Agur 2023…Ongi Etorri 2024

domingo, 31 de diciembre de 2023 Sin comentarios

Agur2023

Enviar a un amigo: Share this page via Email
Categories: Navidad Tags:

STOP RANSOMWARE

jueves, 1 de junio de 2023 Sin comentarios

Parte 1

Mejores prácticas de preparación, prevención y mitigación

del Ransomware y la extorsión de datos

 

Me hago ECO de la actualización (Mayo 2023) de un documento muy interesante que publicó CISA (https://www.cisa.gov) en el 2020, en el que nos marcan una serie de pautas de como debiéramos prepáranos a fin de mitigar y responder ante un ataque de Ransomware.

Os dejo un resumen con los titulares y los puntos que me parecen más interesantes. Al final de la publicación esta el link al documento original y otro para descargar el documento traducido.

 Preparación para incidentes de Ransomware y extorsión de datos 

 

  • Mantener copias de seguridad fuera de línea y cifradas de los datos críticos
    • Probar los procedimientos de forma regular
    • Mantener plantillas que permitan reconstruir el sistema.
    • Utilizar una solución multi-nube
    • Almacenamiento inmutable
  • Crear, mantener y ejercitar regularmente un plan básico de respuesta a incidentes cibernéticos (IRP) y un plan de comunicaciones asociado que incluya procedimientos de respuesta y notificación para incidentes de ransomware y extorsión/violación de datos
    • Disponer una copia offline e impresa
    • Notificar en caso de robo de información personal
    • Tener desarrollado un plan de respuesta ante incidentes
  • Implantar una arquitectura de confianza cero para impedir el acceso no autorizado a datos y servicios. Hacer que la aplicación del control de acceso sea lo más granular posible.

Prevención y mitigación de incidentes de Ransomware y extorsión de datos

 

  • Llevar a cabo un escaneo regular de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet, para limitar la superficie de ataque
  • Parchee y actualice periódicamente el software y los sistemas operativos a las últimas versiones disponibles.
    • Priorizar dispositivos con conexiones a Internet
  • Asegúrese de que todos los dispositivos locales, de servicios en la nube, móviles y personales (es decir, traiga su propio dispositivo [BYOD]) estén configurados correctamente y que las funciones de seguridad estén activadas.
  • Limite el uso de RDP y otros servicios de escritorio remoto.
    • Aplicar bloqueos de cuentas, auditar eventos e implementar 2FA
    • Hacer uso de VPN
  • Deshabilite las versiones 1 y 2 del protocolo Server Message Block (SMB)
    • Implementar firma SMB
    • Bloquear cuando se pueda puerto tcp 445 / 137 / 138
    • Registrar y supervisar en busca de comportamiento anómalo 

Vector de acceso inicial: Credenciales comprometidas

 

  •  Implantar una MFA resistente al phishing para todos los servicios, en particular para el correo electrónico, las VPN y las cuentas que acceden a sistemas críticos
    • Implementar sistema por 2 o mas factores de verificación (Pin, reconocimiento facial…)
  • Considere la posibilidad de suscribirse a servicios de supervisión de credenciales que vigilan la Dark Web en busca de credenciales comprometidas.
  • Implantar sistemas de gestión de identidades y accesos (IAM)
  • Implantar un control de acceso de confianza cero creando políticas de acceso sólidas para restringir el acceso de usuario a recurso y de recurso a recurso.
  • Cambiar los nombres de usuario y contraseñas de administrador por defecto.
  • No utilices cuentas de acceso root para las operaciones cotidianas.
  • Implemente políticas de contraseñas que requieran contraseñas únicas de al menos 15 caracteres.
  • Implementar gestores de contraseñas.
  • Aplicar políticas de bloqueo de cuentas después de un cierto número de intentos fallidos de inicio de sesión.
  • Almacene las contraseñas en una base de datos segura y utilice algoritmos hash potentes.
  • Desactivar el almacenamiento de contraseñas en el navegador en la consola de administración de directivas de grupo.
  • Implemente la solución de contraseña de administrador local (LAPS)
  • Protección contra el dumping del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS):
    • Implementar la regla de Reducción de Superficie de Ataque (ASR) para LSASS.
    • Implemente Credential Guard para Windows 10 y Server 2016.
  • Eduque a todos los empleados sobre la seguridad adecuada de las contraseñas en su formación anual sobre seguridad, haciendo hincapié en no reutilizar las contraseñas y no guardarlas en archivos locales.
  • Utilice Windows PowerShell Remoting, Remote Credential Guard o RDP con modo de administración restringido cuando establezca una conexión remota para evitar la exposición directa de las credenciales.
  • Separar las cuentas de administrador de las cuentas de usuario
    • Solo utilizar cuantas de administrador con propósitos administrativos que las requeran.

 

Vector de acceso inicial: Phishing 

 

  • Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios
  • Marcar los correos electrónicos externos en los clientes de correo electrónico
  • Implementar filtros en el gateway de correo electrónico para filtrar correos electrónicos con indicadores maliciosos conocidos
  • Habilite los filtros de archivos adjuntos comunes para restringir los tipos de archivos que suelen contener malware y que no deben enviarse por correo electrónico
  • Implantación de la política de autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) y verificación para reducir los costes.
  • Asegúrese de que las secuencias de comandos de macros están desactivadas para los archivos de Microsoft Office transmitidos por correo electrónico.
  • Desactivar el alojamiento de scripts de Windows (WSH).

 

Vector de acceso inicial: Infección de malware precursor 

 

  • Utilice actualizaciones automáticas para su software antivirus y antimalware y sus firmas.
    • Utilizar solución antivirus gestionada de forma centralizada
  • Utilice listas de aplicaciones permitidas y/o soluciones de detección y respuesta de puntos finales (EDR) en todos los activos
    • WDAC o AppLocker
    • Utilizar listas de aplicaciones permitidas
  • Considere la posibilidad de implantar un sistema de detección de intrusiones (IDS)
  • Supervise los indicadores de actividad y bloquee la creación de archivos maliciosos con la utilidad Sysmon de Windows.

