Listado de la etiqueta: mvpbuzz

securityinside

SecurityInside desde dentro – Quinto aniversario

Como quien no quiere la cosa, la aventura de este blog cumple cinco añitos. Mi intención inicial era que estuviera funcionando mucho tiempo, pero la estadística está en contra y este tipo de iniciativas suelen morir antes de los 36 meses.

Ya os comenté en la entrada del cuarto aniversario que esto arrancó como algo de equipo pero finalmente me quedé solo al frente del barco debido a compromisos y otras aventuras de los compañeros que me ayudaron a iniciarlo (gracias siempre chicos!!). Poco a poco, sin darme cuenta, hemos llegado al quinto aniverario.

Aunque el año pasado me puse como objetivo no agobiarme por la frecuencia de las entradas y, a pesar de que el año ha sido fabuloso en cuanto a visitas, tengo como nuevo objetivo para este 2020 el ser capaz de aumentar (un poco) el ritmo de publicación. No prometo nada, pero la intención está ahí.

Así que, una vez más, ofrezco anualmente un pequeño resumen de cómo va la web. Me sirve para motivarme y para tomar conciencia de que, a pequeña escala, hay personas que encuentran útil esto que hago.

Las entradas más vistas

Hasta ahora he publicado un total de 190 posts con temáticas diferentes, pero el top 10 de los más visitados es este:

  1. 5 Mapas de cyberataques para impresionar «like a pro»
  2. Auditoría de código: algo necesario pero que nunca hacemos (parte 2)
  3. Cómo preparar un examen de certificación GIAC a través de SANS
  4. Herramientas de Seguridad para entornos Microsoft
  5. Amenaza Silenciosa II – Inyección de DLL
  6. Servicios ocultos en Tor, ¿cómo consiguen pasar desapercibidos?
  7. Contenedores Linux y seguridad. Docker
  8. sFTP en AWS EC2 en 5 minutos
  9. Exfiltración del IMEI en aplicaciones móviles
  10. Amenazas en el mundo de los videojuegos

 

El progreso de la web

Desde que arranqué, he ido poco a poco ganando confianza de los lectores, eso debe significar que os gusta lo que os estoy contando, ¡espero seguir así!

 

De aquí podemos sacar algunos datos interesantes:

  • He recibido un total de 16.316 visitas (aumento del 42,2%).
  • Entre ellas había 9.422 usuarios distintos (aumento del 46,3%).
  • Estas visitas han sumado un total de 20.373 páginas vistas (aumento del 50,3%).
  • El número medio de páginas por visita es de 1,88.
  • El promedio de tiempo en el sitio es de 1 minuto 26 segundos.
  • El porcentaje de rebote es del 86,99%.
  • El porcentaje de nuevas sesiones es del 84,24%.

Procedencia

Tengo la suerte de contar con lectores de diferentes partes del mundo, ¡gracias!

Las redes sociales

  • Twitter: cuento con 332 seguidores (aumento del 25,8%).
  • YouTube: tengo 10 vídeos publicados y 39 seguidores (aumento del 5,4%).

Lo que quiero mejorar

Como he comentado, me gustaría fomentar las entrevistas y publicar con más frecuencia, pero el trabajo en Accenture me deja poco tiempo libre (ojo, que lo digo en positivo). Tengo entre ceja y ceja ofrecer algún contenido formativo en formato vlog…

Lo que he aprendido

Este año ha sido un año lleno de cambios, mi rol, mi vivienda, mis jefes, … en definitiva mi vida ha sufrido un vuelco importante. Ahora afronto nuevos retos y espero seguir contando cosas por aquí.

A tope con el 2.020

La semana que viene vuelvo a la carga con nuevas entradas, con algunas que tengo a medias y con toda la energía. Espero contar contigo para la vuelta o… ¿te lo vas a perder?

SID2020

SecurityInside Live: Día de Internet Segura 2020

El Día de Internet Segura, “Safer Internet Day” (SID, por sus siglas en inglés) es un evento promovido por la red INSAFE/INHOPE con el apoyo de la Comisión Europea, que se celebra cada mes de febrero con el objetivo de promover un uso seguro y positivo de las tecnologías digitales, especialmente entre niños y jóvenes. El SID se celebra el segundo día de la segunda semana del segundo mes del año y reúne a millones de personas de todo el mundo para impulsar cambios positivos y concienciar acerca de la seguridad en Internet, organizando distintos eventos y actividades.

Leer más

7 tipos de cuentas privilegiadas en Digital Identity

Durante el trabajo suelo tener que lidiar de una forma u otra con cuentas privilegiadas, son cuentas que se presentan en diferentes formas y que plantean riesgos de seguridad significativos si no se protegen, gestionan y supervisan de forma adecuada.

En esta entrada quería hacer un resumen de aquellas con las que trato habitualmente y que incluyen:

1) Las cuentas administrativas locales

Son cuentas no personales que proporcionan acceso administrativo sólo al host o instancia local. Las cuentas de administración local son utilizadas rutinariamente por el personal IT para realizar el mantenimiento de estaciones de trabajo, servidores, dispositivos de red, bases de datos, mainframes, etc. A menudo, para facilitar su uso, tienen la misma contraseña en toda una plataforma u organización. El uso de una contraseña compartida en miles de hosts convierte a las cuentas administrativas locales en un blanco fácil de usar que las amenazas avanzadas explotan de forma rutinaria.

