Éxito del WorldParty2k22 y su CTF
El colectivo %27 acaba de realizar la WorldParty2k22, basado en el conocimiento hacker y la inteligencia colectiva. Su “Capture the flag” (CTF), organizado por el colectivo flagHunters, ha sido uno de los puntos fuertes, ya que participaron una cincuentena de personas repartidas en 31 equipos.
Una de las mejores formas de dar un salto cualitativo en las habilidades sobre hacking es participando en un CTF, siglas de Capture the flag, o Captura la bandera. Como nada es lo que parece (o casi nada) en realidad es una competición gratuita y la flag no es otra cosa que un código que sirve para confirmar que hemos conseguido el reto. Un CTF consta de varios retos. Cada uno otorga puntos y al final, el que tiene más puntos, claro, es el ganador. Se puede participar de forma individual o lo que es más común, en equipos.
No os asustéis con eso de leer la palabra hacking. Ya os hemos contado el origen de la palabra y del movimiento Hacker en este blog. Y os recordamos una vez más que el hacking no es más que un conjunto de técnicas utilizadas para introducirse en un sistema informático vulnerando las medidas de seguridad. La finalidad con que se haga eso es lo que marca la diferencia. Por eso se habla de hacking ético – el bueno – o de ciberdelincuente – el malo -.
Pues bien, la WorldParty 2k22 incluye un CTF que es un banco de pruebas fantástico para las personas que quieren aprender divirtiéndose al tiempo que adquieren habilidades de hacking. No puede ser de otra manera conociendo la filosofía de HackMadrid%27 y del certamen WorldParty, cuyo objetivo es “la difusión del conocimiento, el pensamiento crítico y científico en un marco de plena libertad de pensamiento y expresión, estimulando la experimentación, mediante proyectos basados en el software y hardware libre”.
TECNOideas ha colaborado en el CTF
Como ya está siendo habitual, TECNOideas ha participado también en esta competición. Nuestra colaboración, en forma de patrocinio lleva ya un tiempo, puesto que seguimos plenamente la filosofía de los organizadores. De la misma manera que también colaboramos en el CTF de la IntelCon que organiza Ginseg, como os contamos AQUÍ el año pasado. Y es que no lo podemos remediar, ¡nos encantan los juegos y la gamificación! Por eso también estamos organizando un CTF para institutos y centros de Formación Profesional.
Pero volvamos al CTF de la WorldParty. Participaron 50 personas, agrupados en 31 equipos que debían superar 23 retos. Los ganadores fueron los siguientes:
- Watch4Hack con 4.196 puntos
- Leonuz con 3.335 puntos
- ExpertosEnLogaritmos con 3.264 puntos
Hay que destacar especialmente el trabajo de Leonuz, ya que fue un equipo de una sola persona, lo que, sin duda, fue un plus que merece nuestro aplauso.
Os invitamos a conocer más profundamente el desarrollo de la competición, el marcador o scoreboard, los equipos, etc. AQUÍ.
Como estamos seguros que muchos de vosotros ya estáis esperando participar en una nueva competición, podéis seguir al colectivo flagHunters en su Twitter. Así os irán informando de sus próximos proyectos.
Finalmente, podéis leer la entrevista que mantuvimos con los responsables de flagHunters by HackMadrid hace ahora un año AQUÍ. Así conoceréis un poco mejor sus objetivos, filosofía de la vida y su buen trabajo a nivel social.
Entrevista a José Manuel Ortega, ingeniero de software e investigador de seguridad (2ª parte)
Publicamos hoy la segunda parte de la entrevista que realizamos a José Manuel Ortega, un ingeniero de software e investigador de seguridad apasionado por las nuevas tecnologías. Es un autodidacta que se atreve con todo: artículos, docencia, charlas y conferencias, libros…
La semana pasada nos dabas algunos consejos para los jóvenes que quieran iniciarse en este cibermundo. Y acabábamos mencionando tu manual práctico de ciberseguridad. Así que hoy empezamos con eso. Hablas de la seguridad en la nube, en internet, en aplicaciones web, etc. ¿Dónde crees que fallamos más para que los ciberdelitos están creciendo de esta forma?
