#Zerolynx participará en el congreso #HackOn




El próximo día 30 de enero tendrá lugar la primera edición del congreso HackOn, un evento organizado por los alumnos del grado en Ingeniería de la Ciberseguridad, que reunirá a destacados expertos del campo de la seguridad, para tratar temas de actualidad en la materia.

Desde Zerolynx hemos querido apoyar esta interesante iniciativa, y participaremos con una ponencia sobre Red Teaming titulada El Red Team en la empresa, que impartirán Diego León, responsable de Offensive Security de Zerolynx, y Juan Antonio Calles, CEO del grupo.

A continuación os compartimos el listado completo de ponencias:



Más información y registro en: https://www.hackon.es/

Red Team Vs Estándares de seguridad


Buenas a todos, en el post de hoy quería hablaros de una dura realidad, una realidad que llevamos años encontrándonos en muchos de los Tests de Intrusión y ejercicios de Red Team que realizamos todas las semanas, y que, imagino que a pocos os resultará desconocida. Me refiero a los procedimientos, y más concretamente pero de forma general, a todas aquellas organizaciones que cumplen con determinadas normativas y estándares internacionales como pueda ser la ISO/IEC 27001, y que por ello, se sienten falsamente seguras.

Por desgracia, es habitual que durante los primeros días de muchos proyectos de seguridad ofensiva, logremos llegar a ser administradores del dominio, sin que el Blue Team/SOC se percate de nada. Esto seguramente no sorprenda a la gran mayoría de nuestro público, ya que indudablemente muchas empresas tienen un largo camino de mejora por delante, sin embargo, no deberíamos normalizar este tipo de situaciones cuando una organización está certificada bajo un estándar de seguridad.

¿Por qué ocurren estas cosas? ¿Certificarnos bajo un estándar ISO es inútil? En absoluto, es una de las opciones más recomendables para establecer una línea base de seguridad en una organización. Sin embargo, los auditores de la entidad certificadora no realizan una revisión completa cuando van a auditar una organización, sino que realizan un sondeo, poniendo mucho hincapié en "el papel". Revisan los procedimientos operativos, el plan director, validan determinados patrones, como por ejemplo, si existen administradores locales "de más" en los equipos, si el directorio activo se mantiene limpio y los empleados que han salido de la organización han sido correctamente eliminados, o si se realizan "pruebas de ciberseguridad", sin fijarse técnicamente en los resultados.

¿Y qué ocurre entonces? La respuesta es muy obvia, muchas organizaciones asumen estas auditorías como un simple check y se autoengañan, generando la documentación necesaria para salir bien en la fotografía del auditor, sin importarles lo más mínimo su seguridad. Como se suele decir, pasamos del cumplimiento al "cumplo y miento".

En este sentido, cualquier sencilla evaluación de seguridad en forma de Test de Intrusión o Red Team bastará para sacar a la luz la realidad de su estado de seguridad, y mostrar las vergüenzas que se han intentado cubrir con el cumplimiento de la normativa X. ante los clientes y la junta directiva.

Nos preocupa que determinadas organizaciones sigan con la técnica del avestruz, ocultando la cabeza bajo el suelo para no ver la realidad. Como empresas, tenemos una responsabilidad con nuestros clientes, empleados y proveedores, y debemos convertirnos en entidades resilientes, capaces de dar una respuesta temprana y acertada ante las amenazas que puedan acontecernos, que cada vez son más frecuentes y peligrosas.

Tradicionalmente, los vulnerability assessments y los tests de intrusión eran herramientas muy interesantes, y lo siguen siendo para obtener una línea base de seguridad de la organización y establecer una hoja de ruta con el camino a seguir para cerrar riesgos inmediatos e identificados. Sin embargo, durante los últimos años se han complementado con los ejercicios más completos de Red Team, de los que ya os hemos hablado largo y tendido en Zerolynx. En estos ejercicios se realiza la emulación de escenarios reales de amenazas a los que se puede enfrentar una organización, analizando la seguridad desde el punto de vista del adversario, con el objetivo de evaluar no sólo el factor tecnológico, sino también los procesos y personas detrás de estas tecnologías de seguridad.

Los ejercicios de tipo Red Teaming son una buena opción para alcanzar esa ciberresiliencia, puesto que permiten entrenar al Blue Team, calibrar de forma adecuada los sistemas de alerta y respuesta, y de forma general, evaluar y ayudar a mejorar el plano tecnológico, el de procesos y el humano.

Por lo que si cumplís o estáis trabajando para cumplir uno de dichos estándares, no os olvidéis de la realidad, ya que cuando os estafen con una factura falsificada dirigida a vuestro departamento de compras u os entre un ransomware..., no podréis enrollar uno de estos papeles cual periódico en los San Fermines y atizarle al malware para pararlo... :)

¡Saludos!

#Zerolynx participará en la 3ª edición del evento #HowToHack



El viernes 18 de enero, nuestros compañeros Jesús Alcalde, responsable de Inteligencia de Zerolynx, y Gonzalo Terciado, analista experto de nuestro equipo de Inteligencia, participarán en el evento #HowToHack, con una interesante ponencia sobre OSINT, en la que nos presentarán varios casos reales recientes.

