lunes, octubre 07, 2024
domingo, octubre 06, 2024
La tertulia "En casa de Herrero" del 30 de Septiembre
Figura 4: Contactar con José Luis Garci |
Publicado por Chema Alonso a las 6:01 a. m. 0 comentarios
Etiquetas: cine, Cómics, Entrevistas, Música, MyPublicInbox, podcast, podcasts, radio
sábado, octubre 05, 2024
Cómo crear una aplicación y protegerse de ciberestafas con el API de SIM Swap
¿Qué es SIM Swap?
Vamos a comenzar con una explicación de por qué esto es importante. SIM Swap es un evento de red que ayuda a detectar un tipo de ciberestafa en el que un atacante obtiene un duplicado de la tarjeta SIM de una víctima, mediante un engaño o una portabilidad entre empresas de telecomunicaciones fraudulenta, lo que le permite acceder a su línea de teléfono y recibir tanto llamadas de teléfono como mensajes SMS, lo que le da acceso a los códigos OTP de autenticación de segundo factor (2FA), o incluso realizar llamadas en nombre del usuario.
Sandbox de Telefónica Open Gateway
Antes de acceder a los datos reales, es fundamental probar la aplicación en un entorno seguro. Aquí es donde entra en juego el modo mock del Sandbox de Telefónica Open Gateway, un entorno de pruebas que simula el comportamiento real de la API sin comprometer datos de usuarios. Antes de empezar a programar, hay que dirigirse al sandbox para crear la aplicación. Aquí encontraremos las APIs disponibles con las que podemos trabajar, estando actualmente Device Location Verification, Device Status, Number Verification y SIM Swap.
Para la demo, se va a hacer uso de la API de SIM Swap. Tras seleccionar esta API y darle al botón de crear aplicación, se encuentra un formulario para rellenar información sobre esta. Desde aquí se puede seleccionar el modo de trabajo (producción o mock), indicar el nombre que se le quiere asignar a la aplicación, la URL de redirección (si es necesario) y una pequeña descripción.
El siguiente paso es para aceptar los términos y condiciones de uso.
En el último paso se muestra un resumen con toda la información anterior y el botón para confirmar y terminar con creación de la aplicación.
Ahora, en el apartado de “Mis aplicaciones”, se puede ver la nueva aplicación creada, aunque podría estar pendiente de validación.
Ejemplo de aplicación SIM Swap en Python
Para comenzar a crear la aplicación en Python se tienen dos opciones:
- Revisar la API e implementar todas las llamadas para conseguir la autorización y las llamadas a la API de SIM Swap usando alguna librería como puede ser requests.
- Hacer uso del SDK que está preparado para trabajar con el sandbox.
pip install opengateway-sandbox-sdk
Ahora, se crea un nuevo script de Python y vamos a definir una función que, dado un número de teléfono, cree una instancia de Simswap con los datos de nuestra aplicación (Client ID y Client Secret que se encuentran en la información de nuestra aplicación creada en el sandbox), así como el número de teléfono (en formato E.164) que se desea consultar.
Este sería el código más básico para poder hacer uso de SIM Swap a través del SDK. Vamos a ampliar un poco el código para poner validación del número de teléfono y que se pueda pasar un número de teléfono o un fichero con un listado de número a través de parámetros al iniciar el script. Creamos una nueva función que, pasado un número de teléfono, compruebe a través de una expresión regular que cumple con el formato E.164. ->
La expresión regular que aparece en re.compile(r"^\+[1-9]\d{9,14}$") está diseñada para validar números de teléfono en formato internacional. Veamos en que consiste cada parte:
- <->^: Marca el inicio de la cadena, asegurando que no haya caracteres antes del número.->
- <->\+: Busca el símbolo "+" al principio del número, que es obligatorio en los formatos internacionales.->
- <->[1-9]: Busca un dígito entre 1 y 9, lo que impide que el código de país comience con 0 (en números internacionales, los códigos de país nunca empiezan por cero).->
- <->\d{9,14}: Busca entre 9 y 14 dígitos después del código de país, representando el número de teléfono.->
- <->\d significa cualquier dígito (0-9).->
- <->{9,14} especifica que debe haber un mínimo de 9 dígitos y un máximo de 14 después del código de país.->
- <->$: Marca el final de la cadena, asegurando que no haya caracteres adicionales después del número.->
- <->Empieza con un símbolo +.->
- <->Tiene un código de país que comienza con un dígito entre 1 y 9.->
- <->El número de teléfono contiene entre 9 y 14 dígitos después del código de país.->
Figura 11: Libros de Python para Pentesters y Hacking con Python de Daniel Echeverri publicados en 0xWord. |
->
La función emplea un grupo de argumentos mutuamente excluyentes, lo que significa que el usuario debe elegir entre una de estas dos opciones, pero no ambas al mismo tiempo. Esto simplifica el manejo de los datos y asegura que la herramienta sea flexible pero a la vez fácil de usar. ->
Cuando se pasa un número de teléfono, este se valida usando la función phone_validator(), y, si todo va bien, se procesa con la función sim_swap(). Si se utiliza un archivo, la función intenta leer los números de teléfono línea por línea, y si encuentra algún error (como que el archivo no exista o no se pueda leer), gestiona las excepciones e informa al usuario. Esta estructura permite que la herramienta sea robusta y manejable, garantizando una buena experiencia de usuario con el manejo de errores y validaciones necesarias para evitar problemas.
