En Noviembre llega este año la 8.8 TRECE, una nueva edición de la CON de Hackers & Hacking por excelencia en Chile, que empuja el grandísimo Gabriel Bergel desde "que yo era pequeñito", haciendo que la comunidad de hacking esté más viva que nunca en la región. Y yo me he sumado a participar en esta edición, aunque será en remoto.
Yo estaré el segundo día, el día 10 de Noviembre dando la keynote de apertura a la hora de mi comida, para hablar de "IA & Ciberseguridad", que ya sabéis que es un tema que me tiene muy enganchado últimamente. Además, todos los asistentes tendrán 100 Tempos de MyPublicInbox gratis con solo asistir, y allí podrás comprar los libros de 0xWord, que ya están allí esperando para que puedas tener el que quieras. Ahí los tienes.
— 8.8 TR3CE - 9 y 10 de noviembre, Stgo-Chile (@8dot8) August 2, 2023
Pero no soy yo el único que estaré con mi foco en Chile esos días, ya que el día 14 de Noviembre están también en Santiago mis amigos Dani, Krespo, Lázaro y Álex de Despistaos en su Gira 20 Aniversario, en el Club Chocolate a las 21:00 horas.
Así que si eres de Chile, y vas a estar por allí, apúntate a las dos citas que tienes por delante, la 8dot8 TRECE y la Gira 20 Aniversario de los Despistaos, para que no digas que en Santiago de Chile no pasan cosas "guays".
Figura 9: 17 preguntas más de Ciberseguridad, Hacking e IA y sus respuestas que me hicieron en la sesión de apertura del Campus de Ciberseguridad
Eso sí, las respondo de forma breve, y os invito a todos los lectores a que dejéis vuestra respuesta también a algunas, a que completéis las mías o a que opinéis de forma diferente a como opino yo. Ahí van.
16.- Soy fotógrafo. Cuál sería la razón por la que habría que indicar que algo está hecho usando como herramienta la I.A. y no en algo que está hecho con otro tipo de herramientas como una cámara fotográfica que te realiza una fotografía automáticamente sin saber nada de fotografía... Yo considero la I.A. como una herramienta como cualquier otra.
O que se ha usado Photoshop, filtros de belleza, o correcciones de color. Al final una foto es una proyección y son más los puristas los que defienden eso. La polémica del premio de fotografía que ganó una foto generada por IA creo mucho ruido. Pero yo creo que es igual que en las redes sociales se debe indicar cuándo se está utilizando un filtro de belleza, o la técnica utilizada en conseguir un FX en una determinada instantánea. Yo creo que hay un amplio abanico de posibilidades y caben todas las opiniones y opciones.
17.- Hola chicos, quería saber que pensáis del sector de la ciberseguridad en europa a nivel general, a día de hoy, no resido en España y quería saber un poco el panorama en base a vuestra experiencia.
Pues en España, en Europa y en Hispam, hay muchas posiciones abiertas en todos los roles de ciberseguridad. Yo te recomiendo que eches un ojo a las posiciones que tenemos abiertas en Telefónica, donde verás que tenemos plazas en Alemania, Inglaterra, España, Colombia, Argentina, etcétera. Es más que tú elijas dónde quieres trabajar, en qué, te formes bien, y pases el proceso.
18.- Me gustaría saber cómo impactan todas estas nuevas tecnologías en materia de concienciación en los usuarios, ya que por muchas medidas de seguridad que haya implementadas, el usuario sigue siendo el vector de entrada más explotado
Los usuarios, los empleados, los jefes, y las personas en general. Por desgracia, aún seguimos exigiendo al usuario que sea capaz de reconocer un phishing, que sea capaz de configurar un segundo factor de autenticación, o que proteja su biometría, cuando saber cómo funciona SPF, DKIM, PGP, S/MIME, L2TP, PPTP, TLS, o demás tecnologías de seguridad debería ser más transparente para el usuario. Hablé de esto en el artículo de “Mea culpa, Penny!”
