Qué encontrarás en el capítulo:

Resumen de diseño de gamificación con micro-misiones, badges y leaderboards (SSO + LMS + validación de time-on-task).

Cómo planificar simulaciones de phishing y ejercicios “red-team light” con pipeline ético (aprobaciones, política no-punitiva e integración con SIEM/ATS).

Diseño de learning paths personalizados (pre/post test, microlearning, labs en sandbox) y captura atómica de evidencias con xAPI/LRS. 

Métricas accionables y analítica: KPIs operativos vs. métricas de impacto (delta pre/post, click-rate, reducción de incidentes y ROI) y cómo garantizar data lineage y privacidad.

Entregable práctico: guion de campaña acelerada de 30 días (preparación, baseline, ciclos semanales, cierre) y recomendaciones de gobernanza y mitigación de riesgos.

Para quién es: responsables de GRC, L&D, SOC, DevOps, RH y directivos que buscan transformar awareness en reducción medible de riesgo.

Llamada a la acción (para la caja de comentarios): ¿Qué piloto lanzarías en 30 días — Finanzas, DevOps u Operativos — y qué objetivo concreto medirías al día 30?

Frase final:

“Formar no es enviar slides: es orquestar experiencias que cambian lo que la gente hace, y medirlo con datos que importan.”

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Qué encontrarás (puntos clave)

Objetivo: justificar inversión en gobernanza mostrando reducción de riesgo y valor económico medible. 

Selección de KPIs: máximo 6 KPIs vinculados a preguntas de negocio; criterios de evaluación (Relevancia, Accionabilidad, Disponibilidad, Comprensibilidad, Frecuencia) con puntaje (0–5). 

Calidad y límites de las métricas: riesgos (GIGO, sesgo de atribución, incentivos perversos), uso de indicadores tempranos vs. retardados y exigencia de data lineage y métricas de confianza. 

ROI y costo evitado: método práctico para traducir controles a dólares y convencer a finanzas. 

Reporte a la junta: formato ejecutivo (headline, top-3 KPIs, tendencias 6–12 meses, heatmap y CTA) y práctica de snapshots inmutables (hash SHA-256 + repositorio WORM) para evidencia. 

Hoja de ruta 90 días: fases claras (alineamiento, instrumentación, dashboard MVP, validación ROI) y roles (KPI Owner, Data Steward, Finance Liaison). 

Resultados prácticos que entrega el capítulo

Plantilla mínima de KPIs y cómo evaluarlos.

Fórmula simple para ROI / costo evitado aplicable a controles prioritarios.

Diseño de tablero ejecutivo con drill-downs hacia la evidencia.

Plan de implementación 0–90 días con responsables definidos. 

Dirigido a:

Responsables de GRC, SOC, Data Steward, CFOs interesados en métricas de seguridad y miembros de junta que necesitan decisiones basadas en evidencias.

Frase para cerrar:

“Las métricas convencen a la mente; el ROI convence al bolsillo — mide lo que importa, documenta por qué y tradúcelo a dólares.”

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Opera principalmente mediante explotación de vulnerabilidades expuestas, phishing dirigido y uso de credenciales válidas, con fuerte énfasis en movimiento lateral y abuso de herramientas legítimas del sistema (LOLBins). Destaca su capacidad para atacar entornos virtualizados VMware ESXi, eliminando copias de seguridad y VMs para maximizar impacto.

El malware es multiplataforma (Windows, Linux, ESXi), emplea cifrado híbrido (AES + Curve25519) y permite modos de cifrado configurables. Utiliza doble extorsión (cifrado + filtración de datos) y exige rescates que van desde decenas de miles hasta varios millones de dólares, cobrados en criptomonedas.

Los sectores más afectados incluyen salud, educación, manufactura e industria, con fuerte concentración en EE. UU. y Europa. El grupo emplea infraestructura en Tor, servicios cloud para exfiltración y, recientemente, certificados digitales robados para evadir controles.

La mitigación efectiva requiere parcheo prioritario de perímetro, MFA, EDR/XDR con enfoque conductual, backups inmutables, segmentación de redes críticas y monitoreo específico de comandos y herramientas asociadas a ataques en ESXi.

Fuente: Lista de URL’s de donde se tomó la información.

https://app.any.run/tasks/dad7d9d5-1f2f-4496-8925-ffcb65a53b95/?utm_source=medium&utm_medium=article&utm_campaign=inc&utm_term=281125&utm_content=linktoservice

https://twitter.com/hashtag/incransom?f=live

https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/inc-ransom-group-detection-and-prevention/

https://cyble.com/threat-actor-profiles/inc-ransom/

https://attack.mitre.org/groups/G1032/

https://www.vectra.ai/modern-attack/threat-actors/inc-ransom

https://attack.mitre.org/software/S1139/

https://www.sentinelone.com/anthology/inc-ransom/

https://reliaquest.com/blog/inc-ransom-attack-analysis/

https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/inc-ransom

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 27 - Continuidad del negocio & recuperación ante desastres (BCP/DRP)

¿Sabes exactamente cuánto dinero pierde tu organización por cada hora que sus sistemas están caídos? En este episodio dejamos de lado la burocracia del BCP (Continuidad del Negocio) y el DRP (Recuperación ante Desastres) para centrarnos en lo único que importa cuando ocurre una crisis: la supervivencia financiera y operativa.

Aprendemos a transformar la continuidad en una estrategia auditable, pasando del "creo que estamos protegidos" al "puedo demostrar que nos recuperamos".

🎧 En este episodio aprenderás:

El BIA Financiero: Por qué sin números claros (Impacto $/h) no hay presupuesto para recuperación.

RTO vs. RPO: Cómo definir tiempos de recuperación realistas basados en tu presupuesto de pérdidas, no en deseos técnicos.

Simulacros: La diferencia vital entre un Tabletop (validar decisiones) y una Prueba Operativa (medir tiempos reales).

Gobernanza: Cómo gestionar proveedores y crear evidencia para que tu plan sea a prueba de auditorías.

🧮 Fórmulas mencionada en el episodio:

1. Impacto Financiero por Hora ($/h):

Impacto = Ingresos perdidos + Coste operativo alterno + Penalizaciones + Coste de remediación + Daño reputacional.

2. Cálculo de RTO Máximo (Tiempo de recuperación):

RTO Máx = Presupuesto tolerable para pérdidas / Impacto $/h.

📚 Glosario Rápido:

BIA: Análisis de Impacto al Negocio (la base financiera).

RTO: Tiempo máximo tolerable fuera de servicio.

RPO: Cantidad máxima de datos que aceptas perder.

Tabletop: Simulacro de escritorio para validar roles y comunicación.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

¿Qué encontrarás?

Por qué un control sin evidencia deja de existir ante auditorías y juntas.

Cómo diseñar controles observables: traducir requisitos (ISO/NIST) a artefactos medibles (logs, tickets, snapshots).

Arquitectura práctica de evidencia: SIEM, EDR/XDR, SOAR, ATS/GRC y cómo integrarlos en un pipeline que capture, normalice y proteja la evidencia.

KPIs y KCI accionables (MTTD, MTTR, % controles con evidencia automática, % hallazgos cerrados en SLA).

Buenas prácticas para retención, integridad (hashes/WORM), sampling y pruebas end-to-end.

Cómo convertir datos técnicos en mensajes ejecutivos para el board: scorecards, 1-pagers y el “pack de evidencia” listo para auditoría.

Checklist operativo (accesos, registros, incidentes, backups, cumplimiento legal) con evidencia mínima y umbrales prácticos.

Valor práctico: saldrás con pasos inmediatos para reducir el esfuerzo manual en auditorías, mejorar tiempos de respuesta y presentar resultados claros al negocio —no solo métricas, sino evidencia recuperable y verificable.

Cierre: La evidencia no se fabrica al final: se construye día a día.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Por qué la cultura es la primera línea de defensa y cómo detectarla (señales, frenos y facilitadores).

Diferencia práctica entre concienciación, capacitación y cambio cultural sostenido; métricas para cada nivel.

Cómo mapear actividades formativas a controles y marcos (acciones rápidas Día 0–30).

Gestión del cambio aplicada a seguridad (Kotter + ADKAR): tácticas para pasar de resistencia a adopción.

Innovaciones pedagógicas (microlearning, gamificación, simulaciones, IA adaptativa) y cómo conectarlas con operaciones (SIEM/SOAR).

Plan operativo de 90 días: diagnóstico, piloto, escalamiento, KPIs y cálculo simple de ROI.

Riesgos operativos comunes y mitigaciones inmediatas; entregables y gobernanza para auditoría.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 7 - Ransomware Qilin

Qilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).

Modelo y alcance

Afiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.

TTPs clave

Acceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.

Ataque a virtualización

Incorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.

Mitigación recomendada

Defensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.

Links:

https://www.sans.org/blog/evolution-qilin-raas   

https://www.picussecurity.com/resource/blog/qilin-ransomware   

https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/   

https://cybelangel.com/blog/qilin-ransomware-tactics-attack/   

https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/   

https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/   

https://www.cyfirma.com/research/tracking-ransomware-june-2025/   

https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data   

https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7   

https://www.group-ib.com/blog/qilin-ransomware/   

https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf   

https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf   

https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator   

https://www.halcyon.ai/threat-group/scatteredspider   

https://www.cyfirma.com/research/tracking-ransomware-march-2025/   

https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/   

https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/   

https://www.halcyon.ai/threat-group/qilin   

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 24 - Como integrar seguridad de la información con la estrategia del negocio

Bienvenida y objetivos

Propósito: Presentar un modelo práctico de alineación inmediato.

Resultados: Esqueleto de roadmap de integración adaptable a cada organización.

