Mes de la Ciberseguridad: Tips Zerolynx Capítulo 3

¡Buenos días!

Bienvenidos al tercer video de tips con motivo del mes de la ciberseguridad de Zerolynx. Hoy nuestro compañero David, responsable del área de Ciberdefensa, nos va a mostrar un ejemplo de cómo un atacante podría acceder fácilmente a nuestro ordenador. 



¿Sabes que Windows cuenta con muchos atajos que nos hacen la vida más fácil? Aunque, en ocasiones, pueden llegar a causarnos un gran problema. Hoy vamos a hablar de las Sticky Keys, una funcionalidad de Windows que facilita el uso del sistema operativo a personas con diversidad funcional. Sin embargo, puede llegar a ser un problema cuando un atacante consigue cambiar este menú de accesibilidad previsto por Windows por una ejecución de comandos como administrador sin haber iniciado sesión aún.

Pero ¿cómo se activa? Muy fácil, para activar las opciones de accesibilidad de Windows simplemente tendremos que presionar múltiples veces la tecla “Shift”, y nos saldrá un pop up que nos preguntará si queremos activarlas. A partir de ahí, un posible atacante podrá modificar el contenido que carga esta herramienta de accesibilidad para conseguir un acceso privilegiado al sistema. Sabemos que puede sonar algo complejo, pero, para nada, ¡vamos a ver un ejemplo en el vídeo!



Esperamos que os haya gustado la demostración y recordad, como comentaba nuestra compañera Laura en nuestro video anterior, es importante cifrar nuestro disco duro para evitar que un atacante pueda modificar ficheros saltándose cualquier protección que Windows implemente. Además, también es recomendable que si el equipo no va a ser usado por personas con diversidad funcional, deshabilitemos tanto la funcionalidad de StickyKeys como el atajo de teclado.

Y hasta aquí el consejo de hoy. ¡Si quieres más, no te pierdas la última entrega la semana que viene!

Si quieres ampliar la información te dejamos una lista de artículos de interés de Computer Hoy, Hard Micro, Panda Security y Hacker Noon

  


Zerolynx realiza su Outing de Otoño 2021

La semana pasada tuvimos el placer de celebrar el outing de otoño de Grupo Zerolynx, nuestro evento trimestral en el que pudimos reunirnos de nuevo todo el equipo tras la vuelta a la nueva normalidad. Durante el evento, tuvimos tiempo de disfrutar junto a todos nuestros compañeros de las novedades acontecidas en este tercer trimestre de 2021.


El evento tuvo lugar en los cines Cinesa del Centro Comercial Intu Xanadú, donde nuestro CEO, Juan Antonio Calles, junto al resto de los socios, compartieron los avances que ha realizado la compañía en este último trimestre y las novedades que vendrán a lo largo del próximo Q.

Tras la presentación, pudimos disfrutar de la emisión de la película Dune, acompañada de palomitas y refrescos para todos. Desde aquí nos gustaría dar las gracias a Cinesa, por todo su apoyo y atención para que todo saliese según la planificación, a todo el equipo de Marketing, RRHH y Negocio, por todo el esfuerzo que realizan para llevar a cabo estos eventos internos y, por supuesto, a todos los participantes que hicieron de este encuentro, una vez más, un día muy especial.

Mes de la ciberseguridad: Tips Zerolynx Capítulo 2


¡Muy buenas!

Bienvenidos al segundo video de tips con motivo del mes de la ciberseguridad de Zerolynx. Hoy nuestra compañera Laura, consultora junior de ciberseguridad, nos trae una serie de consejos que podemos aplicar en nuestro día a día tanto a nivel personal como profesional.



La gran mayoría de las personas que habitualmente utilizan perfiles en redes sociales publican fotos que, muchas veces, dan información de más sin querer. Esto es porque en todos los ficheros existe una información extra que no se encuentra a la vista: los metadatos. Son datos internos del propio archivo y que puede dar información sobre el propietario, la ubicación, la fecha de creación y modificación, el dispositivo con el que se ha tomado la foto, etc. Por ello, siempre que sea posible, es recomendable que se eliminen los metadatos de los archivos y fotos que se comparten.

Siguiendo con la seguridad y privacidad, es importante que se revisen las opciones de privacidad de los perfiles y cuentas en redes sociales para tener el control de la información que los demás pueden ver. Por otra parte, si se quieren evitar miradas indiscretas a las pantallas del ordenador o el teléfono móvil se puede hacer uso de filtros de privacidad que ocultan lo que se está viendo desde ciertos ángulos. También se puede mejorar la privacidad tapando la webcam con un ipatch, es decir, con las tapitas de plástico que se suelen poner en las cámaras de los portátiles.

Dentro de los aspectos importantes que pueden afectar a la seguridad en el día a día también se puede hablar del phishing. Un phishing es un método mediante el que los ciberdelincuentes tratan de engañar a sus víctimas para que revelen información personal, como son contraseñas, datos bancarios o de tarjetas de crédito, entre otros. Se pueden recibir tanto por correo electrónico, como por SMS (smishing) o llamada telefónica (vishing). Y, ¿cómo se pueden detectar? Tanto en correos electrónicos como en SMS, por ejemplo, los enlaces que se incluyen suelen encontrarse alterados y no llevan a la página web original del sitio que están suplantando, los textos contienen faltas de ortografía y, en ocasiones, la página web a la que redirige no tiene en el navegador una indicación de que esta sea segura, por ejemplo, mediante un candado cerrado. También hay que verificar que quien envía este correo es alguien conocido, aunque igualmente hay que estar alerta, porque pueden haberle robado la cuenta y estar sufriendo una suplantación de identidad.

Por otra parte, otra cuestión a tener en cuenta es la privacidad en las comunicaciones por correo electrónico, que puede reforzarse utilizando un sistema de cifrado. Para ello se puede hacer uso de PGP (Pretty Good Privacy), por ejemplo, mediante la aplicación llamada Kleopatra. Con ella, se puede generar un par de claves, pública y privada. Se debe intercambiar la clave pública con los destinatarios, para poder cifrar el contenido de los correos electrónicos, así como los ficheros adjuntos, de manera que solo estos puedan descifrarlos con sus claves privadas.

Por último, otra recomendación es emplear software de cifrado que permita proteger nuestra información en caso de que sea robada. Actualmente, los dispositivos móviles y equipos portátiles cuentan con opciones de seguridad que permiten cifrar la información independientemente del sistema operativo. Para ello, existen aplicaciones de cifrado como por ejemplo, BitLockerFileVault o VeraCrypt.

Esperamos que estas recomendaciones os hayan sido de utilidad y os permitan disfrutar de internet de una manera mucho más segura. 

Muchas gracias y… ¡nos vemos pronto!

Zerolynx obtiene la certificación ISO 27001 acreditando sus máximos niveles de seguridad

El pasado mes de julio, Zerolynx obtuvo la certificación ISO/IEC 27001:2013, acreditando de esta manera la alta calidad de su Sistema de Gestión de Seguridad de la Información. Esta certificación constata el compromiso de la firma por ofrecer a sus clientes los mayores niveles de seguridad, acreditando bajo dicho estándar la totalidad de sus servicios.

El proceso de diseño e implementación del SGSI fue llevado a cabo por el equipo de ciberdefensa de Zerolynx, liderado por el socio y responsable del área, David Jiménez. Tras dicho proceso, que dio inicio en 2020, tuvieron lugar dos auditorías llevadas a cabo por la auditora BSI, que culminaron con la entrega del certificado el pasado 27 de julio de 2021.