Yo soy de la teoría de Bruce Shneier en su libro de “Haga clic aquí para matarlos a todos”, de que hay que ser más exigentes en términos de seguridad con las empresas que proveen software y olvidar ya las licencias de “me eximo de toda responsabilidad y este software se licencia como está y punto”.
19.-¿Creéis que las nuevas tecnologías serán más seguras o todo lo contrario?
Creo que cada vez hacemos software más seguro, pero… tiene trampa. Al final, el número de bugs por cada millar de líneas de código que se ejecutan se ha reducido, pero es que el número de líneas de código que se ejecutan, ha crecido en varios órdenes de magnitud. Por eso, cada vez hay que buscar más para localizarlas y valen tanto dinero. Eso ha hecho que sea posible ganarse la vida con los Bug Bounty siendo cazarecompensas.
Así que, hacemos software más seguro pero la seguridad de las tecnologías que utilizamos, se mantienen en el mismo nivel, más o menos, en los últimos años, donde el número de bugs que se descubren sigue creciendo año a año.
20.-¿Cuáles son los desafíos más comunes (actualmente) que las empresas enfrentan en términos de ciberseguridad?
Los desafíos más comunes, y para mí “el” desafío más importante, es transformarse a la velocidad que exige el mercado pero de manera segura. Y ese es el reto. Hoy en día la tecnología es un disruptor en todos los mercados, y para las empresas de ese mercado la velocidad de transformación y adaptación es fundamental, así que hay que hacerlo de forma ágil, pero… a la vez de forma segura
Y ese es el gran reto. Cambiar a un nuevo entorno y salir de la zona de confort siempre da miedo, pero si encima no se conocen bien esas tecnologías y se hace sin seguridad, puede ser desastroso.
21.- ¿De qué manera encajaría un abogado de Nuevas tecnologías en el sector?
Para mí, los abogados son fundamentales y en mi equipo son los grandes facilitadores de la innovación, porque no me dicen: “No”. Sino … “de esta forma”. Innovar siempre es empujar los límites, y el derecho es un marco lleno de límites que hay que cumplir. Son los que me permiten lanzar nuevos proyectos. Sin ellos trabajando codo con codo, es muy difícil mover las cosas.
22.- ¿Qué portales o medios recomiendas para buscar trabajo en el extranjero?
La verdad es que no te puedo decir. Te recomiendo la web de Jobs.Telefonica.com por supuesto, pero supongo que Linkedin un el OpenToHire es una buena forma de descubrir otros portales en la red. Casi todas las grandes empresas tienen una web de contratación, busca las grandes empresas y tendrás ahí la opción de enviar tu CV para posiciones abiertas. En Telefónica es el principal canal de contratación: Puestos de trabajo en ciberseguridad en Telefónica
23.- Antes has hecho mención al "Purple Team". ¿Crees que esta tendencia sustituirá al blue y red en algunas organizaciones o será complementario? ¿Crees que tendrá recorrido en el futuro?
Yo hablaba de esto hace muchos años. Cuando estaba en ElevenPaths y daba charlas de Pentesting Continuo, Pentesting by Design, siempre decía que todas las pruebas que se puedan automatizar deberían estar automatizadas, y los pentesters deberían estar para hacer ataques complejos y con todo el conocimiento interno de la organización. Es decir, deberían poder saber todas las herramientas, las versiones, etc.. Toda la info para poder ponernos en el peor caso de un atacante que lleva dentro tiempo para recabar toda esa información, o un empleado malicioso. El Pentester Estratégico que va a por la compañía conociéndola completamente. A algo parecido a esto es lo que llamamos Purple Team.
Ahora en las empresas tenemos el equipo de defensa, que es el Blue Team, y el equipo de ataque que es el Red Team. Ambas herramientas de un buen CISO que las hace competir. Pero debe existir un Purple Team que tenga la info del BlueTeam y las destrezas del Red Team para probar que realmente estás listo para el peor de los ataques posibles. Creo que se va a extender como un servicio en todas las empresas.
