sábado, octubre 31, 2020

Un pequeño Privacy Bug en iPhone que filtra tu número en llamadas ocultas y que Apple debería arreglar

Hoy os voy a contar un bug de privacidad con el que me topé en iPhone de forma casual, pero que viendo cómo funciona creo que Apple debería arreglarlo. Y lo curioso es que se encuentra en el mismo sitio donde hace unas semanas encontré otro fallo de privacidad en WhatsApp para iPhone, en la lista de llamadas del sistema operativo iOS.

Figura 1: Un pequeño Privacy Bug en iPhone que filtra tu número
en llamadas ocultas y que Apple debería arreglar

En el fallo anterior, el WhatsApp for iPhone ScreenLock FaceID Bypass se producía cuando se hacía una llamada por WhatsApp desde la lista de llamadas, lo que hacía que saliera la pantalla de WhatsApp Calling, pero con los globos de nuevos mensajes activados. Eso permitía acceder a los mensajes que iban entrando en tiempo real sin haber pasado el desafío de FaceID. Esto es algo que reporté a Facebook y lo repararon en unas versiones posteriores.


Figura 2: WhatsApp for iPhone Screen Lock FaceID ByPass PoC

Hoy el fallo es un poco distinto, y afecta única y exclusivamente a iPhone y podéis probarlo vosotros muy fácilmente. Se trata de cómo iPhone desvela vuestro número de teléfono cuando has decidido que para que una persona tu llamada siempre sea con número oculto. Y de nuevo el culpable se encuentra en la lista de llamadas de iOS. Lugar donde soy un gran usuario debido a que siempre estoy devolviendo llamadas que no he podido atender a tiempo, y como siempre, ando con el ojo vigilante al comportamiento de iOS que ya sabéis que los "hacks" y trucos los publicamos en el libro de Hacking de dispositivos iOS: iPhone & iPad (2ª Edición).

Figura 3: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

El caso es muy sencillo. Supongamos que tu tienes un contacto que ha pedido que le llames. En mi caso son gente con la que voy a tener una llamada para una entrevista o una reunión, y no deseo que tengan mi número de teléfono. Si tienen mi número de teléfono tienen información muy personal mía que uso para las apps de mensajería con familia y amigos, que uso de segundo factor de autenticación en algunos servicios de Internet, y por el que me pueden rastrear en leaks de datos en la red. 

Figura 4: Contacto dado de alta con códigos de llamada oculta

Así que, igual que protejo mi dirección de e-mail y uso MyPublicInbox.com/ChemaAlonso para los mensajes remotos, cuando llamo desde mi teléfono a una persona que no quiero que tenga mi número, lo hago en oculto. Y para que no se me olvide que a esa persona no quiero darle mi número, la doy de alta en la agenda de contactos con #31# delante del número, lo que hace que la llamada sea en oculto.

Figura 5: Si llamas desde el contacto en la Agenda, es llamada oculta

Una vez que tienes configurado el número en la agenda de esa forma, puedes hacer una llamada y lo que la otra persona percibirá es que le ha llamado alguien con número oculto, tal y como vemos en la siguiente imagen. Esto está muy bien, porque así no andas dando tu número a unas personas, y sin embargo puedes llamar a tus amigos con tu número para que, si no te pueden atender, te puedan devolver la llamada.

Figura 6: Llamada hecha en oculto. Pero si marcas desde aquí...

Pues bien, el Privacy Bug en iPhone es que, una vez que has hecho la llamada a una persona usando el número con #31# delante para garantizar que la llamada sea en oculto, cuando iOS guarda el número de teléfono en la lista de llamadas, guarda el número de teléfono sin los códigos previos de #31#, y esto está mal.

Figura 7: Se puede ver el número - y si lo tenemos en agenda - el contacto.
(nota las horas no coinciden porque son capturas de distintas pruebas)

Está mal porque tú ves el nombre del contacto en la lista de llamadas, y si marcas desde la lista de llamadas, el establecimiento de la llamada se hace con tu número al descubierto, luego la otra persona sabrá quién le está llamando - qué contacto o qué número que no está en su agenda -, a pesar de que tú lo hubieras guardado en la agenda con los códigos de llamada con número oculto.