British Standards Institution (BSI Group), es una de las instituciones más prestigiosas a nivel internacional para la auditoría y certificación de las normas de estandarización de procesos. Su presencia mundial en 193 países y sus más de 84.000 clientes, hacen del grupo con sede en Londres, el socio ideal para llevar a cabo los procesos de certificación.



<<La certificación ISO 27001 de nuestro SGSI se suma a la certificación de nuestro Sistema de Gestión del I+D+i, acreditado por EQA también en este 2021 y que derivó en el Sello PYME Innovadora. Estas certificaciones nos permiten refrendar el máximo compromiso que tenemos con nuestros clientes desde nuestro primer día>>, confirma Juan Antonio Calles, CEO de Zerolynx. <<Cada día, Zerolynx continúa creciendo y avalando su buen hacer, con un catálogo de servicios innovador y alineado con las necesidades del mercado, que tiene como objeto dar una respuesta óptima ante el difícil reto que suponen los riesgos cyber>>, finaliza Daniel González, Vicepresidente y socio responsable de negocio.

Mes de la ciberseguridad: Tips Zerolynx Capítulo 1

¡Muy buenas!

Bienvenidos al primer video de tips con motivo del mes de la ciberseguridad de Zerolynx. Como la ciberseguridad empieza desde los compañeros que no hacen seguridad, nuestro compañero Eryk, responsable de Administración, nos trae una serie de consejos que ha aprendido desde su entrada a Zerolynx y que ha comenzado a aplicar en su día a día.



¿Sabes que un cibercriminal podría tardar en averiguar una contraseña menos de un segundo en algunos casos? No es de extrañar teniendo en cuenta que entre las contraseñas más usadas a nivel mundial se encuentran algunas como: 1234, la palabra “contraseña” en inglés, qwerty, aaaaaa, 11111, entre muchas otras, que obviamente no son nada seguras.

Ahora la pregunta es, ¿cómo creamos una contraseña segura? Todo empieza con un cambio de paradigma, dejando a un lado las palabras y comenzando a utilizar frases u oraciones que, a poder ser, superen los 12 caracteres y entre los cuales encontremos mayúsculas, minúsculas, números y, preferiblemente, símbolos. Esto permitirá construir contraseñas tan seguras como “VendoOpelCorsa:300€”, cuya complejidad será considerablemente mayor que, por ejemplo, el nombre de nuestro perro, nuestra comida favorita, el DNI o cualquier otra fecha señalada que sea fácilmente identificable.

Generalmente utilizamos muchos servicios que requieren un acceso con usuario y contraseña, ¿cómo se pueden recordar todas estas las contraseñas? Hay que evitar anotarlas en una agenda, en un post-it o dejarlas registradas en nuestros navegadores web, pues dependiendo del caso podrían quedar a la vista y se podrían perder fácilmente. En estos casos es conveniente recurrir a los gestores de contraseñas, como por ejemplo KeePass o LastPass, que, bien configurados, nos permitirán almacenar nuestras credenciales en una base de datos protegida por una contraseña MAESTRA, la cual deberá ser tan segura (o más) que todas las anteriores juntas. No debemos olvidar que esta última será la encargada de proteger toda nuestra vida digital.

Por último, y no menos importante, otra recomendación es que siempre que sea posible se haga uso de los dobles factores de autenticación o también conocidos como 2FA. El doble factor consiste en una segunda prueba, adicional a la contraseña que suele ser la primera, de que realmente somos nosotros los que intentamos acceder a nuestra cuenta y no cualquier otro curioso. En este sentido, llevan tiempo utilizándose para las operativas bancarias, con las claves OTP, es decir, One Time Password, que como su nombre indica son códigos temporales de un único uso, de entre 6 y 8 dígitos, que envían algunas aplicaciones a nuestro móvil, correo electrónico o aplicación de autenticación para corroborar nuestra identidad. Algunos de ejemplos de aplicaciones que permiten activar este segundo factor de autenticación son Google Authenticator y Microsoft Authenticator.

Esperamos que estas recomendaciones os hayan sido de utilidad y os permitan disfrutar de internet de una manera mucho más segura. 

Muchas gracias y… ¡nos vemos pronto!  

Zerolynx patrocinador de Ciber Todos ISACA 2021


Un año más, ISACA Madrid participa en el Mes Europeo de la Ciberseguridad, organizando el congreso Ciber Todos “La ciberseguridad: una responsabilidad de todos” con la colaboración y participación de las principales entidades del sector, como son el Departamento de Seguridad Nacional (DSN), el Centro Criptológico Nacional (CCN-CERT), el Mando Conjunto del Ciberespacio (MCCE), el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Nacional para la Protección de las Infraestructuras y la Ciberseguridad (CNPIC), la Guardia Civil, la Policía Nacional, y otros organismos relevantes, además de empresas y universidades.



En Zerolynx hemos querido unirnos a este importante evento como patrocinadores silver, tomando así una actitud proactiva en la concienciación sobre la importancia de la seguridad de las redes y la información. También participaremos en el congreso, en la mesa redonda “Hack & Furious”, representados por nuestro CEO Juan Antonio Calles, en la cual se debatirá sobre la evolución del mundo ciber en los últimos años. La mesa redonda tendrá lugar durante la primera jornada del congreso el día 7 de octubre.

El congreso se celebrará de nuevo, debido al COVID, en formato ONLINE, a lo largo de los 4 jueves de octubre (7, 14, 21 y 28) en horario de 18:00 a 20:00h. ¡No lo dudes e inscríbete!

¡Ganamos el premio Ciudad de Móstoles 2021! #PremiosCiudadDeMóstoles

Anoche tuvo lugar la XXX Gala de los Premios Ciudad de Móstoles, un evento con una gran historia en el municipio y que, cada año, trata de reconocer el buen hacer de muchos empresarios locales.

Este año hemos tenido el orgullo de recibir el Premio a la Empresa Emprendedora. El galardón fue recogido por nuestro CEO, Juan Antonio Calles, que tuvo el honor de dedicar unas palabras a todos los asistentes.




Queremos dar las gracias al jurado en nombre de todo el equipo de Zerolynx, por haber considerado que éramos el mejor ejemplo posible para representar la empleabilidad de la localidad en este 2021. Este premio tiene un valor muy especial para nosotros. En primer lugar, es un premio que viene de nuestra ciudad, la que nos vio nacer y crecer, lo cual nos llena de un gran orgullo. En segundo lugar, este era el último año que podíamos recibirlo porque nuestro crecimiento exponencial, que ya se acerca al 1.000% desde nuestra fundación, nos impedirá ser candidatos a él a partir de 2022. Y, en tercer lugar, por lo que representa, el esfuerzo de un equipo que lleva casi 4 años remando unido, tratando de dar lo mejor de sí cada día para asegurar a todos nuestros clientes, pese a los contratiempos de iniciar un negocio en época de crisis y pandemia a los que, como muchas otras empresas, no hemos sido ajenos.

Las empresas premiadas recibimos un galardón cargado de simbolismo, una obra de arte inclusiva fabricada en cerámica, madera y tela, llevada a cabo por el Colectivo C4R y fabricada por 5 personas con diversidad funcional de la Asociación AMÁS. Para la realización del galardón, C4R ha recogido telas de uniformes de policía, sanitarios, bomberos, Protección Civil, Cruz Roja y también del comercio local, que ha estado representado por la tela de los uniformes de los panaderos. Estos retazos de tela, tejida en forma de flores, ponen el broche a un premio que simboliza el agradecimiento a todos los colectivos que no pararon durante la pandemia para que otros pudiésemos estar protegidos en nuestros hogares. 