Por una parte tenemos el usuario, que sigue siendo el eslabón más débil y hay que continuar la labor de divulgación para que cada vez se sienta más seguro y minimizar el éxito de los ataques que se producen. Desde el punto de vista de las empresas también hay un largo recorrido por hacer, relacionado con mantener la integridad de la infraestructura de las organizaciones, sobre todo por las nuevas amenazas que salen cada día.
“Las empresas necesitan aumentar sus recursos
en cuanto a realizar auditorías de seguridad
y mantenimiento de la infraestructura.”
Creo que la evolución a nivel complejidad de las aplicaciones, sistemas e infraestructura en los últimos años, hace que muchas veces las empresas necesitan aumentar sus recursos en cuanto a realizar auditorías de seguridad y mantenimiento de la infraestructura y muchas veces esto no es posible en algunas empresas, sobre todo en las pymes.
Al final la ciberseguridad es una labor de todos y cada uno de nosotros, desde el usuario final, proveedores de servicios de internet, empresas especializadas y administración pública. Lo más importante es perderle el miedo a los ciberdelincuentes y desde el punto de vista de la seguridad hacer un esfuerzo entre todos para que cada día que pase ponérselo un poco más difícil.
La ciberseguridad es dinámica y continuamente cambia, avanza… ¿Habrá una segunda parte de tu guía de ciberseguridad actualizada?
Es posible que en unos años se pueda hacer una revisión e incluir temas que no se han tratado como criptografía o inteligencia artificial, donde el campo de la ciberseguridad cada vez está recurriendo más a este tipo de técnicas para la detección de amenazas.
José Manuel Ortega.
Otra de tus especialidades es el lenguaje Python. ¿Por qué crees que está de moda en el hacking ético y en la ciberseguridad?
Python es uno de los lenguajes más versátiles que se viene utilizando desde hace algunos años en la creación de herramientas orientadas al pentesting y hacking ético. La gran cantidad de módulos y paquetes para el desarrollo de este tipo de soluciones la hacen una de las mejores plataformas.
Con Python puedes desarrollar herramientas orientadas a la extracción de información de diferentes fuentes de internet como redes sociales, conexión con bases de datos de diferentes tipos, realizar auditorías a aplicaciones web, uso de aprendizaje automático para la detección de ataques y anomalías en una red.
También permite el desarrollo de herramientas desde el punto de vista defensivo y ofensivo gracias a capacidad para interactuar con los sistemas operativos para la ejecución de comandos o la obtención una shell reversa por poner algunos ejemplos.
Desde el punto de vista de la detección de amenazas y vulnerabilidades también podemos utilizar Python como lenguaje de scripting para obtener información sobre vulnerabilidades que puedan surgir en nuestra infraestructura y aplicaciones y correlacionar esta información con diferentes bases de datos de vulnerabilidades como CVE Y NVD para tener una primera visión de aquellas que pueden ser más críticas.
También haces conferencias a nivel internacional y alguno de tus libros se ha publicado en inglés. Teniendo en cuenta que es la eterna asignatura pendiente de nuestro país, ¿cómo has conseguido esto?
Pues la editorial me contactó a raíz de una conferencia que impartí en la EuroPython, que es una conferencia internacional de Python. Me ofrecieron escribir un libro tomando como base lo que había explicado en la conferencia y bueno, la decisión fue fácil ya que me gusta bastante escribir.
“Lo más importante es perderle el miedo a los ciberdelincuentes
y, desde el punto de vista de la seguridad, hacer un esfuerzo entre todos
para que cada día que pase ponérselo un poco más difícil.”
En mi caso, lo que más me ha costado han sido los procesos de revisión y estoy bastante contento, ya que publicar en inglés no es nada fácil. El tema del inglés cuesta un poco al principio, pero gracias al apoyo y al trabajo de la editorial al final el proyecto acaba saliendo y queda un buen trabajo que tiene mayor público objetivo que si lo publicara en español.
Eres un hombre muy dinámico. Vamos, que no paras. Es imprescindible que nos digas en qué estás metido en la actualidad, ¿qué estás preparando ahora mismo?
Pues ahora mismo sigo escribiendo y tengo previsto publicar un libro sobre Python con temas de Big data, ciencia de datos e inteligencia artificial que es otra temática que me atrae bastante y probablemente escriba una nueva edición del libro de seguridad en Python.
A nivel de conferencias, estoy viendo la posibilidad de presentar alguna ponencia relacionada con arquitecturas y seguridad en la nube a raíz de los estudios que estoy realizando en ciberseguridad.
