Zerolynx celebra su Outing de verano 2022


El pasado 3 y 4 de junio tuvimos el placer de realizar el outing de verano de Grupo Zerolynx, al que pudimos acudir una gran parte del equipo de Zerolynx y Osane. Esta vez el evento tuvo lugar en Vitoria-Gasteiz, ciudad en la que se encuentra la sede del grupo en Euskadi. Durante dos jornadas pudimos disfrutar pasando tiempo con nuestros compañeros, realizando diversas actividades y asistiendo a una serie de actos planeados por la organización que nos permitieron desconectar y aprovechar un magnífico fin de semana en tierras vascas.

El outing comenzó el viernes con una estupenda comida en un restaurante de la zona donde pudimos deleitarnos con un menú preparado para la ocasión. Tras el almuerzo, nos dirigimos a nuestras oficinas del Parque Tecnológico de Álava, donde nuestro CEO, junto a algunos de nuestros compañeros, nos presentaron todas las novedades acontecidas en los últimos meses, entre ellas, los avances de nuestras nuevas oficinas que estrenaremos en septiembre.



Tras el evento pudimos disfrutar con una cena de la mano del galardonado cocinero Jokin Serrano Castro, en un evento privado para los miembros de Zerolynx. El menú consistió en una original ensalada cuya combinación de sabores era una autentica delicia, bacalao a la vizcaína y una versión de pantxineta que no dejó indiferente a nadie.



Al día siguiente madrugamos para desayunar y desplazarnos a la catedral de Santa María, conocida popularmente como Catedral Vieja, donde recibimos una visita guiada por la historia de este magnífico y peculiar templo. Gracias a que su proyecto de restauración está casi terminado, pudimos realizar un tour muy completo e interesante desde los cimientos hasta llegar al campanario. Después de dar un agradable paseo por Vitoria, cerramos el outing con un almuerzo todos juntos tras el que algunos compañeros alargaron su estancia en el País Vasco.



Ha sido un outing excepcional en el que tuvimos la oportunidad de hacer team building con todos nuestros compañeros, desde las incorporaciones más recientes, a los más veteranos.

Desde aquí nos gustaría agradecer a la organización por todo el esfuerzo para llevar a cabo este gran evento, en especial a los compañeros de Vitoria, cuya gran acogida y cariño preparando todos los detalles han sido el broche de oro a esta experiencia. Por último, agradecer a todos los participantes que hicieron de estos días otro bonito recuerdo para la historia de Zerolynx.

¡Eskerrik asko!

Análisis forense digital de correos electrónicos en Microsoft Office 365

 Antecedentes

Con el avance de la nube y la automatización de los procesos en las empresas, Microsoft Office 365 se está extendiendo de forma imparable, sustituyendo a las clásicas instalaciones de Exchange que requerían de un mayor mantenimiento y control. Sin embargo, la nube trae cambios, y toca adaptarse a un sinfín de nuevas configuraciones, nuevas vías para hacer las cosas a las que ya estábamos habituados y nuevos modos de licenciamiento.

Desde el punto de vista forense, los peritos teníamos diferentes opciones para presentar un dictamen pericial que diese fe de la existencia de determinados correos electrónicos dentro de un buzón. Entre otras opciones destacadas, y atendiendo al principio de siempre “clonar” el mayor contenedor, podíamos acceder a Exchange para exportar el buzón de correo del usuario, podíamos clonar el propio servidor de correo, o incluso, el disco duro del PC del propio usuario del que luego extraer el PST. Sin embargo, todo esto está cambiando. Los servidores ahora están en un proveedor externo, Microsoft (como ya pasaba si teníamos contratado un hosting en modo SaaS), y los usuarios se están habituando a utilizar Office 365 desde su navegador. Y, en estas circunstancias, ¿cómo clonaríamos un buzón de correo electrónico manteniendo todas las garantías de integridad forense? De eso os hablaremos en este artículo.

