Hosted on Acast. See acast.com/privacy for more information.
Hosted on Acast. See acast.com/privacy for more information.
Investigación Profunda de Grupos de Ransomware
Investigación 7 - Ransomware Qilin
Redes Sociales
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Qilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).
Modelo y alcance
Afiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.
TTPs clave
Acceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.
Ataque a virtualización
Incorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.
Mitigación recomendada
Defensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.
Links:
https://www.sans.org/blog/evolution-qilin-raas
https://www.picussecurity.com/resource/blog/qilin-ransomware
https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/
https://cybelangel.com/blog/qilin-ransomware-tactics-attack/
https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/
https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/
https://www.cyfirma.com/research/tracking-ransomware-june-2025/
https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data
https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7
https://www.group-ib.com/blog/qilin-ransomware/
https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf
https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf
https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator
https://www.halcyon.ai/threat-group/scatteredspider
https://www.cyfirma.com/research/tracking-ransomware-march-2025/
https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/
https://www.halcyon.ai/threat-group/qilin
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 24 - Como integrar seguridad de la información con la estrategia del negocio
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Bienvenida y objetivos
Propósito: Presentar un modelo práctico de alineación inmediato.
Resultados: Esqueleto de roadmap de integración adaptable a cada organización.
Panorama actual
Tendencias: APTs, ransomware (5–10 % de facturación) y regulación creciente (GDPR, FinTech).
Retos: Proyectos aislados, KPIs técnicos sin vinculación al negocio y escaso patrocinio ejecutivo.
Comprender la estrategia
Mapeo de objetivos: Extraer metas de crecimiento (p.ej. +15 % LATAM, nuevo SaaS).
Priorización: Pesar cada iniciativa según impacto en ingresos, plazo y dependencia de sistemas.
Matriz impacto–valor
Puntuar 1–5 el Impacto de cada riesgo sobre la meta.
Puntuar 1–5 el Valor de los activos que la soportan.
Ubicar en cuatro zonas (roja, naranja, ámbar, verde) para guiar controles.
Gobierno de seguridad
Comités: CSI (CISO, TI, Legal, Finanzas, Operaciones) y Comité de Dirección (CEO, CFO, COO).
Políticas: Marco ISO 27001/22301 y estándares COBIT/ISO 27002, con ciclos anuales y “fast-track” urgente.
RACI: Claridad en Responsable, Aprobador, Consultado e Informado, con delegados en cada unidad.
Selección y priorización de proyectos
Inventario: Proyectos existentes vs. pipeline estratégico.
Criterios: Alineamiento con metas, exposición al riesgo y ROI/KPIs esperados.
Roadmap: Corto (0–6 m), medio (6–18 m) y largo (>18 m), vinculado a hitos corporativos.
Implementación (PDCA)
Plan: Gap analysis y diseño de controles.
Do: Despliegue de herramientas y formación.
Check: Auditorías, pentests MITRE ATT&CK y métricas (MTTD/MTTR).
Act: Acciones correctivas, feedback y actualización continua.
Frameworks y sinergias
Marcos: NIST CSF, ISO 27001, MITRE ATT&CK.
Áreas aliadas: DevSecOps en TI, DPIA con Legal y business cases con Finanzas.
Métricas y reporting
KPIs operativos: % sistemas auditados, MTTD/MTTR, cumplimiento de SLAs.
KRI estratégicos: Índice de madurez (COBIT/CMMI), ALE.
Dashboard & storytelling: Visuales alineados a “risk appetite” y reportes trimestrales al board.
Cultura y formación
Awareness: Mensajes ligados a beneficios de negocio, gamificación y micro-learning.
Ejecutivos: Table-top exercises y simulacros con evaluación de decisiones.
Comunicación: Comité trimestral, boletín mensual y portal de seguridad.
Mejora continua
Post-mortem: “What went well / What to improve” para capturar lecciones.
Revisión de roadmap: Talleres semestrales y triggers ante cambios de negocio o amenazas.
Innovación emergente
AI/ML: Detección de anomalías en tiempo real.
Cifrado post-cuántico: Pilotos graduales en datos sensibles.
Zero Trust: Validación continua de identidad y microsegmentación.
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 23 - Gestión de datos y protección de la privacidad
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Fase 0 – Preparación y Diagnóstico
Equipo y Gobernanza: Designación formal del DPO y de “Privacy Champions” en cada área, con perfil, funciones y canales de comunicación definidos. Se establece un RACI y reuniones quincenales para seguimiento.
Inventario y Clasificación: Mapeo exhaustivo de sistemas (CRM, ERP, bases de datos on-premise y en la nube, herramientas de marketing, etc.), registro de metadatos y catálogo de datos. Se clasifican datos personales, sensibles, anonimizados y seudonimizados, validando con el DPO y los Privacy Champions.
Evaluación de Brechas: Comparación entre prácticas actuales y requisitos regulatorios, identificación de gaps críticos y establecimiento de una línea base de seguridad basada en estándares ISO 27001/27701.
2. Fase 1 – Gobernanza y Políticas
Política de Privacidad: Redacción integral que cubre alcance, principios, derechos ARCO, roles, controles y procedimientos de notificación de brechas. Versión interna (intranet, webinars) y externa (sitio web, banner de cookies), con control de versiones y revisiones anuales.
Responsabilidades y SLA: Definición de plazos para reconocimiento (24 h), evaluación (2 días hábiles) y resolución de solicitudes ARCO (15–30 días naturales), con escalamiento automático y métricas de cumplimiento.
Consentimiento y DPIA: Revisión de formularios y banners, ejecución de Evaluaciones de Impacto de Protección de Datos (DPIA) en procesos de alto riesgo (perfilado, IA, transferencias).
3. Fase 2 – Implementación Técnica y Organizativa
Controles Técnicos: Cifrado en tránsito y reposo (TLS, AES-256), gestión de identidades (principio de privilegio mínimo, MFA), monitorización SIEM/IDS-IPS y respaldo seguro con pruebas periódicas.
Pseudonimización y Anonimización: Aplicación en entornos de prueba y analítica avanzada; definición de procesos de desidentificación.
Contratos y Terceros: Inclusión de cláusulas de protección de datos y subprocesadores, adopción de Standard Contractual Clauses (SCC) o Binding Corporate Rules (BCR) según destino.
Formación: Campaña obligatoria sobre GDPR, LGPD y CCPA, con simulacros de phishing y quizzes de refuerzo.
4. Fase 3 – Gestión de Incidentes y Respuesta
Playbook de Brechas: Procedimiento de detección, contención y notificación interna y regulatoria (≤ 72 h en UE), integrado con SOC y forense digital.
Simulacros Anuales: Dos ejercicios al año—técnico y comunicacional—para validar tiempos de respuesta y calidad de la comunicación con autoridades y titulares.
Lecciones Aprendidas: Ajuste continuo de procedimientos tras cada drill.
5. Fase 4 – Transferencias Internacionales
Mapeo de Flujos: Inventario de transferencias y diagrama de flujo por jurisdicción, categorización de datos y análisis de riesgo para países no adecuados.
Mecanismos de Cumplimiento: Implementación y mantenimiento de SCC, BCR y decisiones de adecuación; repositorio centralizado con control de versiones, auditorías y alertas de renovación anual.
6. Fase 5 – Auditoría y Mejora Continua
KPIs y Métricas: Solicitudes ARCO, incidentes, resultados de auditorías.
Auditorías Independientes: Cada 12–18 meses para ISO 27701 y GDPR.
Actualización de Políticas: Revisiones semestrales o tras cambios regulatorios, incorporación de IA y big data
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Antecedentes y trayectoria
Inicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.
Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).
Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.
Principales desafíos
Cultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).
Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.
Evolución del rol de líder y mentor
De “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.
Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.
De la teoría a la práctica
Ejemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).
Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.
Definición y comunicación del apetito de riesgo
Involucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).
Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.
Gobernanza de terceros y cadena de suministro
Extender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).
Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.
Errores comunes al iniciar un programa de gobernanza
Falta de patrocinio de alta dirección y de un comité rector.
No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.
Insuficiencia de recursos: tanto presupuesto como talento dedicado.
Recomendaciones para un programa sostenible
Basarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).
Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.
Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).
Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio.
Hosted on Acast. See acast.com/privacy for more information.
Investigación Profunda de Grupos de Ransomware
Investigación 6 - Ransomware Play
Redes Sociales
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Identificación
Desde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.
Origen y Perfil
Se sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.
TTPs (MITRE ATT&CK)
Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).
Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).
Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).
Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).
Movimiento lateral: transferencia de herramientas (T1570) y PsExec.
Comando y Control: modificación de políticas de dominio (T1484.001).
Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.
Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).
Flujo de Ataque
Ingreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.
Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.
Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.
Exfiltración & Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.
Extorsión: nota de rescate y amenaza de publicación en TOR.
Modelo de Negocio
Rescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.
Victimología
Afectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.
Contramedidas y Detección
Implementar MFA, contraseñas fuertes y bloqueo de cuentas.
Segmentar la red y filtrar accesos remotos.
Mantener parches al día en FortiOS, Exchange y SimpleHelp.
Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.
Asegurar respaldos offline, cifrados e inmutables.
URLS
https://www.ransomware.live/group/play
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a
https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/
https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackers
https://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behavior
https://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.html
Correos del grupo
boitelswaniruxl@gmx.com, teilightomemaucd@gmx.com, raniyumiamrm@gmx, derdiarikucisv@gmx
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 21 - Gestión de proveedores y la cadena de valor
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Política TPRM
Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.
Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:
CISO: define seguridad y excepciones.
Legal: revisa contratos.
Compras: asegura cláusulas de riesgo.
Operaciones: supervisa desempeño diario.
Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.
2. Comité de Proveedores
Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.
Participan responsables de Riesgos, Finanzas y Operaciones.
Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.
3. Alcance de Cadena de Valor
La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.
Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).
Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.
INVENTARIO Y CLASIFICACIÓN
Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).
Clasificación por criticidad:
Tier 1: impacto alto (interrupción clave).
Tier 2: impacto medio (soporte).
Tier 3: impacto bajo (servicios auxiliares).
Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.
DUE DILIGENCE Y SELECCIÓN
Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.
Reputación y legal: listas de sanciones, litigios, antecedentes.
Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.
Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.
Resumen clave:
El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 20 - Controles y herramientas de seguridad para la GSI
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Noticias: https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/
Email leaked: https://haveibeenpwned.com/
1. Fundamentos de los Controles de Seguridad
Los controles de seguridad son mecanismos que previenen, detectan, corrigen o disuaden amenazas sobre activos. Se clasifican en:
Preventivos: MFA, firewalls, cifrado.
Detectivos: IDS/IPS, monitoreo de logs, UEBA.
Correctivos: IRP, restauraciones, parches.
Disuasivos: mensajes legales, certificaciones, señalética.
2. Criterios para la Selección de Herramientas de Seguridad
Se definen parámetros para seleccionar tecnologías según el contexto de madurez organizacional y necesidades específicas:
Madurez y presupuesto: desde SaaS básicos hasta plataformas con SOAR e IA.
Cobertura funcional: cumplir al menos el 80% de los casos críticos.
Integración: compatibilidad con SIEM, CMDB, ServiceNow, entornos cloud.
Escalabilidad: horizontal, vertical y con microservicios.
Soporte y comunidad: SLAs, ciclos de actualización y formación.
Cumplimiento: certificaciones ISO, SOC2, cumplimiento con GDPR, PCI-DSS.
3. Principales Categorías de Herramientas de Seguridad
IAM: Control granular de acceso y privilegios (Okta, Azure AD PIM).
SIEM/XDR: Detección avanzada, correlación y análisis (Splunk, Microsoft Sentinel).
EDR/MDR: Protección y respuesta en endpoints (CrowdStrike, SentinelOne).
Gestión de Vulnerabilidades: escaneo, priorización y parcheo (Tenable.io, Qualys).
DLP: control de datos sensibles en tránsito, uso y reposo (Forcepoint, Symantec).
Seguridad en la Nube (CSPM/CWPP): configuración segura y protección de workloads (Prisma Cloud, Azure Security Center).
4. Integración y Orquestación (SOAR)
El capítulo aborda cómo estructurar flujos de trabajo (playbooks) y automatizar respuestas:
Playbooks: escenarios predefinidos (phishing, malware, exfiltración).
Automatización SOAR: ejecución de tareas sin intervención humana.
Dashboards unificados: visibilidad de KPIs (MTTR, falsos positivos).
Formación del SOC: simulaciones, laboratorios y CTF internos.
5. Implementación y Validación
Se recomienda un despliegue por fases (piloto → gradual → masivo), complementado con pruebas de efectividad:
Pentesting y Red Team: validación realista de controles y playbooks.
KPIs: MTTR ≤ 30 min, cobertura SOAR ≥ 70%, falsos positivos < 10%.
Auditorías internas trimestrales aseguran mejoras continuas.
6. Monitoreo Continuo y Mejora
Se adopta el ciclo PDCA para mantener la gobernanza dinámica:
Check: métricas, auditorías, retroalimentación de incidentes.
Act: ajustes de controles, actualización de políticas y formación.
Se enfatiza la gestión de cambios alineada con CI/CD y retroalimentación tras incidentes para fortalecer la arquitectura de seguridad.
7. Conclusión y Recomendaciones
Equilibrio integral entre personas, procesos y tecnología.
Modularidad tecnológica para adaptarse a la innovación.
Cultura de seguridad mediante campañas gamificadas y visibilidad ejecutiva.
Transparencia y comunicación: dashboards diferenciados para la alta dirección y equipos técnicos.
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 19 - Gestión de riesgos y análisis de amenazas
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Link de las noticias:
https://blog.cloudflare.com/cloudflare-service-outage-june-12-2025/
https://status.cloud.google.com/incidents/ow5i3PPK96RduMcb1SsW
1. Gestión de Riesgos – NIST SP 800-37 Rev. 2
Este marco establece un proceso sistemático para incorporar la gestión de riesgos en el ciclo de vida de los sistemas, enfocándose en la protección de la confidencialidad, integridad y disponibilidad (CIA). Sus seis pasos son:
Categorizar: Clasifica el sistema según el impacto potencial en la CIA.
Seleccionar: Define controles adecuados basados en NIST SP 800-53.
Implementar: Despliega y documenta controles técnicos, administrativos y físicos.
Evaluar: Verifica su efectividad mediante auditorías y pruebas.
Autorizar: Emite una decisión formal sobre el riesgo aceptable (ATO).
Monitorear: Supervisa continuamente cambios y amenazas.
El enfoque integra la seguridad con los objetivos de negocio y promueve el uso de métricas para la toma de decisiones informadas. El proceso es adaptable y dinámico, con retroalimentación continua.
2. Análisis de Amenazas – Cyber Kill Chain
Desarrollado por Lockheed Martin, este modelo descompone un ciberataque en 7 fases para facilitar su detección y contención:
Reconocimiento: Recolección de información sobre el objetivo.
Armamento: Preparación de payloads y exploits personalizados.
Entrega: Transmisión del malware (phishing, USB, web).
Explotación: Activación del código malicioso.
Instalación: Persistencia en el sistema comprometido.
Comando y Control (C2): Comunicación con el atacante.
Acciones sobre el Objetivo: Exfiltración, sabotaje o ransomware.
El modelo permite diseñar controles específicos para interrumpir la cadena antes de que se complete.
3. Controles de Seguridad – NIST SP 800-53
Es un catálogo exhaustivo de controles organizativos, técnicos y operativos que apoyan la implementación del RMF. Se organiza en más de 20 familias (acceso, auditoría, respuesta a incidentes, etc.) con controles base y opciones extendidas.
Los controles se seleccionan durante el paso 2 del RMF, en función de la categorización CIA. El System Security Plan (SSP) documenta la implementación y es clave en la evaluación y monitoreo.
4. Integración Operativa: RMF + Kill Chain + SP 800-53
La sinergia entre RMF y el Cyber Kill Chain permite diseñar un programa de seguridad integral:
Riesgos ↔ Amenazas: La categorización y controles del RMF alimentan las detecciones a lo largo del Kill Chain.
Herramientas integradas: Plataformas GRC, SIEM, XDR y SOAR permiten automatizar respuestas, evaluar riesgos y mantener visibilidad.
Métricas y KPIs: Indicadores como el tiempo de detección (MTTD), respuesta (MTTR) y madurez del RMF permiten medir y optimizar la postura de seguridad.
Mejora continua y cultura organizacional: Auditorías, simulacros y programas de concienciación fortalecen la resiliencia institucional.
Hosted on Acast. See acast.com/privacy for more information.
Investigación Profunda de Grupos de Ransomware
Investigación 5 - Ransomware Funksec
Redes Sociales
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
1. Identificación
Aparición: Octubre de 2024.
Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.
Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.
2. Perfil y evolución
Actores clave:
Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.
El_Farado: Sucesor con poca experiencia técnica.
Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.
Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.
IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.
3. Operaciones y TTPs
Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.
Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.
Tácticas MITRE:
Acceso: Phishing (T1566), exploits web (T1190).
Ejecución: Engaño al usuario (T1204).
Escalada: Tokens (T1134), exploits locales (T1068).
Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).
Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).
Descubrimiento: Info del sistema (T1082), servicios de red (T1046).
Movimiento lateral: Servicios remotos (T1021).
Exfiltración: Vía web (T1567).
Impacto: Inhibe recuperación (T1490), cifrado (T1486).
4. Infraestructura
Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.
5. Análisis técnico
Persistencia: Tarea programada “funksec”.
Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.
Antianálisis: Detecta VMs; comprueba privilegios (net session).
Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.
Autocopia: Se replica en todas las unidades (A:–Z:).
UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.
6. Victimología
Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.
7. Contramedidas
Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.
Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.
URL´s
https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/
https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/
Video sugerido que pasos deben tomarse en caso de infección
https://youtu.be/cMZ4apzfKjQ
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 18 - El rol del liderazgo en la gobernanza de seguridad de la información
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Contexto CISM e ISACA
CISM valida competencias en gobernanza, gestión de riesgos, programas de seguridad y respuesta a incidentes, y se apoya en marcos como COBIT e ISO 27014. El Dominio 1 enfatiza la cultura y la estructura organizacional para integrar la seguridad en la estrategia corporativa.
2. Niveles de Liderazgo
Consejo de Administración: Aprueba el marco de seguridad, asigna recursos y patrocina la cultura de seguridad.
Comité de Seguridad: Supervisa riesgos y programas de seguridad, valida planes y coordina con áreas clave.
CISO: Define estrategia, lidera controles y reporta riesgos en lenguaje de negocio. Consejo: vincular riesgos con impacto económico.
CIO/CTO: Implementa infraestructura segura, colabora con seguridad y supervisa proyectos.
GRC Officer/Risk Manager: Administra riesgos tecnológicos y regulatorios, supervisa auditorías y políticas.
Administrador de Seguridad/SOC: Opera controles técnicos, responde a incidentes y soporta auditorías.
Responsable de Concienciación: Implementa programas de capacitación y gamificación.
Dueños de proceso/Negocio: Aseguran alineación de seguridad con objetivos operativos y participan en planes de continuidad.
Legal/Auditoría: Verifica cumplimiento normativo y contractual.
Usuarios finales: Aplican buenas prácticas y reportan incidentes.
3. Elementos Clave de la Gobernanza
Políticas y estándares: Documentos formales con roles y responsabilidades claras. Consejo: revisiones semestrales.
Alineamiento estratégico: Seguridad vinculada a metas del negocio. Consejo: usar objetivos SMART.
Asignación de recursos: Planificar presupuesto y personal con análisis de ROI. Consejo: presentar business cases claros.
Métricas y monitoreo: Indicadores clave (p.ej. % sistemas parcheados, MTTRes). Consejo: usar ≤10 métricas críticas.
Revisión y mejora continua: Auditorías internas y post-mortem tras incidentes. Consejo: incluir feedback en playbooks de gobernanza.
Gestión de riesgos: Relacionar controles con riesgos mitigados y usar criterios cuantitativos.
4. Competencias de Liderazgo en CISM
Visión estratégica: Anticipar tendencias tecnológicas. Consejo: usar threat intelligence.
Comunicación efectiva: Traducir riesgos técnicos en impacto de negocio. Consejo: usar analogías.
Toma de decisiones basada en datos: Priorización objetiva. Consejo: scorecards.
Ética profesional: Promover transparencia. Consejo: incluir en la capacitación anual.
5. Procesos de Gobernanza
Evaluación de requerimientos: Identificar regulaciones aplicables. Consejo: checklists.
Desarrollo de la estrategia: Definir objetivos claros. Consejo: metodologías ágiles.
Despliegue de controles: Implementar de forma estructurada. Consejo: asignar SMEs.
Supervisión y reporte: Dashboards y automatización de reportes. Consejo: liberar tiempo para el análisis.
Ajustes y actualización: Revisiones periódicas tras incidentes. Consejo: integrar lecciones aprendidas.
Recomendación final
La gobernanza debe habilitar el negocio, ser documentada, medible, patrocinada por la alta dirección y fomentar una cultura sostenible.
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 17 - Políticas y estrategias de seguridad digital
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
I. Gobernanza y Liderazgo
Se establece la necesidad de un compromiso activo del liderazgo mediante comités de seguridad, definición de visión estratégica y KPIs claros. La gestión de riesgos es fundamental, utilizando modelos como ISO 27005 o FAIR para priorizar controles.
