Aniversario Zerolynx: ¡hoy cumplimos 5 años!

¡Hoy estamos de celebración: es el Aniversario de Zerolynx y hacemos 5 años!

Estamos muy orgullosos de todo lo conseguido durante nuestros primeros 5 años de vida. Nada de ello habría sido posible sin el apoyo de todas aquellas personas que confían cada día en nosotros, nuestros clientes, nuestros aliados, y nuestro equipo profesional. ¡Infinitas gracias a todos!

Pero este 2023 no solo será nuestro 5º aniversario Zerolynx... El 5 será un número que marcará el rumbo de nuestro grupo empresarial, y es que en apenas unos meses seremos más de 50 compañeros, lo que ha supuesto un crecimiento del 1.000% desde nuestro inicio en 2018.

Recientemente, superamos también los 7,5 millones de euros en proyectos repartidos entre 5 continentes diferentes, y hace pocas semanas lanzamos en Zerolynx nuestra 5ª línea de servicios, GRC, con la que buscamos ampliar nuestra presencia en el mercado Enterprise y gran PYME. ¿Qué más podemos pedir? 

Y lo queremos celebrar con todos los que han hecho posible este camino y con todos aquellos que quieran formar parte de nuestras próximas aventuras. Por ello, a lo largo de este 2023 realizaremos 5 eventos en diferentes formatos para que podáis disfrutar de un rato junto a nosotros, conocer nuestras nuevas instalaciones de Madrid, y aprender y disfrutar acerca de lo que más nos apasiona y nos une: la ciberseguridad.

El primero de estos eventos para celebrar el Aniversario de Zerolynx lo realizaremos precisamente en conjunto con uno de nuestros aliados, líder del Cuadrante Mágico de Gartner® de 2022. Si queréis saber quién es, y participar en este primer evento, ¡no dejéis de leer nuestro blog! Lo publicaremos en muy pocas semanas.

¡Gracias de nuevo por la confianza depositada en Zerolynx! Por nuestra parte, seguiremos peleando cada día como el primero para hacer de este mundo un lugar más ciberseguro.

¡Un abrazo!

Programar OutRun con ChatGPT: ¿Es posible?

ChatGPT, el sistema de chat basado en el modelo de lenguaje por IA GPT-3 desarrollado por OpenAI, está de moda. En estas últimas semanas se cuentan por miles los ejemplos de pruebas de concepto que circulan por Internet, llevando a este nuevo cerebro digital hasta límites la mar de curiosos. En este artículo, te cuento cómo lo puse a prueba para comprobar si era capaz de programar el videojuego OutRun. 

Como muchos de vosotros, comencé jugando con él para ver si sería capaz de codificar algunos sencillos programas, cosa que resolvió sin mayor dilación:

Más tarde decidí subir algo el nivel, y busqué por Internet alguno de los ejercicios habituales que veíamos en la carrera de informática para comprobar si ChatGPT nos hubiera ayudado a "aprender" mientras estudiábamos programación; y, efectivamente, en cuestión de 5 segundos teníamos nuestro maravilloso código en Java para comparar lexicográficamente cadenas de texto.

Continué con otro ejercicio típico de la universidad, el de la serie de Fibonacci... y sin despeinarse, otro éxito simple para ChatGPT.

Así que decidí dejar la programación un rato para hacerle algunas preguntas de ciberseguridad. De primeras, debió de verme cara de delincuente, porque no vio apropiado enseñarme a evadir AMSI cuando le pregunté... How can I bypass the AMSI Windows protection?

 Ni tan siquiera a deshabilitarlo. Además, me recordó que ya me lo había mencionado antes... :)

Tampoco quiso montar un phishing y me dio algunos consejos de protección:

Así que le pedí algo que sabe hacer bien y sin cuestionar: picar código. Y me desarrolló una Macro de Excel para descargarme archivos de Internet en el equipo.

Eso sí, como buen consejero, ChatGPT me dijo que la descarga de archivos de Internet podría generar riesgos y que debía asegurarme de descargar solo ficheros de confianza y escanear los posibles virus antes de abrirlos.... Está muy bien enseñado.

Dado que me vine arriba con lo de AMSI, le pregunté por algún tema de ciberseguridad más sencillo, y esta vez sí que me enseñó cómo ocultar datos con la clásica técnica de los ADS en NTFS.

Como ya me quedé contento, volví a la carga con la programación para pedirle algo más complejo. ¿Podría programarme un videojuego completo como el OutRun?

Pero no se veía capaz, y me sugirió hacerlo en C++ o Unity. Así que... ¿y con Unity?

Nada, tampoco :'(, así que me conformé con pedirle a otra IA, en este caso a Midjourney, que me generase un fondo de pantalla de un hacker jugando al OutRun.

Como veis, el avance de la IA en estos últimos años ha sido increíble. Proyectos como el de OpenAI están adelantando el futuro a pasos agigantados y automatizando el conocimiento. Pronto veremos softwares de ciberseguridad programados con este tipo de IAs que nos facilitarán mucho nuestro día a día, pero también veremos a los malos utilizando estas tecnologías para sus propósitos no tan éticos. Toca estar al día y seguir al pie de cañón. Zerolynx lo estará. 

P.D. No desisto del OutRun...

Zerolynx acude como expositor a Cyber Security World Madrid

El 26 y 27 de octubre tendrá lugar Cyber Security World Madrid, un encuentro nacional líder en ciberseguridad corporativa e institucional. Durante estos dos días, Ifema se convertirá en un espacio único en el que se presentarán las tendencias, herramientas y servicios más relevantes del sector.

Este año el evento promete reunir a más de 250 empresas expositoras líderes del mercado, más de 250 Keynote Speakers nacionales e internacionales y más de 8000 visitantes.

Desde Zerolynx nos complace anunciar que este año formaremos parte de Cyber Security World Madrid como expositores y esperamos que os animéis a compartirlo con nosotros. Os dejamos toda la información y la agenda, así como un enlace para que podáis obtener vuestra entrada. ¡Os esperamos en el stand A40!

Descifrando DDs de discos cifrados con Bitlocker durante un análisis forense digital

Hola a todos. Al hilo del artículo sobre análisis de intrusiones vía Team Viewer que compartí recientemente en Flu Project, me consultaba un compañero de sector sobre como abordar aquellos casos forenses en los que nos encontrábamos con un disco cifrado con Bitlocker. En estos casos es cierto que el procesado de un clonado dd no es inmediato, y tecnologías como Autopsy no aceptan, al menos sin scripts o plugins, el descifrado de estos discos, por lo que se hace necesario realizar un descifrado previo antes de poder pasárselo a una herramienta de análisis. Por suerte, ya existen herramientas que podemos utilizar, y una de las más usadas es bdemount.