24.- ¿Qué certificaciones de ciberseguridad recomendáis hacer o tener?
Esta pregunta creo que la respondí en vivo. En las empresas de consultoría te exigen muchas, que puedes hacer y te van a ayudar a trabajar en estas empresas. OCSP, CISA, CISP, Ethical Hacker, etcétera. Mi recomendación es que te hagas la que te guste por el temario porque vas a aprender. Es decir, no se trata de que te saques el certificado para tenerlo y que te ayude en el CV – que seguro que lo hace – sino por que los conocimientos que en él se enseñan te sean útiles.
Figura 14: En el CEH 10 se estudia la FOCA o los ataques
Y por supuesto, en el mundo de la Inteligencia Artificial, todo lo que hemos visto con la DeepFakes y la detección de las mismas en nuestro DeepFake Detector en un claro ejemplo de como es la "pelea" del uso de IA para atacar y defenderse. Las tecnologías de ML/IA son algo que que no te puedes saltar si quieres trabajar en el mundo de la ciberseguridad hoy en día.
26.- ¿Qué diferencias más notables hay de los entornos controlados cómo HackTheBox, tryHackme y los entornos empresariales de Active Directory?
El libro de Hacking Windows es un ejemplo de todas las técnicas que te vas a tener que aprender para pasar muchos de esos entornos y conseguir muchas de las certificaciones de hacking.
27.- Veo muchos bootcamps de tres meses que te prometen trabajo y de todo, ¿que opináis ? Yo creo que la mayoría de estos centros se aprovechan de la necesidad de la gente de la urgencia trabajar
Tres meses en un bootcamp intensivo es un acelerón que te permite comenzar a estar preparado para encontrar tus primeros trabajos de nivel de entrada, y además son buenos para que orientarte y que luego te pongas tú las pilas. Pero el que va a conseguir el trabajo eres tú. Es como apuntarte al gimnasio tres meses. Que te pongas fuerte va a depender de lo que hagas todos los días, y cómo te tomes ir al gimnasio. Lo mismo con los bootcamps. Pero creo que son una buena forma de dar una acelerón a tu formación pre-primer trabajo.
28. Trabajo en una pequeña empresa IT, y dando soporte a muchas otras empresas pequeñas o medianas, me doy cuenta de que desde la pandemia, los phishings y ataques han aumentado muchísimo y han mejorado, pero estas empresas que no tienen nada que ver con el mundo IT, no quieren invertir nada en seguridad hasta que es demasiado tarde y les entra un Ramsom o un MiTM en el que pierden mucho dinero o datos. ¿Crees que las leyes de ciberseguridad y protección de datos obligarán a educar y potenciar la inversión en ciberseguridad en las Pymes en los próximos años? ¿Se valorará más la ciberseguridad en empresas pequeñas o incluso que enseñen en los colegios?
Creo que las multas que van a recibir si no lo hacen hará que muchas empresas mueran. Es lo que pide el libro de Bruce Shneier, que las multas sean tan grandes que merezca la pena invertir en ciberseguridad. Aún así, creo que hemos mejorado, pero no lo suficiente, y será cuestión de poco a poco ir madurando.
29.- ¿Llegamos tarde el mundo del SecDevOps / DevSecOps? ¿Esta muy inmaduro el sector en este ámbito?
En las grandes empresas no es algo nuevo, pero si que es verdad que no en todas las empresas tienen roles especializados para automatizar todos los procesos de construcción de tecnología con arquitecturas y modelos de trabajo DevSecOps/SecDevOps. Creo que esta profesión va a crecer en los próximos años.
30.- Estaría bien para algunos oyentes, explicar ese espiral, es decir, explicar que hay que conocer para empezar en el mundo del hacking y de ahí que luego se vayan especialzando más, ya que creo que hay gente que pregunta sobre "cursos" que se creen que con hacerlo van a ser hackers, y hay que dominar varias técnicas, estaría bien mencionar cada paso cada recomendación desde cero.
