blue team sin morir en el intento

• IPGR Investigación 4 - Ransomware LockBit

  Investigación Profunda de Grupos de RansomwareInvestigación 4 - Ransomware LockBit1. Identificación y OrigenLockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.2. Evolución de Versiones1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.3. TTPs (MITRE ATT&CK)Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.4. Infraestructura y HerramientasAfiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).5. Economía del AtaqueRescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.6. Víctimas y SectoresAfecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).7. ContramedidasImplantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.8. Incidente (7 mayo 2025)Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.Noticiahttps://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel Investigaciónhttps://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptionshttps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165aRedes [email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativohttps://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

  --------  

  1:59:03
• Capitulo 15 - Marco conceptual y modelos de gobernanza de seguridad de la información

  Tema: Gobernanza de seguridad de la informaciónCapitulo 15 - Marco conceptual y modelos de gobernanza de seguridad de la información1. Enfoque y propósito La gobernanza de la seguridad de la información se apoya en principios corporativos sólidos y un ciclo continuo de mejora (PDCA) alineado con los objetivos del negocio. Para desplegarla existen diversos esquemas organizativos (centralizado, descentralizado, híbrido, basado en riesgos, colaborativo y federado) que determinan la ubicación de la autoridad y el flujo de decisiones.2. Marco conceptual claveIntegración empresarial: Inserción de la seguridad en la arquitectura global de TI, de modo que cada control responda a metas de negocio.Ciclo PDCA: Planificar, ejecutar, evaluar y mejorar, con flujos de aprobación ejecutiva y retroalimentación operativa.Stakeholders y gobernanza: Definición de roles (CISO, consejo, unidades de negocio, auditores) y canales formales (dashboards, comités) para asegurar transparencia y alineación.Madurez y ecosistemas: Uso de frameworks (COBIT, CMMI, O-ISM3) para evaluar capacidades y gobernanza de terceros mediante certificaciones y auditorías.Innovación continua: Laboratorios de políticas, metodologías ágiles, DevSecOps e IA como impulsores de nuevas prácticas dentro del ciclo PDCA.3. Modelos de implementaciónCentralizado: Autoridad única, controles homogéneos y supervisión central, ideal para entornos regulados, aunque puede generar cuellos de botella.Descentralizado: Autonomía local con lineamientos mínimos, favorece la agilidad y el empoderamiento, pero con riesgo de duplicidad e inconsistencia.Híbrido: Combina directrices globales con adaptaciones locales, buscando un balance entre consistencia y flexibilidad, aunque con mayor complejidad de coordinación.Basado en riesgos: Prioriza decisiones y recursos según evaluación continua de riesgos, optimizando esfuerzos pero requiriendo datos de alta calidad.Colaborativo: Involucra a todas las áreas (TI, Seguridad, Legal, RR.HH., externos) en un PDCA conjunto, fomentando innovación y visión integral, a costa de mayor orquestación.Federado: Políticas y estándares definidos centralmente, pero con implementación contextual por equipos locales, equilibrando economías de escala y adaptabilidad.4. Conclusión No existe un modelo universal: la elección debe basarse en la estructura organizacional, apetito de riesgo, regulaciones aplicables y nivel de madurez. Un marco conceptual robusto, sustentado en estándares internacionales y el ciclo PDCA, es fundamental para asegurar alineación estratégica y resiliencia frente a amenazas presentes y futuras.Redes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

  --------  

  1:02:39
• Capitulo 14 - Introducción a la gobernanza de seguridad de la información

