La cosa se está poniendo interesante. El avance hacia una sociedad conectada de los últimos años, la cantidad de dispositivos IoT que se venden, y especialmente a la velocidad a la que lo hacen, están aumentando exponencialmente la superficie de ataque para los ciberdelincuentes. Y aunque pueda parecer que los objetivos principales de los malos son las empresas (que es cierto), también es cierto que las personas "normales" también somos un objetivo para ellos.
En esta charla veremos hasta dónde llega la imaginación y la pericia de los malos, veremos cómo lo han conseguido y debatiremos sobre el delicado equilibrio entre la digitalización de la vida y nuestra privacidad. Y es que el ciberespacio se parece cada vez más a Gotham, pero con el jefe Wiggum en lugar de Batman...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
Ponencia impartida en OSINTCity 2020 junto a mi compañero Gonzalo Espinosa, donde hablamos sobre los diferentes tipos de datos que pueden ser obtenidos con la ciberinteligencia y como categorizarlos por medio de una metodología automatizada de datos interconectados mediante la teoría de sistemas o grafos.
En la parte práctica mostramos una demo de como recopilar información de diversas fuentes partiendo de tres datos máximo de una organización objetivo. Con los datos recopilados tratamos de reconstruir un mapa virtual de los activos que están expuestos de la propia organización en Internet y finalizamos el ejercicio viendo estadísticas de la situación actual del objetivo en comparación con el resto de empresas de su sector a modo benchmarking.
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
Taller impartido en la Universidad de Alcalaá de Henares duraante loas jornadas de Ciberseguridad y Ciberdefensa. En el mismo se trata el desarrollo de herramientas que ayudan en la búsqueda de información en fuentes OSINT, para analizar y diseminar la información de valor, para finalmente crear herramientas de inteligencia para automatizar el proceso.
El alumno aprenderá a investigar un problema concreto y crear herramientas que permita resolverlo con una solución de manera rápida y óptima.
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
Seguridad actual
•
Que es un hacker?
•
La importancia de nuestros datos
•
OSINT
•
Fases de hacking
•
Ataques
•
Controla tu exposición digital
•
Como convertirse en un profesional de la seguridad
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
Taller impartido por Iván Portillo y Pedro Cisneros en IntelCon 2020 bajo el título "La reactividad del forense digital vs la proactividad de la inteligencia de amenazas".
En la actualidad, el análisis forense digital y la ciberinteligencia son disciplinas que se complementan a la perfección. La primera esta más enfocada a obtener evidencias “post mortem”, siendo un análisis totalmente reactivo. En cambio con la ciberinteligencia no solo pretendemos tomar la mejor decisión de mitigación frente a un incidente que ya ha comprometido algún activo de la organización, sino que nos permita anticiparnos de manera proactiva a posibles amenazas que aun no han entrado en contacto con nuestros activos digitales.
En el presente taller os mostraremos un análisis reactivo vs un análisis proactivo utilizando herramientas opensource. Por un lado analizaremos paso a paso una amenaza recién detectada de manera manual y por otro lado veremos cómo identificar otros TTPs o indicadores de compromiso que puedan llegar a estar relacionadas con la propia amenaza y que no han interactuado todavía con la organización.
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
Ponencia impartida en OSINTCity 2020 junto a mi compañero Gonzalo Espinosa, donde hablamos sobre los diferentes tipos de datos que pueden ser obtenidos con la ciberinteligencia y como categorizarlos por medio de una metodología automatizada de datos interconectados mediante la teoría de sistemas o grafos.
En la parte práctica mostramos una demo de como recopilar información de diversas fuentes partiendo de tres datos máximo de una organización objetivo. Con los datos recopilados tratamos de reconstruir un mapa virtual de los activos que están expuestos de la propia organización en Internet y finalizamos el ejercicio viendo estadísticas de la situación actual del objetivo en comparación con el resto de empresas de su sector a modo benchmarking.
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
Taller impartido en la Universidad de Alcalaá de Henares duraante loas jornadas de Ciberseguridad y Ciberdefensa. En el mismo se trata el desarrollo de herramientas que ayudan en la búsqueda de información en fuentes OSINT, para analizar y diseminar la información de valor, para finalmente crear herramientas de inteligencia para automatizar el proceso.
El alumno aprenderá a investigar un problema concreto y crear herramientas que permita resolverlo con una solución de manera rápida y óptima.
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
Seguridad actual
•
Que es un hacker?
•
La importancia de nuestros datos
•
OSINT
•
Fases de hacking
•
Ataques
•
Controla tu exposición digital
•
Como convertirse en un profesional de la seguridad
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
Taller impartido por Iván Portillo y Pedro Cisneros en IntelCon 2020 bajo el título "La reactividad del forense digital vs la proactividad de la inteligencia de amenazas".
En la actualidad, el análisis forense digital y la ciberinteligencia son disciplinas que se complementan a la perfección. La primera esta más enfocada a obtener evidencias “post mortem”, siendo un análisis totalmente reactivo. En cambio con la ciberinteligencia no solo pretendemos tomar la mejor decisión de mitigación frente a un incidente que ya ha comprometido algún activo de la organización, sino que nos permita anticiparnos de manera proactiva a posibles amenazas que aun no han entrado en contacto con nuestros activos digitales.