Escribí un artículo sobre esa visión de aprendizaje de hacking en espiral en mi blog. No hay un punto concreto por el que empezar. Yo comencé por el mundo del SQL Injection porque sabía mucho de SQL y Bases de datos, pero cada uno ha entrado por un punto diferente. Es lo bonito de esta profesión.
31.- Mi pregunta es que piensas acerca del nuevo sistema de cifrado seleccionado por el NIST basado en 100 dimensiones si no me equivoco, ¿tendrá futuro?
Hablé del proceso de seleccionar algoritmos de cifrado en el artículo sobre el Post-Quantum Prepareness Act de los Estados Unidos. Se supone que estos algoritmos han sido auditados y re-auditados por la comunidad de expertos en criptografía, pero... también sabemos que cuando avance la tecnología habrá que crear nuevos algoritmos. Así es este mundo de la criptografía.
32.- ¿Qué tan beneficioso es tener un servicio SOC sin automatizar en respuestas y qué riesgos podríamos tener al sumarle inteligencia artificial a la mitigación de eventos?
Pues es necesario tenerlo, interno subcontratado a una empresa especialista en ciberseguridad y la IA ya es parte de ellos. No se puede automatizar respuestas sin usar MLOPs o AIOPS. Es el día a día de nuestra a industria.
Como cada mes, hoy traemos un nuevo WriteUp y un nuevo reto para Level_UP! En esta ocasión le toca el turno al reto número 7, identificado en la plataforma como “Blockchain_Tour”. Se trata de un reto con una dificultad de nivel 2 sobre 5 y que nos otorgará una puntuación de 75 puntos si lo logramos superar. ¡Vamos a por ello!
Figura 1: WriteUp del Reto Hacking Web3 "Blockchain Tour"
Si quieres montar tu CTF sobre Web3, Level_UP! es tu entorno Open Source con el que poder hacerlo. Queremos facilitar el aprendizaje, sin necesidad de desplegarlo en local, por lo que utilizaremos alguna testnet y pronto daremos noticias.
En primer lugar, se puede apreciar que se trata de un contrato bastante simple. Se definen al comienzo algunas variables en el Storage del contracto, también está el constructor del Smart Contract y una función denominada set_flag(flag).
Figura 3: Smart Contract del reto Blockchain Tour
Si ya has jugado otros niveles de Level_UP! echarás en falta la típica función getFlag() que normalmente, tras realizar diferentes acciones para conseguir ser el owner del contrato, nos termina devolviendo la flag para superar el reto. Sin embargo en esta ocasión no disponemos de dicha función, por lo que tenemos que ver que otras opciones tenemos. Detallando las variables que se almacenan en el Storage tenemos:
Una variable privada de tipo string llamada flag.
Un variable pública de tipo uint llamada blocknumber.
Una variable pública de tipo address llamada owner.
Esta última variable, owner, se fija en el momento del despliegue del contrato, a través del constructor, dándole el valor con la dirección del msg.sender. Además, la plataforma hace también una llamada a la función set_flag() tras desplegar el contrato para definir el valor de la flag dinámica que se genera desde el backend. Por ello, esta función set_flag() tiene un requisito que comprueba que es el propietario del contrato el que puede llamar a esta función.
Además de definir el valor de la flag (que se pasa como parámetro y se guardará en la variable flag del Storage), se define el valor de la variable blocknumber, que tendrá el valor del número de bloque actual. Y aquí es donde debemos fijarnos. Al ser una variable pública podremos acceder a dicho valor.