 

Vector de acceso inicial: Formas avanzadas de ingeniería social

 

  • Crear políticas que incluyan formación sobre ciberseguridad
    • Repetir periódicamente la formación
  • Implantar un Sistema de Nombres de Dominio (DNS) protector.
    • Bloquear consultas DNS maliciosas
  • Considere la posibilidad de implantar navegadores aislados

 

Vector de acceso inicial: Terceros y proveedores de servicios gestionados 

 

  • Considerar las prácticas de gestión de riesgos e higiene cibernética de terceros o servicios gestionados.
  • Garantice el uso del mínimo privilegio y la separación de funciones a la hora de configurar el acceso de terceros.
  • Considere la posibilidad de crear políticas de control de servicios (SCP) para los recursos basados en la nube con el fin de impedir que los usuarios o las funciones, en toda la organización, puedan acceder a servicios específicos o tomar acciones específicas dentro de los servicios.

 

Buenas prácticas generales y orientaciones sobre refuerzo 

 

  • Asegúrese de que su organización cuenta con un enfoque integral de gestión de activos
    • Inventariado de activos
    • Conocer cuales son los sistemas más críticos y sus dependencias
  • Aplicar el principio de mínimo privilegio a todos los sistemas y servicios
    • Restringir permisos para instalar/ejecutar software
    • Auditar los Controladores de Dominio
    • Auditar de forma periódica en busca de cuentas inactivas o no autorizadas
  • Asegúrese de que todas las máquinas virtuales e hipervisores están actualizados.
  • Aproveche las mejores prácticas y active la configuración de seguridad en asociación con entornos en la nube, como Microsoft Office 365.
  • Mitigar el uso malintencionado del software de acceso remoto y de supervisión y gestión remotas (RMM)
  • Auditar herramientas de Acceso Remoto que se estén utilizando
  • Emplear medios lógicos o físicos de segmentación de red implementando ZTA y separando varias unidades de negocio o recursos departamentales de TI dentro de su organización y mantener la separación entre TI y tecnología operativa
  • Elabore y actualice periódicamente diagramas de red exhaustivos que describan los sistemas y flujos de datos dentro de la red o redes de su organización
  • Restrinja el uso de PowerShell a usuarios específicos caso por caso mediante la directiva de grupo.
    • Permitir PS solo a usuarios administradores
    • Permitir solo últimas versiones
    • Activar auditorias sobre su uso (Ps Windows Event” “PS Operational”)
    • Monitorizar estos registros en busca de acciones maliciosas
  • Asegurar los controladores de dominio (DC).
    • Realizar auditorias para comprobar la robusted de los mismos
    • Controlar grupos administradores y restringir acceso a los mismos
    • Impedir acceso a Internet.
    • Limitar autenticación NTLM y WDigest
    • Activar EPA (Extended Protection Authentication)
    • Rechazar respuesta LM y NTLM
    • Activar protecciones adicionales para Autenticación LSA para prevenir inyección de código
  • Conserve y proteja adecuadamente los registros de dispositivos de red, hosts locales y servicios en la nube.
    • Gestión centralizada de eventos.
  • Establezca una línea de base de seguridad del tráfico de red normal y ajuste los dispositivos de red para detectar comportamientos anómalos.
  • Realizar evaluaciones periódicas para garantizar que los procesos y procedimientos están actualizados y pueden ser seguidos por el personal de seguridad y los usuarios finales.

 Parte 2

 

Lista de comprobación de la respuesta al Ransomware

 

y la extorsión de datos

Detección y análisis

 

  1. Determinar qué sistemas se han visto afectados y aislarlos inmediatamente.
    1. Tener definido un plan para aislar sistemas críticos
    2. Los malos pueden estar monitorizando nuestras acciones para ver si han sido detectados(utilizar otros canales de comunicación)
  1. Apague los dispositivos si no puede desconectarlos de la red para evitar una mayor propagación de la infección del ransomware
    1. Solo si no podemos desconectar los equipos de la red para evitar perder evidencias
  1. Clasificación de los sistemas afectados para su restauración y recuperación
    1. Priorizar los sistemas críticos a restaurar en base a una lista definida.
  1. Examinar los sistemas de detección o prevención existentes en la organización (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y los registros.
    1. Buscar el vector de entrada y bloquearlo
    2. Estar seguridad de erradicar el malware antes de restaurar sistemas.
  1. Reúnase con su equipo para desarrollar y documentar una comprensión inicial de lo ocurrido basada en el análisis inicial.
  1. Iniciar actividades de caza de amenazas.
    1. Cuentas AD recién creadas privilegiadas
    2. Inicios sesión VPN sospechosos
    3. Uso indebido de herramientas de sistema
    4. Evidencias de herramientas C&C
    5. Uso de Powershell
    6. Enumeración de Credenciales
    7. Comunicaciones inesperadas
    8. Indicios de filtración de datos
    9. Servicios Recién creados, tareas programadas, software instalado…
    10. En la nube
      1. Detectar modificaciones en los recursos

 Informes y notificaciones

 

  1. Siga los requisitos de notificación descritos en su plan de comunicación y respuesta a incidentes cibernéticos para involucrar a los equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden proporcionar para ayudarle a mitigar, responder y recuperarse del incidente.
    1. Compartir información y mantener informadas a todas las partes de forma periódica
    2. Notificar el incidente a los organismos que competan.
    3. Recuperar todas la evidencias (archivos maliciosos, RAM,registros, IOC…)
  1. Si el incidente ha dado lugar a una violación de datos, siga los requisitos de notificación establecidos en sus planes de comunicación y respuesta a incidentes cibernéticos.

 

Contención y erradicación

 

  1. Tomar una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados. (por ejemplo, estaciones de trabajo, servidores, servidores virtuales y servidores en la nube).
  1. Consulte a las fuerzas de seguridad federales, incluso si es posible adoptar medidas paliativas, sobre los posibles descifradores disponibles,

 

Seguir tomando medidas para contener y mitigar el incidente

 

  1. Busque orientaciones fiables para la variante concreta de ransomware y siga los pasos adicionales recomendados para identificar y contener los sistemas o redes que se haya confirmado que están afectados.
  1. Identifique los sistemas y cuentas implicados en la violación inicial.
  1. Sobre la base de los detalles de la violación o compromiso determinados anteriormente, contener los sistemas asociados que puedan utilizarse para un acceso no autorizado posterior o continuado.
    1. Desactivar redes virtuales, accesos remotos…
  1. Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de identificación rápida del cifrado de datos del lado del servidor.
    1. Revisar las sesiones de quien esta accediendo
    2. Revisar los eventos
  1. Realizar un análisis ampliado para identificar los mecanismos de persistencia «outside-in» y «inside-out»
  1. Reconstruir los sistemas basándose en la priorización de los servicios críticos
  1. Emitir restablecimientos de contraseñas para todos los sistemas afectados y abordar cualquier vulnerabilidad asociada y brecha en la seguridad o visibilidad una vez que el entorno haya sido completamente limpiado y reconstruido,
  1. La autoridad de TI o de seguridad de TI designada declara el incidente de ransomware finalizado en función de los criterios establecidos, que pueden incluir la adopción de las medidas anteriores o la búsqueda de ayuda externa. 