El premio, además de su alto valor simbólico, lleva unido una dotación de 2.000 €, la cual, desde Zerolynx hemos considerado que no podría tener mejor destino que aquellas asociaciones que, sin ánimo de lucro, están ayudando a la integración de las personas con capacidades especiales. Así mismo, desde Zerolynx hemos decidido duplicar esa cantidad y destinar otros 2.000 € más en agradecimiento a la labor realizada por otras asociaciones, muchas veces sin visibilidad, que también contribuyen a paliar y mejorar la calidad de vida de personas que sufren diferentes enfermedades.


Más información en: https://www.telemadrid.es/noticias/madrid/XXX-Premios-Ciudad-Mostoles-ganadores-0-2382961693--20211001014103.html

¡Ya tenemos ganadores de #TheCyberintelligenceGuru de #IntelCon2021!


¡Ayer terminó el CTF #TheCyberIntelligenceGuru de #IntelCon2021 y acaban de ser anunciados los brillantes ganadores en la cuenta de Ginseg! Desde Zerolynx queremos dar nuestra más sincera enhorabuena a los ganadores y agradecer el esfuerzo y dedicación a todos los participantes en este #CTF de ciberinteligencia tan especial que hemos organizado conjuntamente. Esperamos que los distintos retos os hayan ayudado a poner en práctica todo lo aprendido durante la IntelCon 2021.

Tras una semana de un ranking muy ajustado donde los participantes han dado el máximo hasta el final, tenemos 4 vencedores que no solo se llevarán el orgullo de haber ganado este #CTF tan ajustado, sino interesantes premios de formación. Estos premios consisten en:

Primer Premio: Beca parcial en el Máster de Ciberinteligencia organizado por Campus Internacional de Ciberseguridad y ENIIT y homologado por la Universidad Francisco de Vitoria. Además, el primer clasificado también ganará un curso forense de TECNOideas.

Segundo premio: Descuentos de un 50% o en su totalidad en cursos de formación con Inteligencia más Liderazgo (I+L) sobre OSINT, SOCMINT, HUMINT, Técnicas de Análisis de Inteligencia y Contrainteligencia.

Tercer Premio: Descuentos de un 50 % o en su totalidad en cursos técnicos sobre Ciberinteligencia en Cyber Hunter Academy.

Cuarto Premio: Un curso del ITCA Cybersecurity Fudamentals de ISACA. 

Agradecer a todas las entidades colaboradoras con los premios por aportar en este CTF para que los ganadores puedan seguir formándose y creciendo como profesionales.

Y para los que os habéis quedado con ganas de más recordaros que este jueves dará comienzo el CTF #FromZeroToLynx que organizamos con motivo de la décima temporada del ESL Masters CSGO con retos de todo tipo de categorías como OSINT, Crypto, Web o Reversing entre otras. ¡Regístrate ya!

¡Vuelve el CTF #FromZeroToLynx!

Después de la exitosa temporada 9 de ESL Masters CSGO, volvemos una vez más como patrocinadores de la liga, apostando por acercar la ciberseguridad al mundo gaming y afianzar la cultura de ciberprotección al público más joven. Esta temporada venimos con más fuerza que nunca, y tenemos varias sorpresas que se irán desvelando a lo largo de las próximas semanas. 


Como primera acción, junto al patrocinio, organizaremos una vez más el torneo hacking que tanto dio que hablar la temporada pasada y que os mantuvo pegados a las pantallas poniendo a prueba vuestras habilidades hacker. Vuelve #FromZeroToLynx con nuevos retos que prometen poner en un aprieto hasta a los más expertos en la materia, ¿conseguirás entrar en nuestro Hall of Fame? Cada semana serán liberadas nuevas pruebas de diferentes niveles de dificultad y con diferentes puntuaciones. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo, podrán optar a una serie de premios gamer, además de contar con la opción de tener una entrevista para unirse a Zerolynx. ¡Los ganadores serán anunciados durante la gran final del ESLMasters!

En este torneo no estaremos solos, ya que contamos con grandes colaboradores que nos acompañarán a lo largo de este prometedor mes y medio que nos queda por delante. Al igual que la temporada pasada, contaremos con ESL e HyperX apostando una vez más por el compromiso con la ciberseguridad, al que se une Intel como gran colaborador este año y al que le damos una calurosa bienvenida. 

El CTF dará comienzo el 16 de septiembre a las 19:00, no obstante, la plataforma estará abierta desde hoy para aquellos que ya queráis registraros. Si no quieres perderte nada, permanece atento a las retransmisiones de ESL España cada semana y, por supuesto, sigue a @ZerolynxOficial en Twitter para poder optar a los premios y leer todas las noticias y novedades del torneo. ¡Go Go Go!


Juan Antonio Calles, Microsoft MVP 2021-2022


Recientemente, Microsoft ha renovado como Most Valuable Proffesional (MVP) a nuestro compañero Juan Antonio Calles, CEO de Zerolynx. Este galardón, otorgado a los expertos tecnológicos más destacados del mundo, pretende agradecer, y reconocer las contribuciones realizadas en sus comunidades técnicas, importantes tractoras del impulso e innovación del mercado. 

El reconocimiento otorgado a Juan Antonio se centra sobre la categoría de Azure, la tecnología Cloud del fabricante con sede en Redmond. Desde Zerolynx disponemos de un potente equipo formado para ayudar a nuestros clientes a fortificar sus infraestructuras Cloud, con personal técnico capacitado en las principales tecnologías del mercado.





Sobre los reconocimientos Microsoft MVP

Los MVP son aquellos profesionales cuya pasión por la tecnología, conocimientos técnicos y espíritu comunitario, puestos al servicio de los usuarios, sirven de ayuda frente a los diversos problemas técnicos del día a día. Para su nombramiento es necesario ser nominado por un actual MVP de Microsoft, quien debe conocer no solo a la persona sino, también, su influencia e impacto ejercidos sobre el colectivo. A continuación, se analizan 3 aspectos fundamentales del nominado, quien debe ser un experto en la materia, un apasionado de lo que hace y, sobre todo, que se esté haciendo notar ¿Y qué significa esto? Quiere decir: tener talento para los blogs, ser líder en alguna comunidad técnica relevante, disponer de un buen manejo de las redes sociales, ser colaborador destacado en GitHub o StackOverflow; y, sobre todo, ser capaz de compartir su pasión por la tecnología de manera diferente y genuina

Entre las principales ventajas que disfrutan los MVP, se encuentran el acceso anticipado a productos de Microsoft, una invitación para Global MVP Summit, evento anual exclusivo que se celebra en su sede central de Redmond; una suscripción de Office 365 y acceso a canales de comunicación directa que facilitan y estrechan la relación con el resto de MVP´s del mundo, ofreciendo una mejor atención a las necesidades de sus ecosistemas locales. 

Para más información, os dejamos el enlace al Programa MVP de Microsoft.

CTF IntelCon 2021 "The Cyberintelligence Guru"


Hoy comienza IntelCon 2021, el congreso online gratuito de Ciberinteligencia cuyo objetivo principal es la difusión de conocimiento de calidad y consolidación de una comunidad enfocada en la Ciberinteligencia. El Congreso constará de una serie de temáticas alrededor del sector de la Ciberinteligencia, que serán cubiertas en sesiones en forma de ponencias y talleres, formando parte de un itinerario guiado que gira sobre el ya conocido Ciclo de Inteligencia. A parte de todos los fundamentos que los asistentes tendréis la oportunidad de repasar a lo largo de los próximos días, IntelCon, junto a su patrocinador Zerolynx, ha creado un Capture The Flag (CTF) que dará comienzo el 6 de septiembre a las 12:00 p.m. donde podréis poner en práctica todo lo aprendido. 

