Actualidad

Undécimo aniversario de Flu Project



Hoy Flu Project celebra su undécimo aniversario. Hace 11 años, Pablo González y nuestro CEO, Juan Antonio Calles, fundaron este medio de noticias de ciberseguridad que trata tanto hacking como inteligencia y forense digital. Durante sus primeros años siempre tuvo mucho tráfico de visitas pero lo que realmente da nombre a este exitoso blog son sus herramientas, como "Liberad a WiFi", que con más de 10 millones de descargas se convirtió en referencia en el crackeo de Redes Wireless entre 2011 y 2013, o "Anubis”, que desde 2011 ha sido una de las herramientas de hacking más utilizadas para labores de Footprint y Fingerprint, y sus libros, como "Powershell: La navaja suiza de los administradores de sistemas" de Pablo González, "La biblia del Footprinting" de Juan Antonio Calles o "Un forense llevado a Juicio", de Juan Luis G. Rambla, entre otros. 

De esta forma, Flu Project se ha posicionado como uno de los blogs de ciberseguridad de referencia en el sector que cuenta con más de 10 millones de visitas y 2000 artículos especializados. Pero, como sus propios fundadores dicen, estos números no serían posibles sin todos los seguidores, colaboradores, amigos y profesionales que han participado en el proyecto y han conseguido convertirlo en una gran familia. 

¡Enhorabuena! Os deseamos muchos más años de crecimiento. 

Zerolynx realiza su Outing de Invierno 2021

La semana pasada tuvimos el placer de celebrar el Outing de invierno de Grupo Zerolynx, nuestro evento trimestral y que en esta ocasión tuvo una mayor duración para tratar todas las novedades de este año 2021 que toca a su fin.



El evento tuvo lugar en los cines Cinesa del Centro Comercial Intu Xanadú, donde nuestro CEO, Juan Antonio Calles, junto al resto del equipo de Management y Administración, compartieron todas las novedades del año. 

Tras la presentación, pudimos disfrutar de la ya tradicional comida de Navidad y de la post-comida, en un entorno más distendido, manteniendo todas las medidas de seguridad sanitaria que la situación actual de pandemia sigue requiriendo.

Finalmente, queríamos aprovechar para dar las gracias no solo a nuestros compañeros, sino también a clientes, proveedores y amigos, que día a día contribuís positivamente a que todos nuestros éxitos sean una realidad. ¡Infinitas gracias!

¡Que paséis unas Felices Fiestas!

Consejos de ciberseguridad para esta Navidad



¡Buenas a todos! Estamos en temporada navideña y queremos aprovechar para daros unos consejos sencillos y prácticos para que ningún susto os amargue estos días tan especiales para todos.

1. En estas fechas nos llegan muchos pedidos a casa. Os recordamos que cuando recibáis un mensaje por email o SMS de una empresa de mensajería verifiquéis si es de un pedido realizado o, al contrario, se trata de un enlace malicioso.

2. Siempre debemos bloquear nuestros dispositivos con contraseñas robustas y, si lo permiten, con otras medidas adicionales de seguridad, como la huella dactilar o el reconocimiento facial. Así, si lo perdiéramos en la calle en estas fechas que salimos más, evitaremos que cualquiera acceda a nuestros datos.

3. Al realizar vuestras compras navideñas online recordad hacerlo en tiendas virtuales de confianza. Y cuando lo hagáis, tratad de no dejar guardada vuestra tarjeta de crédito, a menos que sea una tarjeta "sin mucho dinero", o si no, ante un posible robo de vuestro usuario, podrían comprar sin autorización.

Esperamos que os sean de utilidad, ¡felices fiestas!

Publicada la vulnerabilidad de Parallels descubierta por Zerolynx

Desde Zerolynx queremos dar las gracias por el reconocimiento de nuestro trabajo y dedicación. Hoy ha sido publicada en INCIBE una vulnerabilidad de Parallels identificada y reportada por nuestros compañeros Francisco Palma, Diego León y David Jiménez.



La vulnerabilidad, de tipo "gestión inadecuada de credenciales" con CVE-2020-8968, en el producto Parallels Remote Application Server (Client) de Parallels, aún no ha sido corregida en la última actualización del fabricante.
 
¡Desde aquí queremos darles la enhorabuena a nuestros compañeros! 

Para más información y remediaciones, os dejamos el reporte oficial de Incibe.

Publicadas las vulnerabilidades de TCMAN descubiertas por Zerolynx

En Zerolynx estamos muy agradecidos por el reconocimiento de nuestro trabajo y dedicación. Hoy han sido publicadas en INCIBE dos vulnerabilidades de TCMAN identificadas y reportadas por nuestros compañeros Luis Vázquez, Francisco Palma y Diego León con el apoyo de Jesús Alcalde, David Jiménez, José Hermoso, Sergio Gutiérrez, Juan Antonio Calles, Elina Cárdenas, Helena Jalain y Jorge Escabias
 


Las vulnerabilidades de tipo "SQL Injection" y "Lack of authorization" con CVE-2021-40850 y CVE-2021-40851 respectivamente, en el producto GIM de TCMAN, ya han sido corregidas en la última actualización del fabricante.
 
¡Desde aquí queremos darles la enhorabuena a nuestros compañeros! 

Para más información y remediaciones, os dejamos los reportes oficiales de Incibe.

Día Internacional de la Seguridad de la Información

Hoy, día 30 de noviembre, se celebra el Día Internacional de la Seguridad de la Información. Esta celebración se fechó en noviembre como conmemoración al ciberataque producido por el gusano de Morris, programado por Robert Tappan Morris y lanzado en noviembre de 1988. Este ataque, producido por accidente, afectó al 10% de las máquinas conectadas a Internet, que en aquel entonces era Aparnet. A raíz de esta situación, se creó el Equipo de Respuesta ante Emergencias Informáticas o Computer Emergency Response Team (CERT) para dar solución a este tipo de incidentes.


Con el propósito de sumarnos a esta celebración, queremos compartir unos breves y sencillos consejos de ciberseguridad:

1. Gestiona bien tus contraseñas: no solo pongas una contraseña difícil en cuanto a longitud, sino también que no guarde ninguna relación contigo. Hay mucha información que puede extraerse fácilmente de fuentes abiertas como tus redes sociales. También recuerda hacer uso de un 2FA siempre que la página te lo permita.

2. Actualiza siempre el software: actualizar los programas permite instalar versiones nuevas y mejoradas con parches a brechas de seguridad que podía tener la versión anterior.  

3. No confíes en redes wireless abiertas: si necesitas realizar alguna consulta en la página de tu banco, email del trabajo o entrar con tu contraseña en tus redes sociales, te recomendamos no acceder a través de redes abiertas que puedan suponer un mayor riesgo de ataque.


Zerolynx recibe el "Trofeo a la Empresa de Seguridad TIC del año"

Ayer tuvimos el orgullo de recibir el “Trofeo a la Empresa de Seguridad TIC del año” otorgado por la Revista Red Seguridad. Estamos muy agradecidos por este reconocimiento que premia el crecimiento exponencial que hemos tenido desde el nacimiento de Zerolynx.


El encargado de recoger el premio fue nuestro Vicepresidente y Socio Responsable de Negocio, Daniel González, que dedicó el premio a todo el equipo, sin el que no sería posible todo el desarrollo que hemos tenido en los últimos años. Desde aquí queremos aprovechar para felicitar a todos los compañeros que día a día dan lo mejor para que nuestro trabajo cumpla con los más altos estándares de calidad.

Nos gustaría felicitar también al resto de premiados en los XIV Trofeos de la Seguridad TIC: Ironchip Telco, Foro Nacional de Ciberseguridad, Francisco Valencia Arribas, CCN-CERT Centro Criptológico Nacional, Centro Integrado Público de Formación Profesional Mislata y Mar España.

Por último, agradecer tanto a la Revista Red Seguridad como al Jurado y al Consejo Técnico Asesor este galardón. ¡Hasta pronto!

