Principios de la seguridad informática

Hoy traigo  una entrada sobre los principios de la seguridad informática. Pero antes un pequeño resumen de que sería la seguridad informática.

La seguridad informática se encarga de proteger la integridad y la vivacidad de la información almacenada en un sistema o entorno informático. 

Después de una pequeña investigación pude deducir que no hay unos claros principios definidos, dependiendo de las fuentes que consultemos encontramos variaciones, algunos profundizan en algunas ramas, o en otras dependiendo de preferencias. Aunque la mayoría suele coincidir en la "triada " de  Confidencialidad, Integridad y Disponibilidad.

La "triada" de la seguridad informática 

También se puede llegar a añadir entre estos, la Autenticación o Autentificación y la Irrenunciabilidad. Por lo tanto se podría decir que la seguridad se sostiene sobre 5 pilares básicos. Si cualquiera de ellos falla, no existe una seguridad sobre la información. 

Es Confidencialidad la propiedad que impide la divulgación o publicación de la información, a individuos, entidades o sitios web no autorizados por el propietario de la información. Asegurando el acceso únicamente a las personas que cuenten con la autorización apropiada. Existen muchas formas de vulnerar la confidencialidad. Observar por encima del hombro, mientras el usuario tiene información confidencial en la pantalla (pérdida de confidencialidad, física), la publicación no autorizada de información privada, la sustracción de un portátil con información sensible de una empresa. Todos estos casos y muchos otros, pueden constituir una violación de la confidencialidad.

La Integridad es la propiedad que impide la alteración de la información, por persona o procesos no autorizados. Salvaguardando la precisión y completitud de la información y recursos. La vulneración de la integridad de la información, se puede presentar cuando un sujeto con autorización o sin ella, un programa o proceso (por accidente o con mala intención) modifica o borra datos que no debían ser modificados. La integridad es la garantía de la originalidad de los datos y su no edición, excepto por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. Uno de los comprobante de integridad es la firma digital.

Es la Disponibilidad la propiedad que permite el acceso a la información a quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Los procesos de seguridad tiene que estar funcionando correctamente tanto los controles de seguridad utilizados para protegerlos, como los canales de comunicación que se utilizan para acceder a dicha información. La alta disponibilidad en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware y actualizaciones de sistemas. Para garantizar la disponibilidad se tiene que tener una buena protección contra ataques DoS, una de las amenazas más frecuentes contra la disponibilidad. 

La Autenticación o Autentificación es la propiedad que identifica al usuario y deriva esta información a los otros pilares de la seguridad informática y así se asegura el acceso a la información por el personal autorizado. Estos se suele lograr con el uso de cuentas de usuario y contraseñas de acceso, actualmente se están empezando a implementar factores de autenticación en varios pasos.

El no repudio o Irrenunciabilidad, está estrechamente relacionado con la autenticación, permitiendo
conocer los integrantes de las partes en una comunicación, servicio o documento.
Hay 2 tipos:

1. En origen: el emisor no puede negar su envío, el receptor tiene pruebas de su origen.
2. De destino: el receptor no puede negar su recepción, el emisor tiene pruebas de la  recepción.

Si la autenticación prueba el autor y cuál es su destino, la irrenunciabilidad prueba su envío(en
origen) y la recepción (en destino).




En esta pequeña entrada quería dejara estos términos que me parecen muy interesantes y todo lo que conlleva cada uno de ellos. Me gustaría que si crees que falta algo o tienes una visión diferente la aportaras en los comentarios. Si te ha gustado o crees que a alguien le puede ser útil comparte.

Un saludo y nos vemos en la siguiente entrada!!!!

Hackron 2017 2/2

Hoy traigo la segunda parte del Congreso Hackron 2017. Si no has leído la primera parte puedes hacerlo aquí.

El congreso fue presentado por Mónica Valle, periodista encargada de la comunicación de ciberseguridad y tecnología. Muy conocida gracias a su papel como presentadora del programa Mundo Hacker.

Mónica Valle

El acto dio comienzo con el discurso del alcalde de Santa Cruz de Tenerife, José Manuel Bermúdez,

que tras dar la bienvenida a todos los participante y los agradecimientos a la organización por  los valores en formación que trasmiten en el ámbito puntero de la seguridad informática.  Bermúdez enmarcó la seguridad informática como una de las prioridades en la era actual.