Introducción

Desde Zerolynx realizamos periciales forenses todos los meses, principalmente derivadas de clientes que nos llaman tras haber sufrido una Estafa del CEO, con el objetivo de, por un lado, analizar el fallo de seguridad que ha propiciado la interceptación del correo, para tratar de ponerle solución, y, por otro lado, para facilitarles la judicialización del caso y la posible recuperación del dinero. Pero sobre estos casos os hablaremos en otro artículo, hoy nos queremos centrar únicamente en Office 365.

Lo primero que tenemos que conocer es que Microsoft tiene diferentes modos de licenciamiento, en función del número de herramientas y funcionalidades incluidas. Y, la seguridad avanzada, solo se encuentra incluida en el plan E5. Dejo este dato aquí reflejado porque más adelante volveremos a ello.

 


La mayor parte de las empresas que trabajamos con Office 365 contamos con el plan E1 o E3, que, por lo general, cubre casi todas las necesidades de las organizaciones. 

Problemática

Cuando desde Zerolynx comenzamos a realizar forenses sobre Office 365, nos mantuvimos trabajando con cierta normalidad, clonando los equipos de los usuarios donde tenían sincronizados sus buzones (dentro del cliente de Outlook), hasta que surgió un caso forense donde esto no era una posibilidad. Obviando la complejidad del caso, que no aporta mayor detalle para contextualizar el artículo en sí, nos dirigimos a la consola de Office 365 con un usuario con los privilegios correspondientes que nos facilitó el cliente, con el objeto de acceder, congelar el buzón para tener una copia íntegra e inmutable que garantizase que siempre obtendríamos la misma firma hash, y descargarlo.

A continuación, mostramos brevemente el proceso de descarga del buzón, ampliamente documentado en multitud de artículos en Internet.

 


Selección del buzón de correo

Detalle de resultados


Exportación de la información


Descarga de los resultados


Una vez descargado el PST, procedimos a firmar el archivo, obteniendo el correspondiente hash SHA256. Y, como siempre tenemos que hacer los forenses para garantizar la integridad, y como buena costumbre, lo descargamos de nuevo y lo volvimos a firmar para verificar que el proceso funcionaba correctamente, y que, en caso de contrapericial, la futura extracción sería idéntica a la actual. Pues cual fue nuestra sorpresa que, a pesar de tener el buzón aparentemente inmovilizado, el hash no coincidió. ¿Qué estaba pasando? Aunque ya teníamos más o menos claro lo que estaba ocurriendo, abrimos un caso con Microsoft, y aprovechamos para debatir el tema en paralelo con otros MVPs que, como nosotros, están lidiando regularmente con estas tecnologías. Y, a los pocos días obtuvimos la siguiente respuesta:

 



Pues sí, al contrario de lo que cabría pensar, Microsoft modifica los archivos en tiempo real durante cada descarga, añadiendo determinados bytes que alteran su contenido, y, por tanto, su hash. Por tanto, no es posible descargar un buzón de correo completo manteniendo su integridad.

En estas circunstancias y con algo de pensamiento lateral, aun podía justificarse la situación en el informe pericial, contando el problema tecnológico, e, irremediablemente, extrayendo el “msg” del correo a ratificar en sí, firmando, aunque fuese este último, con el fin de evidenciar que, si se extrajese en el futuro de una nueva descarga, se obtendría el mismo hash. Pero, de nuevo nos llevamos una sorpresa, los msg tampoco eran íntegros, y en ellos también se incluían determinados nuevos bytes con cada descarga. 

Por tanto, solo quedaba una solución, y es la que refleja Microsoft como respuesta en su caso, adquirir una licencia de tipo E5, la cual, y con la opción Advanced eDiscovery sí permite generar un hash “online” y garantizar dicho hash durante las descargas.

Anteriormente, éramos las empresas que nos dedicábamos a forense quienes debíamos adquirir las herramientas necesarias para realizar las clonaciones y los análisis, pero, con el nuevo enfoque de la nube, todo se dirige a que sean los clientes quienes tengan ahora que comprar estas herramientas y darnos acceso a los forenses para poder trabajar.

Para que veáis como se generaría el hash con una licencia E5, os compartimos a continuación algunas capturas del proceso.