Zerolynx acude a la final de la ESL Masters CSGO Temporada 10

El viernes 12 de noviembre tuvo lugar la final de la ESLMasters CSGO y, por lo tanto, el cierre de esta emocionante temporada. SAW y Movistar Riders fueron los encargados de poner el broche de oro final a esta edición en la que el equipo español se alzó con la victoria. En Zerolynx estamos encantados de haber participado en este proyecto como patrocinadores en la que para nosotros ha sido una experiencia completamente nueva y enriquecedora. Estamos muy agradecidos a toda la organización, ha sido un auténtico placer trabajar con todos ellos: Korean, casters, equipo de producción, marketing, etc. La acogida que han tenido todas nuestras acciones y el feedback recibido por el público no tiene precio. 


Juan Antonio Calles, CEO de Zerolynx señala “esperamos que esta colaboración nos haya permitido acercar la ciberseguridad al mundo gaming y afianzar la cultura de ciberprotección al público más joven”.

Para concluir, ESL nos invitó a ver la final en directo en el Movistar eSports Center. Acudimos algunos miembros del equipo y pudimos disfrutar de unas horas viendo el partido. Fue un gran evento en el que tuvimos el placer de conocer a gran parte del grupo que está detrás de la ESL Masters CSGO.

Finalmente, tuvimos el orgullo de recibir una versión reducida del premio de la ESL Masters como reconocimiento a nuestro patrocinio y colaboración durante el último año. Desde aquí queremos agradecer este bonito gesto a todo el equipo. 

¡Hasta pronto! 

Zerolynx participa en las XV Jornadas STIC CCN-CERT

Durante los días 30 de noviembre al 3 de diciembre tendrán lugar las XV Jornadas STIC CCN-CERT, el principal encuentro de ciberseguridad en nuestro país. Bajo el lema “Ciberseguridad 360º. Identidad y control del dato” las jornadas, que ya son un referente a nivel nacional e internacional, prometen aportar una visión global e integral del sector que no dejará indiferente a nadie. 


Desde Zerolynx nos complace anunciar con orgullo que nuestro compañero, Jorge Escabias, participará como ponente en el evento. El taller que impartirá tendrá como objetivo mostrar a los asistentes el proceso a seguir para crear y automatizar el despliegue de un entorno de pruebas de Directorio Activo. 

Jorge Escabias, auditor de ciberseguridad senior en Zerolynx, nos cuenta “Partiendo de una serie de máquinas virtuales ya creadas o de plantillas predefinidas, los asistentes podrán conocer cómo implementar este despliegue mediante el uso de herramientas como Terraform y Ansible, así como, los recursos necesarios para ello” 

Este año contará tanto con la presencialidad como con la retransmisión online de todo el evento al que podéis inscribiros desde su página oficial.  Os dejamos el enlace con toda la información, ¡no os lo podéis perder!

Resolviendo los retos del CTF #FromZeroToLynx: T9-Silver



Bueno bueno, se nos acaba la Temporada 10 del ESLMasters, y con ella, nuestro CTF #FromZeroToLynx, por lo que va siendo hora de que vayamos comenzando a liberar las soluciones a los primeros retos de la temporada anterior... ¿verdad?

Hoy comenzaremos por los retos de la categoría más sencilla, Plata, realizados durante la pasada Temporada 9 del ESL Masters de CSGO. Esperamos que os sea de utilidad para ir mejorando poco a poco en el mundo de los Capture The Flags.

Las soluciones han sido aportadas por el ganador del torneo, que se llevó un fantástico portátil de gaming como trofeo, un certificado acreditativo por la hazaña y, un puesto de trabajo en Zerolynx dentro de nuestra área de Seguridad Ofensiva.

¡Os dejamos con su Write-Up a continuación! Y permaneced atentos a nuestras redes sociales, que a las 18:00h anunciaremos los ganadores de la última edición del CTF.


Aim Training


Este reto básicamente nos enseña el formato de las flags, por lo que ya se nos proporciona la flag a introducir.
 
Flag: ESL{Th1s_1s-JuSt_4_t3st}
 

Correo


Se nos proporciona un fichero con extensión JPG que proviene de un correo cifrado interceptado. Si ejecutamos el comando strings, podemos sospechar de la existencia de un archivo tar embebido.
Dicho archivo puede ser extraído mediante la herramienta binwalk y al descomprimirlo encontraremos la flag buscada.

Flag: ESL{C0mPr1midoE5m3j0R}

 

Sad bird


El reto nos dice que la flag es algo que ya deberíamos conocer habiendo leido las bases de la inscripción. Para resolver este reto tan solo habrá que irse a un tweet específico y ahí estará la flag.

 

Flag: ESL{d0_U_f0lL0w_Us?} 

 

Canal... ¿seguro?

Se nos proporciona un archivo PCAP con cierta información relevante. En estos casos se suele utilizar Wireshark para ver que puede esconder. Si nos fijamos bien, hay una petición que solicita un archivo flag.zip y lo bueno es que la respuesta a dicha petición, es decir, el archivo flag.zip está incluido en la captura, por lo que solo habrá que exportarlo y ver que contiene.


Mediante el comando 7z podemos ver el contenido del archivo exportado.


La flag estará contenida en el archivo flag/.code/.core.bat.

Flag: ESL{TH1S_1S_TH3_FLAG_MY_FR13ND}

 

Pretorianos


En este reto se proporciona el criptograma Txh kdb pdv ohjhqgdulr txh od jxdugld suhwruldqd gh Mxolr Fhvdu, el cuál está cifrado mediante el cifrado cesar. Para descifrarlo se pueden utilizar diversas herramientas online.

 

La respuesta al texto en claro obtenido es legendaryeaglemaster, cuyo criptograma generado mediante el cifrado cesar será la flag.


 

Flag: ESL{ohjhqgdubhdjohpdvwhu}

 

Pi Pi Piiii

Se nos adjunta una imagen que oculta algo interesante. En primer lugar si hacemos un simple strings al fichero podemos ver una línea escrita en lenguaje morse.


Por lo que si usamos alguna herramienta online podremos descubir cual es la flag.

Flag: ESL{3ST0_3$-UN4=FI4G_V41ID4}

 

Wallhacks

Se nos adjunta el número identificativo 76561199151583346 asociado a un jugador que hace trampas. Aquellos que hayan jugado en Steam sabrán que este número cuadra con el asociado a cada perfil de un jugador. Por lo que si buscamos este id y miramos el historial de nombres de usuario usados podremos encontrar la flag.

 

Flag:ESL{¡ElOSINTSeTeDaMuyBien!}

 

Codificado

Se adjunta un fichero que contiene una cadena de texto correspondiente a un base64, que a su vez descodificado corresponde a un fichero zip, por lo que se procederá a descodificarlo y volcarlo sobre un fichero.

$ cat message | base64 -d > file.zip

El único problema es que dicho fichero zip esta protegido con contraseña, sin embargo, si hacemos un string al fichero zip podremos ver una línea con la contraseña para descifrar dicho fichero y obtener la flag.


Flag: ESL{BaSe64_h1D3s_mArV3l0uS_tH1nGs_1sNt_1T?}

 

Muerte en el jardín

Se adjunta un fichero con una cadena de texto en base64, la cuál si descodificamos nos dice que la flag es ESL{base64(cobblestone)}. Por lo que si hacemos el base64 de dicha cadena obtendremos la flag.

$ echo "cobblestone" | base64

Flag: ESL{Y29iYmxlc3RvbmUK} 


Bomb has been planted

En este reto se nos ajunta un binario que corresponde a la desactivación de una bomba del csgo y una linea de comando con netcat para una vez reverseado el binario enviar el codigo de desactivación correspondiente. Sin embargo no será necesario reversear el binario dado que el código de desactivación viene en internet. Se introducirá dicho código y se obtendrá la flag.


Flag: ESL{S13mPr3_H4y_Qu3_Pl4nT4R_3n_lUg4R_S3gUr0}

 

Shoot to kill!

Se nos adjunta un fichero con un modelo 3D de un AK47. Si utilizamos el visor 3D de Windows o alguna herramienta online podremos ver que en la tapa del percutor estará escrita la flag.

Flag: ESL{BANG!}

 

Victory's sound

Se adjunta un archivo MP3 con cierta información oculta en el mismo. Si usamos herramientas de análisis de audio como Sonic Visualizer y abrimos el espectrograma podremos ver la flag buscada.