En el presente taller os mostraremos un análisis reactivo vs un análisis proactivo utilizando herramientas opensource. Por un lado analizaremos paso a paso una amenaza recién detectada de manera manual y por otro lado veremos cómo identificar otros TTPs o indicadores de compromiso que puedan llegar a estar relacionadas con la propia amenaza y que no han interactuado todavía con la organización.
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para descubrir qué es OSINT o la inteligencia de fuentes abiertas, cuál es el proceso de búsqueda y análisis de información así como las herramientas para llevarlo a cabo haciendo especial hincapié en el hacking con buscadores y las técnicas que se aplican. Más información: http://www.yolandacorral.com/osint-hacking-buscadores-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Enrique Rando, Vicente Aguilera, Jhon Jairo Hernández, Miguel Cotanilla y Rafael Otal.
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
La Concientizacion en Ciberseguridad es parte de la estrategia para enfrentar los ataques ciberneticos y los delitos de alta tecnología. Mientras mas conocimientos tengan los usuarios de las TICS menos incidentes ciberneticos se presentaran.
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
Todos los días despertamos con noticias sobre ataques que sufren las empresas. Este auge de ciberdelincuencia ha convertido a Internet en el Chicago de los años 30, en el Gotham de antes de que Bruce Wayne se convirtiera en Batman En esta charla veremos qué problemas nuevos enfrentamos los equipos de seguridad, y qué nuevas estrategias y herramientas podemos implantar para hacer frente a las amenazas, más reales que nunca, a las que nos enfrentamos. Y es que prefiero morir de pie, que vivir arrodillado.
En el artículo "Fuga de Información: ¿una amenaza pasajera?" se planteán definiciones y los aspectos fundamentales para comprender el concepto de fuga de información y cuáles son sus implicancias para los entornos corporativos y privados.
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
http://www.uid0.com.ar
Breve descripción de la charla:
La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para minimizar el impacto y se deben tener en cuenta la implementacion de procesos para mitigar en el caso desafortunado que así ocurra.
¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
Presentación realizada por César Jiménez (director técnico de buguroo) en el marco de la I Jornada de Criptografía "Hablando en Clave", celebrada en la Universidad Autónoma de Madrid el 16 de marzo de 2015.
Se trata de una presentación que analiza la criptografía desde la II Guerra Mundial hasta nuestros días, pensada para un público que no necesariamente se dedique a la criptografía o a la ciberseguridad. Tiene un marcado enfoque pedagógico.
La fuga de información como desafío en las empresas. Evitar la fuga de información se ha transformado en uno de los desafíos más importantes de los últimos tiempos para las organizaciones debido a factores internos y externos. Es necesario tomar las medidas de seguridad necesarios ante empleados infieles y/o descontentos que buscarán perjudicar a la organización y beneficiarse a sí mismos. Ante los incrementos y perfeccionamiento de los ataques externos y dirigidos es necesario contar con personal que piense como un atacante. La presentación hace un análisis de estos factores y de las formas de prevención para evitar fugas de información.
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
Tras el atentado de diciembre de 2019 en la base aérea de Pensacola se reabre el debate entre el FBI y Apple acerca de las medidas de privacidad que pueden interferir en investigaciones policiales.
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
Técnicas de búsqueda y análisis de fuentes abiertas dictado en el 2do Entrenamiento de Cibercrimen.
Emiliano Piscitelli y Carlos Loyo (Especialistas e Ingeniería Social y Análisis de fuentes abiertas)
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para analizar en qué consiste la ingeniería social. En materia de seguridad siempre se dice que los humanos somos el eslabón más débil de la cadena y es que existe todo un arte desarrollado en conseguir que bajemos la guardia y aportemos un montón de información personal que puede volverse en nuestra contra tarde o temprano. La ingeniería social es el conjunto de técnicas que sirve para obtener dicha información personal y realizar así ataques más dirigidos. Más información: https://www.yolandacorral.com/ingenieria-social-ciberdebate-palabra-hacker/
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Manuel Guerra, Pablo F. Iglesias y Manuel Camacho.
El desarrollo de modelos basados en Machine Learning con Python son caros, temporal y computacionalmente hablando. Reducir el tiempo (y la CPU!) invertido en desarrollar un modelo de Machine Learning es importante, especialmente si usamos entornos cloud como AWS.
En esta charla introduciremos cómo funciona a alto un modelo de Machine Learning y las fases por las que pasa para llegar a ser un modelo en producción. Posteriormente, introduciremos GraalVM, la nueva máquina virtual del ecosistema Java que es capaz de ejecutar código en Python y R mejorando considerablemente su rendimiento.
Una charla en la que vamos repasando todos los puntos que deberían revisarse y que en muchos casos necesitan una puesta a punto o implementación a medida en Google Analytics.
Google nos ofrece una herramienta que parece hacerlo todo bien por defecto, pero la realidad luego es que muchas veces vemos datos que no son del todo exactos.