De bdemount no hay mucho que contar. Como su propia descripción indica, mounts a BitLocker Drive Encryption (BDE) encrypted volume. Lo que sí necesitaremos conocer de antemano es, obviamente, la contraseña, y, a continuación, el offset donde comienza la partición. Hay vías para obtener la clave de bitlocker a partir de un dump de memoria con alguna herramienta como Volatility, pero eso lo dejaré para posteriores artículos.

Una vez clonado el disco del forense en formato dd, podremos listar su contenido mediante fdisk -l (el que esté o no cifrado no impide el clonado, por lo que hasta este punto no deberíamos tener mayores inconvenientes): 

Es posible que el disco contenga varias particiones, y la que os interese sea una en concreto, la cifrada. Esto lo podréis averiguar con el propio Autopsy o FTK Imager de forma visual:

O si sois más consoleros, con Hexdump:

Para saber si una partición se encuentra cifrada con Bitlocker podréis mirar los primeros bytes y os encontraréis con la siguiente cadena: "-FVE-FS-". Os dejo con un enlace muy interesante donde se dan muchos detalles técnicos acerca del cifrado de Bitlocker:

https://forensicswiki.xyz/wiki/index.php?title=BitLocker_Disk_Encryption

Con la partición de interés identificada, solo restará montarla de forma descifrada. Para ello, os dejo a continuación los parámetros a utilizar:

sudo bdemount -pCONTRASEÑA -o $((512*OFFSET)) clonadoforense.dd /media/destino

Recordad tener previamente una carpeta con permisos de escritura en destino. 

Ahora podréis trabajar con ella como consideréis. Podréis hacer otro dd de la partición descifrada, podréis analizarla desde, por ejemplo, la versión de Autopsy para Linux, podréis extraer archivos concretos como, por ejemplo, los logs de acceso a determinada aplicación, etc. etc.

Además de bdemount, también podréis utilizar otras herramientas como Dislocker para descifrar una partición cifrada con Bitlocker. Dislocker está disponible entre las herramientas de Kali. Os dejo con un post interesante de Stefan Rows, donde no solo explica como instalar y utilizar Dislocker, sino que también detalla como preparar un script de automontaje:

https://www.ceos3c.com/linux/open-bitlocker-drive-linux/

Finalmente, y por aportaros algo más de lectura sobre descifrado de Bitlocker para esta semana, quería dejaros por aquí un hilo de Twitter con el que me topé gracias a DragonJAR:

Una joya de hilo de Jon Aubrey, en el que muestra como logró descifrar precisamente, con Dislocker, un portátil cifrado, extrayendo la clave a nivel de hardware con un analizador de Saleae:

Con este hilo tendréis lectura para cacharrear un buen rato con algún portátil que tengáis a mano :)

Espero que haya sido de vuestro interés.

¡Saludos!

Zerolynx participará en el #CyberDayRua el próximo 20 de septiembre

El próximo martes 20 de septiembre participaremos desde Zerolynx en el #CyberDay organizado por el IES Benjamín Rúa. Se trata de un evento nacido desde el ámbito de la comunidad educativa para hablar sobre emprendimiento y trabajo en el sector de la ciberseguridad.

El evento tendrá lugar entre las 9:00 y las 13:45, y en el se darán cita numerosos ponentes habituales del sector de los ámbitos público y privado.

Nuestra participación vendrá de la mano de nuestro CEO, Juan Antonio Calles, en la mesa redonda "Retos y oportunidades de emprendimiento en ciberseguridad". En esta mesa tendrá la oportunidad de hablar del nacimiento de nuestro grupo empresarial, Zerolynx, así como de otros de sus proyectos personales anteriores como Zink Security o Flu Project, todo ello con el objetivo de animar a las jóvenes promesas a emprender, y a unirse a un mercado tan activo y de futuro como es el de la ciberseguridad.

Para más información, se puede contactar directamente con el IES Benjamín Rúa a través de sus redes sociales:

• Twitter: @Emprende_Rua
• Instagram: @iesbenjaminrua

No te pierdas nuestro artículo para Revista SIC sobre fugas de información

Ya ha sido publicado el nº 151 de Revista SIC, una de las revistas bimestrales más importantes del sector de la ciberseguridad, donde este mes hemos tenido la oportunidad de contribuir con un artículo dedicado a las fugas de información que investigamos desde el área forense de Zerolynx. El artículo, publicado por nuestro CEO, Juan Antonio Calles, y nuestra Manager responsable de RRHH, Lucía González, trata, con una cuidada sátira, el problema de las fugas de información propiciadas por exempleados. Un tema que en muchas ocasiones pasa desapercibido pero que por desgracia sufren cientos de empresas cada día.  

El artículo puede ser visualizado a partir de la página 128 del número de septiembre, descargable gratuitamente desde el siguiente enlace: https://revistasic.es/sic151/revistasic151.pdf.

Estafas por SMS, un problema que no cesa

Las estafas originadas por el envío de mensajes SMS fraudulentos no dejan de crecer. Cada vez es más habitual que nos lleguen falsas ofertas de empleo, intentos de recuperar nuestras contraseñas del banco o mensajes para retirar un paquete o reprogramar un envío de cualquier tienda online por no encontrarnos en nuestro domicilio.

Si bien es un modus operandi habitual entre la ciberdelincuencia, las constantes filtraciones sufridas por grandes empresas de todo el mundo han ocasionado un repunte sin precedentes. Ya no se libra prácticamente nadie. Antes, sin caer en un phishing web era extraño recibir este tipo de ataques, pero a día de hoy esto ya no es un indicativo porque... ¿Quién no ha registrado su teléfono móvil en la web de un proveedor de luz, agua o gas? ¿Quién no ha dado su teléfono a la compañía de seguros, a la plataforma de TV en streaming o a una red social? Y sí, muchas de ellas han sufrido algún tipo de filtración en los últimos años entre las que se incluían nuestros correos o teléfonos. Por tanto, el delincuente únicamente ha tenido que adquirir estas filtraciones en los habituales foros de venta de datos robados de la Dark Web, o acceder a ellos si han acabado publicados en algún leak público en Internet.