 

Recuperación y actividad posterior al incidente

 

  1. Reconectar los sistemas y restaurar los datos a partir de copias de seguridad encriptadas fuera de línea, basándose en una priorización de los servicios críticos.
  1. Documentar las lecciones aprendidas del incidente y de las actividades de respuesta asociadas
  1. Considere la posibilidad de compartir las lecciones aprendidas y los indicadores de compromiso relevantes

Fuente Original: https://www.cisa.gov/sites/default/files/2023-05/StopRansomware_Guide_508c%20%281%29.pdf

Documento traducido: StopRansomware_Guide_508c-ES

Enviar a un amigo: Share this page via Email
Categories: Ransomware, Seguridad Tags:

Agur 2022…Ongi Etorri 2023

sábado, 31 de diciembre de 2022 Sin comentarios

Agur 2021...Ongi Etorri 2022

Enviar a un amigo: Share this page via Email
Categories: Navidad Tags:

4ª Edición Concierto ROCK & ROLL Solidario – Eurengatik / Por ellos

jueves, 29 de diciembre de 2022 Sin comentarios

www.rocksolidario.org

Otro año más y con éste ya son 4, me complace anunciar que vamos a celebrar el concierto Rock&Roll solidario, el mejor regalo de Reyes.

  • Un concierto en beneficio, una vez más, de asociaciones relacionadas con las enfermedades infantiles
  • Tendrá lugar el viernes 13 de enero a las 7 de la tarde en la sala Stage Live de Bilbao
  • Con las actuaciones de Reverendo G´s Band. The Associados y Rufus
  • Entradas por 10 € en www.entradium.com y Golfo Norte (también disponible fila 0). La recaudación íntegra se destinará a beneficio de Asociación Desafía Dravet, Aspanovas y Voluntechies.

El próximo 13 de enero de 2023 se celebrara por cuarto año consecutivo lo que ya viene convirtiéndose en una tradición: el concierto solidario en el que unos grupos de rock, aficionados o semiprofesionales y un público entregado donan su tiempo y la pequeña contribución de la entrada a la solidaridad con los más pequeños.

Con dedicación, pocos medios y de forma desinteresada, un puñado de personas convirtieron esta pequeña ilusión en un evento que se consolida año tras año y al que poco a poco, medios y entidades de todo tipo contribuyen para que crezca y renueve su primer éxito.

 

En beneficio de:

 

ADD. Asociación desafía Dravet, asociación cuyo objetivo es mejorar la calidad de vida de los niños afectados por el Síndrome de DRAVET y enfermedades asociadas así como promover proyectos de investigación para lograr una cura.

El síndrome de Dravet es una de las llamadas enfermedades “raras”, una canalopatía infantil con crueles consecuencias en el día a día de las familias en las que está presente y con un progresivo y acusado deterioro cognitivo y motriz de los niños que hoy día no tiene cura y en muchos casos fatales consecuencias.

www.desafiadravet.com

Aspanovas Bizkaia. Asociación de padres de niños con cáncer de Bizkaia. El colectivo objeto de intervención de ASPANOVAS Bizkaia es el menor y su familia en su dimensión psicosocial, poniendo énfasis en la mejora de la calidad de vida de todos los niños afectados de cáncer, dirigiendo sus esfuerzos a la normalización en todas las facetas de su vida diaria.

Así, trabaja para que la atención sanitaria, social y educativa llegue en igualdad de condiciones a todos los niños y conseguir crear y potenciar foros de encuentro y actividades que ayuden al entendimiento y sensibilización de la problemática con la que una familia se encuentra cuando un hijo es diagnosticado de cáncer.

aspanovas.org

Voluntechies. Talleres de realidad virtual para ayudar a las personas

En Voluntechies se utilizan las nuevas tecnologías para mejorar la vida de las personas, y en particular de aquellos que más lo necesitan como los niños hospitalizados y también personas mayores.

A través de talleres con Realidad Virtual ofrece una innovadora experiencia inmersiva  para que estas personas puedan olvidarse por un momento del dolor, la enfermedad o la soledad, para disfrutar y evadirse de su realidad cotidiana.

www.voluntechies.org/

Estas asociaciones sin ánimo de lucro percibirán de forma equitativa todo lo recaudado en el evento.

 

Grupos Participantes :

 

Los 3 grupos colaboradores son

Reverendo G´s Band grupo aficionado country-folk quienes colaborán con el evento Rock&Roll Solidario.

The Associados. Grupo de rock; sexteto de versiones de grandes clásicos del Rock desde los años 70 en adelante. También presente en las anteriores ediciones.

Entre el repertorio caben destacar temas de ZZ Top, Rolling Stones, Pink Floyd, Stereophonics, Dire Straits, Police, Bruce Sprinsteen, Tom Petty, The Doors…… o alguna versión de la Creedence y de Neil Young

Rufus. Se forma a principios de 1.980 como derivación del grupo «Rufus T. Farfly», enmarcado dentro de un estilo de finales de 1.970 denominado Rock Sinfónico. A partir de ese momento con el quinteto definido y con el nombre reducido a RUFUS, el grupo comienza a evolucionar musicalmente pasando del rock sinfónico hacia formatos cada vez mas pop-rock, hasta llegar en su evolución a la practica de una música que podíamos denominar como «POP-DURO».

 

Fecha, Hora y Lugar:

 

El 13 de enero de 2020 a las 19 horas en la Sala Stage Live, en Uribitarte 8, BILBAO.

En los cambios de grupo se sortearán los regalos donados incluyendo alguna sorpresa. Entradas : https://entradium.com/events/4-edicion-rock-roll-solidario-eurengatik-por-ellos-bilbao

Enviar a un amigo: Share this page via Email

Agur 2021…Ongi Etorri 2022

viernes, 31 de diciembre de 2021 Sin comentarios

Enviar a un amigo:

Share this page via Email
Categories: Navidad Tags:

ME ESTAN INTENTANDO ESTAFAR : FNAC+ CELSIDE + HUBSIDE

miércoles, 1 de diciembre de 2021 Sin comentarios

FNAC + CELSIDE + HUBSIDE


FNAC CELSIDE HUBSIDE ESTAFA

 

Esto que voy a contar es real y lo hago con un doble propósito.