Figura 8: Demo del Privacy Bug que filtra tu número desde la lista de llamadas

Esto es muy fácil de probar, así que os hemos preparado este pequeño vídeo para que veáis cómo funciona con un contacto que tiene los códigos de llamada oculta en su número de teléfono, pero como el compottamiento es distinto cuando llamas desde la agenda a cuando llamas desde la lista de llamadas perdidas.

Uno más a la lista de Privacy Bugs a mejorar

Como en otras ocasiones, no es un gran bug, es solo un Privacy Bug molesto que hace que el usuario filtre su número de teléfono con personas cuando no quiere hacerlo, por lo que lo suyo es que Apple lo arregle en próximas versiones. 



Por supuesto, es solo una opinión, igual que creo que el No cifrado de la base de datos de WhatsApp en iPhone no está bien, tal y como se enseña en el vídeo de la Figura 9.


Figura 10: AirPodSpy o cómo varios pueden vigilar unos AirPods Pro

Y de la misma manera que sigo pensando que Apple debe arreglar el AirPodSpy que leakea tu posición BlueTooth a cualquiera que se haya pareado a tus AirPods Pro y sin embargo si están en uso por otra persona lejos de tu distancia Bluetooth no te avisan por Find My iPhone - ni te dicen cuánta gente tiene pareados tus AirPods Pro -.. A ver si consigo que me hagan caso y arreglan estos Privacy Bugs.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

viernes, octubre 30, 2020

Proyectos Solidarios en MyPublicInbox a los que se donan Tempos @mypublicinbox1

Si de algo podemos estar agradecidos en MyPublicInbox es de la filantropía de muchos de los Perfiles Públicos, que además de dedicar su tiempo y conocimientos a ayudar a quienes les contactan, donan Tempos a diferentes causas solidarias. Así que desde el equipo de MyPublicInbox queremos darles las gracias públicamente a todos esos generosos Perfiles Públicos y contaros un poco más de todos estos proyectos que hemos ido seleccionando como destinatarios de las donaciones.

Figura 1: Proyectos Solidarios en MyPublicInbox a los que se donan Tempos

También os explicaremos cómo podéis aportar vuestro granito de arena seáis Perfiles Públicos o contactadores. Podéis encontrar todos los Proyectos Solidarios con los que colaboramos en la sección Perfiles Públicos del menú principal visitando la categoría ‘Proyectos Solidarios’. Actualmente son ya seis los proyectos disponibles para recibir donaciones y estamos preparando la entrada de dos más que os presentaremos próximamente.

Asociación Grandes Amigos

La Asociación Grandes Amigos realiza una gran labor de acompañamiento en domicilio y residencias a personas mayores a través de sus voluntarios. Cada semana los voluntarios cultivan una amistad recíproca con sus mayores regalándoles su tiempo y su cariño y ayudándoles a establecer relaciones con otras personas de su barrio mejorando sus relaciones afectivas y sus habilidades de socialización. También realizan acompañamiento telefónico dando apoyo afectivo a estas personas mayores, habiendo sido esta línea de actuación muy importante durante la crisis sanitaria del COVID-19.


Desde la Asociación Grandes Amigos a través de su proyecto vecinal “Grandes Vecinos” tratan de prevenir la soledad de las grandes ciudades devolviendo a nuestros mayores el lugar que se merecen en la sociedad.

ONG Achalay

Desde la organización sin ánimo de lucro Achalay ayudan a niños, mujeres y familias en riesgo de exclusión social a través de su proyecto de intervención social en el Barrio de San Blas, Madrid. Esta iniciativa ha sido vital para ofrecer una red a familias desfavorecidas durante la actual crisis sanitaria.


Además tienen un programa de formación para jóvenes con discapacidad intelectual, ampliando sus competencias profesionales y personales a través del proyecto LICEO en un entorno inclusivo como es la Universidad.