2) Las cuentas de usuario con privilegios

Son credenciales a las que se han concedido privilegios administrativos en uno o más sistemas. Esta es típicamente una de las formas más comunes de acceso privilegiado a cuentas que se otorga en una red empresarial, permitiendo a los usuarios tener derechos administrativos, por ejemplo, en sus escritorios locales o a través de los sistemas que administran. A menudo estas cuentas tienen contraseñas únicas y complejas. El poder que ejercen a través de los sistemas gestionados hace necesario monitorizar continuamente su uso.

3) Las cuentas administrativas de dominio

Tienen acceso administrativo privilegiado a todas las estaciones de trabajo y servidores del dominio. Aunque estas cuentas son pocas en número, proporcionan el acceso más amplio y robusto a través de la red. Con el control total sobre todos los controladores de dominio y la capacidad de modificar la pertenencia de cada cuenta administrativa dentro del dominio, tener estas credenciales comprometidas es a menudo el peor escenario para cualquier organización.

4) Las cuentas de emergencia

Proporcionan a los usuarios no privilegiados acceso administrativo a sistemas seguros en caso de emergencia y a veces se denominan cuentas «firecall» o «breakglass». Aunque el acceso privilegiado a estas cuentas suele requerir la aprobación de la dirección por razones de seguridad, suele ser un proceso manual ineficaz que suele carecer de auditabilidad.

5) Las cuentas de servicio

Pueden ser cuentas locales privilegiadas o cuentas de dominio que son utilizadas por una aplicación o servicio para interactuar con el sistema operativo. En algunos casos, estas cuentas de servicio tienen privilegios de administración de dominio en función de los requisitos de la aplicación para la que se utilizan. Las cuentas de servicio local pueden interactuar con una variedad de componentes de Windows, lo que dificulta la coordinación de los cambios de contraseña.

6) Las cuentas de Active Directory o de servicios de dominio

Hacen que los cambios de contraseña sean aún más complicados, ya que requieren coordinación entre varios sistemas. Este desafío a menudo lleva a una práctica común de cambiar raramente las contraseñas de las cuentas de servicio, lo que representa un riesgo significativo en toda la empresa.

7) Las cuentas de aplicación

Son cuentas utilizadas por las aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes, scripts o proporcionar acceso a otras aplicaciones. Estas cuentas privilegiadas suelen tener un amplio acceso a la información subyacente de la empresa que reside en aplicaciones y bases de datos. Las contraseñas de estas cuentas suelen estar incrustadas y almacenadas en archivos de texto no cifrados, una vulnerabilidad que se replica en varios servidores para proporcionar una mayor tolerancia a las fallas de las aplicaciones. Esta vulnerabilidad representa un riesgo significativo para una organización porque las aplicaciones a menudo alojan los datos exactos a los que se dirigen los APT.

Y como la cosa va de sietes, de regalo, os dejo este enlace a siete maneras de proteger cuentas privilegiadas.

Espero que os haya gustado, ¡hasta la próxima!

SecurityInside Live: VIII Foro de la Ciberseguridad del Cyber Security Center (ISMS Forum)

Hoy se celebra la VIII edición del Foro de la Ciberseguridad del Cyber Security Center que organiza el ISMS Forum Spain. Para el que no lo conozca, decir que es una red abierta de conocimiento que conecta empresas, organismos públicos y privados, investigadores y profesionales comprometidos con el desarrollo de la Seguridad de la Información en España. Ya son más de 150 empresas y más de 850 profesionales asociados.

Leer más

HIPAA for dummies – Seguridad en entorno sanitario (I)

Desde que estoy en Accenture, he trabajado en diferentes proyectos y clientes de un tamaño mucho mayor a lo que me había encontrado hasta ahora. He trabajado con grandes bancos, multinacionales IT, operadores de telecomunicaciones, … y uno muy interesante: un gran cliente del entorno sanitario.

Dentro de este tipo de clientes, me he topado con algo que tampoco conocía. El gran control sobre los datos sensibles sanitarios en E.E.U.U., es un punto que se lleva muchas horas dentro de la seguridad de un proyecto. Entender, clasificar y defender correctamente este tipo de información es crucial…

Cuando arranqué mi primer proyecto de este tipo, me enfrenté por primera vez con la Health Insurance Portability and Accountability Act of 1996, HIPAA para los amigos. Con esta serie de entradas, trato de hacer un resumen de todo lo aprendido en este tiempo, espero que os sirva si os llega algún proyecto con este requisito:

¿Por qué se creó HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) se creó principalmente con el objetivo de modernizar el flujo de infomación relativa a la atención médica, hablamos de todo tipo de información mantenida por centros médicos e industrias de seguros de salud. Dicha información debe protegerse contra fraude, robo y fuga (en cuanto a portabilidades de personas con condiciones preexistentes).