Figura 4: Acceso a la variable blocknumber desde la consola del navegador
Podemos encontrar el valor en hexadecimal que, si lo pasamos a decimal, obtendremos el valor del bloque donde debemos buscar. En el ejemplo mostrado aparece el valor “0x027e”, que se corresponde con el valor 638. Vamos ahora a revisar que hay en dicho bloque. Para revisar el contenido del bloque podemos hacer uso de la API JSON-RPC que dispone la blockchain, concretamente haciendo una solicitud con método eth_getBlockByNumber:
curl -X POST --data '{"jsonrpc":"2.0","method":"eth_getBlockByNumber",
"params":["0x027e", true],"id":1}' 127.0.0.1:7545
Figura 5: Haciendo uso de JSON-RPC API de Ethereum
En este caso, como la blockchain se encuentra en un Ganache GUI en la misma máquina, sería posible revisar directamente la GUI para encontrar el bloque de una manera más sencilla aunque este método sólo es válido si tenemos nosotros el acceso al Ganache GUI.
Figura 6: Visualización del bloque en Ganache GUI
En ambos ejemplo nos encontramos que hay una única transacción: 0xcc3abbedd9f63ef1d09c3f1b7a6b978917bc9970d36316c1476d8b23a9f4cca6. Incluso en la petición con cURL nos da la información directamente del input de la transacción, ya que la petición se hizo para que diera el detalle de cada una de las transacciones que se encuentran en el bloque:
Con esta información, en primer lugar, podemos averiguar el selector de la función. Hago uso de nuestra herramienta Open Source CrazyToolBox y compruebo el selector 0x42e22ff6 con la función selector decoder.
Figura 7: Selector decoder con la herramienta CrazyToolBox
Pero lamentablemente el servicio 4byte.directory no tiene información sobre este selector, por lo que procedo a validar que la función set_flag() se corresponde con dicho selector haciendo uso del selector encoder.
Figura 8: Selector encoder con la herramienta CrazyToolBox
Ahora sí, estamos seguros de que en esos datos es donde debemos buscar nuestra flag. Como en la función get_flag() sólo se pasa un parámetro (la flag) vamos a convertir los datos de hexadecimal a texto (ASCII).
Figura 9: Conversor de hexadecimal a ASCII
¡Lo tenemos! Finalmente, nos queda validar nuestra flag (únicamente los números) interactuando con el contrato base y la función validateFlag() para obtener nuestros puntos, tal y como ya se ha realizado con anterioridad en el resto de retos.
Nuevo reto: Gas Knowledge
Este mes publicamos un nuevo reto relacionado con el gas en Ethereum, donde se repasa este concepto y tendrás que acelerar tus transacciones si quieres superar el reto. Se trata del reto número 17, con un nivel de 2 sobre 5 y que nos dará 75 puntos para sumar al resto de retos que ya tenemos validados. Recuerda reclamar tu NFT en la plataforma cada vez que puedas para demostrar tu nivel, ¿llegarás a ser el gran maestro?
Figura 10: Nuevo reto "Gas Knowledge"
Como siempre, esperamos que sigas disfrutando y aprendiendo con la plataforma Level_UP! y nos vemos el próximo mes con un nuevo reto, que pronto tendréis novedades para jugar en una testnet.
En MyPublicInbox los Tempos se pueden conseguir a coste cero, con diferentes campañas y promociones, o se pueden comprar en diferentes paquetes y con diferentes precios. Hasta ahora podías pagar la compra de Tempos haciendo uso de Bizum, Paypal, Tarjeta o Transferencia Bancaria, pero queríamos permitir que todo el que tenga criptomonedas en sus wallets Web3 también pudiera usar esos métodos de pago, y hemos integrado también la pasarela Bit2Me Commerce esta misma semana. Así que, a estos métodos de pago se les une ahora la posibilidad de poder Comprar Tempos con Criptomonedas.
Para implementar los pagos en criptoactivos hemos hecho uso del servicio y la plataforma de “Bit2Me Commerce” de la empresa Bit2Me, que facilita un servicio simple para poder permitir a comercios operar con criptoactivos sin tener que implementar a mano las complejidades de la tecnología Web3 para ello.
El envío y pago de criptomonedas y tokens se hace dentro de la propia plataforma de pagos de Bit2Me, lo que hace que para la gestión del e-commerce sea todo mucho más sencillo. Y para el usuario el proceso es aún más sencillo. Vamos a ver paso a paso de cómo comprar Tempos con criptomonedas en MyPublicInbox .