Rotary Club Barcelona

Se trata de uno de los más de 35.000 clubes Rotary que hay en el mundo con más de un millón de miembros y presencia en 200 países. A través de sus proyectos tratan de dar solución a problemas del mundo actual tales como el analfabetismo, la pobreza, el hambre o la falta de agua potable. Requiere una especial mención su activa lucha para erradicar la polimelitis a través de su programa “Stop Polio Now” en el que han recibido el apoyo de la Fundación Gates.


Las donaciones que reciban a través de MyPublicInbox irán destinadas al programa de Becas de FP para jóvenes estudiantes en riesgo de exclusión. 

Asociación Española para la prevención del Acoso Escolar

La Asociación Española para la prevención del Acoso Escolar (AEPAE) está integrada por profesionales de distintos ámbitos como psicólogos, pedagogos, educadores sociales, abogados, expertos en autoprotección, profesores de arte dramático, expertos en ciberacoso, y padres y madres de víctimas de acoso escolar, y es la fundadora e impulsora del Plan Nacional contra el Acoso Escolar.


Los niños no sólo son el futuro de nuestra sociedad sino que son el presente, y desde la AEPAE trabajan para conseguir que crezcan felices, sin miedo y con libertad.

ONG Ayúdame 3D

Fundada por Guillermo M. Gauna-Vivas cuando tenía tan solo 22 años ha sido merecedora de múltiples premios y reconocimientos entre los que destaca en 2020 el Premio Fundación Princesa de Girona en la categoría Social


Desde su fundación en 2017 en Ayúdame 3D ofrecen brazos impresos en 3D con movilidad prensil a personas sin recursos en cualquier parte del mundo. Entregan más de 150 brazos al año en más de 50 países gracias a su plataforma de voluntarios y expertos. 


Wikimedia España

Se trata de una asociación sin ánimo de lucro que promueve el conocimiento libre y los proyectos de Wikimedia en todo el mundo, siendo Wikipedia el más conocido. Y de él ya os hablé en un artículo anterior.


Si eres un Perfil Público y quieres donar parte o todos los Tempos que se generen con el tiempo que empleas cuando respondes una comunicación, todo lo que has de hacer es ir a la sección Donaciones en la edición de tu Perfil y seleccionar el porcentaje de tus Tempos que quieres donar además del proyecto al que quieres apoyar.

Figura 9: Mis Tempos -> Donar -> Proyecto Solidario

Si eres un contactador, cada vez que te comuniques con un Perfil Público que dona sus Tempos a Proyectos Solidarios, o que contactes directamente con cada uno de los proyectos a través de MyPublicInbox,  también les llegarán tus Tempos - en forma de euros cuando los canjeen -. Si lo deseas también puedes hacer una donación puntual a cualquiera de estos Perfiles Públicos a través de una transferencia desde la función habilitada a tal fin dentro del apartado ‘Mis Tempos’ en tu perfil. Para hacer una transferencia a cualquier Perfil Público primero has de añadirlo a tu agenda.

Figura 10: Puedes Transferir Tempos desde la sección Mis Tempos

Estamos pasando una situación muy complicada en todo el mundo, pero un pequeño gesto puede cambiar vidas y es momento de apoyar y ayudar.  Por último, os dejo tres recordatorios. El primero es que sigue activa la campaña de ESET para conseguir 100 Tempos gratuitos  que se cargarán a tu cuenta inmediatamente para que los puedas utilizar, donar o contactar con los Perfiles Públicos de MyPublicInbox. El segundo, es que si quieres ser parte activa de este proyecto y hacer que tu tiempo tenga valor y  ser un Perfil Público en MyPublicInbox tienes toda la info en la web. Y el último recordatorio es para los que lleváis iniciativas similares de colaboración social, así que si tienes un proyecto solidario que quieres que sea ofrecido a los Perfiles Públicos de MyPublicInbox, tenemos un formulario donde puedes presentar tu proyecto.