Para finalizar se debería realizar la llamada a la función main(), algo que se puede integrar dentro del condicional if __name__ == “__main__": típico de Python. Sólo una cosa más, ¿recuerdas que en la llamada a SIM Swap había que indicar el Client ID y Client Secret? En el código mostrado anteriormente, estos valores aparecían en la función sim_swap() en las constantes CLIENT_ID y CLIENT_SECRET. ->
->
Las APIs de Telefónica Open Gateway son una puerta abierta para que los desarrolladores puedan explorar nuevas formas de enriquecer sus aplicaciones con capacidades avanzadas, como el ejemplo visto con la detección de SIM Swap. El acceso a estos servicios no solo refuerza la seguridad de las aplicaciones, sino que también te permite crear experiencias más confiables para los usuarios.
->
Publicado por Chema Alonso a las 9:40 a. m. 0 comentarios
Etiquetas: antiphising, API, ciberestafas, ciberfraude, Estafas, fraude, Open Gateway, OpenGateway, programación, Python, redes, SIM, Telefónica
viernes, octubre 04, 2024
Sandbox de Telefónica Open Gateway: Para que pruebes las APIs de OpenGateway en tus servicios digitales
Ya os he hablado varias veces esta iniciativa global del sector de las telecomunicaciones, con la que las que las telcos abrimos nuestras capacidades para exponerlas a los desarrolladores a través de APIs estandarizadas y fácilmente programables.
Sandbox de Telefónica Open Gateway
Por eso, nuestro equipo de Telefónica Open Gateway ha trabajado para poner a vuestra disposición el Sandbox, un entorno de pruebas diseñado para developers for developers, que ya es una realidad. Cuenta con dos funcionalidades: el Sandbox en modo mock y el Sandbox en modo de producción.
El Sandbox mock de Telefónica Open Gateway es una réplica simulada de nuestro entorno de producción, creada para que podáis realizar pruebas exhaustivas con nuestras APIs sin comprometer datos reales. Este espacio seguro permite asegurar la funcionalidad de integraciones, identificar y corregir errores, y verificar la eficiencia de las aplicaciones antes de lanzarlas al mercado.Podréis probar integraciones con APIs de Telefónica sin afectar a usuarios reales, desarrollar y depurar aplicaciones en un entorno seguro antes de desplegarlas en producción y evaluar el valor añadido de las APIs en diferentes contextos empresariales.
El Sandbox de producción cuenta con las mismas características y ventajas que el modo mock. La principal diferencia consiste en que se trata de un entorno de integración real, en el que se busca registrar una aplicación con alguno de los operadores de Telefónica. En este caso, debéis rellenar algunos datos adicionales en nuestro formulario que posteriormente pasarán por un proceso de validación. Actualmente, esta modalidad del Sandbox sólo está disponible para Movistar en España. Pronto se añadirán el resto de las operadoras de otros países, como Vivo en Brasil u O2 en Alemania.
Para que empecéis a experimentar, es necesario que os unáis al Developer Hub de Telefónica Open Gateway. La inscripción a este programa no tiene ningún coste, por lo que podréis disfrutar del Sandbox de forma gratuita. En la sección Technical Toolbox del área privada, una vez que os hayáis registrado y logado, encontraréis el acceso y, una vez dentro, lo primero que veréis es nuestro catálogo completo de APIs disponibles en el entorno de pruebas.
