¿Sabes qué es un pentesting y como ayuda a tu empresa?

Si no has oído hablar antes de ello, quizá te suene a chino este término, pero es una excelente manera de verificar el estado de seguridad real de la empresa e identificar las vulnerabilidades y otros problemas de seguridad por donde ésta podría ser atacada, con el objetivo de corregirlos y estar mejor protegidos.

Quizá hayas oído hablar de él como test de penetración (penetration + testing) e incluso como hacking ético, aunque este último término guarda algunas pequeñas diferencias con el pentesting.

El pentesting consiste en el “intento de penetración o acceso”, intencionado, pero sin un objetivo malicioso, a los sistemas informáticos de una organización, para desvelar posibles problemas de seguridad y poder tomar medidas.

Así, un servicio de pentest busca y analiza todos los posibles agujeros y fallos de seguridad informática que puede tener un determinado sistema (la web, aplicaciones corporativas, etc.), valorando también su criticidad, alcance, y el posible impacto en caso de que alguien consiguiese explotar dichas vulnerabilidades.

Sin embargo, el hacking ético va un poco más allá completando al pentesting, puesto que, no sólo se centra en la localización e identificación de vulnerabilidades, sino que, una vez encontradas, su siguiente objetivo es la explotación de dichas vulnerabilidades, como si de un ciberataque provocado por un ciberatacante se tratase.

Un ejercicio de pentest puede plantearse de dos modos:

• Focalizándose en el análisis y la detección de vulnerabilidades y riesgos en la superficie corporativa que se encuentra expuesta en Internet, lo que se denomina pentest externo.

• O centrándose en la búsqueda de agujeros de seguridad en la red corporativa y en las actividades que podía llevar a cabo un atacante que haya conseguido entrar en ella, o incluso un insider que trabaje en la organización, lo que se conoce como pentest interno.

Por otro lado, existen tres tipos de pentests:

• De caja negra, donde no se cuenta inicialmente con ningún tipo de información acerca de la empresa ni de los sistemas informáticos de la misma que van a ser analizados (black box pentesting).

• De caja blanca, donde se cuenta inicialmente con toda la información posible acerca de la empresa y de todos los sistemas informáticos de la misma que van a ser analizados (white box pentesting).

• De caja gris, que es una mezcla de los dos anteriores, donde se cuenta inicialmente con información parcial o incompleta de la empresa y de los sistemas informáticos de la misma que van a ser analizados (grey box pentesting).

Este tipo de servicios de seguridad ofensiva debe de ser prestado por expertos en ciberseguridad que aplican sus amplios conocimientos y experiencia, siguiendo un plan de actuación concreto y unos determinados pasos, de forma metódica:

• En primer lugar, su objetivo es localizar toda la información posible sobre la empresa y sobre cada uno de sus sistemas de informáticos, a modo de descubrimiento de objetivos.

• En segundo lugar, encuentran las vulnerabilidades que estén afectando a dichos sistemas.

• En tercer lugar, analizan las vulnerabilidades encontradas y cómo podrían afectar a los sistemas informáticos y a la empresa.

• Si se trata de un hacking ético, se dedican a la explotación de vulnerabilidades encontradas.

• Y, finalmente, preparan un informe de conclusiones y recomendaciones, para solventar todos los problemas encontrados.

¿Conoces nuestros servicios de pentesting? ¿Podemos ayudarte?

Puedes ampliar detalles sobre nuestros servicios de Pentesting visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Aniversario Zerolynx: ¡hoy cumplimos 5 años!

¡Hoy estamos de celebración: es el Aniversario de Zerolynx y hacemos 5 años!

Estamos muy orgullosos de todo lo conseguido durante nuestros primeros 5 años de vida. Nada de ello habría sido posible sin el apoyo de todas aquellas personas que confían cada día en nosotros, nuestros clientes, nuestros aliados, y nuestro equipo profesional. ¡Infinitas gracias a todos!

Pero este 2023 no solo será nuestro 5º aniversario Zerolynx... El 5 será un número que marcará el rumbo de nuestro grupo empresarial, y es que en apenas unos meses seremos más de 50 compañeros, lo que ha supuesto un crecimiento del 1.000% desde nuestro inicio en 2018.

Recientemente, superamos también los 7,5 millones de euros en proyectos repartidos entre 5 continentes diferentes, y hace pocas semanas lanzamos en Zerolynx nuestra 5ª línea de servicios, GRC, con la que buscamos ampliar nuestra presencia en el mercado Enterprise y gran PYME. ¿Qué más podemos pedir? 

Y lo queremos celebrar con todos los que han hecho posible este camino y con todos aquellos que quieran formar parte de nuestras próximas aventuras. Por ello, a lo largo de este 2023 realizaremos 5 eventos en diferentes formatos para que podáis disfrutar de un rato junto a nosotros, conocer nuestras nuevas instalaciones de Madrid, y aprender y disfrutar acerca de lo que más nos apasiona y nos une: la ciberseguridad.

El primero de estos eventos para celebrar el Aniversario de Zerolynx lo realizaremos precisamente en conjunto con uno de nuestros aliados, líder del Cuadrante Mágico de Gartner® de 2022. Si queréis saber quién es, y participar en este primer evento, ¡no dejéis de leer nuestro blog! Lo publicaremos en muy pocas semanas.

¡Gracias de nuevo por la confianza depositada en Zerolynx! Por nuestra parte, seguiremos peleando cada día como el primero para hacer de este mundo un lugar más ciberseguro.

¡Un abrazo!

Programar OutRun con ChatGPT: ¿Es posible?

ChatGPT, el sistema de chat basado en el modelo de lenguaje por IA GPT-3 desarrollado por OpenAI, está de moda. En estas últimas semanas se cuentan por miles los ejemplos de pruebas de concepto que circulan por Internet, llevando a este nuevo cerebro digital hasta límites la mar de curiosos. En este artículo, te cuento cómo lo puse a prueba para comprobar si era capaz de programar el videojuego OutRun. 