Hasta aquí la entrevista a José Manuel Ortega, esperamos que os haya resultado interesante todo lo que dice y hace.
Si queréis recordar la primera parte de la entrevista, podéis leerla AQUÍ.
- Publicado en Congresos, Entrevistas, General, Noticias, Productos
J.M. Ortega: “Hay que tener formación reglada y luego complementarlo con asistencia a congresos.”
Nos acercamos a la figura de José Manuel Ortega, un autodidacta que se atreve con todo: artículos, docencia, charlas y conferencias, libros… Algunos son de temática bastante profesional, como los dedicados a Python, pero otros están pensados para el gran público. Este es el caso del libro “Ciberseguridad. Manual práctico”, editado por Paraninfo.
En este mundo ligado a la ciberseguridad encontramos todo tipo de profesionales. Los hay que desarrollan sus aptitudes desde una formación reglada, ya sea técnica o empresarial. Otros lo hacen desde el mundo laboral, a costa de los cambios naturales de sus empresas. Y finalmente hay otras personas que llegan a la ciberseguridad desde el interés por la tecnología, lo que les ha llevado a ser auténticos hackers (en la definición que reivindicamos siempre desde TECNOideas) o frikis.
José Manuel Ortega es ingeniero de software e investigador de seguridad apasionado por las nuevas tecnologías. Ha impartido formación a nivel universitario y ha colaborado con la escuela oficial de ingenieros informáticos. Algunos de sus libros están relacionados con el lenguaje de programación Python, seguridad, docker y devops.
Publicamos la entrevista en dos fases. La primera hoy y la segunda la próxima semana.
“Lo más importante es tener una mente abierta y despierta
para aprovechar al máximo los congresos.
Todo va muy rápido y la cantidad de información es abrumadora.”
Nunca has trabajado realmente en empresas de ciberseguridad. ¿Cómo llegaste a este mundo?
Bueno, llevo trabajando en una empresa de ciberseguridad solo desde hace aproximadamente un año. Si bien es cierto que mi perfil es más de desarrollador que auditor de seguridad, me han interesado los temas de ciberseguridad sobre todo a raíz de trabajar en diferentes proyectos relacionados con la seguridad en aplicaciones para móviles y al descubrimiento del lenguaje de programación Python como una de las plataformas más usadas para el desarrollo de herramientas orientadas al pentesting. Gracias al conocimiento adquirido dentro de la ciberseguridad, he podido aplicarlos al desarrollo de arquitecturas y desarrollo seguro de aplicaciones.
Algunos autodidactas empiezan a introducirse en este mundo a través de encuentros, jornadas y congresos del sector. ¿Es un buen sistema?
No sólo es un buen sistema, sino que creo que es la mejor opción para conocer qué empresas hay, realizar networking con otros asistentes y estar al tanto de todo lo que se mueve en este sector. La mayoría de los congresos ofrecen talleres para introducirse en nuevas tecnologías y las charlas son impartidas por profesionales del sector. Lo más importante es tener una mente abierta y despierta para aprovechar al máximo este tipo de congresos. Las veces que he podido asistir tengo la sensación que todo va muy rápido y en ocasiones la cantidad de información es abrumadora. Lo difícil y complicado es cuando llegas a casa con todo lo que has aprendido y todo lo que te falta por aprender y entonces te preguntas ¿por dónde empiezo?
Participaste en la segunda edición de una de las cons decanas de España, la Navaja Negra. ¿Qué tal resultó la experiencia de las ponencias en general?
Navaja Negra es hoy por hoy una de las conferencias más importantes a nivel de ciberseguridad y participar en ella me abrió un mundo de posibilidades hasta ese momento desconocido para mí. Fue una de las primeras conferencias a las que asistí para dar una charla sobre seguridad en aplicaciones móviles y la experiencia fue muy buena. En los sucesivos años he estado en alguna ocasión como asistente y el nivel de las ponencias es muy alto.
Queremos recordar a todos los seguidores de nuestro blog, que este año se celebra la décima edición de esta conferencia. Se espera que sea una de las ediciones más espectaculares, porque vuelve trans dos años de sequía. Apuntaros las fechas: del 10 al 12 de noviembre en Albacete. Tenéis aquí toda la información sobre Navaja Negra 2022 .
¿Cómo ves la formación de ciberseguridad en España? ¿Qué les recomendarías a los jóvenes frikis amantes de la tecnología?
La formación en ciberseguridad ha crecido mucho en los últimos años y cada año es más amplia y variada en diferentes formatos como cursos online, másteres reglados y bootcamps. Para tener el perfil más completo posible mi recomendación es tener tanto formación reglada ya sea a nivel universitario o formación profesional y luego complementarlo con la asistencia a congresos que tengan relación con alguna de sus motivaciones.
A los más jóvenes pues comentarles que al final la motivación, actitud y
ganas de superarse son la clave, más allá de los conocimientos que
uno puede adquirir en los cursos o conferencias donde aquellos que
les gustan más cacharrear se encontrarán como pez en el agua con las competiciones CTF (Capture The Flag) y los talleres que se imparten.
¿Para quién está pensado el libro “Ciberseguridad. Manual práctico”?
La ventaja de este libro es que no es excesivamente técnico y tiene un público bastante amplio. Los primeros capítulos son de introducción y tienen un objetivo más divulgativo. Luego a partir del capítulo 5 se tocan temas más específicos donde el público objetivo va variando
al tratar temas sobre desarrollo seguro, hacking ético, investigación en fuentes abiertas
y centros de operaciones de seguridad. Lo escribí pensando en una línea que va desde lo más generalista a lo más específico, dando una visión global de lo que se puede encontrar un usuario que se introduce en la ciberseguridad, sin dejar de lado usuarios con conocimientos más específicos.
Hasta aquí la primera parte de la entrevista mantenida con José Manuel Ortega. En la próxima entrega os seguiremos mostrando interesantes temas relacionados con su actividad y sobre la seguridad de la información.
- Publicado en Congresos, Entrevistas, Formación, General, Noticias, Seguridad, Sistemas operativos
Mañana empieza IntelCon, el congreso online gratuito de ciberinteligencia
Un año más nos citamos con IntelCon, el importante evento que organiza la Comunidad de Ciberinteligencia Ginseg. Este año tiene lugar del 26 al 29 de julio y las inscripciones todavía están abiertas. Para hablarnos de todo ello charlamos con Iván Portillo, analista sénior de ciberinteligencia y docente y con Wiktor Nykiel, ingeniero de ciberseguridad, emprendedor y docente. Ambos son miembros destacados de la Comunidad Ginseg.
Antes de nada, si alguno de vosotros todavía no sabe lo que es IntelCon, os invitamos a ver las ponencias y talleres de las ediciones anteriores en su canal de Youtube.
Como seguro que os va a interesar, no debéis esperar más y registraros ya en el congreso de este año AQUÍ.
Y para tener toda la información, os presentamos la entrevista conjunta que mantuvimos con Iván Portillo y con Wiktor Nykiel.
IntelCon sigue siendo un congreso abierto a la participación. Ya en abril abristeis el CFP o Call for Papers, como os anunciamos en este mismo blog. ¿Cómo ha ido este año? ¿Habéis recibido muchas propuestas? ¿Estáis contentos con el nivel de las mismas?
En este punto quiero destacar la gran participación y excelente involucración de todos los ponentes. Volvemos a los dos tracks en simultáneo con una agenda llena de sorpresas y casi sin hueco para los propios descansos. Como novedad este año, aparte de las magníficas ponencias y talleres, hemos incluido mesas redondas donde expertos nos van a dar una visión desde perspectivas que se complementan, estad atentos que se abrirán los horizontes de la percepción que se puede tener sobre la disciplina.
¿Cómo hacéis la selección?
Tenemos un proceso de revisión que incluye valorar el contenido de la ponencia, la novedad o aporte a la comunidad de la temática propuesta y las referencias del ponente y participación en otros congresos. Con estos parámetros elaboramos una lista de las ponencias y talleres que consideramos aptas y confirmamos a los ponentes su participación. En la medida de lo posible involucramos a la propia comunidad Ginseg para que valore las ponencias más interesantes y se puedan priorizar los temas de más interés para todos los participantes.
¿Podéis destacarnos algunos temas que aparezcan como más interesantes o novedosos en esta edición? ¿Y algún ponente destacado?
Respondiendo a las temáticas interesantes, tenemos muchas, nos va a tocar mirar los videos después del congreso para poder revisar los que nos hayamos perdido por estar en paralelo. En lo que más se focaliza es en temáticas de OSINT, Cyber Threat Intelligence, análisis y obtención, como desinformación y relación con el conflicto de Ucrania o los tan importantes aspectos legales de las ciberamenazas.
“El objetivo de IntelCon es difundir conocimiento de calidad
en la materia de ciberinteligencia, cibervigilancia, inteligencia de amenazas,
OSINT, SOCMINT, VirtualHUMINT, DeepWeb, respuesta a incidentes,
técnicas de análisis, herramientas, ciberamenazas…”
Como ponentes destacados, no seríamos capaces de mencionar a uno o dos, porque todos tienen un valor increíble para nosotros, por la dedicación y amplio conocimiento que comparten en esta edición del congreso de ciberinteligencia.
Si tuviéramos que mencionar, destacaríamos la amplia lista, ya que gracias a ellos podemos repetir edición con más fuerza que nunca, así que gracias a Agustin Bignú, Ana Isabel Corral, Ana Páramo, Antonio Javier Maza, Antonio Maldonado, Arnaldo Andrés Sierra, Belén Delgado Larroy, Carlos Caballero, Carlos Cilleruelo, Carlos Diaz, Carlos Seisdedos, Casimiro Nevado, Claudia Castillo, David Moreno, Eduvigis Ortiz, Edwin Javier Peñuela, Eugenia Hernández, Eva Moya, Francisco Carcaño, Gemma Martínez, Gonzalo Terciado, Javier Junquera, Javier Rodríguez, Javier Valencia, Jezer Ferreira, Joan Martínez, Joan Soriano, Jon Flaherty, Jorge Coronado, Jorge Martín, José Dugarte, Josep Albors, Juan Carlos Izquierdo Lara, Juan Maciel, Julián Gutiérrez, Lennart Barke, Lorien Domenech, Malachi Cecil, Manuel Huerta, Marc Rivero, Matías Grondona, Miguel Ángel Liébanas, Mikel Rufian, Nounou Mbeiri, Pablo González, Pablo López, Pablo San Emeterio, Pino Penilla, Roberto González, Salvador Gamero, Susana Lorenzo, Tabatha Torres, Vicente Aguilera y, bueno, claro, también estamos nosotros, ja, ja, ja… Debemos dar gracias a todos por hacer posible esta tercera edición.
de la Comunidad Ginseg.
También ofrecéis talleres y otras muchas cosas. ¿Podéis explicarnos un poco más detalladamente todo el contenido? Seguro que interesa a nuestra audiencia.
Aquí según hemos comentado, se añade además de las ponencias y talleres, mesas redondas que esperamos que aporten una perspectiva diferente sobre la materia, involucrando la vista que requeriría el nivel más estratégico o ejecutivo y que esperaría de un producto de inteligencia así como la perspectiva desde el punto de vista empresarial mostrando las capacidades de empresas especialistas en el sector como la perspectiva del CISO que podría ser uno de los referentes de estos servicios.
Ya hemos hablado en varias ocasiones de la Comunidad Ginseg, organizadora del congreso. ¿Nos recordáis los puntos básicos de vuestros objetivos?
Claro. Los tres pilares de Ginseg son:
1. Colaboración en comunidad hispanohablante.
2. Formación, difusión y concienciación
3. Investigaciones y desarrollo de herramientas.
Para el primer punto, lo que hacemos es crear esta comunidad y hacerla participe de todas las iniciativas. Cada día suben las cifras de seguidores en nuestros perfiles de redes sociales y en el grupo de Telegram (https://t.me/ginseg), pero lo realmente importante es el valor humano detrás de cada una de las personas que suma para que todos podamos crecer.
Referente al segundo punto, e IntelCon es un ejemplo claro, nuestro objetivo es difundir conocimiento de calidad en la materia de ciberinteligencia, cibervigilancia, inteligencia de amenazas, OSINT, SOCMINT, VirtualHUMINT, DeepWeb, respuesta a incidentes, técnicas de análisis, herramientas, ciberamenazas entra otras.
Y en cuanto al tercero, dejaremos un punto de misterio que ampliaremos en futuras entrevistas…
La formación es uno de los pilares de la Comunidad. ¿Cómo veis los cambios que se van produciendo en la Formación Profesional, en temas como ciberseguridad, con la implicación de las empresas, etc.?