Publicado por Chema Alonso a las 6:01 a. m. 0 comentarios
Etiquetas: API, developer, fraude, GPS, GSMA, OpenGateway, programación, redes, Telefónica
jueves, octubre 03, 2024
Reserva tu plaza para la 2ª Edición del Programa de Especialización de "Inteligencia Artificial para Expertos en Ciberseguridad
- Coding for Hacking & AI
- AI Tools & Frameworks, Python Models, ML, GAN & GenAI Algorithms
- Cybersecurty Foundations
- Offensive & Defensive Security, Bugs, Exploits, Pentest, threats & Red Team Workloads
- AI Foundations
- Machine Learning, Deep Learning, RL, Cognitive Services, GANs & GenAI
- AI for Cybersecurity: Threat Hunting
- ML & DL for TH, Cognitive Services for CyberSecurity, Biometry, Eye Gazing, Solutions
- AI for CyberSecurity: DeepFakes
- APT with DF Tech, Synthetic Humans, Human Biometry, AI for Anti-DF Tech
- AI for Cybersecurity: Language Models
- SLM/LLMs for Red Team, Testing, OSINT, Exploiting, Automating
- Attack & Protect LLM Apps & Services
- GenAI Digital Services, RAG Architectures, OWASP Top 10, Jailbreak, Firewalling, Content-Safety
- Adversarial Attacks on ML
- ML Attacks, FSGM & FGSM, Open ML Security Project
- Auditing & Pentesting AI
- Tools & Frameworks, Explicability, Robustness, Effectiveness
- Proyecto Final de IA & Ciberseguridad
Publicado por Chema Alonso a las 6:01 a. m. 0 comentarios
Etiquetas: AI, ChatGPT, ciberseguridad, curso, DeepFakes, DeepLearning, Eventos, formación, GenAI, GenerativeAI, Hacking, IA, Inteligencia Artificial, LLM, LLMs, Machine Learning, ML, OSINT, Universidad
miércoles, octubre 02, 2024
The Art of Pentesting: El nuevo libro de 0xWord para formarse como pentester
Figura 2: Contactar con Pablo González |
ssh -p 2929 -i $HOME/.ssh/id_rsa root@database_bookcat /root/book/info
La seguridad ofensiva es una disciplina que permite medir como de eficaces y eficientes son los controles de seguridad que una organización implementa. La necesidad de las organizaciones de integrar seguridad en sus procesos y en sus activos no hace más que crecer, por lo que pruebas como el pentesting y los proyectos de hacking ético son vitales para las empresas y poder tomar decisiones sobre su seguridad.
El libro consta de 5 capítulos en los que el lector recorrerá las diferentes fases del pentesting, siempre con un enfoque práctico. Se detendrá en diferentes escenarios seleccionados con el objetivo de poner a prueba los conceptos y las fases del pentesting. El lector podrá conocer una gran cantidad de técnicas (en las diferentes fases) y aprenderá a utilizar diferentes herramientas que le ayudarán a validar sus conocimientos.
La propuesta es ¡práctica, práctica, práctica! Móntate tu laboratorio virtualizado (o con contenedores) y pon a prueba lo que aprendes con este libro en tu entorno controlado por ti. Interioriza los conceptos y conocimientos para hacerlos tuyos. Enumeración, recopilación de información, escaneo, análisis de vulnerabilidades, explotación, escalada de privilegios, pivoting, movimiento lateral, volcado de credenciales, etcétera. Aquí tienes un libro de consulta en pentesting.
Figura 5: Libro de Ethical Hacking 2ª Edición de Pablo González en 0xWord |
Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a la Agenda". https://MyPublicInbox.com/0xWord |
Figura 7: Cuando lo agregues estará en tu agenda |
Publicado por Chema Alonso a las 6:01 a. m. 1 comentarios
Etiquetas: 0xWord, ciberseguridad, Hacking, libro, MyPublicInbox, pentest, pentester, pentesters, pentesting, Seguridad Informática
Entrada destacada
Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.
Hoy, en medio del verano, os traigo información de la 2ª Edición del Programa de Especialización de "Inteligencia Artificial para Ex...
Entradas populares
-
Ayer publiqué un post que tiene ver con las opciones de privacidad de Facebook asociadas a los correos electrónicos , y mañana sacaré la se...
-
La app de mensajería instantánea Telegram tiene muchos fans por el atributo de seguridad que ha querido potenciar desde el principio, per...
-
Las fotografías de WhatsApp de "View Once" , es decir, las imágenes de "1 sólo uso" , tienen el riesgo de dar una falsa ...
-
En Telegram hace tiempo que pusieron la posibilidad de conectar y charlar con personas cerca de ti, pero tiene una forma de funcionar un poc...
-
Hoy voy a escribir de este proyecto porque me ha encantado. Es muy Hacker y muy Maker , y además habla de algo que es imparable, como la es...
-
Gestionar la seguridad de cualquier servicio online que sea ofrecido por Internet sin poner un ojo en los rincones de la red donde se encu...
-
Siempre que tenemos un nuevo libro en 0xWord es un día feliz. Cuesta mucho sacar adelante este proyecto, y poder decir que hoy tenemos ya a...
-
Al igual que los casos de los Falsos Brokers que han estafado a personas o el caso de la persona que estaba siendo espiada por la compartic...
-
Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucion...
-
Hoy en día, las reuniones de tecnología acaban siempre con nuevos casos de uso que pueden ser implementados gracias a la Generative AI - o ...