Este documento discute las vulnerabilidades de la seguridad física y digital y cómo los atacantes pueden evadir sistemas de seguridad. Explica cómo los sensores utilizados en dispositivos personales como Fitbits pueden ser engañados y cómo las configuraciones predeterminadas y vulnerabilidades en dispositivos IoT plantean riesgos. También muestra formas de evadir sistemas de control de acceso y detección de movimiento a través de demostraciones.
2. X Congreso Nacional 2
Eduardo Arriols Nuñez
Senior Penetration Tester
Anteriormente responsable de equipo Red Team
Co-Fundador de HighSec y RedTeaming.es
Ponente en congresos de seguridad
Profesor titular en la Universidad U-tad, asi como en
diferentes cursos de seguridad y hacking ético
Diversas certificaciones: CEH, CHFI, ECSA, otras
3. X Congreso Nacional 3
Roberto Lopez Santoyo
Consultor de seguridad IT (Pentester)
Responsable de equipo Red Team
Co-Fundador de HighSec y RedTeaming.es
Profesor en diferentes cursos de seguridad y hacking
ético en la Universidad Autónoma de Madrid
Diversas certificaciones: CEH, CHFI, otras
insert photo
4. X Congreso Nacional 4
Tomas Isasia Infante
Padre, emprendedor, empresario, innovador, experto en
consultoría tecnológica, jugador de golf ocasional, chef
familiar y divulgador de seguridad IT.
Profesional polifacético con amplia experiencia en la
gestión de TIC .
Titulado en Ingeniería Técnica Informática por ICAI y
UPM.
Directivo en diferentes empresas (Dictamed I and I,
TiiZss) y colabora con THIBER.
insert photo
5. X Congreso Nacional 5
Necesidad actual
Las evaluaciones de seguridad actuales
son limitadas y focalizadas en un ámbito
de actuación. Esto impide una evaluación
realista y por lo tanto una falsa sensación
de seguridad.
6. X Congreso Nacional 6
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas en IoT
7. X Congreso Nacional 7
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas IoT
20. X Congreso Nacional 20
Sensores en el ámbito personal
'10-second' theoretical hack could jog Fitbits into
malware-spreading mode
http://www.theregister.co.uk/2015/10/21/fitbit_hack/
https://www.youtube.com/watc
h?v=qa8qVAPPlTE
¿Se tarda mucho tiempo en comprometer el dispositivo?
25. X Congreso Nacional 25
IoT y la Seguridad CiberFísica
Un Sistema ciberfísico es es un sistema colaborativo de elementos
computacinales que controlan entidades físicas, también llamada la
Industria 4.0
26. X Congreso Nacional 26
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
27. X Congreso Nacional 27
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
28. X Congreso Nacional 28
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
29. X Congreso Nacional 29
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
• Tailgating
• Shoulder Surfing
• Dumpster Diving
http://www.csoonline.com/article/2123810/identity-theft-prevention/a-real-
dumpster-dive--bank-tosses-personal-data--checks--laptops.html
30. X Congreso Nacional 30
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas en IoT
31. X Congreso Nacional 31
El mercado de la seguridad física estaba valorada en 48 billones de
dólares en 2012 y está estimado que llegue a los 125 billones en 2019
http://www.transparencymarketresearch.com/physical‐security‐market.html
Seguridad Física
32. X Congreso Nacional 32
Evaluación de seguridad física… ¿Porque?
No importa que medidas de seguridad
se encuentren implementadas en el
ámbito digital (Firewall, IDS, etc.),
cuando el acceso físico es posible!
33. X Congreso Nacional 33
Evaluación de seguridad física… ¿Porque?
No importa que medidas de seguridad
se encuentren implementadas en el
ámbito digital (Firewall, IDS, etc.),
cuando el acceso físico es posible!
40. X Congreso Nacional 40
Solución…
Realizar comprobaciones de seguridad en los
diferentes ámbitos de actuación de manera combinada.
APT
41. X Congreso Nacional 41
RedTeaming.es
APT
Un proyecto que tiene por objetivo
difundir, fomentar y trabajar sobre
el concepto de Red Team,
pensamiento lateral y nuevos
modelos para la realización de
ejercicios de intrusión avanzada
http://redteaming.es/