Esperemos que el proyecto de MyPublicInbox sea útil tanto a los Perfiles Públicos, como a los que contactan con ellos, como a los proyectos solidarios que cada uno de ellos decide apoyar. Esta es una plataforma pequeña que poco a poco va creciendo, y ójala, pronto, el tiempo de las personas ayude a todos de una forma u otra para mejorar las cosas.

Saludos,


jueves, octubre 29, 2020

Hacking Windows: Cómo detectar un Bypass de UAC Fileless con Sysmon

Sysmon es una de esas herramientas que ayudan y mucho a dar respuestas y a hacer "Threat Hunting". Es una herramienta potente que sigue siendo actualizada e, incluso, se siguen añadiendo tipos de eventos. La última versión data de mediados de octubre de 2020, por lo que se puede ver que está joya del Sysinternals está más viva que nunca.

Figura 1: Hacking Windows: Cómo detectar un Bypass de UAC Fileless con Sysmon

En el artículo de hoy quería hablar un poco de Sysmon y de cómo aplicarla para la detección de bypasses de UAC, algo que hemos hablado y mucho en el pasado. De todo aquel trabajo de aprendizaje y de investigación surgió nuestra herramienta uac-a-mola. Además, estuvimos interesados en el mundo que rodeaba a las técnicas fileless allá por mediados del año 2016, cuando estudiábamos el primer bypass de UAC basado en fileless, el del eventvwr

Después muchos artículos hablando de bypasses de UAC y herramientas como uac-a-mola. Hoy quería cambiar las tornas y entender un poco el funcionamiento de sysmon en este ámbito. Lo primero es indicar qué es sysmon o cómo podemos definirla tal y como viene en su documentación.

Figura 3: Hacking Windows: "Ataques a sistemas y redes Microsoft"

Sysmon es un servicio y driver de Windows que permite monitorizar y registrar la actividad del sistema. ¿Qué monitoriza? Casi acabaríamos antes indicando el qué no monitoriza: creación de procesos, conexiones de red, cambios en los atributos de tiempo de los ficheros, modificaciones y adiciones en el registro, creación de ficheros, etcétera. Es una herramienta perfecta para recopilar información de eventos en un sistema, poder identificar acción anómala o maliciosa y entender cómo el atacante o el malware ha operado en la red.

Detectando bypass UAC eventvwr

Para empezar a entender a sysmon lo mejor es jugar con él en un entorno de pruebas que tengamos a mano. El volumen de logs que vamos a empezar a recoger es importante, aunque dependerá de la configuración que le demos al fichero. En el siguiente enlace se puede ver un ejemplo de fichero de configuración dónde se pueden entender muchas cosas interesantes como, por ejemplo, cómo funcionaría una regla qué debe alertar porque se han producido varios eventos, como “jugar” con los OR y los AND, y cómo agrupar todo para que sea más legible. De este tipo de ficheros hay varios por Internet y son realmente interesantes. 


A continuación, os muestro un pequeño ejemplo de fichero de configuración. Los eventos de Tipo 1 y Tipo 5 de sysmon son monitorizados, pero si queremos ampliar con otro tipo de eventos deberemos indicarlo. Lo que vamos a hacer es crear un archivo de configuración indicando un grupo de reglas, cuyo nombre es “Registry”. 

Figura 5: Configuración de sysmon

El OR indica que registraremos cada evento o “TargetObject” por separado. Si indicáramos AND sobre un grupo de reglas o sobre una regla, estaríamos indicando que deben suceder todos los eventos de ese “conjunto” para registrar la acción. 

Figura 6: Ejecución de sysmon con el fichero de configuración

En este caso sencillo, vamos a notificar los cambios que se produzcan sobre cualquier hive del registro que contenga “\shell\open\command”. Esto es porque el bypass de UAC de eventvwr modificada dicho hive en HKCU.  Con esta configuración sencilla, instalamos sysmon. Hay que recordar que éste será persistente a los reinicios. 