Flag: ESL{H4CK_TH3_B0MB}

 

Farm

En este reto se adjunta un fichero BSP correspondiente a un mapa de csgo, sin embargo si aplicamos el comando strings podremos ver que oculta la flag buscada.

Flag: ESL{MuyBienMatasteAlPolloCorrecto}

 

Rush B!

En este reto se nos adjunta un fichero comprimido, el cuál si se trata de descomprimir, pronto nos daremos cuenta que tiene una infinidad de directorios. Sin embargo, si en vez de descomprimirlo simplemente listamos y filtramos para ver solo los archivos, podremos ver uno de los archivos que contiene la flag.

Flag: ESL{Bu3n_s1t10_p4rA_P1ant4R}

Mes de la Ciberseguridad: Tips Zerolynx Capítulo 4

¡Muy buenas!

Bienvenidos al cuarto y último video de tips de seguridad de Zerolynx. Hoy, nuestro compañero Luis Vázquez analista senior de ciberseguridad nos trae un único consejo, pero de una gran importancia.


Si nos seguís por redes sociales, nos habréis escuchado decir muchísimas veces que las contraseñas que usamos en nuestro día a día deben ser robustas, usando la mayor cantidad posible de caracteres especiales, mayúsculas, minúsculas y números. Pero claro, ¿quién se puede acordar de contraseñas tan largas? Tradicionalmente hemos usado los post-it para escribir estas contraseñas tan difíciles de recordar, pero hoy en día tenemos claro que esta no es una buena opción. Para evitar el uso de estos soportes, los navegadores actuales traen gestores de contraseñas incorporados que introducen automáticamente las credenciales necesarias cuando accedemos al login de una página web. Y, claro, parece evidente que estos sistemas son más seguros que un post-it, pero… ¿podemos confiar en ellos?

Si accedemos al gestor de contraseñas de un Google Chrome, por ejemplo. podremos comprobar que, si queremos ver las credenciales que usamos para acceder a algún sitio web, tenemos que introducir nuestra contraseña de Windows, evitando que un atacante pueda ver las contraseñas si tuviera acceso a nuestro equipo de alguna forma.

Ahora bien, ¿existe alguna forma de obtener estas credenciales en claro sin conocer la contraseña? Por desgracia, sí, si tienes acceso de Administrador al equipo. Las credenciales del gestor de Chrome se almacenan en una base de datos cifrada con una clave AES llamada “Stage Key”, que a su vez se encuentra cifrada mediante la API de protección de datos de Windows (conocida como DPAPI). Esta API cifra utilizando una clave única por cada usuario del sistema llamada “DPAPI Master Key”, que puede ser obtenida con una herramienta muy conocida en el mundo hacker llamada Mimikatz si tenemos privilegios de Administrador en el equipo. Una vez se obtenga esta clave, podremos descifrar la Stage Key de Chrome y, con ello, la base de datos de credenciales almacenadas.

Los gestores de contraseñas de los navegadores son más fiables que un post-it, pero ni mucho menos son totalmente seguros. Ahora bien, ¿qué podemos considerar seguro? Desde Zerolynx recomendamos el uso de Keepass, una herramienta Open Source que cifra nuestra base de datos de credenciales con una contraseña que sólo nosotros conoceremos. En nuestra mano queda que esta contraseña sea robusta y no quede escrita en ningún sitio.

Y esto es todo. Esperamos sinceramente que estos cuatro vídeos os hayan servido para mejorar vuestra seguridad. No dudéis en seguirnos en redes sociales y seguir aprendiendo con nosotros. ¡Muchas gracias y hasta pronto!

Mes de la Ciberseguridad: Tips Zerolynx Capítulo 3

¡Buenos días!

Bienvenidos al tercer video de tips con motivo del mes de la ciberseguridad de Zerolynx. Hoy nuestro compañero David, responsable del área de Ciberdefensa, nos va a mostrar un ejemplo de cómo un atacante podría acceder fácilmente a nuestro ordenador. 



¿Sabes que Windows cuenta con muchos atajos que nos hacen la vida más fácil? Aunque, en ocasiones, pueden llegar a causarnos un gran problema. Hoy vamos a hablar de las Sticky Keys, una funcionalidad de Windows que facilita el uso del sistema operativo a personas con diversidad funcional. Sin embargo, puede llegar a ser un problema cuando un atacante consigue cambiar este menú de accesibilidad previsto por Windows por una ejecución de comandos como administrador sin haber iniciado sesión aún.

Pero ¿cómo se activa? Muy fácil, para activar las opciones de accesibilidad de Windows simplemente tendremos que presionar múltiples veces la tecla “Shift”, y nos saldrá un pop up que nos preguntará si queremos activarlas. A partir de ahí, un posible atacante podrá modificar el contenido que carga esta herramienta de accesibilidad para conseguir un acceso privilegiado al sistema. Sabemos que puede sonar algo complejo, pero, para nada, ¡vamos a ver un ejemplo en el vídeo!



Esperamos que os haya gustado la demostración y recordad, como comentaba nuestra compañera Laura en nuestro video anterior, es importante cifrar nuestro disco duro para evitar que un atacante pueda modificar ficheros saltándose cualquier protección que Windows implemente. Además, también es recomendable que si el equipo no va a ser usado por personas con diversidad funcional, deshabilitemos tanto la funcionalidad de StickyKeys como el atajo de teclado.

Y hasta aquí el consejo de hoy. ¡Si quieres más, no te pierdas la última entrega la semana que viene!

Si quieres ampliar la información te dejamos una lista de artículos de interés de Computer Hoy, Hard Micro, Panda Security y Hacker Noon

  


Zerolynx realiza su Outing de Otoño 2021

La semana pasada tuvimos el placer de celebrar el outing de otoño de Grupo Zerolynx, nuestro evento trimestral en el que pudimos reunirnos de nuevo todo el equipo tras la vuelta a la nueva normalidad. Durante el evento, tuvimos tiempo de disfrutar junto a todos nuestros compañeros de las novedades acontecidas en este tercer trimestre de 2021.


El evento tuvo lugar en los cines Cinesa del Centro Comercial Intu Xanadú, donde nuestro CEO, Juan Antonio Calles, junto al resto de los socios, compartieron los avances que ha realizado la compañía en este último trimestre y las novedades que vendrán a lo largo del próximo Q.

Tras la presentación, pudimos disfrutar de la emisión de la película Dune, acompañada de palomitas y refrescos para todos. Desde aquí nos gustaría dar las gracias a Cinesa, por todo su apoyo y atención para que todo saliese según la planificación, a todo el equipo de Marketing, RRHH y Negocio, por todo el esfuerzo que realizan para llevar a cabo estos eventos internos y, por supuesto, a todos los participantes que hicieron de este encuentro, una vez más, un día muy especial.

Mes de la ciberseguridad: Tips Zerolynx Capítulo 2


¡Muy buenas!

Bienvenidos al segundo video de tips con motivo del mes de la ciberseguridad de Zerolynx. Hoy nuestra compañera Laura, consultora junior de ciberseguridad, nos trae una serie de consejos que podemos aplicar en nuestro día a día tanto a nivel personal como profesional.



La gran mayoría de las personas que habitualmente utilizan perfiles en redes sociales publican fotos que, muchas veces, dan información de más sin querer. Esto es porque en todos los ficheros existe una información extra que no se encuentra a la vista: los metadatos. Son datos internos del propio archivo y que puede dar información sobre el propietario, la ubicación, la fecha de creación y modificación, el dispositivo con el que se ha tomado la foto, etc. Por ello, siempre que sea posible, es recomendable que se eliminen los metadatos de los archivos y fotos que se comparten.

Siguiendo con la seguridad y privacidad, es importante que se revisen las opciones de privacidad de los perfiles y cuentas en redes sociales para tener el control de la información que los demás pueden ver. Por otra parte, si se quieren evitar miradas indiscretas a las pantallas del ordenador o el teléfono móvil se puede hacer uso de filtros de privacidad que ocultan lo que se está viendo desde ciertos ángulos. También se puede mejorar la privacidad tapando la webcam con un ipatch, es decir, con las tapitas de plástico que se suelen poner en las cámaras de los portátiles.