 

Acceso a Advanced eDiscovery


Creación del caso


Posteriormente, se crearía una suspensión de la cuenta de correo para preservar el contenido del buzón de forma íntegra.


 Suspensión de la cuenta de correo


Detalle de suspensión de la cuenta seleccionada y filtros de fecha

A continuación, se asignaría un custodio al caso:


Asignación de Custodio


Más adelante, se crearía una colección, es decir, se seleccionaría el contenido completo del buzón que sería descargado:


Detalle de la Colección

En este punto, se crearía un conjunto de revisión que sería asignado a la colección anteriormente definida:


Creación de Conjunto de Revisión


Asignación de Conjunto de Revisión a Colección

Y, finalmente, se generaría el archivo de exportación forense:

 

Exportación de la información


Una vez generada la exportación, se procedería a su descarga.


Descarga de los resultados


Una vez descargado, este ya sí, mantiene su integridad y, por tanto, garantiza su hash en el tiempo.

Conclusión

Lo más importante en un informe pericial es ser claros, garantes y concluir sin lugar a duda, que nuestras premisas son las correctas. Es cierto que se puede garantizar la inmutabilidad del contenido de una evidencia aun modificándose su firma hash, pero si podemos evitarlo, en este caso, contratando una nueva licencia, nos ahorraremos explicaciones y preguntas durante la ratificación en la sede judicial. Por tanto, antes de comenzar un análisis forense de Office 365, aseguraos de que vuestro cliente cuente con una licencia de tipo E5 a la que pueda daros acceso, o, de lo contrario, el tema puede que os de algún que otro quebradero de cabeza.


Juan Antonio Calles, CEO de Zerolynx

Jorge Escabias, Responsable de Seguridad Ofensiva

Mauro de Croce, Analista de Ciberseguridad

Zerolynx dona el Premio Ciudad de Móstoles a varias asociaciones de la zona



A finales del 2021, Zerolynx recibió el premio a la Empresa Emprendedora otorgado en la XXX Gala de los Premios Ciudad de Móstoles. Este reconocimiento iba acompañado de una dotación económica que Zerolynx decidió duplicar y donar a diferentes asociaciones sin ánimo de lucro que aportan una gran ayuda a la comunidad de Móstoles. A continuación, os contamos un poco sobre ellas y la gran labor que llevan a cabo. 

La Asociación Mostoleña de Espondilitis y Artritis (AMDEA): una organización que busca solucionar los problemas de los enfermos afectados de espondilitis o artritis para conseguir una mejor calidad de vida. Sus objetivos se centran en atender y apoyar a los pacientes afectados en diferentes actividades sociales y en el entorno del hogar. También mantienen relaciones y contactos con centros y organismos del país y del extranjero relacionados con la evolución médica y técnica en el tratamiento de estas enfermedades.



La Asociación ProTGD: una entidad que busca asegurar el bienestar de las personas con Trastornos del Espectro Autista - Trastornos Generalizados del Desarrollo y de sus familias. Los objetivos de esta asociación van dirigidos a la comprensión y concienciación social sobre los TEA/TGD. Buscan enriquecer la calidad de vida de las personas afectadas por estos trastornos y de sus familias garantizando recursos necesarios para que puedan ejercer sus derechos. También fomentan la inclusión social de las personas con TEA/TGD promoviendo la participación en su entorno y garantizándoles la igualdad de oportunidades.


 

La Asociación Formadoras Capacitadas: un proyecto social creado para impulsar una formación inclusiva innovadora dentro de la economía social. Ofrecen una gran variedad de talleres y servicios de formación relacionados con la inclusión social y laboral, el desarrollo sostenible y los negocios. En ellos participan Mujeres con Discapacidad Intelectual dentro del equipo formador. 



La Asociación 1º de Mayo: una asociación dirigida a la atención a los afectados del Síndrome Tóxico, una enfermedad propiciada por una intoxicación alimentaria, que golpeó a más de 20.000 españoles en el año 1981. La asociación lleva por nombre "primero de mayo", fecha en la que falleció en Madrid la primera de las casi 5.000 víctimas mortales. Más de 40 años después, asociaciones como 1º de Mayo continúan cuidando de los afectados, organizando actividades, prestando atención psicológica y apoyos de diferente índole, con el fin mejorar la calidad de vida de los afectados.