Panorama actual

Tendencias: APTs, ransomware (5–10 % de facturación) y regulación creciente (GDPR, FinTech).

Retos: Proyectos aislados, KPIs técnicos sin vinculación al negocio y escaso patrocinio ejecutivo.

Comprender la estrategia

Mapeo de objetivos: Extraer metas de crecimiento (p.ej. +15 % LATAM, nuevo SaaS).

Priorización: Pesar cada iniciativa según impacto en ingresos, plazo y dependencia de sistemas.

Matriz impacto–valor

Puntuar 1–5 el Impacto de cada riesgo sobre la meta.

Puntuar 1–5 el Valor de los activos que la soportan.

Ubicar en cuatro zonas (roja, naranja, ámbar, verde) para guiar controles.

Gobierno de seguridad

Comités: CSI (CISO, TI, Legal, Finanzas, Operaciones) y Comité de Dirección (CEO, CFO, COO).

Políticas: Marco ISO 27001/22301 y estándares COBIT/ISO 27002, con ciclos anuales y “fast-track” urgente.

RACI: Claridad en Responsable, Aprobador, Consultado e Informado, con delegados en cada unidad.

Selección y priorización de proyectos

Inventario: Proyectos existentes vs. pipeline estratégico.

Criterios: Alineamiento con metas, exposición al riesgo y ROI/KPIs esperados.

Roadmap: Corto (0–6 m), medio (6–18 m) y largo (>18 m), vinculado a hitos corporativos.

Implementación (PDCA)

Plan: Gap analysis y diseño de controles.

Do: Despliegue de herramientas y formación.

Check: Auditorías, pentests MITRE ATT&CK y métricas (MTTD/MTTR).

Act: Acciones correctivas, feedback y actualización continua.

Frameworks y sinergias

Marcos: NIST CSF, ISO 27001, MITRE ATT&CK.

Áreas aliadas: DevSecOps en TI, DPIA con Legal y business cases con Finanzas.

Métricas y reporting

KPIs operativos: % sistemas auditados, MTTD/MTTR, cumplimiento de SLAs.

KRI estratégicos: Índice de madurez (COBIT/CMMI), ALE.

Dashboard & storytelling: Visuales alineados a “risk appetite” y reportes trimestrales al board.

Cultura y formación

Awareness: Mensajes ligados a beneficios de negocio, gamificación y micro-learning.

Ejecutivos: Table-top exercises y simulacros con evaluación de decisiones.

Comunicación: Comité trimestral, boletín mensual y portal de seguridad.

Mejora continua

Post-mortem: “What went well / What to improve” para capturar lecciones.

Revisión de roadmap: Talleres semestrales y triggers ante cambios de negocio o amenazas.

Innovación emergente

AI/ML: Detección de anomalías en tiempo real.

Cifrado post-cuántico: Pilotos graduales en datos sensibles.

Zero Trust: Validación continua de identidad y microsegmentación.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 23 - Gestión de datos y protección de la privacidad

1. Fase 0 – Preparación y Diagnóstico

Equipo y Gobernanza: Designación formal del DPO y de “Privacy Champions” en cada área, con perfil, funciones y canales de comunicación definidos. Se establece un RACI y reuniones quincenales para seguimiento.

Inventario y Clasificación: Mapeo exhaustivo de sistemas (CRM, ERP, bases de datos on-premise y en la nube, herramientas de marketing, etc.), registro de metadatos y catálogo de datos. Se clasifican datos personales, sensibles, anonimizados y seudonimizados, validando con el DPO y los Privacy Champions.

Evaluación de Brechas: Comparación entre prácticas actuales y requisitos regulatorios, identificación de gaps críticos y establecimiento de una línea base de seguridad basada en estándares ISO 27001/27701.

2. Fase 1 – Gobernanza y Políticas

Política de Privacidad: Redacción integral que cubre alcance, principios, derechos ARCO, roles, controles y procedimientos de notificación de brechas. Versión interna (intranet, webinars) y externa (sitio web, banner de cookies), con control de versiones y revisiones anuales.

Responsabilidades y SLA: Definición de plazos para reconocimiento (24 h), evaluación (2 días hábiles) y resolución de solicitudes ARCO (15–30 días naturales), con escalamiento automático y métricas de cumplimiento.

Consentimiento y DPIA: Revisión de formularios y banners, ejecución de Evaluaciones de Impacto de Protección de Datos (DPIA) en procesos de alto riesgo (perfilado, IA, transferencias).

3. Fase 2 – Implementación Técnica y Organizativa

Controles Técnicos: Cifrado en tránsito y reposo (TLS, AES-256), gestión de identidades (principio de privilegio mínimo, MFA), monitorización SIEM/IDS-IPS y respaldo seguro con pruebas periódicas.

Pseudonimización y Anonimización: Aplicación en entornos de prueba y analítica avanzada; definición de procesos de desidentificación.

Contratos y Terceros: Inclusión de cláusulas de protección de datos y subprocesadores, adopción de Standard Contractual Clauses (SCC) o Binding Corporate Rules (BCR) según destino.

Formación: Campaña obligatoria sobre GDPR, LGPD y CCPA, con simulacros de phishing y quizzes de refuerzo.

4. Fase 3 – Gestión de Incidentes y Respuesta

Playbook de Brechas: Procedimiento de detección, contención y notificación interna y regulatoria (≤ 72 h en UE), integrado con SOC y forense digital.

Simulacros Anuales: Dos ejercicios al año—técnico y comunicacional—para validar tiempos de respuesta y calidad de la comunicación con autoridades y titulares.

Lecciones Aprendidas: Ajuste continuo de procedimientos tras cada drill.

5. Fase 4 – Transferencias Internacionales

Mapeo de Flujos: Inventario de transferencias y diagrama de flujo por jurisdicción, categorización de datos y análisis de riesgo para países no adecuados.

Mecanismos de Cumplimiento: Implementación y mantenimiento de SCC, BCR y decisiones de adecuación; repositorio centralizado con control de versiones, auditorías y alertas de renovación anual.

6. Fase 5 – Auditoría y Mejora Continua

KPIs y Métricas: Solicitudes ARCO, incidentes, resultados de auditorías.

Auditorías Independientes: Cada 12–18 meses para ISO 27701 y GDPR.

Actualización de Políticas: Revisiones semestrales o tras cambios regulatorios, incorporación de IA y big data

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro

Antecedentes y trayectoria

Inicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.

Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).

Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.

Principales desafíos

Cultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).

Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.

Evolución del rol de líder y mentor

De “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.

Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.

De la teoría a la práctica

Ejemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).

Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.

Definición y comunicación del apetito de riesgo

Involucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).

Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.

Gobernanza de terceros y cadena de suministro

Extender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).

Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.

Errores comunes al iniciar un programa de gobernanza

Falta de patrocinio de alta dirección y de un comité rector.

No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.

Insuficiencia de recursos: tanto presupuesto como talento dedicado.

Recomendaciones para un programa sostenible

Basarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).

Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.

Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).

Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 6 - Ransomware Play

Identificación

Desde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.

Origen y Perfil

Se sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.

TTPs (MITRE ATT&CK)

Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).

Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).

Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).

Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).

Movimiento lateral: transferencia de herramientas (T1570) y PsExec.

Comando y Control: modificación de políticas de dominio (T1484.001).

Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.

Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).

Flujo de Ataque

Ingreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.

Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.

Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.

Exfiltración & Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.

Extorsión: nota de rescate y amenaza de publicación en TOR.

Modelo de Negocio

Rescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.

Victimología

Afectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.

Contramedidas y Detección

Implementar MFA, contraseñas fuertes y bloqueo de cuentas.

Segmentar la red y filtrar accesos remotos.

Mantener parches al día en FortiOS, Exchange y SimpleHelp.

Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.

Asegurar respaldos offline, cifrados e inmutables.

URLS

https://www.ransomware.live/group/play

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackers

https://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behavior

https://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.html

Correos del grupo

boitelswaniruxl@gmx.com, teilightomemaucd@gmx.com, raniyumiamrm@gmx, derdiarikucisv@gmx

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 21 - Gestión de proveedores y la cadena de valor

1. Política TPRM

Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.

Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:

CISO: define seguridad y excepciones.

Legal: revisa contratos.

Compras: asegura cláusulas de riesgo.

Operaciones: supervisa desempeño diario.

Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.

2. Comité de Proveedores

Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.

Participan responsables de Riesgos, Finanzas y Operaciones.

Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.

3. Alcance de Cadena de Valor

La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.

Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).

Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.

INVENTARIO Y CLASIFICACIÓN

Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).

Clasificación por criticidad:

Tier 1: impacto alto (interrupción clave).

Tier 2: impacto medio (soporte).

Tier 3: impacto bajo (servicios auxiliares).

Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.

DUE DILIGENCE Y SELECCIÓN

Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.

Reputación y legal: listas de sanciones, litigios, antecedentes.

Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.

Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.

Resumen clave:

El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 20 - Controles y herramientas de seguridad para la GSI

Noticias: https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/ 

Email leaked: https://haveibeenpwned.com/ 

1. Fundamentos de los Controles de Seguridad

Los controles de seguridad son mecanismos que previenen, detectan, corrigen o disuaden amenazas sobre activos. Se clasifican en:

Preventivos: MFA, firewalls, cifrado.

Detectivos: IDS/IPS, monitoreo de logs, UEBA.

Correctivos: IRP, restauraciones, parches.

Disuasivos: mensajes legales, certificaciones, señalética.

2. Criterios para la Selección de Herramientas de Seguridad

Se definen parámetros para seleccionar tecnologías según el contexto de madurez organizacional y necesidades específicas:

Madurez y presupuesto: desde SaaS básicos hasta plataformas con SOAR e IA.

Cobertura funcional: cumplir al menos el 80% de los casos críticos.