Junto a nuestros profesionales, el evento contará con otros ponentes de nivel, como Pablo González y Álvaro Nuñez-Romero, que tratarán entre otros, temas de ciberseguridad en dispositivos IoT.

El horario de comienzo del evento se encuentra previsto para las 16.15 y tendrá una duración de dos horas y media. Es totalmente gratuito, no requiere de registro previo y contará con sorpresas para los asistentes, cortesía del patrocinador de la jornada, TSS.

El HowToHack, en la que es ya su tercera edición, tendrá lugar en el auditorio del Vivero de empresas de Móstoles, situado en la C/ Federico Cantero Villamil, 2 Bis, 28935 Móstoles. Cuenta con aparcamiento amplio en las inmediaciones y parada de autobús.




Tixeo y Zerolynx firman un acuerdo para luchar contra el espionaje industrial




Tixeo, fabricante de software de videoconferencia segura multipunto y videocolaboración, ha firmado un acuerdo de distribución con el Grupo Zerolynx, especializado en ciberseguridad, inteligencia y seguridad patrimonial. Con este acuerdo ambas empresas unen fuerzas con el objetivo de ayudar a las empresas a protegerse del espionaje industrial, una tendencia al alza teniendo en cuenta las vulnerabilidades de los sistemas de videoconferencia tradicionales. 

Tixeo es una compañía 100% francesa que desarrolla soluciones innovadoras de videoconferencia segura multipunto y videocolaboración, ofreciendo máxima calidad HD/4K desde cualquier sistema (Windows, macOS, Linux, iOS y Android). La seguridad a todos los niveles se tiene en cuenta desde su concepción (Secure by design). Su tecnología única “SVC on demand” garantiza la estabilidad de las comunicaciones en cualquier situación pues se adapta a las variaciones de red, al rendimiento de la CPU y al tamaño de las ventanas de sus contactos, optimizando la calidad de las comunicaciones y garantizando una experiencia de usuario óptima. 

El software Tixeo ofrece un verdadero cifrado de extremo a extremo de cliente a cliente de las comunicaciones (vídeo/audio/chat/datos), así como un cifrado de los enlaces de comunicación entre el cliente y el servidor. Se comprueba toda la cadena de certificación, evitando así cualquier ataque por inyección de certificados. Otra ventaja de seguridad es que no hay que abrir puertos para utilizar la solución, la política de seguridad de la red no se ve afectada. Por último, a diferencia de otras soluciones de videoconferencia, no se han implementado capacidades de escucha (puertas traseras o backdoors).



Por su parte, Zerolynx es un grupo empresarial español, especializado en ciberseguridad, inteligencia y seguridad patrimonial. Entre su portfolio de servicios destaca su especialización en Red Team, Industrial Cybersecurity, Threat Hunting y DevSecOps.

Para Juan Antonio Calles, CEO de Grupo Zerolynx “Tixeo ofrece un nivel de seguridad sin precedentes, especialmente en entornos multipunto, manteniendo el cifrado de forma completa durante toda la comunicación, incluyendo su paso por el servidor.” Calles añade, “el acuerdo firmado nos permite cubrir una de las necesidades más demandadas por nuestros clientes, con el fin de proteger la confidencialidad de sus videoconferencias, y en especial, las comunicaciones de sus directivos”.

Por su parte Maribel Poyato, Country Manager de Tixeo en España asegura que “esta alianza estratégica es un gran paso para el posicionamiento de Tixeo en el mercado español como proveedor líder de soluciones de videoconferencia segura y Zerolynx es el socio ideal para ayudarnos a cumplir con este objetivo y acelerar nuestro crecimiento en España”.

Tixeo está disponible en la nube, en servidor interno o en servidor dedicado en la nube (ofertas TixeoCloud, TixeoServer o TixeoPrivateCloud respectivamente). La opción TixeoGateway ofrece una perfecta interoperabilidad para comunicarse con sistemas de videoconferencia tradicionales SIP o H.323. Además, Tixeo ofrece también la opción llave en mano TixeoRoom, ofreciendo además del software la posibilidad de equipar nuevas salas, reduciendo los gastos de instalación y gestión habitualmente asociados a los equipos propietarios.

Tixeo ha sido la primera solución de videoconferencia en obtener la certificación y cualificación de la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información en Francia, equivalente al Centro Criptológico Nacional en España). 

Red Team vs Test de Intrusión




Muy buenas a todos y feliz año 2019. Este primer artículo del año hemos querido dedicárselo al Red Team, uno de los servicios que en estos últimos 12 meses ha experimentado un crecimiento más exponencial, pero que sin embargo, no deja de ser un gran desconocido para muchos clientes y proveedores de servicios de ciberseguridad, por sus constantes confusiones con los ya tradicionales Test de Intrusión, utilizados habitualmente para descubrir si una organización es insegura. 