Dentro de los aspectos importantes que pueden afectar a la seguridad en el día a día también se puede hablar del phishing. Un phishing es un método mediante el que los ciberdelincuentes tratan de engañar a sus víctimas para que revelen información personal, como son contraseñas, datos bancarios o de tarjetas de crédito, entre otros. Se pueden recibir tanto por correo electrónico, como por SMS (smishing) o llamada telefónica (vishing). Y, ¿cómo se pueden detectar? Tanto en correos electrónicos como en SMS, por ejemplo, los enlaces que se incluyen suelen encontrarse alterados y no llevan a la página web original del sitio que están suplantando, los textos contienen faltas de ortografía y, en ocasiones, la página web a la que redirige no tiene en el navegador una indicación de que esta sea segura, por ejemplo, mediante un candado cerrado. También hay que verificar que quien envía este correo es alguien conocido, aunque igualmente hay que estar alerta, porque pueden haberle robado la cuenta y estar sufriendo una suplantación de identidad.

Por otra parte, otra cuestión a tener en cuenta es la privacidad en las comunicaciones por correo electrónico, que puede reforzarse utilizando un sistema de cifrado. Para ello se puede hacer uso de PGP (Pretty Good Privacy), por ejemplo, mediante la aplicación llamada Kleopatra. Con ella, se puede generar un par de claves, pública y privada. Se debe intercambiar la clave pública con los destinatarios, para poder cifrar el contenido de los correos electrónicos, así como los ficheros adjuntos, de manera que solo estos puedan descifrarlos con sus claves privadas.

Por último, otra recomendación es emplear software de cifrado que permita proteger nuestra información en caso de que sea robada. Actualmente, los dispositivos móviles y equipos portátiles cuentan con opciones de seguridad que permiten cifrar la información independientemente del sistema operativo. Para ello, existen aplicaciones de cifrado como por ejemplo, BitLockerFileVault o VeraCrypt.

Esperamos que estas recomendaciones os hayan sido de utilidad y os permitan disfrutar de internet de una manera mucho más segura. 

Muchas gracias y… ¡nos vemos pronto!

Zerolynx obtiene la certificación ISO 27001 acreditando sus máximos niveles de seguridad

El pasado mes de julio, Zerolynx obtuvo la certificación ISO/IEC 27001:2013, acreditando de esta manera la alta calidad de su Sistema de Gestión de Seguridad de la Información. Esta certificación constata el compromiso de la firma por ofrecer a sus clientes los mayores niveles de seguridad, acreditando bajo dicho estándar la totalidad de sus servicios.

El proceso de diseño e implementación del SGSI fue llevado a cabo por el equipo de ciberdefensa de Zerolynx, liderado por el socio y responsable del área, David Jiménez. Tras dicho proceso, que dio inicio en 2020, tuvieron lugar dos auditorías llevadas a cabo por la auditora BSI, que culminaron con la entrega del certificado el pasado 27 de julio de 2021.

British Standards Institution (BSI Group), es una de las instituciones más prestigiosas a nivel internacional para la auditoría y certificación de las normas de estandarización de procesos. Su presencia mundial en 193 países y sus más de 84.000 clientes, hacen del grupo con sede en Londres, el socio ideal para llevar a cabo los procesos de certificación.



<<La certificación ISO 27001 de nuestro SGSI se suma a la certificación de nuestro Sistema de Gestión del I+D+i, acreditado por EQA también en este 2021 y que derivó en el Sello PYME Innovadora. Estas certificaciones nos permiten refrendar el máximo compromiso que tenemos con nuestros clientes desde nuestro primer día>>, confirma Juan Antonio Calles, CEO de Zerolynx. <<Cada día, Zerolynx continúa creciendo y avalando su buen hacer, con un catálogo de servicios innovador y alineado con las necesidades del mercado, que tiene como objeto dar una respuesta óptima ante el difícil reto que suponen los riesgos cyber>>, finaliza Daniel González, Vicepresidente y socio responsable de negocio.

Mes de la ciberseguridad: Tips Zerolynx Capítulo 1

¡Muy buenas!

Bienvenidos al primer video de tips con motivo del mes de la ciberseguridad de Zerolynx. Como la ciberseguridad empieza desde los compañeros que no hacen seguridad, nuestro compañero Eryk, responsable de Administración, nos trae una serie de consejos que ha aprendido desde su entrada a Zerolynx y que ha comenzado a aplicar en su día a día.



¿Sabes que un cibercriminal podría tardar en averiguar una contraseña menos de un segundo en algunos casos? No es de extrañar teniendo en cuenta que entre las contraseñas más usadas a nivel mundial se encuentran algunas como: 1234, la palabra “contraseña” en inglés, qwerty, aaaaaa, 11111, entre muchas otras, que obviamente no son nada seguras.

Ahora la pregunta es, ¿cómo creamos una contraseña segura? Todo empieza con un cambio de paradigma, dejando a un lado las palabras y comenzando a utilizar frases u oraciones que, a poder ser, superen los 12 caracteres y entre los cuales encontremos mayúsculas, minúsculas, números y, preferiblemente, símbolos. Esto permitirá construir contraseñas tan seguras como “VendoOpelCorsa:300€”, cuya complejidad será considerablemente mayor que, por ejemplo, el nombre de nuestro perro, nuestra comida favorita, el DNI o cualquier otra fecha señalada que sea fácilmente identificable.

Generalmente utilizamos muchos servicios que requieren un acceso con usuario y contraseña, ¿cómo se pueden recordar todas estas las contraseñas? Hay que evitar anotarlas en una agenda, en un post-it o dejarlas registradas en nuestros navegadores web, pues dependiendo del caso podrían quedar a la vista y se podrían perder fácilmente. En estos casos es conveniente recurrir a los gestores de contraseñas, como por ejemplo KeePass o LastPass, que, bien configurados, nos permitirán almacenar nuestras credenciales en una base de datos protegida por una contraseña MAESTRA, la cual deberá ser tan segura (o más) que todas las anteriores juntas. No debemos olvidar que esta última será la encargada de proteger toda nuestra vida digital.

Por último, y no menos importante, otra recomendación es que siempre que sea posible se haga uso de los dobles factores de autenticación o también conocidos como 2FA. El doble factor consiste en una segunda prueba, adicional a la contraseña que suele ser la primera, de que realmente somos nosotros los que intentamos acceder a nuestra cuenta y no cualquier otro curioso. En este sentido, llevan tiempo utilizándose para las operativas bancarias, con las claves OTP, es decir, One Time Password, que como su nombre indica son códigos temporales de un único uso, de entre 6 y 8 dígitos, que envían algunas aplicaciones a nuestro móvil, correo electrónico o aplicación de autenticación para corroborar nuestra identidad. Algunos de ejemplos de aplicaciones que permiten activar este segundo factor de autenticación son Google Authenticator y Microsoft Authenticator.

Esperamos que estas recomendaciones os hayan sido de utilidad y os permitan disfrutar de internet de una manera mucho más segura. 

Muchas gracias y… ¡nos vemos pronto!  

Zerolynx patrocinador de Ciber Todos ISACA 2021


Un año más, ISACA Madrid participa en el Mes Europeo de la Ciberseguridad, organizando el congreso Ciber Todos “La ciberseguridad: una responsabilidad de todos” con la colaboración y participación de las principales entidades del sector, como son el Departamento de Seguridad Nacional (DSN), el Centro Criptológico Nacional (CCN-CERT), el Mando Conjunto del Ciberespacio (MCCE), el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Nacional para la Protección de las Infraestructuras y la Ciberseguridad (CNPIC), la Guardia Civil, la Policía Nacional, y otros organismos relevantes, además de empresas y universidades.



En Zerolynx hemos querido unirnos a este importante evento como patrocinadores silver, tomando así una actitud proactiva en la concienciación sobre la importancia de la seguridad de las redes y la información. También participaremos en el congreso, en la mesa redonda “Hack & Furious”, representados por nuestro CEO Juan Antonio Calles, en la cual se debatirá sobre la evolución del mundo ciber en los últimos años. La mesa redonda tendrá lugar durante la primera jornada del congreso el día 7 de octubre.

El congreso se celebrará de nuevo, debido al COVID, en formato ONLINE, a lo largo de los 4 jueves de octubre (7, 14, 21 y 28) en horario de 18:00 a 20:00h. ¡No lo dudes e inscríbete!