Integración: compatibilidad con SIEM, CMDB, ServiceNow, entornos cloud.

Escalabilidad: horizontal, vertical y con microservicios.

Soporte y comunidad: SLAs, ciclos de actualización y formación.

Cumplimiento: certificaciones ISO, SOC2, cumplimiento con GDPR, PCI-DSS.

3. Principales Categorías de Herramientas de Seguridad

IAM: Control granular de acceso y privilegios (Okta, Azure AD PIM).

SIEM/XDR: Detección avanzada, correlación y análisis (Splunk, Microsoft Sentinel).

EDR/MDR: Protección y respuesta en endpoints (CrowdStrike, SentinelOne).

Gestión de Vulnerabilidades: escaneo, priorización y parcheo (Tenable.io, Qualys).

DLP: control de datos sensibles en tránsito, uso y reposo (Forcepoint, Symantec).

Seguridad en la Nube (CSPM/CWPP): configuración segura y protección de workloads (Prisma Cloud, Azure Security Center).

4. Integración y Orquestación (SOAR)

El capítulo aborda cómo estructurar flujos de trabajo (playbooks) y automatizar respuestas:

Playbooks: escenarios predefinidos (phishing, malware, exfiltración).

Automatización SOAR: ejecución de tareas sin intervención humana.

Dashboards unificados: visibilidad de KPIs (MTTR, falsos positivos).

Formación del SOC: simulaciones, laboratorios y CTF internos.

5. Implementación y Validación

Se recomienda un despliegue por fases (piloto → gradual → masivo), complementado con pruebas de efectividad:

Pentesting y Red Team: validación realista de controles y playbooks.

KPIs: MTTR ≤ 30 min, cobertura SOAR ≥ 70%, falsos positivos < 10%.

Auditorías internas trimestrales aseguran mejoras continuas.

6. Monitoreo Continuo y Mejora

Se adopta el ciclo PDCA para mantener la gobernanza dinámica:

Check: métricas, auditorías, retroalimentación de incidentes.

Act: ajustes de controles, actualización de políticas y formación.

Se enfatiza la gestión de cambios alineada con CI/CD y retroalimentación tras incidentes para fortalecer la arquitectura de seguridad.

7. Conclusión y Recomendaciones

Equilibrio integral entre personas, procesos y tecnología.

Modularidad tecnológica para adaptarse a la innovación.

Cultura de seguridad mediante campañas gamificadas y visibilidad ejecutiva.

Transparencia y comunicación: dashboards diferenciados para la alta dirección y equipos técnicos.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 19 - Gestión de riesgos y análisis de amenazas

Link de las noticias:

https://blog.cloudflare.com/cloudflare-service-outage-june-12-2025/ 

https://status.cloud.google.com/incidents/ow5i3PPK96RduMcb1SsW 

1. Gestión de Riesgos – NIST SP 800-37 Rev. 2

Este marco establece un proceso sistemático para incorporar la gestión de riesgos en el ciclo de vida de los sistemas, enfocándose en la protección de la confidencialidad, integridad y disponibilidad (CIA). Sus seis pasos son:

Categorizar: Clasifica el sistema según el impacto potencial en la CIA.

Seleccionar: Define controles adecuados basados en NIST SP 800-53.

Implementar: Despliega y documenta controles técnicos, administrativos y físicos.

Evaluar: Verifica su efectividad mediante auditorías y pruebas.

Autorizar: Emite una decisión formal sobre el riesgo aceptable (ATO).

Monitorear: Supervisa continuamente cambios y amenazas.

El enfoque integra la seguridad con los objetivos de negocio y promueve el uso de métricas para la toma de decisiones informadas. El proceso es adaptable y dinámico, con retroalimentación continua.

2. Análisis de Amenazas – Cyber Kill Chain

Desarrollado por Lockheed Martin, este modelo descompone un ciberataque en 7 fases para facilitar su detección y contención:

Reconocimiento: Recolección de información sobre el objetivo.

Armamento: Preparación de payloads y exploits personalizados.

Entrega: Transmisión del malware (phishing, USB, web).

Explotación: Activación del código malicioso.

Instalación: Persistencia en el sistema comprometido.

Comando y Control (C2): Comunicación con el atacante.

Acciones sobre el Objetivo: Exfiltración, sabotaje o ransomware.

El modelo permite diseñar controles específicos para interrumpir la cadena antes de que se complete.

3. Controles de Seguridad – NIST SP 800-53

Es un catálogo exhaustivo de controles organizativos, técnicos y operativos que apoyan la implementación del RMF. Se organiza en más de 20 familias (acceso, auditoría, respuesta a incidentes, etc.) con controles base y opciones extendidas.

Los controles se seleccionan durante el paso 2 del RMF, en función de la categorización CIA. El System Security Plan (SSP) documenta la implementación y es clave en la evaluación y monitoreo.

4. Integración Operativa: RMF + Kill Chain + SP 800-53

La sinergia entre RMF y el Cyber Kill Chain permite diseñar un programa de seguridad integral:

Riesgos ↔ Amenazas: La categorización y controles del RMF alimentan las detecciones a lo largo del Kill Chain.

Herramientas integradas: Plataformas GRC, SIEM, XDR y SOAR permiten automatizar respuestas, evaluar riesgos y mantener visibilidad.

Métricas y KPIs: Indicadores como el tiempo de detección (MTTD), respuesta (MTTR) y madurez del RMF permiten medir y optimizar la postura de seguridad.

Mejora continua y cultura organizacional: Auditorías, simulacros y programas de concienciación fortalecen la resiliencia institucional.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 5 - Ransomware Funksec

Redes Sociales

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo

https://buymeacoffee.com/btsmi

1. Identificación

Aparición: Octubre de 2024.

Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.

Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.

2. Perfil y evolución

Actores clave:

Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.

El_Farado: Sucesor con poca experiencia técnica.

Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.

Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.

IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.

3. Operaciones y TTPs

Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.

Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.

Tácticas MITRE:

Acceso: Phishing (T1566), exploits web (T1190).

Ejecución: Engaño al usuario (T1204).

Escalada: Tokens (T1134), exploits locales (T1068).

Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).

Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).

Descubrimiento: Info del sistema (T1082), servicios de red (T1046).

Movimiento lateral: Servicios remotos (T1021).

Exfiltración: Vía web (T1567).

Impacto: Inhibe recuperación (T1490), cifrado (T1486).

4. Infraestructura

Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.

5. Análisis técnico

Persistencia: Tarea programada “funksec”.

Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.

Antianálisis: Detecta VMs; comprueba privilegios (net session).

Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.

Autocopia: Se replica en todas las unidades (A:–Z:).

UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.

6. Victimología

Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.

7. Contramedidas

Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.

Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.

URL´s

https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/ 

https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/

Video sugerido que pasos deben tomarse en caso de infección 

https://youtu.be/cMZ4apzfKjQ

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 18 - El rol del liderazgo en la gobernanza de seguridad de la información

1. Contexto CISM e ISACA

CISM valida competencias en gobernanza, gestión de riesgos, programas de seguridad y respuesta a incidentes, y se apoya en marcos como COBIT e ISO 27014. El Dominio 1 enfatiza la cultura y la estructura organizacional para integrar la seguridad en la estrategia corporativa.

2. Niveles de Liderazgo

Consejo de Administración: Aprueba el marco de seguridad, asigna recursos y patrocina la cultura de seguridad.

Comité de Seguridad: Supervisa riesgos y programas de seguridad, valida planes y coordina con áreas clave.

CISO: Define estrategia, lidera controles y reporta riesgos en lenguaje de negocio. Consejo: vincular riesgos con impacto económico.

CIO/CTO: Implementa infraestructura segura, colabora con seguridad y supervisa proyectos.

GRC Officer/Risk Manager: Administra riesgos tecnológicos y regulatorios, supervisa auditorías y políticas.

Administrador de Seguridad/SOC: Opera controles técnicos, responde a incidentes y soporta auditorías.

Responsable de Concienciación: Implementa programas de capacitación y gamificación.

Dueños de proceso/Negocio: Aseguran alineación de seguridad con objetivos operativos y participan en planes de continuidad.

Legal/Auditoría: Verifica cumplimiento normativo y contractual.

Usuarios finales: Aplican buenas prácticas y reportan incidentes.

3. Elementos Clave de la Gobernanza

Políticas y estándares: Documentos formales con roles y responsabilidades claras. Consejo: revisiones semestrales.

Alineamiento estratégico: Seguridad vinculada a metas del negocio. Consejo: usar objetivos SMART.

Asignación de recursos: Planificar presupuesto y personal con análisis de ROI. Consejo: presentar business cases claros.

Métricas y monitoreo: Indicadores clave (p.ej. % sistemas parcheados, MTTRes). Consejo: usar ≤10 métricas críticas.

Revisión y mejora continua: Auditorías internas y post-mortem tras incidentes. Consejo: incluir feedback en playbooks de gobernanza.

Gestión de riesgos: Relacionar controles con riesgos mitigados y usar criterios cuantitativos.

4. Competencias de Liderazgo en CISM

Visión estratégica: Anticipar tendencias tecnológicas. Consejo: usar threat intelligence.

Comunicación efectiva: Traducir riesgos técnicos en impacto de negocio. Consejo: usar analogías.

Toma de decisiones basada en datos: Priorización objetiva. Consejo: scorecards.

Ética profesional: Promover transparencia. Consejo: incluir en la capacitación anual.

5. Procesos de Gobernanza

Evaluación de requerimientos: Identificar regulaciones aplicables. Consejo: checklists.

Desarrollo de la estrategia: Definir objetivos claros. Consejo: metodologías ágiles.

Despliegue de controles: Implementar de forma estructurada. Consejo: asignar SMEs.