Cómo pagar con criptomonedas y tokens en MyPublicInbox
Ahora vamos a detallar las fases del proceso de compra de Tempos con criptomonedas dentro de MyPublicInbox , para que veas lo sencillo que es usar tus criptoactivos para comprar Tempos.
1. Seleccionar el método de pago
Primero tendremos que ir a la tienda de Tempos, podemos hacerlo desde el dashboard clicando en “Comprar Tempos”, seleccionamos la cantidad de Tempos que queremos comprar añadiendo con el botón + el número de paquetes.
Esto nos redigirá a la pantalla de selección de la pasarela y método de pago que deseamos utilizar. Una vez allí seleccionamos “Pagar con criptos” que se puede ver en la imagen siguiente, donde además tienes Pagar con Tarjeta, Pagar con Bizum y Paypal
Figura 5: Confirrmación de redirección a pasarela de pagos.
Para ello debes aceptar la re-dirección en el pop-up que te aparecerá al pulsar el botón de pago en el paso anterior. Al confirmar se te redirigirá a la pasarela de pago.
3. Seleccionar los tokens
Ahora hay que seleccionar con qué Tokens se desean comprar los Tempos. Así que una vez dentro de la plataforma de Bit2Me Commerce tendrás que seleccionar qué tipo de criptoactivo y qué red Blockchain quieres usar para realizar el pago.
Figura 6: Selección de criptomoneda y cadena de bloques
En este ejemplo se paga usando “Ether” en la red de Ethereum, pero se puede usar BitCoin, LiteCoin, ETH, BitCoin Cash, Ripple, Tron, USDT, USDC, entre otros.
4. Enviar los tokens
Y por último queda enviar los activos a la dirección seleccionada dentro de la red seleccionada. Para ello al pulsar el botón anterior Bit2Me generará un “address” en la red deseada al que le tendremos que enviar los activos.
Figura 7: Espera de envío de Tokens
Debemos hacerlo antes de que pasen 20 minutos o de lo contrario la transacción fallará. Para hacer el envío se puede usar cualquier wallet Web3 que sea compatible con la red indicada.
5. Esperar la confirmación de pago
Una vez realizado el pago la plataforma de Bit2Me Commerce nos redirigirá a MyPublicInbox de vuelta. Donde verás una pantalla de carga a esperas de que Bit2Me confirme el pago a MyPublicInbox. Una vez confirmado el pago serás redirigido a tu pantalla principal con tu balance actualizado.
Figura 8: Confirmación de pago de compra de Tempos correcta
Si no llegarás a ver la pantalla de carga es porque el pago ha sido confirmado antes incluso de que hayas sido redirigido a MyPublicInbox, no te preocupes, tu balance de Tempos ya estaŕa actualizado. Una vez acabados estos sencillos pasos ya tendrás actualizado el balance de Tempos de tu cuenta habiendo realizado un pago usando tus criptomonedas.
Do It Yourself
Gracias a lo fácil que lo pone Bit2Me Commerce y a estas integraciones, ahora tus criptomonedas tienen un uso más dentro del mundo de la Web3, que poco a poco se va expandiendo. Y si tienes un e-commerce, y quieres que te asesore o te ayude con el proceso de la integración, contacta conmigo y te echo una mano encantado.
El pasado lunes me hicieron muchas preguntas en la sesión de apertura del Campus Internacional de Ciberseguridad, de las que os sacaré un extracto de la sesión. Algunas de ellas las respondí en vivo, otras se quedaron pendientes en el chat, pero he querido responderlas todas, y dejáoslas por aquí en el un artículo del blog que, debido al número de preguntas, haré en dos partes. Así que, sin nada más, os paso las preguntas, para que me ayudes a responderlas o complementar mis respuestas.