Figura 7: Bypass UAC funcionando

Ahora, invocamos como vemos en la Figura 7 el bypassuac_eventvwr de Metasploit. Suponemos que tenemos una sesión en la máquina Windows donde se encuentra sysmon y vamos a realizar un bypass de UAC de este tipo. Como podemos ver en la imagen anterior, el bypass tiene éxito y obtenemos una nueva sesión.

¿Qué ha ocurrido?

Sysmon ha registrado y clasificado la información. Podríamos buscar por eventos de tipo 12, 13 y 14 que son los referentes a acciones sobre el registro de Windows. Si miramos el visor de eventos, sin ningún tipo de búsqueda “avanzada” o ningún filtro aplicado, nos encontraremos con un primer evento que tiene el siguiente string: “bypassuac_eventvwr”.

Figura 8: Máxima Seguridad en Windows Gold Edition
escrito por Sergio de los Santos

Si revisamos el fichero de configuración, el “TargetObject” tiene un “name” que apunta a ese nombre. Si nos fijamos es un evento de Tipo 13, por lo que tenemos una modificación o un set de un valor. Podemos observar el PID del proceso, en este caso una Powershell. Además, vemos en qué clave se hace la modificación y nos encaja con el bypass de UAC de tipo eventvwr.  Lo curioso es que en ‘(Default)’ se está metiendo una instrucción que ejecuta una Powershell y que leerá otra clave llamada ‘RuKWUlkO’. ¿Qué hay ahí?

Figura 9: Visor de Eventos del bypass de UAC

Si miramos el siguiente evento, también de Tipo 13, se ha creado una clave en ‘…\mscfile\shell\open\command’ con nombre ‘RuKWUlkO’ y se ha volcado en dicha clave un código en Powershell, el cual se puede observar. Ese código será el código que devolverá el Meterpreter a nuestro Metasploit, una vez que se ha el bypass de UAC con eventvwr a través del registro.

Figura 10: Evento Tipo 13

Si se revisan los procesos que ocurren ahora de Tipo 5 encontraremos una invocación al binario: c:\windows\system32\eventvwr.exe. Lo cual hace ver que en poco tiempo se ha modificado el registro en la ruta concreta de este bypass y se hace una invocación del binario para que funcione. Si seguimos avanzando en el visor de eventos vamos a encontrarnos con más información. Encontramos un nuevo evento Tipo 13, en el que se modifica la clave ‘(Default)’ y se deja el valor por defecto que hubiera antes. Claro, ya se ha llevado a cabo el bypass de UAC. 

Figura 11: Modificación de la clave (Default)

Por último, se puede observar un evento Tipo 12 donde se elimina la clave ‘RuKWUlkO’ que almacena el código del Meterpreter. Hay que indicar que en cada ejecución del módulo de Metasploit el nombre de la clave es aleatorio, por lo que si probáis en vuestro entorno veréis otro nombre de clave.

Figura 12: Evento Tipo 12 con eliminación de la clave

Es interesante para aprender en la parte ofensiva echar un ojo a la parte del rastro y lo que se puede registrar o cómo se puede detectar cierto tipo de técnicas. Todo es parte del aprendizaje continuo en el ámbito del Ethical Hacking. Las posibilidades con sysmon son infinitas.

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

 Contactar con Pablo González

miércoles, octubre 28, 2020

Road to Innovation Day 2020: Ven a ver en lo que estamos innovando

Ya os he contado que para mí es muy importante tener tres cosas en cualquier proyecto: Delivery, Deadline & Difusión. O lo que es lo mismo, sacar los proyectos adelante, tener fechas que cumplir en el lanzamiento de los proyectos, y contar lo que estás haciendo para que la gente pueda conocerlo, usarlo o darte ideas para mejorarlo. Es una regla personal, pero desde que estaba en Informática 64 la he llevado a rajatabla, y por supuesto, la seguí llevando con ElevenPaths y el Security Innovation Day, con LUCA y su BigData & AI Innovation Day, y con los equipos de 4P, Aura, Movistar Home y Living Apps en el Mobile World Congress año tras año.


