org/
Algunas ideas sobre seguridad en aplicaciones web. 33
38. OWASP Top 10
2017 (2013, 2007, 2004, 2003)
https://www.owasp.org/index.php/Category:
OWASP_Top_Ten_Project
A1:2017 - Injection
A2:2017 - Broken Authentication
A3:2017 - Sensitive Data Exposure
A4:2017 - XML External Entities (XXE)
A5:2017 - Broken Access Control
A6:2017 - Security Misconfiguration
A7:2017 - Cross-Site Scripting (XSS)
A8:2017 - Insecure Deserialization
A9:2017 - Using Components with Known Vulnerabilities
A10:2017 - Insufficient Logging & Monitoring
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
Algunas ideas sobre seguridad en aplicaciones web. 34
40. Las contrase˜nas
Michelle L. Mazurek, Saranga Komanduri, Timothy Vidas, Lujo
Bauer, Nicolas Christin, Lorrie Faith Cranor, Patrick Gage Kelley,
Richard Shay, and Blase Ur ‘Measuring Password Guessability for
an Entire University’.
Octubre 2013
https://www.cylab.cmu.edu/research/techreports/2013/tr_cylab13013.html
Claves largas
Que contenga s´ımbolos,
d´ıgitos, may´usculas
En lugares no predecibles.
¡Cuidado con las pol´ıticas!
Algunas ideas sobre seguridad en aplicaciones web. 36
41. Las contrase˜nas
Michelle L. Mazurek, Saranga Komanduri, Timothy Vidas, Lujo
Bauer, Nicolas Christin, Lorrie Faith Cranor, Patrick Gage Kelley,
Richard Shay, and Blase Ur ‘Measuring Password Guessability for
an Entire University’.
Octubre 2013
https://www.cylab.cmu.edu/research/techreports/2013/tr_cylab13013.html
Claves largas
Que contenga s´ımbolos,
d´ıgitos, may´usculas
En lugares no predecibles.
¡Cuidado con las pol´ıticas!
Los usuarios disconformes tienen
claves mucho peores (46 % m´as
f´aciles de adivinar)
Algunas ideas sobre seguridad en aplicaciones web. 36
42. Pedir la clave
Si es web: siempre, en una p´agina ‘segura’ (si no, no podemos
estar seguros de que el sitio es quien dice ser).
Si se transmite: siempre cifrada.
Mostrar la clave (¡no! ... ¿no?)
Algunas ideas sobre seguridad en aplicaciones web. 37
43. Opci´on mostrar la clave
Algunas ideas sobre seguridad en aplicaciones web. 38
44. Pedir la clave
¿Qu´e avisos?
¿Usuario incorrecto?
¿Clave incorrecta?
Seg´un la decisi´on, tener en cuenta las consecuencias...
Algunas ideas sobre seguridad en aplicaciones web. 39
45. Sistemas de recuperaci´on de la clave
Las preguntas secretas s´olo son claves m´as d´ebiles
Aunque...
https://www.owasp.org/index.php/Choosing_and_Using_Security_Questions_Cheat_Sheet
Las pistas ‘hints’, parecido
Algunas ideas sobre seguridad en aplicaciones web. 40
46. Sistemas de recuperaci´on de la clave
Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson, Mike
Williamson. ‘Secrets, Lies, and Account Recovery: Lessons from
the Use of Personal Knowledge Questions at Google’. WWW’15 -
Proceedings of the 22nd international conference on World Wide
Web, ACM (2015)
http://research.google.com/pubs/pub43783.html
Algunos mienten para ‘fortalecer’ la seguridad
Y proporcionan respuestas a´un m´as predecibles.
Son poco ‘memorables’
Y las m´as seguras (tu primer n´umero de tel´efono) m´as f´aciles
de olvidar.
→ Casi imposible encontrar preguntas de seguridad memorables y
seguras.
Algunas ideas sobre seguridad en aplicaciones web. 41
47. Algunas listas de consejos
Autentificaci´on:
https://www.owasp.org/index.php/Authentication_Cheat_Sheet
Recordatorio de claves:
https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet
Algunas ideas sobre seguridad en aplicaciones web. 42
48. Sistemas de recuperaci´on de la clave
Enviar la clave (al correo de registro, correo f´ısico, SMS, ...).
Preferiblemente sistemas ‘fuera de banda’.
Enviar un enlace para reinicializarla:
expiraci´on del enlace,
url o identificador no predecible,
posibilidad de re-enviarlo
puede haber filtros anti-spam
. . .
O una clave temporal
Algunas ideas sobre seguridad en aplicaciones web. 43
49. El caso de Evernote
Algunas ideas sobre seguridad en aplicaciones web. 44
50. Mas consejos
La autentificaci´on es tan segura como el sistema de gesti´on de
usuarios
Utilizar la forma mas apropiada de autentificaci´on de acuerdo
al bien que se protege (claves, SMS, ...)
Re-autentificar al usuario para transacciones de valor alto y
´areas protegidas
Autentificar la transacci´on, no el usuario.
Las claves son f´aciles de romper, no son v´alidas para sistemas
de valor alto.
Algunas ideas sobre seguridad en aplicaciones web. 45
51. El caso de GMail
Algunas ideas sobre seguridad en aplicaciones web. 46
52. El caso de Facebook (I)
Algunas ideas sobre seguridad en aplicaciones web. 47
53. El caso de Facebook (II)
Algunas ideas sobre seguridad en aplicaciones web. 48
54. El caso de Facebook (III)
Algunas ideas sobre seguridad en aplicaciones web. 49
55. El caso de Facebook (V)
(Me salto el IV, son fotos reales de amigos)
Algunas ideas sobre seguridad en aplicaciones web. 50
57. Seguridad con + cosas
¡Dinero!
http://econinfosec.org/
Algunas ideas sobre seguridad en aplicaciones web. 52
58. Seguridad con + cosas
http://www.econinfosec.org/archive/weis2013/program.html
Algunas ideas sobre seguridad en aplicaciones web. 53
59. Seguridad con + cosas
¡Personas!
http://cups.cs.cmu.edu/soups/
Algunas ideas sobre seguridad en aplicaciones web. 54
60. Seguridad con + cosas
‘Shouldn’t All Security Be Usable?’ IEEE Security & Privacy.
Volume: 9 Issue: 2. March 2011
http://doi.org/10.1109/MSP.2011.30
Algunas ideas sobre seguridad en aplicaciones web. 55
62. Regulaciones + Buenas pr´acticas
https://www.ccn-cert.cni.es/ens.html
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
https://www.owasp.org/
Algunas ideas sobre seguridad en aplicaciones web. 56
63. Regulaciones + Buenas pr´acticas
https://www.ccn-cert.cni.es/ens.html
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
https://www.owasp.org/
https://www.pcisecuritystandards.org/
Algunas ideas sobre seguridad en aplicaciones web. 56