¡Ganamos el premio Ciudad de Móstoles 2021! #PremiosCiudadDeMóstoles

Anoche tuvo lugar la XXX Gala de los Premios Ciudad de Móstoles, un evento con una gran historia en el municipio y que, cada año, trata de reconocer el buen hacer de muchos empresarios locales.

Este año hemos tenido el orgullo de recibir el Premio a la Empresa Emprendedora. El galardón fue recogido por nuestro CEO, Juan Antonio Calles, que tuvo el honor de dedicar unas palabras a todos los asistentes.




Queremos dar las gracias al jurado en nombre de todo el equipo de Zerolynx, por haber considerado que éramos el mejor ejemplo posible para representar la empleabilidad de la localidad en este 2021. Este premio tiene un valor muy especial para nosotros. En primer lugar, es un premio que viene de nuestra ciudad, la que nos vio nacer y crecer, lo cual nos llena de un gran orgullo. En segundo lugar, este era el último año que podíamos recibirlo porque nuestro crecimiento exponencial, que ya se acerca al 1.000% desde nuestra fundación, nos impedirá ser candidatos a él a partir de 2022. Y, en tercer lugar, por lo que representa, el esfuerzo de un equipo que lleva casi 4 años remando unido, tratando de dar lo mejor de sí cada día para asegurar a todos nuestros clientes, pese a los contratiempos de iniciar un negocio en época de crisis y pandemia a los que, como muchas otras empresas, no hemos sido ajenos.

Las empresas premiadas recibimos un galardón cargado de simbolismo, una obra de arte inclusiva fabricada en cerámica, madera y tela, llevada a cabo por el Colectivo C4R y fabricada por 5 personas con diversidad funcional de la Asociación AMÁS. Para la realización del galardón, C4R ha recogido telas de uniformes de policía, sanitarios, bomberos, Protección Civil, Cruz Roja y también del comercio local, que ha estado representado por la tela de los uniformes de los panaderos. Estos retazos de tela, tejida en forma de flores, ponen el broche a un premio que simboliza el agradecimiento a todos los colectivos que no pararon durante la pandemia para que otros pudiésemos estar protegidos en nuestros hogares. 




El premio, además de su alto valor simbólico, lleva unido una dotación de 2.000 €, la cual, desde Zerolynx hemos considerado que no podría tener mejor destino que aquellas asociaciones que, sin ánimo de lucro, están ayudando a la integración de las personas con capacidades especiales. Así mismo, desde Zerolynx hemos decidido duplicar esa cantidad y destinar otros 2.000 € más en agradecimiento a la labor realizada por otras asociaciones, muchas veces sin visibilidad, que también contribuyen a paliar y mejorar la calidad de vida de personas que sufren diferentes enfermedades.


Más información en: https://www.telemadrid.es/noticias/madrid/XXX-Premios-Ciudad-Mostoles-ganadores-0-2382961693--20211001014103.html

¡Ya tenemos ganadores de #TheCyberintelligenceGuru de #IntelCon2021!


¡Ayer terminó el CTF #TheCyberIntelligenceGuru de #IntelCon2021 y acaban de ser anunciados los brillantes ganadores en la cuenta de Ginseg! Desde Zerolynx queremos dar nuestra más sincera enhorabuena a los ganadores y agradecer el esfuerzo y dedicación a todos los participantes en este #CTF de ciberinteligencia tan especial que hemos organizado conjuntamente. Esperamos que los distintos retos os hayan ayudado a poner en práctica todo lo aprendido durante la IntelCon 2021.

Tras una semana de un ranking muy ajustado donde los participantes han dado el máximo hasta el final, tenemos 4 vencedores que no solo se llevarán el orgullo de haber ganado este #CTF tan ajustado, sino interesantes premios de formación. Estos premios consisten en:

Primer Premio: Beca parcial en el Máster de Ciberinteligencia organizado por Campus Internacional de Ciberseguridad y ENIIT y homologado por la Universidad Francisco de Vitoria. Además, el primer clasificado también ganará un curso forense de TECNOideas.

Segundo premio: Descuentos de un 50% o en su totalidad en cursos de formación con Inteligencia más Liderazgo (I+L) sobre OSINT, SOCMINT, HUMINT, Técnicas de Análisis de Inteligencia y Contrainteligencia.

Tercer Premio: Descuentos de un 50 % o en su totalidad en cursos técnicos sobre Ciberinteligencia en Cyber Hunter Academy.

Cuarto Premio: Un curso del ITCA Cybersecurity Fudamentals de ISACA. 

Agradecer a todas las entidades colaboradoras con los premios por aportar en este CTF para que los ganadores puedan seguir formándose y creciendo como profesionales.

Y para los que os habéis quedado con ganas de más recordaros que este jueves dará comienzo el CTF #FromZeroToLynx que organizamos con motivo de la décima temporada del ESL Masters CSGO con retos de todo tipo de categorías como OSINT, Crypto, Web o Reversing entre otras. ¡Regístrate ya!

¡Vuelve el CTF #FromZeroToLynx!

Después de la exitosa temporada 9 de ESL Masters CSGO, volvemos una vez más como patrocinadores de la liga, apostando por acercar la ciberseguridad al mundo gaming y afianzar la cultura de ciberprotección al público más joven. Esta temporada venimos con más fuerza que nunca, y tenemos varias sorpresas que se irán desvelando a lo largo de las próximas semanas. 


Como primera acción, junto al patrocinio, organizaremos una vez más el torneo hacking que tanto dio que hablar la temporada pasada y que os mantuvo pegados a las pantallas poniendo a prueba vuestras habilidades hacker. Vuelve #FromZeroToLynx con nuevos retos que prometen poner en un aprieto hasta a los más expertos en la materia, ¿conseguirás entrar en nuestro Hall of Fame? Cada semana serán liberadas nuevas pruebas de diferentes niveles de dificultad y con diferentes puntuaciones. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo, podrán optar a una serie de premios gamer, además de contar con la opción de tener una entrevista para unirse a Zerolynx. ¡Los ganadores serán anunciados durante la gran final del ESLMasters!

En este torneo no estaremos solos, ya que contamos con grandes colaboradores que nos acompañarán a lo largo de este prometedor mes y medio que nos queda por delante. Al igual que la temporada pasada, contaremos con ESL e HyperX apostando una vez más por el compromiso con la ciberseguridad, al que se une Intel como gran colaborador este año y al que le damos una calurosa bienvenida. 

El CTF dará comienzo el 16 de septiembre a las 19:00, no obstante, la plataforma estará abierta desde hoy para aquellos que ya queráis registraros. Si no quieres perderte nada, permanece atento a las retransmisiones de ESL España cada semana y, por supuesto, sigue a @ZerolynxOficial en Twitter para poder optar a los premios y leer todas las noticias y novedades del torneo. ¡Go Go Go!


Juan Antonio Calles, Microsoft MVP 2021-2022


Recientemente, Microsoft ha renovado como Most Valuable Proffesional (MVP) a nuestro compañero Juan Antonio Calles, CEO de Zerolynx. Este galardón, otorgado a los expertos tecnológicos más destacados del mundo, pretende agradecer, y reconocer las contribuciones realizadas en sus comunidades técnicas, importantes tractoras del impulso e innovación del mercado. 

El reconocimiento otorgado a Juan Antonio se centra sobre la categoría de Azure, la tecnología Cloud del fabricante con sede en Redmond. Desde Zerolynx disponemos de un potente equipo formado para ayudar a nuestros clientes a fortificar sus infraestructuras Cloud, con personal técnico capacitado en las principales tecnologías del mercado.