Tener fechas que no se pueden cambiar en el calendario es una forma como otra cualquiera de llevar el tempo de trabajo en los proyectos. Es como si fuera un sprint anual de los equipos, igual que tenemos las reuniones diarias en cada proyecto, los comités de dirección cada semana, los comités ejecutivos cada mes, las fechas de Code Complete o las de QA Complete para poder poner un proyecto en una venta de producción a disposición de los clientes. Todo es cuestión de tempo y ritmo para conseguir que las cosas avancen en la dirección adecuada.

Figura 2: Primera parte de la agenda del Innovation Day

Y los días de los eventos son días de puesta de largo. Días en los que queremos contar todo el trabajo que hemos estado haciendo entre bambalinas. Detrás de la cortina durante un año. Y ese día invitamos a clientes, compañeros, amigos, socios, analistas y medios a que vengan a ver nuestro trabajo durante todo el año. Por eso, hace poco tuvimos el Security Innovation Day de ElevenPaths, el día 12 de Noviembre tenemos el evento de Hogar Digital, y, como no podía ser de otra manera, las unidades de innovación tienen su fecha para el día 19 de Noviembre en el Innovation Day 2020.

Figura 3: Irene Gómez (Connected Open Innovation) y David del Val (Core Innovation)

En este día vamos a juntar cosas que hemos estado haciendo en las unidades de Connected Open Innovation y Core Innovation. Así, nuestra directora Irene Gómez, responsable de las unidades de Connected Open Innovation  donde se enmarcan Wayra, la unidad de Talentum, el equipo de Ideas Locas, las unidades de Venture Builder - donde se encuentra Deeder, por ejemplo -, los equipos de trabajo con los hubs de innovación, y la unidad de prototipado para conectar las startups que tenemos invertidas con Telefónica, junto con David del Val, director de Core Innovation, donde se enmarcan los proyectos de Data Innovation, de Digital Studio, Network Innovation, Gaming, Didáctico, los equipos de Scientific Research y Edge Computing, además del nuevo Telefónica Tech Ventures powered by ElevenPaths, serán los anfitriones.

Figura 4: Segunda parte de la agenda del Innovation Day

Tendremos una agenda en la que estará lo mejor de nuestro equipo de innovación, con Miguel Arias, director de Wayra y alma de lo que hemos hecho en innovación abierta en Telefónica durante los últimos años y gran parte de su equipo. Con Guenia Gawendo que lidera el nuevo proyecto de Telefónica Tech Ventures powered by ElevenPaths, además de los directores de los principales proyectos de innovación en la casa en muchas de sus áreas.

Figura 5: Miguel Arias y Guenia Gawendo

Después de la charla principal, donde yo participaré unos minutos para contar algo de mi visión, y mi experiencia personal con la innovación, tendremos una serie de sesiones en paralelo para poder tener un recorrido más en profundidad con algunos proyectos. Además, participan ejecutivos de Telefónica que han sido "culpables" de hacer que la compañía se inunde innovación, como Pedro Pablo Pérez, CEO de ElevenPaths o Sergio Oslé director de Movistar+ en Telefónica de España


Figura 6: Beakout Sessions en el Innovation Day

No hemos querido que sea  un evento muy largo, a pesar de que hemos estado haciendo muchas, muchas, muchas cosas durante estos doce meses, pero se trata de que podamos contaros de forma amena qué hacemos y qué hemos hecho, para que si podemos hacer algo más juntos, o quieres conocer algo más de algún aspecto, puedas venir a estar con nosotros. En la web del evento, puedes reservar tu plaza registrándote desde ya, así que... nos vemos pronto.

Saludos Malignos!

martes, octubre 27, 2020

Manual de la Resiliencia: Una guía práctica de ciberresiliencia en redes y sistemas de TI

Hace años que vengo publicando libros gratuitos en la red, y hoy os quiero presentar el último que he puesto en la red para todos aquellos a los que os pueda ser de utilidad, centrado en la resiliencia, o en preparar las redes y los sistemas informáticos para que aguanten y se repongan de cualquier incidente de seguridad informática. Está disponible en su versión digital bajo licencia "Copyleft" para su gratuita descarga y difusión sin fines de lucro en la página Web de DarFe.