El CTF, llamado #TheCyberintelligenceGuru consistirá en una serie de retos que según se vayan completando liberarán otros de mayor dificultad y puntuación que os permitirán mostrar vuestras habilidades en OSINT, HUMINT, SOCINT Y GEOSINT, entre otras. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo podrán optar a una serie de premios formativos en materia de Ciberinteligencia. El CTF finalizará el domingo 12 a las 18:00 p.m. y los ganadores serán anunciados el día 13 de septiembre a las 20:00 p.m. por las redes oficiales de Twitter, LinkedIn y Telegram de Ginseg. 

No olvides seguirnos en el twitter de Zerolynx para estar informado de todas las novedades del torneo. 

¡Regístrate ya y empieza a disfrutar! 

Día Mundial del Videojuego



Hoy, 29 de agosto, se celebra el Día Mundial del Videojuego o Día del Gamer. Los videojuegos con el paso de los años y gracias a las nuevas tecnologías se han expandido de una forma vertiginosa y cada vez son más las personas que juegan online cada día. Desde Zerolynx queremos aprovechar esta ocasión para daros una serie de consejos para que vuestra navegación sea lo más segura posible. 

  • Es crucial utilizar contraseñas seguras para evitar accesos no autorizados. Una contraseña débil o repetida supone una puerta abierta a nuestra información. Para evitarlo, debemos definir contraseñas fuertes, basadas en frases de paso, aleatorias y que tengan al menos 12 caracteres e incluyan mayúsculas, minúsculas, símbolos y números. En este sentido, es indispensable no repetir contraseñas en todas nuestras cuentas y utilizar un 2FA (doble factor de autenticación), para obtener una protección mayor.
  • Tened cuidado con registraros en páginas que encontramos en anuncios online. Puede que, con la esperanza de conseguir descuentos o regalos en un videojuego, nos suscribamos a servicios de micropagos que podrían ser fraudulentos. Confiad sólo en fuentes oficiales.
  • Recordad desconfiar siempre de staff o administradores de páginas que pidan información confidencial como, por ejemplo, las contraseñas. Son datos que no debemos revelar si queremos proteger nuestras cuentas de posibles robos. 
  • En Internet se anuncian muchos software para hacer trampas en videojuegos (cheats). No es ético y muchas plataformas de juego lo penalizan, además estas aplicaciones suelen contener malware que puede infectar tu ordenador y robarte tu información. 

Ojalá os resulten útiles estos consejos y, si hay algo de la lista que no habíais tenido en cuenta, hoy es un buen día para ponerlo en práctica y hacer de vuestro tiempo de ocio online un espacio seguro. 

También queremos aprovechar este día para recordaros que el 14 de septiembre empieza la décima temporada del ESL Masters CSGO y al igual que en la anterior estaremos con muchas sorpresas preparadas. Estad atentos a nuestras redes si no queréis perderos nada 😊 ¡Nos vemos pronto!


Zerolynx recibe el sello PYME INNOVADORA

 

Hoy, 19 de julio de 2021, el Ministerio de Ciencia e Innovación ha otorgado a Zerolynx el sello PYME INNOVADORA

El Sello Pyme Innovadora es un certificado que otorga el Ministerio a aquellas empresas que cumplen con una serie de requisitos en materia de I+D+i y que disponen de un carácter innovador. Tras un proceso que ha durado tres años y que ha finalizado con la auditoría realizada por la entidad de certificación EQA, Zerolynx ha acreditado su Sistema de Gestión del I+D, certificando así la calidad de todas las soluciones acuñadas bajo su área de innovación. <<Este certificado acredita todo el esfuerzo realizado por el equipo de Zerolynx en pro de mejorar la ciberseguridad y contribuir a la innovación>> confirma Daniel González, Vicepresidente del grupo y socio responsable de negocio. <<Certificar nuestro Sistema de Gestión del I+D nos permitirá seguir creciendo y ofreciendo soluciones disruptivas a nuestros clientes, apostando por la investigación de nuevas tecnologías para llevar al mercado>>, completa Jesús Alcalde, Director de Tecnología de Zerolynx. 

Más información en: https://sede.micinn.gob.es/pyiINFO/buscarPyi.mec?&nif=B88028931

Publicamos nuestro paper "Ciberseguridad en Movilidad", presentado en el XXI Congreso Español ITS (#ITSES2021)




RESUMEN 

Los vehículos ITS forman parte de un complejo ecosistema de tecnologías, lo que supone una amplia superficie de ataque en la que se puede propiciar un incidente de ciberseguridad, afectando no solo a la protección de datos, sino también a la seguridad vial. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad.

INTRODUCCIÓN

“Nos encontramos en la cúspide del cambio de modelo de transporte más rápido, profundo y consecuente de la historia” (WG 5 CCAM Platform, 2020)(p. 3). Esta afirmación define perfectamente el momento histórico en el que se encuentra actualmente el sector de la movilidad. La incorporación de tecnologías de conectividad a los sistemas del vehículo, la aparición de los vehículos autónomos, el uso de motores eléctricos propulsados por baterías de alta capacidad, y el nacimiento del nuevo modelo de negocio transporte como servicio, han cambiado completamente el paradigma establecido hasta el momento. Los fabricantes ya no se centran únicamente en diseñar vehículos altamente sofisticados en su mecánica y estética, sino en que estos además dispongan de nuevas tecnologías de conectividad con objetivo de aumentar la protección y el confort de sus ocupantes. Además, su incorporación, permite a los vehículos ser partícipes en nuevos modelos de transporte en los cuales cada participante intercambia con la infraestructura y otros usuarios de la vía la información sobre su entorno que ha captado mediante su conjunto de sensores, facilitando una movilidad más segura, eficiente y ecológica.



Figura 1: Infografía sobre activos atacables de un vehículo moderno


La incorporación de nuevas tecnologías de conectividad y automatización a un sistema electromecánico orientado al transporte, supone un cambio radical en la composición de los sistemas embarcados y un significante aumento de su complejidad. Su incorporación, implica la aparición de una nueva dimensión tecnológica que debe ser segura desde su diseño, para que los posibles nuevos vectores de ataque no afecten a la protección de los pasajeros y usuarios de las vías por las que circulen. Como se puede ver en la infografía de ejemplo mostrada en la Figura 1, un vehículo actual dispone de numerosas utilidades que podrían permitir a un atacante actuar sobre el vehículo en caso de que una de ellas tuviese alguna vulnerabilidad explotable.

El gran impacto y repercusión causado por las nuevas tecnologías de conectividad y automatización en el mercado de la movilidad, ha derivado en la propuesta de nuevas regulaciones, estándares y recomendaciones por parte de gobiernos, fabricantes de equipamiento original y otras agrupaciones de interesados, para adaptarse a las circunstancias impuestas por el avance de la tecnología y asegurar que los nuevos vehículos son diseñados desde un principio con un enfoque hacia la seguridad informática de sus sistemas. Por destacar los documentos más relevantes orientados a automoción, se encuentran, entre otros, la regulación UNECE R155, R156, la norma ISO/SAE 21434 y la recomendación consolidada SAE J3061.

Por otra parte, acompañando a la publicación de nueva normativa y regulación, surgen proyectos como Open Mobility Security Project (OMSP) (Zerolynx, 2020), proyecto de I+D+i de Zerolynx que tiene como objetivo establecer un marco de trabajo enfocado en la verificación y validación de la ciberseguridad de todo tipo de vehículos, mediante la cual se facilita el cumplimiento regulador en un mercado exento de herramientas similares. OMSP será objeto del discurso en el apartado de resolución.