II. Identidad y Acceso
El capítulo describe cómo controlar el acceso a sistemas mediante políticas de Identity and Access Management (IAM), forzando MFA y revisando privilegios periódicamente. Se introduce la arquitectura Zero Trust, que exige verificar cada acceso sin suposiciones de confianza, aplicando principios de mínima exposición.
III. Protección de la Infraestructura
Se plantean mecanismos de segmentación de red (VLANs, ACLs) para limitar movimientos laterales, y el cifrado de datos tanto en tránsito (TLS 1.3) como en reposo (AES-256), incluyendo la rotación automatizada de llaves mediante KMS.
IV. Detección y Respuesta
Se promueve la integración de SIEM para correlacionar eventos de seguridad y la elaboración de playbooks de Respuesta a Incidentes (IR). Se recomienda ensayar respuestas con ejercicios tabletop y definir SLAs.
V. Resiliencia y Continuidad
Describe políticas de Continuidad de Negocio y Recuperación ante Desastres (BC/DR), que incluyen análisis de impacto (BIA), objetivos RTO/RPO y pruebas semestrales. También se integra DevSecOps como cultura y automatización de seguridad en el desarrollo ágil, promoviendo controles desde el inicio del ciclo.
VI. Personas y Procesos
La formación y concienciación son pilares esenciales. Se recomiendan campañas constantes de phishing simulado y capacitación medida por retención. También se trata la gestión de terceros, exigiendo cláusulas contractuales, auditorías y cuestionarios específicos.
VII. Tecnologías Emergentes
Se exploran 10 tecnologías clave que deben considerarse en políticas modernas:
IA Generativa y ML Avanzado
Criptografía Post-Cuántica
Criptografía Homomórfica
Blockchain y DLT
IoT, Edge Computing y 5G/6G
Digital Twins para simulación segura
XDR y SOAR
Confidential Computing
Deception Technology y honeypots inteligentes
Agentes Autónomos + Explainable AI
Cada una está acompañada de consejos prácticos para pruebas de concepto o despliegue seguro.
VIII. Diseño de Políticas
Se describe el ciclo completo de creación de políticas:
Análisis de riesgos y objetivos
Definición de propósito y alcance
Benchmarking con estándares
Redacción clara y verificable
Revisión con stakeholders
Aprobación ejecutiva formal
Comunicación y gestión del cambio
Implementación técnica
Monitoreo y métricas (MTTD, MTTR, % cumplimiento)
Revisión periódica y retiro de versiones obsoletas
IX. Nomenclatura y Estructura de Políticas
Se propone una convención estándar:
POL–<DOMINIO>–<TIPO>–<VERSIÓN>
Ej.: POL–IAM–ACCESS–v1.0
X. Políticas Recomendadas
Se presentan 13 políticas prioritarias para cubrir todos los dominios tratados:
Gestión de riesgos
Gestión de activos
IAM
Zero Trust
Segmentación de red
Cifrado
SIEM
IR
BC/DR
DevSecOps
Formación
Terceros
Tecnologías emergentes
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 16 - Marco legal, regulatorio y normativo
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Definiciones
Marco Legal: Leyes obligatorias como el GDPR, que definen derechos y obligaciones en protección de datos.
Marco Regulatorio: Normas secundarias que detallan procedimientos y sanciones.
Marco Normativo: Estándares y buenas prácticas (ISO, NIST, COBIT), usados para auditorías y gestión de riesgos.
2. Marco Legal en Europa
GDPR: Reglamento general europeo sobre protección de datos. Principios: licitud, minimización, exactitud, conservación limitada, confidencialidad. Derechos: acceso, rectificación, supresión, portabilidad, oposición.
ePrivacy Directive: Complementa al GDPR, regulando comunicaciones electrónicas (cookies, metadatos, spam).
DORA: Normativa obligatoria desde 2025 para entidades financieras y proveedores TIC críticos. Requiere gobernanza de resiliencia digital, pruebas de estrés y gestión de terceros.
3. Marco Legal en Latinoamérica
Brasil (LGPD): Inspirada en el GDPR, aplica a datos tratados en Brasil o relativos a brasileños. Derechos: acceso, corrección, portabilidad, eliminación. Supervisada por la ANPD.
México (LFPDPPP y GLPPDPOS): Leyes para el sector privado y público, con derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y supervisión por el INAI.
Argentina (Ley 25.326): Reconoce el habeas data. Exige registro de bases y permite auditorías por la DNPDP.
Colombia (Ley 1581/2012): Derechos similares al GDPR. La SIC supervisa y puede aplicar multas o suspensiones.
Chile (Ley 19.628 y Ley 21.719): Marco actualizado en 2024. Crea la Agencia de Protección de Datos. Establece medidas de seguridad y controles para transferencias internacionales.
4. Normas y Estándares Internacionales
ISO/IEC 27001: Establece sistemas de gestión de seguridad de la información con enfoque basado en riesgos (CIA: Confidencialidad, Integridad y Disponibilidad).
NIST CSF: Framework basado en funciones (Identificar, Proteger, Detectar, Responder, Recuperar), adaptable a cualquier organización.
Esquema Nacional de Seguridad (España): Obligatorio para el sector público, incluye categorización de sistemas y auditorías.
Guías ENISA: Manuales y guías técnicas para gobiernos y empresas, destacando amenazas, cumplimiento de NIS2 y resiliencia.
5. Sector Público vs. Privado
En Latinoamérica, algunas leyes excluyen a fuerzas armadas o entes de seguridad nacional. En Europa, el GDPR permite excepciones solo por ley nacional y bajo principios de necesidad y proporcionalidad.
