Reto Santander X Global Challenge de Open Gateway: 120.000 € en premios

Ya os he hablado en otras ocasiones sobre Telefónica Open Gateway y cómo ha llegado para transformar la forma en la que se consumen los servicios de la industria de telecomunicaciones. La magnitud de este proyecto es enorme y las posibilidades para los developers son infinitas. Especialmente porque creo que con muy pocas APIs, se pueden hacer muchísimas cosas chulas. Por eso, hemos lanzado un challenge para llevar la experiencia digital de los usuarios al siguiente nivel con la integración de nuestras APIs.

Figura 1: Reto Santander X Global Challenge de Open Gateway.

120.000 € en premios

En el blog os hemos hablado de las posibilidades de usar Geo-Fencing de funciones privilegiadas en servicios digitales utilizando el API de Device Location Verification, o de cómo detectar un intento de Fraude de GPS con la misma API. También tienes APIs para detectar el clonado de SIMs con el API de SIM Swap o para hacer una autenticación "seamless" y robusta con el API de Number Verification, o descubrir si un dispositivo está en Roaming con el API de Device Status.

Figura 2: APIs OpenGateway estandarizadas

Ejemplos de estas APIs los contamos David del Val, Pablo González y yo en el pasado Telefónica Innovation Day, y tenéis el vídeo de la demo subido a mi canal Youtube, para que veáis cómo funcionan todas estas tecnologías y todo lo que se puede hacer. El objetivo, que cojas ideas para participar en este reto que te voy a contar ahora.

Figura 3: Telefónica Innovation Day 2024 - Open Gateway.Anti Fraude, Drones y Santander X Challenge

Se pudieron ver ejemplos para potenciar el ecosistema de drones, haciendo uso de APIs que permiten conocer las condiciones de conectividad y la densidad poblacional de la ruta previo al despegue o aplicar QoD Mobile. Y un ejemplo de una solución antifraude que también hacía uso de TU Latch integrado con OpenGateway.

Reto Santander X Global Challenge de Open Gateway

El Santander X Global Challenge | New era of Customer Experience, es un reto que lanzamos en colaboración con el Banco Santander y Oxentia Foundation. Con él, buscamos que todos los developers que formáis parte de startups o scaleups, podáis aprovechar nuestras capacidades telco servidas en OpenGateway y desarrolléis los servicios digitales del futuro. Dejadme que os cuente más sobre ello.

Figura 4:  Nathalie Picquot y David del Val explican el reto

Santander X Challenge | New era of Customer Experience

El objetivo del challenge es sencillo: crear las soluciones más innovadoras que ayuden a mejorar la experiencia de los clientes. Y para facilitaros el trabajo, vais a tener a vuestra disposición nuestras APIs de OpenGateway para incorporarlas en vuestro código. Debéis dar un salto de mejora en alguna de estas tres áreas:

• Personalización de experiencias.
• Garantización de la omnicanalidad
• Potenciación de la conexión humana. 

De esta forma, podréis liberar toda vuestra creatividad en soluciones como asistentes virtuales basados en IA, programas de gamificación, soportes de comunicación y muchas otras cosas que se os ocurran.

Figura 5: Santander X Challenge | New era of Customer Experience

Hay tres premios de 30.000 € para ScaleUps y 3 premios de 10.000 € para Startups, además de tener acceso al equipo de innovación abierta del Santander para explorar oportunidades de colaboración, promoción en los canales oficiales del banco y acceso a Santander X 100, la comunidad global de las empresas más destacadas de Santander X. También podréis tener un encuentro con los inversores de nuestra aceleradora de startups Wayra, además de conocer al equipo y las instalaciones.

Figura 6: Inscripción al Reto

Participar es simple y gratuito. No importa si picáis código en una pequeña startup o una scaleup en crecimiento; el reto está diseñado para adaptarse a distintos niveles de desarrollo. El único requisito es que vuestra empresa se encuentre legalmente constituida en uno de los 11 países participantes: Argentina, Alemania, Brasil, Chile, EE. UU., España, México, Portugal, Polonia, Reino Unido y Uruguay. Tenéis hasta el 15 de diciembre de 2024 sumaros a este reto y poner en práctica el potencial de nuestras APIs.

