En este capítulo cero del podcast 'Blue Team sin morir en el intento', presenta su proyecto dedicado a la ciberseguridad y defensa informática. el orador comparte su motivación para crear este podcast tras asistir a Ekoparty 2024. Actualmente trabaja en Monterrey, liderando un equipo de ciberseguridad en una organización financiera. El podcast tiene como objetivo ayudar a las nuevas generaciones en el mundo de la ciberseguridad, ofreciendo conocimientos y experiencias prácticas. detalla la estructura del programa, que incluirá temas como la evolución del Blue Team, la estructura de un SOC, hackeos históricos, carrera en ciberseguridad, y más. También menciona que los episodios se grabarán en una sola toma, sin edición, y que se realizarán esfuerzos para mejorar la calidad del audio y la producción con el tiempo.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 1 - Bienvenidos al Blue Team: Qué hacemos y por qué es crucial

Introducción y Origen del Blue Team

El presentador introduce el podcast dedicado al Blue Team y explica el origen del término, que proviene de los ejercicios militares de guerra (wargaming) donde se dividían los equipos en Red Team (atacantes) y Blue Team (defensores). Se menciona que el término se popularizó en el contexto de ciberseguridad alrededor del año 2000.

00:03:11 - Actividades Clave del Blue Team

Se detallan las actividades fundamentales del Blue Team, incluyendo: recolección de datos para monitorear el comportamiento de sistemas, evaluación de riesgos para identificar vulnerabilidades, implementación de medidas de seguridad, monitorización continua 24/7, gestión de incidentes, evaluación de vulnerabilidades, desarrollo de políticas de seguridad, y administración de herramientas tecnológicas como firewalls, VPNs, y sistemas antivirus.

00:14:23 - Importancia del Blue Team

Se explica por qué el Blue Team es crucial para las organizaciones, destacando: la protección de activos críticos, prevención de pérdidas económicas, mantenimiento de la reputación y confianza de los clientes, y cumplimiento regulatorio. Se menciona un caso real de un banco en Hong Kong donde un ataque coordinado resultó en pérdidas millonarias debido a un Blue Team inadecuado.

00:18:31 - Características Únicas del Blue Team

El presentador enfatiza las características que hacen único al Blue Team: la mentalidad preventiva, la necesidad de pensar como atacantes para proteger sistemas, y la importancia de la capacitación constante para evolucionar en la respuesta a incidentes.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 2 - La evolución del Blue Team: pasado, presente y futuro

Resumen

En este episodio del podcast 'Blue Team sin morir en el intento', se discutió la evolución del Blue Team desde 1950 hasta el futuro. El presentador, José, realizó un análisis exhaustivo dividido en tres partes: el pasado (1950-2010), el presente (2010-2025) y el futuro (2025 en adelante). Se abordaron eventos históricos globales y su relación con la ciberseguridad. Se destacó cómo la Guerra Fría, la creación de ARPANET, y el desarrollo de los primeros virus informáticos marcaron hitos importantes. Se discutieron amenazas modernas como WannaCry y NotPetya, así como la evolución hacia la inteligencia artificial y la computación cuántica. Se enfatizó la importancia de la ciberresiliencia y la adaptación a un panorama de amenazas en constante cambio.

Capítulos

00:02:35 Evolución del Blue Team: El pasado (1950-2010)

Se discutió cómo la Guerra Fría y la creación de ARPANET sentaron las bases de la ciberseguridad. Se mencionó el desarrollo de Creeper y Riper, los primeros virus y antivirus, y cómo las amenazas evolucionaron desde el pirateo telefónico hasta los primeros virus informáticos en disquetes.

00:20:39 Desarrollo de la ciberseguridad moderna (1980-2000)

Se abordó la creación del primer antivirus por John McAfee, el virus Brain, y el gusano Morris. Se discutió cómo la popularización de Internet en los 90 llevó a la segunda generación de ciberataques, destacando el virus Melissa y la creación del primer firewall de estado.

00:43:58 Amenazas contemporáneas y evolución (2000-2025)

Se analizó el impacto del 11-S, la guerra contra el terrorismo, y la evolución de las amenazas cibernéticas. Se discutieron ataques notables como Stuxnet, WannaCry y NotPetya, así como la implementación del GDPR y la creación de CISA.

01:00:03 El futuro del Blue Team (2025 en adelante)

Se exploraron las características de la web 3.0 y 4.0, la computación cuántica, y el crecimiento del Internet de las cosas. Se discutió la evolución de la inteligencia artificial en ciberseguridad y la importancia de la ciberresiliencia.