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para descubrir qué es OSINT o la inteligencia de fuentes abiertas, cuál es el proceso de búsqueda y análisis de información así como las herramientas para llevarlo a cabo haciendo especial hincapié en el hacking con buscadores y las técnicas que se aplican. Más información: http://www.yolandacorral.com/osint-hacking-buscadores-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Enrique Rando, Vicente Aguilera, Jhon Jairo Hernández, Miguel Cotanilla y Rafael Otal.
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
La Concientizacion en Ciberseguridad es parte de la estrategia para enfrentar los ataques ciberneticos y los delitos de alta tecnología. Mientras mas conocimientos tengan los usuarios de las TICS menos incidentes ciberneticos se presentaran.
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
Todos los días despertamos con noticias sobre ataques que sufren las empresas. Este auge de ciberdelincuencia ha convertido a Internet en el Chicago de los años 30, en el Gotham de antes de que Bruce Wayne se convirtiera en Batman En esta charla veremos qué problemas nuevos enfrentamos los equipos de seguridad, y qué nuevas estrategias y herramientas podemos implantar para hacer frente a las amenazas, más reales que nunca, a las que nos enfrentamos. Y es que prefiero morir de pie, que vivir arrodillado.
En el artículo "Fuga de Información: ¿una amenaza pasajera?" se planteán definiciones y los aspectos fundamentales para comprender el concepto de fuga de información y cuáles son sus implicancias para los entornos corporativos y privados.
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
http://www.uid0.com.ar
Breve descripción de la charla:
La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para minimizar el impacto y se deben tener en cuenta la implementacion de procesos para mitigar en el caso desafortunado que así ocurra.
¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
Presentación realizada por César Jiménez (director técnico de buguroo) en el marco de la I Jornada de Criptografía "Hablando en Clave", celebrada en la Universidad Autónoma de Madrid el 16 de marzo de 2015.
Se trata de una presentación que analiza la criptografía desde la II Guerra Mundial hasta nuestros días, pensada para un público que no necesariamente se dedique a la criptografía o a la ciberseguridad. Tiene un marcado enfoque pedagógico.
La fuga de información como desafío en las empresas. Evitar la fuga de información se ha transformado en uno de los desafíos más importantes de los últimos tiempos para las organizaciones debido a factores internos y externos. Es necesario tomar las medidas de seguridad necesarios ante empleados infieles y/o descontentos que buscarán perjudicar a la organización y beneficiarse a sí mismos. Ante los incrementos y perfeccionamiento de los ataques externos y dirigidos es necesario contar con personal que piense como un atacante. La presentación hace un análisis de estos factores y de las formas de prevención para evitar fugas de información.
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
Tras el atentado de diciembre de 2019 en la base aérea de Pensacola se reabre el debate entre el FBI y Apple acerca de las medidas de privacidad que pueden interferir en investigaciones policiales.
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
Técnicas de búsqueda y análisis de fuentes abiertas dictado en el 2do Entrenamiento de Cibercrimen.
Emiliano Piscitelli y Carlos Loyo (Especialistas e Ingeniería Social y Análisis de fuentes abiertas)
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para analizar en qué consiste la ingeniería social. En materia de seguridad siempre se dice que los humanos somos el eslabón más débil de la cadena y es que existe todo un arte desarrollado en conseguir que bajemos la guardia y aportemos un montón de información personal que puede volverse en nuestra contra tarde o temprano. La ingeniería social es el conjunto de técnicas que sirve para obtener dicha información personal y realizar así ataques más dirigidos. Más información: https://www.yolandacorral.com/ingenieria-social-ciberdebate-palabra-hacker/
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Manuel Guerra, Pablo F. Iglesias y Manuel Camacho.
El desarrollo de modelos basados en Machine Learning con Python son caros, temporal y computacionalmente hablando. Reducir el tiempo (y la CPU!) invertido en desarrollar un modelo de Machine Learning es importante, especialmente si usamos entornos cloud como AWS.
En esta charla introduciremos cómo funciona a alto un modelo de Machine Learning y las fases por las que pasa para llegar a ser un modelo en producción. Posteriormente, introduciremos GraalVM, la nueva máquina virtual del ecosistema Java que es capaz de ejecutar código en Python y R mejorando considerablemente su rendimiento.
Una charla en la que vamos repasando todos los puntos que deberían revisarse y que en muchos casos necesitan una puesta a punto o implementación a medida en Google Analytics.
Google nos ofrece una herramienta que parece hacerlo todo bien por defecto, pero la realidad luego es que muchas veces vemos datos que no son del todo exactos.
Objetivo: Presentar las tendencias tecnológicas, destacando al BlockChain, con mayor impacto en los últimos años y de gran potencial como factores disruptores de organizaciones y los hábitos de las personas.
Descripción: Vivimos un momento donde el ritmo de innovación es más veloz de la capacidad del ser humano para digerir y aprovechar todas las oportunidades que los avances tecnológicos nos brinda. Cambios diruptivos a los que no podemos poner barreras, ni frenos y nos vemos de forma gradual inmersos en su utilización, aplicación, generación de nuevas ideas y modelos de negocio, y un amplio abanico de temas abiertos a la investigación. Por ello considero relevante hacer una reflexión sobre tecnologías como BlockChain, cuya sinergía con el Internet de las Cosas (IoT) va más allá de las aplicaciones del Big Data y las cada vez más presentes Smart Cities. Estamos ante un reto, que algunos autores denominan la Internet del Valor, para comprender ese valor pretendo demostrar con casos prácticos y aplicaciones actuales dónde estas tecnologías se mezclan tanto y se fusionan para lograr beneficios para el mundo, sin dejar de lado que como casi todo en la vida también trae riesgos que debemos saber minimizar.