Figura 1: Ayúdame a responder las preguntas que me hicieron
en la sesión de apertura del Campus de Ciberseguridad
Como son muchas, responderé de manera resumida, dejándoos algún enlace a artículos que complementan la respuesta a esa pregunta, porque de muchos temas he escrito mucho en el blog. Pero todas están abiertas para que tú mismo puedas aportar tu punto de vista, ya que la mayoría son de alumnos que están aprendiendo, por lo que cualquier ayuda va a ser bienvenida.
1.- En este momento ¿cuáles son los pro y contras de buscar soluciones de Seguridad "Antivirus y firewall" que están más orientada por IA y, qué problemática podría tener si la solución no fuera flexible para su administración?
Creo que todas las soluciones de seguridad están usando ML&IA para la detección, y MLOPs o IAOPs para tomar medidas de protección. Es decir, se usa IA para detectar malware a la vez que para tomar decisiones de repuesta y protección.
No es que quiten las técnicas anteriores, sino que las complementan y las mejoras. Por supuesto, no son perfectas, y por eso la supervisión y la administración de profesionales es parte del servicio que debe existir.
2.-¿Qué medidas se están tomando para garantizar la precisión y la resistencia al fraude de los sistemas de autenticación biométrica en sistemas on line?
Sobre todo para los entornos de Know Your Custormer (KYC) en situaciones de Remote Onboarding, se están tomando y se deben tomar si no, medidas de detección de tecnologías de DeepFake. En este artículo de "DeepFake & Digital Onboarding" hablo ello.
3.- ¿Para una entrevista de trabajo que recomendas decir o como deberias ir preparado?
Yo siempre digo que lleves algo de tu trabajo que pueda ver tu entrevistador. Y si es una entrevista técnica, vete preparado para resolver problemas. Yo te dejo algunos ejemplos de entrevistas mías:
4.- ¿Por qué todavía se usa el protocolo de red de Microsoft? Si se sabe que es una puerta trasera continua de problemas (wannacry). Sólo deshabilitando ese protocolo y usando soluciones tcp/ip para compartir tanto impresoras y servicios, se hubiera evitado todos los disgustos de estos famoso virus.
Los sistemas MS Windows hace mucho que usan IPv6 por defecto e IPv4 como fallback para conexiones a internet. El bug estaba en SMB1, que es un protocolo de compartición de archivos e impresoras y que funciona sobre TCP/IP también.
Por desgracia no era nada que ver con TCP/IP o NetBIOS – que era el protocolo de redes de áreas locales en Microsoft -. Más info en: El ataque wannacry.
5.- Siempre he considerado que la seguridad es la consecuencia de ser un experto en un área. ¿Cómo se enfoca, entonces, la formación en ciber?
Totalmente de acuerdo, creo que el conocimiento de ciberseguridad debe capturarse en espiral, como he contado en el artículo de “Cómo aprender hacking: el camino en espiral”.
6.- ¿Cómo formar en malware o ingeniería inversa sin tener cierta trayectoria en sistemas operativos, arquitectura, etc…?
Hay que aprender mucho de sistemas operativos para saber de Malware, por eso uno de los grande investigadores de malware de este país, Sergio de los Santos, tiene dos libros clave:
7.-¿Cómo se consigue arrancar más inversión a los de arriba para ciberseguridad? P or otro lado comentas que hay mucha especialización pero eso sólo ocurre en gran empresa, ¿no?
Yo creo que las empresas que quieren ser sostenibles y perdurar, tienen la ciberseguridad como una partida de inversión. La realidad nos está demostrando que los ejecutivos que no invierten en ciberseguridad se extinguen porque los despiden cuando tienen ataques exitosos de ransomware o de robo de datos.
Así que cada más la experiencia hace que los ejecutivos y los dueños de empresas, inviertan en ciberseguridad sabiendo que es importante. Pero… no siempre todos hacen bien los deberes y no aprenden de los problemas de otros. Hablo de esto en mi “decálogo maligno”.
8.- ¿Hay algun cuestionario para poder autoevaluarnos en las competencias en ciberseguridad?