Nos parece muy positivo toda la formación, tanto reglada como no reglada, que está saliendo en torno a la ciberseguridad. Esto denota que cada vez tendremos más profesionales preparados para la demanda que se hace cada vez más evidente. En torno a ciberinteligencia, siendo una disciplina más de nicho, queda bastante trabajo por delante, pero se va viendo progreso a buen ritmo.
Desde la perspectiva de la empresa poner en práctica lo aprendido en todas estas formaciones en un entorno real es un requerido, que al final nos formamos para ser mejores profesionales, realizar nuestro trabajo de una forma más eficiente con las herramientas y metodología adecuada, incrementando nuestro valor y a la vez nuestro salario por destacar de esta forma en el mercado laboral.
Resumiendo, la formación de calidad es clave para incrementar nuestro valor y con ello subir nuestras horquillas salariales, que al final tenemos que comer y darnos nuestros caprichos.
Hablando de empresas, también en el Congreso IntelCon hay empresas implicadas. ¿Cómo conseguís mantener vuestros principios e independencia con la necesidad de tener empresas que colaboren y patrocinen el congreso?
Las empresas que participan nos ayudan a seguir impulsando y difundiendo nuestro cometido de compartir contenidos de calidad a través de marketing y anuncios patrocinados en medios especializados y redes sociales. Con esto conseguimos aún más personas que descubren la disciplina y se enamoran de la misma. Ya lo hemos vivido con varias personas que agradecen la iniciativa, afirmándonos que gracias a IntelCon, han profundizado más en la temática para finalmente reenfocar su carrera profesional y empezar en este sector. Al final estos comentarios nos ayudan a seguir impulsando esta iniciativa y a seguir haciendo el nexo entre estas empresas que buscan talento y los participantes del congreso.
TECNoideas apoya un año más este congreso. ¿Cómo valoráis nuestra aportación?
Contar con el apoyo de empresas como la vuestra, desde la primera edición y año tras año, primero nos enorgullece y segundo nos ayuda a seguir promoviendo y mejorando en el desarrollo de este punto de obligado encuentro para todos los interesados en ciberinteligencia, cibervigilancia y OSINT. Estamos enormemente agradecidos y esperamos seguir contando con vosotros en futuras ediciones.
“Cruzamos los dedos para que el uso del Kit Digital sea más utilizado en la parte ciber,
ya que se da un aporte de valor innegable que puede que de entrada se valore menos,
pero cualquier incidente serio o secuestro de datos para pedir un rescate a una pyme
puede acabar en su bancarrota o cese de actividad.”
Parece que ahora la ciberseguridad está en boca de todo el mundo. ¿Cuál es vuestra opinión del Kit Digital? ¿Vale tal y como se plantea o se queda corto?
Respecto a este punto, nos parece una excelente iniciativa apostar y apoyar el entorno digital, así a las pymes y autónomos participantes se les da un soplo de aire fresco para poder mejorar sus capacidades digitales. Creemos que para poder valorar la eficacia de este Kit Digital habría que revisar las estadísticas de uso de estos fondos, si se destinan más a hacer marketing, SEO, webs, CRM o si realmente estas cuestiones ya las tienen cubiertas las empresas que piden esta ayuda y se centran en mejorar capacidades, incluyendo la ciberseguridad como una de ellas. Aquí creemos que se está haciendo más foco y publicidad en lo primero y puede que la ciberseguridad no sea de un interés inmediato para un autónomo o una pequeña empresa si no se ha hecho la concienciación adecuada y que prefieran usar los fondos para hacerse la web y posicionarla en buscadores para intentar vender más. Cruzamos los dedos para que el uso de este Kit Digital sea más utilizado en la parte ciber, ya que se da un aporte de valor innegable que puede que de entrada se valore menos, pero cualquier incidente serio o secuestro de datos cifrando los mismos para pedir un rescate a una pyme puede acabar en su bancarrota o cese de actividad y eso, evidentemente, no se lo deseamos a nadie.
Hasta aquí esta entrevista que esperamos os haya gustado, pero sobre todo os haya despertado las ganas de seguir estos 4 días de congreso.
Todas las jornadas son de tarde y hay dos salas, así que tendréis que escoger.
Tenéis todo el programa, los ponentes, agenda, horarios, etc. AQUÍ.
Pero no olvidéis que todos los temas los tendréis después del congreso en las diferentes plataformas y canales de la comunidad, como esta plataforma de formación y recursos.
Hoy es el CISO Day 2022
Posiblemente no exista una figura más relevante en el mundo empresarial relacionado con la ciberseguridad que el CISO, o persona encargada de la seguridad de los sistemas de la información. Por ello nos parece más que justificada la iniciativa de dedicarle un evento. Así nació el CISO Day, que en pocos años ya ha pasado a ser el mayor evento de España en torno a la figura del CISO.
En tan solo cuatro años este evento ha alcanzado una notoriedad muy merecida. Basta mirar los temas a tratar en la presente edición para corroborarlo: estrategia, ciberinteligencia, hacking, ciberseguridad o ciberinnovación.
La iniciativa de organizar un CISO Day la tuvo CyberSecurity News, el mayor medio de comunicación especializado en el sector de la ciberseguridad en España. Y naturalmente sigue siendo el organizador del evento. Eso sí, cuenta con el apoyo institucional del Centro Criptológico Nacional y los necesarios patrocinadores.
El CISO Day 2022 se celebra en los Cines Palacio de Hielo de Madrid y cuenta con dos salas. El congreso tiene un formato híbrido, presencial por un lado y virtual por otro. La buena noticia es que se puede seguir en directo a través del canal de YouTube de CyberSecurity News. Aun así hay que comprar la entrada. En la web del certamen, www.cisoday.es, tenéis el programa completo, los ponentes y todo lo relacionado con la jornada, que comienza a las 9.15 con la bienvenida a cargo de Vicente Ramírez, redactor jefe de CyberSecurity News y creador del CISO Day.
TECNOideas puede ser vuestro CISO Externo
Os queremos recordar que la figura del CISO es esencial. Tanto es así que la ley 43/2021 especifica que las empresas de ciertos sectores estratégicos, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Tenéis toda la información sobre la ley, los sectores definidos como estratégicos en el anexo de la norma y las opciones que os ofrecemos en el apartado Normativa/Compliance de nuestra web.
El trabajo del CISO es verdaderamente indispensable y poco tiene que ver con el que realiza un informático. Sin embargo es también muy estresante y dado el nivel que se le exige, implica una remuneración elevada, que muchas empresas ne se pueden permitir. Quizá por todo ello la propia ley también reconoce la posibilidad que el CISO sea externo. Y ahí es donde TECNOideas os puede ayudar.
Para entenderlo mejor, os invitamos a leer un par de artículos publicados en este blog. En el primero de ellos, explicamos detenidamente las funciones que debe tener un CISO.
En el segundo os explicamos la problemática que están teniendo los CISO en todo el mundo, como por ejemplo el burnout y por eso lo titulamos 5 motivos para preferir un CISO externo en ciberseguridad.
¡Que disfrutéis del día!
- Publicado en CISO, Congresos, Evento, General, Medios de comunicación, Normativa, Noticias, Seguridad, Servicios, Sobre TECNOideas
¿Es Telegram más segura que WhatsApp?
Los mitos y las leyendas urbanas sustentadas en palabrerías sin más, acaban por caer tarde o temprano. Y podemos añadir que en el caso de la tecnología todavía más. Ahora le toca el turno al mito de la seguridad de Telegram, un motivo esgrimido por sus defensores que decían que era mucho mayor que la seguridad de su rival WhatsApp y que llevó a un aluvión de altas en esta aplicación de mensajería instantánea. Pero… ¿qué hay de cierto en esta afirmación?
Pues bien, unos informes presentados en la conferencia de seguridad informática Rooted CON, que se celebró en Madrid en marzo, cuestionan fehacientemente esta seguridad. Los estudios presentados por Alfonso Muñoz, fundador de la compañía CriptoCert, cuya especialización es la protección de datos y la criptografía y por Pablo San Emeterio, responsable de Evaluaciones Técnicas en el departamento de nuevos mercados de Telefonica Cyber Tech no dejan lugar a dudas.
Las dos aplicaciones no han parado de asegurar que hay un cifrado punto a punto. WhatsApp lo implementó en 2016 y Telegram nació ya con este cifrado. Ambas añaden que gracias a este cifrado desconocen el contenido de las conversaciones de sus usuarios.
