spinner

La semana pasada, BBVA Next Technologies y BBVA participaron como sponsors de la RootedCON 2019, el evento de Seguridad Informática más destacado del panorama nacional, en el que el deep learning fue el protagonista. Más de 2.500 personas del ámbito de la ciberseguridad se dieron cita en Kinépolis Madrid para hablar sobre la actualidad de la seguridad y el hacking en la décima edición de este Congreso de referencia.

A la cita asistieron dos de nuestros equipos de BBVA Next Technologies, el equipo técnico y el de selección. Por un lado, el equipo técnico estuvo contando los proyectos más interesantes que estamos desarrollando sobre ciberseguridad:

  • Zoomap: Una representación visual de infraestructuras en plataformas cloud, con monitorización intuitiva de redes y antipatrones de diseño. Alertas de seguridad y detección de configuraciones erróneas.
  • TapIR: Herramienta automática de detección de fallos de configuración y seguridad en cuentas cloud AWS. Genera correlación de distintos servicios de AWS para obtener información que no proporciona AWS y ayuda al proceso de análisis forense mediante la automatización de tareas del ciclo de respuesta ante incidente.
  • Google Assistant API: La seguridad de los asistentes de voz a nivel de software y hardware es una prioridad antes de poder aprovechar todas sus posibilidades. Se descubrió una vulnerabilidad crítica en los asistentes de google que permitía hacer un ataque de denegación de servicio persistente.
  • Alias: El proyecto Alias es una prueba de concepto desarrollada por Tore Knudsen y Bjørn Karmann. Decidieron probar su validez en el contexto de los asistentes de voz virtuales ya que introducen micrófonos en lugares con alta probabilidad de grabar información sensible. El dispositivo emite ruido desde los altavoces de forma contínua, con el objetivo de inutilizar los micrófonos del asistente de voz.
  • Security Service Platform: Mediante los servicios de K8S garantizamos la disponibilidad de los procesos y la auto-recuperación de una forma sencilla y rápida basado en la automatización partiendo de los principios de la filosofía DevSecOps podemos ofrecer una plataforma de servicios de seguridad para terceros.
  • Security Architecture on Cloud: Diseño y desarrollo de arquitecturas seguras en entornos Cloud, implementando controles de seguridad no sólo desde la concepción del proyecto, sino a lo largo de todo el proceso.
  • Security Auditing: Se trata de una auditoría de seguridad sobre diferentes tecnologías y arquitecturas, tales como infraestructuras, redes, aplicaciones web y móvil, sin olvidarnos de Cloud.

¿Cómo evitar los ciberataques más comunes?

El deep learning fue una de las tecnologías más destacadas por nuestros ponentes a la hora de buscar una defensa efectiva frente a los ciberataques más comunes, como el shoulder surfing o los homographs attacks.

bbva-next-rootedcon-alfonso-ruth-nerea

 

Ruth González y Nerea Sainz de la Maza, investigadoras en el Sec Lab de BBVA Next Technologies, participaron con su charla When anti shoulder surfing techniques meet deep learning”, en la que explicaron cómo a pesar de la mejora de los sistemas de defensa digital en los últimos años, muchos problemas clásicos no pueden ser resueltos con medidas de seguridad accesibles y económicas para el usuario final.

En concreto hablaron de ASSAP, la nueva herramienta que han desarrollado desde el Sec Lab de BBVA Next Technologies que, gracias al reconocimiento facial, permite solventar uno de los ataques más comunes: el shoulder surfing. “Este ataque ocurre cuando un atacante se sitúa detrás de la víctima mientras esta está usando un dispositivo portátil (tablet, móvil, ordenador, etc) y trata de ver qué es lo que aparece en la pantalla de la misma, pudiendo robar así credenciales u otra información sensible”, explica Ruth González.

La herramienta desarrollada, cuyo código se encuentra público, utiliza el reconocimiento facial, para detectar el número de caras que hay en cada momento frente al dispositivo, permitiendo de esta forma tomar medidas en caso de que haya más de una.

ASSAP, cuenta con varias opciones de configuración pudiendo elegir entre mostrar alertas, bajar el brillo de la pantalla o bloquearla en el caso de que se detecte que se está produciendo shoulder surfing.

 

bbva-next-rootedcon-alfonso-munoz

 

Dr. Alfonso Muñoz, Head of Sec Lab de BBVA Next Technologies, fue el encargado de analizar de manera crítica el potencial de la Inteligencia Artificial en herramientas de seguridad ofensiva, en su charla Reviving Homograph attacks using (deep learning) steroids.

La investigación anterior versó sobre la posibilidad de crear casos de abuso en diferentes tecnologías utilizando técnicas de deep learning y un tipo de codificación Unicode especial, codificación basada en el uso de confusables. Un confusable permite utilizar caracteres visualmente similares desde el punto de vista humano pero útiles para crear comportamientos indebidos. Un uso tradicional es en el uso de técnicas de phishing en navegadores web.

Durante la ponencia se mostró mecanismos avanzados de phishing evadiendo las medidas de protección actual de los navegadores y algunas contramedidas para estos casos. Así, como su aplicación a escenarios variados para validar la seguridad en el procesamiento de datos en software comercial, encontrando fallos de seguridad en productos variados de gran alcance como Skype, Foxit-Reader, Whatsapp, Signal, Telegram, OpenOffice, Gmail, entre otros. Como resultado de esta investigación se liberó el mejor diccionario de confusables existente hasta la época, su uso es recomendado en cualquier proceso de application security testing. Adicionalmente, se liberó la herramienta uriDeep, herramienta de ataque mejorada basada en deep learning de uso recomendado para identificar la enorme cantidad de variantes que un atacante podría utilizar para hacer phishing a una organización. Todos los detalles pueden observarse en la ppt de su charla.

Nuestro equipo de selección estuvo recopilando Cvs e informando a los asistentes sobre los perfiles que estamos contratando. ¿No pudiste darnos tu Cv? ¡No dudes en mandarlo ahora!

 

Imágenes: RootedCON.

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de BBVA Next Technologies.

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?