Open Gateway

Como sabéis, anunciamos Open Gateway en el MWC 2023 y, en el transcurso de estos dos años, hemos podido dar grandes pasos. Al fin y al cabo, es uno de nuestros proyectos estrella y le tenemos mucho cariño. Algunas de nuestras APIs ya se encuentran comercialmente disponibles en países como España, Brasil y Alemania. 

También hemos desarrollado un Sandbox para que piquéis código, experimentéis y validéis vuestras propias soluciones. Poco a poco hemos ido ampliando nuestro catálogo de APIs y, con ello, abarcando nuevos sectores de soluciones. Algunas de ellas, y que podréis encontrar disponibles en el reto, son las siguientes:

• API QoD Mobile: permite ajustar la calidad de servicio basada en las condiciones de red y, con ello, optimizar la conectividad en situaciones adversas, como entornos congestionados.

• API Number Verification: verifica si el móvil proporcionado en un formulario coincide con el que se está usando. Esto evita fraudes en autenticación y aporta seguridad.

• API Device Location Verification: puede comprobar si el dispositivo de un usuario se encuentra en una ubicación geográfica específica.

• API Device Status (Roaming): verifica si un dispositivo móvil está en roaming. 

• API de SIM Swap: verifica si una SIM ha sido clonada en un periodo de tienpo.

El Sandbox de producción cuenta con las mismas características y ventajas que el modo mock. La principal diferencia consiste en que se trata de un entorno de integración real, en el que se busca registrar una aplicación con alguno de los operadores de Telefónica. En este caso, debéis rellenar algunos datos adicionales en nuestro formulario que posteriormente pasarán por un proceso de validación. Actualmente, esta modalidad del Sandbox sólo está disponible para Movistar en España. Pronto se añadirán el resto de las operadoras de otros países, como Vivo en Brasil u O2 en Alemania.

Figura 7: Registro de Apps en el SandBox

Para que empecéis a experimentar, es necesario que os unáis al Developer Hub de Telefónica Open Gateway. La inscripción a este programa no tiene ningún coste, por lo que podréis disfrutar del Sandbox de forma gratuita. En la sección Technical Toolbox del área privada, una vez que os hayáis registrado y logado, encontraréis el acceso y, una vez dentro, lo primero que veréis es nuestro catálogo completo de APIs disponibles en el entorno de pruebas. 

Figura 8: Darte de alta en el Telefónica Open Gateway Developer Hub

Seleccionad aquella con la que queráis trabajar, añadid la información general de vuestra aplicación y elegid el modo que deseéis, ya sea de producción o mock, para empezar con vuestros desarrollos. Probad vuestros desarrollos con estas APIs para llevarlos al siguiente nivel de seguridad antifraude con OpenGateway.

Figura 9: Suscríbete a la newsletter de Telefónica Open Gateway

Y si quieres mantenerte informado con novedades en la iniciativa como más webinars sobre nuestras soluciones, lanzamientos comerciales o nuevas APIs disponibles, suscríbete a nuestra newsletter de Open Gateway.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Open Gateway: Cómo detectar a un ciberestafador que manipula el GPS con FakeGPS usando el API de Device Location Verification

Las medidas de seguridad informática deben evolucionar al mismo ritmo al que evolucionan los sistemas de las tecnologías de información, y las amenazas que van a apareciendo. Las necesidades cambian y el mundo de la tecnología se adapta de forma dinámica, y las medidas de seguridad deben ir alineadas con los nuevos requisitos marcados por los avances tecnológicos actuales y las amenazas reales existentes. Y por desgracia, las ciberestafas y el fraude crecen en el ámbito digital y, por ello, debemos estar más preparados, aplicar nuevas medidas de fortificación, y ser conscientes de cómo podemos estar más preparados y de qué posibilidades contamos.

Figura 1: Open Gateway - Cómo detectar a un ciberestafador

que manipula el GPS con FakeGPS usando el

API de Device Location Verification

En el presente artículo se quiere hablar del problema de la falsificación de la ubicación y las ciberestafas que se crean. Hay gran cantidad de aplicaciones y servicios que necesitan verificar la ubicación lo más cercana o real posible de un usuario para ofrecerle un catálogo de servicios. O algo más crítico, que alguien se haga pasar por ti, ya que ha extraído o robado tus credenciales y se hace pasar por ti desde una ubicación lejana como, por ejemplo, un país extranjero o una ciudad en la que no vives. 