La Asociación para la Prevención del Alcoholismo: una organización centrada en reunir miembros que hayan tenido problemas a consecuencia del alcohol con el fin de mejorar la capacitación personal, profesional e intelectual de sus miembros. También tienen como objetivo informar a la población de problemas y consecuencias del abuso de esta sustancia. 



Y, por último, la Asociación Mostoleña De Esclerosis Múltiple (AMDEM): una entidad que pretende mejorar la asistencia de las personas afectadas de Esclerosis Múltiple y/o enfermedades similares y de sus familias. Esta asociación además de promover la investigación científica para encontrar una solución, se centra en agrupar a personas relacionadas con la E.M. para una mejor atención de sus demandas y necesidades. También fomentan la sensibilización de la opinión pública y las administraciones y promueven ayudas para favorecer la integración social.

 

Zerolynx confía en EVPG e Invergestión la construcción de sus headquarters en Madrid





El crecimiento de Grupo Zerolynx sigue su curso, y, recientemente, ha sido adjudicada a la UTE EVPG-Invergestión la construcción de sus headquarters en Madrid. Este proyecto se encuentra englobado dentro de su plan estratégico interno, bajo el cual la organización está definiendo el rumbo del grupo para convertirse en player líder del sector.

Las nuevas oficinas de Zerolynx se encontrarán ubicadas en un lugar privilegiado, entre la Ciudad Financiera del Banco Santander y la Ciudad de la Imagen, y dispondrán de acceso directo por carretera desde la M-40 y la M-501. Esta nueva ubicación permitirá a los empleados trasladarse de forma rápida y sencilla a todos los puntos de la geografía madrileña, situándose, entre otros, a 20 minutos de la Puerta del Sol o de la zona de las Tablas.

El nuevo edificio de Zerolynx, ubicado en el futuro complejo N-34, contará con tres plantas, entre las que se distribuirán sus diferentes departamentos. Así mismo, la sede de Madrid de la consultora del grupo especializada en Seguridad Patrimonial, Osane Consulting, también se trasladará a las nuevas oficinas centrales. El traslado de todo el grupo se encuentra previsto para el segundo semestre de 2022.




<<El diseño vanguardista y su ubicación fueron claves para la elección de la propuesta de EVPG e Invergestión>> confirma Juan Antonio Calles, CEO del grupo. <<Sin duda, las nuevas oficinas nos permitirán mejorar con nuevos espacios abiertos y funcionales, más salas de reuniones, nuevas zonas de descanso y diferentes sorpresas que serán desveladas a su debido tiempo>> cierra Daniel González, Vicepresidente y socio responsable de negocio.

Más información en [email protected]

Ciberamenazas: el mayor riesgo para las empresas en 2022


El Informe de Riesgos Globales 2022 (The Global Risks Report 2022) analiza las principales alarmas a nivel internacional con carácter anual y las clasifica en función de su impacto e incertidumbre. Este año el catálogo se compone de 37 riesgos globales.  

Uno de los riesgos a considerar es la falta de seguridad cibernética. Nuestra, cada vez mayor, dependencia de sistemas digitales ha convertido la ciberseguridad en uno de los principales desafíos que enfrenta la humanidad y, la falta de esta, en una amenaza que supera la capacidad de las sociedades para prevenirla y gestionarla eficazmente.  A nivel global en el año 2021 ha habido un incremento de un 358% de ciberataques basados en software malicioso (malware) y un 435% en secuestro informático (ransomware). Esto, sumado a los 3 millones de profesionales necesarios en todo el mundo, convierten a las ciberamenazas en un riesgo cada vez más cercano y real. 

Ante estos ciberataques, podemos ayudar a protegerte, para más información sigue este enlace. Y si quieres conocer más información sobre los riesgos globales de 2022, consulta el informe completo