Por un lado, el advertir a la gente ahora que estamos en post Black Friday, que si se han pasado por el FNAC y además del dispositivo que iban buscando han salido con el paquete seguro CELSIDE + HUBSIDE, estén atentos por favor a los que voy a contar para evitar el desgaste que puede suponer a futuro.

Por otro lado me parece un caso muy trabajado de ingeniería Social adaptado al negocio moderno con un gran trabajo de malas prácticas a fin de conseguir beneficios.

Y lo voy a ir describiendo en tiempo real a modo de estudio según vayan aconteciendo los hechos.

Como para mi es algo nuevo, quiero comprobar las herramientas de que disponemos los usuarios para lidiar con este tipo de triquiñuelas.

Esta historia que os voy a contar empieza en el mes de Marzo de lo más normal. Una empresa que transmite confianza como FNAC intentado vender un valor añadido a un producto a través de un seguro (CELSIDE), más un paquete que no está muy claro que ofrece (HUBSIDE) pero que en ese momento parece formar parte del mismo seguro.

Lo cierto es que los nombres generan cierta confusión CEL – HUB + SIDE. Luego ya me entero que forman parte del mismo grupo (SFAM) y que son uno de los mayores acciones de FNAC.

Tal como te lo vende el empleado de FNAC no se ven más que ventajas. Quizás note excesivo interés e ímpetu en la venta de estos servicios. Luego también uno se entera de esa comisión por venta de contrato y como son adoctrinados para ello.

Primer mes gratis con el contrato CELSIDE (Intensive plus) (19.99€)  + HUBSIDE Exclusive (24,99€) y antes de que finalice el mes debiendo llamar para cancelar, modificar o continuar. Todo ello con una oferta de bienvenida de 30€, por no hablar del móvil que se supone me iban a regalan y tenia que escoger de un amplio catálogo:).

Simplemente con el primer despiste en esa primera llamada por parte de muchos la jugada puede empezar a ser maestra y rentable (nada nuevo), pero en mi caso me apunte la fecha para intentar no caer, y llegado el momento modificar ese contrato premium por el Small (3,90€) que cubría mis intereses.

Y efectivamente así lo hice. Por un lado llamar para modificar el seguro al paquete básico, y por otro cancelar el paquete HUBSIDE ESCLUSIV que personalmente no me aportaba nada.

Hasta este momento todo parecía normal. Pero compañeros aquí es donde se empieza a torcer todo.

No quiero entrar muy en detalle porque tiene mucha más miga el asunto (regalo de móvil o servicio de sustitución pasado el año por uno superior), pero de repente de deber estar pagando esa pequeña cantidad pactada, se convierte en algo variable dependiendo del mes y las llamadas para reclamar el asunto. Por ejemplo 3,90€ + 9,99€ + 29,90€ + 29,90€ en Junio + el contrato de HUBSIDE (24,99€) que sigue coleando.

La primera explicación que se me ofrece por parte de CELSIDE es la de que han migrado mi contrato de forma unilateral a otro más ventajoso (entiendo que para ellos), y por ende mucho más caro.

Según me informan en una de las varias reclamaciones, han intentado contactar conmigo por correo y teléfono sin éxito para informarme del cambio que de una manera unilateral habían decidió por su parte. Supongo que no tendrán problema en presentar todos esos correos y llamadas como justificación.

Eso se podría discutir, pero donde no hay discusión alguna es en que yo haya firmado ningún tipo de modificación de contrato.

De todas formas amablemente me comentan que solucionaran el malentendido generado, y que en un plazo de 3 semanas iba a disponer del ingreso pertinente en mi cuenta. Supongo que serán semanas en otro plano de tiempo astral porque de esto último han pasado unos cuantos meses.

A la vista de que no verse una solución, vuelta a llamar repitiendo el proceso hasta en 4 ocasiones y en todas ellas nuevamente la misma respuesta.

Y es curioso porque me intentan convencer, y una vez vuelto a explicar todo con evidencias, nuevamente misma respuesta: En el plazo de 24/48 horas nos pondremos en contacto con usted para darle una respuesta.

Curioso es que tampoco se me da opción de poner ninguna reclamación ni se me facilite ningún tipo número de incidencia para poder seguir el caso.

Precisamente hoy he vuelto a llamar porque sigue sin solucionarse el asunto. Y sabéis que…misma respuesta.

Como tengo una nariz muy grande que supongo me ayuda a desarrollar mi olfato, me da por aplicar conceptos avanzados de OSINT y lanzar una simple consulta en Google: fnac celside hubside.

Y que es lo que primero que me encuentro. Frases como el timo de HUBSIDE y CELSIDE, reclamación a FNAC a la OCU, muchas páginas en las que la gente describe como ha sido victima por comprar en Fnac…

Pero hay una noticia del ya por aquel 2019 que tiene como titular lo siguiente:

«Fnac «regala» el seguro para móviles de una empresa sancionada por prácticas engañosas en Francia»

Y que cuenta cosas tan interesantes como las siguientes:

«La Dirección de Competencia y Asuntos del Consumidor de su gobierno investigó y el pasado mes de junio impuso una multa de 10 millones de euros a la aseguradora, llamada SFAM, que ha debido reembolsar todos los cargos no deseados. Para los investigadores, las técnicas de venta eran engañosas. También encontraron documentos que probaban que la compañía «trabajó deliberadamente» para suscribir a clientes sin su consentimiento expreso»

Ahora la pregunta que me lanzo es la siguiente: ¿Estamos tan indefensos como consumidores que no podemos hacer nada al respecto con todo lo presentado por tanta gente?.

Evidentemente la respuesta tiene que ser NO.

También me lanzo otro tipo de preguntas:

¿De verdad que para empresas como FNAC son ventajosas a futuro este tipo de practicas?.

Igual es que estoy muy centrado en la tecnología y este tipo de asuntos escapan a mi compresión.

 

ACTUALIZACIÓN 04/12/2021

Siguiendo con la saga, y no siendo necesario el ser un lince, esa esperada y prometida llamada que iba a recibir en 24/48 horas, parece que ha vuelto a quedar en saco roto.

Como consumidor medio inexperto ante situaciones de este tipo, mi siguiente acción es recurrir a terceros actores para agilizar y mediar ante esta desagradable situación. Uno ya tiene una edad en la que además es necesario el comprar algo de tiempo.

Y lo hago por un doble sentido: Por un lado repartir el desgaste al que someten al consumidor apoyándome en empresas mas versadas en estos menesteres, a la vez que quiero dejar esa miga de pan que pueda marcar el camino a futuras personas que puedan vivir situaciones similares.