También para hacer fraude o simplemente para hacer una ciberestafa en una aplicación en la que la ubicación es parte fundamental del servicio, como las plataformas de transportes de personas y mercancías, las de citas, o las de servicios ofrecidos por ubicaciones GPS. También para evitar los controles de rutas hechos por esos servicios basados en ubicación GPS.

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Un ejemplo muy claro de protección de sistemas basados en ubicación puede ser la comprobación de la ubicación del terminal móvil cuando se hace uso de una tarjeta de crédito, o comprobar que los accesos a funciones privilegiadas o servicios privilegiados son sólo válidos cuando una persona tiene su terminal móvil con él en una ubicación pre-establecida, como el lugar donde se realiza una compra, o el head-quarter de la compañía. 

Cómo detectar con una línea de código si un terminal está dónde dice que está

Por ejemplo, el acceso a funciones de alta seguridad en una CRA (Central Receptora de Alertas) o un SOC (Security Operation Center) podría ser solo accesible desde la ubicación del centro físico de la CRA o el SOC, por lo que comprobar la ubicación, y comprobar que esta no ha sido manipulada es fundamental. Esto, se puede hacer con el API de Device Location Verification. Vamos a trabajar con Open Gateway y vemos cómo se hace. Para ello partimos del siguiente escenario:

PRIMERO: Yo, como usuario, me encuentro en Distrito Telefónica y lo puedo mostrar con una aplicación como Google Maps. Partimos que estoy aquí. La ubicación es real.

Figura 3: Ubicación real en Google Maps

SEGUNDO: Un atacante utiliza la aplicación FakeGPS para engañar a una aplicación sobre la ubicación que proporciona el GPS del dispositivo. 

Figura 4: Con Fake GPS nos situamos en Málaga

Como se puede ver en la imagen se puede ver como el atacante como la ubicación GPS en Málaga, por lo que cuando la aplicación real haga uso del GPS del dispositivo móvil, ésta recibirá la ubicación de Málaga.

TERCERO: Ahora, en la siguiente imagen, se puede ver que (en este caso Google Maps) se obtiene la ubicación de Málaga. De esta forma si la aplicación hace restricción por ubicación para evitar algo se “bypassea” de forma sencilla por el atacante.

Figura 5: Google Maps nos detecta ahora en Málaga.

Hemos engañado a Google Maps con Fake GPS.

Esto debe ser tenido en cuenta, ya que no podemos fiarnos de dicha ubicación GPS, ya que puede ser modificada y evitar dicha restricción.

CUARTO: Ahora, con la API de Device Location Verification podemos acceder a información real sobre la ubicación, en un radio, dónde se encuentra el dispositivo, y verificar si de verdad se encuentra donde dice que se encuentra. 

Figura 6: API de Device Location Verification en Telefónica

Como se puede ver en la imagen siguiente, a pesar de lo que diga la información GPS, podemos ver gracias a la API de Device Location Verification  que el usuario NO se encuentra en Málaga, que es lo que indica el color rojo.

Figura 7: El API de Device Location Verification

confirma que no está en Málaga.

En otras palabras, lo que nos decía la aplicación anterior que había sido engañada con FakeGPS quedaría invalidado, ya que Device Location Verification nos indica que no se encuentra en Málaga. Para saberlo debemos ir validando diferentes radios que puedan cubrir varias zonas. El usuario tiene un consentimiento explícito en el uso de la API.

Figura 8: Ventajas del uso de Device Location Verification

Por otro lado, si probamos con Device Location Verification (y nuestro querido portal de demos de Open Gateway hecho en IdeasLocas) sobre el Distrito C de Telefónica podremos identificar que realmente nos encontramos ahí, y no dónde nos decía el atacante, como vemos en la imagen siguiente.

Figura 9: El API de Device Location Verification

confirma que estamos en Distrito C.

Es importante, entender que un servicio puede disponer de esta API para validar que un usuario no intenta engañarle con la ubicación, ya sea para abusar del servicio o cualquier intención que exista. Además, es un hecho fundamental cuando se quiere controlar las ciberestafas o el fraude y evitar las acciones sospechosas que se hacen desde ubicaciones lejanas, ya que se puede validar que el usuario no está dónde dice estar. Esto último tiene una clara alineación con evitar el fraude en pagos o transferencias.