Como muchos de vosotros, comencé jugando con él para ver si sería capaz de codificar algunos sencillos programas, cosa que resolvió sin mayor dilación:

Más tarde decidí subir algo el nivel, y busqué por Internet alguno de los ejercicios habituales que veíamos en la carrera de informática para comprobar si ChatGPT nos hubiera ayudado a "aprender" mientras estudiábamos programación; y, efectivamente, en cuestión de 5 segundos teníamos nuestro maravilloso código en Java para comparar lexicográficamente cadenas de texto.

Continué con otro ejercicio típico de la universidad, el de la serie de Fibonacci... y sin despeinarse, otro éxito simple para ChatGPT.

Así que decidí dejar la programación un rato para hacerle algunas preguntas de ciberseguridad. De primeras, debió de verme cara de delincuente, porque no vio apropiado enseñarme a evadir AMSI cuando le pregunté... How can I bypass the AMSI Windows protection?

 Ni tan siquiera a deshabilitarlo. Además, me recordó que ya me lo había mencionado antes... :)

Tampoco quiso montar un phishing y me dio algunos consejos de protección:

Así que le pedí algo que sabe hacer bien y sin cuestionar: picar código. Y me desarrolló una Macro de Excel para descargarme archivos de Internet en el equipo.

Eso sí, como buen consejero, ChatGPT me dijo que la descarga de archivos de Internet podría generar riesgos y que debía asegurarme de descargar solo ficheros de confianza y escanear los posibles virus antes de abrirlos.... Está muy bien enseñado.

Dado que me vine arriba con lo de AMSI, le pregunté por algún tema de ciberseguridad más sencillo, y esta vez sí que me enseñó cómo ocultar datos con la clásica técnica de los ADS en NTFS.

Como ya me quedé contento, volví a la carga con la programación para pedirle algo más complejo. ¿Podría programarme un videojuego completo como el OutRun?

Pero no se veía capaz, y me sugirió hacerlo en C++ o Unity. Así que... ¿y con Unity?

Nada, tampoco :'(, así que me conformé con pedirle a otra IA, en este caso a Midjourney, que me generase un fondo de pantalla de un hacker jugando al OutRun.

Como veis, el avance de la IA en estos últimos años ha sido increíble. Proyectos como el de OpenAI están adelantando el futuro a pasos agigantados y automatizando el conocimiento. Pronto veremos softwares de ciberseguridad programados con este tipo de IAs que nos facilitarán mucho nuestro día a día, pero también veremos a los malos utilizando estas tecnologías para sus propósitos no tan éticos. Toca estar al día y seguir al pie de cañón. Zerolynx lo estará. 

P.D. No desisto del OutRun...

Undécimo aniversario de Flu Project

Hoy Flu Project celebra su undécimo aniversario. Hace 11 años, Pablo González y nuestro CEO, Juan Antonio Calles, fundaron este medio de noticias de ciberseguridad que trata tanto hacking como inteligencia y forense digital. Durante sus primeros años siempre tuvo mucho tráfico de visitas pero lo que realmente da nombre a este exitoso blog son sus herramientas, como "Liberad a WiFi", que con más de 10 millones de descargas se convirtió en referencia en el crackeo de Redes Wireless entre 2011 y 2013, o "Anubis”, que desde 2011 ha sido una de las herramientas de hacking más utilizadas para labores de Footprint y Fingerprint, y sus libros, como "Powershell: La navaja suiza de los administradores de sistemas" de Pablo González, "La biblia del Footprinting" de Juan Antonio Calles o "Un forense llevado a Juicio", de Juan Luis G. Rambla, entre otros. 

De esta forma, Flu Project se ha posicionado como uno de los blogs de ciberseguridad de referencia en el sector que cuenta con más de 10 millones de visitas y 2000 artículos especializados. Pero, como sus propios fundadores dicen, estos números no serían posibles sin todos los seguidores, colaboradores, amigos y profesionales que han participado en el proyecto y han conseguido convertirlo en una gran familia. 

¡Enhorabuena! Os deseamos muchos más años de crecimiento. 

¡Vuelve el CTF #FromZeroToLynx!

Después de la exitosa temporada 9 de ESL Masters CSGO, volvemos una vez más como patrocinadores de la liga, apostando por acercar la ciberseguridad al mundo gaming y afianzar la cultura de ciberprotección al público más joven. Esta temporada venimos con más fuerza que nunca, y tenemos varias sorpresas que se irán desvelando a lo largo de las próximas semanas. 

Como primera acción, junto al patrocinio, organizaremos una vez más el torneo hacking que tanto dio que hablar la temporada pasada y que os mantuvo pegados a las pantallas poniendo a prueba vuestras habilidades hacker. Vuelve #FromZeroToLynx con nuevos retos que prometen poner en un aprieto hasta a los más expertos en la materia, ¿conseguirás entrar en nuestro Hall of Fame? Cada semana serán liberadas nuevas pruebas de diferentes niveles de dificultad y con diferentes puntuaciones. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo, podrán optar a una serie de premios gamer, además de contar con la opción de tener una entrevista para unirse a Zerolynx. ¡Los ganadores serán anunciados durante la gran final del ESLMasters!

En este torneo no estaremos solos, ya que contamos con grandes colaboradores que nos acompañarán a lo largo de este prometedor mes y medio que nos queda por delante. Al igual que la temporada pasada, contaremos con ESL e HyperX apostando una vez más por el compromiso con la ciberseguridad, al que se une Intel como gran colaborador este año y al que le damos una calurosa bienvenida. 

El CTF dará comienzo el 16 de septiembre a las 19:00, no obstante, la plataforma estará abierta desde hoy para aquellos que ya queráis registraros. Si no quieres perderte nada, permanece atento a las retransmisiones de ESL España cada semana y, por supuesto, sigue a @ZerolynxOficial en Twitter para poder optar a los premios y leer todas las noticias y novedades del torneo. ¡Go Go Go!

Publicamos nuestro paper "Ciberseguridad en Movilidad", presentado en el XXI Congreso Español ITS (#ITSES2021)

RESUMEN 

Los vehículos ITS forman parte de un complejo ecosistema de tecnologías, lo que supone una amplia superficie de ataque en la que se puede propiciar un incidente de ciberseguridad, afectando no solo a la protección de datos, sino también a la seguridad vial. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad.

INTRODUCCIÓN

“Nos encontramos en la cúspide del cambio de modelo de transporte más rápido, profundo y consecuente de la historia” (WG 5 CCAM Platform, 2020)(p. 3). Esta afirmación define perfectamente el momento histórico en el que se encuentra actualmente el sector de la movilidad. La incorporación de tecnologías de conectividad a los sistemas del vehículo, la aparición de los vehículos autónomos, el uso de motores eléctricos propulsados por baterías de alta capacidad, y el nacimiento del nuevo modelo de negocio transporte como servicio, han cambiado completamente el paradigma establecido hasta el momento. Los fabricantes ya no se centran únicamente en diseñar vehículos altamente sofisticados en su mecánica y estética, sino en que estos además dispongan de nuevas tecnologías de conectividad con objetivo de aumentar la protección y el confort de sus ocupantes. Además, su incorporación, permite a los vehículos ser partícipes en nuevos modelos de transporte en los cuales cada participante intercambia con la infraestructura y otros usuarios de la vía la información sobre su entorno que ha captado mediante su conjunto de sensores, facilitando una movilidad más segura, eficiente y ecológica.

Figura 1: Infografía sobre activos atacables de un vehículo moderno

La incorporación de nuevas tecnologías de conectividad y automatización a un sistema electromecánico orientado al transporte, supone un cambio radical en la composición de los sistemas embarcados y un significante aumento de su complejidad. Su incorporación, implica la aparición de una nueva dimensión tecnológica que debe ser segura desde su diseño, para que los posibles nuevos vectores de ataque no afecten a la protección de los pasajeros y usuarios de las vías por las que circulen. Como se puede ver en la infografía de ejemplo mostrada en la Figura 1, un vehículo actual dispone de numerosas utilidades que podrían permitir a un atacante actuar sobre el vehículo en caso de que una de ellas tuviese alguna vulnerabilidad explotable.

El gran impacto y repercusión causado por las nuevas tecnologías de conectividad y automatización en el mercado de la movilidad, ha derivado en la propuesta de nuevas regulaciones, estándares y recomendaciones por parte de gobiernos, fabricantes de equipamiento original y otras agrupaciones de interesados, para adaptarse a las circunstancias impuestas por el avance de la tecnología y asegurar que los nuevos vehículos son diseñados desde un principio con un enfoque hacia la seguridad informática de sus sistemas. Por destacar los documentos más relevantes orientados a automoción, se encuentran, entre otros, la regulación UNECE R155, R156, la norma ISO/SAE 21434 y la recomendación consolidada SAE J3061.

Por otra parte, acompañando a la publicación de nueva normativa y regulación, surgen proyectos como Open Mobility Security Project (OMSP) (Zerolynx, 2020), proyecto de I+D+i de Zerolynx que tiene como objetivo establecer un marco de trabajo enfocado en la verificación y validación de la ciberseguridad de todo tipo de vehículos, mediante la cual se facilita el cumplimiento regulador en un mercado exento de herramientas similares. OMSP será objeto del discurso en el apartado de resolución.

PLANTEAMIENTO

Problemática de la conectividad ante la ciberseguridad

Desde los inicios de la automoción hasta hoy, la preocupación por la protección de los ocupantes del vehículo ha ido en aumento, convirtiéndose a partir del siglo XXI en una de las principales preocupaciones durante el diseño del vehículo. Con la aparición de los vehículos conectados, se abre un nuevo frente que afecta a la protección de los ocupantes de forma indirecta, la seguridad informática de los sistemas del vehículo conectado.

Los vehículos autónomos y conectados generan, almacenan y operan grandes cantidades de datos provenientes de sus sensores. Según McKinsey (McKinsey, 2014), se estima que los vehículos autónomos y conectados generarán hasta 25GB de datos por hora. Gracias a la conectividad ampliada, en un ecosistema V2X los datos de interés para otros usuarios de la vía son compartidos a través de la red, conformada por múltiples actores que se ven beneficiados. En la Figura 2 se muestra un ejemplo de un posible escenario de comunicación ilustrado por ETSI.

Figura 2: Ilustración de escenario ITS (ETSI, 2010)(p.12)

Sin la implantación adecuada de seguridad en su diseño, operación y mantenimiento, los vehículos conectados y su ecosistema pueden quedar expuestos a ataques que impacten severamente en la protección y privacidad de sus usuarios. Además, se deben de tener en cuenta todo el entorno y actores partícipes en cada fase de su ciclo de vida. Según CCAM Platform (WG 5 CCAM Platform, 2020) "La exposición de un vehículo a redes V2X, puede suponer ataques informáticos", algo esperable de un entorno hiperconectado basado en tecnologías de reciente creación que tienen por objetivo implantarse en el día a día de las personas, y por lo tanto, esto se convierte en un problema que afecta a toda la sociedad, tal y como comparte la antigua CEO de General Motors, Mary Barra, en una entrevista realizada en el año 2016, (MIT Technology Review, 2016): “Un ciber-incidente es un problema para todos los fabricantes de vehículos del mundo (…). Es una cuestión de seguridad pública”. 

En la Figura 3 se muestra un ejemplo de la superficie de ataque de un vehículo moderno en función de su estado y perspectiva del atacante.

Figura 3: Infografía sobre la superficie de ataque de un vehículo conectado.

Compromiso entre Safety y Security

Para continuar el planteamiento del problema expuesto, es necesario tener claro el significado de los conceptos protección ante riesgos y protección ante amenazas, por lo que se hace uso de las definiciones aportadas por el documento de recomendaciones SAE J3061 (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17):

• Seguridad mediante protección ante riesgos: Es el estado de un sistema que no causa daño a la vida, propiedad, o entorno.
• Seguridad mediante protección ante amenazas: Es el estado de un sistema que no permite la explotación de vulnerabilidades que conllevan a pérdidas, ya sean financieras, operativas, de privacidad o de protección.
• Sistema crítico ante riesgos de integridad física: Sistema que puede causar daño a la vida, propiedad, o entorno si el sistema no se comporta según lo previsto o lo deseado.
• Sistema crítico ante amenazas informáticas: Sistema que puede conllevar a pérdidas financieras, operativas, de privacidad, o de protección ante riesgos si es comprometido a través de una vulnerabilidad presente en el sistema.

Cabe destacar que en la Lengua Castellana no existe una traducción exclusiva para los términos safety y security, ambos son traducidos directamente por "seguridad", lo que habitualmente conlleva a confusión a la hora de referirse a alguno de ellos. En este documento se ha optado por traducir safety como "protección ante riesgos" y security por "protección ante amenazas". En lo que respecta a la relación entre los dos dominios, es importante clarificar qué influencia tienen el uno sobre el otro. Según se expone en la guía (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17): "Todos los sistemas críticos ante riesgos de integridad física son sistemas críticos ante amenazas informáticas, ya que un ciber-ataque puede afectar directa o indirectamente a la integridad del sistema conllevando a potenciales pérdidas de protección". Por otra parte, expone: “No todos los sistemas críticos ante amenazas informáticas son sistemas críticos ante riesgos de integridad física, ya que un ciber-ataque puede resultar en pérdidas que no afecten a la protección, como por ejemplo pérdidas de privacidad, operativas o financieras”.

Figura 4:Relación entre sistemas críticos respecto protección y ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(p. 17)

Verificación y validación de la ciberseguridad de vehículos

Tras estudiar los conceptos safety y security así como su relación de efecto, a continuación se centra el discurso en los requisitos de verificación y validación establecidos a nivel normativo y regulador aplicados al sector de la automoción. 

Mediante un estudio del marco normativo y legal aplicable, se puede comprobar como tanto la regulación de UNECE R155, como el borrador de la norma ISO/SAE 21434, exponen la obligación de comprobar de forma práctica las medidas de ciberseguridad establecidas como mitigación ante los resultados del análisis de riesgos realizado durante la fase de concepto del producto. Concretamente, en la regulación UNECE R155, se exponen los siguientes extractos (UNECE WP.29, 2020):(UNECE WP.29, 2020):

Así mismo, se expone en el Anexo 5 un amplio listado de amenazas y mitigaciones que deben ser incluidas en el análisis de riesgos y que por lo tanto deben ser verificadas mediante testing por las autoridades competentes. En la siguiente figura se muestra un extracto del anexo mencionado.

Figura 5: Listado de vulnerabilidades o métodos de ataque relativos a amenazas (UNECE WP.29, 2020) Fragmento de la Tabla 1 del Anexo 5.

Como se puede apreciar en el texto comentado, la evaluación de las medidas de ciberseguridad es un requisito obligatorio y excluyente ante la obtención de la certificación del producto. Específicamente, se indica un conjunto de requisitos extenso y complejo que debe ser verificado mediante testing, pero como es de esperar en una regulación, no se recomienda ningún tipo de metodología que facilite, pero a su vez, sí se enuncia que es requisito para los servicios técnicos disponer de procedimientos implementados que permitan una evaluación uniforme acorde a la regulación.

La sección del documento SAE J3061 dedicada a la fase de verificación y validación de requisitos técnicos de Ciberseguridad (SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016)(pp. 49-50), establece que para su desarrollo se debe hacer uso de metodologías de comprobación de vulnerabilidades, de fuzz testing y de la realización de tests de intrusión aplicables en función del alcance deseado, de tal forma que sea posible verificar los requisitos técnicos de ciberseguridad y finalmente validar el producto en este aspecto. Profundizando en la definición del concepto, según Pablo González, destacado investigador español (González, 2015)(p. 17), "Un test de intrusión es un ejercicio que tiene como objetivo fundamental detectar, investigar y explorar las vulnerabilidades existentes en un sistema de interés", el cual "verificará y evaluará la seguridad". Su objetivo según SAE, es proporcionar una aproximación realista a como un hacker intentaría infiltrarse explotando las vulnerabilidades presentes en el sistema, pudiendo así comprobar la efectividad de los controles de Ciberseguridad aplicados. Además, añade que la desventaja de la realización de tests de intrusión es su aplicación en fases tardías del ciclo de vida del producto, ya que requiere hacer uso de una implementación completa del sistema, y por lo tanto, cualquier vulnerabilidad detectada en este momento causará un gran coste de corrección sobre las fases previas. 

 

RESOLUCIÓN

Open Mobility Security Project (OMSP)

Desde el Área de Ciberseguridad en Movilidad de Zerolynx, conscientes del problema que supone el aumento de conectividad en los vehículos y la obligación al cumplimiento de la regulación y normativa, sumado a la carencia de metodologías y herramientas que faciliten la evaluación de la ciberseguridad de los vehículos de nueva generación, se decide crear OMSP, un proyecto abierto a la comunidad, basado en la experiencia y la investigación, que tiene como objetivo establecerse como marco de trabajo de referencia definiendo el conjunto de procesos necesarios para evaluar de forma ágil y sencilla la ciberseguridad de cualquier tipo de vehículo.

Actualmente, OMSP es un proyecto vivo que continúa desarrollándose hacia su segunda versión, en donde el equipo de ingenieros de I+D+i del Área de Ciberseguridad en Movilidad adapta el marco de trabajo a los requisitos establecidos por la regulación e integra nuevas técnicas de hacking asociadas a las tecnologías más recientes. Su documentación se encuentra publicada en la plataforma GitHub en forma de repositorio (Zerolynx, 2020), donde en breve se publicará la nueva versión actualizada. Además, OMSP cuenta con respaldo académico, ya que su desarrollo forma parte de un doctorado industrial en ciberseguridad desarrollado con el respaldo de la Universidad Rey Juan Carlos. 