Supervisión y reporte: Dashboards y automatización de reportes. Consejo: liberar tiempo para el análisis.

Ajustes y actualización: Revisiones periódicas tras incidentes. Consejo: integrar lecciones aprendidas.

Recomendación final

La gobernanza debe habilitar el negocio, ser documentada, medible, patrocinada por la alta dirección y fomentar una cultura sostenible.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 17 - Políticas y estrategias de seguridad digital

I. Gobernanza y Liderazgo

Se establece la necesidad de un compromiso activo del liderazgo mediante comités de seguridad, definición de visión estratégica y KPIs claros. La gestión de riesgos es fundamental, utilizando modelos como ISO 27005 o FAIR para priorizar controles.

II. Identidad y Acceso

El capítulo describe cómo controlar el acceso a sistemas mediante políticas de Identity and Access Management (IAM), forzando MFA y revisando privilegios periódicamente. Se introduce la arquitectura Zero Trust, que exige verificar cada acceso sin suposiciones de confianza, aplicando principios de mínima exposición.

III. Protección de la Infraestructura

Se plantean mecanismos de segmentación de red (VLANs, ACLs) para limitar movimientos laterales, y el cifrado de datos tanto en tránsito (TLS 1.3) como en reposo (AES-256), incluyendo la rotación automatizada de llaves mediante KMS.

IV. Detección y Respuesta

Se promueve la integración de SIEM para correlacionar eventos de seguridad y la elaboración de playbooks de Respuesta a Incidentes (IR). Se recomienda ensayar respuestas con ejercicios tabletop y definir SLAs.

V. Resiliencia y Continuidad

Describe políticas de Continuidad de Negocio y Recuperación ante Desastres (BC/DR), que incluyen análisis de impacto (BIA), objetivos RTO/RPO y pruebas semestrales. También se integra DevSecOps como cultura y automatización de seguridad en el desarrollo ágil, promoviendo controles desde el inicio del ciclo.

VI. Personas y Procesos

La formación y concienciación son pilares esenciales. Se recomiendan campañas constantes de phishing simulado y capacitación medida por retención. También se trata la gestión de terceros, exigiendo cláusulas contractuales, auditorías y cuestionarios específicos.

VII. Tecnologías Emergentes

Se exploran 10 tecnologías clave que deben considerarse en políticas modernas:

IA Generativa y ML Avanzado

Criptografía Post-Cuántica

Criptografía Homomórfica

Blockchain y DLT

IoT, Edge Computing y 5G/6G

Digital Twins para simulación segura

XDR y SOAR

Confidential Computing

Deception Technology y honeypots inteligentes

Agentes Autónomos + Explainable AI

Cada una está acompañada de consejos prácticos para pruebas de concepto o despliegue seguro.

VIII. Diseño de Políticas

Se describe el ciclo completo de creación de políticas:

Análisis de riesgos y objetivos

Definición de propósito y alcance

Benchmarking con estándares

Redacción clara y verificable

Revisión con stakeholders

Aprobación ejecutiva formal

Comunicación y gestión del cambio

Implementación técnica

Monitoreo y métricas (MTTD, MTTR, % cumplimiento)

Revisión periódica y retiro de versiones obsoletas

IX. Nomenclatura y Estructura de Políticas

Se propone una convención estándar:

POL–<DOMINIO>–<TIPO>–<VERSIÓN>

Ej.: POL–IAM–ACCESS–v1.0

X. Políticas Recomendadas

Se presentan 13 políticas prioritarias para cubrir todos los dominios tratados:

Gestión de riesgos

Gestión de activos

IAM

Zero Trust

Segmentación de red

Cifrado

SIEM

IR

BC/DR

DevSecOps

Formación

Terceros

Tecnologías emergentes

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 16 - Marco legal, regulatorio y normativo

1. Definiciones

Marco Legal: Leyes obligatorias como el GDPR, que definen derechos y obligaciones en protección de datos.

Marco Regulatorio: Normas secundarias que detallan procedimientos y sanciones.

Marco Normativo: Estándares y buenas prácticas (ISO, NIST, COBIT), usados para auditorías y gestión de riesgos.

2. Marco Legal en Europa

GDPR: Reglamento general europeo sobre protección de datos. Principios: licitud, minimización, exactitud, conservación limitada, confidencialidad. Derechos: acceso, rectificación, supresión, portabilidad, oposición.

ePrivacy Directive: Complementa al GDPR, regulando comunicaciones electrónicas (cookies, metadatos, spam).

DORA: Normativa obligatoria desde 2025 para entidades financieras y proveedores TIC críticos. Requiere gobernanza de resiliencia digital, pruebas de estrés y gestión de terceros.

3. Marco Legal en Latinoamérica

Brasil (LGPD): Inspirada en el GDPR, aplica a datos tratados en Brasil o relativos a brasileños. Derechos: acceso, corrección, portabilidad, eliminación. Supervisada por la ANPD.

México (LFPDPPP y GLPPDPOS): Leyes para el sector privado y público, con derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y supervisión por el INAI.

Argentina (Ley 25.326): Reconoce el habeas data. Exige registro de bases y permite auditorías por la DNPDP.

Colombia (Ley 1581/2012): Derechos similares al GDPR. La SIC supervisa y puede aplicar multas o suspensiones.

Chile (Ley 19.628 y Ley 21.719): Marco actualizado en 2024. Crea la Agencia de Protección de Datos. Establece medidas de seguridad y controles para transferencias internacionales.

4. Normas y Estándares Internacionales

ISO/IEC 27001: Establece sistemas de gestión de seguridad de la información con enfoque basado en riesgos (CIA: Confidencialidad, Integridad y Disponibilidad).

NIST CSF: Framework basado en funciones (Identificar, Proteger, Detectar, Responder, Recuperar), adaptable a cualquier organización.

Esquema Nacional de Seguridad (España): Obligatorio para el sector público, incluye categorización de sistemas y auditorías.

Guías ENISA: Manuales y guías técnicas para gobiernos y empresas, destacando amenazas, cumplimiento de NIS2 y resiliencia.

5. Sector Público vs. Privado

En Latinoamérica, algunas leyes excluyen a fuerzas armadas o entes de seguridad nacional. En Europa, el GDPR permite excepciones solo por ley nacional y bajo principios de necesidad y proporcionalidad.

Sanciones: El sector privado enfrenta multas económicas; el público puede tener sanciones disciplinarias o penales.

6. Gobernanza y Cumplimiento

Autoridades (DPAs, EDPS, EDPB): Supervisan cumplimiento legal y asesoran sobre normativas.

Roles: El DPO supervisa el cumplimiento; el responsable define fines del tratamiento; el comité de seguridad gestiona riesgos y responde a incidentes.

Procesos clave: Registro de actividades, notificación de brechas en 72 h, auditorías, pruebas de penetración.

7. Retos Futuros

IA Generativa: Riesgos de privacidad por generación de datos sintéticos; la UE responde con el AI Act.

Ciberresiliencia: El CRA exige seguridad desde el diseño en productos digitales.

Armonización en LATAM: La RIPD busca estandarizar normativas y cooperación entre países.

Identidad Digital: Las Digital Identity Wallets serán obligatorias en la UE antes de 2026.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 4 - Ransomware LockBit

1. Identificación y Origen

LockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.

2. Evolución de Versiones

1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.

2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.

3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.

4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.

3. TTPs (MITRE ATT&CK)

Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.

4. Infraestructura y Herramientas

Afiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).

5. Economía del Ataque

Rescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.

6. Víctimas y Sectores

Afecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).

7. Contramedidas

Implantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.

8. Incidente (7 mayo 2025)

Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.

Noticia

https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel 

Investigación

https://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion 

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptions

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 15 - Marco conceptual y modelos de gobernanza de seguridad de la información

1. Enfoque y propósito

La gobernanza de la seguridad de la información se apoya en principios corporativos sólidos y un ciclo continuo de mejora (PDCA) alineado con los objetivos del negocio. Para desplegarla existen diversos esquemas organizativos (centralizado, descentralizado, híbrido, basado en riesgos, colaborativo y federado) que determinan la ubicación de la autoridad y el flujo de decisiones.

2. Marco conceptual clave

• Integración empresarial: Inserción de la seguridad en la arquitectura global de TI, de modo que cada control responda a metas de negocio.
• Ciclo PDCA: Planificar, ejecutar, evaluar y mejorar, con flujos de aprobación ejecutiva y retroalimentación operativa.
• Stakeholders y gobernanza: Definición de roles (CISO, consejo, unidades de negocio, auditores) y canales formales (dashboards, comités) para asegurar transparencia y alineación.
• Madurez y ecosistemas: Uso de frameworks (COBIT, CMMI, O-ISM3) para evaluar capacidades y gobernanza de terceros mediante certificaciones y auditorías.
• Innovación continua: Laboratorios de políticas, metodologías ágiles, DevSecOps e IA como impulsores de nuevas prácticas dentro del ciclo PDCA.

3. Modelos de implementación

• Centralizado: Autoridad única, controles homogéneos y supervisión central, ideal para entornos regulados, aunque puede generar cuellos de botella.
• Descentralizado: Autonomía local con lineamientos mínimos, favorece la agilidad y el empoderamiento, pero con riesgo de duplicidad e inconsistencia.
• Híbrido: Combina directrices globales con adaptaciones locales, buscando un balance entre consistencia y flexibilidad, aunque con mayor complejidad de coordinación.
• Basado en riesgos: Prioriza decisiones y recursos según evaluación continua de riesgos, optimizando esfuerzos pero requiriendo datos de alta calidad.
• Colaborativo: Involucra a todas las áreas (TI, Seguridad, Legal, RR.HH., externos) en un PDCA conjunto, fomentando innovación y visión integral, a costa de mayor orquestación.
• Federado: Políticas y estándares definidos centralmente, pero con implementación contextual por equipos locales, equilibrando economías de escala y adaptabilidad.