Hace unos meses, mi compañero Diego León, responsable del área de Offensive Security, publicaba el artículo Red Teaming: terreno de pasiones, mitos y fantasías, donde a modo introductorio comentaba las principales diferencias sobre un Vulnerability Assessment, un Test de Intrusión y un Red Team

En ese artículo describíamos el objetivo del Red Team como un procedimiento para someter las ideas, planes, programas o suposiciones de una organización a un estricto análisis, con el objetivo de identificar suposiciones incorrectas, opciones alternativas no contempladas, y detectar vulnerabilidades o riesgos que puedan afectarla. 

Dando una definición más técnica, el Red Team podría definirse como un proceso de emulación de escenarios de amenazas a los que se puede enfrentar una organización, analizando la seguridad desde el punto de vista del adversario

El objetivo del Red Team, de forma general, es dar al equipo de seguridad de una organización la ocasión de defenderse frente a escenarios de ataques reales, de forma controlada y constructiva. Haciendo uso de las tácticas, técnicas y procedimientos observados en compromisos reales recientes, evaluando la capacidad real que tiene la compañía para proteger sus activos críticos, así como sus capacidades de detección y respuesta, y evaluando tanto el plano tecnológico, como el de procesos y el humano.

¿Esto qué quiere decir? Que el Red Team no es simplemente un proceso de intrusión, con movimientos laterales, ingeniería social y demás pruebas hacking, sino que es un proceso de entrenamiento. Un Red Team debe entrenar al Blue Team, y debe comprobar que los tres planos comentados, el tecnológico, los procesos y el humano, funcionan adecuadamente y de forma coordinada.

En la realidad de la empresa y a excepción de grandes entidades bancarias, infraestructuras críticas y algunos estados, cuyo nivel de madurez en seguridad es muy alto y donde un ejercicio Red vs. Blue a gran escala y en escenarios muy realistas tendría sentido, para la gran mayoría de las organizaciones la aproximación basada en la colaboración constante entre el personal interno y el externo es la que más valor aporta. Es necesario formar al Blue Team para que sepa reaccionar ante las amenazas reales. ¿De qué sirve un proceso de intrusión que finaliza con un informe, si el equipo de supervisión y respuesta no ha aprendido nada?

Esa es la clave del Red Team frente al Test de Intrusión, el entrenamiento, y es necesario que el Red Team se ponga al nivel del Blue Team para ello. Es ridículo sostener la visión del Red Teamer abusador, que quiere a toda costa demostrar al Blue Team que es mejor que él, y que no va a ser detectado bajo ningún concepto. ¿Qué aprendería un Blue Team en tal caso? Nada, sería un fracaso estrepitoso para el proyecto.

Bajo este enfoque colaborativo, desde Zerolynx abordamos los servicios de Red Teaming a través de dos ópticas diferentes:

Operaciones de Red Team

Este enfoque consiste en la realización de un ataque completo, con el objetivo de alcanzar una serie de objetivos que han sido previamente predefinidos junto al cliente. Normalmente, estos objetivos están relacionados con los peores casos posibles que pueden materializarse a nivel de negocio. En este caso, el equipo agresor realiza todas las etapas comunes de un ataque, desde el reconocimiento inicial, hasta alcanzar el objetivo.

Esta aproximación es la más agresiva, y está recomendada para aquellas organizaciones que, teniendo un nivel de madurez más alto, quieren poner a prueba su capacidad de protección de activos críticos frente a ataques dirigidos.

Red Team para la evaluación del SOC 

Este enfoque consiste en la simulación de ataques dirigidos en todas y cada una de las fases del ciclo del ataque, pudiendo además simular el comportamiento de uno o varios actores maliciosos diferentes. El objetivo de este servicio no es detectar vulnerabilidades, sino evaluar la capacidad de detección y respuesta de la compañía, por lo que un responsable de nuestro equipo acompaña en todo momento al SOC para guiar y evaluar su respuesta.

Esta aproximación ayuda a detectar deficiencias en la capacidad de detección y respuesta de la compañía, y a tomar decisiones de inversión en función de las evidencias recogidas, por lo que ofrece un valor muy importante a todas las organizaciones. Además, su aproximación menos agresiva a las Operaciones de Red Team, la hace especialmente recomendada para compañías con un menor nivel de madurez.


En la actualidad, existen diversas metodologías y frameworks, como la matriz ATT&CK del Mitre, y herramientas como Caldera o Infection Monkey, que facilitan en gran medida las tareas del Red Team, que por definición requieren de un equipo mucho más experimentado que el que colabora generalmente en un proceso de Pentesting tradicional. Con ellas, y con muchas otras llevamos trabajando bastante tiempo en Zerolynx para poder ofrecer servicios de Red Team de última generación, útiles y realistas y adaptados a las necesidades actuales de nuestros clientes.

Si deseas contactar con nosotros para hacernos algún tipo de consulta sobre nuestros servicios de Red Team, puedes hacerlo por los medios de contacto que figuran en la parte inferior el sitio web.

¡Saludos!