Por ello expongo mi caso ante la OCU a fin de que actúen como mediadores.

Sabiéndolo de antemano, no es ninguna sorpresa el enterarme de no ser el primero en ejecutar una denuncia contra ese holding FNAC/CELSIDE/HUBSIDE (SFAM).

Es mas, navegando por Internet veo que Manuel Burque comparte una experiencia similar en la que expone como ha sido estafado por comprar en FNAC.

Sin realizar mucho esfuerzo en mis búsquedas, veo mucha gente contando experiencias desagradables vividas con CELSIDE.

Ya no solo es el que te cobren lo que quieran o no te hagan caso alguno a tus reclamaciones, sino que si tienes la mala suerte de sufrir un siniestro no parecen ser muy resolutivos que parezca: https://es.trustpilot.com/review/www.celside.com

Esta claro que mi caso simplemente es esa punta que asoman de ese gran Iceberg.

Desde la web SegurosNews veo que también publican un articulo en la que SFAM (que es quien me factura) cuyo titular es:

El Consejo General denuncia un intento de fraude de SFAM al comercializar seguros para móviles.

Como he prometido seguiré informando de los devenires de este asunto por parecerme importante dar la visibilidad que se merece.

Espero a su vez que sirva para mostrar una foto de la realidad que uno vive cuando tiene que mediar con un problema de este tipo.

 

ACTUALIZACIÓN 21/12/2021

Continuando con esta saga, comentar que hace un par de semanas ambas empresas se pusieron con contacto conmigo.

Desde Celside Insurance Spain se me informo y confirmo que ya estaba el tema aclarado y solucionado, a la vez que se me aseguro firmemente que se iba efectuar el ingreso de una determinada cantidad que ellos habían estimado.

En esa misma llamada ya quedo claro que esa cantidad estimada no estaba bien calculada, pero me confirmaron que ese primer ingreso se iba a realizar de forma inmediata a la vez que iban a revisar el resto de recibos los cuales envié extracto para que dispusieran del detalle y pudiesen atinar en las cuentas (esto último no es la primera vez que lo hago).

Desde HUBSIDE también se pusieron en contacto conmigo, y de igual modo me confirmaron que iban a realizar una gesto comercial hacia mi persona en forma de devolución de todos los recibos pagados.

A día de hoy, es decir 2 semanas más tarde, y entendiendo por mi parte que ha pasado un tiempo mas que prudencial aun sigo esperando ambos ingresos.

Sin dedicar mucho tiempo a pensar uno llega de forma sencilla a la conclusión de la cantidad de dinero que estás empresas pueden llegar a obtener simplemente por la vía del agotamiento al consumidor, a sabiendas de que este justifica con pruebas solidas su razonamientos quedando evidenciadas malas prácticas o de índole muy dudosa.

Pero es claro que este no va a ser el escenario para conmigo. Me gusta sentir que puedo defenderme ante acciones injustas. En reiteradas ocasiones he comentado la rabia que me generan los abusos de poder ante situaciones poco equilibradas entre ambas partes.

Grandes empresas apoyándose en ese musculo que les gusta desplegar a fin de amedrentar al pequeño consumidor quien se siente completamente desprotegido y sin opciones.

Además me alucina que sigan saliendo casos y casos, y se publiquen noticias y noticias al respecto y no se tome ningún tipo de medida al respecto. Internamente la verdad es que me surgen ciertas preguntas a las que me cuesta dar respuesta.

Desde Hipertextual por ejemplo han publicado un interesante articulo que titulan «HUBSIDE, EL REGALO ENVENENADO QUE TE CUEKA FNAC CON UN SEGURO PARA MÓVILES» (https://lnkd.in/d2FAEPwu) en el que dan una muestra de las practicas engañosas ya denunciadas en Francia y por la que ya recibieron una multa de 10 millones de Euros en el 2019.

Quien sabe. Igual simplemente lo estén dilatando en el tiempo para que cuadre como regalo de navidad.

 

ACTUALIZACIÓN 08/02/2022

Antes de nada dar las gracias a todos los que estáis siguiendo este hilo. A ver si poco a poco llegamos a los 10k.

Lo cierto es que es una pena el seguir recibiendo mensajes de gente desesperada, frustrada e impotente que se encuentra en mi misma situación.

A todos vosotros os confirmo que ni mucho menos he desistido, sino que sigo en plena batalla entiendo dando los pasos necesarios a fin de dar respuesta a esta incomprensible situación.

Lo último que os comente es que había puesto en manos de la OCU la reclamación (Expediente: 03162950). En su momento me informaron de la necesidad de dejar ese margen de 30 días que iba a necesitar antes de recibir respuesta.

Y esa respuesta llego ayer y os la adjunto literal.

Según Hubside : En cuanto a la solicitud de devolución de cuotas, al no haber utilizado de forma activa su contrato, nuestros asesores procedieron a validar un reembolso por valor de 74,97€ a fecha 7 de diciembre de 2021. Este importe será ingresado en un plazo estimado de 35 días hábiles.

Según Celside : Nuestros asesores procedieron a validar un reembolso por valor de 74.97€ en concepto de prestaciones de servicio y su evolución a fecha 7 de diciembre de 2021. Este importe será ingresado en un plazo estimado de 35 días hábiles. En cuanto a la oferta de bienvenida de 30€, esta únicamente es disponible para modalidades INTENSE. Al cambiar de modalidad, ya no es elegible para la oferta.

Dos servicios completamente «independientes» en los que recibo una respuesta sospechosamente similar. Se ve que mucho interés no están poniendo en resolverlo.

Como se puede ver el departamento jurídico de ambas empresas dicta que la cantidad que se me debe reembolsar es de 74,97€ y en las mismas fechas.

¿No os suena raro?. Además para ser una aseguradora no parece que se les den bien las cuentas porque no han dado una, o quizás se les den demasiado bien:) ¿De dónde habrá salido ese importe?.

Por otro lado el discurso que le dan a la OCU como estáis viendo es el mismo que llevo escuchando los últimos meses. A 7 de Diciembre en el plazo de 35 días se ejecutara el ingreso.

Estamos a 08/02 y en mi cuenta no ha entrado nada.

Esta claro que Intentan desesperar a la gente a fin de que desista.

Yo soy mas de vías amistosas, pero visto que no termina de avanzar la película y su predisposición en ayudar, ahora toca arrancar la vía judicial además de poner denuncia por ESTAFA ante la unidad de Delitos Telemáticos UCO – Guardia Civil, porque ahora si que realmente me esta pareciendo una verdadera estafa.