Sobre los reconocimientos Microsoft MVP

Los MVP son aquellos profesionales cuya pasión por la tecnología, conocimientos técnicos y espíritu comunitario, puestos al servicio de los usuarios, sirven de ayuda frente a los diversos problemas técnicos del día a día. Para su nombramiento es necesario ser nominado por un actual MVP de Microsoft, quien debe conocer no solo a la persona sino, también, su influencia e impacto ejercidos sobre el colectivo. A continuación, se analizan 3 aspectos fundamentales del nominado, quien debe ser un experto en la materia, un apasionado de lo que hace y, sobre todo, que se esté haciendo notar ¿Y qué significa esto? Quiere decir: tener talento para los blogs, ser líder en alguna comunidad técnica relevante, disponer de un buen manejo de las redes sociales, ser colaborador destacado en GitHub o StackOverflow; y, sobre todo, ser capaz de compartir su pasión por la tecnología de manera diferente y genuina

Entre las principales ventajas que disfrutan los MVP, se encuentran el acceso anticipado a productos de Microsoft, una invitación para Global MVP Summit, evento anual exclusivo que se celebra en su sede central de Redmond; una suscripción de Office 365 y acceso a canales de comunicación directa que facilitan y estrechan la relación con el resto de MVP´s del mundo, ofreciendo una mejor atención a las necesidades de sus ecosistemas locales. 

Para más información, os dejamos el enlace al Programa MVP de Microsoft.

CTF IntelCon 2021 "The Cyberintelligence Guru"


Hoy comienza IntelCon 2021, el congreso online gratuito de Ciberinteligencia cuyo objetivo principal es la difusión de conocimiento de calidad y consolidación de una comunidad enfocada en la Ciberinteligencia. El Congreso constará de una serie de temáticas alrededor del sector de la Ciberinteligencia, que serán cubiertas en sesiones en forma de ponencias y talleres, formando parte de un itinerario guiado que gira sobre el ya conocido Ciclo de Inteligencia. A parte de todos los fundamentos que los asistentes tendréis la oportunidad de repasar a lo largo de los próximos días, IntelCon, junto a su patrocinador Zerolynx, ha creado un Capture The Flag (CTF) que dará comienzo el 6 de septiembre a las 12:00 p.m. donde podréis poner en práctica todo lo aprendido. 

El CTF, llamado #TheCyberintelligenceGuru consistirá en una serie de retos que según se vayan completando liberarán otros de mayor dificultad y puntuación que os permitirán mostrar vuestras habilidades en OSINT, HUMINT, SOCINT Y GEOSINT, entre otras. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo podrán optar a una serie de premios formativos en materia de Ciberinteligencia. El CTF finalizará el domingo 12 a las 18:00 p.m. y los ganadores serán anunciados el día 13 de septiembre a las 20:00 p.m. por las redes oficiales de Twitter, LinkedIn y Telegram de Ginseg. 

No olvides seguirnos en el twitter de Zerolynx para estar informado de todas las novedades del torneo. 

¡Regístrate ya y empieza a disfrutar! 

Día Mundial del Videojuego



Hoy, 29 de agosto, se celebra el Día Mundial del Videojuego o Día del Gamer. Los videojuegos con el paso de los años y gracias a las nuevas tecnologías se han expandido de una forma vertiginosa y cada vez son más las personas que juegan online cada día. Desde Zerolynx queremos aprovechar esta ocasión para daros una serie de consejos para que vuestra navegación sea lo más segura posible. 

  • Es crucial utilizar contraseñas seguras para evitar accesos no autorizados. Una contraseña débil o repetida supone una puerta abierta a nuestra información. Para evitarlo, debemos definir contraseñas fuertes, basadas en frases de paso, aleatorias y que tengan al menos 12 caracteres e incluyan mayúsculas, minúsculas, símbolos y números. En este sentido, es indispensable no repetir contraseñas en todas nuestras cuentas y utilizar un 2FA (doble factor de autenticación), para obtener una protección mayor.
  • Tened cuidado con registraros en páginas que encontramos en anuncios online. Puede que, con la esperanza de conseguir descuentos o regalos en un videojuego, nos suscribamos a servicios de micropagos que podrían ser fraudulentos. Confiad sólo en fuentes oficiales.
  • Recordad desconfiar siempre de staff o administradores de páginas que pidan información confidencial como, por ejemplo, las contraseñas. Son datos que no debemos revelar si queremos proteger nuestras cuentas de posibles robos. 
  • En Internet se anuncian muchos software para hacer trampas en videojuegos (cheats). No es ético y muchas plataformas de juego lo penalizan, además estas aplicaciones suelen contener malware que puede infectar tu ordenador y robarte tu información. 

Ojalá os resulten útiles estos consejos y, si hay algo de la lista que no habíais tenido en cuenta, hoy es un buen día para ponerlo en práctica y hacer de vuestro tiempo de ocio online un espacio seguro. 

También queremos aprovechar este día para recordaros que el 14 de septiembre empieza la décima temporada del ESL Masters CSGO y al igual que en la anterior estaremos con muchas sorpresas preparadas. Estad atentos a nuestras redes si no queréis perderos nada 😊 ¡Nos vemos pronto!


Zerolynx recibe el sello PYME INNOVADORA

 

Hoy, 19 de julio de 2021, el Ministerio de Ciencia e Innovación ha otorgado a Zerolynx el sello PYME INNOVADORA

El Sello Pyme Innovadora es un certificado que otorga el Ministerio a aquellas empresas que cumplen con una serie de requisitos en materia de I+D+i y que disponen de un carácter innovador. Tras un proceso que ha durado tres años y que ha finalizado con la auditoría realizada por la entidad de certificación EQA, Zerolynx ha acreditado su Sistema de Gestión del I+D, certificando así la calidad de todas las soluciones acuñadas bajo su área de innovación. <<Este certificado acredita todo el esfuerzo realizado por el equipo de Zerolynx en pro de mejorar la ciberseguridad y contribuir a la innovación>> confirma Daniel González, Vicepresidente del grupo y socio responsable de negocio. <<Certificar nuestro Sistema de Gestión del I+D nos permitirá seguir creciendo y ofreciendo soluciones disruptivas a nuestros clientes, apostando por la investigación de nuevas tecnologías para llevar al mercado>>, completa Jesús Alcalde, Director de Tecnología de Zerolynx. 

Más información en: https://sede.micinn.gob.es/pyiINFO/buscarPyi.mec?&nif=B88028931

Publicamos nuestro paper "Ciberseguridad en Movilidad", presentado en el XXI Congreso Español ITS (#ITSES2021)




RESUMEN 

Los vehículos ITS forman parte de un complejo ecosistema de tecnologías, lo que supone una amplia superficie de ataque en la que se puede propiciar un incidente de ciberseguridad, afectando no solo a la protección de datos, sino también a la seguridad vial. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad.

INTRODUCCIÓN

“Nos encontramos en la cúspide del cambio de modelo de transporte más rápido, profundo y consecuente de la historia” (WG 5 CCAM Platform, 2020)(p. 3). Esta afirmación define perfectamente el momento histórico en el que se encuentra actualmente el sector de la movilidad. La incorporación de tecnologías de conectividad a los sistemas del vehículo, la aparición de los vehículos autónomos, el uso de motores eléctricos propulsados por baterías de alta capacidad, y el nacimiento del nuevo modelo de negocio transporte como servicio, han cambiado completamente el paradigma establecido hasta el momento. Los fabricantes ya no se centran únicamente en diseñar vehículos altamente sofisticados en su mecánica y estética, sino en que estos además dispongan de nuevas tecnologías de conectividad con objetivo de aumentar la protección y el confort de sus ocupantes. Además, su incorporación, permite a los vehículos ser partícipes en nuevos modelos de transporte en los cuales cada participante intercambia con la infraestructura y otros usuarios de la vía la información sobre su entorno que ha captado mediante su conjunto de sensores, facilitando una movilidad más segura, eficiente y ecológica.



Figura 1: Infografía sobre activos atacables de un vehículo moderno


La incorporación de nuevas tecnologías de conectividad y automatización a un sistema electromecánico orientado al transporte, supone un cambio radical en la composición de los sistemas embarcados y un significante aumento de su complejidad. Su incorporación, implica la aparición de una nueva dimensión tecnológica que debe ser segura desde su diseño, para que los posibles nuevos vectores de ataque no afecten a la protección de los pasajeros y usuarios de las vías por las que circulen. Como se puede ver en la infografía de ejemplo mostrada en la Figura 1, un vehículo actual dispone de numerosas utilidades que podrían permitir a un atacante actuar sobre el vehículo en caso de que una de ellas tuviese alguna vulnerabilidad explotable.

El gran impacto y repercusión causado por las nuevas tecnologías de conectividad y automatización en el mercado de la movilidad, ha derivado en la propuesta de nuevas regulaciones, estándares y recomendaciones por parte de gobiernos, fabricantes de equipamiento original y otras agrupaciones de interesados, para adaptarse a las circunstancias impuestas por el avance de la tecnología y asegurar que los nuevos vehículos son diseñados desde un principio con un enfoque hacia la seguridad informática de sus sistemas. Por destacar los documentos más relevantes orientados a automoción, se encuentran, entre otros, la regulación UNECE R155, R156, la norma ISO/SAE 21434 y la recomendación consolidada SAE J3061.

Por otra parte, acompañando a la publicación de nueva normativa y regulación, surgen proyectos como Open Mobility Security Project (OMSP) (Zerolynx, 2020), proyecto de I+D+i de Zerolynx que tiene como objetivo establecer un marco de trabajo enfocado en la verificación y validación de la ciberseguridad de todo tipo de vehículos, mediante la cual se facilita el cumplimiento regulador en un mercado exento de herramientas similares. OMSP será objeto del discurso en el apartado de resolución.

PLANTEAMIENTO

Problemática de la conectividad ante la ciberseguridad

Desde los inicios de la automoción hasta hoy, la preocupación por la protección de los ocupantes del vehículo ha ido en aumento, convirtiéndose a partir del siglo XXI en una de las principales preocupaciones durante el diseño del vehículo. Con la aparición de los vehículos conectados, se abre un nuevo frente que afecta a la protección de los ocupantes de forma indirecta, la seguridad informática de los sistemas del vehículo conectado.

Los vehículos autónomos y conectados generan, almacenan y operan grandes cantidades de datos provenientes de sus sensores. Según McKinsey (McKinsey, 2014), se estima que los vehículos autónomos y conectados generarán hasta 25GB de datos por hora. Gracias a la conectividad ampliada, en un ecosistema V2X los datos de interés para otros usuarios de la vía son compartidos a través de la red, conformada por múltiples actores que se ven beneficiados. En la Figura 2 se muestra un ejemplo de un posible escenario de comunicación ilustrado por ETSI.



Figura 2: Ilustración de escenario ITS (ETSI, 2010)(p.12)


Sin la implantación adecuada de seguridad en su diseño, operación y mantenimiento, los vehículos conectados y su ecosistema pueden quedar expuestos a ataques que impacten severamente en la protección y privacidad de sus usuarios. Además, se deben de tener en cuenta todo el entorno y actores partícipes en cada fase de su ciclo de vida. Según CCAM Platform (WG 5 CCAM Platform, 2020) "La exposición de un vehículo a redes V2X, puede suponer ataques informáticos", algo esperable de un entorno hiperconectado basado en tecnologías de reciente creación que tienen por objetivo implantarse en el día a día de las personas, y por lo tanto, esto se convierte en un problema que afecta a toda la sociedad, tal y como comparte la antigua CEO de General Motors, Mary Barra, en una entrevista realizada en el año 2016, (MIT Technology Review, 2016): “Un ciber-incidente es un problema para todos los fabricantes de vehículos del mundo (…). Es una cuestión de seguridad pública”. 

En la Figura 3 se muestra un ejemplo de la superficie de ataque de un vehículo moderno en función de su estado y perspectiva del atacante.



Figura 3: Infografía sobre la superficie de ataque de un vehículo conectado.


Compromiso entre Safety y Security

Para continuar el planteamiento del problema expuesto, es necesario tener claro el significado de los conceptos protección ante riesgos y protección ante amenazas, por lo que se hace uso de las definiciones aportadas por el documento de recomendaciones SAE J3061 (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17):

  • Seguridad mediante protección ante riesgos: Es el estado de un sistema que no causa daño a la vida, propiedad, o entorno.
  • Seguridad mediante protección ante amenazas: Es el estado de un sistema que no permite la explotación de vulnerabilidades que conllevan a pérdidas, ya sean financieras, operativas, de privacidad o de protección.
  • Sistema crítico ante riesgos de integridad física: Sistema que puede causar daño a la vida, propiedad, o entorno si el sistema no se comporta según lo previsto o lo deseado.
  • Sistema crítico ante amenazas informáticas: Sistema que puede conllevar a pérdidas financieras, operativas, de privacidad, o de protección ante riesgos si es comprometido a través de una vulnerabilidad presente en el sistema.

Cabe destacar que en la Lengua Castellana no existe una traducción exclusiva para los términos safety y security, ambos son traducidos directamente por "seguridad", lo que habitualmente conlleva a confusión a la hora de referirse a alguno de ellos. En este documento se ha optado por traducir safety como "protección ante riesgos" y security por "protección ante amenazas". En lo que respecta a la relación entre los dos dominios, es importante clarificar qué influencia tienen el uno sobre el otro. Según se expone en la guía (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17): "Todos los sistemas críticos ante riesgos de integridad física son sistemas críticos ante amenazas informáticas, ya que un ciber-ataque puede afectar directa o indirectamente a la integridad del sistema conllevando a potenciales pérdidas de protección". Por otra parte, expone: “No todos los sistemas críticos ante amenazas informáticas son sistemas críticos ante riesgos de integridad física, ya que un ciber-ataque puede resultar en pérdidas que no afecten a la protección, como por ejemplo pérdidas de privacidad, operativas o financieras”.


Figura 4:Relación entre sistemas críticos respecto protección y ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17)


Verificación y validación de la ciberseguridad de vehículos

Tras estudiar los conceptos safety y security así como su relación de efecto, a continuación se centra el discurso en los requisitos de verificación y validación establecidos a nivel normativo y regulador aplicados al sector de la automoción. 

Mediante un estudio del marco normativo y legal aplicable, se puede comprobar como tanto la regulación de UNECE R155, como el borrador de la norma ISO/SAE 21434, exponen la obligación de comprobar de forma práctica las medidas de ciberseguridad establecidas como mitigación ante los resultados del análisis de riesgos realizado durante la fase de concepto del producto. Concretamente, en la regulación UNECE R155, se exponen los siguientes extractos (UNECE WP.29, 2020):(UNECE WP.29, 2020):



Así mismo, se expone en el Anexo 5 un amplio listado de amenazas y mitigaciones que deben ser incluidas en el análisis de riesgos y que por lo tanto deben ser verificadas mediante testing por las autoridades competentes. En la siguiente figura se muestra un extracto del anexo mencionado.


Figura 5: Listado de vulnerabilidades o métodos de ataque relativos a amenazas (UNECE WP.29, 2020) Fragmento de la Tabla 1 del Anexo 5.


Como se puede apreciar en el texto comentado, la evaluación de las medidas de ciberseguridad es un requisito obligatorio y excluyente ante la obtención de la certificación del producto. Específicamente, se indica un conjunto de requisitos extenso y complejo que debe ser verificado mediante testing, pero como es de esperar en una regulación, no se recomienda ningún tipo de metodología que facilite, pero a su vez, sí se enuncia que es requisito para los servicios técnicos disponer de procedimientos implementados que permitan una evaluación uniforme acorde a la regulación.

La sección del documento SAE J3061 dedicada a la fase de verificación y validación de requisitos técnicos de Ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(pp. 49-50), establece que para su desarrollo se debe hacer uso de metodologías de comprobación de vulnerabilidades, de fuzz testing y de la realización de tests de intrusión aplicables en función del alcance deseado, de tal forma que sea posible verificar los requisitos técnicos de ciberseguridad y finalmente validar el producto en este aspecto. Profundizando en la definición del concepto, según Pablo González, destacado investigador español (González, 2015)(p. 17), "Un test de intrusión es un ejercicio que tiene como objetivo fundamental detectar, investigar y explorar las vulnerabilidades existentes en un sistema de interés", el cual "verificará y evaluará la seguridad". Su objetivo según SAE, es proporcionar una aproximación realista a como un hacker intentaría infiltrarse explotando las vulnerabilidades presentes en el sistema, pudiendo así comprobar la efectividad de los controles de Ciberseguridad aplicados. Además, añade que la desventaja de la realización de tests de intrusión es su aplicación en fases tardías del ciclo de vida del producto, ya que requiere hacer uso de una implementación completa del sistema, y por lo tanto, cualquier vulnerabilidad detectada en este momento causará un gran coste de corrección sobre las fases previas. 
 
RESOLUCIÓN

Open Mobility Security Project (OMSP)

Desde el Área de Ciberseguridad en Movilidad de Zerolynx, conscientes del problema que supone el aumento de conectividad en los vehículos y la obligación al cumplimiento de la regulación y normativa, sumado a la carencia de metodologías y herramientas que faciliten la evaluación de la ciberseguridad de los vehículos de nueva generación, se decide crear OMSP, un proyecto abierto a la comunidad, basado en la experiencia y la investigación, que tiene como objetivo establecerse como marco de trabajo de referencia definiendo el conjunto de procesos necesarios para evaluar de forma ágil y sencilla la ciberseguridad de cualquier tipo de vehículo.

Actualmente, OMSP es un proyecto vivo que continúa desarrollándose hacia su segunda versión, en donde el equipo de ingenieros de I+D+i del Área de Ciberseguridad en Movilidad adapta el marco de trabajo a los requisitos establecidos por la regulación e integra nuevas técnicas de hacking asociadas a las tecnologías más recientes. Su documentación se encuentra publicada en la plataforma GitHub en forma de repositorio (Zerolynx, 2020), donde en breve se publicará la nueva versión actualizada. Además, OMSP cuenta con respaldo académico, ya que su desarrollo forma parte de un doctorado industrial en ciberseguridad desarrollado con el respaldo de la Universidad Rey Juan Carlos. 

Fundamentos de la metodología

A continuación, se enuncian los fundamentos de la metodología, y a su vez se distinguen las ventajas y motivos por los cuales se propone su uso en el mercado:

  • Proceso estructurado: El marco de trabajo propuesto está compuesto por una serie de fases y actividades organizadas en un orden lógico, definidas con claridad y sencillez, lo que permite una rápida comprensión de la metodología y su posterior puesta en práctica, así como una gran trazabilidad de las actividades realizadas.
  • Desarrollo continuo: Para dar soporte al cumplimiento normativo, OMSP se desarrolla de forma continua e iterativa para mantenerse actualizado al complejo estado del arte, proporcionando ante cada novedad una solución correspondiente.
  • Accesibilidad: OMSP ha sido diseñado para que sea posible su uso de forma aislada o acompañada de los inputs y outputs correspondientes a la aplicación de otras metodologías. Por ejemplo, durante su uso se podría emplear la información generada de un análisis de riesgos del vehículo en cuestión. Además, su enfoque puede ser de caja negra, gris o blanca, en función del nivel de información disponible sobre el vehículo a evaluar.
  • Compatibilidad: La metodología ha sido diseñada de tal forma que permite evaluar cualquier tipo de vehículo, ya que de forma independiente estos se ven descompuestos en sus unidades mínimas de evaluación denominadas activos, como pueden ser actuadores, sensores y datos, y se contextualizan dentro del entorno de operación del vehículo.
  • Cumplimiento: Partiendo de su proceso estructurado, el marco de trabajo establece los puntos de generación de evidencias requeridos para el cumplimiento normativo y regulador.
  • Open Source: El hecho de que sea un proyecto público supone una búsqueda de colaboración activa por parte de la comunidad. Cualquier interesado con conocimientos en la materia puede ser partícipe proporcionando mejoras, correcciones, difusión u otras actividades de interés. De esta forma, se pretende una mayor difusión e integración en el mercado, haciendo partícipes a múltiples actores y difundiendo el conocimiento de forma abierta.
Estructura de procesos

Tras conocer el origen y los fundamentos de la metodología, a continuación, se centra el discurso en torno a una breve descripción de los procesos y actividades que la conforman. La Figura 6 representa gráficamente su flujo y composición. El proceso comienza mediante la definición del objetivo de evaluación y su alcance. Una vez se disponga de la caracterización del producto sobre el que se trabajará, se realiza una identificación de los activos de interés que lo componen y que serán objeto de evaluación durante las siguientes fases. Una vez seleccionados, los activos se estudian en función de su naturaleza y se ponen en su contexto de operación para poder realizar una identificación de los escenarios de ataque y amenazas que pueden afectarles. A continuación, partiendo del resultado obtenido en la fase anterior, se genera una selección de controles técnicos a aplicar sobre el vehículo. Llegado este punto y disponiendo de un conocimiento profundo sobre el vehículo en el plano teórico, se realiza un análisis de arquitectura, en el cual se valora la disposición e interacción de los activos dentro de la arquitectura eléctrico-electrónica del vehículo. Por último, se realiza la ejecución de controles técnicos aplicables, concluyendo con la evaluación de los resultados obtenidos y la generación del correspondiente informe final.



Figura 6: Estructura de procesos y actividades propuestas

CONCLUSIONES

  • El aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que deriva en una mayor exposición ante ciberataques que produzcan de forma colateral accidentes de tráfico o alteren la circulación en las vías. Entidades gubernamentales y otros stakeholders tratan de dar respuesta a la necesidad de disponer de vehículos ciberseguros mediante la generación e implantación de regulaciones y normas específicas para el sector de la movilidad, lo que facilitará la llegada de la ciberseguridad a la industria de la automoción y por consecuencia a una movilidad más segura.
  • Los fabricantes de vehículos y sus proveedores deben mejorar la concienciación, fomentando la cultura de ciberseguridad las actividades de la organización. Además, deben adoptar un ciclo de vida de producto que incluya la ciberseguridad desde el diseño, de tal forma que sus vehículos dispongan de un nivel de seguridad elevado y se eviten vulnerabilidades en fases tardías del desarrollo o producción.
  • El reglamento número 155 de UNECE establece la obligatoriedad de realizar un proceso de verificación y validación de las medidas de ciberseguridad implementadas en los vehículos para mitigar el riesgo de las amenazas identificadas como resultado del análisis de riesgo previamente realizado. Para ello, se realizarán pruebas de fuzz testing y pentesting mediante las cuales se simularán los posibles ataques que se realizarían ante cada caso de riesgo. 
  • Se destaca la afirmación que realiza SAE (p. 22) y que los autores de este documento comparten: "Ningún sistema puede garantizar ser 100% seguro, pero la aplicación de un proceso de desarrollo de producto bien definido y estructurado reduce la posibilidad de la aparición de fallos de seguridad", destacando entre ello la importancia de la aplicación de un preciso sistema de validación que verifique y valide las medidas de ciberseguridad implementadas en los vehículos, como es en este caso OMSP.
  • Open Mobility Security Project (OMSP) es una metodología desarrollada por Zerolynx y abierta a la comunidad que tiene como objetivo establecer el marco de trabajo de referencia ante la evaluación de la ciberseguridad de cualquier tipo de vehículo. Es aplicable durante todas las fases del desarrollo de producto y facilita el cumplimiento normativo. Su contenido es accesible públicamente y se puede participar en su desarrollo como colaborador.

BIBLIOGRAFÍA

  • ETSI. (2010). ETSI EN 302 655 V1.1.1.
  • González, P. (2015). Ethical Hacking: Teoría y práctica para la realización de un pentesting (Primera). 0xWORD. https://0xword.com/es/libros/65-ethical-hacking-teoria-y-practica-para-la-realizacion-de-un-pentesting.html
  • McKinsey. (2014, September 1). What’s driving the connected car. https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/whats-driving-the-connected-car
  • MIT Technology Review. (2016). GM CEO: Car Hacking Will Become a Public Safety Issue. https://www.technologyreview.com/2016/07/22/158706/gm-ceo-car-hacking-will-become-a-public-safety-issue/
  • SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 128 (2016). https://doi.org/https://doi.org/10.4271/J3061_201601
  • UNECE WP.29. (2020). WP.29/R155: Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system. https://unece.org/sites/default/files/2021-03/R155e.pdf
  • WG 5 CCAM Platform. (2020). Cybersecurity and access to in-vehicle data linked to CCAM. 1–11.
  • Zerolynx. (2020). Open Mobility Security Project. https://github.com/zerolynx/omsp
 
ANTE CUALQUIER NECESIDAD DE CIBERSEGURIDAD EN EL SECTOR DE LA MOVILIDAD, PUEDE PONERSE EN CONTACTO CON ZEROLYNX EN EL EMAIL [email protected]