Cuando se aprobó la Ley en 1996, solo requería que el Secretario de Salud y Servicios Humanos (HSS) propusiera normas para proteger la información de salud identificable individualmente. El primer conjunto de estándares no se publicó hasta 1999, y las primeras propuestas para la Regla de Privacidad solo surgieron en el año 2000.

La legislación HIPAA ha evolucionado significativamente desde entonces. No solo se ha modificado el lenguaje de la Ley para abordar los avances en tecnología, sino que el alcance de la Ley se ha ampliado para abarcar a los Asociados Comerciales, proveedores de servicios externos que realizan una función en nombre de una Entidad Cubierta por HIPAA que implica el uso o divulgación de información de salud protegida (PHI).

Health Insurance Portability and accountability act

Las regulaciones de HIPAA están controladas por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EEUU. Los Procuradores Generales del Estado también pueden tomar medidas contra las Entidades Cubiertas y los Asociados Comerciales que no cumplan con HIPAA. Tanto OCR como los Fiscales Generales del Estado tienen la autoridad de imponer sanciones financieras a las Entidades Cubiertas y a los Asociados Comerciales por violaciones de la HIPAA.

¿Cuál es el propósito de HIPAA?

Además del propósito original de HIPAA, la forma en que se implementa cambia constantemente para adaptarse a los avances tecnológicos y los cambios en las prácticas de trabajo, lo que ha resultado en nuevas amenazas para la privacidad del paciente y la seguridad de los PHI. Para entender esto es importante tener en cuenta que la legislación original de HIPAA se redactó ocho años antes de que Facebook surgiera y once años antes del lanzamiento del primer iPhone.

Por lo tanto, desde la Regla de Privacidad original, ha habido una serie de nuevas Reglas de HIPAA, además de que OCR ha emitido una guía frecuente sobre cómo las Entidades Cubiertas y los Asociados Comerciales deben abordar temas como las políticas BYOD o computación en la nube.

Gran parte del lenguaje original de HIPAA ha permanecido inalterado porque, a pesar del cambiante panorama tecnológico, fue escrito para cubrir una gran cantidad de escenarios diversos. Por lo tanto, si una Entidad cubierta es un centro médico que mantiene registros de pacientes o una compañía de seguros que transfiere los derechos de atención médica de una persona que está cambiando de trabajo, el propósito de HIPAA sigue siendo el mismo que en 1996.

HIPAA también es neutral en tecnología y no favorece una forma de abordar una vulnerabilidad de seguridad sobre otra, siempre que el mecanismo introducido para corregir una falla o vulnerabilidad esté sujeto a una evaluación de riesgos y se registre la razón para implementarlo en lugar de una medida específica.

Entendiendo HIPAA «for dummies»

De forma rápida y sencilla, se detallan a continuación los dieciocho identificadores personales que podrían permitir que se identifique a una persona. Cuando estos identificadores personales se combinan con datos de salud, la información se conoce como «Información de salud protegida» o «PHI». Cuando se almacena o comunica electrónicamente, el acrónimo «PHI» está precedido por una «e», es decir, «ePHI».

Nombres o parte de nombres Cualquier otra característica de identificación única
Identificadores geográficos Fechas directamente relacionadas con una persona
Detalles del número de teléfono Detalles del número de fax
Detalles de las direcciones de correo electrónico Detalles de la Seguridad Social
Números de registros médicos Números de beneficiarios de seguros de salud
Detalles de cuenta bancaria Certificado o números de licencia
Detalles de la matrícula del vehículo Identificadores del dispositivo y números de serie
Webs URLs Detalles de la dirección IP
Huellas dactilares, retina y huellas de voz Cara completa o cualquier imagen fotográfica comparable

La conclusión principal para el cumplimiento de HIPAA es que cualquier empresa o individuo que entre en contacto con PHI debe promulgar y aplicar políticas, procedimientos y salvaguardas apropiadas para proteger los datos. Las infracciones de la HIPAA ocurren cuando no se han promulgado y aplicado políticas, procedimientos y salvaguardas apropiadas, incluso cuando una persona no autorizada no ha revelado o accedido a la PHI.

Las violaciones habituales de HIPAA suelen estar relacionadas con:

  • Falta de análisis de riesgo adecuados
  • Falta de capacitación integral de los empleados
  • Acuerdos inadecuados de socios comerciales
  • Divulgaciones inapropiadas de PHI
  • La ignorancia de la regla mínima necesaria
  • No informar infracciones dentro del plazo prescrito

Algunas violaciones de HIPAA son delitos accidentales, por ejemplo, dejar un documento que contiene PHI en un escritorio a la vista de cualquier persona que pase. Sin embargo, OCR no considera que la ignorancia sea una excusa adecuada para las violaciones de HIPAA.

En próximos programas…

Espero que esta introducción a HIPAA os haya parecido interesante, sobre todo si os enfrentáis a un proyecto que tenga que estar sujeto a esta regulación. En breve continuaré ampliando información de este tema, no te lo pierdas!