Supongo que les debe de salir rentable el seguir con este tipo de practicas con las que parecen campar impunemente. Entiendo que a Celside y Hubside seguro, ¿pero a un Fnac le compensa la imagen que esta proyectando?.

Supongo que serán nuevas estrategias de Marketing y comunicación de tiempos modernos que no termino de entender.

ACTUALIZACIÓN 27/05/2022

Recupero este hilo porque parece que no termino de cerrar este tema.

Algo hemos avanzado porque al menos HUBSIDE ha devuelto lo que no era suyo, pero de momento no escucho mas que promesas por parte de Celside Insurance Spain que apelando al buen afán de las personas siguen con promesas incumplidas.

En vez de devolverme lo que realmente se me debe, lo hacen con cacahuetes a lo mono complaciente aplaudiendo se deben de pensar.

Exactamente me han devuelto la friolera de 74,97€. Evidentemente es una forma clara de asumir su culpa, pero unas matemáticas de primero les debieran dar para entender que las cuentas no terminan de cuadrar.

Algo que empieza a molestarme porque recibo llamadas complacientes en las que se repite su discurso una tras otra vez. «No se preocupe caballero que el rembolso completo esta aceptado y lo vera aplicado en su cuenta en pocos días». Reconozco que esa parte la tienen muy bien trabajada.

A saber en que cuenta termina aterrizando ese dinero. Lo que tengo claro es que no es la mía.

Dicho esto, Celside Insurance Spain voy a recuperar lo que indique en el último mensaje publicado al respecto:

«Yo soy mas de vías amistosas, pero visto que no termina de avanzar la película y su predisposición en ayudar, ahora toca arrancar la vía judicial además de poner denuncia por ESTAFA ante la unidad de Delitos Telemáticos UCO – Guardia Civil porque ahora si que realmente me esta pareciendo una verdadera estafa.»

Y lo hago porque ya son varias las personas que se han puesto en contacto conmigo indicándome que les esta pasando esto mismo.

Es más, los mismo trabajadores los se empiezan quejarse de las prácticas abusivas que les obligan a aplicar desde Celside Insurance Spain.

To be continued…

 

ACTUALIZACIÓN 02/12/2022


Vuelvo a recuperar este hilo porque sois muchos los que me estáis preguntando en relación a la estafa que vengo sufriendo por parte de la empresa SFAM LIMITED.

Empresa que después de liarla en Francia, recibiendo una multa de 10 millones de euros por malas prácticas, decide aterrizar en España de la mano de HUBSIDE Celside Insurance operando con la misma mala praxis e impunidad.

Si seguís el hilo os acordareis que personalmente el regalo envenenado me llego por parte de Fnac quien forma parte del grupo SFAM, y a quienes consideraba tener la suficiente elegancia como empresa como para tener que rebajarse a ese tipo de prácticas con sus clientes.

Bien es cierto que a raíz de los miles de denuncias que han venido sufriendo por parte de los usuarios, parece que su relación ya no es tan cordial y es el propio Fnac quien rompe vínculos aconsejando cancelar los seguros contratados con Celside Insurance y HUBSIDE.

A esto sumamos que otras empresas, como la de la manzana mordida que también operaban con ellos al menos en determinadas tiendas oficiales, a día de hoy no quieren ni oir hablar de SFAM dada su nefasta experiencia.

Por no hablar de algún toque que la Agencia Española de Protección de Datos por denuncia de usuaria, canales de Telegram con cientos de afectados, peticiones en plataformas como change.org o cualquier tipo de medio por el que los usuarios comparten nefastas experiencias a fin de poder terminar con esta amarga pesadilla.

Dicho esto y habiendo buscado una solución de forma personal y amistosa, posteriormente bajo la tutela de la OCU para buscar mediación y finalmente bajo denuncia por estafa presentada en la comisaria de la policía, y la vista de que nada de ello les ha hecho reaccionar, siguiendo los cánones establecido ahora toca presentar denuncia por vía judicial.

Denuncia que ya tengo preparada para entregar en el juzgado, y sepáis que como el importe es inferior a 2.000€ no se requiere de abogados ni procuradores.

De momento hasta aquí puedo leer pero tengo el voto de confianza que doy a la justicia, porque entiendo que esta no puede permitir que empresas poderosas puedan aplicar el mandato de su poder saltando las leyes escritas ninguneando a los consumidores.

Saludos

Enviar a un amigo:

Share this page via Email
Categories: Estafa Tags: , , , , , ,

Gestión Incidente de Seguridad MAPFRE

martes, 13 de abril de 2021 Sin comentarios

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

  • Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
  • Esa contraseña permite acceso al puesto virtual

1-7 Agosto

  • Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
  • Se obtiene credenciales de usuario privilegiado

1-11 Agosto

  • Se analiza la red, servidores de ficheros y recursos compartidos
  • Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

  • Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
  • Se ejecuta de forma remota el archivo
  • Se identifica con la monitorización y se activa el protocolo de alto impacto.
  • Se abre el procedimiento de gestión de incidentes
  • Se activa el comité de crisis
  • Se activan los planes de continuidad de negocio
  • Se activa call permanente con personal del área de seguridad y tecnología
  • Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
  • Apagar todos los servidores no imprescindibles
  • Sacar de línea la copia de Backup y aislar segmentos de red
  • Cortar conexiones desde Mafre hacia el resto de las empresas
  • Limitar el número de conexiones remotas a un reducido número de usuarios
  • Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

  • Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
  • Se confirma la integridad y disponibilidad del Backup
  • Se trabaja en la estrategia para recuperar los servicios
  • Se busca apoyo en terceras empresas
  • Resetear contraseñas de administradores y reducir usuarios admin
  • Se aumentan las capacidad de monitorización, detección y respuesta
  • Se consigue identificar y aislar el malware, se envía para análisis
  • Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
  • Llega personal de refuerzo a los Contact Center para atender a los clientes
  • Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
  • Se publica en la Web un comunicado del ciberataque

16 Agosto

  • Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
  • Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

  • Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
  • Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

  • Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

  • Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

  • Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

  • Todos los puestos están operativos

13 Septiembre

  • Estar prácticamente todos los elementos de la red restaurados

21 septiembre

  • Nueva comunicación con la AEPD para informar

23 Septiembre

  • Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

  • Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

  • Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

  • Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

  • Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

  • Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
  • Uso de herramientas sofisticadas de hacking
  • Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