Fundamentos de la metodología

A continuación, se enuncian los fundamentos de la metodología, y a su vez se distinguen las ventajas y motivos por los cuales se propone su uso en el mercado:

• Proceso estructurado: El marco de trabajo propuesto está compuesto por una serie de fases y actividades organizadas en un orden lógico, definidas con claridad y sencillez, lo que permite una rápida comprensión de la metodología y su posterior puesta en práctica, así como una gran trazabilidad de las actividades realizadas.
• Desarrollo continuo: Para dar soporte al cumplimiento normativo, OMSP se desarrolla de forma continua e iterativa para mantenerse actualizado al complejo estado del arte, proporcionando ante cada novedad una solución correspondiente.
• Accesibilidad: OMSP ha sido diseñado para que sea posible su uso de forma aislada o acompañada de los inputs y outputs correspondientes a la aplicación de otras metodologías. Por ejemplo, durante su uso se podría emplear la información generada de un análisis de riesgos del vehículo en cuestión. Además, su enfoque puede ser de caja negra, gris o blanca, en función del nivel de información disponible sobre el vehículo a evaluar.
• Compatibilidad: La metodología ha sido diseñada de tal forma que permite evaluar cualquier tipo de vehículo, ya que de forma independiente estos se ven descompuestos en sus unidades mínimas de evaluación denominadas activos, como pueden ser actuadores, sensores y datos, y se contextualizan dentro del entorno de operación del vehículo.
• Cumplimiento: Partiendo de su proceso estructurado, el marco de trabajo establece los puntos de generación de evidencias requeridos para el cumplimiento normativo y regulador.
• Open Source: El hecho de que sea un proyecto público supone una búsqueda de colaboración activa por parte de la comunidad. Cualquier interesado con conocimientos en la materia puede ser partícipe proporcionando mejoras, correcciones, difusión u otras actividades de interés. De esta forma, se pretende una mayor difusión e integración en el mercado, haciendo partícipes a múltiples actores y difundiendo el conocimiento de forma abierta.

Estructura de procesos

Tras conocer el origen y los fundamentos de la metodología, a continuación, se centra el discurso en torno a una breve descripción de los procesos y actividades que la conforman. La Figura 6 representa gráficamente su flujo y composición. El proceso comienza mediante la definición del objetivo de evaluación y su alcance. Una vez se disponga de la caracterización del producto sobre el que se trabajará, se realiza una identificación de los activos de interés que lo componen y que serán objeto de evaluación durante las siguientes fases. Una vez seleccionados, los activos se estudian en función de su naturaleza y se ponen en su contexto de operación para poder realizar una identificación de los escenarios de ataque y amenazas que pueden afectarles. A continuación, partiendo del resultado obtenido en la fase anterior, se genera una selección de controles técnicos a aplicar sobre el vehículo. Llegado este punto y disponiendo de un conocimiento profundo sobre el vehículo en el plano teórico, se realiza un análisis de arquitectura, en el cual se valora la disposición e interacción de los activos dentro de la arquitectura eléctrico-electrónica del vehículo. Por último, se realiza la ejecución de controles técnicos aplicables, concluyendo con la evaluación de los resultados obtenidos y la generación del correspondiente informe final.

Figura 6: Estructura de procesos y actividades propuestas

CONCLUSIONES

• El aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que deriva en una mayor exposición ante ciberataques que produzcan de forma colateral accidentes de tráfico o alteren la circulación en las vías. Entidades gubernamentales y otros stakeholders tratan de dar respuesta a la necesidad de disponer de vehículos ciberseguros mediante la generación e implantación de regulaciones y normas específicas para el sector de la movilidad, lo que facilitará la llegada de la ciberseguridad a la industria de la automoción y por consecuencia a una movilidad más segura.
• Los fabricantes de vehículos y sus proveedores deben mejorar la concienciación, fomentando la cultura de ciberseguridad las actividades de la organización. Además, deben adoptar un ciclo de vida de producto que incluya la ciberseguridad desde el diseño, de tal forma que sus vehículos dispongan de un nivel de seguridad elevado y se eviten vulnerabilidades en fases tardías del desarrollo o producción.
• El reglamento número 155 de UNECE establece la obligatoriedad de realizar un proceso de verificación y validación de las medidas de ciberseguridad implementadas en los vehículos para mitigar el riesgo de las amenazas identificadas como resultado del análisis de riesgo previamente realizado. Para ello, se realizarán pruebas de fuzz testing y pentesting mediante las cuales se simularán los posibles ataques que se realizarían ante cada caso de riesgo. 
• Se destaca la afirmación que realiza SAE (p. 22) y que los autores de este documento comparten: "Ningún sistema puede garantizar ser 100% seguro, pero la aplicación de un proceso de desarrollo de producto bien definido y estructurado reduce la posibilidad de la aparición de fallos de seguridad", destacando entre ello la importancia de la aplicación de un preciso sistema de validación que verifique y valide las medidas de ciberseguridad implementadas en los vehículos, como es en este caso OMSP.
• Open Mobility Security Project (OMSP) es una metodología desarrollada por Zerolynx y abierta a la comunidad que tiene como objetivo establecer el marco de trabajo de referencia ante la evaluación de la ciberseguridad de cualquier tipo de vehículo. Es aplicable durante todas las fases del desarrollo de producto y facilita el cumplimiento normativo. Su contenido es accesible públicamente y se puede participar en su desarrollo como colaborador.

BIBLIOGRAFÍA

• ETSI. (2010). ETSI EN 302 655 V1.1.1.
• González, P. (2015). Ethical Hacking: Teoría y práctica para la realización de un pentesting (Primera). 0xWORD. https://0xword.com/es/libros/65-ethical-hacking-teoria-y-practica-para-la-realizacion-de-un-pentesting.html
• McKinsey. (2014, September 1). What’s driving the connected car. https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/whats-driving-the-connected-car
• MIT Technology Review. (2016). GM CEO: Car Hacking Will Become a Public Safety Issue. https://www.technologyreview.com/2016/07/22/158706/gm-ceo-car-hacking-will-become-a-public-safety-issue/
• SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 128 (2016). https://doi.org/https://doi.org/10.4271/J3061_201601
• UNECE WP.29. (2020). WP.29/R155: Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system. https://unece.org/sites/default/files/2021-03/R155e.pdf
• WG 5 CCAM Platform. (2020). Cybersecurity and access to in-vehicle data linked to CCAM. 1–11.
• Zerolynx. (2020). Open Mobility Security Project. https://github.com/zerolynx/omsp

 

ANTE CUALQUIER NECESIDAD DE CIBERSEGURIDAD EN EL SECTOR DE LA MOVILIDAD, PUEDE PONERSE EN CONTACTO CON ZEROLYNX EN EL EMAIL [email protected]

Zerolynx participa en la edición especial sobre ciberseguridad de Comando Actualidad

Ayer por la noche tuvimos el placer de participar en la edición especial sobre ciberseguridad que hicieron en el programa Comando Actualidad, de TVE, donde nuestros compañeros estuvieron explicando y demostrando como los ciberataques a los vehículos están a la orden del día y como pueden producirse.

En 1999 se acuñó el concepto IoT (Internet de las cosas), y desde entonces, la industria ha seguido conectando nuevos dispositivos a Internet, con el fin de facilitar su usabilidad. Según Gartner, el pasado año se conectaron a través de IoT más de 26 mil millones de dispositivos. Y de esta hiperconexión no escapa el sector de la movibilidad, que poco a poco ha ido integrando en trenes, coches, motocicletas, barcos, aviones, patinetes e incluso, bicicletas, distintos activos para conectarlos a Internet y dotarlos de nuevas características.

En junio de 2020 fue publicada una regulación de las Naciones Unidas para establecer los requisitos de ciberseguridad a cumplir por parte de los fabricantes, relativa a su SGSI y a sus modelos de vehículo, durante todo su ciclo de vida. Con ello, se aumentan los requisitos necesarios para la homologación establecidos en el acuerdo de 1958 y sus actuales 152 adendum. Su aplicación dio comienzo en enero de 2021 en los 54 países firmantes, y afecta a coches, furgonetas, autobuses, camiones y vehículos ligeros de cuatro ruedas que disponen de funcionalidades de automatización de la conducción de nivel tres o superior.

Por otro lado, el mercado está trabajando en la normativa ISO/SAE 21434, que se establecerá como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. Será un estándar de certificación para OEMs y proveedores, con el objetivo de evidenciar el cumplimiento de la regulación vigente. Actualmente, la norma se encuentra en fases finales de su creación, estando en estado de borrador internacional (DIS), y siendo sometida a votaciones y correcciones ante alegaciones.

Desde Zerolynx, conscientes de esta situación, lanzamos en 2018 nuestro área de Ciberseguridad en Movilidad, un departamento especializado exclusivamente en dicho sector, que ha dado seguimiento y apoyo a numerosos fabricantes para implantar ciberseguridad en diferentes industrias como la ferroviaria o la de la automoción. Este área forma parte también del comité CTN 26/SC 1/GT 1 (UNE), con el objetivo de dar seguimiento y apoyo a los grupos de trabajo internacionales ISO/TC 22/SC 32/WG11 Cybersecurity e ISO/TC 22/SC 32/WG 12 Software Update.

Dentro de los proyectos de ciberseguridad en el mercado de la movilidad, Zerolynx ha tenido la oportunidad de participar tanto en procesos de ingeniería dentro de diferentes etapas de la fabricación, como en procesos de auditoría, para verificar que las medidas implantadas son suficientes para dar respuesta a las amenazas actuales, tanto a nivel de safety, como de security. Y, de toda esta experiencia, lanzamos en 2020 nuestro proyecto Open Mobility Security Project, una metodología abierta enfocada a estandarizar controles técnicos y repetibles para definir, implantar y auditar las medidas de ciberseguridad necesarias en todo tipo de vehículos, dar cumplimiento a las regulaciones, y abordar una respuesta integral a las innumerables amenazas. Gracias al marco de controles definido en OMSP, hemos llevado con éxito numerosos proyectos con el objeto de implantar ciberseguridad en vehículos de todo tipo, desde trenes a motocicletas eléctricas, incluyendo los diferentes activos con los que interactúan, como balizas ERTMS o aplicaciones móviles. Con el apoyo de OMSP y todo nuestro conocimiento, hemos definido un catálogo de amenazas que podrían afectar al sector, hemos establecido posibles puntos de ataque que podrían ser explotados en cualquier tipo de vehículo y hemos establecido medidas para mitigar los riesgos existentes.

Si eres un OEM, Tier o Aftermarket del sector de la movilidad (automoción, ferroviario, etc.) y estás interesado en gestionar la ciberseguridad, estaremos encantados de presentarte nuestra propuesta de valor. Contáctanos en nuestro email info@zerolynx.com, y nuestro equipo te atenderá a la mayor brevedad.

Zerolynx estrena torneo de hacking junto a ESL

Hoy da comienzo el torneo de ciberseguridad gratuito, en formato Capture de Flag (CTF), que Zerolynx ha realizado junto a la Electronic Sports League (ESL) con motivo de la 9ª temporada del ESLMasters de CSGO. Este CTF, llamado #FromZeroToLynx, mezcla el mundo de la ciberseguridad con el de los eSports, para dar lugar a una serie de interesantes desafíos que pondrán a prueba tanto a jóvenes, como a expertos en la materia. Junto a los retos más habituales en este tipo de torneos, relacionados con la criptografía, la esteganografía o el hacking web, veremos otros relacionados con el mundo de los videojuegos, lo que hace de este CTF algo singular y llamativo para todos los participantes.

Cada semana serán liberadas nuevas pruebas de diferentes niveles de dificultad y con diferentes puntuaciones. Su resolución brindará al participante una mayor o menor puntuación, en función de la cantidad de participantes que hayan resuelto la prueba. Este dinamismo jugará a favor de los participantes más hábiles y les permitirá ir escalando rápidamente puestos en el ranking. Aquellos que logren situarse en los primeros puestos al acabar el torneo, podrán optar a una serie de premios gamer, además de tener la opción de tener una entrevista para unirse a Zerolynx. Los ganadores serán anunciados durante la gran final del ESLMasters, prevista para el próximo domingo 2 de mayo.

Si no quieres perderte nada, permanece atento a las retransmisiones de ESL España cada semana y, por supuesto, sigue a @ZerolynxOficial en Twitter para poder optar a los premios y leer todas las noticias y novedades del torneo.

¿A qué esperas? Regístrate ya y empieza a disfrutar con ESL y Zerolynx. ¡#GoGoGo!

https://www.fromzerotolynx.gg/

Zerolynx nuevo patrocinador del ESL Masters de CSGO

Zerolynx firma una importante alianza con la Electronic Sports League (ESL) para patrocinar la Temporada 9 del ESL Masters España de CSGO.

ESL, la mayor empresa de eSports del mundo, es el principal operador de competiciones nacionales e internacionales, abarcando todos los niveles, desde las competiciones amateur, hasta la élite profesional. <<Este patrocinio refleja la importante apuesta de Zerolynx por el mundo de los eSports. Estar en el ESL Masters es sin duda clave para la estrategia de internacionalización de nuestra firma>> confirma Juan Antonio Calles, CEO de Zerolynx. <<Junto a nuestra alianza con la Federación Española de Videojuegos y eSports (FEJUVES), esta colaboración nos permitirá acercar la ciberseguridad al mundo gaming y afianzar la cultura de ciberprotección al público más joven>>, indica Daniel González, COO de la firma.

Con más de 1,4 millones de videplays en su última temporada, el ESL Masters de CSGO es una de las competiciones más importantes del mundo de los eSports, y en la que participan varios de los principales equipos del mundo, como Bet7 Saw, Team Heretics, Velox, X6tence, Offset eSports o Movistar Riders.

Junto al patrocinio, Zerolynx coorganizará con la ESL un torneo de hacking paralelo, en formato Capture the Flag (CTF), y en el que se entregarán importantes premios a los participantes que se sitúen en las mejores posiciones del ranking. En el torneo, que dará comienzo el 25 de marzo y finalizará el 1 de mayo, los participantes podrán poner en práctica sus conocimientos en esteganografía, exploiting, reversing, forense y hacking en general, mediante multitud de retos de diferentes niveles de complejidad. Los ganadores se anunciarán durante la final del ESL Masters, prevista para el próximo domingo 2 de mayo. La plataforma del CTF será publicada unos días antes del ESL Masters, y será presentada a través de las redes sociales de ESL y Zerolynx. <<Sin duda, este CTF aportará interesantes novedades al ESL Masters España, y abrirá la posibilidad de ganar premios gaming a los jugadores más apasionados por la ciberseguridad>>.

Madrid, 10 de marzo de 2021

Publicado el nº 142 de Revista SIC, donde lanzamos nuestra campaña sobre Seguridad en la Movilidad

Ya ha sido publicado el nº 142 de Revista SIC, donde podréis disfrutar de un número especial dedicado a los CSIRTs. En este interesante número, hemos lanzado nuestra campaña de publicidad de Noviembre y Diciembre, dedicada a la Seguridad en la Movilidad.

Debido al efervescente panorama en el cual se encuentra el sector de la Ciberseguridad en relación a los vehículos conectados, hemos desarrollado una amplia variedad de servicios que cubren las necesidades de nuestros clientes, ya sean OEMs, Tiers o empresas Aftermarket. Para ello, disponemos de técnicas y metodologías de auditoría de vehículos actualizadas al estado del arte, pudiendo analizar no solo la arquitectura y componentes E/E, sino también entornos cloud de gestión de flotas, servicios de sharing y sistemas de seguridad anti-robo. Además, podemos ayudar a establecer en las empresas un sistema de gestión de la ciberseguridad adaptado a la compleja situación normativa actual, de tal forma que se disponga de una correcta gestión de la ciberseguridad en todos los procesos del ciclo de vida del producto, tanto en fases de diseño como en fases de validación (análisis de riesgos, selección de requisitos de ciberseguridad, diseño de arquitectura, auditoría de código, validación de seguridad en unidades funcionales y sistema, etc.).

Si eres un OEM, Tier o Aftermarket del sector de la movilidad (automoción, ferroviario, etc.), estaremos encantados de presentarte nuestra propuesta de valor.

¡Contáctanos en nuestro email [email protected]!

Así cazan a un criminal: ¿cuidan las empresas y AAPP su seguridad?

Hoy os traemos el tercer capítulo de la serie documental El enemigo Anónimo, dirigida por C.Otto, donde se comenta más en profundidad la importancia de que no solo las grandes empresas, sino también las pymes, inviertan en ciberseguridad y cómo cazar a un cibercriminal una vez que ya se ha producido el ataque. 

Este documental lo puedes encontrar de forma gratuita en el canal oficial de youtube del proyecto. Aquí te dejamos el enlace a este capítulo en el que conocemos la opinión de nuestro CEO Juan Antonio Calles, sobre la cantidad a invertir en ciberseguridad por parte de las empresas. 

En el siguiente capítulo conoceremos más casos de ciberataque de la mano de Juan Antonio Calles y nos serán revelados datos muy interesantes en ese ámbito. 

¡Ojalá os guste!

¿Está España preparada para combatir el cibercrimen? [cap 01 El Enemigo Anónimo]

Tras unos meses de espera, ha comenzado a emitirse El Enemigo Anónimo, una serie documental dirigida por el periodista C. Otto, y que tenemos el placer de patrocinar desde Osane Consulting y desde Zerolynx, con el objetivo de promover la ciberseguridad y a la vez, concienciar a la sociedad sobre la realidad de las amenazas a las que nos enfrentamos de forma diaria.

El documental se emite gratuitamente desde el canal oficial en YouTube del proyecto. A continuación, os dejamos con el primero de los capítulos:

 

Podréis seguir toda la serie desde el mismo canal. Nuestro CEO, Juan Antonio Calles y nuestro COO, Daniel González, participan en varios capítulos hablando sobre las últimas ciberamenazas y los ataques más recientes sufridos por nuestro país y nuestras empresas.

¡No os lo perdáis!

Participamos en IntelCon 2020

Del 27 al 31 de julio tendrá lugar IntelCon, un congreso de Inteligencia impulsado por la Comunidad Ginseg, conocida en el campo de la ciberseguridad por sus constantes y valiosas contribuciones en diferentes ramas como el OSINT y el SOCMINT.

https://intelcon.ginseg.com/2020/

Desde Zerolynx hemos querido apoyar esta interesante iniciativa, apadrinada por Iván Portillo, Gonzalo Espinosa y Wiktor Nykiel, y a la que se han sumado numerosos colaboradores y amigos, con una conferencia que conducirán nuestros compañeros Gonzalo Terciado y Mercedes Muñoz, analistas de nuestro área de Inteligencia. La ponencia versará sobre diferentes técnicas y aspectos a tener en cuenta a la hora de abordar la fase de análisis de un servicio de este tipo, con foco principal en la transformación de los datos en bruto e información obtenida en Inteligencia.

Así mismo, nuestro CEO, Juan Antonio Calles, tendrá el honor de participar como jurado del Hackathon - IntelHack, en el que los participantes podrán enviar sus herramientas Open Source para la orquestación, automatización, escalado, almacenaje de información, visualización, análisis o reporting enfocadas a la CiberInteligencia, las cuales serán evaluadas por el jurado para seleccionar a la ganadora.

Para ampliar detalles sobre el Hackathon, no dejéis de visitar el sitio web oficial:

https://intelcon.ginseg.com/2020/hackathon.html

Hands on Lab – Bootcamp Tech 2020 (de abril a junio de 2020)

Desde hace varios meses, llevamos preparando desde Flu Project una serie de Hands on Labs conformados dentro de un Bootcamp tecnológico, que aglutina diferentes ramas de la ciberseguridad, la inteligencia artificial o el desarrollo, entre otras muchas destacadas. Si bien, inicialmente, nos habría encantado que estas sesiones tuviesen lugar presencialmente, la situación actual provocada por el Covid19 nos ha obligado a miles de empresas a reinventar nuestros modelos de negocio. Por ello, no hemos querido demorar este interesante Bootcamp, el cual finalmente realizaremos a través de Internet, haciendo uso de tecnologías de videopresencia.

El Bootcamp comprende 50 horas formativas, subdivididas en 10 formaciones de 5 horas, que podrán ser contratadas de forma conjunta (todo el Bootcamp), o por separado (cursos individuales).

Cada semana, dando comienzo el próximo 23 de abril de 2020, tendrá lugar una formación, la cual será impartida en 2 sesiones de 2,5 horas de duración, en horario de tarde (España), de 18:30 a 21:00h (UTC+1).

Itinerario formativo, fechas y horarios

Las sesiones que comprenderá el Bootcamp, son las siguientes:

1. Conviértete en desarrollador fullstack (23 y 24 de abril, a las 18:30h)
2. Machine Learning & Deep Learning: Aprende y aplica a tu entorno (29 y 30 de abril, a las 18:30h)
3. Ethical Hacking & Pentesting. Lab I  (7 y 8 de mayo, a las 18:30h)
4. Análisis forense digital (13 y 14 de mayo, a las 18:30h)
5. Ethical Hacking & Pentesting. Lab II  (21 y 22 de mayo, a las 18:30h)
6. Implementación de entornos seguros en Cloud  (28 y 29 de mayo, a las 18:30h)
7. Threat Hunting (4 y 5 de junio, a las 18:30h)
8. OSINT: Ciberinteligencia aplicada a la empresa (11 y 12 de junio, a las 18:30h)
9. De DevOps a DevSecOps(18 y 19 de junio, a las 18:30h)
10. Auditoría a sistemas de control industrial (25 y 26 de junio, a las 18:30h)

Precios y descuentos

• El precio del Bootcamp completo es de 800 € (IVA Incluído). 

• En el caso de contratar formaciones por separado, el coste de cada una de ellas será de 139 € (IVA Incluído).

• Así mismo, hemos determinado una serie de descuentos a los que podréis aplicar en las siguiente situaciones.

• En el caso de contratar una formación por separado antes del día 20 de abril a las 18:00h de España, el coste será de 129 € (IVA Incluído). Por tanto, se aplicará un descuento de 10 €. El código de descuento correspondiente es "20ABR2020".

• En el caso de contratar una formación por separado y que el alumno sea a su vez estudiante universitario en el presente año académico, se encuentre en situación de desempleo, o pertenezca a alguna organización adscrita, el coste será de 99 € (IVA Incluído). Por tanto, se aplicará un descuento de 40 €. Los códigos de descuento son "DESEM2020" y "ESTUD2020", respectivamente. En el caso de las organizaciones adscritas, el código se lo facilitarán desde las asociaciones e instituciones con acuerdo vigente.

En el caso de particulares de fuera de la CEE, la factura no estará sujeta al impuesto sobre el valor añadido.

Método de pago

Los únicos medios de pago aceptados son:

• Transferencia bancaria
• Paypal

En ambos casos, será necesario el abono del curso completo antes del inicio del mismo, y el envío del justificante bancario, para que nuestro equipo de gestión formalice la inscripción al curso y remita al alumno la documentación necesaria para su realización. 

¿Cómo me registro a un curso?

Para registrarte en uno o varios cursos, tan solo tendrás que enviar un email a [email protected], indicando el siguiente asunto: 

• [NOMBRE_CURSO o BOOTCAMP_COMPLETO] [CODIGO_DESCUENTO] [NOMBRE_ALUMNO]

Dentro del cuerpo del email, y por simplificar el proceso, requeriremos la siguiente información:

• Datos de facturación (nombre completo, identificación/DNI/NIE y dirección postal). En el caso de que quién contrate sea una empresa, precisaremos los mismos datos de la empresa (nombre, CIF y dirección fiscal).

• En el caso de tener Descuento, anexar el certificado que acredite la situación de desempleo o la matrícula de la Universidad.

Nuestros compañeros de gestión os remitirán la correspondiente factura, y una vez abonada por transferencia o paypal, deberéis enviarles el justificante correspondiente, para formalizar el registro.

En el caso de que no se llegue a un nº mínimo de alumnos en cada sesión, nos reservamos el derecho a cancelar la acción formativa. En ese caso, será devuelto íntegramente el dinero a los alumnos, y avisados con tiempo suficiente de la cancelación de la sesión o sesiones.

Certificado

Al finalizar cada formación, los alumnos recibirán un certificado de aprovechamiento donde se indicarán las materias aprendidas, el docente encargado y la duración de la sesión o sesiones a las que haya asistido.

Detalle de cada formación

En las siguientes fichas encontraréis mayor detalle sobre cada formación del Bootcamp: