Tema: Gobernanza de seguridad de la información

Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Antecedentes y trayectoria

Inicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.

Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).

Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.

Principales desafíos

Cultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).

Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.

Evolución del rol de líder y mentor

De “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.

Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.

De la teoría a la práctica

Ejemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).

Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.

Definición y comunicación del apetito de riesgo

Involucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).

Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.

Gobernanza de terceros y cadena de suministro

Extender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).

Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.

Errores comunes al iniciar un programa de gobernanza

Falta de patrocinio de alta dirección y de un comité rector.

No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.

Insuficiencia de recursos: tanto presupuesto como talento dedicado.

Recomendaciones para un programa sostenible

Basarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).

Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.

Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).

Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio.

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 6 - Ransomware Play

Redes Sociales

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo

https://buymeacoffee.com/btsmi

Identificación

Desde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.

Origen y Perfil

Se sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.

TTPs (MITRE ATT&CK)

Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).

Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).

Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).

Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).

Movimiento lateral: transferencia de herramientas (T1570) y PsExec.

Comando y Control: modificación de políticas de dominio (T1484.001).

Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.

Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).

Flujo de Ataque

Ingreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.

Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.

Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.

Exfiltración & Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.

Extorsión: nota de rescate y amenaza de publicación en TOR.

Modelo de Negocio

Rescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.

Victimología

Afectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.

Contramedidas y Detección

Implementar MFA, contraseñas fuertes y bloqueo de cuentas.

Segmentar la red y filtrar accesos remotos.

Mantener parches al día en FortiOS, Exchange y SimpleHelp.

Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.

Asegurar respaldos offline, cifrados e inmutables.

URLS

https://www.ransomware.live/group/play

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackers

https://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behavior

https://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.html

Correos del grupo

[email protected], [email protected], raniyumiamrm@gmx, derdiarikucisv@gmx

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 21 - Gestión de proveedores y la cadena de valor

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

1. Política TPRM

Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.

Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:

CISO: define seguridad y excepciones.

Legal: revisa contratos.

Compras: asegura cláusulas de riesgo.

Operaciones: supervisa desempeño diario.

Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.

2. Comité de Proveedores

Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.

Participan responsables de Riesgos, Finanzas y Operaciones.

Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.

3. Alcance de Cadena de Valor

La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.

Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).

Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.

INVENTARIO Y CLASIFICACIÓN

Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).

Clasificación por criticidad:

Tier 1: impacto alto (interrupción clave).

Tier 2: impacto medio (soporte).

Tier 3: impacto bajo (servicios auxiliares).

Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.

DUE DILIGENCE Y SELECCIÓN

Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.

Reputación y legal: listas de sanciones, litigios, antecedentes.

Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.

Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.

Resumen clave:

El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 20 - Controles y herramientas de seguridad para la GSI

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Noticias: https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/ 

Email leaked: https://haveibeenpwned.com/ 

1. Fundamentos de los Controles de Seguridad

Los controles de seguridad son mecanismos que previenen, detectan, corrigen o disuaden amenazas sobre activos. Se clasifican en:

Preventivos: MFA, firewalls, cifrado.

Detectivos: IDS/IPS, monitoreo de logs, UEBA.

Correctivos: IRP, restauraciones, parches.

Disuasivos: mensajes legales, certificaciones, señalética.

2. Criterios para la Selección de Herramientas de Seguridad

Se definen parámetros para seleccionar tecnologías según el contexto de madurez organizacional y necesidades específicas:

Madurez y presupuesto: desde SaaS básicos hasta plataformas con SOAR e IA.

Cobertura funcional: cumplir al menos el 80% de los casos críticos.

Integración: compatibilidad con SIEM, CMDB, ServiceNow, entornos cloud.

Escalabilidad: horizontal, vertical y con microservicios.

Soporte y comunidad: SLAs, ciclos de actualización y formación.

Cumplimiento: certificaciones ISO, SOC2, cumplimiento con GDPR, PCI-DSS.

3. Principales Categorías de Herramientas de Seguridad

IAM: Control granular de acceso y privilegios (Okta, Azure AD PIM).

SIEM/XDR: Detección avanzada, correlación y análisis (Splunk, Microsoft Sentinel).

EDR/MDR: Protección y respuesta en endpoints (CrowdStrike, SentinelOne).

Gestión de Vulnerabilidades: escaneo, priorización y parcheo (Tenable.io, Qualys).

DLP: control de datos sensibles en tránsito, uso y reposo (Forcepoint, Symantec).

Seguridad en la Nube (CSPM/CWPP): configuración segura y protección de workloads (Prisma Cloud, Azure Security Center).

4. Integración y Orquestación (SOAR)

El capítulo aborda cómo estructurar flujos de trabajo (playbooks) y automatizar respuestas:

Playbooks: escenarios predefinidos (phishing, malware, exfiltración).

Automatización SOAR: ejecución de tareas sin intervención humana.

Dashboards unificados: visibilidad de KPIs (MTTR, falsos positivos).

Formación del SOC: simulaciones, laboratorios y CTF internos.

5. Implementación y Validación

Se recomienda un despliegue por fases (piloto → gradual → masivo), complementado con pruebas de efectividad:

Pentesting y Red Team: validación realista de controles y playbooks.

KPIs: MTTR ≤ 30 min, cobertura SOAR ≥ 70%, falsos positivos < 10%.

Auditorías internas trimestrales aseguran mejoras continuas.

6. Monitoreo Continuo y Mejora

Se adopta el ciclo PDCA para mantener la gobernanza dinámica:

Check: métricas, auditorías, retroalimentación de incidentes.

Act: ajustes de controles, actualización de políticas y formación.

Se enfatiza la gestión de cambios alineada con CI/CD y retroalimentación tras incidentes para fortalecer la arquitectura de seguridad.

7. Conclusión y Recomendaciones

Equilibrio integral entre personas, procesos y tecnología.

Modularidad tecnológica para adaptarse a la innovación.

Cultura de seguridad mediante campañas gamificadas y visibilidad ejecutiva.

Transparencia y comunicación: dashboards diferenciados para la alta dirección y equipos técnicos.

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 19 - Gestión de riesgos y análisis de amenazas

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Link de las noticias:

https://blog.cloudflare.com/cloudflare-service-outage-june-12-2025/ 

https://status.cloud.google.com/incidents/ow5i3PPK96RduMcb1SsW 

1. Gestión de Riesgos – NIST SP 800-37 Rev. 2

Este marco establece un proceso sistemático para incorporar la gestión de riesgos en el ciclo de vida de los sistemas, enfocándose en la protección de la confidencialidad, integridad y disponibilidad (CIA). Sus seis pasos son:

Categorizar: Clasifica el sistema según el impacto potencial en la CIA.

Seleccionar: Define controles adecuados basados en NIST SP 800-53.

Implementar: Despliega y documenta controles técnicos, administrativos y físicos.

Evaluar: Verifica su efectividad mediante auditorías y pruebas.

Autorizar: Emite una decisión formal sobre el riesgo aceptable (ATO).

Monitorear: Supervisa continuamente cambios y amenazas.

El enfoque integra la seguridad con los objetivos de negocio y promueve el uso de métricas para la toma de decisiones informadas. El proceso es adaptable y dinámico, con retroalimentación continua.

2. Análisis de Amenazas – Cyber Kill Chain

Desarrollado por Lockheed Martin, este modelo descompone un ciberataque en 7 fases para facilitar su detección y contención:

Reconocimiento: Recolección de información sobre el objetivo.

Armamento: Preparación de payloads y exploits personalizados.

Entrega: Transmisión del malware (phishing, USB, web).

Explotación: Activación del código malicioso.

Instalación: Persistencia en el sistema comprometido.

Comando y Control (C2): Comunicación con el atacante.

Acciones sobre el Objetivo: Exfiltración, sabotaje o ransomware.

El modelo permite diseñar controles específicos para interrumpir la cadena antes de que se complete.

3. Controles de Seguridad – NIST SP 800-53

Es un catálogo exhaustivo de controles organizativos, técnicos y operativos que apoyan la implementación del RMF. Se organiza en más de 20 familias (acceso, auditoría, respuesta a incidentes, etc.) con controles base y opciones extendidas.

Los controles se seleccionan durante el paso 2 del RMF, en función de la categorización CIA. El System Security Plan (SSP) documenta la implementación y es clave en la evaluación y monitoreo.

4. Integración Operativa: RMF + Kill Chain + SP 800-53

La sinergia entre RMF y el Cyber Kill Chain permite diseñar un programa de seguridad integral:

Riesgos ↔ Amenazas: La categorización y controles del RMF alimentan las detecciones a lo largo del Kill Chain.

Herramientas integradas: Plataformas GRC, SIEM, XDR y SOAR permiten automatizar respuestas, evaluar riesgos y mantener visibilidad.

Métricas y KPIs: Indicadores como el tiempo de detección (MTTD), respuesta (MTTR) y madurez del RMF permiten medir y optimizar la postura de seguridad.

Mejora continua y cultura organizacional: Auditorías, simulacros y programas de concienciación fortalecen la resiliencia institucional.

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 5 - Ransomware Funksec

Redes Sociales

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo

https://buymeacoffee.com/btsmi

1. Identificación

Aparición: Octubre de 2024.

Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.

Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.

2. Perfil y evolución

Actores clave:

Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.

El_Farado: Sucesor con poca experiencia técnica.

Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.

Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.

IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.

3. Operaciones y TTPs

Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.

Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.

Tácticas MITRE:

Acceso: Phishing (T1566), exploits web (T1190).

Ejecución: Engaño al usuario (T1204).

Escalada: Tokens (T1134), exploits locales (T1068).

Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).

Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).

Descubrimiento: Info del sistema (T1082), servicios de red (T1046).

Movimiento lateral: Servicios remotos (T1021).

Exfiltración: Vía web (T1567).

Impacto: Inhibe recuperación (T1490), cifrado (T1486).

4. Infraestructura

Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.

5. Análisis técnico

Persistencia: Tarea programada “funksec”.

Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.

Antianálisis: Detecta VMs; comprueba privilegios (net session).

Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.

Autocopia: Se replica en todas las unidades (A:–Z:).

UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.

6. Victimología

Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.

7. Contramedidas

Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.

Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.

URL´s

https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/ 

https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/

Video sugerido que pasos deben tomarse en caso de infección 

https://youtu.be/cMZ4apzfKjQ

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 18 - El rol del liderazgo en la gobernanza de seguridad de la información

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

1. Contexto CISM e ISACA

CISM valida competencias en gobernanza, gestión de riesgos, programas de seguridad y respuesta a incidentes, y se apoya en marcos como COBIT e ISO 27014. El Dominio 1 enfatiza la cultura y la estructura organizacional para integrar la seguridad en la estrategia corporativa.

2. Niveles de Liderazgo

Consejo de Administración: Aprueba el marco de seguridad, asigna recursos y patrocina la cultura de seguridad.

Comité de Seguridad: Supervisa riesgos y programas de seguridad, valida planes y coordina con áreas clave.

CISO: Define estrategia, lidera controles y reporta riesgos en lenguaje de negocio. Consejo: vincular riesgos con impacto económico.

CIO/CTO: Implementa infraestructura segura, colabora con seguridad y supervisa proyectos.

GRC Officer/Risk Manager: Administra riesgos tecnológicos y regulatorios, supervisa auditorías y políticas.

Administrador de Seguridad/SOC: Opera controles técnicos, responde a incidentes y soporta auditorías.

Responsable de Concienciación: Implementa programas de capacitación y gamificación.

Dueños de proceso/Negocio: Aseguran alineación de seguridad con objetivos operativos y participan en planes de continuidad.

Legal/Auditoría: Verifica cumplimiento normativo y contractual.

Usuarios finales: Aplican buenas prácticas y reportan incidentes.

3. Elementos Clave de la Gobernanza

Políticas y estándares: Documentos formales con roles y responsabilidades claras. Consejo: revisiones semestrales.

Alineamiento estratégico: Seguridad vinculada a metas del negocio. Consejo: usar objetivos SMART.

Asignación de recursos: Planificar presupuesto y personal con análisis de ROI. Consejo: presentar business cases claros.

Métricas y monitoreo: Indicadores clave (p.ej. % sistemas parcheados, MTTRes). Consejo: usar ≤10 métricas críticas.

Revisión y mejora continua: Auditorías internas y post-mortem tras incidentes. Consejo: incluir feedback en playbooks de gobernanza.

Gestión de riesgos: Relacionar controles con riesgos mitigados y usar criterios cuantitativos.

4. Competencias de Liderazgo en CISM

Visión estratégica: Anticipar tendencias tecnológicas. Consejo: usar threat intelligence.

Comunicación efectiva: Traducir riesgos técnicos en impacto de negocio. Consejo: usar analogías.

Toma de decisiones basada en datos: Priorización objetiva. Consejo: scorecards.

Ética profesional: Promover transparencia. Consejo: incluir en la capacitación anual.

5. Procesos de Gobernanza

Evaluación de requerimientos: Identificar regulaciones aplicables. Consejo: checklists.

Desarrollo de la estrategia: Definir objetivos claros. Consejo: metodologías ágiles.

Despliegue de controles: Implementar de forma estructurada. Consejo: asignar SMEs.

Supervisión y reporte: Dashboards y automatización de reportes. Consejo: liberar tiempo para el análisis.

Ajustes y actualización: Revisiones periódicas tras incidentes. Consejo: integrar lecciones aprendidas.

Recomendación final

La gobernanza debe habilitar el negocio, ser documentada, medible, patrocinada por la alta dirección y fomentar una cultura sostenible.

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 17 - Políticas y estrategias de seguridad digital

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

I. Gobernanza y Liderazgo

Se establece la necesidad de un compromiso activo del liderazgo mediante comités de seguridad, definición de visión estratégica y KPIs claros. La gestión de riesgos es fundamental, utilizando modelos como ISO 27005 o FAIR para priorizar controles.

II. Identidad y Acceso

El capítulo describe cómo controlar el acceso a sistemas mediante políticas de Identity and Access Management (IAM), forzando MFA y revisando privilegios periódicamente. Se introduce la arquitectura Zero Trust, que exige verificar cada acceso sin suposiciones de confianza, aplicando principios de mínima exposición.

III. Protección de la Infraestructura

Se plantean mecanismos de segmentación de red (VLANs, ACLs) para limitar movimientos laterales, y el cifrado de datos tanto en tránsito (TLS 1.3) como en reposo (AES-256), incluyendo la rotación automatizada de llaves mediante KMS.

IV. Detección y Respuesta

Se promueve la integración de SIEM para correlacionar eventos de seguridad y la elaboración de playbooks de Respuesta a Incidentes (IR). Se recomienda ensayar respuestas con ejercicios tabletop y definir SLAs.

V. Resiliencia y Continuidad

Describe políticas de Continuidad de Negocio y Recuperación ante Desastres (BC/DR), que incluyen análisis de impacto (BIA), objetivos RTO/RPO y pruebas semestrales. También se integra DevSecOps como cultura y automatización de seguridad en el desarrollo ágil, promoviendo controles desde el inicio del ciclo.

VI. Personas y Procesos

La formación y concienciación son pilares esenciales. Se recomiendan campañas constantes de phishing simulado y capacitación medida por retención. También se trata la gestión de terceros, exigiendo cláusulas contractuales, auditorías y cuestionarios específicos.

VII. Tecnologías Emergentes

Se exploran 10 tecnologías clave que deben considerarse en políticas modernas:

IA Generativa y ML Avanzado

Criptografía Post-Cuántica

Criptografía Homomórfica

Blockchain y DLT

IoT, Edge Computing y 5G/6G

Digital Twins para simulación segura

XDR y SOAR

Confidential Computing

Deception Technology y honeypots inteligentes

Agentes Autónomos + Explainable AI

Cada una está acompañada de consejos prácticos para pruebas de concepto o despliegue seguro.

VIII. Diseño de Políticas

Se describe el ciclo completo de creación de políticas:

Análisis de riesgos y objetivos

Definición de propósito y alcance

Benchmarking con estándares

Redacción clara y verificable

Revisión con stakeholders

Aprobación ejecutiva formal

Comunicación y gestión del cambio

Implementación técnica

Monitoreo y métricas (MTTD, MTTR, % cumplimiento)

Revisión periódica y retiro de versiones obsoletas

IX. Nomenclatura y Estructura de Políticas

Se propone una convención estándar:

POL–––

Ej.: POL–IAM–ACCESS–v1.0

X. Políticas Recomendadas

Se presentan 13 políticas prioritarias para cubrir todos los dominios tratados:

Gestión de riesgos

Gestión de activos

IAM

Zero Trust

Segmentación de red

Cifrado

SIEM

IR

BC/DR

DevSecOps

Formación

Terceros

Tecnologías emergentes

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 16 - Marco legal, regulatorio y normativo

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

1. Definiciones

Marco Legal: Leyes obligatorias como el GDPR, que definen derechos y obligaciones en protección de datos.