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
Be Aware Webinar - Asegurando los pos en retail
-Panorama de las amenazas
-Evolución del malware del POS
-Anatomía de un ataque a Retail
-Piedras angulares para la protección del POS
-Portafolio Symantec
-Protegiendo el IoT
-Ligas de interés
26. december 2nd 2015
La ética, la #privacidad digital y la #ciberseguridad, están cobrando gran relevancia, y son una de las principales #tendenciastecnológicas de hoy y del futuro, asegurando un entorno confiable para gobiernos, empresas y personas.
Webinar: https://www.youtube.com/watch?v=0Fw-J2dIGfE
Blog post: https://www.iti.es/blog/ciberseguridad-en-el-cloud-y-es-que-eso-no-puede-hacerlo-otro/
Es posible que estés leyendo esto mientras piensas “¿es que la ciberseguridad en el Cloud no la hace ya otro?”. Si ese es el caso, te recomiendo que continúes leyendo este artículo, porque seguro que te van a sorprender muchas cosas.
La tierra prometida del Cloud nos ha hecho creer que no tenemos que preocuparnos de muchas cosas de las que antes si que nos preocupábamos, como por ejemplo “cosas de sistemas” o “cosas de redes” pero… ¿que hay de las “cosas de seguridad”?
Seguridad de información para criptoactivosEudy Zerpa
Documento que soporta la charla Seguridad de Información para Criptoactivos orientada a Empresas emergentes y Startups Fintech responsables por el almacenamiento, custodia y gestión de Criptomonedas y Criptoactivos en general.
¿Quién responde sobre seguridad en el cloud? Debería estar claro, pero la realidad es otra. Hay debate sobre qué es responsabilidad del proveedor del Cloud y qué es responsabilidad de los desarrolladores. Si a esta divergencia añadimos el hecho de que las técnicas de seguridad clásica no son válidas (o al menos, no eficaces) en entornos dockerizados, tenemos un coctel mortal, que los amigos de lo ajeno están explotando a diario y con mucho éxito. En esta charla debatiremos sobre la responsabilidad de cada uno de los actores. Veremos los nuevos ataques, y cómo podemos protegernos de ellos
Webinar: Ciberseguridad en los sistemas industrialesTGS
En este Webinar presentamos la nueva realidad que representa la Industria 4.0 y cómo, para aprovechar sus bondades y ventajas, es necesario considerar a la ciberseguridad como parte del riesgo operacional de estas organizaciones.
III. DIRIGIDO A
Gerentes y Staff de Operaciones, Planta, Riesgos y Seguridad de la Información, así como a consultores y profesionales vinculados al mundo industrial que tengan relación con el tema.
IV. TEMARIO
La convergencia IT / OT
La realidad de los sistemas de control industriales
Los principales desafíos a considerar
Las mejores prácticas de ciberseguridad para entornos OT
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web y de caja negra
Desde The Cocktail Analysis presentamos "Panorama actual de la ciberseguridad en España", un estudio que ha servido como marco para la presentación del nuevo plan de acción de Google vinculado a este ámbito. En este diagnóstico damos respuestas y aportamos cifras a diferentes cuestiones: ¿Cómo nos protegemos ante las amenazas del ciberespacio? ¿Cómo hace frente el tejido empresarial español - compuesto en su mayoría por pymes- a los nuevos riesgos online? ¿Cuál es la percepción de los principales actores políticos y económicos ante el acelerado incremento del número de ciberataques a nivel mundial?
Estos son los Insights principales:
• Pymes: el 99.8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque. Esto se traduce en que casi 3 millones de empresas en España están poco o nada protegidas contra hackers. La cultura de la ciberseguridad en las pymes españolas es todavía reactiva. Tan sólo un 36 % de las pymes encuestadas tienen establecidos protocolos básicos de seguridad, como la verificación de dos pasos para el correo de empresa, y el 30 % de las webs no disponen del protocolo https. La pyme es el eslabón más vulnerable de esta cadena, por falta de medios, tiempo, e incluso concienciación. El 60% de las pymes europeas que son víctimas de ciberataques desaparece en los seis meses siguientes al incidente, muchas veces lastradas por el coste medio del ataque, que suele rondar los 35.000 euros.
• Grandes empresas y gobiernos: tienen cada vez más presente la ciberseguridad en sus planes de acción. En España, el CNI-CERT, Centro Criptológico Nacional, detectó 38.000 incidentes de ciberseguridad - ataques al sector público - en 2018, lo que supone un incremento del 43% respecto al año anterior. En contrapartida, la ciberseguridad gana más relevancia en la agenda pública: por primera vez todos los partidos políticos incluyeron en sus programas electorales alguna medida relacionada con la necesidad de garantizar la seguridad en internet. El 84% de las empresas españolas incrementará su inversión en ciberseguridad en los próximos tres años, y destinará a ello un mínimo del 10% de su presupuesto informático.