  Tema: Gobernanza de seguridad de la informaciónCapitulo 14 - Introducción a la gobernanza de seguridad de la informaciónPrincipios y marcos normativosPrincipios: seguridad organizacional; enfoque por riesgos; alineación de inversiones al negocio; conformidad; cultura de seguridad; medición por desempeño.Marcos: ISO/IEC 27014 (supervisión de seguridad); NIST CSF ID.GV (gobernanza cibernética); COBIT 2019 (evaluar, dirigir, monitorear); ISO/IEC 38500 (gobernanza TI)Estructura organizativa y rolesGobierno: órgano de gobierno y alta direcciónSeguridad: CISO y comité; CSIRTProtección de datos: DPOApoyo: propietarios de activos, función de riesgos, “security champions” y auditoría interna.Políticas, estándares y procedimientosJerarquía documental: políticas estratégicas → estándares técnicos → procedimientos operativos.Ciclo de vida: elaboración, aprobación, revisión, retiro y control de versiones.Gestión de riesgos y tercerosRiesgos: identificación, evaluación, tratamiento, monitoreo; apetito y tolerancia.Terceros: due diligence, cláusulas contractuales, auditorías continuas.Cumplimiento legal y regulatorioNormas generales: GDPR (arts. 32, 83), HIPAA, PCI DSS, SOX, LOPD.Sectoriales: NERC CIP.Actividades: análisis de brechas, auditorías, notificaciones y sanciones.Gestión de accesos e identidades (IAM)Ciclo de vida de identidades.Autenticación y autorización (RBAC/ABAC).Accesos privilegiados, SSO/federación, revisiones y supervisión.Capacitación y culturaProgramas con contenidos actualizados, simulaciones de phishing y campañas.Métricas de eficacia (tasas de clic, resultados de simulacros).Liderazgo activo para fomentar cultura de seguridad.Respuesta a incidentes y continuidadFases: preparación, detección, contención, erradicación, recuperación.BIA, BCP y DRP, pruebas periódicas, auditorías y lecciones aprendidas.Métricas y desempeñoKPI/KRI: incidentes, vulnerabilidades, madurez de procesos.Dashboards ejecutivos, benchmarking y ciclo PDCA (Plan‑Do‑Check‑Act).Tendencias emergentesDevSecOps, Cloud governance (ISO/IEC 27017), Zero Trust (NIST SP 800‑207).Criptografía post‑cuántica (FIPS 203‑205), IA governance (ISO/IEC SC 42).SASE, SCRM (SP 800‑161), IoT governance (ISO/IEC 30141), “policy-as-code” y SOAR.Implementación en 4 pasosEstrategia: definir objetivos, apetito de riesgo y requisitos de cumplimiento.Construcción: diseñar estructura organizativa y marco normativo‑tecnológico.Prueba e implementación: validación funcional y despliegue progresivo.Monitoreo y mejora: seguimiento continuo y ajustes basados en resultados.Beneficios claveIntegridad y calidad de datosReducción de riesgos y seguridad reforzadaCumplimiento normativoEficiencia operativa y reducción de costesDecisiones basadas en datosColaboración fluida y reputación fortalecidaBase para transformación digitalRedes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

  --------  

  1:14:21
• Capitulo 13 - Marcos de seguridad de la información | Alternativos

  Tema: Gobernanza de seguridad de la informaciónCapitulo 13 - Marcos de seguridad de la información | AlternativosEl Capitulo 13 se centra en una visión comparativa de diversos marcos y estándares utilizados en la gestión y seguridad de la información. A continuación, se presenta un resumen de los aspectos más importantes:• Cobit 2019:- Enfocado en la gobernanza y gestión de TI, asegurando la alineación entre la tecnología y los objetivos empresariales.- Introduce nuevos factores de diseño y modelos de evaluación de madurez para identificar brechas y optimizar procesos.• COSO Internal Control–Integrated Framework:- Diseñado originalmente para fortalecer el control interno en entornos financieros, pero extendido a la gestión de riesgos operativos y estratégicos.- Se estructura en 17 componentes que abarcan desde el ambiente de control hasta la supervisión, mejorando la transparencia y la integridad de la información.• PCI DSS Versión 4.0:- Orientado a proteger los datos de tarjetas de pago mediante requisitos técnicos y de procesos, reduciendo así riesgos de fraude y brechas de seguridad.- Establece 12 requisitos básicos que incluyen desde la protección de redes hasta políticas internas de seguridad.• HITRUST CSF Versión 10.x:- Unifica múltiples normativas y estándares, especialmente en sectores tan sensibles como el salud.- Facilita la integración de controles de seguridad y gestión de riesgos, reduciendo esfuerzos duplicados en auditorías y cumplimiento normativo.• CIS Controls Versión 8:- Basado en prácticas reconocidas por la comunidad, ofrece medidas prácticas y priorizadas para disminuir riesgos cibernéticos.- Aborda desde el inventario y control de activos hasta la gestión de incidentes, poniendo especial énfasis en la reducción de la superficie de ataque.• FAIR Versión 3:- Proporciona un enfoque cuantitativo para el análisis de riesgo, permitiendo traducir las amenazas a valores financieros.- Facilita la toma de decisiones y la justificación de inversiones en seguridad mediante métricas económicas.• ITIL 4:- Se centra en la gestión de servicios de TI, integrando prácticas ágiles, DevOps y enfoques holísticos en la creación de valor.- Incluye políticas y procesos para la seguridad de la información, alineando la prestación de servicios con las necesidades del negocio.• O-ISM3 (Information Security Management Maturity Model):- Un modelo de madurez que permite evaluar y mejorar los procesos de gestión de seguridad en la organización.- Proporciona una guía estructurada para identificar brechas y planificar mejoras a nivel estratégico y operativo.• OCTAVE:- Propuesto por el SEI de Carnegie Mellon, este método permite a las organizaciones autoevaluar sus riesgos.- Se basa en la identificación de activos críticos, evaluación de vulnerabilidades y desarrollo de estrategias de mitigación, involucrando a todo el personal.Finalmente, se destaca que la integración de estos marcos de seguridad se presenta como una estrategia clave para transformar riesgos en oportunidades, fortaleciendo la resiliencia y fomentando la innovación en las organizaciones.Redes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