Existen las certificaciones, que te evalúan contra determinadas competencias, y tienes tests de autoevaluación para cualquiera de ellas. Y si quieres saber qué disciplina de ciberseguridad se adapta más a ti, la recomendación es que inviertas un día en hacerte el test de Singularity Hackers.
9.- ¿Son el Cloud y la Inteligencia Artificial la punta de lanza de la Ciberseguridad en el mundo de la empresa ahora mismo?
En Ciberseguridad hay muchas áreas, Cloud, BigData, IA (ML, GenAI, DeepFakes), malware, Web3, etcétera. Cloud, Big Data e IA, son grandes disruptores de cómo era la ciberseguridad hace 15 años. Hoy en día, son nuestra nueva realidad de entorno como antes lo eran los servidores web, las redes, y las bases de datos. En mi caso, la IA es casi el 90% de mi trabajo e interés.
10.- ¿hay servidores o web públicas donde poder poner en práctica los conocimientos que se vayan adquiriendo y no tener que trabajar sólo en entornos locales controlados?
Hay muchos sitios con entornos y laboratorios de test donde se pueden probar las herramientas, las técnicas y practicar, como Try Hack Me. Y por supuesto, si ya tienes un buen nivel, nada cómo meterte en las plataformas de Bug Bounty y practicar tus conocimientos en sitios que están buscando Security Researchers y premiándoles por sus éxitos.
Pues esto lo explica de maravilla Fran Ramírez, Elias Grande y Rafa Tronco en su libro de “SecDevOps” http://0xword.com/es/libros/103-docker-secdevops.html , y tienes un artículo que da una explicación de SecDevOps (DevSecOps) en 5 minutos https://www.elladodelmal.com/2019/02/secdevops-una-explicacion-en-cinco.html
13.- Soy Director de Seguridad Privada. Mi profesión esta muy enfocada a la seguridad de bienes y personas, digamos, de una forma física. Aportamos seguridad a personas, instalaciones, hacemos vigilancia de eventos etc. Pero me doy cuenta que cada vez tenemos mayor número de todo tipo de datos de clientes que también debemos proteger. Aunque actualmente no tenemos una ley de ciberseguridad donde apoyarnos. Viendo que hay tantos roles y especializaciones de ciberseguridad no sabría en que especializarme para ofrecer ese tipo de seguridad. Evidentemente no puedo abarcar todo pero centrarme en la seguridad de esos datos de clientes y en una estrategia de defensa ante un ataque, que me podrías recomendar en cuanto aprendizaje y especialización.
Pues hay muchos roles, y muchas especializaciones. Quizá comenzar por una formación genérica en Ciberseguridad que toque de forma amplia la ciberseguridad para luego poder ir profundizando en las partes que vayas descubriendo que más se adecuan a tus necesidades. Pero lo mejor es comenzar con una visión amplia e ir haciendo profundización de las áreas que te sean más útiles.
14.- ¿Cómo ves el reto en países en desarrollo que estos temas los han tomado con menos inversión o desarrollo tanto académico como técnico? ¿Qué pueden hacer en esos contextos?
Creo que cualquier país que quiera tener un ecosistema económico saludable, necesita estar en la primera línea de la tecnología y la ciberseguridad es fundamental para que eso sea posible. Si no se acompaña desarrollo económico con tecnología, y tecnología con ciberseguridad, poco se puede hacer.
15.- ¿Cómo ves en un futuro los ataques de IA combinado a la computación cuántica cuando esto sea factible?
Hay mucha preocupación por las técnicas de cifrado, y por eso se algunos países, como es el caso de USA, ya están trabajando en un plan de protección contra los riesgos que traerán tecnologías Quantum, y los algoritmos de PQE (Post-Quantum Ecryption) se llevan desarrollando más de una década ya. Veremos dónde nos lleva este mundo en el futuro.
Quedan aún otra tacada de quince preguntas, que contestaré este fin de semana, para que queden todas bien respondidas.