4. Conclusión

No existe un modelo universal: la elección debe basarse en la estructura organizacional, apetito de riesgo, regulaciones aplicables y nivel de madurez. Un marco conceptual robusto, sustentado en estándares internacionales y el ciclo PDCA, es fundamental para asegurar alineación estratégica y resiliencia frente a amenazas presentes y futuras.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 14 - Introducción a la gobernanza de seguridad de la información

Principios y marcos normativos

Principios: seguridad organizacional; enfoque por riesgos; alineación de inversiones al negocio; conformidad; cultura de seguridad; medición por desempeño.

Marcos: ISO/IEC 27014 (supervisión de seguridad); NIST CSF ID.GV (gobernanza cibernética); COBIT 2019 (evaluar, dirigir, monitorear); ISO/IEC 38500 (gobernanza TI)

Estructura organizativa y roles

Gobierno: órgano de gobierno y alta dirección

Seguridad: CISO y comité; CSIRT

Protección de datos: DPO

Apoyo: propietarios de activos, función de riesgos, “security champions” y auditoría interna.

Políticas, estándares y procedimientos

Jerarquía documental: políticas estratégicas → estándares técnicos → procedimientos operativos.

Ciclo de vida: elaboración, aprobación, revisión, retiro y control de versiones.

Gestión de riesgos y terceros

Riesgos: identificación, evaluación, tratamiento, monitoreo; apetito y tolerancia.

Terceros: due diligence, cláusulas contractuales, auditorías continuas.

Cumplimiento legal y regulatorio

Normas generales: GDPR (arts. 32, 83), HIPAA, PCI DSS, SOX, LOPD.

Sectoriales: NERC CIP.

Actividades: análisis de brechas, auditorías, notificaciones y sanciones.

Gestión de accesos e identidades (IAM)

Ciclo de vida de identidades.

Autenticación y autorización (RBAC/ABAC).

Accesos privilegiados, SSO/federación, revisiones y supervisión.

Capacitación y cultura

Programas con contenidos actualizados, simulaciones de phishing y campañas.

Métricas de eficacia (tasas de clic, resultados de simulacros).

Liderazgo activo para fomentar cultura de seguridad.

Respuesta a incidentes y continuidad

Fases: preparación, detección, contención, erradicación, recuperación.

BIA, BCP y DRP, pruebas periódicas, auditorías y lecciones aprendidas.

Métricas y desempeño

KPI/KRI: incidentes, vulnerabilidades, madurez de procesos.

Dashboards ejecutivos, benchmarking y ciclo PDCA (Plan‑Do‑Check‑Act).

Tendencias emergentes

DevSecOps, Cloud governance (ISO/IEC 27017), Zero Trust (NIST SP 800‑207).

Criptografía post‑cuántica (FIPS 203‑205), IA governance (ISO/IEC SC 42).

SASE, SCRM (SP 800‑161), IoT governance (ISO/IEC 30141), “policy-as-code” y SOAR.

Implementación en 4 pasos

Estrategia: definir objetivos, apetito de riesgo y requisitos de cumplimiento.

Construcción: diseñar estructura organizativa y marco normativo‑tecnológico.

Prueba e implementación: validación funcional y despliegue progresivo.

Monitoreo y mejora: seguimiento continuo y ajustes basados en resultados.

Beneficios clave

Integridad y calidad de datos

Reducción de riesgos y seguridad reforzada

Cumplimiento normativo

Eficiencia operativa y reducción de costes

Decisiones basadas en datos

Colaboración fluida y reputación fortalecida

Base para transformación digital

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 13 - Marcos de seguridad de la información | Alternativos

El Capitulo 13 se centra en una visión comparativa de diversos marcos y estándares utilizados en la gestión y seguridad de la información. A continuación, se presenta un resumen de los aspectos más importantes:

• Cobit 2019:

- Enfocado en la gobernanza y gestión de TI, asegurando la alineación entre la tecnología y los objetivos empresariales.

- Introduce nuevos factores de diseño y modelos de evaluación de madurez para identificar brechas y optimizar procesos.

• COSO Internal Control–Integrated Framework:

- Diseñado originalmente para fortalecer el control interno en entornos financieros, pero extendido a la gestión de riesgos operativos y estratégicos.

- Se estructura en 17 componentes que abarcan desde el ambiente de control hasta la supervisión, mejorando la transparencia y la integridad de la información.

• PCI DSS Versión 4.0:

- Orientado a proteger los datos de tarjetas de pago mediante requisitos técnicos y de procesos, reduciendo así riesgos de fraude y brechas de seguridad.

- Establece 12 requisitos básicos que incluyen desde la protección de redes hasta políticas internas de seguridad.

• HITRUST CSF Versión 10.x:

- Unifica múltiples normativas y estándares, especialmente en sectores tan sensibles como el salud.

- Facilita la integración de controles de seguridad y gestión de riesgos, reduciendo esfuerzos duplicados en auditorías y cumplimiento normativo.

• CIS Controls Versión 8:

- Basado en prácticas reconocidas por la comunidad, ofrece medidas prácticas y priorizadas para disminuir riesgos cibernéticos.

- Aborda desde el inventario y control de activos hasta la gestión de incidentes, poniendo especial énfasis en la reducción de la superficie de ataque.

• FAIR Versión 3:

- Proporciona un enfoque cuantitativo para el análisis de riesgo, permitiendo traducir las amenazas a valores financieros.

- Facilita la toma de decisiones y la justificación de inversiones en seguridad mediante métricas económicas.

• ITIL 4:

- Se centra en la gestión de servicios de TI, integrando prácticas ágiles, DevOps y enfoques holísticos en la creación de valor.

- Incluye políticas y procesos para la seguridad de la información, alineando la prestación de servicios con las necesidades del negocio.

• O-ISM3 (Information Security Management Maturity Model):

- Un modelo de madurez que permite evaluar y mejorar los procesos de gestión de seguridad en la organización.

- Proporciona una guía estructurada para identificar brechas y planificar mejoras a nivel estratégico y operativo.

• OCTAVE:

- Propuesto por el SEI de Carnegie Mellon, este método permite a las organizaciones autoevaluar sus riesgos.

- Se basa en la identificación de activos críticos, evaluación de vulnerabilidades y desarrollo de estrategias de mitigación, involucrando a todo el personal.

Finalmente, se destaca que la integración de estos marcos de seguridad se presenta como una estrategia clave para transformar riesgos en oportunidades, fortaleciendo la resiliencia y fomentando la innovación en las organizaciones.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 12 - Marcos de seguridad de la información | Familia NIST

Introducción a NIST y su Rol en la Seguridad de la Información:

Se explica que el National Institute of Standards and Technology (NIST) es una agencia del Departamento de Comercio de EE. UU. que desarrolla estándares, guías y mejores prácticas para la seguridad de la información. Originalmente enfocados en agencias gubernamentales, estos marcos se han extendido a múltiples sectores y organizaciones privadas.

Estructura de los Marcos de Seguridad de NIST:

El documento detalla dos grandes grupos:

NIST Cybersecurity Framework (CSF):

Presenta las cinco funciones fundamentales: Identificar, Proteger, Detectar, Responder y Recuperar, que guían a las organizaciones en la evaluación y mejora de su postura de seguridad. Se ofrecen ejemplos prácticos para cada función, como la realización de inventarios de activos y la implementación de sistemas de respuesta a incidentes.

Serie NIST SP 800:

Se destacan varias publicaciones clave, entre las cuales se incluyen:

SP 800-53: Un catálogo extenso de controles de seguridad y privacidad organizados en familias (por ejemplo, control de acceso, gestión de incidentes, etc.).

SP 800-171: Directrices específicas para proteger la Información No Clasificada Controlada (CUI) en sistemas no federales.

SP 800-37: Una guía para aplicar el Risk Management Framework (RMF), detallando pasos desde la categorización hasta el monitoreo continuo.

SP 800-63: Normas para la gestión de identidad digital, abarcando desde la verificación de identidad hasta la autenticación de usuarios.

SP 800-82: Recomendaciones para asegurar sistemas de control industrial (ICS), incluyendo sistemas SCADA, con el objetivo de proteger procesos críticos.

Aplicación Práctica y Certificación:

El documento también discute cómo estos marcos se utilizan para estructurar programas de seguridad en las organizaciones, destacando que NIST no certifica directamente, pero sus guías son la base para auditorías internas y externas, y se integran con certificaciones como FedRAMP, CMMC o ISO/IEC 27001.

Metodologías de Aprendizaje y Mejora Continua:

Se recomiendan métodos como cursos en línea, talleres, simuladores y el uso de herramientas prácticas (por ejemplo, CSET) para aprender y aplicar estos marcos de forma efectiva, enfatizando la importancia de la formación continua en el campo de la ciberseguridad.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 3 - Ransomware Akira

1. Identificación y Origen

Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.

2. Perfil y Evolución

Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.

3. Metodología de Ataque

• Acceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.
• Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.
• Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.
• Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).
• 
  

4. Modelo Financiero

Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.

5. Victimología

Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.

6. Recomendaciones

• Respaldos segmentados y seguros.
• Autenticación multifactor y actualizaciones constantes.
• Segmentación de red y monitoreo de tráfico.
• Auditoría de cuentas administrativas y restricción de accesos.
• 
  

7. Incidente Destacado

El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.