Muñoz, en su ponencia, informó que en el caso de Telegram, la mayoría de informaciones y ficheros intercambiados, solamente tienen cifrado el sentido cliente-servidor, por lo que la aplicación sí conoce la información intercambiada.
Añadió, además, que los llamados “chats secretos” de Telegram quedan almacenados en ficheros cifrados, por lo que también son accesibles a los responsables de la aplicación y por ende se conocen datos de las personas que los usan, cuándo lo hacen, el tamaño que tienen y por supuesto, sus nombres.
San Emeterio presentó una forma de añadir protección adicional: incluir una capa extra de cifrado, cosa que es factible hacer con técnicas de instrumentación dinámica y de introspección. Basta con inyectar un código específico.
Así que ya veis: ¡estamos rodeados! Y parece claro que no existe una solución fácil e ideal para el problema de la privacidad tan deseada en este tipo de aplicaciones. Pero Alfonso Muñoz recordó que sí que existen plataformas que permiten la comparación de App’s y así poder escoger la que mejor se adapte a cada usuario según sus necesidades y hábitos.
Nosotros creemos que la partida entre WhatsApp y Telegram acabará en empate. Y recordamos que cuando uno se da de alta en este tipo de aplicaciones, redes sociales, etc. está, consciente o inconscientemente, vendiendo su alma (léase datos) al diablo.
Debemos desconfiar de las promesas de encriptación que están a la orden del día. Y por supuesto, no debemos creernos los rumores, mitos y leyendas que circulan por ahí. Aunque el refranero nos diga que “cuando el río suena agua lleva”, no siempre es así.
¡Ah, se nos olvidaba! En este blog ya hemos desmentido algunas leyendas urbanas, como por ejemplo, que en los ordenadores Mac no entran virus. Hay otros artículos donde desmentimos cosas así. Por ejemplo, también hemos hablado de Linux. ¿Queréis jugar un poco? ¡Descubrid el/los artículo/s donde hablábamos de Linux!
Imagen principal: Alfredo Rivera en Pixabay.
- Publicado en Aplicaciones de mensajería, Congresos, Evento, General, Noticias, Privacidad, Protección de datos
IntelCon 2022: la comunidad Ginseg empieza los preparativos
El Congreso online gratuito de Ciberinteligencia IntelCon 2022 empieza a andar. La edición de este año tendrá lugar en el mes de julio. Pero a partir de hoy, 1 de abril, ya se abre el CFP o Call for Papers. Como en años anteriores, TECNOideas apoya este certamen, uno de los más destacados del calendario del sector.
El Call for Papers es lo que se conoce en el mundo académico como un llamamiento para contribuciones o para publicar. Es decir recoger artículos o propuestas de conferencias para un congreso, que en este caso se trata de uno de los certámenes más importantes del mundo de la ciberinteligencia, como ya os hemos ido informando en ediciones anteriores de IntelCon. Podéis leer el artículo sobre IntelCon 2021 que publicamos en este blog. Pero si estáis más interesados en saber los objetivos de los organizadores y el trabajo que realiza la Comunidad de Ciberinteligencia Ginseg es animamos a leer la charla que mantuvimos con Iván Portillo y Wiktor Nykiel el año pasado y que publicamos en agosto, justo cuando empezaba el congreso 2021, que fue 100% online.
Apúntate ahora y da a conocer tus propuestas, estudios, descubrimientos…
¿Quieres participar dando una ponencia o taller relacionado con la Ciberinteligencia? Actualmente está abierto el CFP para ponentes con la siguiente estructura:
- Impartiendo alguna de las sesiones del itinerario (45 minutos)
- Impartiendo sesión práctica a modo taller (90 minutos con descanso)
- Presentando CFP libre (30 y 45 minutos). Opción de presentar anónimamente bajo un pseudónimo una charla, debido a temática de carácter especial / confidencial.
- Presentando solución, producto o servicio relacionado con la temática del congreso, con esponsorización de los patrocinadores (30 y 45 minutos).
IntelCon 2022: la comunidad Ginseg empieza los preparativos. El congreso os espera, así que SAVE THE DATE!!! La cita es a finales de julio.
Si estáis interesados, tenéis más información AQUÍ.
Y si queréis ver todo lo que sucedió en el congreso del año pasado, los temas y ponentes, clicar AQUÍ.
Español 
Català