  • En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
  • Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
  • Se activó el plan de continuidad del negocio
  • Convocar el comité de crisis
  • Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
  • Restablecer los servicios más críticos
  • Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
  • Contactar con fabricantes de seguridad para establecer un plan de refuerzo
  • Refuerzo en la detección de los ataques en política Antivirus
  • Mejorar la protección AntiSpam
  • El uso por todos de 2FA
  • Incrementar las capacidad de monitorización y respuesta ante incidentes
  • Aumentar las restricciones para navegar por internet
  • Incluir los IOC en todas las plataformas y filtros de Seguridad
  • Mejorar la prevención de ataques DDoS
  • Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

  • IdUsuario + contraseña (Datos básicos)

COMUNICADOS

  • Comunicar públicamente la situación a las pocas horas de conocerla
  • Comunicado en la Web
  • Locución en el Contact Center
  • Mensaje en Redes Sociales
  • Comunicados a empleados
  • Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

  • Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
  • Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
  • Se definió un plan de auditorías

MEDIDAS POSTERIORES

  • Comprobar la creación de un Golden Ticket.
  • Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

  • Determina si se disponían de medidas de seguridad razonables
  • Si existen auditorias para el cumplimiento de la RGPD
  • La información que se ha Exfiltrado y si esta estaba protegida.
  • El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
  • Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD

Enviar a un amigo:

Share this page via Email
Categories: Seguridad Tags: ,

C1b3rWall 2020

domingo, 31 de enero de 2021 3 comentarios

 

Dar las gracias tanto a Casimiro Nevado como a Carlos LOUREIRO MONTERO por ser los participes de montar una acción formativa en ciberseguridad de esta índole.

Y no solo a ellos, sino a todos los que sabemos que entre bambalinas han echo posible algo como C1b3rWall.

Agradecer a todos los ponentes que nos han dedicado parte de su tiempo y conocimiento de forma tan altruista. No hay libro que supla tal experiencia acumulada.

Mas allá de certificados, dar las gracias por darme la oportunidad de conocer tanto talento y crear contactos. Es de agradecer que prime más la voluntad de ayudar que el Ego de aparentar. Grandes profesionales.

Personalmente también he querido aportar parte de mi tiempo, intentando ser ese pequeño altavoz que simplemente pretendía amplificar y hacer llegar las charlas a tod@s aquellos que no han tenido la suerte de poder participar.

No perdamos nunca la curiosidad por aprender, porque es nuestra mejor herramienta para estar preparados ante retos futuros.

Somos muchos los que hemos tenido la fortuna de estar inscritos en C1b3rWall Academy, pero también son muchos los que se han quedado fuera.

Leer más…

Enviar a un amigo: Share this page via Email
Categories: C1b3rwall Tags: ,

Agur 2020…Ongi Etorri 2021

jueves, 31 de diciembre de 2020 Sin comentarios
Enviar a un amigo: Share this page via Email
Categories: Presentación Tags:

FORTINET: Un paseo por el nuevo FotiOS 6.4

miércoles, 3 de junio de 2020 Sin comentarios

Este va a ser un articulo desde el punto de vista de un NO experto para todos los que queráis empezar a trastear con la nueva versión de FortiOS que nos esta presentando fortinet, y ver de este modo las nuevas funcionalidades con las que os vais a encontrar.

Como siempre arranco comentando que no soy experto en nada, pero al menos me gusta tener una idea de como funcionan las cosas para al menos disponer de cierto criterio a la hora de verter mis opiniones.

Lo cierto es que lo estoy probando la nueva serie que FortiGate que esta presentando, en concreto estoy jugando con el 40F (equipados con hardware específico SOC4), complementándolo con un FortiSwitch. A ver si me puedo hacer con un FortiAP para ir trasteando con mas dispositivos y ver hasta donde podemos llegar con el concepto fabric.

Afirman que con esta nueva versión 6.4 han optimizado el código por lo que los actuales equipos, que sean compatibles con la misma, van a poder extender su potencial. Por ejemplo el número máximo de FortiAP que puede gestionar, lo cual es algo siempre de agradecer. Generalmente suele suceder lo contrario cuando subimos de versión terminando estos por no aguantar y quedarse fuera de ciclo.

Mi idea es tener un entorno LAB sobre el ir probando y conociendo nuevas funcionalidades viendo lo maduras o interesantes que pueden llegar a ser estas para poder ser aplicadas en entornos mas productivos.

Ya sabéis que Fortinet lleva años trabajando en su concepto de Fabric en el que integrar diferentes dispositivos además de nuestro viejo conocido Fortigate.

Tambien quieren avanzar en el concepto de Next Genaration Firewall (NGFW) simplificando la transformación digital a la que nos enfrentamos.

Ya os he comentado que en mi caso arranco con el Fortigate y el FortiSwitch pero la idea seria intentar seguir integrando nuevos dispositivos para adentrarnos en el concepto Fabric.

Vemos que el Fortigate tiene definido un puerto como A (link) sobre el que conectar el FortiSwitch a la última de sus bocas, y de esta forma integrarlo en su concepto Fabric. Tomo muy sencillo.

Aquí aparece una de las primeras novedades en esta versión y es que nos aparece un NAC integrado dentro de la consola del Fortigate.

Lo cierto es que una vez cargada la versión 6.4 la integración con el Switch es sencilla y disponemos ese entorno de NAC con su vlan de quarentena que me sirve para empezar a jugar. Es de agradecer este tipo de integraciones aunque sean básicas. A partir de ese momento podemos configurar los puertos de nuestro FortiSwitch para que funcionen en modo NAC.

No he podido probar la parte de FortiSwitch en versiones anteriores pero comentan que han simplificado mucho la configuración de los mismos. La verdad es que en un primer contacto para hacer cosas básicas como jugar con Vlan (gui) o Port Mirroring (cli) todo fácil:

config switch-controller managed-switch
edit S524DF4K15000024
config mirror
edit 2
set status active
set dst port1
set switching-packet enable
set src-ingress port2 port3
set src-egress port2 port3
next
end
next

Aquí por supuesto podríamos tener un FortiNAC externo que se integraría como solución, pero ya os digo que para algo pequeño o poder implementar en las sedes remotas puede ser una opción.

Una vez levantado lo básico, podemos configurar la parte del FortiCloud para enviar nuestros logs ya que se incluye una licencia gratuita para almacenar logs durante 7 días.