Elementos de acción

01:10:53José mencionó la necesidad de implementar estrategias de ciberresiliencia en las organizaciones para mejorar la recuperación tras ataques cibernéticos

01:13:15José destacó la importancia de adoptar enfoques de microsegmentación y Zero Trust en la seguridad de redes

01:11:50José recomendó investigar sobre las nuevas amenazas cuánticas y su impacto en la ciberseguridad

01:10:17José sugirió prestar atención a la evolución de la inteligencia artificial en ciberseguridad y su aplicación en defensa predictiva

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 3 - Estructura de un SOC (Security Operation Center)

Introducción

Un SOC es una unidad centralizada que monitorea y gestiona la seguridad de una organización las 24/7. Su objetivo principal es detectar y responder a amenazas cibernéticas en tiempo real, asegurando la protección de las operaciones empresariales.

Aspectos principales:

Funciones Operativas:

Uso de herramientas como SIEM, EDR/XDR, SOAR y sistemas de monitoreo de red para identificar y responder a amenazas.

Retos: el aumento de la superficie de ataque (trabajo remoto, IA) y exceso de alertas ruidosas.

Funciones Estratégicas:

Alinear objetivos con las necesidades del negocio (gobernanza, cumplimiento).

Implementación de planes de respuesta (ej.: NIST 800-61).

Automatización y creación de playbooks.

Comunicación interna y externa efectiva para mitigar impactos.

Infraestructura y Herramientas:

Tecnologías clave como SIEM (Splunk, QRadar), EDR/XDR (CrowdStrike, Microsoft Defender), NDR, y soluciones de análisis forense (Autopsy, EnCase).

Herramientas de simulación de ataques y monitoreo especializado para nubes.

Gestión de Personal:

Roles organizados por experiencia: analistas, ingenieros, arquitectos, y gerentes.

Desafíos: déficit global de más de 3.4 millones de profesionales en ciberseguridad.

Colaboración Externa:

Relación con CSIRTs (internos, comerciales, nacionales) y MSSPs para delegar funciones de seguridad.

Cumplimiento de normativas y comunicación con entidades regulatorias.

Evolución Continua:

Actualización constante mediante simulaciones (Red/Blue/Purple Teams), capacitación, y análisis de métricas clave (MTTD, MTTR).

Costos aproximados:

SOC pequeño: $50,000-$100,000 USD/mes.

SOC mediano: $100,000-$250,000 USD/mes.

SOC avanzado: $250,000-$500,000 USD/mes.

Conclusión:

El SOC es crucial para proteger a las organizaciones contra el creciente impacto de amenazas cibernéticas como ransomware, cuyo costo promedio alcanza $4.5M USD. Además, contribuye a la confianza en un entorno digital seguro y confiable.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 4 - Fundamentos de Seguridad de la Información

Introducción:

La seguridad de la información busca proteger la confidencialidad, integridad y disponibilidad de los datos mediante medidas que abarcan tanto medios informáticos como otros formatos.

1. La CID y conceptos básicos

Confidencialidad: Protección contra acceso no autorizado mediante contraseñas y cifrado. Amenazas: Phishing, Spyware, MitM, entre otros.

Integridad: Garantía de datos no manipulados con herramientas como hashes y monitoreo de integridad. Amenazas: SQL injection, falsificación de datos, corrupción de bases.

Disponibilidad: Asegurar el acceso continuo a sistemas con respaldos y redundancia. Amenazas: DDoS, ransomware, sabotaje y fallos de hardware.

2. Ocupaciones de seguridad de la información

Autenticidad: Verificar identidad de usuarios con MFA y certificados digitales. Amenazas: Spoofing y phishing.

No repudio: Uso de firmas digitales para evitar disputas. Amenazas: Manipulación de registros.

Criptografía: Protección de datos con algoritmos como RSA y SHA256. Amenazas: Fuerza bruta y robo de claves.

Control de acceso: Limitación de accesos mediante modelos como RBAC. Amenazas: Escalada de privilegios.

Trazabilidad: Registro de eventos con herramientas SIEM para identificar actividades sospechosas. Amenazas: Falta de visibilidad.

Gestión de riesgos: Identificación y mitigación de amenazas con estándares como ISO 31000.

Cumplimiento: Alineación a normativas como ISO 27001 y GDPR.

Resiliencia: Capacidad de recuperación ante incidentes con planes de BCP/DRP.

Educación y concienciación: Capacitación para mitigar riesgos humanos.

Respuesta a incidentes: Procesos organizados para minimizar daños y recuperar sistemas afectados.

3. Tecnologías utilizadas para la seguridad de la información

Incluyen:

CASB, DLP, EDR, DevSecOps, IDS/IPS, Firewalls, VPNs, SIEM, SOAR, IAM, MFA, cifrado, sandboxing, plataformas de análisis de vulnerabilidades, ATP, y protección contra ransomware.