El crecimiento ha sido tal, que desde el equipo forense de Zerolynx hemos estado paralelizando casos constantemente, con cantidades estafadas por persona de entre 10.000 € y 150.000 € (y cantidades mucho mayores, pero en otros casos forenses relacionados especialmente con el ransomware, y de los que os hablaremos en posteriores artículos). Estos robos generalmente son realizados por mulas mediante retiros de efectivo en cajeros, halcash y compras online. En varios de ellos hemos dado con el origen de la estafa, pero que por desgracia no dejaban de ser saltos intermedios sin una vía de estudio por la que continuar, al menos, por nuestras competencias como empresa privada. Por ejemplo, en uno de los casos dimos con un varón en Galicia que vendía artículos en Wallapop y que sin saberlo estaba distribuyendo este tipo de mensajes fraudulentos por un malware que tenía instalado en su terminal móvil Android, en otro de los casos dimos con una mujer de nombre francés de la zona de Saint-Denis, en Francia y en otro dimos con una persona de Mauritania que enviaba estos mensajes desde Marruecos. Toda esta información siempre se la facilitamos a la justicia en nuestros informes forenses (o de investigación privada, según proceda) para que puedan continuar ellos el trabajo mediante, principalmente, requerimientos judiciales. 

Recuperar el dinero no suele ser una posibilidad, al delincuente le bastan unos minutos para coger el dinero y desaparecer, por lo que ya es cuestión de realizar los trámites que correspondan con los seguros que tengamos contratados, bancos y proveedores de tarjetas. Sin embargo, muchos clientes nos están pidiendo informes periciales ya no solo para anexarlos en las denuncias ante la justicia, sino para presentarlos precisamente a sus bancos y aseguradoras con el fin de evidenciar la estafa, y que puedan resarcirles ante esa pérdida.

En Zerolynx contamos con material forense especializado para atender prácticamente cualquier tipo de investigación sobre dispositivos electrónicos, y los móviles no son una salvedad. En cuestión de horas somos capaces de clonar y extraer con todas las garantías forenses y de cadena de custodia, toda la información, para que puedas continuar utilizando el dispositivo en el menor tiempo posible, mientras nosotros continuamos con nuestro trabajo de investigación.

Si has sufrido una estafa de este tipo y deseas denunciar (cosa que siempre recomendamos), o deseas presentar un informe forense digital ante un tercero, como pueda ser tu banco, o tu aseguradora, no dudes en contactarnos a través del correo o teléfono indicados en nuestro sitio web.

Ciberamenazas: el mayor riesgo para las empresas en 2022

El Informe de Riesgos Globales 2022 (The Global Risks Report 2022) analiza las principales alarmas a nivel internacional con carácter anual y las clasifica en función de su impacto e incertidumbre. Este año el catálogo se compone de 37 riesgos globales.  

Uno de los riesgos a considerar es la falta de seguridad cibernética. Nuestra, cada vez mayor, dependencia de sistemas digitales ha convertido la ciberseguridad en uno de los principales desafíos que enfrenta la humanidad y, la falta de esta, en una amenaza que supera la capacidad de las sociedades para prevenirla y gestionarla eficazmente.  A nivel global en el año 2021 ha habido un incremento de un 358% de ciberataques basados en software malicioso (malware) y un 435% en secuestro informático (ransomware). Esto, sumado a los 3 millones de profesionales necesarios en todo el mundo, convierten a las ciberamenazas en un riesgo cada vez más cercano y real. 

Ante estos ciberataques, podemos ayudar a protegerte, para más información sigue este enlace. Y si quieres conocer más información sobre los riesgos globales de 2022, consulta el informe completo. 

Undécimo aniversario de Flu Project

Hoy Flu Project celebra su undécimo aniversario. Hace 11 años, Pablo González y nuestro CEO, Juan Antonio Calles, fundaron este medio de noticias de ciberseguridad que trata tanto hacking como inteligencia y forense digital. Durante sus primeros años siempre tuvo mucho tráfico de visitas pero lo que realmente da nombre a este exitoso blog son sus herramientas, como "Liberad a WiFi", que con más de 10 millones de descargas se convirtió en referencia en el crackeo de Redes Wireless entre 2011 y 2013, o "Anubis”, que desde 2011 ha sido una de las herramientas de hacking más utilizadas para labores de Footprint y Fingerprint, y sus libros, como "Powershell: La navaja suiza de los administradores de sistemas" de Pablo González, "La biblia del Footprinting" de Juan Antonio Calles o "Un forense llevado a Juicio", de Juan Luis G. Rambla, entre otros. 

De esta forma, Flu Project se ha posicionado como uno de los blogs de ciberseguridad de referencia en el sector que cuenta con más de 10 millones de visitas y 2000 artículos especializados. Pero, como sus propios fundadores dicen, estos números no serían posibles sin todos los seguidores, colaboradores, amigos y profesionales que han participado en el proyecto y han conseguido convertirlo en una gran familia. 

¡Enhorabuena! Os deseamos muchos más años de crecimiento. 

Zerolynx participa en las XV Jornadas STIC CCN-CERT

Durante los días 30 de noviembre al 3 de diciembre tendrán lugar las XV Jornadas STIC CCN-CERT, el principal encuentro de ciberseguridad en nuestro país. Bajo el lema “Ciberseguridad 360º. Identidad y control del dato” las jornadas, que ya son un referente a nivel nacional e internacional, prometen aportar una visión global e integral del sector que no dejará indiferente a nadie. 

Desde Zerolynx nos complace anunciar con orgullo que nuestro compañero, Jorge Escabias, participará como ponente en el evento. El taller que impartirá tendrá como objetivo mostrar a los asistentes el proceso a seguir para crear y automatizar el despliegue de un entorno de pruebas de Directorio Activo. 

Jorge Escabias, auditor de ciberseguridad senior en Zerolynx, nos cuenta “Partiendo de una serie de máquinas virtuales ya creadas o de plantillas predefinidas, los asistentes podrán conocer cómo implementar este despliegue mediante el uso de herramientas como Terraform y Ansible, así como, los recursos necesarios para ello” 

Este año contará tanto con la presencialidad como con la retransmisión online de todo el evento al que podéis inscribiros desde su página oficial.  Os dejamos el enlace con toda la información, ¡no os lo podéis perder!

Mes de la Ciberseguridad: Tips Zerolynx Capítulo 4

¡Muy buenas!

Bienvenidos al cuarto y último video de tips de seguridad de Zerolynx. Hoy, nuestro compañero Luis Vázquez analista senior de ciberseguridad nos trae un único consejo, pero de una gran importancia.

Si nos seguís por redes sociales, nos habréis escuchado decir muchísimas veces que las contraseñas que usamos en nuestro día a día deben ser robustas, usando la mayor cantidad posible de caracteres especiales, mayúsculas, minúsculas y números. Pero claro, ¿quién se puede acordar de contraseñas tan largas? Tradicionalmente hemos usado los post-it para escribir estas contraseñas tan difíciles de recordar, pero hoy en día tenemos claro que esta no es una buena opción. Para evitar el uso de estos soportes, los navegadores actuales traen gestores de contraseñas incorporados que introducen automáticamente las credenciales necesarias cuando accedemos al login de una página web. Y, claro, parece evidente que estos sistemas son más seguros que un post-it, pero… ¿podemos confiar en ellos?

Si accedemos al gestor de contraseñas de un Google Chrome, por ejemplo. podremos comprobar que, si queremos ver las credenciales que usamos para acceder a algún sitio web, tenemos que introducir nuestra contraseña de Windows, evitando que un atacante pueda ver las contraseñas si tuviera acceso a nuestro equipo de alguna forma.

Ahora bien, ¿existe alguna forma de obtener estas credenciales en claro sin conocer la contraseña? Por desgracia, sí, si tienes acceso de Administrador al equipo. Las credenciales del gestor de Chrome se almacenan en una base de datos cifrada con una clave AES llamada “Stage Key”, que a su vez se encuentra cifrada mediante la API de protección de datos de Windows (conocida como DPAPI). Esta API cifra utilizando una clave única por cada usuario del sistema llamada “DPAPI Master Key”, que puede ser obtenida con una herramienta muy conocida en el mundo hacker llamada Mimikatz si tenemos privilegios de Administrador en el equipo. Una vez se obtenga esta clave, podremos descifrar la Stage Key de Chrome y, con ello, la base de datos de credenciales almacenadas.

Los gestores de contraseñas de los navegadores son más fiables que un post-it, pero ni mucho menos son totalmente seguros. Ahora bien, ¿qué podemos considerar seguro? Desde Zerolynx recomendamos el uso de Keepass, una herramienta Open Source que cifra nuestra base de datos de credenciales con una contraseña que sólo nosotros conoceremos. En nuestra mano queda que esta contraseña sea robusta y no quede escrita en ningún sitio.

Y esto es todo. Esperamos sinceramente que estos cuatro vídeos os hayan servido para mejorar vuestra seguridad. No dudéis en seguirnos en redes sociales y seguir aprendiendo con nosotros. ¡Muchas gracias y hasta pronto!

Zerolynx obtiene la certificación ISO 27001 acreditando sus máximos niveles de seguridad

El pasado mes de julio, Zerolynx obtuvo la certificación ISO/IEC 27001:2013, acreditando de esta manera la alta calidad de su Sistema de Gestión de Seguridad de la Información. Esta certificación constata el compromiso de la firma por ofrecer a sus clientes los mayores niveles de seguridad, acreditando bajo dicho estándar la totalidad de sus servicios.

El proceso de diseño e implementación del SGSI fue llevado a cabo por el equipo de ciberdefensa de Zerolynx. Tras dicho proceso, que dio inicio en 2020, tuvieron lugar dos auditorías llevadas a cabo por la auditora BSI, que culminaron con la entrega del certificado el pasado 27 de julio de 2021.

British Standards Institution (BSI Group), es una de las instituciones más prestigiosas a nivel internacional para la auditoría y certificación de las normas de estandarización de procesos. Su presencia mundial en 193 países y sus más de 84.000 clientes, hacen del grupo con sede en Londres, el socio ideal para llevar a cabo los procesos de certificación.

<<La certificación ISO 27001 de nuestro SGSI se suma a la certificación de nuestro Sistema de Gestión del I+D+i, acreditado por EQA también en este 2021 y que derivó en el Sello PYME Innovadora. Estas certificaciones nos permiten refrendar el máximo compromiso que tenemos con nuestros clientes desde nuestro primer día>>, confirma Juan Antonio Calles, CEO de Zerolynx. <<Cada día, Zerolynx continúa creciendo y avalando su buen hacer, con un catálogo de servicios innovador y alineado con las necesidades del mercado, que tiene como objeto dar una respuesta óptima ante el difícil reto que suponen los riesgos cyber>>, finaliza Daniel González, Vicepresidente y socio responsable de negocio.

Mes de la ciberseguridad: Tips Zerolynx Capítulo 1

¡Muy buenas!

Bienvenidos al primer video de tips con motivo del mes de la ciberseguridad de Zerolynx. Como la ciberseguridad empieza desde los compañeros que no hacen seguridad, nuestro compañero Eryk, responsable de Administración, nos trae una serie de consejos que ha aprendido desde su entrada a Zerolynx y que ha comenzado a aplicar en su día a día.

¿Sabes que un cibercriminal podría tardar en averiguar una contraseña menos de un segundo en algunos casos? No es de extrañar teniendo en cuenta que entre las contraseñas más usadas a nivel mundial se encuentran algunas como: 1234, la palabra “contraseña” en inglés, qwerty, aaaaaa, 11111, entre muchas otras, que obviamente no son nada seguras.

Ahora la pregunta es, ¿cómo creamos una contraseña segura? Todo empieza con un cambio de paradigma, dejando a un lado las palabras y comenzando a utilizar frases u oraciones que, a poder ser, superen los 12 caracteres y entre los cuales encontremos mayúsculas, minúsculas, números y, preferiblemente, símbolos. Esto permitirá construir contraseñas tan seguras como “VendoOpelCorsa:300€”, cuya complejidad será considerablemente mayor que, por ejemplo, el nombre de nuestro perro, nuestra comida favorita, el DNI o cualquier otra fecha señalada que sea fácilmente identificable.

Generalmente utilizamos muchos servicios que requieren un acceso con usuario y contraseña, ¿cómo se pueden recordar todas estas las contraseñas? Hay que evitar anotarlas en una agenda, en un post-it o dejarlas registradas en nuestros navegadores web, pues dependiendo del caso podrían quedar a la vista y se podrían perder fácilmente. En estos casos es conveniente recurrir a los gestores de contraseñas, como por ejemplo KeePass o LastPass, que, bien configurados, nos permitirán almacenar nuestras credenciales en una base de datos protegida por una contraseña MAESTRA, la cual deberá ser tan segura (o más) que todas las anteriores juntas. No debemos olvidar que esta última será la encargada de proteger toda nuestra vida digital.

Por último, y no menos importante, otra recomendación es que siempre que sea posible se haga uso de los dobles factores de autenticación o también conocidos como 2FA. El doble factor consiste en una segunda prueba, adicional a la contraseña que suele ser la primera, de que realmente somos nosotros los que intentamos acceder a nuestra cuenta y no cualquier otro curioso. En este sentido, llevan tiempo utilizándose para las operativas bancarias, con las claves OTP, es decir, One Time Password, que como su nombre indica son códigos temporales de un único uso, de entre 6 y 8 dígitos, que envían algunas aplicaciones a nuestro móvil, correo electrónico o aplicación de autenticación para corroborar nuestra identidad. Algunos de ejemplos de aplicaciones que permiten activar este segundo factor de autenticación son Google Authenticator y Microsoft Authenticator.

Esperamos que estas recomendaciones os hayan sido de utilidad y os permitan disfrutar de internet de una manera mucho más segura. 

Muchas gracias y… ¡nos vemos pronto!  

Zerolynx patrocinador de Ciber Todos ISACA 2021

Un año más, ISACA Madrid participa en el Mes Europeo de la Ciberseguridad, organizando el congreso Ciber Todos “La ciberseguridad: una responsabilidad de todos” con la colaboración y participación de las principales entidades del sector, como son el Departamento de Seguridad Nacional (DSN), el Centro Criptológico Nacional (CCN-CERT), el Mando Conjunto del Ciberespacio (MCCE), el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Nacional para la Protección de las Infraestructuras y la Ciberseguridad (CNPIC), la Guardia Civil, la Policía Nacional, y otros organismos relevantes, además de empresas y universidades.

En Zerolynx hemos querido unirnos a este importante evento como patrocinadores silver, tomando así una actitud proactiva en la concienciación sobre la importancia de la seguridad de las redes y la información. También participaremos en el congreso, en la mesa redonda “Hack & Furious”, representados por nuestro CEO Juan Antonio Calles, en la cual se debatirá sobre la evolución del mundo ciber en los últimos años. La mesa redonda tendrá lugar durante la primera jornada del congreso el día 7 de octubre.

El congreso se celebrará de nuevo, debido al COVID, en formato ONLINE, a lo largo de los 4 jueves de octubre (7, 14, 21 y 28) en horario de 18:00 a 20:00h. ¡No lo dudes e inscríbete!

¡Ganamos el premio Ciudad de Móstoles 2021! #PremiosCiudadDeMóstoles

Anoche tuvo lugar la XXX Gala de los Premios Ciudad de Móstoles, un evento con una gran historia en el municipio y que, cada año, trata de reconocer el buen hacer de muchos empresarios locales.

Este año hemos tenido el orgullo de recibir el Premio a la Empresa Emprendedora. El galardón fue recogido por nuestro CEO, Juan Antonio Calles, que tuvo el honor de dedicar unas palabras a todos los asistentes.

Queremos dar las gracias al jurado en nombre de todo el equipo de Zerolynx, por haber considerado que éramos el mejor ejemplo posible para representar la empleabilidad de la localidad en este 2021. Este premio tiene un valor muy especial para nosotros. En primer lugar, es un premio que viene de nuestra ciudad, la que nos vio nacer y crecer, lo cual nos llena de un gran orgullo. En segundo lugar, este era el último año que podíamos recibirlo porque nuestro crecimiento exponencial, que ya se acerca al 1.000% desde nuestra fundación, nos impedirá ser candidatos a él a partir de 2022. Y, en tercer lugar, por lo que representa, el esfuerzo de un equipo que lleva casi 4 años remando unido, tratando de dar lo mejor de sí cada día para asegurar a todos nuestros clientes, pese a los contratiempos de iniciar un negocio en época de crisis y pandemia a los que, como muchas otras empresas, no hemos sido ajenos.

Las empresas premiadas recibimos un galardón cargado de simbolismo, una obra de arte inclusiva fabricada en cerámica, madera y tela, llevada a cabo por el Colectivo C4R y fabricada por 5 personas con diversidad funcional de la Asociación AMÁS. Para la realización del galardón, C4R ha recogido telas de uniformes de policía, sanitarios, bomberos, Protección Civil, Cruz Roja y también del comercio local, que ha estado representado por la tela de los uniformes de los panaderos. Estos retazos de tela, tejida en forma de flores, ponen el broche a un premio que simboliza el agradecimiento a todos los colectivos que no pararon durante la pandemia para que otros pudiésemos estar protegidos en nuestros hogares. 

El premio, además de su alto valor simbólico, lleva unido una dotación de 2.000 €, la cual, desde Zerolynx hemos considerado que no podría tener mejor destino que aquellas asociaciones que, sin ánimo de lucro, están ayudando a la integración de las personas con capacidades especiales. Así mismo, desde Zerolynx hemos decidido duplicar esa cantidad y destinar otros 2.000 € más en agradecimiento a la labor realizada por otras asociaciones, muchas veces sin visibilidad, que también contribuyen a paliar y mejorar la calidad de vida de personas que sufren diferentes enfermedades.

Más información en: https://www.telemadrid.es/noticias/madrid/XXX-Premios-Ciudad-Mostoles-ganadores-0-2382961693--20211001014103.html

Zerolynx recibe el sello PYME INNOVADORA

 

Hoy, 19 de julio de 2021, el Ministerio de Ciencia e Innovación ha otorgado a Zerolynx el sello PYME INNOVADORA. 

El Sello Pyme Innovadora es un certificado que otorga el Ministerio a aquellas empresas que cumplen con una serie de requisitos en materia de I+D+i y que disponen de un carácter innovador. Tras un proceso que ha durado tres años y que ha finalizado con la auditoría realizada por la entidad de certificación EQA, Zerolynx ha acreditado su Sistema de Gestión del I+D, certificando así la calidad de todas las soluciones acuñadas bajo su área de innovación. <<Este certificado acredita todo el esfuerzo realizado por el equipo de Zerolynx en pro de mejorar la ciberseguridad y contribuir a la innovación>> confirma Daniel González, Vicepresidente del grupo y socio responsable de negocio. <<Certificar nuestro Sistema de Gestión del I+D nos permitirá seguir creciendo y ofreciendo soluciones disruptivas a nuestros clientes, apostando por la investigación de nuevas tecnologías para llevar al mercado>>. 

Más información en: https://sede.micinn.gob.es/pyiINFO/buscarPyi.mec?&nif=B88028931

Publicamos nuestro paper "Ciberseguridad en Movilidad", presentado en el XXI Congreso Español ITS (#ITSES2021)

RESUMEN 

Los vehículos ITS forman parte de un complejo ecosistema de tecnologías, lo que supone una amplia superficie de ataque en la que se puede propiciar un incidente de ciberseguridad, afectando no solo a la protección de datos, sino también a la seguridad vial. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad.

INTRODUCCIÓN

“Nos encontramos en la cúspide del cambio de modelo de transporte más rápido, profundo y consecuente de la historia” (WG 5 CCAM Platform, 2020)(p. 3). Esta afirmación define perfectamente el momento histórico en el que se encuentra actualmente el sector de la movilidad. La incorporación de tecnologías de conectividad a los sistemas del vehículo, la aparición de los vehículos autónomos, el uso de motores eléctricos propulsados por baterías de alta capacidad, y el nacimiento del nuevo modelo de negocio transporte como servicio, han cambiado completamente el paradigma establecido hasta el momento. Los fabricantes ya no se centran únicamente en diseñar vehículos altamente sofisticados en su mecánica y estética, sino en que estos además dispongan de nuevas tecnologías de conectividad con objetivo de aumentar la protección y el confort de sus ocupantes. Además, su incorporación, permite a los vehículos ser partícipes en nuevos modelos de transporte en los cuales cada participante intercambia con la infraestructura y otros usuarios de la vía la información sobre su entorno que ha captado mediante su conjunto de sensores, facilitando una movilidad más segura, eficiente y ecológica.

Figura 1: Infografía sobre activos atacables de un vehículo moderno

La incorporación de nuevas tecnologías de conectividad y automatización a un sistema electromecánico orientado al transporte, supone un cambio radical en la composición de los sistemas embarcados y un significante aumento de su complejidad. Su incorporación, implica la aparición de una nueva dimensión tecnológica que debe ser segura desde su diseño, para que los posibles nuevos vectores de ataque no afecten a la protección de los pasajeros y usuarios de las vías por las que circulen. Como se puede ver en la infografía de ejemplo mostrada en la Figura 1, un vehículo actual dispone de numerosas utilidades que podrían permitir a un atacante actuar sobre el vehículo en caso de que una de ellas tuviese alguna vulnerabilidad explotable.

El gran impacto y repercusión causado por las nuevas tecnologías de conectividad y automatización en el mercado de la movilidad, ha derivado en la propuesta de nuevas regulaciones, estándares y recomendaciones por parte de gobiernos, fabricantes de equipamiento original y otras agrupaciones de interesados, para adaptarse a las circunstancias impuestas por el avance de la tecnología y asegurar que los nuevos vehículos son diseñados desde un principio con un enfoque hacia la seguridad informática de sus sistemas. Por destacar los documentos más relevantes orientados a automoción, se encuentran, entre otros, la regulación UNECE R155, R156, la norma ISO/SAE 21434 y la recomendación consolidada SAE J3061.

Por otra parte, acompañando a la publicación de nueva normativa y regulación, surgen proyectos como Open Mobility Security Project (OMSP) (Zerolynx, 2020), proyecto de I+D+i de Zerolynx que tiene como objetivo establecer un marco de trabajo enfocado en la verificación y validación de la ciberseguridad de todo tipo de vehículos, mediante la cual se facilita el cumplimiento regulador en un mercado exento de herramientas similares. OMSP será objeto del discurso en el apartado de resolución.

PLANTEAMIENTO

Problemática de la conectividad ante la ciberseguridad

Desde los inicios de la automoción hasta hoy, la preocupación por la protección de los ocupantes del vehículo ha ido en aumento, convirtiéndose a partir del siglo XXI en una de las principales preocupaciones durante el diseño del vehículo. Con la aparición de los vehículos conectados, se abre un nuevo frente que afecta a la protección de los ocupantes de forma indirecta, la seguridad informática de los sistemas del vehículo conectado.

Los vehículos autónomos y conectados generan, almacenan y operan grandes cantidades de datos provenientes de sus sensores. Según McKinsey (McKinsey, 2014), se estima que los vehículos autónomos y conectados generarán hasta 25GB de datos por hora. Gracias a la conectividad ampliada, en un ecosistema V2X los datos de interés para otros usuarios de la vía son compartidos a través de la red, conformada por múltiples actores que se ven beneficiados. En la Figura 2 se muestra un ejemplo de un posible escenario de comunicación ilustrado por ETSI.

Figura 2: Ilustración de escenario ITS (ETSI, 2010)(p.12)

Sin la implantación adecuada de seguridad en su diseño, operación y mantenimiento, los vehículos conectados y su ecosistema pueden quedar expuestos a ataques que impacten severamente en la protección y privacidad de sus usuarios. Además, se deben de tener en cuenta todo el entorno y actores partícipes en cada fase de su ciclo de vida. Según CCAM Platform (WG 5 CCAM Platform, 2020) "La exposición de un vehículo a redes V2X, puede suponer ataques informáticos", algo esperable de un entorno hiperconectado basado en tecnologías de reciente creación que tienen por objetivo implantarse en el día a día de las personas, y por lo tanto, esto se convierte en un problema que afecta a toda la sociedad, tal y como comparte la antigua CEO de General Motors, Mary Barra, en una entrevista realizada en el año 2016, (MIT Technology Review, 2016): “Un ciber-incidente es un problema para todos los fabricantes de vehículos del mundo (…). Es una cuestión de seguridad pública”. 

En la Figura 3 se muestra un ejemplo de la superficie de ataque de un vehículo moderno en función de su estado y perspectiva del atacante.

Figura 3: Infografía sobre la superficie de ataque de un vehículo conectado.