Sanciones: El sector privado enfrenta multas económicas; el público puede tener sanciones disciplinarias o penales.
6. Gobernanza y Cumplimiento
Autoridades (DPAs, EDPS, EDPB): Supervisan cumplimiento legal y asesoran sobre normativas.
Roles: El DPO supervisa el cumplimiento; el responsable define fines del tratamiento; el comité de seguridad gestiona riesgos y responde a incidentes.
Procesos clave: Registro de actividades, notificación de brechas en 72 h, auditorías, pruebas de penetración.
7. Retos Futuros
IA Generativa: Riesgos de privacidad por generación de datos sintéticos; la UE responde con el AI Act.
Ciberresiliencia: El CRA exige seguridad desde el diseño en productos digitales.
Armonización en LATAM: La RIPD busca estandarizar normativas y cooperación entre países.
Identidad Digital: Las Digital Identity Wallets serán obligatorias en la UE antes de 2026.
Hosted on Acast. See acast.com/privacy for more information.
Investigación Profunda de Grupos de Ransomware
Investigación 4 - Ransomware LockBit
1. Identificación y Origen
LockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.
2. Evolución de Versiones
1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.
2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.
3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.
4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.
3. TTPs (MITRE ATT&CK)
Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.
4. Infraestructura y Herramientas
Afiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).
5. Economía del Ataque
Rescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.
6. Víctimas y Sectores
Afecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).
7. Contramedidas
Implantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.
8. Incidente (7 mayo 2025)
Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.
Noticia
https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel
Investigación
https://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion
https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptions
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
Redes Sociales
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 15 - Marco conceptual y modelos de gobernanza de seguridad de la información
1. Enfoque y propósito
La gobernanza de la seguridad de la información se apoya en principios corporativos sólidos y un ciclo continuo de mejora (PDCA) alineado con los objetivos del negocio. Para desplegarla existen diversos esquemas organizativos (centralizado, descentralizado, híbrido, basado en riesgos, colaborativo y federado) que determinan la ubicación de la autoridad y el flujo de decisiones.
2. Marco conceptual clave
3. Modelos de implementación
4. Conclusión
No existe un modelo universal: la elección debe basarse en la estructura organizacional, apetito de riesgo, regulaciones aplicables y nivel de madurez. Un marco conceptual robusto, sustentado en estándares internacionales y el ciclo PDCA, es fundamental para asegurar alineación estratégica y resiliencia frente a amenazas presentes y futuras.
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 14 - Introducción a la gobernanza de seguridad de la información
Principios y marcos normativos
Principios: seguridad organizacional; enfoque por riesgos; alineación de inversiones al negocio; conformidad; cultura de seguridad; medición por desempeño.
Marcos: ISO/IEC 27014 (supervisión de seguridad); NIST CSF ID.GV (gobernanza cibernética); COBIT 2019 (evaluar, dirigir, monitorear); ISO/IEC 38500 (gobernanza TI)
Estructura organizativa y roles
Gobierno: órgano de gobierno y alta dirección
Seguridad: CISO y comité; CSIRT
Protección de datos: DPO
Apoyo: propietarios de activos, función de riesgos, “security champions” y auditoría interna.
Políticas, estándares y procedimientos
Jerarquía documental: políticas estratégicas → estándares técnicos → procedimientos operativos.
Ciclo de vida: elaboración, aprobación, revisión, retiro y control de versiones.
Gestión de riesgos y terceros
Riesgos: identificación, evaluación, tratamiento, monitoreo; apetito y tolerancia.
Terceros: due diligence, cláusulas contractuales, auditorías continuas.
Cumplimiento legal y regulatorio
Normas generales: GDPR (arts. 32, 83), HIPAA, PCI DSS, SOX, LOPD.
Sectoriales: NERC CIP.
Actividades: análisis de brechas, auditorías, notificaciones y sanciones.
Gestión de accesos e identidades (IAM)
Ciclo de vida de identidades.
Autenticación y autorización (RBAC/ABAC).
Accesos privilegiados, SSO/federación, revisiones y supervisión.
Capacitación y cultura
Programas con contenidos actualizados, simulaciones de phishing y campañas.
Métricas de eficacia (tasas de clic, resultados de simulacros).
Liderazgo activo para fomentar cultura de seguridad.
Respuesta a incidentes y continuidad
Fases: preparación, detección, contención, erradicación, recuperación.
BIA, BCP y DRP, pruebas periódicas, auditorías y lecciones aprendidas.
Métricas y desempeño
KPI/KRI: incidentes, vulnerabilidades, madurez de procesos.
Dashboards ejecutivos, benchmarking y ciclo PDCA (Plan‑Do‑Check‑Act).
Tendencias emergentes
DevSecOps, Cloud governance (ISO/IEC 27017), Zero Trust (NIST SP 800‑207).
Criptografía post‑cuántica (FIPS 203‑205), IA governance (ISO/IEC SC 42).
SASE, SCRM (SP 800‑161), IoT governance (ISO/IEC 30141), “policy-as-code” y SOAR.
Implementación en 4 pasos
Estrategia: definir objetivos, apetito de riesgo y requisitos de cumplimiento.
Construcción: diseñar estructura organizativa y marco normativo‑tecnológico.
Prueba e implementación: validación funcional y despliegue progresivo.
Monitoreo y mejora: seguimiento continuo y ajustes basados en resultados.
Beneficios clave
Integridad y calidad de datos
Reducción de riesgos y seguridad reforzada
Cumplimiento normativo
Eficiencia operativa y reducción de costes
Decisiones basadas en datos
Colaboración fluida y reputación fortalecida
Base para transformación digital
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 13 - Marcos de seguridad de la información | Alternativos
El Capitulo 13 se centra en una visión comparativa de diversos marcos y estándares utilizados en la gestión y seguridad de la información. A continuación, se presenta un resumen de los aspectos más importantes:
• Cobit 2019:
- Enfocado en la gobernanza y gestión de TI, asegurando la alineación entre la tecnología y los objetivos empresariales.
- Introduce nuevos factores de diseño y modelos de evaluación de madurez para identificar brechas y optimizar procesos.
• COSO Internal Control–Integrated Framework:
- Diseñado originalmente para fortalecer el control interno en entornos financieros, pero extendido a la gestión de riesgos operativos y estratégicos.
- Se estructura en 17 componentes que abarcan desde el ambiente de control hasta la supervisión, mejorando la transparencia y la integridad de la información.
• PCI DSS Versión 4.0:
- Orientado a proteger los datos de tarjetas de pago mediante requisitos técnicos y de procesos, reduciendo así riesgos de fraude y brechas de seguridad.
- Establece 12 requisitos básicos que incluyen desde la protección de redes hasta políticas internas de seguridad.
• HITRUST CSF Versión 10.x:
- Unifica múltiples normativas y estándares, especialmente en sectores tan sensibles como el salud.
- Facilita la integración de controles de seguridad y gestión de riesgos, reduciendo esfuerzos duplicados en auditorías y cumplimiento normativo.
• CIS Controls Versión 8:
- Basado en prácticas reconocidas por la comunidad, ofrece medidas prácticas y priorizadas para disminuir riesgos cibernéticos.
- Aborda desde el inventario y control de activos hasta la gestión de incidentes, poniendo especial énfasis en la reducción de la superficie de ataque.
• FAIR Versión 3:
- Proporciona un enfoque cuantitativo para el análisis de riesgo, permitiendo traducir las amenazas a valores financieros.
- Facilita la toma de decisiones y la justificación de inversiones en seguridad mediante métricas económicas.
• ITIL 4:
- Se centra en la gestión de servicios de TI, integrando prácticas ágiles, DevOps y enfoques holísticos en la creación de valor.
- Incluye políticas y procesos para la seguridad de la información, alineando la prestación de servicios con las necesidades del negocio.
• O-ISM3 (Information Security Management Maturity Model):
- Un modelo de madurez que permite evaluar y mejorar los procesos de gestión de seguridad en la organización.
- Proporciona una guía estructurada para identificar brechas y planificar mejoras a nivel estratégico y operativo.
• OCTAVE:
- Propuesto por el SEI de Carnegie Mellon, este método permite a las organizaciones autoevaluar sus riesgos.
- Se basa en la identificación de activos críticos, evaluación de vulnerabilidades y desarrollo de estrategias de mitigación, involucrando a todo el personal.
Finalmente, se destaca que la integración de estos marcos de seguridad se presenta como una estrategia clave para transformar riesgos en oportunidades, fortaleciendo la resiliencia y fomentando la innovación en las organizaciones.
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 12 - Marcos de seguridad de la información | Familia NIST
Introducción a NIST y su Rol en la Seguridad de la Información:
Se explica que el National Institute of Standards and Technology (NIST) es una agencia del Departamento de Comercio de EE. UU. que desarrolla estándares, guías y mejores prácticas para la seguridad de la información. Originalmente enfocados en agencias gubernamentales, estos marcos se han extendido a múltiples sectores y organizaciones privadas.
Estructura de los Marcos de Seguridad de NIST:
El documento detalla dos grandes grupos:
NIST Cybersecurity Framework (CSF):
Presenta las cinco funciones fundamentales: Identificar, Proteger, Detectar, Responder y Recuperar, que guían a las organizaciones en la evaluación y mejora de su postura de seguridad. Se ofrecen ejemplos prácticos para cada función, como la realización de inventarios de activos y la implementación de sistemas de respuesta a incidentes.
Serie NIST SP 800:
Se destacan varias publicaciones clave, entre las cuales se incluyen:
SP 800-53: Un catálogo extenso de controles de seguridad y privacidad organizados en familias (por ejemplo, control de acceso, gestión de incidentes, etc.).
SP 800-171: Directrices específicas para proteger la Información No Clasificada Controlada (CUI) en sistemas no federales.
SP 800-37: Una guía para aplicar el Risk Management Framework (RMF), detallando pasos desde la categorización hasta el monitoreo continuo.
SP 800-63: Normas para la gestión de identidad digital, abarcando desde la verificación de identidad hasta la autenticación de usuarios.
SP 800-82: Recomendaciones para asegurar sistemas de control industrial (ICS), incluyendo sistemas SCADA, con el objetivo de proteger procesos críticos.
Aplicación Práctica y Certificación:
El documento también discute cómo estos marcos se utilizan para estructurar programas de seguridad en las organizaciones, destacando que NIST no certifica directamente, pero sus guías son la base para auditorías internas y externas, y se integran con certificaciones como FedRAMP, CMMC o ISO/IEC 27001.
Metodologías de Aprendizaje y Mejora Continua:
Se recomiendan métodos como cursos en línea, talleres, simuladores y el uso de herramientas prácticas (por ejemplo, CSET) para aprender y aplicar estos marcos de forma efectiva, enfatizando la importancia de la formación continua en el campo de la ciberseguridad.
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Investigación Profunda de Grupos de Ransomware
Investigación 3 - Ransomware Akira
1. Identificación y Origen
Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.
2. Perfil y Evolución
Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.
3. Metodología de Ataque
4. Modelo Financiero
Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.
5. Victimología
Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.
6. Recomendaciones
7. Incidente Destacado
El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.
Fuente:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web
https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/
https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira
https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf
https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry
https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 11 - Marcos de seguridad de la información | Familia ISO 27000
Link de noticia:
https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants
Link revisión de dominio afectado:
https://exposure.cloudsek.com/oracle
Link de iso:
https://www.iso.org/standards.html
Introducción:
Se plantea la importancia de contar con un marco de seguridad robusto que unifique la terminología y los procesos, resaltando la necesidad de un compromiso de toda la organización, especialmente de la alta dirección.
Principales Normas ISO/IEC
ISO/IEC 27000: Define términos y conceptos básicos que sientan las bases para el SGSI.
ISO/IEC 27001: Establece los requisitos para diseñar, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI), basado en el ciclo PHVA.
ISO/IEC 27002: Ofrece un código de buenas prácticas para la selección e implementación de controles de seguridad, organizados en 14 dominios.
ISO/IEC 27003: Proporciona una guía práctica para la implementación de la norma ISO 27001.
ISO/IEC 27004: Se orienta a la medición y evaluación de la eficacia del SGSI mediante indicadores y métricas.
ISO/IEC 27005: Enfoca la identificación, evaluación y tratamiento de riesgos en la seguridad de la información.
Normas Complementarias y Especializadas
El documento también describe otros estándares que amplían y complementan el SGSI, como:
ISO/IEC 27006: Requisitos para organismos de certificación.
ISO/IEC 27007 y 27008: Directrices para auditorías y evaluaciones de controles de seguridad.
Normas específicas para sectores (por ejemplo, ISO/IEC 27011 en telecomunicaciones, 27017 en servicios en la nube, 27019 en el sector energético, entre otras).
Normas sobre gestión de incidentes, continuidad del negocio, ciberseguridad, seguridad en redes, aplicaciones y almacenamiento, que ofrecen marcos y recomendaciones para cada ámbito particular.
Elementos Recurrentes
Compromiso de la alta dirección y liderazgo: Fundamental para garantizar que el SGSI esté alineado con los objetivos estratégicos de la organización.
Planificación y evaluación de riesgos: Identificación de amenazas y vulnerabilidades, seguida de la implementación de controles y la mejora continua.
Auditorías y monitoreo: Se subraya la importancia de realizar revisiones periódicas, auditorías internas y externas para validar la eficacia del SGSI.
Mejora continua: El SGSI debe adaptarse a nuevas amenazas y tecnologías, garantizando que se tomen medidas correctivas de forma oportuna.
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
Tema: Introducción y contexto
Capitulo 10 - Cómo crear un SOC de alto rendimiento
El capítulo describe un plan integral para establecer un Centro de Operaciones de Seguridad (SOC) de alto nivel basado en cinco pilares clave:
Gestión de Ingestas en el SIEM:
Incorporación Estratégica: Identificar y mapear fuentes críticas (activos, aplicaciones y dispositivos) que generan logs, priorizando aquellos con mayor impacto en la seguridad.
Mantenimiento y Monitoreo: Realizar auditorías periódicas de las ingestas existentes, configurar alertas y monitoreo automatizado.
Optimización y Protección: Eliminar datos redundantes, ajustar dashboards y asegurar la transmisión de logs mediante cifrado y controles de acceso.
Redundancia: Implementar arquitectura redundante y realizar pruebas de fallover para garantizar continuidad.
Administración y Optimización de Herramientas de Seguridad:
Gestión Integral: Mantener un inventario actualizado de todas las herramientas del SOC y evaluar su desempeño mediante auditorías regulares.
Validación de Configuraciones: Comparar configuraciones con estándares de la industria y revisar políticas de seguridad.
Nuevas Funcionalidades: Realizar pruebas piloto de innovaciones que mejoren la detección y respuesta.
Gestión de Licencias y Actualizaciones: Controlar licencias y programar actualizaciones regulares y parches.
Conocimiento Integral de la Infraestructura y Activos:
Mapeo y Documentación: Utilizar herramientas de descubrimiento para identificar y documentar todos los dispositivos, aplicaciones y servicios, manteniendo actualizado un inventario centralizado.
Clasificación de Activos: Registrar y clasificar activos críticos según su valor y riesgo para priorizar su protección.
Estrategia de Respuesta y Comunicación en Incidentes:
Plan de Respuesta a Incidentes: Definir roles, procedimientos y realizar simulacros para garantizar una respuesta rápida y coordinada.
Optimización del Tiempo de Respuesta: Establecer SLAs, automatizar alertas y definir criterios de notificación y escalamiento.
Comunicación Efectiva: Crear protocolos de comunicación claros para informar a la alta dirección, otras áreas y clientes durante incidentes críticos.
Integración de Inteligencia y Proactividad en Seguridad:
Inteligencia de Amenazas: Incorporar fuentes OSINT y colaboraciones estratégicas para anticipar riesgos.
Seguridad en el Ciclo de Vida: Implementar “security by design”, auditar la seguridad de nuevos activos y usar imágenes preconfiguradas seguras.
Gestión de Vulnerabilidades y Threat Hunting: Detectar vulnerabilidades zero-day y realizar caza de amenazas usando herramientas avanzadas, sandboxes y técnicas de machine learning.
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.