Fuente: 

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a 

https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web 

https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/ 

https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira 

https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf 

https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry 

https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 11 - Marcos de seguridad de la información | Familia ISO 27000

Link de noticia:

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants 

Link revisión de dominio afectado:

https://exposure.cloudsek.com/oracle

Link de iso:

https://www.iso.org/standards.html

Introducción:

Se plantea la importancia de contar con un marco de seguridad robusto que unifique la terminología y los procesos, resaltando la necesidad de un compromiso de toda la organización, especialmente de la alta dirección.

Principales Normas ISO/IEC

ISO/IEC 27000: Define términos y conceptos básicos que sientan las bases para el SGSI.

ISO/IEC 27001: Establece los requisitos para diseñar, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI), basado en el ciclo PHVA.

ISO/IEC 27002: Ofrece un código de buenas prácticas para la selección e implementación de controles de seguridad, organizados en 14 dominios.

ISO/IEC 27003: Proporciona una guía práctica para la implementación de la norma ISO 27001.

ISO/IEC 27004: Se orienta a la medición y evaluación de la eficacia del SGSI mediante indicadores y métricas.

ISO/IEC 27005: Enfoca la identificación, evaluación y tratamiento de riesgos en la seguridad de la información.

Normas Complementarias y Especializadas

El documento también describe otros estándares que amplían y complementan el SGSI, como:

ISO/IEC 27006: Requisitos para organismos de certificación.

ISO/IEC 27007 y 27008: Directrices para auditorías y evaluaciones de controles de seguridad.

Normas específicas para sectores (por ejemplo, ISO/IEC 27011 en telecomunicaciones, 27017 en servicios en la nube, 27019 en el sector energético, entre otras).

Normas sobre gestión de incidentes, continuidad del negocio, ciberseguridad, seguridad en redes, aplicaciones y almacenamiento, que ofrecen marcos y recomendaciones para cada ámbito particular.

Elementos Recurrentes

Compromiso de la alta dirección y liderazgo: Fundamental para garantizar que el SGSI esté alineado con los objetivos estratégicos de la organización.

Planificación y evaluación de riesgos: Identificación de amenazas y vulnerabilidades, seguida de la implementación de controles y la mejora continua.

Auditorías y monitoreo: Se subraya la importancia de realizar revisiones periódicas, auditorías internas y externas para validar la eficacia del SGSI.

Mejora continua: El SGSI debe adaptarse a nuevas amenazas y tecnologías, garantizando que se tomen medidas correctivas de forma oportuna.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 10 - Cómo crear un SOC de alto rendimiento

El capítulo describe un plan integral para establecer un Centro de Operaciones de Seguridad (SOC) de alto nivel basado en cinco pilares clave:

Gestión de Ingestas en el SIEM:

Incorporación Estratégica: Identificar y mapear fuentes críticas (activos, aplicaciones y dispositivos) que generan logs, priorizando aquellos con mayor impacto en la seguridad.

Mantenimiento y Monitoreo: Realizar auditorías periódicas de las ingestas existentes, configurar alertas y monitoreo automatizado.

Optimización y Protección: Eliminar datos redundantes, ajustar dashboards y asegurar la transmisión de logs mediante cifrado y controles de acceso.

Redundancia: Implementar arquitectura redundante y realizar pruebas de fallover para garantizar continuidad.

Administración y Optimización de Herramientas de Seguridad:

Gestión Integral: Mantener un inventario actualizado de todas las herramientas del SOC y evaluar su desempeño mediante auditorías regulares.

Validación de Configuraciones: Comparar configuraciones con estándares de la industria y revisar políticas de seguridad.

Nuevas Funcionalidades: Realizar pruebas piloto de innovaciones que mejoren la detección y respuesta.

Gestión de Licencias y Actualizaciones: Controlar licencias y programar actualizaciones regulares y parches.

Conocimiento Integral de la Infraestructura y Activos:

Mapeo y Documentación: Utilizar herramientas de descubrimiento para identificar y documentar todos los dispositivos, aplicaciones y servicios, manteniendo actualizado un inventario centralizado.

Clasificación de Activos: Registrar y clasificar activos críticos según su valor y riesgo para priorizar su protección.

Estrategia de Respuesta y Comunicación en Incidentes:

Plan de Respuesta a Incidentes: Definir roles, procedimientos y realizar simulacros para garantizar una respuesta rápida y coordinada.

Optimización del Tiempo de Respuesta: Establecer SLAs, automatizar alertas y definir criterios de notificación y escalamiento.

Comunicación Efectiva: Crear protocolos de comunicación claros para informar a la alta dirección, otras áreas y clientes durante incidentes críticos.

Integración de Inteligencia y Proactividad en Seguridad:

Inteligencia de Amenazas: Incorporar fuentes OSINT y colaboraciones estratégicas para anticipar riesgos.

Seguridad en el Ciclo de Vida: Implementar “security by design”, auditar la seguridad de nuevos activos y usar imágenes preconfiguradas seguras.

Gestión de Vulnerabilidades y Threat Hunting: Detectar vulnerabilidades zero-day y realizar caza de amenazas usando herramientas avanzadas, sandboxes y técnicas de machine learning.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 9 - Cómo implementar un equipo de Blueteam en tu organización

El Capítulo 9, ofrece una guía completa para establecer un equipo de defensa proactiva en el ámbito de la ciberseguridad. A continuación, se resumen los puntos clave:

Definir objetivos y alcance:

Realizar un análisis de brechas y evaluación de riesgos.

Elaborar un inventario de activos (digitales y físicos) y clasificarlos según su criticidad (por ejemplo, Crítico, Alto, Medio, Bajo).

Utilizar metodologías como ISO 27001, NIST SP 800‑30 e ISO 31000 para identificar amenazas y vulnerabilidades, y calcular el riesgo mediante la fórmula básica (Riesgo = Probabilidad × Impacto).

Estructura organizativa y roles:

Establecer roles estratégicos y operativos, como CISO, Blue Team Manager, Compliance & Risk Manager y equipos de respuesta a incidentes (SOC Analysts, Threat Intelligence, Vulnerability Management, Forensics, SIEM Specialist, Threat Hunter, Network y Cloud Security Engineers, Endpoint Protection Specialist).

Definir jerarquías y procesos de comunicación y escalamiento para asegurar una respuesta coordinada ante incidentes.

Selección e implementación de herramientas:

Implementar soluciones de detección y prevención basadas en NIST SP 800‑53, incluyendo IDS/IPS, SIEM y EDR.

Aplicar controles tecnológicos como cifrado, autenticación multifactor y segmentación de redes para proteger endpoints, redes y sistemas críticos.

Desarrollo de políticas y procesos:

Elaborar manuales, procedimientos y planes de respuesta alineados a los controles del Anexo A de ISO 27001 y las recomendaciones de NIST.

Desarrollar políticas generales (ej. Política General de Seguridad de la Información, Gestión de Riesgos, Cumplimiento) y específicas (ej. Control de Acceso, Clasificación de la Información, Criptografía, Gestión de Incidentes, Copias de Seguridad, Uso Aceptable de Activos, Gestión de Vulnerabilidades, entre otras).

Cultura de seguridad y colaboración:

Establecer programas de formación continua, concienciación y comunicación interna para que todo el personal comprenda sus responsabilidades.

Fomentar la colaboración interdepartamental y la integración del SGSI en todos los niveles de la organización.

Mejora continua:

Implementar un ciclo PDCA (Planificar, Hacer, Verificar, Actuar) para monitorizar, revisar y actualizar tanto el SGSI como los controles implementados.

Realizar auditorías internas y ejercicios de simulación para validar la eficacia de las medidas y adaptar los procesos ante nuevos riesgos.

Este capítulo proporciona un marco estratégico y operativo para que las organizaciones establezcan un equipo Blue Team robusto, capaz de proteger sus activos críticos y responder de manera efectiva a incidentes de seguridad.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 2 - Ransomware Ransomhub

1. Identificación y Perfil del Grupo

Nombre y Filosofía: RansomHub es un grupo de ransomware con miembros internacionales, enfocado en obtener ganancias en dólares.

Normas Operativas: No atacan a ciertos países (como la CEI, Cuba, Corea del Norte y China) y evitan repetir ataques contra víctimas que ya hayan pagado. Además, se comprometen a proporcionar descifradores en ciertos casos.

Origen y Aparición: Se sitúan en un entorno pro-ruso y se cree que surgieron a partir de un ransomware anterior llamado Knight, aunque algunos informes remontan sus primeras acciones a finales de 2018.

2. Tácticas, Técnicas y Procedimientos (TTPs)

Acceso Inicial: Utilizan métodos como phishing, explotación de vulnerabilidades (aprovechando CVEs conocidos) y rociado de contraseñas.

Movimiento Lateral y Escalada de Privilegios: Emplean herramientas como Mimikatz, RDP, PsExec y otros métodos para desplazarse dentro de la red y obtener accesos privilegiados.

Encriptación y Exfiltración: Cifran archivos utilizando algoritmos robustos (como Curve 25519, AES256 y otros) y practican la doble extorsión, amenazando con publicar los datos extraídos si no se realiza el pago.

Evasión de la Detección: Renombran sus ejecutables, borran registros y utilizan técnicas para desactivar antivirus y herramientas de detección.

3. Flujo de Ataque y Características Técnicas

El proceso de ataque se divide en fases:

Acceso Inicial: Mediante spear-phishing, explotación de vulnerabilidades y credenciales comprometidas.

Ejecución y Persistencia: Uso de herramientas legítimas y creación de cuentas para asegurar el acceso prolongado.

Movimiento Lateral y Exfiltración: Reconocimiento de la red para comprometer otros sistemas y extracción de datos mediante diversas herramientas.

Cifrado y Extorsión: Implementación de un cifrado intermitente en archivos y uso de notas de rescate que informan a las víctimas sobre el contacto vía direcciones .onion.

4. Operaciones Financieras y Modelo de Negocio

Distribución de Ganancias: Los afiliados reciben el 90% de los pagos, mientras que el grupo principal retiene el 10%.

Métodos de Pago: Se priorizan criptomonedas como Bitcoin y Monero, haciendo uso de mixers para dificultar el rastreo.

5. Victimología

Sectores y Ejemplos de Ataques: Entre las víctimas se encuentran organizaciones de diversos sectores, incluyendo al Gobierno de México (CJEF) y el Departamento de Salud de Florida, entre otros.

6. Contramedidas y Detección

Recomendaciones de Seguridad: Se proponen medidas de respuesta a incidentes, mitigaciones basadas en las directrices de CISA y NIST, y prácticas de recuperación de datos.

Implementación de Controles: Se destacan la importancia de mantener sistemas actualizados, segmentar redes, aplicar autenticación multifactor y realizar auditorías de seguridad.

Enlace de investigación de CISA - Ransomhub

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 8 - Carrera en ciberseguridad roles y certificaciones

https://www.cybrary.it/

Popularidad de certificaciones:

Certificaciones | Demanda en puestos ciberseguridad

CompTIA Security+ | 11,664

GIAC Security Essentials (GSEC) | 2,786

Offensive Security Certified Professional (OSCP)     | 2,784

Certified Ethical Hacker (CEH)  | 426

CompTIA Advanced Security Practitioner (CASP+)     | 378

Certified Information Security Manager (CISM)     | 245

Systems Security Certified Practitioner (SSCP)     | 180

Certified Information Systems Security Professional (CISSP)  | 174

Certified Information Systems Auditor (CISA)     | 117

GIAC Certified Incident Handler (GCIH)    | 19

Certificaciones:

Se describen en detalle las 10 certificaciones más demandadas en ciberseguridad, como CISSP, CISA, CompTIA Security+, CEH, CISM, GSEC, SSCP, CASP+, GCIH y OSCP. Para cada certificación se explica:

Se habla de qué conocimientos y habilidades se adquieren.

Los requisitos previos y la experiencia mínima recomendada.

Los roles profesionales a los que suelen conducir (por ejemplo, CISSP orienta hacia posiciones ejecutivas como CISO).

El tiempo aproximado de estudio (dedicando 5 horas a la semana, varía entre 2 y 6 meses según la certificación).

Fuentes oficiales y recursos gratuitos para prepararse.

Características del examen, incluyendo duración, costo, intentos y puntajes mínimos.

La vigencia de la certificación (por lo general, 3 o 4 años, excepto OSCP, que es vitalicia) y los requisitos de renovación (acumulación de créditos de educación profesional continua y pago de tarifas de mantenimiento).

Roles en Ciberseguridad:

Se analizan los puestos más relevantes en el sector para 2025, tales como:

Chief Information Security Officer (CISO): Encargado de definir la estrategia de seguridad, con un rango salarial de USD 150,000 a USD 300,000 anuales y una experiencia superior a 10 años.

Security Architect: Responsable del diseño e implementación de arquitecturas de seguridad, con salarios entre USD 120,000 y USD 200,000 anuales.

Security Engineer / Cloud Security Engineer: Implementa y mantiene herramientas de seguridad, con rangos entre USD 100,000 y USD 170,000 anuales.

Penetration Tester / Ethical Hacker: Realiza pruebas de vulnerabilidades y simulación de ataques, con salarios que oscilan entre USD 70,000 y USD 120,000 anuales.

Security Analyst / SOC Analyst / Incident Responder: Monitorea y responde a incidentes de seguridad, con remuneraciones de USD 60,000 a USD 90,000 anuales.

Otros roles destacados incluyen Threat Intelligence Analyst, Security Consultant y Compliance / Risk Analyst, cada uno con sus propias responsabilidades y requisitos de formación y experiencia.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 7 - Hackeos históricos 1 - Hackeo masivo a eBay

Resumen Ejecutivo:

El ataque ocurrió en 2014, comprometiendo información sensible de aproximadamente 145 millones de usuarios. Se sustrajeron datos como nombres, direcciones de correo, teléfonos y fechas de nacimiento (sin afectar información financiera). El incidente tuvo un impacto significativo en la reputación y finanzas de eBay, generando pérdidas netas reportadas de 41 millones de dólares y llevando a la empresa a reestructurar su plantilla (se anunciaron despidos masivos).

Análisis Técnico:

El documento detalla los vectores de ataque, destacando que los atacantes se infiltraron en la red de eBay mediante la obtención de credenciales de empleados (a través de técnicas de ingeniería social y phishing). Una vez dentro, la falta de controles adicionales (como la autenticación multifactor) y la ausencia de una segmentación adecuada en la red permitieron el movimiento lateral hacia sistemas críticos, facilitando la exfiltración de datos sensibles desde una base de datos central. Se mencionan, además, deficiencias en el monitoreo de la actividad interna (logs insuficientes y auditorías esporádicas) que retrasaron la detección de la intrusión.

Medidas de Contención y Respuesta:

eBay notificó a sus usuarios y les solicitó cambiar sus contraseñas de forma urgente. La respuesta incluyó la revocación de accesos comprometidos, la mejora de la autenticación (posteriormente adoptando MFA), el refuerzo del cifrado y la reconfiguración de la infraestructura de red. Además, se establecieron auditorías de seguridad y un monitoreo en tiempo real para prevenir futuras vulnerabilidades.

Impacto y Repercusiones:

El incidente generó costos significativos en términos de respuesta y remediación, afectó la confianza de los usuarios y obligó a eBay a revisar y fortalecer sus políticas de ciberseguridad. Las repercusiones económicas se reflejaron en las pérdidas netas del ejercicio 2014, sumado a gastos adicionales no desglosados públicamente.

Conclusión:

El caso de eBay de 2014 es un claro ejemplo de cómo fallas en la gestión de credenciales, la segmentación de la red y el monitoreo interno pueden derivar en un acceso no autorizado a gran escala. Las lecciones aprendidas resaltan la importancia de adoptar un enfoque de seguridad en capas (incluyendo autenticación multifactor, cifrado robusto y monitoreo continuo) y de fomentar una cultura de seguridad que permita responder de forma rápida y eficaz ante incidentes.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 6 - El día a día de un SOC (Security Operation Center)

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 5 - Principios de defensa en profundidad

Liga de la noticia:

https://darktrace.com/es/blog/how-abuse-of-perfectdata-software-may-create-a-perfect-storm-an-emerging-trend-in-account-takeovers

Introducción:

Origen y evolución: Se basa en modelos militares y de seguridad crítica, adoptados en informática para mitigar amenazas como ransomware y APTs.

Principios fundamentales: Incluyen globalidad (protección en todas las capas), coordinación (integración de mecanismos), dinamismo (adaptación a nuevas amenazas), suficiencia (cada control debe ser eficaz por sí solo) y exhaustividad (sin puntos débiles).

Capas de defensa: Se establecen múltiples niveles de protección:

Organizativa (políticas y regulaciones).

Física (control de acceso y videovigilancia).

Perimetral (firewalls, IPS/IDS).

Red (segmentación, DNS seguro).

Endpoint (EDR/XDR, cifrado de discos).

Aplicación (WAF, desarrollo seguro).

Datos (cifrado, respaldos protegidos).

Aplicación técnica: Implementación en entornos empresariales con firewalls, MFA, SIEM, SOAR, pruebas de seguridad y simulaciones de ataques.

Conclusiones y mejores prácticas: Se enfatiza la necesidad de aplicar Zero Trust, segmentación de red, auditorías y capacitación para minimizar riesgos.

Frase clave: No es cuestión de si serás atacado, sino de cuán preparado estarás cuando ocurra.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación 1 - Ransomware Clop

1. Identificación del Grupo

Nombre: Clop

Año de aparición: 2019

Origen: Europa del Este (posiblemente Rusia o países vecinos)

Víctimas: 668 en total, 60 en 2025 hasta la fecha. Última víctima: OLAMETER.COM.

2. Perfil del Grupo

Historia y evolución: Derivado del malware CryptoMix, ha evolucionado con capacidades avanzadas, incluyendo la doble extorsión y el modelo de Ransomware-as-a-Service (RaaS).

Grandes ataques: Accellion (2020-2021), universidades, hospitales y gobiernos.

Estado actual: Continúa activo con tácticas más sofisticadas y evasivas.

3. Tácticas, Técnicas y Procedimientos (TTPs)

Infraestructura: Servidores C2 en la darknet, exfiltración de datos, sitios de fugas.

Distribución: Phishing dirigido y explotación de vulnerabilidades.

Criptografía: AES-256 y RSA-2048 para cifrado de archivos.

Persistencia: Modificación de claves de registro y uso de herramientas como PsExec y Mimikatz.

Evasión: Uso de la darknet, VPNs, proxies y exclusión geográfica de países de la CEI.

4. Flujo de Ataque

Acceso inicial: Phishing con correos maliciosos, explotación de vulnerabilidades (ej. CVE-2021-35211 en SolarWinds).

Movimiento lateral: Uso de Cobalt Strike y SDBOT para propagación en redes corporativas.

Exfiltración: Uso de herramientas como Rclone para el robo de datos.

Impacto final: Cifrado de archivos críticos y extorsión con amenazas de divulgación.

5. Impacto

Económico: Rescates de $500,000 a $20 millones, interrupción operativa y costos de recuperación.

Reputacional: Pérdida de confianza, exposición de datos sensibles y cobertura mediática negativa.

6. Victimología

Sectores afectados: Salud, educación, gobierno, finanzas, tecnología, manufactura, energía, retail, transporte.

Regiones afectadas: América del Norte, Europa, Asia, Oceanía, América Latina, África y Medio Oriente.