Figura 10: Código en Python para detectar el fraude de ubicación.

El ejemplo anterior, con un código en Python, se puede ver cómo se accede a Latitud y Longitud del GPS y luego se verifica con Device Location Verification para detectar el fraude. Además de ese API, Open Gateway tiene la API de Device Status con la que se puede validar si el número se encuentran en Roaming o no. Esto es interesante, ya que permite también sumarle una capa extra de seguridad para identificar que no se encuentra fuera del país.

Figura 11: API de Device Status en Telefónica

En muchas ocasiones, ante un robo de tarjeta, credenciales u otros elementos se hacen uso de ellos desde ubicaciones lejanas (fuera del país), por lo que se puede controlar con Device Status y verificar realmente que la operación no se realiza desde fuera del país.

Figura 12: Telefónica Open Gateway: Developer Hub & Partner Program,

Las capacidades de seguridad que ofrece Open Gateway son altísimas, por lo que este es uno de los casos de uso que se puede encontrar. Iremos desgranando más casos de uso y no dudes en probarlo y revisar la documentación que existe. Tienes el Partner Program y el Developer Hub.

Saludos,

Autor: Pablo González Pérez, escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de Telefónica Innovación Digital.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

(UN)Expected Connnections: Telefónica Innovation Day - 17 de Octubre de 2024

Hoy lunes os quería dejar el último aviso para que podáis registraros y asistir al Telefónica Innovation Day que tendremos el próximo día 17 de Octubre de 2024 en horario de tarde, y que podrás seguir por Internet y de forma presencial en el Distrito C de Madrid. Es decir, en nuestros queridos "Head Quarters" de Telefónica.

Figura 1: (UN)Expected Connnections.

Telefónica Innovation Day - 17 de Octubre de 2024

El evento es un evento puro de Innovación y Tecnología. Todo va a girar en torno a ello. A todas las innovaciones que hemos estado haciendo el último año, apoyadas en muchas cosas que hemos ido haciendo en el pasado, porque esto no es un viaje de un año, sino un proceso en el que Telefónica se embarcó desde el nacimiento de la compañía: Innovar para evolucionar a un compañía que sirva mejor a sus clientes.

Figura 2: Welcome & Connecting Ground

La sesión tiene una agenda en tres bloques, muy diferenciados. El primero es el café y las demos en la sala adyacente, donde podrás probar y conocer de primera mano soluciones de las que os he ido hablando en el blog durante este año, mas alguna que aún no he contado. Podrás ver y experimentar demos con

• Telefónica Open Gateway
• Telefónica Aura & GenAI
• Telefónica Living APPS
• Movistar Experiencia Inmersiva
• Movistar Home Connect
• Tu Latch
• Tu Quantum Drop
• Tu VerifAI
• Tu Metashield
• Wayra & Startups invertidas

Todas las tecnologías, y las novedades, las veremos en la siguiente parte del evento, donde daré, con la ayuda de algún miembro del equipo de Telefónica Innovación Digital, la presentación con todas las novedades y detalles de lo nuevo de este año, y lo que aún no se ha presentado.

Figura 3: (Un)expected Connections Talk

Después, una vez acabada la sesión, todos los que asistáis de forma presencial al evento, podréis pasar a la parte de networking, con un vino, algo de comida, y todas las experiencias disponibles para probarlas si no has tenido tiempo.

Figura 4: Afterwork & Connecting Ground

Además, todos los miembros del equipo estaremos presencialmente en la sala para atender cualquier duda, curiosidad, necesidad, solicitud de contacto o de información que quieras. Que para eso es este día, y el evento presencial.

Figura 5: Regístrate al Telefónica Innovation Day

Así que, si quieres asistir a este día, regístrate cuanto antes. Ya hace unos días que estamos gestionando una lista de espera y una sala de desborde, para dar prioridad a clientes y partners en la sala principal, así que en cuanto te registres comenzaremos a buscarte un hueco para ver cómo conseguimos que puedas asistir a nuestro Telefónica Innovation Day.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)