En mi caso la integración con la parte Cloud me dio errores, y abriendo el caso con soporte se soluciono ejecutando:

config system fortiguard
set fortiguard-anycast disable
end

Si lo vais a integrar con el FortiAnalyzer tener cuidado con la interface que envia la info porque igual tenéis que cambiar este parte por ccli para que lleguen los logs al Analyzer:

config log fortianalyzer setting
set status enable
set server «Server_IP»
set certificate-verification disable
set source-ip «Source_IP»
set upload-option realtime
end

Forti comenta que mejora la conectividad con el Analyzer. Yo estoy probando también esa parte por lo que lo iremos viendo.

En este apartado he de decir que el tema ha mejorado mucho si lo comparamos con primeras versiones en las que era infumable. Parece que se han puesto un poco las pilas. Y como para no ponérselas con lo que estaba apareciendo en el mercado.

Hablando del Analyzer vais a ver ahora que incluyen a modo de Demo lo que ellos llaman SOC. Ese concepto que se oye de FortiSOAR que permite gestionar los incidentes para orquestarlos creando workflows.

El segundo problema con el que me he encontrado y que parece se resuelve en el 6.4.1 (comentado por soporte) es que no me carga las opciones de Security Fabric. Vamos a esperar a cargar la nueva versión que por los Webminar en los que he podido participar parece que aterriza la semana que viene.

Otra de las cosas que al menos os va a llamar la atención es que dentro de la parte gráfica «desaparecen» las opciones de monitor y FortiView. Ahora lo que hacen es integrarlas a modo DashBoard a través de Widgets.

Siguiendo con las nuevas funcionalidades, me quiero hacer con AP para probar las nuevas features que implementan en la parte de la gestión Wifi.

Ahora soporta wirelesss Ipv6 en los sabidos modos tunnel y local bridge. Parece que van a ofrecer info mas completa cuando estemos trabajando en este apartado Wifi.

En el módulo Wifi otra de las nuevas funcionalidades que implementan es un analizador de espectro que nos puede venir bien para conocer el entorno al que nos vamos a enfrentar. Simplemente clonamos el perfil y lo modificamos a «Modo monitor» y se lo asignamos al AP.

Por ejemplo nos va servir para analizar canales con interferencias. Remarcar que si lo tenemos activado en este modo «monitor» no puede dar servicio a los usuarios.

En cuando a las políticas, yo no lo estoy utilizando IPV6 pero consolidan Ipv4 e Ipv6 y la posibilidad de hacer test de velocidad en las interfaces.

Mejoran la parte del HA, incorporar un comando para poder hacer el failover sin tener que estar quitando cables:

execute ha failover set <cluster_id>
execute ha failover unset <cluster-id>

Aunque luego he leido por ahí que no se recomienda ejecutarlo en producción y es mas para entornos demo. Cosas de la vida.

En cuanto a detección de Malware en verisón 6.4 parece que hacen uso de la versión de la BD de datos extendida de Malware por defecto. A ver si podemos ir probando para ver que tal se porta el modulo de detección.

En cuando a nuevos servicios, enfatizan mucho sobre las mejoras en el area SD-WAN, mejorando por ejemplo toda la parte de gráfica. Es algo que de lo que no estoy haciendo uso, pero si que es cierto que en todas las charlas es algo sobre lo que les gusta enfatizar mucho.

Además de hablar de SD-WAN, otra pata en la que se centran es el mundo OT y toda esa parte de integración con dispositivos IoT en el que aplican nuevos servicios como Fortiguard IoT detection o recibir información por LLDP para reconocer dispositivos con la idea de poderlos identificar, segmentar y manejar.

Ahora en los perfiles de seguridad de una forma sencilla podremos ver aquellas caracteristicas que podemos aplicar cuando el Firewall esta trabajando en modo Flow o Proxy.

Otra de las pequeñas cositas que parece se estaba demandando a la hora de operar con los Fortigate, era la de recibir un aviso de confirmación a la hora de generar un nuevo VDOM, y que este no se generase de forma automática por haber tecleado mal el nombre del mismo:).

Podemos habilitar esta funcionalidad:

config system global
   set edit-vdom-prompt enable
end

En versión 6.4 diferencian entre conectores propios o aquellos que provienen de terceros que los etiquetan como External conectors. En este parte tengo que jugar un poco mas para ver que tal se integra con nuevos conectores como por ejemplo Slack.

Y esto va muy en sintonia con probar a ver que tal se portan las nuevas automatizaciones.

En este nuevo mundo en el que vivimos esta claro que los fabricantes se tienen que abrir a terceros asi como a personalizaciones a través de scripting.

También comentar la integración de Fortinet dentro de las Cloud públicas con su concepto de multicloud, asi como su integración en el concepto de Office365. Comentan mejoras en ese aspecto. Ademas de la integración con las conocidas por todos, la última que parece incorporarse a su porfolio es RackSpace.

Otra de las mejoras que parece traer esta nueva versión es que cuando nos integramos con el AD, ya no hace falta crear grupos locales sobre los que añadir los del AD, sino que Fortigate automáticamente los reconoce y podemos hacer uso de los mismos.

Mejora en la parte de servicios con Fortiguard + Forticare + FortiOps. A ver que tal se porta la IA que se supone estan aplicando.

He visto alguna cosilla sobre su concepto de Fabric ScoreCards.

Llegados a este punto es interesante que si os interesa el mundo Fortinet os inscribáis a los Webminar que suele organizar la gente de Forti todos los meses así como las sesiones que definen como Fortinet Experts View para estar un poco al día de novedades. Al final las sesiones siempre quedan grabadas por lo que haciendo el registro vais a recibir un link con la sesion grabada y visualizarlas cuando se pueda.

En este mundo que nos toca vivir cada vez empieza a ser complicado el sacar tiempo para todo lo que nos gustaría ver y probar:).

Estoy probando también FortiEMS con la parte de Fabric Telemetry a ver que nos va ofreciendo. Muy sencillo de configurar y que viene a complementar esa capa EndPoint con módulos antimalware, antiexploits, filtrado web o de aplicaciones y con un pequeño motor de Scan de vulnerabilidades.

Links que os pueden interesar

FortiOS 6.4

Webminars

Referencia CLI

Nuevas funcionalidades FortiOS 6.4

Release Notes 6.4

Guia administrador

FortiGuard RSS

Blog técnico Fortinet

Como siempre espero no haberos aburrido en exceso y agradecido de recibir comentarios con erratas o funcionalidades importantes que seguro se me han olvidado incluir y nos van a venir bien el conocer.

Sed buenos y que la fuerza os acompañe:)

Enviar a un amigo: Share this page via Email
Categories: Presentación Tags: ,