Ciberinteligencia y OSINT como parte de la seguridad corporativa

La imperiosa necesidad de un excelente nivel de seguridad / ciberseguridad corporativa en cualquier tipo de empresa es algo que, a día de hoy, es indiscutible.

Todas las organizaciones tratan de implantar las medidas más adecuadas de prevención y protección que están a su alcance por capacidad, recursos, presupuestos, etc., protegiendo así diferentes, infraestructuras, sistemas, aplicaciones, o “secciones” de su enorme (cada vez más) superficie de exposición.

Éstas optarán por soluciones software, hardware, aplicaciones y servicios On-Premise y/o Cloud, de todo tipo, autogestionados y/o gestionados por terceros, para proteger todos los frentes posibles: antivirus / antimalware, EDRs (Endpoint Detection and Response), MDRs (Managed Detection and Response), firewall, IDSs (Intrusion Detection System), IPSs (Intrusion Prevention System), soluciones de protección de accesos, 2FA (Doble Factor de Autenticación) y MFA (Múltiple Factor de Autenticación), CASBs (Cloud Access Security Browker), backups, VPNs (Virtual Personal Network), certificados, protección de correo electrónico, pentesting, awareness, SIEMs (Security Information and Event Management), etc.

Sin embargo, muchas de ellas, aún no tiene aproximaciones a la inteligencia, a la ciberinteligencia, ni a las técnicas OSINT (Open Source Intelligence), las cuales, actualmente, son herramientas esenciales para la investigación y el rastreo de información relevante.

Pero, primero, veamos qué es cada uno de estos conceptos: inteligencia, ciberinteligencia y OSINT.

La inteligencia corporativa consiste en un proceso mediante el cual se recopila determinado tipo de información (la que relativa al objetivo que buscamos) que posteriormente es revisada y analiza para incrementar conocimiento y calidad del mismo. Esta tarea concluye en la generación de un marco, contexto o mejor escenario de conocimiento, gracias al cual (más y mejor información) se podrán tomar mejores y más correctas medidas y decisiones, decisiones informadas.

En el caso de la ciberseguridad, la ciberinteligencia corporativa, el tipo de información recopilada y analizada es la referente a datos relacionados con ciberamenazas, vulnerabilidades, ciberataques, actores maliciosos, etc. La ciberinteligencia, por tanto, es un área específica de la inteligencia que se centra en el ciberespacio y en las ciberamenazas.

Y, esta información, ¿Dónde está y cómo se consigue? La información se encuentra dentro y fuera de la organización y está dispersa en determinados “lugares”, dispositivos, ordenadores, servidores, bases de datos, correo electrónico, servicios de mensajería instantánea, nube de terceros, servicios externalizados, páginas web en Internet, la “Internet profunda” (Deep Web y Dark Web), redes sociales, infraestructuras de operadores, etc., de donde hay que obtenerla de forma explícita y con los mecanismos o herramientas más adecuados para cada caso.

Este proceso y herramientas de recopilación y obtención de información a partir de orígenes de todo tipo y fuentes de acceso público, sin que en el proceso se vulnere ningún derecho ni medida de seguridad, es lo que se denomina OSINT (Open Source Intelligence o Inteligencia de Fuentes Abiertas).

En materia de OSINT y ciberinteligencia, se debe ser escrupuloso y cauteloso, especialmente cuando la información se consigue accediendo a sistemas de terceros, entidades, administraciones, organizaciones y empresas, cuya seguridad no debe de ser violada.

En ese proceso OSINT y de ciberinteligencia, por tanto, existen varios estadios:

• Determinación de objetivos y requisitos.

• Identificación de fuentes de información relevante más apropiadas.

• Recopilación de la información y contraste de la misma.

• Procesamiento de la información recogida (formateo para que se pueda analizar).

• Análisis de la información procesada.

• Inteligencia. Transformación de la información trabajada en contenido útil para la toma de decisiones. Informe y conclusiones.

• Repetición del proceso o iteración, si fuese necesario.7

En todo este proceso se debe de ser muy cuidadoso y asegurarse que la información obtenida es fidedigna y certera, evitando extractar datos de fuentes no reconocidas o poco fiables, así como evitar los casos de infoxicación y el síndrome de Diógenes de datos, relativos al exceso de información que no aporta valor, sino que dificulta el proceso. Del mismo modo, también hay que gestionar correctamente los volúmenes pobres de información y la ausencia de ésta.

Respecto al lugar, medio, mecanismo, o canal donde buscar, pueden ser infinidad, dependiendo de lo que estemos buscando. Entre ellos, los siguientes:

• Motores de Búsqueda (Google, Bing, etc.).

• Dominios e IPs (para conseguir información sobre un determinado dominio, o una determinada dirección IP, por ejemplo, utilizado WHOIS en Internet).

• Redes Sociales (búsqueda de usuarios, cuentas, perfiles y su información en RRSS).

• Imágenes y Videos (análisis de imágenes para identificar lugares o personas).

• Puertos y Servicios (escaneo de puertos disponibles/accesibles).

• IP para geolocalización (averiguar el lugar donde se encuentre una IP, un determinado dispositivo).

• En la Web (contenido de Internet y de los sitios web que aloja).

En lugar donde buscar o el tipo de información a tratar de localizar y analizar puede ser de muchas categorías por lo que, dependiendo del tipo de información a encontrar e incluso el tipo de formato en el que se encuentra, OSINT puede tomar otras denominaciones como las siguientes:

• HUMINT (Inteligencia Humana). Consiste en la localización y recopilación de información a través de interacciones humanas, a través de personas (empleados, exempleados, clientes, usuarios, proveedores, etc.), mediante conversaciones, cuestionarios, etc. También abarca la búsqueda de información sobre personas.

• SOCINT (Inteligencia de Redes o Medios Sociales). Consiste en la localización y recopilación de información a partir de las Redes Sociales y servicios online de todo tipo, en busca de actores maliciosos y actividades ilícitas o ilegales.

• IMINT (Inteligencia de Imágenes). Consiste en la localización y recopilación de información a partir de imágenes y de videos.

• GEOINT (Inteligencia Geoespacial). Consistente en la localización y recopilación de información a partir de datos ubicaciones físicas, como el origen de un ciberataque.

• SIGINT (Inteligencia de Señales). Consistente en la localización y recopilación de información a partir de señales electrónicas (radio, teléfono, monitorización de la red, etc.).

Para realizar este tipo de actividades, se deben tener unos conocimientos técnicos especializados en materia de fuentes abiertas, extracción y herramientas para ello, informática, programación, seguridad, ciberseguridad, privacidad, conocimientos legales. En definitiva, el rol de un analista de ciberseguridad o un analista OSINT, corresponde perfil técnico pero multidisciplinar.

Teniendo esos conocimientos, para poder trabajar en OSINT, además, debemos contar con recursos y herramientas especiales. Algunos pueden ser tan “accesibles” y “sencillos” como los dorks de navegadores como Google Chrome, Microsoft Bing y/o DuckDuckGo, con cada uno de sus comandos, operadores y parámetros de búsqueda.

Además, en lo que a Google Chrome se refiere, contamos con Google Images, que nos permite buscar información, basándose en una determinada imagen de partida que le hayamos indicado.

Además de los operadores en estos buscadores, existen muchas otras herramientas profesionales específicas para este tipo de labores, como:

• Social Links (para buscar, extraer, analizar y visualizar información de Redes Sociales, mensajería y Dark Web).

• Shodan (para encontrar máquinas y dispositivos que están conectados a Internet, tales como ordenadores, móviles, servidores, cámaras y cualquier otro tipo de dispositivo IoT).

• Tinfoleak (para obtener información a través de Twitter -ahora X-).

• Osintgram (para obtener información a través de Instagram y análisis de cuentas de Instagram).

• Maltego (graficar datos e información recopilada).

• NextVision (buscar en la Internet oscura, Deep Web y Dark Web).

• Creepy (para extraer información de redes sociales como Twitter -ahora X-, Flickr, Facebook, etc. y, además, encontrar ubicaciones físicas).

• DNSDumpster (busca toda la información sobre el dominio que le indiquemos).

• Metagoofil (extrae los metadatos de un determinado archivo que le indiquemos).

• FOCA (extrae archivos ofimáticos relacionados, o que se encuentren, en un determinado dominio que le indiquemos).

• IPinfo (devuelve información sobre las direcciones IPs que le indiquemos).

Y, una multitud de ellas que no reflejamos en este listado.

Como decíamos, estas labores requieren de capacitación, experiencia y destrezas especializadas y entrenadas con el tiempo. En definitiva, perfiles que no existen en la mayoría de las empresas, sino que deben ser contratados externamente como servicios profesionales especialistas.

En términos de seguridad y ciberseguridad, estos servicios profesionales y especialistas, pueden ayudar a las empresas a:

• Detectar amenazas que puedan afectar a la empresa.

• Investigar a la competencia y al mercado, obteniendo información de valor a modo de ventaja competitiva.

• Investigar el nivel de reputación e imagen de marca de la empresa para evaluar su posicionamiento y detectar posibles ataques de difamación, etc.

• Evaluar vulnerabilidades, identificando posibles puntos débiles de la empresa (técnicos, comerciales, de marketing, de imagen, etc.).

• Realizar seguimiento de actores maliciosos, rastreando perfiles concretos y extractando información de valor respecto a sus posibles actividades maliciosas o ilícitas.

• Ayudar en el cumplimiento normativo, detectando fallas, no conformidades o incumplimientos, en materia de privacidad, ciberseguridad y legales, que poder corregir.

¿Necesita tu empresa ayuda con 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 de 𝗖𝗶𝗯𝗲𝗿𝗶𝗻𝘁𝗲𝗹𝗶𝗴𝗲𝗻𝗰𝗶𝗮 y 𝗢𝗦𝗜𝗡𝗧, como los que ofrecemos en 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅: 𝙎𝙚𝙧𝙫𝙞𝙘𝙞𝙤𝙨 𝙙𝙚 𝘾𝙞𝙗𝙚𝙧𝙞𝙣𝙩𝙚𝙡𝙞𝙜𝙚𝙣𝙘𝙞𝙖 𝙮 𝙊𝙎𝙄𝙉𝙏?

Puedes ampliar detalles sobre nuestros servicios visitando la página de 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅.

Si lo prefieres, contáctanos y hablamos.

OPSEC, estrategia de protección de información crítica y sensible

Que la información (tanto personal como corporativa) es poder, no es ninguna novedad. Que, además, con ella (tanto si se le da buen uso como mal uso) se pueden generar negocios muy rentables, tampoco es noticia.

Lamentablemente, estamos muy acostumbrados a facilitar a diario (con consentimiento, explícito, expreso, informado, tácito, etc., o no) datos de carácter personal, empresarial, corporativo, confidencial, e incluso de carácter crítico, como “moneda de cambio” para la prestación de servicios (generalmente gratuitos, pero no siempre), o por otros motivos.

Ya sabemos que debemos proteger la información. Pero, esto nos lleva a que quizá debamos ir un paso más allá, especialmente en el caso de las empresas y organizaciones que manejan datos, propios o de terceros (clientes, empleados, proveedores, partners, etc.), de carácter sensible y/o confidencial.

Se trata de una pieza más en la gestión de riesgos corporativos, los cuales se deben mitigar mediante mecanismos y acciones de seguridad física, seguridad lógica (ciberseguridad). 

Antes de gestionar los riesgos, debemos conocer cuáles son los activos a proteger que podrían verse afectados por amenazas y ser víctimas potenciales de su acceso, modificación o extracción (exfiltración o fuga de datos). Obviamente será la información, serán los datos. Sin embargo, lo que necesitamos averiguar es ¿Cuáles son exactamente?, ¿Dónde están?, ¿De qué tipo son?, ¿Cómo se almacenan y gestionan?, etc. Es decir, debemos realizar una tarea previa de descubrimiento y clasificación.

Con todo ello, tendremos más claro qué datos vamos a proteger y cómo debemos hacerlo debido a sus características.

Este es el objetivo de los procesos y servicios OPSEC (Operational Security, Seguridad de las Operaciones), que vienen a cubrir dichas necesidades. Con ellos conseguiremos evitar los casos de fuga de información estableciendo metodología y mecanismos de protección de datos y data loss prevention (prevención de pérdida de datos, o DLP).

Con un servicio OPSEC integral se identifica, se clasifica y se protege la información importante de una organización y, al mismo tiempo, se implementan contramedidas de protección para dificultar que los adversarios obtengan información crítica.

El objetivo de un servicio 𝗢𝗣𝗦𝗘𝗖, por tanto, es proteger la información sensible y la información crítica de una organización, identificando amenazas potenciales y estableciendo contramedidas efectivas para mitigar riesgos.

Consiste en un servicio complejo con diferentes actividades que pasan desde un exhaustivo análisis preliminar de la información que gestiona la empresa, con su identificación y clasificación, hasta el establecimiento de todo tipo de medidas de protección:

1. Identificación de la información crítica y sensible. Se debe trabajar para determinar qué información existente es la que realmente debe ser considerada como crítica y/o sensible para la empresa.
2. Clasificación de la información, por tipos y por grados. Cuando ya tenemos identificada la información a proteger, y dado que no todo tipo de información se protegerá del mismo modo, debemos conocer sus características, en base a dos factores: su importancia en la organización y el nivel de sensibilidad.
3. Identificación de amenazas potenciales. Si ya conocemos la información a proteger, de qué tipo es, e incluso el nivel de importancia y sensibilidad, es el momento de averiguar qué amenazas (externas o internas y de toda clase de índole) podrían poner en riesgo la seguridad de esa información en concreto.
4. Análisis de vulnerabilidades. Conociendo los activos y las amenazas que podrían afectarles, además del modo en el que se almacena, trata y gestiona la información, seremos capaces de identifican posibles agujeros de seguridad y debilidades a corregir en la gestión de dicha información.
5. Desarrollo de contramedidas. Abordemos la prevención en detalle desde todo el conocimiento previo adquirido, definiendo, construyendo, desarrollando e implementando medidas (técnicas o no), procedimientos, herramientas, servicios, técnicas, recursos, y capacidades de protección proactiva.
6. Implantación de contramedidas. Despleguemos, apliquemos, pongamos en marcha y configuremos las medidas desarrolladas, asegurándonos de que sean aplicadas correctamente.
7. Revisión y proceso continuo. Por su puesto, un ejercicio o servicio OPSEC no es algo aislado que se realiza en una ocasión para cubrir expediente y listo. Se trata de un proceso continuo que requiere una evaluación constante de activos (datos, información), amenazas potenciales, vulnerabilidades y contramedidas existentes. Sólo esto asegurará que la información crítica y sensible continúa estando protegida.

Aplicando de forma regular este tipo de evaluaciones o servicios OPSEC conseguiremos mejorar la seguridad de nuestra empresa y de sus datos, obteniendo importantes beneficios para la organización:

• Protección contra amenazas, externas y también internas .Ya sabemos que las amenazas pueden ser de carácter externo (ciberdelincuentes, ciberataques, por ejemplo) y también de carácter interno (insiders que actúan de forma intencionada o no). Un servicio OPSEC nos permitirá proteger ambos casos, por lo que aporta una protección de datos integral. 
• Reducción de riesgos. Dado que los riesgos asociados a los activos son descubiertos y mitigados pudiendo establecer medidas con antelación, esto se traduce en la disminución de casos de pérdida de información crítica.
• Cumplimiento normativo (compliance). Muchas empresas están obligadas a cumplir (e incluso estar certificadas) bajo determinados marcos, regulaciones, estándares o normativas de seguridad y de protección de datos (LOPD, LOPDGDD, RGPD/GDPR, ENS, NIS, DORA, entre otras). La realización de ejercicios o servicios OPSEC ayuda a garantizar el cumplimiento normativo de dichas empresas.
• Toma de decisiones informadas. Al proteger la información crítica de la organización, es más fácil poder tomar decisiones con mayor conocimiento y, por tanto, estratégicas más sólidas basadas en datos seguros y confiables.

Sin embargo, no todas las empresas están capacitadas ni preparadas para realizar este tipo de ejercicio de introspección, análisis y establecimiento de medidas, debiendo solicitar la prestación de servicios profesionales por parte de expertos en OPSEC. Es decir, es probable que una empresa adolezca de características como las siguientes como para implementarlo por su cuenta:

• Concienciación. Donde, sino toda, una inmensa parte de la plantilla de la organización conoce la importancia de la seguridad y protección del dato, así como lo que son los servicios de seguridad de las operaciones.
• Conocimientos y capacidades. En este caso, además de tener conciencia, lo que debería tener una empresa son recursos y capacidades (humanas, técnicas y económicas) para ejecutar plantes OPSEC internos por su propia cuenta.
• Recursos limitados. Aun cumpliendo los dos aspectos anteriores, es más que probable que una organización carezca de personal y de presupuesto para implementar medidas de este tipo internamente.
• Estado del arte y evolución continua de las amenazas. Otro factor en contra es que las amenazas, técnicas y tecnologías de ataque para la obtención de datos, cambian constantemente y a un ritmo vertiginoso como para que una empresa que no se dedica a la ciberseguridad, pueda hacer frente a ello.

Por estos motivos, siempre es más recomendable contar con expertos que nos ayuden a ejecutar este tipo de servicios de seguridad en las operaciones (OPSEC), atendiendo tanto a la seguridad física como a la lógica e implantando contramedidas que dificulten que el ciberatacante pueda llegar a conocer información y características de los datos con los que cuenta la organización.

¿Tu empresa tiene la capacidad y destreza necesarias para realizar actividades OPSEC?

¿Necesitas tu empresa ayuda con este tipo de servicios, como los que ofrecemos en Zerolynx: 𝗦𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 𝗱𝗲 𝗹𝗮𝘀 𝗢𝗽𝗲𝗿𝗮𝗰𝗶𝗼𝗻𝗲𝘀 (𝗢𝗣𝗦𝗘𝗖)?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Seguridad en el ciclo de vida del software

El uso de aplicaciones, servicios, infraestructuras y servicios software, o basados en software, es algo que está a la orden del día y que hacemos varios cientos de veces cada jornada, cuando usamos nuestro móvil personal o corporativo, servicios en la nube, conexiones a nuestra empresa y puesto de trabajo, videoconferencias y reuniones en línea, consulta de nuestro correo electrónico, cuando vemos la tele, e incluso cuando conducimos nuestro coche.

Por ese motivo, es de vital importancia que todo el software en el que se basan los servicios que utilizamos, además de estar bien implementado y no tener problemas, fallos, 𝗯𝘂𝗴𝘀, o 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀, sea completamente seguro.

Ya tenemos asumido que el uso de herramientas, productos y servicio de 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, es algo necesario. Pero, ¿𝘁𝗲𝗻𝗲𝗺𝗼𝘀 𝗮𝘀𝘂𝗺𝗶𝗱𝗼 𝗾𝘂𝗲 𝗹𝗼𝘀 𝗽𝗿𝗼𝗱𝘂𝗰𝘁𝗼 𝘆 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 𝗾𝘂𝗲 𝘂𝘀𝗮𝗺𝗼𝘀, 𝗱𝗲𝗯𝗲𝗻 𝗱𝗲 𝘀𝗲𝗿 𝘁𝗮𝗺𝗯𝗶é𝗻 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗼𝘀, sin agujeros de seguridad, ni 𝗯𝘂𝗴𝘀, ni 𝗽𝘂𝗲𝗿𝘁𝗮𝘀 𝘁𝗿𝗮𝘀𝗲𝗿𝗮𝘀?

Tanto consumidores (usuarios particulares y corporativos), como empresas, debemos exigir a fabricantes y proveedores la adopción del modelo de desarrollo de software centrado en la 𝙘𝙞𝙗𝙚𝙧𝙨𝙚𝙜𝙪𝙧𝙞𝙙𝙖𝙙 𝙙𝙚𝙨𝙙𝙚 𝙚𝙡 𝙙𝙞𝙨𝙚ñ𝙤 y en todo el 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙫𝙞𝙙𝙖 𝙙𝙚𝙡 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚.

Tan importante es realizar un desarrollo seguro del software, como concebirlo y definirlo desde el inicio como tal, teniendo siempre encima de la mesa, el concepto “𝙘𝙮𝙗𝙚𝙧𝙨𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙛𝙞𝙧𝙨𝙩”.

Para lograr un desarrollo seguro de software es necesario implementar la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 en todos los ciclos de desarrollo, desde el diseño hasta el 𝗱𝗲𝘀𝗽𝗹𝗶𝗲𝗴𝘂𝗲 final (sí, en ese momento, también es importante). Esto es posible aplicando determinadas metodologías y tecnologías de desarrollo seguro.

Es fundamental que el foco en la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, esté presente desde la concepción de un nuevo software, servicio, producto o aplicación. Es decir, quien define el software, sus características y casos de uso, debe definir también cómo se debe desarrollar para que acabe siendo un software, producto y/o servicio seguro.

En ese momento de identificación de características y definición de las mismas, también se deben identificar posibles activos y amenazas, así como los 𝗿𝗲𝗾𝘂𝗶𝘀𝗶𝘁𝗼𝘀 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 y 𝗿𝗲𝗾𝘂𝗶𝘀𝗶𝘁𝗼𝘀 𝗱𝗲 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱. Existen algunas metodologías y marcos para ayudar en esta tarea, como lo pueden ser el 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝘿𝙚𝙫𝙚𝙡𝙤𝙥𝙢𝙚𝙣𝙩 𝙇𝙞𝙛𝙚𝙘𝙮𝙘𝙡𝙚 (𝙎𝘿𝙇), o el 𝘽𝙪𝙞𝙡𝙙𝙞𝙣𝙜 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙄𝙣 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝘽𝙎𝙄𝙈𝙈2).

Como decíamos en todo el desarrollo, en cualquier momento o ciclo del mismo, la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 debe de estar integrada como un componente más de la implementación, no tratándose de un complemento.

Del mismo modo que hemos oído hablar y aplicamos el modelo del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚 (𝙎𝘿𝘾𝙇), al aplicar la ciberseguridad como un componente más del mismo, estaremos hablando del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚 𝙨𝙚𝙜𝙪𝙧𝙤 (𝙎𝙎𝘿𝙇𝘾), el cual conforma un marco que asegura la inclusión de la seguridad desde el principio hasta el final del proceso.

En el caso del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚 (en cualquier modo, cascada, ágil, etc.) hablamos de las siguientes etapas, en las que la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 no está integrada ni es un elemento primordial de cada uno de ellas sino, en todo caso, algo que se “comprueba” al finalizar:

• Definición y Planificación

• Análisis

• Diseño

• Programación / Implementación

• Pruebas / Calidad

• Despliegue

• Mantenimiento

• Documentación

Sin embargo, en el caso del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙨𝙚𝙜𝙪𝙧𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚, embebidos a las etapas tradicionales del desarrollo de software, además, tendremos:

• 𝗜𝗱𝗲𝗻𝘁𝗶𝗳𝗶𝗰𝗮𝗰𝗶ó𝗻, 𝗱𝗲𝗳𝗶𝗻𝗶𝗰𝗶ó𝗻 𝘆 𝗮𝗻á𝗹𝗶𝘀𝗶𝘀 𝗱𝗲 𝗹𝗼𝘀 𝗿𝗲𝗾𝘂𝗶𝘀𝗶𝘁𝗼𝘀 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, que aúna los requisitos funcionales y nos funcionales, con los específicos de seguridad/ciberseguridad.

• 𝗗𝗶𝘀𝗲ñ𝗼 𝘀𝗲𝗴𝘂𝗿𝗼/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗼, donde la definición del modelo operativo de cada característica debe aplicar criterios de 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 como el 𝙥𝙧𝙞𝙣𝙘𝙞𝙥𝙞𝙤 𝙙𝙚 𝙢𝙚𝙣𝙤𝙧 𝙥𝙧𝙞𝙫𝙞𝙡𝙚𝙜𝙞𝙤 y el 𝙥𝙧𝙞𝙣𝙘𝙞𝙥𝙞𝙤 𝙙𝙚 𝙙𝙚𝙛𝙚𝙣𝙨𝙖 𝙚𝙣 𝙥𝙧𝙤𝙛𝙪𝙣𝙙𝙞𝙙𝙖𝙙.

• 𝗜𝗺𝗽𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝗰𝗶ó𝗻, 𝗽𝗿𝗼𝗴𝗿𝗮𝗺𝗮𝗰𝗶ó𝗻, 𝗼 𝗰𝗼𝗱𝗶𝗳𝗶𝗰𝗮𝗰𝗶ó𝗻 𝘀𝗲𝗴𝘂𝗿𝗮/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗮, en la cual los programadores aplican técnicas y hábitos de codificación segura, como la 𝙫𝙖𝙡𝙞𝙙𝙖𝙘𝙞ó𝙣 𝙙𝙚 𝙚𝙣𝙩𝙧𝙖𝙙𝙖𝙨, el 𝙘𝙤𝙣𝙩𝙧𝙤𝙡 𝙙𝙚 𝙖𝙘𝙘𝙚𝙨𝙤, o el análisis y mitigación de 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀.

• 𝗣𝗿𝘂𝗲𝗯𝗮𝘀 𝗱𝗲 𝗰𝗮𝗹𝗶𝗱𝗮𝗱 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 que, al igual que las pruebas de calidad del desarrollo propiamente dicho, se basan en testear si dicho desarrollo realizado puede ser violado o no, si tiene agujeros de seguridad, 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀 y cuánto de robusto es, mediante determinadas 𝙥𝙧𝙪𝙚𝙗𝙖𝙨 𝙙𝙚 𝙥𝙚𝙣𝙚𝙩𝙧𝙖𝙘𝙞ó𝙣, pruebas de 𝙫𝙪𝙡𝙣𝙚𝙧𝙖𝙗𝙞𝙡𝙞𝙙𝙖𝙙𝙚𝙨, etc.

• 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 𝗱𝗲 𝗰𝗮𝗹𝗶𝗱𝗮𝗱 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, donde, una vez testeado o probado el software y aplicadas las medidas correctivas necesarias, se comprueba que software desarrollado, además cumple con los estándares de seguridad/ciberseguridad definidos a los que debe ceñirse.

• 𝗗𝗲𝘀𝗽𝗹𝗶𝗲𝗴𝘂𝗲 𝘆 𝗲𝗻𝘁𝗿𝗲𝗴𝗮 𝘀𝗲𝗴𝘂𝗿𝗮/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗮, pues tan importante es el software en sí mismo como los mecanismos de entrega y puesta en marcha del mismo para su uso definitivo.

Algunos de los marcos, recomendaciones, herramientas y certificaciones a tener en cuenta para el 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗼 𝘀𝗲𝗴𝘂𝗿𝗼, son las siguientes:

• El 𝗮𝗻á𝗹𝗶𝘀𝗶𝘀 𝗱𝗲 𝗮𝗽𝗹𝗶𝗰𝗮𝗰𝗶𝗼𝗻𝗲𝘀 𝘆 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀, que permite emplear herramientas de escaneo estático y dinámico para la identificación de 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀 en el 𝗰ó𝗱𝗶𝗴𝗼 𝗳𝘂𝗲𝗻𝘁𝗲 desarrollado y en la configuración de lo desarrollado. El 𝙉𝙄𝙎𝙏 (𝙉𝙖𝙩𝙞𝙤𝙣𝙖𝙡 𝙄𝙣𝙨𝙩𝙞𝙩𝙪𝙩𝙚 𝙤𝙛 𝙎𝙩𝙖𝙣𝙙𝙖𝙧𝙙𝙨 𝙖𝙣𝙙 𝙏𝙚𝙘𝙝𝙣𝙤𝙡𝙤𝙜𝙮) ayuda en este sentido con recomendaciones, pautas y estándares para el análisis de seguridad del software y aplicaciones.

• El 𝙎𝙤𝙛𝙩𝙬𝙖𝙧𝙚 𝘼𝙨𝙨𝙪𝙧𝙖𝙣𝙘𝙚 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝙎𝘼𝙈𝙈), o el 𝙊𝙥𝙚𝙣 𝙎𝙤𝙛𝙩𝙬𝙖𝙧𝙚 𝘼𝙨𝙨𝙪𝙧𝙖𝙣𝙘𝙚 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝙊𝙥𝙚𝙣𝙎𝘼𝙈𝙈), 

• 𝙊𝙥𝙚𝙣 𝙒𝙚𝙗 𝘼𝙥𝙥𝙡𝙞𝙘𝙖𝙩𝙞𝙤𝙣 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙋𝙧𝙤𝙟𝙚𝙘𝙩 (𝙊𝙒𝘼𝙎𝙋), facilita un modelo estructurado para evaluar la seguridad del software, incorporando la evaluación de procesos, la formación y los KPIs o métricas.

• El 𝘽𝙪𝙞𝙡𝙙𝙞𝙣𝙜 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙄𝙣 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝘽𝙎𝙄𝙈𝙈 𝙮 𝘽𝙎𝙄𝙈𝙈2), que permite comparar la madurez de una organización en materia de desarrollo seguro de software con otras organizaciones de diferentes sectores.

¿𝗧𝘂 𝗲𝗺𝗽𝗿𝗲𝘀𝗮 𝘁𝗶𝗲𝗻𝗲 𝗰𝗮𝗽𝗮𝗰𝗶𝗱𝗮𝗱 𝘆 𝗱𝗲𝘀𝘁𝗿𝗲𝘇𝗮 𝗽𝗮𝗿𝗮 𝗿𝗲𝗮𝗹𝗶𝘇𝗮𝗿 𝗰𝗶𝗰𝗹𝗼𝘀 𝗱𝗲 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗼 𝘀𝗲𝗴𝘂𝗿𝗼 𝗱𝗲 𝘀𝗼𝗳𝘁𝘄𝗮𝗿𝗲?

¿Necesitas tu empresa ayuda con 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 𝗲𝘀𝗽𝗲𝗰𝗶𝗮𝗹𝗶𝘇𝗮𝗱𝗼𝘀 𝗱𝗲 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗼 𝘀𝗲𝗴𝘂𝗿𝗼, como los que ofrecemos en 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅: 𝘿𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙎𝙚𝙜𝙪𝙧𝙤.

Puedes ampliar detalles sobre nuestros servicios visitando la página de 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅

Si lo prefieres, contáctanos y hablamos.

¿Por qué es importante contratar servicios de análisis de actores maliciosos?

 

Los ciberdelincuentes buscan continuamente el poder infiltrarse, dañar, o robar información valiosa de particulares, y en especial de empresas, lo que provoca una creciente proliferación de actores maliciosos o actores de amenazas.

Los ciberincidentes como la exfiltración de datos, la fuga de información, el acoso en línea, la ciberextorsión y las ciberamenazas, pueden llegar a tener un enorme y significativo impacto en la reputación, continuidad de negocio y finanzas de cualquier empresa.

Los servicios de identificación y análisis de actores maliciosos o actores de amenazas son una herramienta esencial en la lucha contra el cibercrimen. Consisten en técnicas y herramientas específicas y profesionales, empleadas por expertos en ciberseguridad, para el rastreo rastrear, la identificación de los ciberdelincuentes.

Pero estos ciberdelincuentes pueden trabajar solos, e incluso organizados en grupos con intereses comunes. Saber cuáles son sus objetivos a alto nivel, sus ideales, sus motivaciones, su modo de pensar, los objetivos concretos a los que podrían pretender atacar, su modus operandi, etc. es de gran importancia para luchar contra ellos. Debemos conocerles lo máximo posible para poder defendernos proactivamente y contraatacar.

Los servicios de análisis de actores maliciosos se deben basar en el máximo posible de fuentes de datos disponibles (registro de eventos de seguridad, de red, inteligencia de amenazas, análisis forense digital y análisis de comportamiento, etc.) para que los expertos analistas pueden realizar su labor.

Aunque quizá este tipo de servicios parezca muy de “ciencia ficción”, la realidad es que, debido al panorama al que nos enfrentamos, está a la orden del día y las empresas los necesitan por los siguientes motivos (entre otros):

• Prevenir ciberataques, identificando a los actores de amenazas para prevenir y permitiendo a las empresas fortalecer sus sistemas de seguridad y tomar medidas inteligentes y proactivas para protegerse de futuros ataques, conociendo quién está detrás de un ataque ya producido.

• Ofrecer una respuesta efectiva ante un ataque, puesto que los servicios de identificación de actores de amenazas ayudan a las empresas a determinar la magnitud de lo sucedido y tomar las medidas más adecuadas para mitigar el daño.

• Proteger su imagen y reputación, pudiendo reaccionar a tiempo (gestión de crisis), al averiguar quién está detrás de un ciberataque y los motivos por los que el/los ciberdelincuentes/s lo están realizando (cuáles son sus objetivos).

• Lograr un correcto cumplimiento normativo, que incluso puede que sea obligatorio para determinados tipos de empresas y sectores que deben cumplir determinadas normativas, regulaciones, o leyes.

Por otra parte, indudablemente, la contratación de este tipo de servicios, beneficia a las empresas:

• Mejorando su seguridad, al conocer a los actores de amenazas y sus tácticas, lo que les permite reducir sus vulnerabilidades y exposición a futuros ataques.

• Permitiéndoles centrarse en su negocio, ahorrando recursos, tiempo y dinero al subcontratarlo y delegarlo en empresas dedicadas a ello, puesto que los departamentos de TI (que no tienen por qué ser expertos en ciberseguridad) no consumirán tiempo a este tipo de actividades e investigaciones que se les escapan y no dominan.

• Facilitándoles el poder realizar una toma de decisiones informada, dado que la información obtenida a raíz de la investigación de los actores de amenazas es enormemente valiosa y ayuda a saber responder a los ciberincidentes y los controles y medidas de seguridad que se deben implementar.

• Reduciendo el riesgo financiero, asociado pérdidas de actividad, detención del negocio, sobornos, chantajes, extorsiones, cibersecuestros por ransomware, así como el pago de sanciones y multas debidas a incumplimientos normativos.

Las empresas no cuentan con un equipo experto dedicado a esto, por lo que subcontratan este tipo de servicios especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: Análisis de Actor Malicioso.

¿Te ayudamos a averiguar cuáles han sido los actores maliciosos de un ciberincidente y cómo se han comportado, para poder prevenir posibles nuevos ataques?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Los riesgos del Shadow IT en las organizaciones

Curioso término el de Shadow IT. Algo como “Sombra o fantasma de IT”, que viene a consistir en el conjunto de todos los sistemas, servicios, aplicaciones, software y dispositivos que los empleados de una empresa utilizan en ella sin que el departamento de TI sea consciente y quizá incluso sin que sean elementos corporativos o cuyo uso se haya aprobado.

Del mismo modo, aquellos activos digitales, servicios, sistemas y aplicaciones que quizá la empresa utilizó (internamente o hacia el público externo) en el pasado pero que cayeron en el desuso, en la obsolescencia, en el olvido, podrían consistir en parte del “inventariado de Shadow IT” de una compañía, ampliando así la superficie de ataque y exponiéndola a futuros problemas de seguridad.

Esto, al margen de parecer una nimiedad, puede entrañar graves riesgos y amenazas para la ciberseguridad de cualquier organización. Por ese motivo es crítico identificar qué empleados realizan esta actividad, con qué herramientas, cómo, y qué otras herramientas corporativas descontroladas existen para tomar medidas al respecto que eliminen o mitiguen riesgos.

Las políticas y procedimientos establecidos a nivel corporativo, son vitales y de obligatorio cumplimiento para toda la plantilla. En realidad, un empleado que se salte dichas reglas está incurriendo en una falta muy grave, pudiéndosele considerar incluso como un insider.

Asimismo, el mantenimiento (e incluso la retirada) de los activos, servicios, aplicaciones y sistemas en desuso o no actualizados de la organización, es una tarea que debería ser obligatoria para todo departamento de IT que se precie.

Los empleados recurren al Shadow IT como alternativa cuando los servicios, aplicaciones y herramientas corporativas son complejas, difíciles de utilizar, lentas, antiguas, etc. Algunos servicios o aplicaciones habitualmente utilizadas como Shadow IT podrían ser las colaborativas, dispositivos, repositorios o incluso nubes propias personales, servicios de videoconferencia y mensajería, etc., todas ellas no autorizadas previamente por el departamento de TI ni la organización.

Por tanto, el Shadow IT provoca una brecha de seguridad amplia y continua ya que esas herramientas que utilizan los empleados de forma no autorizada, no están controladas, ni gestionadas, siendo imposible mantenerlas y tampoco actualizados. Esto se traduce en que la empresa se encontrará desprotegida ante una posible explotación de vulnerabilidades y otras consecuencias.

Nuestro servicio de Búsqueda de Shadow IT, identifica riesgos a través de la búsqueda de activos e infraestructuras expuestas que no se encuentran bajo el control del área de IT.

¿Qué deberían hacer las organizaciones? El primer paso debería ser la identificación. La búsqueda de Shadow IT requiere que se rastreen y monitoricen proactivamente todas y cada una de las actividades tecnológicas para identificar aplicaciones, servicios y sistemas no autorizados en le organización. Para ello se pueden realizar tareas de:

• Auditoría de software en todos los dispositivos y sistemas corporativos, para identificar aplicaciones no aprobadas.

• Control de acceso para identificar quién tiene acceso a recursos no autorizados.

• Monitorización de los servicios y sistemas en la nube corporativa, para identificar cuentas utilizadas sin permisos.

• Análisis del tráfico de red, en busca de dispositivos y servidores desconocidos no inventariados, conexiones extrañas, comportamientos y patrones inusuales, etc.

Cuando ya conozcamos y tengamos identificados los focos de Shadow IT, deberíamos realzar un análisis de riesgos de cada uno de ellos, determinando si podrían llegar a provocar problemas de accesos indebidos, fuga de datos, agujeros de seguridad debido a vulnerabilidades, etc.

El siguiente paso es la mitigación de riesgos, gracias al conocimiento obtenido previamente y al análisis de lo detectado. Es necesario tomar medidas entre las cuales pueden estar la eliminación de los elementos Shadow IT detectados, la concienciación de empleados, e incluso la aceptación de dichas herramientas y su consistente y segura integración entre las herramientas corporativas de la empresa.

¿Te ayudamos a encontrar os Shadow IT de tu empresa?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

La huella digital corporativa y de empleados VIP

Mediante nuestros servicios de Huella Digital Corporativa y Huella Digital VIP localizamos exfiltraciones e información expuesta en Internet de la empresa y del personal clave de la misma (VIP) que pueda suponer un riesgo para la compañía.

Como ya sabemos, cada acción, cada actividad, cada paso que damos en Internet, tanto particulares como empresas, deja una marca imborrable, una profunda huella.

Las empresas, todos sus empleados y personas VIP (Very Important People / Very Important Persons) o personas de relevancia, importancia, o clave que trabajan en ella (inversores, miembros del Consejo de Administración, el CEO, los miembros del Equipo Directivo, tesoreros, personal que tiene permiso para manejar información confidencial y realizar transacciones económicas, etc.), están dejando continuamente huellas digitales de mucho valor e interés en múltiples sentidos.

Estas huellas pueden pasar generalmente inadvertidas, pero identifican y definen en detalle a la persona, a la empresa, a sus actividades, a sus comportamientos, a sus datos, a sus preferencias, a sus relaciones, etc.

Hoy en día la presencia digital es inevitable y no podríamos vivir sin ella. Las empresas se apalancan en ella para mantener, evolucionar y crecer sus relacione y negocio, mediante sus páginas web corporativas, plataformas y software colaborativo de trabajo en grupo y videoconferencia, redes sociales, servicios de mensajería y correo electrónico, etc.

En ese entorno digital diario, cada acción, cada acceso a entornos y servicios internos y externos online, cada lectura de contenidos, cada descarga, cada upload, cada email enviado, cada transacción realizada, cada relación con otras empresas y personas, cada compartición y colaboración, contribuye a la huella digital corporativa.

Con todo ello, una huella digital importante, robusta, sólida y de calidad puede generar confianza y sinergias positivas. Sin embargo, una mala gestión de la huella digital puede provocar daños irreparables a la reputación y, por ende, al negocio.

Uno de los aspectos con quizá más relevancia a día de hoy son las reseñas que otros usuarios y empresas hacen de nuestra empresa. Estas menciones y colaboraciones además nutren los motores de búsqueda que compilan dicha información para presentar una imagen completa a quienes buscan información.

Por ese motivo, es de vital importancia controlar, gestionar y monitorizar convenientemente la huella digital, mediante políticas de actuación y publicación, configuración de perfiles y permisos, estrategia corporativa y estrategias de posicionamiento de contenidos (SEO, Search Engine Optimization).

Además de particulares que puedan ser influencers, famosos, personajes públicos, políticos, empresarios, expertos en diversas materias, etc., todas las empresa cuentan con personal VIP entre sus empleados y/o partners, proveedores y colaboradores. La correcta exposición de este tipo de usuarios, es de vital importancia.

La huella digital de un usuario VIP puede extenderse más allá de lo que comparten. Los seguidores, medios de comunicación, etc., contribuyen a la narrativa digital, lo que puede llevar a la creación de malentendidos. Gestionar la huella de este colectivo corporativo, es un equilibrio delicado entre la autenticidad y la protección de la privacidad.

Tanto para las empresas como para las personas VIP, la gestión de la huella digital es crucial. Las estrategias cuidadosas pueden influir en la percepción pública, construir confianza y generar oportunidades, o todo lo contrario si no se llevan a cabo correctamente.

La transparencia, la autenticidad y el compromiso son los valores fundamentales para mantener una huella digital positiva.

El definitiva, la huella digital es un reflejo de quién es la empresa y lo que ésta representa. Es, por tanto, un activo de enorme valía, como cualquier otro.

Tanto las empresas como los empleados de la misma deben asumir la responsabilidad de forjar una excelente huella digital que resista el paso del tiempo y contribuya de manera positiva al negocio y a la presencia y crecimiento del mismo en internet.

Y, en caso de que, en algún momento, la huella digital se resienta, en primer lugar habrá que detectarlo, en segundo lugar identificar acciones correctivas y en tercer lugar aplicarlas, siempre con la ayuda de expertos para que "no se nos dé la vuelta la tortilla" que pueda llegar a producir efectos contrarios o indeseados.

¿Quieres que te ayudemos a proteger la huella digital de tu empresa y empleados VIP?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

¿Sabes a qué nos dedicamos y cómo podemos ayudar a tu empresa?

Somos expertos en seguridad, inteligencia y seguridad patrimonial, en ciberseguridad, ciberinteligencia y ciberseguridad patrimonial.

Somos un grupo europeo especialista en ciberseguridad que presta servicios a empresas (B2B), luchando a diario contra los ciberdelincuentes y las ciberamenazas. Por ese motivo, contamos con capacidad total para afrontar ágilmente una respuesta conjunta y contundente ante cualquier problema de seguridad, físico o virtual.

Estamos presentes, actuando en todos y cada uno de los estadios o funciones de la ciberseguridad, dentro del marco NIST:

• Identificar: descubrimiento y listado de todos los elementos a proteger (datos, dispositivos, software, aplicaciones, servicios, etc.).

• Proteger: establecimiento de controles, medidas de actuación y soluciones de detección y de seguridad.

• Detectar: monitorización para la identificación actividad sospechosa y amenazas existentes.

• Responder: implantación de un plan completo de contraataque que incluya todo lo necesario (alerta, notificación, actuación, procesos, personas, mejora).

• Recuperar: restablecimiento del negocio y sus procesos, reparación de los efectos del incidente, y preparación para nuevos ataques y sus correspondientes respuestas.

Nuestros objetivos son el descubrimiento y la consecución de un elevado nivel de protección y de resiliencia / ciberresiliencia.

Nuestras cifras hablan por nosotros mismos:

• +93 Clientes protegidos.

• +7 Mill € en proyectos.

• +150K vulnerabilidades detectadas.

Los servicios que prestamos abarcan un gran abanico de respuestas y soluciones en el espectro de la seguridad, ciberseguridad, inteligencia y ciberinteligencia:

• Seguridad Ofensiva: evaluación de la situación en la que se encuentra la organización en materia de protección y ciberseguridad, “atacándonos a nosotros mismos para evidenciar, identificar, corregir, mejorar y proteger". 

• Alguno de estos servicios: Pentest externo, Pentest interno, Análisis de entornos cloud, o Red Team.

• www.zerolynx.com/es/servicios-ciberseguridad/seguridad-ofensiva-hacking 

• Inteligencia: obtención y recopilación de información y datos para la realización de un análisis en detalle de los mismos mediante la investigación y vigilancia, permitiendo así la identificación de riesgos y amenazas en la empresa que permitan protegerla convenientemente estableciendo planes de actuación personalizados. 

• Alguno de estos servicios: Huella Digital Corporativa, Huella Digital VIP, Búsqueda de Shadow IT, Monitorización de Riesgos en Internet y Dark Web, Informe de Ciberamenazas, Procesos de Due Dilligence, Análisis de Actor Malicioso, Investigaciones Ad Hoc.

• www.zerolynx.com/es/servicios-ciberseguridad/inteligencia 

• Ciberdefensa: mitigación de amenazas y reducción de la superficie de ataque mediante el establecimiento de un entorno hostil para los ciberatacantes, así como la monitorización y análisis con recomendaciones personalizadas de actuación, aplicando un modelo de defensa adaptativo, global e integral. 

• Alguno de estos servicios: Awareness, Integración de Soluciones de Seguridad, Bastionado de Equipos, Bastionado de Redes, Desarrollo Seguro.

• www.zerolynx.com/es/servicios-ciberseguridad/ciberdefensa

• Análisis Forense y Respuesta a Incidentes (DFIR): contención, en tiempo y forma, de los potenciales incidentes de las empresas y análisis de los mismos para la obtención de evidencias y la toma de medidas de seguridad necesarias para que no vuelva a ocurrir. 

• Alguno de estos servicios: Análisis Forense Digital y Respuesta ante Incidentes.

• www.zerolynx.com/es/servicios-ciberseguridad/analisis-forense-digital-dfir 

• Seguridad Patrimonial: establecimiento de todas aquellas medidas necesarias para la prevención de riesgos y amenazas en una empresa, así como la identificación y análisis de vulnerabilidades en los activos, bienes o valores de la misma. 

• Alguno de estos servicios: Auditoría de Seguridad Patrimonial, Gestión y Dirección de la Seguridad Patrimonial, Seguridad de las Operaciones (OPSEC), Amenazas Internas.

• www.zerolynx.com/es/servicios-ciberseguridad/seguridad-patrimonial

• GRC (Gobierno, Riesgo y Cumplimiento): alineamiento efectivo las actividades TI de tu empresa con los objetivos de negocio, para poder gestionar de manera eficaz los posibles riesgos de ciberseguridad asociados, respetando y aplicando las leyes, reglamentos y normativas de seguridad que afectan a los sistemas de información. 

• Alguno de estos servicios: Análisis de Cumplimiento Normativo, Adecuación Técnica para el Cumplimiento. 

• www.zerolynx.com/es/servicios-ciberseguridad/grc

Nuestros expertos cuentan con más de 50 de las certificaciones más destacadas del sector de la ciberseguridad, lo que avala su trayectoria profesional y su esfuerzo por aportar siempre los mejores servicios:

• OSCP (Offensive Security Certified Professional).

• OSCE (Offensive Security Certified Expert).

• CISM (Certified Information Security Manager).

• CISA (Certified Information Security Auditor).

• CDPSE (Certified Data Privacy Solutions Engineer).

• MVP (Microsoft Valuable Professional.

• CHE (Certified Ethical Hacker).

• CHFI (Computer Hacking Forense Investigator).

• CND (Certified Network Defender).

En toda nuestra trayectoria corporativa, contamos con importantes premios y reconocimientos:

• Premio a la propuesta de última generación en ciberseguridad, de la revista SIC (Ediciones CODA).

• Trofeo de la Seguridad TIC, de Red Seguridad.

• TOP Digital Forensics Technology Consulting Services in Europe, de Enterprise Security.

• Most Valuable Professional (MVP), de Microsoft.

• BIND 4.0 Startup, del Basque Industry 4.0 Accelerator Program.

• XXX Edición Premios Cuidad de Móstoles.

Tu seguridad empieza hoy ¿Te ayudamos? Llámanos y hablamos

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

¿Sabes qué es un pentesting y como ayuda a tu empresa?

Si no has oído hablar antes de ello, quizá te suene a chino este término, pero es una excelente manera de verificar el estado de seguridad real de la empresa e identificar las vulnerabilidades y otros problemas de seguridad por donde ésta podría ser atacada, con el objetivo de corregirlos y estar mejor protegidos.

Quizá hayas oído hablar de él como test de penetración (penetration + testing) e incluso como hacking ético, aunque este último término guarda algunas pequeñas diferencias con el pentesting.

El pentesting consiste en el “intento de penetración o acceso”, intencionado, pero sin un objetivo malicioso, a los sistemas informáticos de una organización, para desvelar posibles problemas de seguridad y poder tomar medidas.

Así, un servicio de pentest busca y analiza todos los posibles agujeros y fallos de seguridad informática que puede tener un determinado sistema (la web, aplicaciones corporativas, etc.), valorando también su criticidad, alcance, y el posible impacto en caso de que alguien consiguiese explotar dichas vulnerabilidades.

Sin embargo, el hacking ético va un poco más allá completando al pentesting, puesto que, no sólo se centra en la localización e identificación de vulnerabilidades, sino que, una vez encontradas, su siguiente objetivo es la explotación de dichas vulnerabilidades, como si de un ciberataque provocado por un ciberatacante se tratase.

Un ejercicio de pentest puede plantearse de dos modos:

• Focalizándose en el análisis y la detección de vulnerabilidades y riesgos en la superficie corporativa que se encuentra expuesta en Internet, lo que se denomina pentest externo.

• O centrándose en la búsqueda de agujeros de seguridad en la red corporativa y en las actividades que podía llevar a cabo un atacante que haya conseguido entrar en ella, o incluso un insider que trabaje en la organización, lo que se conoce como pentest interno.

Por otro lado, existen tres tipos de pentests:

• De caja negra, donde no se cuenta inicialmente con ningún tipo de información acerca de la empresa ni de los sistemas informáticos de la misma que van a ser analizados (black box pentesting).

• De caja blanca, donde se cuenta inicialmente con toda la información posible acerca de la empresa y de todos los sistemas informáticos de la misma que van a ser analizados (white box pentesting).

• De caja gris, que es una mezcla de los dos anteriores, donde se cuenta inicialmente con información parcial o incompleta de la empresa y de los sistemas informáticos de la misma que van a ser analizados (grey box pentesting).

Este tipo de servicios de seguridad ofensiva debe de ser prestado por expertos en ciberseguridad que aplican sus amplios conocimientos y experiencia, siguiendo un plan de actuación concreto y unos determinados pasos, de forma metódica:

• En primer lugar, su objetivo es localizar toda la información posible sobre la empresa y sobre cada uno de sus sistemas de informáticos, a modo de descubrimiento de objetivos.

• En segundo lugar, encuentran las vulnerabilidades que estén afectando a dichos sistemas.

• En tercer lugar, analizan las vulnerabilidades encontradas y cómo podrían afectar a los sistemas informáticos y a la empresa.

• Si se trata de un hacking ético, se dedican a la explotación de vulnerabilidades encontradas.

• Y, finalmente, preparan un informe de conclusiones y recomendaciones, para solventar todos los problemas encontrados.

¿Conoces nuestros servicios de pentesting? ¿Podemos ayudarte?

Puedes ampliar detalles sobre nuestros servicios de Pentesting visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.