Marco Regulatorio: Normas secundarias que detallan procedimientos y sanciones.

Marco Normativo: Estándares y buenas prácticas (ISO, NIST, COBIT), usados para auditorías y gestión de riesgos.

2. Marco Legal en Europa

GDPR: Reglamento general europeo sobre protección de datos. Principios: licitud, minimización, exactitud, conservación limitada, confidencialidad. Derechos: acceso, rectificación, supresión, portabilidad, oposición.

ePrivacy Directive: Complementa al GDPR, regulando comunicaciones electrónicas (cookies, metadatos, spam).

DORA: Normativa obligatoria desde 2025 para entidades financieras y proveedores TIC críticos. Requiere gobernanza de resiliencia digital, pruebas de estrés y gestión de terceros.

3. Marco Legal en Latinoamérica

Brasil (LGPD): Inspirada en el GDPR, aplica a datos tratados en Brasil o relativos a brasileños. Derechos: acceso, corrección, portabilidad, eliminación. Supervisada por la ANPD.

México (LFPDPPP y GLPPDPOS): Leyes para el sector privado y público, con derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y supervisión por el INAI.

Argentina (Ley 25.326): Reconoce el habeas data. Exige registro de bases y permite auditorías por la DNPDP.

Colombia (Ley 1581/2012): Derechos similares al GDPR. La SIC supervisa y puede aplicar multas o suspensiones.

Chile (Ley 19.628 y Ley 21.719): Marco actualizado en 2024. Crea la Agencia de Protección de Datos. Establece medidas de seguridad y controles para transferencias internacionales.

4. Normas y Estándares Internacionales

ISO/IEC 27001: Establece sistemas de gestión de seguridad de la información con enfoque basado en riesgos (CIA: Confidencialidad, Integridad y Disponibilidad).

NIST CSF: Framework basado en funciones (Identificar, Proteger, Detectar, Responder, Recuperar), adaptable a cualquier organización.

Esquema Nacional de Seguridad (España): Obligatorio para el sector público, incluye categorización de sistemas y auditorías.

Guías ENISA: Manuales y guías técnicas para gobiernos y empresas, destacando amenazas, cumplimiento de NIS2 y resiliencia.

5. Sector Público vs. Privado

En Latinoamérica, algunas leyes excluyen a fuerzas armadas o entes de seguridad nacional. En Europa, el GDPR permite excepciones solo por ley nacional y bajo principios de necesidad y proporcionalidad.

Sanciones: El sector privado enfrenta multas económicas; el público puede tener sanciones disciplinarias o penales.

6. Gobernanza y Cumplimiento

Autoridades (DPAs, EDPS, EDPB): Supervisan cumplimiento legal y asesoran sobre normativas.

Roles: El DPO supervisa el cumplimiento; el responsable define fines del tratamiento; el comité de seguridad gestiona riesgos y responde a incidentes.

Procesos clave: Registro de actividades, notificación de brechas en 72 h, auditorías, pruebas de penetración.

7. Retos Futuros

IA Generativa: Riesgos de privacidad por generación de datos sintéticos; la UE responde con el AI Act.

Ciberresiliencia: El CRA exige seguridad desde el diseño en productos digitales.

Armonización en LATAM: La RIPD busca estandarizar normativas y cooperación entre países.

Identidad Digital: Las Digital Identity Wallets serán obligatorias en la UE antes de 2026.

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 4 - Ransomware LockBit

1. Identificación y Origen

LockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.

2. Evolución de Versiones

1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.

2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.

3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.

4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.

3. TTPs (MITRE ATT&CK)

Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.

4. Infraestructura y Herramientas

Afiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).

5. Economía del Ataque

Rescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.

6. Víctimas y Sectores

Afecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).

7. Contramedidas

Implantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.

8. Incidente (7 mayo 2025)

Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.

Noticia

https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel 

Investigación

https://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion 

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptions

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

Redes Sociales

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.