7. Contramedidas y Detección

Seguridad preventiva: Inventario de activos, monitoreo de red, hardening y parcheo.

Protección y respuesta: Copias de seguridad, MFA, sandboxing y detección con IA.

Entrenamiento: Simulaciones de phishing, ejercicios de equipo rojo y concienciación en seguridad.

8. Herramientas y Comandos Usados

Comandos maliciosos: net use, powershell -enc, taskkill, vssadmin delete shadows.

Explotación de vulnerabilidades: MOVEit Transfer, SolarWinds.

Malware asociado: Cobalt Strike, TrueBot, FlawedAmmyy, SDBOT.

9. Pirámide del Dolor

Clop se adapta rápidamente a medidas defensivas, pero atacar sus TTPs (tácticas, técnicas y procedimientos) dificulta su operación.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 4 - Fundamentos de Seguridad de la Información

Introducción:

La seguridad de la información busca proteger la confidencialidad, integridad y disponibilidad de los datos mediante medidas que abarcan tanto medios informáticos como otros formatos.

1. La CID y conceptos básicos

Confidencialidad: Protección contra acceso no autorizado mediante contraseñas y cifrado. Amenazas: Phishing, Spyware, MitM, entre otros.

Integridad: Garantía de datos no manipulados con herramientas como hashes y monitoreo de integridad. Amenazas: SQL injection, falsificación de datos, corrupción de bases.

Disponibilidad: Asegurar el acceso continuo a sistemas con respaldos y redundancia. Amenazas: DDoS, ransomware, sabotaje y fallos de hardware.

2. Ocupaciones de seguridad de la información

Autenticidad: Verificar identidad de usuarios con MFA y certificados digitales. Amenazas: Spoofing y phishing.

No repudio: Uso de firmas digitales para evitar disputas. Amenazas: Manipulación de registros.

Criptografía: Protección de datos con algoritmos como RSA y SHA256. Amenazas: Fuerza bruta y robo de claves.

Control de acceso: Limitación de accesos mediante modelos como RBAC. Amenazas: Escalada de privilegios.

Trazabilidad: Registro de eventos con herramientas SIEM para identificar actividades sospechosas. Amenazas: Falta de visibilidad.

Gestión de riesgos: Identificación y mitigación de amenazas con estándares como ISO 31000.

Cumplimiento: Alineación a normativas como ISO 27001 y GDPR.

Resiliencia: Capacidad de recuperación ante incidentes con planes de BCP/DRP.

Educación y concienciación: Capacitación para mitigar riesgos humanos.

Respuesta a incidentes: Procesos organizados para minimizar daños y recuperar sistemas afectados.

3. Tecnologías utilizadas para la seguridad de la información

Incluyen:

CASB, DLP, EDR, DevSecOps, IDS/IPS, Firewalls, VPNs, SIEM, SOAR, IAM, MFA, cifrado, sandboxing, plataformas de análisis de vulnerabilidades, ATP, y protección contra ransomware.

Soluciones específicas para IoT, blockchain, gestión de parches, análisis estático/dinámico de código, y plataformas de inteligencia artificial para la seguridad de datos.

El capítulo enfatiza la importancia de adoptar medidas técnicas, organizativas y educativas para abordar amenazas emergentes y garantizar una protección integral de la información.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 3 - Estructura de un SOC (Security Operation Center)

Introducción

Un SOC es una unidad centralizada que monitorea y gestiona la seguridad de una organización las 24/7. Su objetivo principal es detectar y responder a amenazas cibernéticas en tiempo real, asegurando la protección de las operaciones empresariales.

Aspectos principales:

Funciones Operativas:

Uso de herramientas como SIEM, EDR/XDR, SOAR y sistemas de monitoreo de red para identificar y responder a amenazas.

Retos: el aumento de la superficie de ataque (trabajo remoto, IA) y exceso de alertas ruidosas.

Funciones Estratégicas:

Alinear objetivos con las necesidades del negocio (gobernanza, cumplimiento).

Implementación de planes de respuesta (ej.: NIST 800-61).

Automatización y creación de playbooks.

Comunicación interna y externa efectiva para mitigar impactos.

Infraestructura y Herramientas:

Tecnologías clave como SIEM (Splunk, QRadar), EDR/XDR (CrowdStrike, Microsoft Defender), NDR, y soluciones de análisis forense (Autopsy, EnCase).

Herramientas de simulación de ataques y monitoreo especializado para nubes.

Gestión de Personal:

Roles organizados por experiencia: analistas, ingenieros, arquitectos, y gerentes.

Desafíos: déficit global de más de 3.4 millones de profesionales en ciberseguridad.

Colaboración Externa:

Relación con CSIRTs (internos, comerciales, nacionales) y MSSPs para delegar funciones de seguridad.

Cumplimiento de normativas y comunicación con entidades regulatorias.

Evolución Continua:

Actualización constante mediante simulaciones (Red/Blue/Purple Teams), capacitación, y análisis de métricas clave (MTTD, MTTR).

Costos aproximados:

SOC pequeño: $50,000-$100,000 USD/mes.

SOC mediano: $100,000-$250,000 USD/mes.

SOC avanzado: $250,000-$500,000 USD/mes.

Conclusión:

El SOC es crucial para proteger a las organizaciones contra el creciente impacto de amenazas cibernéticas como ransomware, cuyo costo promedio alcanza $4.5M USD. Además, contribuye a la confianza en un entorno digital seguro y confiable.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 2 - La evolución del Blue Team: pasado, presente y futuro

Resumen

En este episodio del podcast 'Blue Team sin morir en el intento', se discutió la evolución del Blue Team desde 1950 hasta el futuro. El presentador, José, realizó un análisis exhaustivo dividido en tres partes: el pasado (1950-2010), el presente (2010-2025) y el futuro (2025 en adelante). Se abordaron eventos históricos globales y su relación con la ciberseguridad. Se destacó cómo la Guerra Fría, la creación de ARPANET, y el desarrollo de los primeros virus informáticos marcaron hitos importantes. Se discutieron amenazas modernas como WannaCry y NotPetya, así como la evolución hacia la inteligencia artificial y la computación cuántica. Se enfatizó la importancia de la ciberresiliencia y la adaptación a un panorama de amenazas en constante cambio.

Capítulos

00:02:35 Evolución del Blue Team: El pasado (1950-2010)

Se discutió cómo la Guerra Fría y la creación de ARPANET sentaron las bases de la ciberseguridad. Se mencionó el desarrollo de Creeper y Riper, los primeros virus y antivirus, y cómo las amenazas evolucionaron desde el pirateo telefónico hasta los primeros virus informáticos en disquetes.

00:20:39 Desarrollo de la ciberseguridad moderna (1980-2000)

Se abordó la creación del primer antivirus por John McAfee, el virus Brain, y el gusano Morris. Se discutió cómo la popularización de Internet en los 90 llevó a la segunda generación de ciberataques, destacando el virus Melissa y la creación del primer firewall de estado.

00:43:58 Amenazas contemporáneas y evolución (2000-2025)

Se analizó el impacto del 11-S, la guerra contra el terrorismo, y la evolución de las amenazas cibernéticas. Se discutieron ataques notables como Stuxnet, WannaCry y NotPetya, así como la implementación del GDPR y la creación de CISA.

01:00:03 El futuro del Blue Team (2025 en adelante)

Se exploraron las características de la web 3.0 y 4.0, la computación cuántica, y el crecimiento del Internet de las cosas. Se discutió la evolución de la inteligencia artificial en ciberseguridad y la importancia de la ciberresiliencia.

Elementos de acción

01:10:53José mencionó la necesidad de implementar estrategias de ciberresiliencia en las organizaciones para mejorar la recuperación tras ataques cibernéticos

01:13:15José destacó la importancia de adoptar enfoques de microsegmentación y Zero Trust en la seguridad de redes

01:11:50José recomendó investigar sobre las nuevas amenazas cuánticas y su impacto en la ciberseguridad

01:10:17José sugirió prestar atención a la evolución de la inteligencia artificial en ciberseguridad y su aplicación en defensa predictiva

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 1 - Bienvenidos al Blue Team: Qué hacemos y por qué es crucial

Introducción y Origen del Blue Team

El presentador introduce el podcast dedicado al Blue Team y explica el origen del término, que proviene de los ejercicios militares de guerra (wargaming) donde se dividían los equipos en Red Team (atacantes) y Blue Team (defensores). Se menciona que el término se popularizó en el contexto de ciberseguridad alrededor del año 2000.

00:03:11 - Actividades Clave del Blue Team

Se detallan las actividades fundamentales del Blue Team, incluyendo: recolección de datos para monitorear el comportamiento de sistemas, evaluación de riesgos para identificar vulnerabilidades, implementación de medidas de seguridad, monitorización continua 24/7, gestión de incidentes, evaluación de vulnerabilidades, desarrollo de políticas de seguridad, y administración de herramientas tecnológicas como firewalls, VPNs, y sistemas antivirus.

00:14:23 - Importancia del Blue Team

Se explica por qué el Blue Team es crucial para las organizaciones, destacando: la protección de activos críticos, prevención de pérdidas económicas, mantenimiento de la reputación y confianza de los clientes, y cumplimiento regulatorio. Se menciona un caso real de un banco en Hong Kong donde un ataque coordinado resultó en pérdidas millonarias debido a un Blue Team inadecuado.

00:18:31 - Características Únicas del Blue Team

El presentador enfatiza las características que hacen único al Blue Team: la mentalidad preventiva, la necesidad de pensar como atacantes para proteger sistemas, y la importancia de la capacitación constante para evolucionar en la respuesta a incidentes.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Donde contactarnos:

blueteam.smi@hotmail.com

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.