Soluciones específicas para IoT, blockchain, gestión de parches, análisis estático/dinámico de código, y plataformas de inteligencia artificial para la seguridad de datos.

El capítulo enfatiza la importancia de adoptar medidas técnicas, organizativas y educativas para abordar amenazas emergentes y garantizar una protección integral de la información.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 1 - Ransomware Clop

1. Identificación del Grupo

Nombre: Clop

Año de aparición: 2019

Origen: Europa del Este (posiblemente Rusia o países vecinos)

Víctimas: 668 en total, 60 en 2025 hasta la fecha. Última víctima: OLAMETER.COM.

2. Perfil del Grupo

Historia y evolución: Derivado del malware CryptoMix, ha evolucionado con capacidades avanzadas, incluyendo la doble extorsión y el modelo de Ransomware-as-a-Service (RaaS).

Grandes ataques: Accellion (2020-2021), universidades, hospitales y gobiernos.

Estado actual: Continúa activo con tácticas más sofisticadas y evasivas.

3. Tácticas, Técnicas y Procedimientos (TTPs)

Infraestructura: Servidores C2 en la darknet, exfiltración de datos, sitios de fugas.

Distribución: Phishing dirigido y explotación de vulnerabilidades.

Criptografía: AES-256 y RSA-2048 para cifrado de archivos.

Persistencia: Modificación de claves de registro y uso de herramientas como PsExec y Mimikatz.

Evasión: Uso de la darknet, VPNs, proxies y exclusión geográfica de países de la CEI.

4. Flujo de Ataque

Acceso inicial: Phishing con correos maliciosos, explotación de vulnerabilidades (ej. CVE-2021-35211 en SolarWinds).

Movimiento lateral: Uso de Cobalt Strike y SDBOT para propagación en redes corporativas.

Exfiltración: Uso de herramientas como Rclone para el robo de datos.

Impacto final: Cifrado de archivos críticos y extorsión con amenazas de divulgación.

5. Impacto

Económico: Rescates de $500,000 a $20 millones, interrupción operativa y costos de recuperación.

Reputacional: Pérdida de confianza, exposición de datos sensibles y cobertura mediática negativa.

6. Victimología

Sectores afectados: Salud, educación, gobierno, finanzas, tecnología, manufactura, energía, retail, transporte.

Regiones afectadas: América del Norte, Europa, Asia, Oceanía, América Latina, África y Medio Oriente.

7. Contramedidas y Detección

Seguridad preventiva: Inventario de activos, monitoreo de red, hardening y parcheo.

Protección y respuesta: Copias de seguridad, MFA, sandboxing y detección con IA.

Entrenamiento: Simulaciones de phishing, ejercicios de equipo rojo y concienciación en seguridad.

8. Herramientas y Comandos Usados

Comandos maliciosos: net use, powershell -enc, taskkill, vssadmin delete shadows.

Explotación de vulnerabilidades: MOVEit Transfer, SolarWinds.

Malware asociado: Cobalt Strike, TrueBot, FlawedAmmyy, SDBOT.

9. Pirámide del Dolor

Clop se adapta rápidamente a medidas defensivas, pero atacar sus TTPs (tácticas, técnicas y procedimientos) dificulta su operación.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 5 - Principios de defensa en profundidad

Liga de la noticia:

https://darktrace.com/es/blog/how-abuse-of-perfectdata-software-may-create-a-perfect-storm-an-emerging-trend-in-account-takeovers

Introducción:

Origen y evolución: Se basa en modelos militares y de seguridad crítica, adoptados en informática para mitigar amenazas como ransomware y APTs.

Principios fundamentales: Incluyen globalidad (protección en todas las capas), coordinación (integración de mecanismos), dinamismo (adaptación a nuevas amenazas), suficiencia (cada control debe ser eficaz por sí solo) y exhaustividad (sin puntos débiles).

Capas de defensa: Se establecen múltiples niveles de protección:

Organizativa (políticas y regulaciones).

Física (control de acceso y videovigilancia).

Perimetral (firewalls, IPS/IDS).

Red (segmentación, DNS seguro).

Endpoint (EDR/XDR, cifrado de discos).

Aplicación (WAF, desarrollo seguro).

Datos (cifrado, respaldos protegidos).

Aplicación técnica: Implementación en entornos empresariales con firewalls, MFA, SIEM, SOAR, pruebas de seguridad y simulaciones de ataques.

Conclusiones y mejores prácticas: Se enfatiza la necesidad de aplicar Zero Trust, segmentación de red, auditorías y capacitación para minimizar riesgos.

Frase clave: No es cuestión de si serás atacado, sino de cuán preparado estarás cuando ocurra.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.