Figura 1: Manual de la Resiliencia
"Una guía práctica de ciberresiliencia en redes y sistemas de TI"


En esta ocasión, en sus 348 páginas, el contenido del libro se desarrolla más específicamente el problema de “Ciberresiliencia”, aspecto que necesita tener hoy en día cualquier red o infraestructura de TI.  La “Información” es el centro del libro: “Lo crítico es la INFORMACIÓN… no las infraestructuras”. Como bien más preciado de toda empresa, estas páginas nos presentan métodos, acciones y procedimientos concretos para custodiarla, protegerla y mantenerla íntegra durante todo su ciclo de vida.


Tengo el honor de contar, en el capítulo tercero, llamado “El poder de la Información y las realidades inexistentes”, con la invalorable aportación del General de División Evergisto de Vergara que, con su claridad de pensamiento y visión actual del arte de la guerra, nos presenta este nuevo dominio militar de “la opinión”.

Este nuevo libro es la continuación de los anteriores: “Seguridad por Niveles” (2011), “Seguridad en Redes” (2016) y “Ciberseguridad, una estrategia Informático/Militar” (2018). Todos ellos son el resultado de muchos años de apuntes, clases, cursos, artículos, conferencias y auditorías de seguridad que han sido recopilados y presentados de forma técnica, con muchos ejemplos, procedimientos, plantillas y ejercicios. 


En su versión impresa, sí tiene un coste y se puede solicitar desde el enlace “Comprar Libros”. También te recomiendo, si lo deseas que le des una mirada a los vídeos que están en nuestro canal Youtube. Espero que esta nueva obra sea de tu agrado y por supuesto toda difusión que hagáis de la misma, siempre será bienvenida,

Un afectuoso saludo,


lunes, octubre 26, 2020

Ya puedes ver las charlas del ElevenPaths Security Innovation Day 2020 en vídeo

La semana pasada tuvo lugar el Security Innovation Day 2020 de ElevenPaths, que en esta ocasión, en lugar de ser un solo día, fue un evento de tres días. El objetivo fue que asistir a las charlas en formato online se hiciera más ameno. Pero ya está totalmente disponible para que tú lo disfrutes, así que os lo dejo por aquí.

Figura 1: Ya puedes ver las charlas del ElevenPaths Security Innovation Day 2020 en vídeo 

El evento tuvo tres jornadas, y en ellas hablamos de la llegada de iHackLabs & Gobertis al equipo, de la inversión en Nozomi, de la construcción de Telefónica Tech Ventures, y de todas las novedades en servicios y productos que hemos hecho durante este tiempo.


Figura 2: Security Innovation Day 2020 Día 1

En la tercera jornada, yo despedí el evento, y lo quise hacer recordando un poco la historia desde Informática 64 hasta ElevenPaths, pasando por aquel primer Security Innovation Day de ElevenPaths en el que lo salvamos gracias un skater que voló por los cielos para proteger las demos.


Pero el número de ponentes fue muy alto. Estuvieron Rames Sarwat y Sergio de los Santos, Pedro Pablo Pérez, Guenia Gawendo, Alberto Sempere, y muchas caras conocidas del equipo de ElevenPaths que seguro que si has seguido nuestra evolución conoces bien.


Figura 4: ElevenPaths Security Innovation Daya 2020 Día 2

Viendo el vídeo que hicimos para el ElevenPaths Summit 2020 se puede ver un poco esa evolución que nos llevó desde una "pequeña semilla" a ser la empresa que se ha convertido hoy en día. Un bonito día para ver el recorrido de todos estos años.