Compromiso entre Safety y Security

Para continuar el planteamiento del problema expuesto, es necesario tener claro el significado de los conceptos protección ante riesgos y protección ante amenazas, por lo que se hace uso de las definiciones aportadas por el documento de recomendaciones SAE J3061 (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17):

• Seguridad mediante protección ante riesgos: Es el estado de un sistema que no causa daño a la vida, propiedad, o entorno.
• Seguridad mediante protección ante amenazas: Es el estado de un sistema que no permite la explotación de vulnerabilidades que conllevan a pérdidas, ya sean financieras, operativas, de privacidad o de protección.
• Sistema crítico ante riesgos de integridad física: Sistema que puede causar daño a la vida, propiedad, o entorno si el sistema no se comporta según lo previsto o lo deseado.
• Sistema crítico ante amenazas informáticas: Sistema que puede conllevar a pérdidas financieras, operativas, de privacidad, o de protección ante riesgos si es comprometido a través de una vulnerabilidad presente en el sistema.

Cabe destacar que en la Lengua Castellana no existe una traducción exclusiva para los términos safety y security, ambos son traducidos directamente por "seguridad", lo que habitualmente conlleva a confusión a la hora de referirse a alguno de ellos. En este documento se ha optado por traducir safety como "protección ante riesgos" y security por "protección ante amenazas". En lo que respecta a la relación entre los dos dominios, es importante clarificar qué influencia tienen el uno sobre el otro. Según se expone en la guía (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17): "Todos los sistemas críticos ante riesgos de integridad física son sistemas críticos ante amenazas informáticas, ya que un ciber-ataque puede afectar directa o indirectamente a la integridad del sistema conllevando a potenciales pérdidas de protección". Por otra parte, expone: “No todos los sistemas críticos ante amenazas informáticas son sistemas críticos ante riesgos de integridad física, ya que un ciber-ataque puede resultar en pérdidas que no afecten a la protección, como por ejemplo pérdidas de privacidad, operativas o financieras”.

Figura 4:Relación entre sistemas críticos respecto protección y ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17)

Verificación y validación de la ciberseguridad de vehículos

Tras estudiar los conceptos safety y security así como su relación de efecto, a continuación se centra el discurso en los requisitos de verificación y validación establecidos a nivel normativo y regulador aplicados al sector de la automoción. 

Mediante un estudio del marco normativo y legal aplicable, se puede comprobar como tanto la regulación de UNECE R155, como el borrador de la norma ISO/SAE 21434, exponen la obligación de comprobar de forma práctica las medidas de ciberseguridad establecidas como mitigación ante los resultados del análisis de riesgos realizado durante la fase de concepto del producto. Concretamente, en la regulación UNECE R155, se exponen los siguientes extractos (UNECE WP.29, 2020):(UNECE WP.29, 2020):

Así mismo, se expone en el Anexo 5 un amplio listado de amenazas y mitigaciones que deben ser incluidas en el análisis de riesgos y que por lo tanto deben ser verificadas mediante testing por las autoridades competentes. En la siguiente figura se muestra un extracto del anexo mencionado.

Figura 5: Listado de vulnerabilidades o métodos de ataque relativos a amenazas (UNECE WP.29, 2020) Fragmento de la Tabla 1 del Anexo 5.

Como se puede apreciar en el texto comentado, la evaluación de las medidas de ciberseguridad es un requisito obligatorio y excluyente ante la obtención de la certificación del producto. Específicamente, se indica un conjunto de requisitos extenso y complejo que debe ser verificado mediante testing, pero como es de esperar en una regulación, no se recomienda ningún tipo de metodología que facilite, pero a su vez, sí se enuncia que es requisito para los servicios técnicos disponer de procedimientos implementados que permitan una evaluación uniforme acorde a la regulación.

La sección del documento SAE J3061 dedicada a la fase de verificación y validación de requisitos técnicos de Ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(pp. 49-50), establece que para su desarrollo se debe hacer uso de metodologías de comprobación de vulnerabilidades, de fuzz testing y de la realización de tests de intrusión aplicables en función del alcance deseado, de tal forma que sea posible verificar los requisitos técnicos de ciberseguridad y finalmente validar el producto en este aspecto. Profundizando en la definición del concepto, según Pablo González, destacado investigador español (González, 2015)(p. 17), "Un test de intrusión es un ejercicio que tiene como objetivo fundamental detectar, investigar y explorar las vulnerabilidades existentes en un sistema de interés", el cual "verificará y evaluará la seguridad". Su objetivo según SAE, es proporcionar una aproximación realista a como un hacker intentaría infiltrarse explotando las vulnerabilidades presentes en el sistema, pudiendo así comprobar la efectividad de los controles de Ciberseguridad aplicados. Además, añade que la desventaja de la realización de tests de intrusión es su aplicación en fases tardías del ciclo de vida del producto, ya que requiere hacer uso de una implementación completa del sistema, y por lo tanto, cualquier vulnerabilidad detectada en este momento causará un gran coste de corrección sobre las fases previas. 

 

RESOLUCIÓN

Open Mobility Security Project (OMSP)

Desde el Área de Ciberseguridad en Movilidad de Zerolynx, conscientes del problema que supone el aumento de conectividad en los vehículos y la obligación al cumplimiento de la regulación y normativa, sumado a la carencia de metodologías y herramientas que faciliten la evaluación de la ciberseguridad de los vehículos de nueva generación, se decide crear OMSP, un proyecto abierto a la comunidad, basado en la experiencia y la investigación, que tiene como objetivo establecerse como marco de trabajo de referencia definiendo el conjunto de procesos necesarios para evaluar de forma ágil y sencilla la ciberseguridad de cualquier tipo de vehículo.

Actualmente, OMSP es un proyecto vivo que continúa desarrollándose hacia su segunda versión, en donde el equipo de ingenieros de I+D+i del Área de Ciberseguridad en Movilidad adapta el marco de trabajo a los requisitos establecidos por la regulación e integra nuevas técnicas de hacking asociadas a las tecnologías más recientes. Su documentación se encuentra publicada en la plataforma GitHub en forma de repositorio (Zerolynx, 2020), donde en breve se publicará la nueva versión actualizada. Además, OMSP cuenta con respaldo académico, ya que su desarrollo forma parte de un doctorado industrial en ciberseguridad desarrollado con el respaldo de la Universidad Rey Juan Carlos. 

Fundamentos de la metodología

A continuación, se enuncian los fundamentos de la metodología, y a su vez se distinguen las ventajas y motivos por los cuales se propone su uso en el mercado:

• Proceso estructurado: El marco de trabajo propuesto está compuesto por una serie de fases y actividades organizadas en un orden lógico, definidas con claridad y sencillez, lo que permite una rápida comprensión de la metodología y su posterior puesta en práctica, así como una gran trazabilidad de las actividades realizadas.
• Desarrollo continuo: Para dar soporte al cumplimiento normativo, OMSP se desarrolla de forma continua e iterativa para mantenerse actualizado al complejo estado del arte, proporcionando ante cada novedad una solución correspondiente.
• Accesibilidad: OMSP ha sido diseñado para que sea posible su uso de forma aislada o acompañada de los inputs y outputs correspondientes a la aplicación de otras metodologías. Por ejemplo, durante su uso se podría emplear la información generada de un análisis de riesgos del vehículo en cuestión. Además, su enfoque puede ser de caja negra, gris o blanca, en función del nivel de información disponible sobre el vehículo a evaluar.
• Compatibilidad: La metodología ha sido diseñada de tal forma que permite evaluar cualquier tipo de vehículo, ya que de forma independiente estos se ven descompuestos en sus unidades mínimas de evaluación denominadas activos, como pueden ser actuadores, sensores y datos, y se contextualizan dentro del entorno de operación del vehículo.
• Cumplimiento: Partiendo de su proceso estructurado, el marco de trabajo establece los puntos de generación de evidencias requeridos para el cumplimiento normativo y regulador.
• Open Source: El hecho de que sea un proyecto público supone una búsqueda de colaboración activa por parte de la comunidad. Cualquier interesado con conocimientos en la materia puede ser partícipe proporcionando mejoras, correcciones, difusión u otras actividades de interés. De esta forma, se pretende una mayor difusión e integración en el mercado, haciendo partícipes a múltiples actores y difundiendo el conocimiento de forma abierta.

Estructura de procesos

Tras conocer el origen y los fundamentos de la metodología, a continuación, se centra el discurso en torno a una breve descripción de los procesos y actividades que la conforman. La Figura 6 representa gráficamente su flujo y composición. El proceso comienza mediante la definición del objetivo de evaluación y su alcance. Una vez se disponga de la caracterización del producto sobre el que se trabajará, se realiza una identificación de los activos de interés que lo componen y que serán objeto de evaluación durante las siguientes fases. Una vez seleccionados, los activos se estudian en función de su naturaleza y se ponen en su contexto de operación para poder realizar una identificación de los escenarios de ataque y amenazas que pueden afectarles. A continuación, partiendo del resultado obtenido en la fase anterior, se genera una selección de controles técnicos a aplicar sobre el vehículo. Llegado este punto y disponiendo de un conocimiento profundo sobre el vehículo en el plano teórico, se realiza un análisis de arquitectura, en el cual se valora la disposición e interacción de los activos dentro de la arquitectura eléctrico-electrónica del vehículo. Por último, se realiza la ejecución de controles técnicos aplicables, concluyendo con la evaluación de los resultados obtenidos y la generación del correspondiente informe final.

Figura 6: Estructura de procesos y actividades propuestas

CONCLUSIONES

• El aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que deriva en una mayor exposición ante ciberataques que produzcan de forma colateral accidentes de tráfico o alteren la circulación en las vías. Entidades gubernamentales y otros stakeholders tratan de dar respuesta a la necesidad de disponer de vehículos ciberseguros mediante la generación e implantación de regulaciones y normas específicas para el sector de la movilidad, lo que facilitará la llegada de la ciberseguridad a la industria de la automoción y por consecuencia a una movilidad más segura.
• Los fabricantes de vehículos y sus proveedores deben mejorar la concienciación, fomentando la cultura de ciberseguridad las actividades de la organización. Además, deben adoptar un ciclo de vida de producto que incluya la ciberseguridad desde el diseño, de tal forma que sus vehículos dispongan de un nivel de seguridad elevado y se eviten vulnerabilidades en fases tardías del desarrollo o producción.
• El reglamento número 155 de UNECE establece la obligatoriedad de realizar un proceso de verificación y validación de las medidas de ciberseguridad implementadas en los vehículos para mitigar el riesgo de las amenazas identificadas como resultado del análisis de riesgo previamente realizado. Para ello, se realizarán pruebas de fuzz testing y pentesting mediante las cuales se simularán los posibles ataques que se realizarían ante cada caso de riesgo. 
• Se destaca la afirmación que realiza SAE (p. 22) y que los autores de este documento comparten: "Ningún sistema puede garantizar ser 100% seguro, pero la aplicación de un proceso de desarrollo de producto bien definido y estructurado reduce la posibilidad de la aparición de fallos de seguridad", destacando entre ello la importancia de la aplicación de un preciso sistema de validación que verifique y valide las medidas de ciberseguridad implementadas en los vehículos, como es en este caso OMSP.
• Open Mobility Security Project (OMSP) es una metodología desarrollada por Zerolynx y abierta a la comunidad que tiene como objetivo establecer el marco de trabajo de referencia ante la evaluación de la ciberseguridad de cualquier tipo de vehículo. Es aplicable durante todas las fases del desarrollo de producto y facilita el cumplimiento normativo. Su contenido es accesible públicamente y se puede participar en su desarrollo como colaborador.

BIBLIOGRAFÍA

• ETSI. (2010). ETSI EN 302 655 V1.1.1.
• González, P. (2015). Ethical Hacking: Teoría y práctica para la realización de un pentesting (Primera). 0xWORD. https://0xword.com/es/libros/65-ethical-hacking-teoria-y-practica-para-la-realizacion-de-un-pentesting.html
• McKinsey. (2014, September 1). What’s driving the connected car. https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/whats-driving-the-connected-car
• MIT Technology Review. (2016). GM CEO: Car Hacking Will Become a Public Safety Issue. https://www.technologyreview.com/2016/07/22/158706/gm-ceo-car-hacking-will-become-a-public-safety-issue/
• SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 128 (2016). https://doi.org/https://doi.org/10.4271/J3061_201601
• UNECE WP.29. (2020). WP.29/R155: Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system. https://unece.org/sites/default/files/2021-03/R155e.pdf
• WG 5 CCAM Platform. (2020). Cybersecurity and access to in-vehicle data linked to CCAM. 1–11.
• Zerolynx. (2020). Open Mobility Security Project. https://github.com/zerolynx/omsp

 

ANTE CUALQUIER NECESIDAD DE CIBERSEGURIDAD EN EL SECTOR DE LA MOVILIDAD, PUEDE PONERSE EN CONTACTO CON ZEROLYNX EN EL EMAIL [email protected]