  --------  

  50:08
• Capitulo 12 - Marcos de seguridad de la información | Familia NIST

  Tema: Gobernanza de seguridad de la informaciónCapitulo 12 - Marcos de seguridad de la información | Familia NISTIntroducción a NIST y su Rol en la Seguridad de la Información:Se explica que el National Institute of Standards and Technology (NIST) es una agencia del Departamento de Comercio de EE. UU. que desarrolla estándares, guías y mejores prácticas para la seguridad de la información. Originalmente enfocados en agencias gubernamentales, estos marcos se han extendido a múltiples sectores y organizaciones privadas.Estructura de los Marcos de Seguridad de NIST:El documento detalla dos grandes grupos:NIST Cybersecurity Framework (CSF):Presenta las cinco funciones fundamentales: Identificar, Proteger, Detectar, Responder y Recuperar, que guían a las organizaciones en la evaluación y mejora de su postura de seguridad. Se ofrecen ejemplos prácticos para cada función, como la realización de inventarios de activos y la implementación de sistemas de respuesta a incidentes.Serie NIST SP 800:Se destacan varias publicaciones clave, entre las cuales se incluyen:SP 800-53: Un catálogo extenso de controles de seguridad y privacidad organizados en familias (por ejemplo, control de acceso, gestión de incidentes, etc.).SP 800-171: Directrices específicas para proteger la Información No Clasificada Controlada (CUI) en sistemas no federales.SP 800-37: Una guía para aplicar el Risk Management Framework (RMF), detallando pasos desde la categorización hasta el monitoreo continuo.SP 800-63: Normas para la gestión de identidad digital, abarcando desde la verificación de identidad hasta la autenticación de usuarios.SP 800-82: Recomendaciones para asegurar sistemas de control industrial (ICS), incluyendo sistemas SCADA, con el objetivo de proteger procesos críticos.Aplicación Práctica y Certificación:El documento también discute cómo estos marcos se utilizan para estructurar programas de seguridad en las organizaciones, destacando que NIST no certifica directamente, pero sus guías son la base para auditorías internas y externas, y se integran con certificaciones como FedRAMP, CMMC o ISO/IEC 27001.Metodologías de Aprendizaje y Mejora Continua:Se recomiendan métodos como cursos en línea, talleres, simuladores y el uso de herramientas prácticas (por ejemplo, CSET) para aprender y aplicar estos marcos de forma efectiva, enfatizando la importancia de la formación continua en el campo de la ciberseguridad.Redes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

  --------  

  33:21

Más podcasts de Tecnología

Podcasts a la moda de Tecnología

Acerca de blue team sin morir en el intento

blue team sin morir en el intento: Podcasts del grupo