Figura 5: ElevenPaths "Stronger Together"

Además de eso, yo hablé de las cosa que ahora, como Digital Consumer, estamos llevando a los clientes, como SmartWiFi, Conexión Segura, Movistar Prosegur Alarmas & ContiGO, las Living Apps, y el resto de servicios de seguridad en que estamos trabajando para los clientes.

Figura 6: ElevenPaths Security Innovation Day 2020 Día 3

Espero que lo disfrutes y que el año que viene, en el ElevenPaths Security Innovation Day 2021 nos podamos ver en persona y disfrutar de esos networkings tan chulos que solíamos tener en los descansos, antes y después del evento.

Figura 7: Mi charla en el Securit Innovation Day 2020 de ElevenPaths

Para que no busques mi charla, la he subido en solitario a mi canal Youtube como hago con todas las charlas que he dado. Os la dejo aquí en la Figura 7.

Saludos Malignos!

domingo, octubre 25, 2020

Telefónica Tech Ventures Powered by ElevenPaths: Más startups & scaleups de ciberseguridad

Esta nuestra compañera Guenia Gawendo, durante el ElevenPaths Security Innovation Day 2020, la construcción de un nuevo proyecto para acelerar nuestra apuesta por la ciberseguridad, la innovación y las startups & scaleups. Bajo el nombre de Telefónica Tech Ventures Powered by ElevenPaths hemos aglutinado todas nuestras inversiones en empresas de ciberseguridad, y hemos dotado de fondos al vehículo para seguir invirtiendo en más compañías que estén focalizadas en crear nuevos productos, servicios e innovaciones que estén alineadas con el negocio de ElevenPaths.

Más startups & scaleups de ciberseguridad

No ha sido algo que haya surgido desde cero, ya que durante los últimos años hemos estado haciendo este trabajo de una manera más o menos similar. Desde Wayra se ha estado invirtiendo en muchas startups en el mundo de la ciberseguridad durante años que se han ido conectado con el negocio de ElevenPaths. Desde la unidad de Telefónica Innovation Ventures también se ha estado invirtiendo en empresas en fase más avanzada de madurez para alinearlas también con ElevenPaths, como la reciente inversión que hemos hecho en Nozomi, que anunciamos hace poco.

Figura 2: El equipo detrás de Telefónica Tech Ventures Powered by ElevenPaths

Y por supuesto, en ElevenPaths el ADN ha sido construir orgánica e inorgánicamente una senda de crecimiento continuo. El mismo ElevenPaths nació con la adquisición de Informática 64, y luego llegarían SmartAccess, Shadow, propiedad intelectual de la Universidad Carlos III, adquisiciones como la de SandaS GRC, y las últimas incorporaciones de iHackLabs & Govertis. Muchos emprendedores y startups que han hecho que ElevenPaths se haya convertido en el buque insignia de la nueva Telefónica Tech que aglutina los negocios B2B de Telefónica en el mundo digital.


Pues bien, uniendo todos los puntos, hemos puesto foco común entre el trabajo que se hizo desde ElevenPaths para acelerar las startups con las que nos conectábamos, las inversiones desde Telefónica Innovation Ventures y las inversiones desde Wayra, para tener un único vehículo que nos permita ir mucho más rápido aún en la integración de más startups & scaleups dentro del negocio de ElevenPaths, ayudándolas a crecer vía inversión y conexión con el negocio B2B. Y después de meses trabajando en él, desde esta semana pasada está ya funcionando. 

Innovación, ciberseguridad, tecnología y emprendedores. Confieso que a mí, esto de tener una idea innovadora  con tecnología en el mundo inmaterial de los pensamientos, llevarla al mundo real para que nazca, verla venir al mundo como una cosa pequeñita, y cuidarla para que crezca, crezca, crezca y se haga grande, es algo que me encanta. Es como tener el tambor de las fichas de las construcciones y comenzar a construir un nuevo castillo que antes no existía. Algo nuevo, bonito, con valor, diferente. Así que si tienes tu construcción ya comenzada, y crees que podemos jugar juntos... ya está Telefónica Tech Ventures Powered by ElevenPaths funcionando.

Saludos Malignos!

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares