Ciberseguridad Sin Censura

En este episodio desempolvamos las fases de la respuesta a incidentes como si fueran regalos de Navidad en abril, exploramos cómo un incidente puede convertirse en una fiesta inesperada de cancelación de deudas y aprendamos casi a forma de tutorial de YouTube de un tipo indio haciendo un vídeo con menos vistas que los mensajes que le mandas a tu pareja durante el día de un incidente de una tienda sinaloense que no sólo tiene problemas con la banda, sino también con los incidentes de ciberseguridad, tanto así que podríamos crear un guion de telenovela.

No te pierdas este episodio, porque en “Ciberseguridad sin censura”, incluso los errores tienen su momento de gloria.

En este episodio titulado “Infostealers vs la Privacidad en la Era Digital: El Nuevo Dorado”, nos sumergimos en las profundidades de la ciberseguridad junto a Germán Patiño de Lumu Technologies. Descubre qué son los infostealers, cómo operan y por qué esta palabra debería ser clave en nuestro diccionario de seguridad hispano-inglés.

Además, mantente al día con las noticias más relevantes de ciberseguridad que impactan a México. En esta edición, te servimos un banquete de actualidad: desde el presunto hackeo de la cuenta de un conocido político hasta la propuesta de una nueva ley de ciberseguridad. Analizamos la advertencia de un secretario internacional sobre cómo un solo hackeo podría desencadenar un colapso económico global.

No te pierdas este episodio de Ciberseguridad sin censura, donde la tecnología y la actualidad se encuentran con la realidad sin filtros.

En este episodio especial de “Ciberseguridad Sin Censura” exploramos quiénes son estos guardianes de la información, qué tipos existen, y cómo su trabajo a menudo pasa desapercibido… hasta que algo sale mal.
Desde el CEO que solo conoce la ciberseguridad por las noticias hasta el becario que aún lucha con la impresora.
Prepárate, porque aquí, en “Ciberseguridad Sin Censura”, te enseñamos que la seguridad informática puede ser tan entretenida como esencial. ¡No te pierdas este viaje por el lado más divertido de la tecnología!

Del minuto 1 al 6, son noticias, del 6 en adelante está la información de los stakeholders.

En un momento eres analista de amenazas, en otro estás siendo demandado por una empresa debido a que analizaste un correo que “supuestamente” llegó de su dominio a causa de una “supuesta” suplantación de identidad porque “estás generando daño a su imagen”.

Si no quieres ser demandado, te interesa escuchar este podcast, un poco de nuestra experiencia y también te decimos cómo evitar la suplantación de dominio y no andes demandando a todo mundo.

Recuerda, más vale llegar a un mal acuerdo, que a un buen juicio. ;)

Acompáñanos en este episodio en el que estaremos hablando sobre 

1.- porqué tu estrategia de seguridad falla, y qué hacer para poder desplegar una estrategia de seguridad exitosa

2.- discutiremos noticias sucedidas sobre seguridad

3.- en nuestra sección “la cueva del Noob o sácalo sin miedo” puedes llamarnos en vivo todos los virenss a través de whatsapp, hacer tus preguntas, contarnos chistes, chismes de lavadero o desahogar tus penas del trabajo: https://wa.me/message/XLMOBC7ABUGAA1 Inicio 7:15 PM CDMX Sección La cueva del Noob: 7:45

Hackeo de redes sociales, generación de Bins, hackeo de whatsapp, son sólo algunas de las tantas atrocidades que muchos de los cursos basura de hacking éticos actuales, ofrecen a las personas para “enseñar Ciberseguridad” En este podcast te comentamos cómo no perder tu dinero y salir estafado, por aquellos que ofertan libros a causa de cursos en internet.

DECRETO por el que se reforma el artículo 311 y se adiciona el capítulo XII Bis de la Ley Federal del Trabajo, en materia de Teletrabajo.  Artículo 330-F.- Las personas trabajadoras en la modalidad de teletrabajo tienen las obligaciones especiales siguientes: 

• I Tener el mayor cuidado en la guarda y conservación de los equipos, materiales y útiles que reciban del patrón; 
• III.    Obedecer y conducirse con apego a las disposiciones en materia de seguridad y salud en el trabajo establecidas por el patrón; 
• IV.    Atender y utilizar los mecanismos y sistemas operativos para la supervisión de sus actividades, y 
• V.    Atender las políticas y mecanismos de protección de datos utilizados en el desempeño de sus actividades, así como las restricciones sobre su uso y almacenamiento.

En esta sesión, platicamos con Alexis Illescas, consultor de ciberseguridad industrial en Accenture México que nos brindó unas muy buenas lecciones y aprendizajes bastante importantes sobre :

• 1.- ¿Son seguros los sistemas en ambientes vulnerables (legacy)? 
• 2.- ¿Cómo reaccionar ante el Ransomware en ambientes industriales? 
• 3.- ¿Cómo implementar ciberseguridad para ambientes industriales? 
• 4.- ¿Cómo dedicarse a la Ciberseguridad industrial?  

 Medios de contacto de Alexis  

• Linkedin: https://www.linkedin.com/in/jesus-illescas/
• Correo: jesus.alexisir@gmail.com

su red fue atacada, sus computadoras y servidores fueron bloqueados, sus datos privados fueron descargados.

¿Qué significa eso?

Significa que pronto los medios de comunicación, sus socios y clientes conocerán su problema.

¿Cómo se puede evitar?

Para evitar este problema, debe ponerse en contacto con nosotros a más tardar dentro de los 3 días y concluir el acuerdo de recepción de datos y resolución de incumplimiento.

Fue el mensaje que recibieron el personal de Cencosud con la finalidad de regresarles su información cifrada y no publicar información sensible que exfiltraron de su red.

Fuentes:

Las 3 claves:

• https://las3claves.com/las3claves/ransomware-afecta-cencosud-y-atacantes-amenazan-con-filtrar-datos

Emsisoft ¿Cómo asegurar el RDP de ataques de Ransomware? (Inglés)

• https://blog.emsisoft.com/en/36601/how-to-secure-rdp-from-ransomware-attackers/

Abogado especializado en Tecnología, con enfoque en investigación en Derecho y las Nuevas Tecnologías de la Información y Comunicación, específicamente en Derechos Digitales, Ciberdelitos, Protección de Datos Personales y Gobernanza con Blockchain.  

Redes Sociales 

• Linkedin: https://www.linkedin.com/in/jersain/
• Sitio Web: http://jersain.com/ 
• Facebook: https://www.facebook.com/zjersain 
• Legal Hackers Guadalajara: https://
• www.facebook.com/legalhackersgdl 
• Libro digital, internet arma o herramienta: http://www.publicaciones.cucsh.udg.mx/kiosko/2018/internet_arma_o_herramienta_Ebook.pdf
• Enlace a nuestra página de Facebook: https://www.facebook.com/Ciberseguridadsincensura

En este episodio podrás encontrar un documento forense, un #Ransomware activo y dos historias muy interesantes de lo que tienes que dejar de hacer o evitar hacerlo.

Enlace de descarga del Documento de análisis forense: https://drive.google.com/drive/folders/15AnJFq2hnaIvc5cOrm26ofhTvyvq0Lt5?usp=sharing

Así como el acceso a un taller: https://www.eventbrite.es/e/entradas-taller-ciberseguridad-en-ambientes-empresariales-127784453741

Sólo te pedimos apoyar al proyecto para el acceso, puedes hacerlo a través de pagar el curso, donación e inclusive de forma gratuita.

Información completa: https://www.iciberseguridad.io/cursos

Link de entrevista de Jim Gordon

• https://www.securityweek.com/economics-ransomware-pay-or-not-pay

Link de descarga del documento de departamento del tesoro:

• https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf

Link de fuente sobre pagar o no pagar, Ernest and Young:

• https://www.ey.com/en_us/consulting/ransomware-to-pay-or-not-to-pay

Apoyo en Patreon:

• https://www.patreon.com/iciberseguridad

Medios de Contacto:

• cursos@iciberseguridad.io
• Whatsapp: 8125872530
• Llamada telefónica: 8126721298

Redes Sociales

• https://www.instagram.com/iciberseguridad/
• https://www.facebook.com/iciberseguridad/

En este episodio de Podcast tuvimos la oportunidad de platicar con un seguidor del programa llamado Fernando, que nos presenta inquietudes bastante interesantes y nos permite salirnos un poco del guion normal de las sesiones.

Hace unos meses después de realizar una serie de campañas contra la difusión no consentida de contenido íntimo (filtrar el pack) muchas personas se acercaron solicitando ayuda debido a que sus fotografías o vídeos íntimos o las de algún conocido se encontraban en internet y buscaban eliminarlo, o porque las estaban extorsionando para evitar que fueran difundidas.

Este no es un tema de expertos en tecnología, es un tema del que todos debemos conocer y principalmente educar, educar en temas de sexualidad para reducir los riesgos o prevenir las potenciales consecuencias respecto a la práctica del Sexting o la identificación de etapas tempranas del grooming, y al mismo tiempo es importante educar sobre el uso seguro y responsable de las tecnologías, y los riesgos sobre compartir contenido de forma indiscriminada en las redes, esto con la finalidad de que los menores puedan identificar los riesgos y protegerse por sí mismos.

La ingeniería social es el intento de obtener información, acceder o introducir software no autorizado en el entorno mediante la manipulación de los usuarios finales – Estándar PCI DSS

Técnicas de ingeniería social – No tecnológico

• Dumpster diving o Urgar en la basura
• Shoulder surfing o Espiar sobre el hombro
• Tailgating o Acceder sin autorización a costa de alguien que si tiene autorización
• Conversación – Si no es con la víctima, puede ser a un allegado – Extorsión

Técnicas de ingeniería social – con base tecnológica

• Redes sociales o internet

Tipos de ataques de ingeniería social

• Phishing y derivados en correo y páginas
• - Spear phishing
• Suplantación de correo ( por falta de registros SPF y DKIM)
• Fraude de CEO
• Tirar USB
• Extorsión

Prevención

En todas estas metodologías hay 3 factores que son vitales y decisivos,

• Factor sorpresa
• Falta de información
• Desequilibrio emocional por el momento

La Norma ISO 27032 nos hace mención de diversos controles de seguridad que podemos implementar para prevenir los efectos de la ingeniería social.

• Políticas y procedimientos
• Pruebas
• Controles técnicos:
• AntiSpam
• Uso de Credenciales y dobles factores de autenticación
• Sensibilización y formación

Este no es un tema de expertos en tecnología, es un tema del que todos debemos conocer y principalmente educar, educar sobre el uso seguro y responsable de las tecnologías, no se trata de estar todo el tiempo paranoico, sino estar alerta, no se trata de asustar, prohibir; o instalar mucha tecnología en los dispositivos, las cosas que son Anti, tienen un punto n especial, los Anti malware, no son Anti vulneraciones o Anti usuarios no capacitados,

“educar para proteger”. Y nosotros les podemos ayudar a generar estas estrategias de educación preventiva.

En este episodio realizaremos un análisis a un comentario mencionado por el Banco Santander de México con base en la Ley federal de protección de datos personales LFPDPPP

En esta sesión de Podcast de Ciberseguridad sin censura, discutiremos sobre una normativa de Seguridad cibernética para la Internet de las cosas del consumidor, lamada ETSI TS 103 645, este puede descargarse de forma gratuita con sólo poner el nombre a través de google.

Te invitamos a leerlo con la finalidad de que puedas mejorar la seguridad de tus dispositivos en casa

¿Alguna vez te has preguntado las diferencias entre, seguridad de la información y Ciberseguridad?

En este episodio abordamos las diferencias entre estas normativas, desde la parte de los objetivos especificos, controles de implementación y contextos especificos.

En este episodio de Ciberseguridad sin censura tenemos al General de  Brigada Claudio Peguero. 

Director de la Policía Judicial Especializada de Niños, Niñas y  Adolescentes y Asesor del Director General en Asuntos Cibernéticos.  

Redes sociales y de contacto de nuestro invitado 

• - https://www.instagram.com/cmpeguero/ 
• - https://twitter.com/cmpeguero 
• - www.facebook.com/claudio.peguero.5 
• - www.linkedin.com/in/claudio-peguero-8381a083 

Redes sociales y de contacto policía nacional de republica dóminicana 

• - https://www.policianacional.gob.do/ 
• - https://twitter.com/policiaRD 
• - https://www.instagram.com/policiaRD/    

Temáticas tratadas. 

• 03:44 ¿Qué tan complicado es adherirse al convenio de criminalidad de  Budapest?   
• 08:50 ¿Cómo es el antes y el después a la firma del convenio de  Budapest? 
• 16:05 ¿cómo se previenen o combaten los delitos contra menores. Ej.  Grooming? 
• 19:08 ¿Cuáles son los medios de difusión de contenido en ciberseguridad  más efectivos? 
• 22:00 ¿El reportar una vulnerabilidad sin mala intención me convierte en  delincuente? 
• 25:05 ¿cómo se previenen los delitos cibernéticos en República  dominicana? 
• 29:30 ¿Cómo se mitigan los incidentes de #Ransomware?

En este episodio podrás escuchar si realmente es necesario, laboralmente, seguir enseñando como parte de la ciberseguridad, cosas como el color del sombrero o los tipos de hackers. Como parte del contenido podrás comprender cómo en la normativa ISO 27005 los Hackers y Crackers forman parte del mismo conjunto de agente de amenazas.

Crítica constructiva para impulsar la mejora del contenido de las escuelas de ciberseguridad en América latina.

#Ciberseguridad #Hackers #BlackHat #WhiteHat #GrayHat

En este Primer podcast hablamos de cuáles son los costos implícitos o colaterales de un incidente de #ransomware, mucho más allá que simplemente decir que son 5, 10 o 15 btc suelen existir cosas como, la falta de operación en las organizaciones, tiempos de recuperación y restablecimiento de operaciones, por mencionar algunos de los posibles efectos.

Síguenos en nuestras redes sociales como Instituto de Ciberseguridad