• Usuarios: existe un nivel elevado de concienciación, pero no se traduce en una implementación de protocolos de seguridad. Un 62% manifiesta conocer protocolos https y un 75% conoce y utiliza la verificación en dos pasos en sus compras, transacciones bancarias, etc. Sin embargo, solamente:
- El 14% actualiza sus contraseñas con regularidad.
- El 21% hace regularmente copias de seguridad de sus archivos y actualiza los sistemas operativos de sus dispositivos
¿Cómo abordamos el proyecto?
- Análisis de fuentes secundarias sobre cifras e indicadores básicos del ámbito de la ciberseguridad.
- 14 entrevistas con profesionales de la administración pública y responsables de las grandes corporaciones.
- 720 encuestas telefónicas a pymes.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Transformación digital y el nuevo paradigma de TI Software Guru
En este webinar hablaremos sobre ¿qué es la transformación digital y cuáles son sus consecuencias para las organizaciones y profesionistas de TI? ¿Qué impacto tiene la transformación digital en la forma en la forma en que se gestionan las TICs en las empresas?
El primer webinar de la serie “Camino a SG Next”, donde platicaremos sobre temas que estarán presentes en el congreso SG Next a realizarse el 30-31 de agosto 2016.
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
Esta presentación tiene como objetivo mostrar los riesgos de entornos móviles y las herramientas de hacking que existen baja la categoría de software libre.
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu softwareFrancisco Javier Barrena
Google Chrome ya ha empezado a bloquear las 3rd Party Cookies. A partir del Q1 de 2024, el 1% de todos los Chromes del mundo empezarán a bloquear cookies de terceros, y progresivamente se extenderá a toda la fucking internet.
“¡Ya era hora de que bloquearan eso!” “¡Eso eso! Que les den a todos los que trackean tu actividad!”
Pero queridos, las cookies de terceros no solo se usan para el mal. Hay muchísimas aplicaciones, desde SSO, CDN load balancing, headless CMS, 3rd party API calls, chats embebidos, que las utilizan. Si tu aplicación tiene un iframe embebido, casi 100% que esto va te va a afectar. Si tienes una aproximación de microfrontends, oh amigo, si que te va a afectar de verdad. De hecho, hay incluso protocolos de interoperabilidad que funcionan con 3rd party cookies (CMS, LMS, etc.).
El impacto es potencialmente grande. En esta charla hablaremos de qué son exactamente las 3rd party cookies, y por qué quieren cargárselas. Y por supuesto, veremos qué alternativas tenemos.
Si tu API es pública, y lo será al 99% de probabilidades, está expuesta a ataques. "Aiii, pero es que mi API no está documentada, y nadie sabe donde está, entonces no me la pueden atacar" - Dice un developer (/) ( ? ?° ? ? ? ?°) ?? ??
Claro que si guapi... Los ataques a APIs se han incrementado un 681% en los últimos 12 meses, y eso tiene una razón. Generalmente, no se protegen adecuadamente, y son una manera estupenda de exfiltrar datos ya que en muchas ocasiones ni siquiera se monitoriza. En este taller veremos cómo securizar una API de forma práctica, y divertida ;)
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...Francisco Javier Barrena
Kubernetes se utiliza a lo alto y largo del ciberespacio como solución para escalar y desplegar aplicaciones basadas en la nube. Es de hecho el estándar de facto, y está implementado tanto en la nube pública (Azure, AWS, Google Cloud Platform, etc.) como en la nube privada (Rancher, OpenShift, Portainer, etc.). Los equipos de desarrollo y operaciones se han dado cuenta de las ventajas que ofrece, ¿pero se han parado a pensar en las medidas de seguridad que se deben aplicar? En un contexto en el cual las empresas se ven cada día más atacadas, la seguridad del motor que ejecuta TODAS tus aplicaciones se ha vuelto un objetivo evidente para los malos, dado que si comprometes a Kubernetes, comprometes a todo lo que corre sobre él. En esta charla veremos los riesgos específicos a los que se enfrenta Kubernetes, y qué contramedidas podemos aplicar para que nuestros Pods sean más duros que una lluvia de hachas.
Aparentemente, de la nada aparece Rust. Toda persona que lo toca, lo ama, y se convierte en un acólita y férrea defensora, pero ¿porque? ¿Porqué Facebook, AWS, Microsoft y todos los grandes se han metido en la Rust Foundation? En esta charla veremos qué es Rust, que aporta nuevo respecto al resto de lenguajes, y cuales son sus casos de uso más interesantes. También os contaremos porqué hemos elegido Rust como lenguaje de referencia para los desarrollos de software complejos, os enseñaremos cómo lo usamos y qué utilidades nos funcionan mejor. Lo tenemos claro. Este es el camino.
No nos hagamos los locos, la seguridad no solo depende de los 'security-guys'. Desde luego, el equipo de seguridad es fundamental, pero su vida será menos infernal si el software que tienen que proteger es más seguro.
Los desarrolladores tenemos nuestra parte de responsabilidad en esto también. No podemos ponernos de lado. Tenemos que hacer lo que mejor se nos da, mejorar nuestros procesos para que nuestros desarrollos sean más seguros.
En esta charla veremos en qué consiste el ciclo de DevSecOps, sus herramientas y sus mejores prácticas.
¡Y es que nuestro código no puede ser el eslabón más débil!
Si hablamos de javascript del lado del servidor, todos pensamos en Node, pero lo cierto es que prácticamente nadie utiliza Node puro. Lo más habitual es acompañar a Node con otros frameworks que nos faciliten la tarea, como Express o Loopback. Si bien estos frameworks son estupendos, no promueven un código mantenible ni aplican patrones, como la inyección dependencias, que convenza a los desarrolladores enamorados de paradigmas como Java o .NET. NestJS es un nuevo framework para el desarrollo de backends basados en Node que convencerá, por fin, a los más vetustos developers. Talk is cheap...
El frontend ha evolucionado vertiginosamente en los últimos años. Nuevas arquitecturas, y promesas de reutilización de componentes, han empujado a los desarrolladores de todo el mundo a abrazar nuevas tecnologías como Angular, React o Vue. Pero nos engañaron. La reutilización de componentes solo era prometida si te mantenías fiel al framework en el cual lo habías desarrollado. Hasta ahora. Angular 6 introduce una nueva característica, Angular Elements, que permite desarrollar componentes en Angular y ejecutarlos en cualquier framework.
Llevamos unos años de transición hacia el cloud. Esto significa un gran volumen de negocio en movimiento, que los grandes de internet (Amazon, Google, Microsoft, IBM…) quieren captar a casi cualquier precio. En esta batalla encarnizada por nuestro software, empezamos perdiendo los developers… si elegíamos un proveedor de Cloud y luego queríamos cambiar a otro era a costa de nuestro sudor y de nuestra sangre.
Afortunadamente para nosotros, uno de estos Big Players estaba perdiendo la guerra: Google. El mercado del Cloud estaba repartiéndose desigualmente a favor de Amazon (principalmente) y Azure (Microsoft). Google Cloud no terminaba de despegar, y eso hizo que Google se replanteara su estrategia. En lugar de competir como proveedor de Cloud, iba a hacer un movimiento que siempre le había dado resultado: pensar en los developers. Así surgió Kubernetes, un sistema Open Source para automatizar el despliegue automático de aplicaciones, su escalado y que nos ayuda a gestionar las aplicaciones basadas en contenedores.
Hoy en día, Kubernetes es el estándar de facto. Todos los proveedores Cloud (Amazon, Azure, Google Cloud, Bluemix…) implementan Kubernetes. Ahora los desarrolladores tienen el poder de cambiar de proveedor sin demasiado dolor. Además, Kubernetes ha favorecido la aparición de nuevos paradigmas y herramientas para la gestión automatizada de aplicaciones escalables basadas en Cloud, como por ejemplo el concepto de Infraestructure as a Code, implementado por Terraform.io
En este seminario introduciremos Kubernetes, veremos sus puntos más interesantes y guiaremos a los asistentes a través de un ejemplo basado en un proyecto real.
¿Estás cansado de que los noderos te culpen de que tu WAR ocupe 200Mb?
¿Sientes que para usar Docker y Kubernetes tienes que ir a morir a Node o Python, porque Java esta 'viejo'?
¿Crees que no puedes usar en cloud la plataforma que amas?
En esta charla introduciremos Quarkus.io, un nuevo framework pensado para trabajar directamente sobre Kubernetes y Java, que usa por debajo GraalVM. Tus empaquetados pasarán de 218 a 35Mb, y el arranque de tu aplicación de 10 a 0.055 segundos! y contaremos nuestra experiencia desarrollando con Quarkus.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
2. @DogDeveloper
#T3chDays5
Who’s that guy
• Security Advocate & Software Architect en @ITI_TIC
• Actualmente en proyectos de investigación de
ciberseguridad en entornos cloud y detección basada en
Machine Learning
• +10 años con proyectos comerciales
• Profesor en Máster Big Data Analytics de
Universidad Politécnica de Valencia
• Profesor en curso de especialista universitario en
Esquema Nacional de Seguridad en la Universidad
de Mondragón
• Formador y ponente
• +60 cursos y charlas
https://www.linkedin.com/in/fjbarrena
https://twitter.com/DogDeveloper
https://github.com/fjbarrena
https://www.slideshare.net/fjbarrena
9. @DogDeveloper
#T3chDays5
• La mayoría de ataques no son demasiado
sofisticados… pero es que se lo ponemos
muy fácil
• Centraros en resolver lo fácil, lo
previsible. Cuando estéis en ese punto, ya
os preocuparéis de los más inverosímil
• La ciberdefensa no es un sprint, es una
maratón. Requiere entrenamiento y
tiempo, empieza por correr en carreras
más pequeñas y ves subiendo el nivel
poco a poco
Normalmente os diría…
12. @DogDeveloper
#T3chDays5
• Por lo general, el IOT es inseguro
• No se invierte en securizar tu aplicación que gestiona las
nóminas, se va a invertir en securizar un maldito acuario…
• ¿Entonces no compro IOT y tengo que darle de comer a
los peces a mano como UN ANIMAL?
• O eso, o bien montas una WIFI alternativa, que no tenga
acceso a elementos sensibles de tu empresa como la base
de datos de tus clientes HULIO
• No se trata de evitar usar tecnología, se trata de planificar
cómo usarla sin aumentar tus riesgos de seguridad
The rise of the iot
13. @DogDeveloper
#T3chDays5
•Compra IOTs con buenas prácticas de seguridad
• Que tengan contraseña estaría bien…
• Que mandaran la información cifrada estaría mejor…
• Que pudieran actualizar su firmware / SO estaría aún mejor…
• Que la WIFI de los IOTs esté aislada del resto de redes de tu
infraestructura
• Así evitamos que si nos comprometen el IOT nos puedan entrar
en la base de datos de clientes…
• Si no puedes, al menos segmenta tu red y coloca firewalls en la
entrada de cada subred para cortar tráfico extraño
• Monitoriza, monitoriza y monitoriza
The rise of the iot
14. @DogDeveloper
#T3chDays5
medidas
Victim Organizations
Figure 59: Median Loss Based on Presence of Anti-Fraud Controls
Control Percent
of Cases
Control in
Place
Control Not
in Place
Percent
Reduction
Proactive Data Monitoring/Analysis 36.7% $92,000 $200,000 54.0%
Management Review 64.7% $100,000 $200,000 50.0%
Hotline 60.1% $100,000 $200,000 50.0%
Management Certification of Financial Statements 71.9% $104,000 $205,000 49.3%
Surprise Audits 37.8% $100,000 $195,000 48.7%
Dedicated Fraud Department, Function, or Team 41.2% $100,000 $192,000 47.9%
Job Rotation/Mandatory Vacation 19.4% $89,000 $170,000 47.6%
External Audit of Internal Controls over Financial Reporting 67.6% $105,000 $200,000 47.5%
Fraud Training for Managers/Executives 51.3% $100,000 $190,000 47.4%
Fraud Training for Employees 51.6% $100,000 $188,000 46.8%
Formal Fraud Risk Assessments 39.3% $100,000 $187,000 46.5%
Employee Support Programs 56.1% $100,000 $183,000 45.4%
Anti-Fraud Policy 49.6% $100,000 $175,000 42.9%
Internal Audit Department 73.7% $123,000 $215,000 42.8%
Code of Conduct 81.1% $120,000 $200,000 40.0%
Rewards for Whistleblowers 12.1% $100,000 $163,000 38.7%
Independent Audit Committee 62.5% $114,000 $180,000 36.7%
External Audit of Financial Statements 81.7% $150,000 $175,000 14.3%
Figure 60: Median Duration of Fraud Based on Presence of Anti-Fraud Controls
La medida más efectiva
para reducir los fraudes,
pero de las menos
usadas.
La medida más
extendida, pero
la menos
efectiva
16. @DogDeveloper
#T3chDays5
The rise of the iot
•¿De verdad estás en un
restaurante
encendiendo el horno
por bluetooth?
•Deshabilita las opciones
que no utilices
•No compres features
que no necesitas…
20. @DogDeveloper
#T3chDays5
•El cibercrimen es muy lucrativo
• Algunos dicen que mueve más dinero que el narcotráfico
•La escalada armamentística en el lado de los malos
está siendo muy significativa
• Se contratan ingenieros para desarrollar herramientas
que serán utilizadas para estafas y engaños
• Uno de los primeros ataques que hacen uso de IA es el
vishing (voice phishing)
• Utilizando Machine Learning y con un conjunto de datos
públicos, son capaces de generar un DEEPFAKE para
engañar a través de una llamada telefónica
vishing
21. @DogDeveloper
#T3chDays5
• Este caso (2019):
• Sucursal de UK de una multinacional alemana
• El CEO alemán tiene muchos videos y charlas en Internet
• Los malos cogieron esos videos y entrenaron un modelo
de Machine Learning que imitaba su voz
• Escriben el texto que quieren que diga
• Y el software lo habla con las peculiaridades de la víctima
• Llamaron al CEO de la sucursal de UK y, usando la voz del
CEO alemán, ordenaron un pago de más de 250.000€ a
un supuesto proveedor húngaro
• Como tuvieron éxito, lo repitieron, con una cifra mucho
más astronómica, que levantó sospechas
• En cualquier caso, nunca recuperaron los 250.000€
vishing
22. @DogDeveloper
#T3chDays5
•Técnicamente es bastante difícil parar estos ataques
•El éxito de estos ataques evidencian una carencia en
los procesos en una empresa, y de eso se
aprovechan los malos
• Por muy CEO que seas, ni siquiera tú deberías estar por
encima de los procesos
• La mejor defensa en estos casos es tener varios filtros y
realizar comprobaciones antes de transferir un pastizal a
una cuenta húngara…
• Implanta un proceso en tu empresa, añade
comprobaciones rigurosas y no permitas que nadie se la
salte, ni siquiera tú
vishing
24. @DogDeveloper
#T3chDays5
• Muchas infraestructuras críticas, como los hospitales, no mantienen
una buena higiene de ciberseguridad
• Tampoco los ayuntamientos por ejemplo, aunque no se si tildarlo de
infraestructura crítica ;)
• Son por tanto objetivos plausibles para ciberdelincuentes sin
demasiados escrúpulos…
• Juegan no solo con el volúmen y la sensibilidad de los datos
• Si no también con la urgencia de reponerse al ciberataque
• Ya que estos ataques pueden llegar a paralizar operaciones y ser un riesgo
para la salud de los pacientes
•Esto es más habitual de lo que nos pensamos
infraestructuras críticas
29. @DogDeveloper
#T3chDays5
• Ni siquiera la protección de infraestructuras críticas parece ser
robusta
•Y es que la ciberseguridad es difícil
• Y no me refiero a que ”escaseen perfiles cualificados”
• HAY perfiles cualificaos
• Lo que NO ABUNDA son perfiles cualificados a precio de CRIMPACABLES
• Me refiero a que la seguridad de una infraestructura o un sistema es un
CONTINUO
• No se invierte una vez al año para pasar la certificación…
• Es un trabajo continuo, constante y minucioso que requiere que DIRECCIÓN
lo VALORE ADECUADAMENTE y deje de considerarlo como un GASTO
infraestructuras críticas
30. @DogDeveloper
#T3chDays5
• No hay balas de plata
• Mantén tu infraestructura actualizada
• Reduce la superficie de ataque
• Sigue el principio del mínimo privilegio
• Evita tener software del año de la POLKA
• Añade elementos de protección, “cuantos más mejor”
(seguridad por capas)
• MONITORIZA, MONITORIZA, MONITORIZA
• Y que alguien esté pendiente de lo que monitorizas
claro…
• Las certificaciones, los sellos y las MAMANDURRIAS
están muy bien, pero CÉNTRATE EN TRABAJAR
infraestructuras críticas
33. @DogDeveloper
#T3chDays5
• El propio desarrollo de software, y las fases por las que éste pasa, se
considera un objetivo
• Pensadlo, ¿qué hay en vuestro Git y en vuestro pipeline de CI/CD?
• Primero, código. El código hace cosas. Literalmente, puede hacer cualquier
cosa que programes en él…
• Y ese código tiene dependencias… que también es código, y que también pueden hacer cualquier
cosa…
• Segundo, histórico. No solo está el código actual, también está cualquier
commit que se hizo en cualquier momento de la historia de ese proyecto
• Si subiste una contraseña por error, está en el histórico
• Tercero, contraseñas, API Keys... Si, y subidas a propósito… Y de muchas
clases: base de datos, servicios en la nube, entornos de develop, testing,
staging y producción…
• A veces, incluso hay volcados de bases de datos de producción, con sus
usuarios y sus contraseñas…
• ¿Cómo no va a ser un objetivo?
Developers, developers, developers, developers
34. @DogDeveloper
#T3chDays5
• Por otra parte, los desarrolladores no siempre somos diligentes en
temas de seguridad…
• Tenemos muchas features que liberar y poco tiempo para hacerlo
• No solemos tener herramientas de análisis de seguridad en nuestros
pipelines
• A duras penas tenemos de test…
• No solemos gestionar las vulnerabilidades de las dependencias de nuestros
proyectos software
• Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil
• No solemos tener herramientas que evalúen la seguridad de nuestro código
• No solemos prestar atención a la seguridad cuando construimos imágenes
Docker, etc.
Developers, developers, developers, developers
36. @DogDeveloper
#T3chDays5
• Por otra parte, los desarrolladores no siempre somos diligentes en
temas de seguridad…
• Tenemos muchas features que liberar y poco tiempo para hacerlo
• No solemos tener herramientas de análisis de seguridad en nuestros
pipelines
• A duras penas tenemos de test…
• No solemos gestionar las vulnerabilidades de las dependencias de nuestros
proyectos software
• Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil
• No solemos tener herramientas que evalúen la seguridad de nuestro código
• No solemos prestar atención a la seguridad cuando construimos imágenes
Docker, etc.
Developers, developers, developers, developers
39. @DogDeveloper
#T3chDays5
• Os recomiendo empezar por:
• SonarQube para análisis de vulnerabilidades en vuestro código
• OWASP Dependency Track para la gestión de vulnerabilidades en las
dependencias
• Puedes integrarlo en tu pipeline de CI/CD con la ALUCINANTE UTILIDAD…
Developers, developers, developers, developers
https://www.npmjs.com/package/@fjbarrena/dtrack-cli
47. @DogDeveloper
#T3chDays5
• Cómo continuar:
• Configura los equipos de los developers con algún hook de git para evitar el
pusheo de credenciales
• Monitoriza tu base de código en búsqueda de leaks de datos, contraseñas,
etc.
• Siempre hay algún listillo que se desinstala el hook
• Si lo encuentras, golpe de remo
• Activa 2FA en general (Git, NPM…)
• ¿Y si firmas los commits a Git?
• Lo sé, es un coñazo…
• Plantéate usar alguna tecnología como Vault para gestionar las credenciales
y secrets de tus proyectos
• Es muuuuy interesante
• Añade a tus arquitecturas elementos específicos de seguridad como un
WAF, RASP o WAAP
• Que son como que lo mismo pero con nombres marketinianos diferentes
Developers, developers, developers, developers
https://www.vaultproject.io/