José Manuel Bermúdez - 
Alcalde de Santa Cruz de Tenerife 

El congreso comenzó con una videoconferencia impartida por Chema Alonso, El maligno, CDO (Chief Dara Officer) en Telefónica; videoconferencia que titulo "Un Gusto en Poder Seguirte con mi Virtual Drone". Durante la conferencia nos explico como desde cualquier app que solicite la ubicación de nuestros dispositivos móviles se puede realizar el seguimiento de una persona,  no contento con ello, mostró como se realizaría a partir de la conocida app "Tinder". Una videoconferencia que nos dejo sin palabras a la gran mayoría de los asistentes.

Chema Alonso - "EL maligno"
CDO(Chief Data Officer) en Telefónica

Posteriormente Alberto Ruiz Rodas, nos presento su conferencia "No les abras tu puerta: prevención de Ingenierías Social".  Como su nombre nos presenta, la conferencia trato sobre los ataques de Ingeniería social, mostrando algunas de las técnicas mas empleadas y como evitarlas.

Alberto Ruiz Rodas

Tras una peña pausa, llego el turno de El Comandante Oscar de la Cruz, jefe del grupo de delitos telemáticos de la Guardia Civil. Que presento conferencia "No way, carding doesn't pay!". Conferencia centrada en las técnicas de Carding, en los que a actuado la Guardia Civil y como podemos nosotros como usuario evitar estas técnicas, y como reportarlas si las detectamos.

Comandante Oscar de la Cruz -
 Jefe del grupo de delitos telemáticos de la Guardia Civil

Seguido de Josep Albors, Director de comunicación y laboratorio de ESET España, con la conferencia "The  hack & the furius". Ponencia que trato sobre el hacking aplicado al mundo del motor. Presento algunos casos y explico como fueron realizados, nos presento a grandes hackers de la materia como Charlie Miller.

Josep Albors

Luego llego Pablo San Emeterio, representando a Eleven Paths con la conferencia "IM RELOADED" Durante la ponencia se hablo de la seguridad de la mensajería instantánea,errores más comunes de sus usuarios que acaban con la seguridad y se comentaron antiguos fallos de seguridad de aplicaciones como Whatsapp, Telegram, Snapchat...

Pablo San Emeterio

A continuación se realizó la pausa para el almuerzo, el encargado de retomar las ponencias fue Lorenzo Martínez, lawwait, representando a Securízame, esta vez con su conferencia "Memorias de un perito informático forense VOL IV". Durante la conferencia nos relato experiencias propias vividas durante algunos de sus casos de peritaje informático, con sus guiños cómicos que amenizaron la tarde.

Lorenzo Martínez, lawwait
Representando a Securízame

Seguimos con la ponencia de Gonzalo Garcia( integrante de Enigmasec), que bajo el titulo "Mr Robot - Como Hackee una empresa de transporte publico" nos relato el viaje de Elliot por Canarias y como hackeó una empresa de trasporte publico,  junto con sus lecciones éticas y  morales al respecto.

Gonzalo Garcia
Integrante de Enigmasec

Llega el turno de la primera ponencia internacional en ingles,  impartida por Yuri Gubanov, CEO (Chief Executive Officer) de Belkasoft. La ponencia llevaba por titulo "Digital forensics in cybercrime" y como se deduce trato sobre la informática forense, mas  concretamente procedimiento a seguir para ser un buen peritaje. 

Poco mas tarde llego el momento de Igor Lukic a acompañado de Leandro Naranjo(miembros de Enigmasec) presento "Ciber seguridad made in #Canarias". Mostró el panorama de canarias en ciber seguridad y sobre todo referente a Enigmasec, entre otras cosas nos enseñaron el potencial de una Raspberry que hoy en día esta al alcance de todos, mostrando así lo vulnerables que somos.

Prosiguió Deepak Daswani con su ponencia "Hacking the internet of things". Durante la charla se abordo el tema de que hoy en día casi cualquier cosa la conectamos a Internet y por lo tanto existe la posibilidad de ser hackeada, Deepak Daswani hackeóen directo una mesa de mezclas. 

Depak Daswani

Con esto llegamos a la ultima, otra ponencia internacional en ingles, esta vez impartida por Russell Hanson, (Científico, investigador y hacker), nos mostró su ponencia "Hacking human brain". La conferencia trato de la bioinformática ,  se mostró estudios de el intento de digitalización del celebro humando como una copia de seguridad, se abordo el tema de retirada y introducción de ideas, pensamientos, recuerdos, incluso de el control mental, dando a entender que es mundo próximo al cual la ciencia se acerca cada vez mas.


Hackron me pareció un congreso de una gran albergadura por el cual salí gratamente sorprendido, tanto por nuevas personalidades descubiertas allí, como por  los conocimientos adquiridos, muy recomendado a todo tipo de publico al cual le resulte el tema de la informática.
Sin dudarlo desde que salí ya tenia reservados los días del congreso del próximo año,  para así no volverme a perder este gran congreso.

Hackron V edición 2018

Me gustaría pedir disculpas por la tardanza de estas entradas que como se habrá apreciado en las fechas el congreso fue a mediados de febrero, y esto se esta publicando a mediados de agosto, mi tiempo no a dada para mucho mas, tengo otras entras en mente pensadas y a medio hacer que a ver si consigo  terminar mas rápidamente para su correcta publicación.

Hasta aquí llega esta entrada sobre el segundo día de la Hackron 2017. Si te ha gustado y crees que a alguien le puede ser de interés comparte.

Un saludo y nos vemos en la siguiente entrada!!!!

Hackron 2017 1/2

Hace más de un año me entere de la existencia de un congreso de ciberseguridad y hacking en Canarias, llamado "HACKRON" desde ese momento intenté que mi calendario cuadrase para ir, pero no hubo forma, me coincidió con acontecimientos de fuerza mayor, dando lugar a que me quedara con las ganas de asistir. Pero este  año con 4 meses de antelación ya tenia reservada la fecha,  para no tener excusa. El congreso fue el 16 y 17 de febrero, el día 16 fueron charlas orientadas hacia la práctica con las cuales se podía participar en el  reto,  y el día 17 el congreso.

Tuve el placer de asistir ambos días, el primer día me acompaño un muy buen compañero de clase, al cual le gusta informática, pero no iba muy convencido de poderle sacar provecho al congreso, y mucho menos a las charlas técnicas. El segundo día, también nos acompaño un viejo amigo, con el que había tenido poco contacto debido a los estudios, al que tuve que convencer para que asistiera, porque no creía poder aprovechar las charlas.

El día 16 empezó con una presentación de las pautas para el reto, en el cual este año con el apoyo del ayuntamiento de Santa Cruz de Tenerife, se puso a prueba la seguridad de sus sistemas, dando así un entorno real, las pautas fueron expuestas por D. Manuel Pérez Coca, Director General de Innovación Tecnológica del ayuntamiento de Santa Cruz de Tenerife.

D. Manuel Pérez Coca,
Director General de Innovación Tecnológica del
Ayuntamiento de Santa Cruz de Tenerife.

La primera ponencia fue impartida por Pedro Candel, S4UR0N bajo el el titulo "Red Team & OWASP Top 10". La cual trató sobre la seguridad de las aplicaciones web y un top 10 de las vulnerabilidades mas comunes. Este top 10 esta publicado en la pagina de owasp.org. Una charla muy interesante, que me dejo con ganas de seguir informándome sobre el tema.

Pedro Candel, S4UR0N

Seguido de Juan Manuel Fernández, TheXC3LL con la ponencia "El Red Team siempre gana". Este biólogo nos consigue sorprender con una charla enfocada a la practica, muy técnica, como puede ser la ejecución de un ataque XSS (Cross-site scripting, una inyección de código).

Juan Manuel Fernández, TheXC3LL

Tras una pequeña pausa llego el turno de Daniel Rodríguez, Security Architect de Open Data Security. Ofreciendo una ponencia con el titulo de "Watch your back before you hack". Como bien dice el titulo, contó un  una idealizada anécdota, sobre un ataque sin resultados, y posteriormente un contraataque que saca todo lo que se podía sacar y más. Se sobrentendió el mensaje "Mucho cuidado con lo que intentas hacer, porque te lo pueden hacer a ti...". 

Daniel Rodríguez, Security Architect
de Open Data Security

Posteriormente Nur Pulad representando a Fortinet, nos presento el producto Security Fabric. Un asistente de Seguridad para empresas, con un gran equipo de seguridad y de respuesta ante accidentes. Durante la charla se explicó como funcionaba y como seria su integración en una empresa.

Nur Pulad, representando a Fortinet

Tras esta charla se dejo tiempo para realizar el reto y se realizo la pausa para el almuerzo.

A continuación tras recargar las pilas con el almuerzo, Juan Garrido, tr1ana, realizo una ponencia con el titulo "Fast & Furious Incident Response", una charla muy entretenida con sus golpes cómicos, con la que se puede aprender mucho con pequeños detalles y trucos para intentar evitar el cripto-malware.

Juan Garrido, tr1ada

Luego llego el momento de Marc Rivero, Seifreed, representando a PayloadSecurity  su ponencia llevaba por titulo "VxStream Sandbox- Effctive  Incident Response", charla cortita pero contundente, dando lugar a tiempo para resolver el reto, y dar el premio al ganador.

Marc Rivero, Seifreed
representando a PayloadSecurity

Poco más tarde, tras la entrega del premio de "El Reto" a los ganadores(quedando en un empate), se comunico que la asistencia de uno de los ponentes se cancelaba por problemas meteorológicos y cancelaciones de vuelos, ante este suceso, Lorenzo Martínez, lawwait, representando Securízame cubrió esta ponencia con otra que tenia preparada, "Historias y modus operandi de ataques APT(Advanced Persistent Threats)", durante esta charla se narró el funcionamiento los ataques APT de la peculiar forma que tiene de presentar Lorenzo Martínez. 

Lorenzo Martínez, lawwait,
representando a Securízame

Llegamos a la ultima ponencia del primer día, presentada por Cecilio Sanz, Leandro Naranjo & Gonzalo Garcia, el equipo de Enigmasec, presentando la ponencia "Los logs no mienten - Enigmabox" en las cual nos explicaron el funcionamiento de  su producto Enigmabox un gran equipo de seguridad, el cual "pintaba" los fallos de seguridad mediante los logs.

Leandro Naranjo  Gonzalo Garcia
integrantes de Enigmasec

Viendo la longitud de la entrada he decidido cortarlas en dos entradas, usando como eje los diferentes días,  muy pronto subiré la segunda parte donde publicare el congreso.

Hasta aquí llega esta entrada sobre el primer día de la Hackron 2017. Si te ha gustado y crees que a alguien le puede ser de interés comparte.

Un saludo y nos vemos en la siguiente entrada!!!!

Conocimientos adquiridos

En esta entrada voy a hablar de los conocimientos que he ido adquiriendo en estos últimos meses.

Estos últimos meses he estado frecuentado  Miriadax, una plataforma de cursos online que tiene un procedimiento de trabajo muy curioso, que yo no he visto en ninguna otra web. Este método es el siguiente: nos permite inscribirnos al curso y realizar lo gratuitamente, pero aparte de este hecho, una vez finalizado el curso automáticamente, nos llega un certificado de superación,  este certificado es gratuito y no tiene un valor académico, solo sirve para dar constancia de que que has hecho un curso, y lo recibes después de realizar cualquiera de los cursos de esta plataforma. Dependiendo del curso que se haya realizado, tras su finalización también te permiten adquirir el certificado oficial por un precio no muy elevado que sueles estar entorno a 40€.

Dentro de esta plataforma he realizado algunos cursos muy interesantes, el primer curso que realice fue el curso de "Introducción a la programación. Descubre el lenguaje de la era digital." y esta apoyado e impartido por Telefónica Fundación. Este curso no ofrecía la posibilidad de adquisición de un certificado de valor académico, solo daba el certificado de superación.

El curso comenzó el 20 de julio de 2016 y termino el 5 de septiembre de 2016. Con una duración de 6 semanas de las cuales según los creadores del curso se estiman unas 30 horas de estudio. Esta fue la primera edición del curso, viendo el gran éxito que tubo esta edición, se han realizado varias (creo que ya van con la cuarta edición). Para conocer futuras ediciones y otros cursos interesantes puedes visitar la pagina de  Empleo digital - Fundación Telefónica.

Con este curso aprendí fundamentos básicos de programación en JavaScript, durante el curso se podía observar grandes diferencias de  nivel en los usuarios que estaban cursando lo, por lo que en el foro te podías encontrar preguntas muy básicas, o muy avanzadas, teniendo respuestas de los usuarios que ya tenían experiencia, gracias a esto  podías encontrar respuesta a todas tus dudas, también a la ora de ir haciendo practicas se suelen colgar el foro, dando lugar a practicas muy básicas y otras realizadas por conocedores del tema muy avanzadas, de esta forma podías observar y aprender de estas practicas incluso si no entendías algo preguntarle al usuario que la había creado, normalmente recibiendo respuesta al poco tiempo y así ir aprendiendo aparte de con los vídeos que te proporciona el curso.

Mi opinión frente al curso una vez finalizado. El curso a mi me gusto bastante ya que adquirí un conocimiento básico de programación en JavaScript que permite seguir estudiando este lenguaje de programación para seguir mejorando. También decir que el curso esta realizados tanto por alumnos de programación como por profesores, que a veces dan determinadas cosas por sentado pensando que  los usuarios lo saben, dando lugar a dudas en el foro que gracias a otros usuarios que ya conocen la respuesta ayuden a los mas nuevos.


El curso lo recomiendo al 100% para cualquiera que quiera aprender a programar, y el único consejo que puedo dar a cualquiera que se aventure a realizar el curso es que visiten mucho el foro, tanto para ayudar como para recibir ayuda.  Estoy buscando un poco de tiempo  para volver a realizar otra edición de este curso.

En la plataforma de Miriadax también realicé el curso "Conectando el futuro con Fibra Óptica" que esta apoyado e impartido por Universitas Telefonica. Este curso ofrecía el certificado gratuito de superación sin valor académico oficial y un certificado de pago de participación con valor curricular.

Presentacion curso FTTH Miriadax - Conecta2 con Fibra from vértice on Vimeo.

El curso comenzó el 1 de agosto de 2016 y finalizo el 19 de septiembre de 2016. Con una duración de 6 semanas de las cuales según los creadores del curso se estiman unas 30 horas de estudio. Esta fue la primera edición del curso, y no he conseguido información que explique si se va a volver con otra edición.

Con este curso aprendí, que es la fibra óptica, como funciona, como se utiliza, ventajas e inconvenientes, tipos, características, identificación, los conectores que se usa en cada caso, como se deben realizas reparaciones, como se debe realizar empalmes "Uniones de fibra", como funciona la tecnología GPON, las estructuras de red, las diferentes cajas ópticas que hay y su uso, como se debería realiza una instalación de fibra, como se tiene que utilizar los equipos de medias ópticas. 

Mi opinión frente al curso una vez finalizado. El curso a mi me gusto bastante ya que adquirí el conocimiento de todo lo que tiene que ver con la fibra óptica y los conocimientos de como un técnico realiza los trabajos de instalación, reparación y mantenimiento de una linea de fibra óptica. Así, como curiosidad, puedo decir que cuando voy andando por las calles, suelo ver y identificar cables de fibra con mucha facilidad, cosa que me parece muy curiosa ya que los veo por lugares que siempre había pasado y nunca los había visto.

Este curso lo recomiendo 100% a todo aquel que tenga mera curiosidad por la fibra óptica. Aunque no puedo garantizar que valla a volver a existir la posibilidad de asistir a dicho curso, por la falta de información de una futura edición. 

Ahora llegamos al apartado de conocimientos adquiridos por la educación publica, como ya he mencionado anteriormente estoy cursando bachillerato tecnológico, y por ahora conocimientos adquiridos que merezcan mención en este blog.

Se me enseño el lenguaje Html y por consiguiente  el lenguaje Css, de ambos se me dio una introducción muy básica,  pero lo suficiente para poder seguir estudiando por mi cuenta, buscando como seguir avanzando,  me encontré con una web (Libros y manuales sobre HTML, CSS, PHP, JavaScript y Symfony) en la que se encuentra algunos libros sobre programación y entre ellos estaba "Introducción a xhtml" y  "Introducción a css" con los cuales adquirí conocimiento de Xhtml, del cual no conocía su existencia descubriendo que es la evolución del lenguaje Html al cual me habían introducido.

            

Gracias a estos manuales pude actualizar lo que ya conocía de Html a el nuevo lenguaje que era Xhtml, y seguir avanzando un poquito más, estos manuales no los he llegado a finalizar ya que se nos empezó a introducir al lenguaje C++ el cual estoy recibiendo actualmente una introducción muy básica.

                                                              

Hasta aquí llega esta entrada informativa sobre los conocimientos adquiridos hasta el momento. Si te ha gustado y crees que a alguien le puede ser útil comparte.

Un saludo y nos vemos en el siguiente entrada!!!!