PLANTEAMIENTO

Problemática de la conectividad ante la ciberseguridad

Desde los inicios de la automoción hasta hoy, la preocupación por la protección de los ocupantes del vehículo ha ido en aumento, convirtiéndose a partir del siglo XXI en una de las principales preocupaciones durante el diseño del vehículo. Con la aparición de los vehículos conectados, se abre un nuevo frente que afecta a la protección de los ocupantes de forma indirecta, la seguridad informática de los sistemas del vehículo conectado.

Los vehículos autónomos y conectados generan, almacenan y operan grandes cantidades de datos provenientes de sus sensores. Según McKinsey (McKinsey, 2014), se estima que los vehículos autónomos y conectados generarán hasta 25GB de datos por hora. Gracias a la conectividad ampliada, en un ecosistema V2X los datos de interés para otros usuarios de la vía son compartidos a través de la red, conformada por múltiples actores que se ven beneficiados. En la Figura 2 se muestra un ejemplo de un posible escenario de comunicación ilustrado por ETSI.



Figura 2: Ilustración de escenario ITS (ETSI, 2010)(p.12)


Sin la implantación adecuada de seguridad en su diseño, operación y mantenimiento, los vehículos conectados y su ecosistema pueden quedar expuestos a ataques que impacten severamente en la protección y privacidad de sus usuarios. Además, se deben de tener en cuenta todo el entorno y actores partícipes en cada fase de su ciclo de vida. Según CCAM Platform (WG 5 CCAM Platform, 2020) "La exposición de un vehículo a redes V2X, puede suponer ataques informáticos", algo esperable de un entorno hiperconectado basado en tecnologías de reciente creación que tienen por objetivo implantarse en el día a día de las personas, y por lo tanto, esto se convierte en un problema que afecta a toda la sociedad, tal y como comparte la antigua CEO de General Motors, Mary Barra, en una entrevista realizada en el año 2016, (MIT Technology Review, 2016): “Un ciber-incidente es un problema para todos los fabricantes de vehículos del mundo (…). Es una cuestión de seguridad pública”. 

En la Figura 3 se muestra un ejemplo de la superficie de ataque de un vehículo moderno en función de su estado y perspectiva del atacante.



Figura 3: Infografía sobre la superficie de ataque de un vehículo conectado.


Compromiso entre Safety y Security

Para continuar el planteamiento del problema expuesto, es necesario tener claro el significado de los conceptos protección ante riesgos y protección ante amenazas, por lo que se hace uso de las definiciones aportadas por el documento de recomendaciones SAE J3061 (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17):

  • Seguridad mediante protección ante riesgos: Es el estado de un sistema que no causa daño a la vida, propiedad, o entorno.
  • Seguridad mediante protección ante amenazas: Es el estado de un sistema que no permite la explotación de vulnerabilidades que conllevan a pérdidas, ya sean financieras, operativas, de privacidad o de protección.
  • Sistema crítico ante riesgos de integridad física: Sistema que puede causar daño a la vida, propiedad, o entorno si el sistema no se comporta según lo previsto o lo deseado.
  • Sistema crítico ante amenazas informáticas: Sistema que puede conllevar a pérdidas financieras, operativas, de privacidad, o de protección ante riesgos si es comprometido a través de una vulnerabilidad presente en el sistema.

Cabe destacar que en la Lengua Castellana no existe una traducción exclusiva para los términos safety y security, ambos son traducidos directamente por "seguridad", lo que habitualmente conlleva a confusión a la hora de referirse a alguno de ellos. En este documento se ha optado por traducir safety como "protección ante riesgos" y security por "protección ante amenazas". En lo que respecta a la relación entre los dos dominios, es importante clarificar qué influencia tienen el uno sobre el otro. Según se expone en la guía (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17): "Todos los sistemas críticos ante riesgos de integridad física son sistemas críticos ante amenazas informáticas, ya que un ciber-ataque puede afectar directa o indirectamente a la integridad del sistema conllevando a potenciales pérdidas de protección". Por otra parte, expone: “No todos los sistemas críticos ante amenazas informáticas son sistemas críticos ante riesgos de integridad física, ya que un ciber-ataque puede resultar en pérdidas que no afecten a la protección, como por ejemplo pérdidas de privacidad, operativas o financieras”.


Figura 4:Relación entre sistemas críticos respecto protección y ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17)


Verificación y validación de la ciberseguridad de vehículos

Tras estudiar los conceptos safety y security así como su relación de efecto, a continuación se centra el discurso en los requisitos de verificación y validación establecidos a nivel normativo y regulador aplicados al sector de la automoción. 

Mediante un estudio del marco normativo y legal aplicable, se puede comprobar como tanto la regulación de UNECE R155, como el borrador de la norma ISO/SAE 21434, exponen la obligación de comprobar de forma práctica las medidas de ciberseguridad establecidas como mitigación ante los resultados del análisis de riesgos realizado durante la fase de concepto del producto. Concretamente, en la regulación UNECE R155, se exponen los siguientes extractos (UNECE WP.29, 2020):(UNECE WP.29, 2020):



Así mismo, se expone en el Anexo 5 un amplio listado de amenazas y mitigaciones que deben ser incluidas en el análisis de riesgos y que por lo tanto deben ser verificadas mediante testing por las autoridades competentes. En la siguiente figura se muestra un extracto del anexo mencionado.


Figura 5: Listado de vulnerabilidades o métodos de ataque relativos a amenazas (UNECE WP.29, 2020) Fragmento de la Tabla 1 del Anexo 5.


Como se puede apreciar en el texto comentado, la evaluación de las medidas de ciberseguridad es un requisito obligatorio y excluyente ante la obtención de la certificación del producto. Específicamente, se indica un conjunto de requisitos extenso y complejo que debe ser verificado mediante testing, pero como es de esperar en una regulación, no se recomienda ningún tipo de metodología que facilite, pero a su vez, sí se enuncia que es requisito para los servicios técnicos disponer de procedimientos implementados que permitan una evaluación uniforme acorde a la regulación.

La sección del documento SAE J3061 dedicada a la fase de verificación y validación de requisitos técnicos de Ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(pp. 49-50), establece que para su desarrollo se debe hacer uso de metodologías de comprobación de vulnerabilidades, de fuzz testing y de la realización de tests de intrusión aplicables en función del alcance deseado, de tal forma que sea posible verificar los requisitos técnicos de ciberseguridad y finalmente validar el producto en este aspecto. Profundizando en la definición del concepto, según Pablo González, destacado investigador español (González, 2015)(p. 17), "Un test de intrusión es un ejercicio que tiene como objetivo fundamental detectar, investigar y explorar las vulnerabilidades existentes en un sistema de interés", el cual "verificará y evaluará la seguridad". Su objetivo según SAE, es proporcionar una aproximación realista a como un hacker intentaría infiltrarse explotando las vulnerabilidades presentes en el sistema, pudiendo así comprobar la efectividad de los controles de Ciberseguridad aplicados. Además, añade que la desventaja de la realización de tests de intrusión es su aplicación en fases tardías del ciclo de vida del producto, ya que requiere hacer uso de una implementación completa del sistema, y por lo tanto, cualquier vulnerabilidad detectada en este momento causará un gran coste de corrección sobre las fases previas. 
 
RESOLUCIÓN

Open Mobility Security Project (OMSP)

Desde el Área de Ciberseguridad en Movilidad de Zerolynx, conscientes del problema que supone el aumento de conectividad en los vehículos y la obligación al cumplimiento de la regulación y normativa, sumado a la carencia de metodologías y herramientas que faciliten la evaluación de la ciberseguridad de los vehículos de nueva generación, se decide crear OMSP, un proyecto abierto a la comunidad, basado en la experiencia y la investigación, que tiene como objetivo establecerse como marco de trabajo de referencia definiendo el conjunto de procesos necesarios para evaluar de forma ágil y sencilla la ciberseguridad de cualquier tipo de vehículo.

Actualmente, OMSP es un proyecto vivo que continúa desarrollándose hacia su segunda versión, en donde el equipo de ingenieros de I+D+i del Área de Ciberseguridad en Movilidad adapta el marco de trabajo a los requisitos establecidos por la regulación e integra nuevas técnicas de hacking asociadas a las tecnologías más recientes. Su documentación se encuentra publicada en la plataforma GitHub en forma de repositorio (Zerolynx, 2020), donde en breve se publicará la nueva versión actualizada. Además, OMSP cuenta con respaldo académico, ya que su desarrollo forma parte de un doctorado industrial en ciberseguridad desarrollado con el respaldo de la Universidad Rey Juan Carlos. 

Fundamentos de la metodología

A continuación, se enuncian los fundamentos de la metodología, y a su vez se distinguen las ventajas y motivos por los cuales se propone su uso en el mercado:

  • Proceso estructurado: El marco de trabajo propuesto está compuesto por una serie de fases y actividades organizadas en un orden lógico, definidas con claridad y sencillez, lo que permite una rápida comprensión de la metodología y su posterior puesta en práctica, así como una gran trazabilidad de las actividades realizadas.
  • Desarrollo continuo: Para dar soporte al cumplimiento normativo, OMSP se desarrolla de forma continua e iterativa para mantenerse actualizado al complejo estado del arte, proporcionando ante cada novedad una solución correspondiente.
  • Accesibilidad: OMSP ha sido diseñado para que sea posible su uso de forma aislada o acompañada de los inputs y outputs correspondientes a la aplicación de otras metodologías. Por ejemplo, durante su uso se podría emplear la información generada de un análisis de riesgos del vehículo en cuestión. Además, su enfoque puede ser de caja negra, gris o blanca, en función del nivel de información disponible sobre el vehículo a evaluar.
  • Compatibilidad: La metodología ha sido diseñada de tal forma que permite evaluar cualquier tipo de vehículo, ya que de forma independiente estos se ven descompuestos en sus unidades mínimas de evaluación denominadas activos, como pueden ser actuadores, sensores y datos, y se contextualizan dentro del entorno de operación del vehículo.
  • Cumplimiento: Partiendo de su proceso estructurado, el marco de trabajo establece los puntos de generación de evidencias requeridos para el cumplimiento normativo y regulador.
  • Open Source: El hecho de que sea un proyecto público supone una búsqueda de colaboración activa por parte de la comunidad. Cualquier interesado con conocimientos en la materia puede ser partícipe proporcionando mejoras, correcciones, difusión u otras actividades de interés. De esta forma, se pretende una mayor difusión e integración en el mercado, haciendo partícipes a múltiples actores y difundiendo el conocimiento de forma abierta.
Estructura de procesos

Tras conocer el origen y los fundamentos de la metodología, a continuación, se centra el discurso en torno a una breve descripción de los procesos y actividades que la conforman. La Figura 6 representa gráficamente su flujo y composición. El proceso comienza mediante la definición del objetivo de evaluación y su alcance. Una vez se disponga de la caracterización del producto sobre el que se trabajará, se realiza una identificación de los activos de interés que lo componen y que serán objeto de evaluación durante las siguientes fases. Una vez seleccionados, los activos se estudian en función de su naturaleza y se ponen en su contexto de operación para poder realizar una identificación de los escenarios de ataque y amenazas que pueden afectarles. A continuación, partiendo del resultado obtenido en la fase anterior, se genera una selección de controles técnicos a aplicar sobre el vehículo. Llegado este punto y disponiendo de un conocimiento profundo sobre el vehículo en el plano teórico, se realiza un análisis de arquitectura, en el cual se valora la disposición e interacción de los activos dentro de la arquitectura eléctrico-electrónica del vehículo. Por último, se realiza la ejecución de controles técnicos aplicables, concluyendo con la evaluación de los resultados obtenidos y la generación del correspondiente informe final.



Figura 6: Estructura de procesos y actividades propuestas

CONCLUSIONES

  • El aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que deriva en una mayor exposición ante ciberataques que produzcan de forma colateral accidentes de tráfico o alteren la circulación en las vías. Entidades gubernamentales y otros stakeholders tratan de dar respuesta a la necesidad de disponer de vehículos ciberseguros mediante la generación e implantación de regulaciones y normas específicas para el sector de la movilidad, lo que facilitará la llegada de la ciberseguridad a la industria de la automoción y por consecuencia a una movilidad más segura.
  • Los fabricantes de vehículos y sus proveedores deben mejorar la concienciación, fomentando la cultura de ciberseguridad las actividades de la organización. Además, deben adoptar un ciclo de vida de producto que incluya la ciberseguridad desde el diseño, de tal forma que sus vehículos dispongan de un nivel de seguridad elevado y se eviten vulnerabilidades en fases tardías del desarrollo o producción.
  • El reglamento número 155 de UNECE establece la obligatoriedad de realizar un proceso de verificación y validación de las medidas de ciberseguridad implementadas en los vehículos para mitigar el riesgo de las amenazas identificadas como resultado del análisis de riesgo previamente realizado. Para ello, se realizarán pruebas de fuzz testing y pentesting mediante las cuales se simularán los posibles ataques que se realizarían ante cada caso de riesgo. 
  • Se destaca la afirmación que realiza SAE (p. 22) y que los autores de este documento comparten: "Ningún sistema puede garantizar ser 100% seguro, pero la aplicación de un proceso de desarrollo de producto bien definido y estructurado reduce la posibilidad de la aparición de fallos de seguridad", destacando entre ello la importancia de la aplicación de un preciso sistema de validación que verifique y valide las medidas de ciberseguridad implementadas en los vehículos, como es en este caso OMSP.
  • Open Mobility Security Project (OMSP) es una metodología desarrollada por Zerolynx y abierta a la comunidad que tiene como objetivo establecer el marco de trabajo de referencia ante la evaluación de la ciberseguridad de cualquier tipo de vehículo. Es aplicable durante todas las fases del desarrollo de producto y facilita el cumplimiento normativo. Su contenido es accesible públicamente y se puede participar en su desarrollo como colaborador.

BIBLIOGRAFÍA

  • ETSI. (2010). ETSI EN 302 655 V1.1.1.
  • González, P. (2015). Ethical Hacking: Teoría y práctica para la realización de un pentesting (Primera). 0xWORD. https://0xword.com/es/libros/65-ethical-hacking-teoria-y-practica-para-la-realizacion-de-un-pentesting.html
  • McKinsey. (2014, September 1). What’s driving the connected car. https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/whats-driving-the-connected-car
  • MIT Technology Review. (2016). GM CEO: Car Hacking Will Become a Public Safety Issue. https://www.technologyreview.com/2016/07/22/158706/gm-ceo-car-hacking-will-become-a-public-safety-issue/
  • SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 128 (2016). https://doi.org/https://doi.org/10.4271/J3061_201601
  • UNECE WP.29. (2020). WP.29/R155: Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system. https://unece.org/sites/default/files/2021-03/R155e.pdf
  • WG 5 CCAM Platform. (2020). Cybersecurity and access to in-vehicle data linked to CCAM. 1–11.
  • Zerolynx. (2020). Open Mobility Security Project. https://github.com/zerolynx/omsp
 
ANTE CUALQUIER NECESIDAD DE CIBERSEGURIDAD EN EL SECTOR DE LA MOVILIDAD, PUEDE PONERSE EN CONTACTO CON ZEROLYNX EN EL EMAIL [email protected]

Zerolynx participará en el XXI Congreso Español sobre Sistemas Inteligentes de Transporte


Del 13 al 15 de julio en la Sala Retiro de IFEMA, tendrá lugar el XXI Congreso Español sobre Sistemas Inteligentes de Transporte (ITS). Durante estas tres jornadas se abordará el doble reto que se nos plantea para los próximos años: la aportación eficaz de los ITS en la consecución de las metas del Plan de Recuperación, Transformación y Resiliencia y la participación del Sector ITS en los importantes fondos para lograr el impulso que se requiere en este complicado momento. A través de diferentes conferencias y mesas de debate se presentará el tema desde diferentes ámbitos que prometen ser muy interesantes.

Zerolynx tendrá la oportunidad de asistir al evento más importante del sector, representada por nuestro CEO, Juan Antonio Calles, y nuestro Analista de Ciberseguridad en Movilidad, Martín Puga, a través de una relevante conferencia sobre la importancia de la ciberseguridad en la movilidad.

Actualmente, el aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que ocasiona una mayor exposición ante ciberataques que puedan derivar de forma colateral en accidentes de tráfico o puedan alterar la circulación en las vías, aparte de afectar a la protección de los datos. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad, a través de framework libre y abierto.

La presentación de Zerolynx tendrá lugar el miércoles 14 de julio durante el bloque “ITS para la Gestión de la movilidad”, el cual dará comienzo a las 17:15. ¡No te la puedes perder! Te esperamos.

Zerolynx realiza su Outing de Verano 2021

La semana pasada tuvimos el placer de realizar el outing de verano de Grupo Zerolynx, nuestro evento más importante del año, y al que pudimos acudir una gran parte del equipo de Zerolynx y Osane a pesar de la delicada situación propiciada por la pandemia del Covid-19. Este outing forma parte del programa de eventos trimestrales de la compañía, en los que presentamos todas las novedades del trimestre. Durante dos jornadas, pudimos disfrutar de varias horas con nuestros compañeros, con diversas actividades grupales al aire libre y una serie de actos planeados por la organización, que nos permitieron desconectar y disfrutar de todas las novedades acontecidas en este 2021. 

Durante la jornada del jueves disfrutamos de la parte más institucional, con un cóctel en una maravillosa finca segoviana para recibir a todos nuestros compañeros, que se reunieron desde las oficinas de Madrid y Euskadi. 




Tras el refrigerio, nos dirigimos a uno de los salones para el acto inaugural, en el que nuestro CEO,  junto al resto de los socios, presentaron todas las novedades de este vertiginoso año. 




Tras el evento, pudimos disfrutar de la cena y de una pequeña fiesta nocturna al aire libre, con el fin de cumplir con todas las normas que el protocolo Covid exige. 



Durante la fiesta pudimos disfrutar, entre otras cosas, del concierto en directo de nuestro compañero Nico, que piano en mano nos amenizó con su último single, "Ser", con el que se clasificó como representante de Andalucía en Ibaivisión.




Al día siguiente madrugamos para desayunar y desplazarnos en autobús a La Granja de San Ildefonso, donde realizamos una serie de actividades por equipos en la Senda de las Pesquerías Reales.




Tras hacer un poco de deporte por la maravillosa zona segoviana, volvimos a la finca que nos acogió, para realizar diferentes actividades de networking interno, y comer todos juntos.

Finalmente, tuvimos algo de tiempo para disfrutar al aire libre, jugar al ping pong y descansar en los jardines de la finca.

Ha sido un gran outing en el que tuvimos la oportunidad de conocer mejor a los nuevos compañeros que se han incorporado en los últimos meses, y estrechar lazos con los más veteranos, en especial en este año de pandemia donde el teletrabajo obligado por PRL ha impedido que muchos compañeros se pudiesen conocer en persona. 

Desde aquí nos gustaría agradecer a la organización por todo el esfuerzo para llevar a cabo este gran evento, en especial para poder cumplir todas las exigencias que el protocolo covid exige, y, por supuesto, a todos lo participantes que hicieron de estos días otro bonito recuerdo para la historia de Zerolynx.

¡Un saludo a todos!


Ganador del Capture The Flag se une a Zerolynx

El viernes 11 de junio ampliamos la plantilla de Zerolynx con un miembro más. Tras realizar las entrevistas a todos los interesados que quedaron en los primeros diez puestos del CTF #FromZeroToLynx, decidimos incorporar a Iván Pervij Gutiérrez. Iván fue el primer clasificado en el Capture The Flag celebrado entre el 25 de marzo y el 2 de mayo de 2021 en el sitio web fromzerotolynx.gg. En dicho reto, que organizamos junto a ESL Masters, se resolvieron 43 pruebas de distinto nivel de dificultad abordando categorías como OSINT, crypto, binaries, reversing, etc. Tras demostrar sus habilidades a lo largo de todo el torneo y tener una entrevista con nuestro departamento de recursos humanos, Iván se ha incorporado como analista de ciberseguridad y desde aquí le damos la enhorabuena y la bienvenida. 


El 11 de junio celebraremos el Webinar gratuito: "Ciberseguridad en los eSports"


El próximo 11 de junio a las 19:00h (España), tendremos el placer de organizar junto a la Federación Española de Jugadores de Videojuegos y eSports y el Consejo de la Juventud de España un webinar centrado en la ciberseguridad en los eSports. Será una mesa redonda de debate, en la que nuestros compañeros Jesús Alcalde y Juan Antonio Calles responderán las dudas de ciberseguridad del resto de miembros de la mesa, de forma abierta y cercana. Así mismo, cualquier internauta podrá preguntar a los miembros de la mesa sus dudas en la materia, y nuestros compañeros tratarán de resolverlas en directo, por lo que, ¡no os lo podéis perder! Nos encantaría que fuese un webinar dinámico, donde todos podáis participar, y por ello, FEJUVES ha puesto a vuestra disposición el correo [email protected] para que, durante esta semana, podáis enviar todas vuestras dudas y consultas sobre ciberseguridad en los eSports, para que puedan ser resueltas durante el webinar. 

Finalmente nos gustaría contaros que tendremos numerosas sorpresas en la mesa, con varias  incorporaciones muy interesantes e influyentes del sector, que iremos desvelando a lo largo de la próxima semana. 

¡Estad muy atentos a nuestras redes sociales!


Abierto el plazo de inscripción para el programa RADIA 2021-2022

Esta semana se ha abierto el plazo de inscripción para solicitar la beca con el programa RADIA 2021-2022. Este proyecto nace con el objetivo de favorecer la inclusión de mujeres con discapacidad en entornos digitales y aumentar en número de mujeres profesionales en ámbitos tecnológicos, algo imprescindible en nuestra sociedad. 



El programa RADIA consta de 3 fases. La primera fase, “brain storm”, donde se conocen las nuevas tecnologías digitales que actualmente son tendencia. En la segunda fase, “mentor women”, comienza el proceso de especialización con el apoyo de mentoras/es para conseguir la primera certificación profesional. Por último, en la fase “real work”, las participantes podrán elegir entre las empresas colaboradoras del programa RADIA para realizar unas prácticas y completar así su formación e incrementar sus oportunidades de empleo. Una de las empresas colaboradoras que pueden seleccionar es Zerolynx, y desde aquí queremos aprovechar para animar a todas las jóvenes que tengan interés en formarse y trabajar en sectores relacionados con el ámbito de la ciberseguridad e I+D a realizar la inscripción y tener la opción de formarse en este sector tan demandado. ¡Os esperamos! 

INSCRIPCIÓN RADIA 2021

Zerolynx participa en DES Innovation Hub

Del 18 al 20 de mayo tendrá lugar uno de los principales eventos digitales a nivel nacional, el DES (Digital Enterprise Show). Y en esta ocasión, nuestro COO, Daniel González, estará presentando en el DES Innovation Hub nuestro proyecto de movilidad OMSP.




Desde la organización de DES consideran relevante dar visibilidad a proyectos que puedan marcar un hito para la sociedad a través de empresas emergentes y pioneras que lideran la innovación más disruptiva ofreciendo estructuras ágiles y nuevas formas de pensar, tal como hacemos desde Zerolynx y las empresas que conforman el grupo. Por ese motivo, DES ha creado el Innovation Hub en busca de estas nuevas empresas que puedan tener un impacto en los sectores de la demanda digital, como Industria 4.0, Banca y Seguros, Salud Digital, Medios de Comunicación y Entretenimiento, Logística, Ciudades y Sector Público, Turismo y Hostelería, y Retail.

A todos aquellos que estén interesados en mejorar la seguridad de nuestros vehículos y garantizar una movilidad cibersegura, os confirmamos que estaremos en el sector Ciudades a partir de las 11 de la mañana el día 19 de mayo, con una breve introducción del proyecto OMSP


Pequeño homenaje a Marina Touriño




Nuestro COO, Daniel González, responsable de Relación con Asociados y Jóvenes Profesionales de la Junta Directiva de ISACA Madrid tuvo la oportunidad de hacer una pequeña entrevista a Marina Touriño junto a la periodista Marian Álvarez y a su compañera del área de jóvenes profesionales, Marta Barrio

Desde aquí queremos unirnos a este pequeño homenaje a una persona que ha sido pionera y referente del sector durante muchos años, compartiendo la entrevista realizada. A todos los que no hayáis tenido la oportunidad de conocer a la asociada número 1 del Capítulo de Madrid, os recomendamos que dediquéis unos minutos a disfrutar de las palabras de una persona que se implicó de manera personal en traer el CISA a España y ayudarnos a profesionalizar cada vez más el sector. 

Y a los que prefieran ver la entrevista completa, os compartimos la videoconferencia de la que se ha extraído la entrevista presentada. 






Zerolynx participa en la edición especial sobre ciberseguridad de Comando Actualidad

Ayer por la noche tuvimos el placer de participar en la edición especial sobre ciberseguridad que hicieron en el programa Comando Actualidad, de TVE, donde nuestros compañeros Martin Puga y Luis Vázquez (analistas de ciberseguridad) junto a Jesús Alcalde (responsable del área de innovación) y, nuestro CEO, Juan Antonio Calles, estuvieron explicando y demostrando como los ciberataques a los vehículos están a la orden del día y como pueden producirse.


En 1999 se acuñó el concepto IoT (Internet de las cosas), y desde entonces, la industria ha seguido conectando nuevos dispositivos a Internet, con el fin de facilitar su usabilidad. Según Gartner, el pasado año se conectaron a través de IoT más de 26 mil millones de dispositivos. Y de esta hiperconexión no escapa el sector de la movibilidad, que poco a poco ha ido integrando en trenes, coches, motocicletas, barcos, aviones, patinetes e incluso, bicicletas, distintos activos para conectarlos a Internet y dotarlos de nuevas características.

En junio de 2020 fue publicada una regulación de las Naciones Unidas para establecer los requisitos de ciberseguridad a cumplir por parte de los fabricantes, relativa a su SGSI y a sus modelos de vehículo, durante todo su ciclo de vida. Con ello, se aumentan los requisitos necesarios para la homologación establecidos en el acuerdo de 1958 y sus actuales 152 adendum. Su aplicación dio comienzo en enero de 2021 en los 54 países firmantes, y afecta a coches, furgonetas, autobuses, camiones y vehículos ligeros de cuatro ruedas que disponen de funcionalidades de automatización de la conducción de nivel tres o superior.

Por otro lado, el mercado está trabajando en la normativa ISO/SAE 21434, que se establecerá como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. Será un estándar de certificación para OEMs y proveedores, con el objetivo de evidenciar el cumplimiento de la regulación vigente. Actualmente, la norma se encuentra en fases finales de su creación, estando en estado de borrador internacional (DIS), y siendo sometida a votaciones y correcciones ante alegaciones.

Desde Zerolynx, conscientes de esta situación, lanzamos en 2018 nuestro área de Ciberseguridad en Movilidad, un departamento especializado exclusivamente en dicho sector, que ha dado seguimiento y apoyo a numerosos fabricantes para implantar ciberseguridad en diferentes industrias como la ferroviaria o la de la automoción. Este área forma parte también del comité CTN 26/SC 1/GT 1 (UNE), con el objetivo de dar seguimiento y apoyo a los grupos de trabajo internacionales ISO/TC 22/SC 32/WG11 Cybersecurity e ISO/TC 22/SC 32/WG 12 Software Update.

Dentro de los proyectos de ciberseguridad en el mercado de la movilidad, Zerolynx ha tenido la oportunidad de participar tanto en procesos de ingeniería dentro de diferentes etapas de la fabricación, como en procesos de auditoría, para verificar que las medidas implantadas son suficientes para dar respuesta a las amenazas actuales, tanto a nivel de safety, como de security. Y, de toda esta experiencia, lanzamos en 2020 nuestro proyecto Open Mobility Security Project, una metodología abierta enfocada a estandarizar controles técnicos y repetibles para definir, implantar y auditar las medidas de ciberseguridad necesarias en todo tipo de vehículos, dar cumplimiento a las regulaciones, y abordar una respuesta integral a las innumerables amenazas. Gracias al marco de controles definido en OMSP, hemos llevado con éxito numerosos proyectos con el objeto de implantar ciberseguridad en vehículos de todo tipo, desde trenes a motocicletas eléctricas, incluyendo los diferentes activos con los que interactúan, como balizas ERTMS o aplicaciones móviles. Con el apoyo de OMSP y todo nuestro conocimiento, hemos definido un catálogo de amenazas que podrían afectar al sector, hemos establecido posibles puntos de ataque que podrían ser explotados en cualquier tipo de vehículo y hemos establecido medidas para mitigar los riesgos existentes.

Si eres un OEM, Tier o Aftermarket del sector de la movilidad (automoción, ferroviario, etc.) y estás interesado en gestionar la ciberseguridad, estaremos encantados de presentarte nuestra propuesta de valor. Contáctanos en nuestro email [email protected], y nuestro equipo te atenderá a la mayor brevedad.

Zerolynx participa en la IV edición de Detcamp



Mañana, viernes 16 de marzo a las 19:30h (hora española/ UTM+2), tendremos el placer de participar en la IV edición de Detcamp, a través de la representación de nuestro compañero Gonzalo Terciado.

Gonzalo Terciado, analista senior de ciberinteligencia en Grupo Zerolynx, debatirá junto a grandes figuras del sector en España, tal como Carlos Seisdedos y Wiktor Nykiel, la cuestión sobre la Ciberinteligencia en el ecosistema empresarial.  Esta mesa redonda estará moderada por Iván Portillo, cofundador de la comunidad de Ciberinteligencia GINSEG y el evento IntelCon.

El evento es gratuito y disponéis de más detalles en la página de registro:

Más información

 ¡No os lo perdáis!