David E. Acosta

Blog personal
  • Por - david
  • Publicado el

¿Qué es un conjunto de cifrado (cipher suite) y cómo funciona en SSL/TLS?

Debido a las múltiples vulnerabilidades que se han identificado en las implementaciones de SSL y TLS en los últimos años (BEAST, CRIME, BREACH, HEARTBLEED, POODLE, FREAK, Logjam), una de las principales recomendaciones (adicional a la de actualizar los componentes asociados a estos protocolos) es la de emplear algoritmos de encriptación con longitudes de claves robustas.
Leer Más
  • Por - david
  • Publicado el

Ventanas rotas (“Broken Windows”): El experimento social aplicado a la seguridad de la información

“El mejor aliado de un usuario malicioso es un administrador pernicioso” Para empezar con la introducción del concepto detrás de la hipótesis de las “ventanas rotas” realizaremos dos ejercicios mentales para el lector. Imagine las siguientes situaciones y responda a las siguientes preguntas: Situación A: Usted va caminando por una calle en un sector acomodado,
Leer Más
  • Por - david
  • Publicado el

El papel de los Indicadores de Compromiso (Indicators of Compromise – IOC) en la respuesta a incidentes de seguridad y la investigación forense

Un incidente de seguridad se define como un evento adverso que compromete o intenta comprometer la confidencialidad, integridad o disponibilidad de la información. De acuerdo con este concepto, la clave para determinar si un comportamiento “anormal” (ya sea real o sospechado) se trata de un incidente de seguridad o no, está en el análisis preliminar
Leer Más
  • Por - david
  • Publicado el

Categorización funcional de los diferentes tipos de controles de seguridad y su aplicabilidad en la estrategia de protección corporativa

NOTA: Este artículo fue publicado en la Revista SIC Nº 130 (Junio 2018). Con el objetivo de establecer una estrategia para la gestión de los potenciales riesgos en términos de confidencialidad, integridad y disponibilidad en un entorno de tecnología de la información (TI) – identificados mediante la ejecución metodológica de un análisis de riesgos –
Leer Más
  • Por - david
  • Publicado el

ISO/IEC 29100:2011 – Una introducción al marco de trabajo de privacidad para la protección de información de identificación personal (PII)

  Con la adopción del Reglamento General de Protección de Datos (Regulación de la Unión Europea 2016/679) y los acontecimientos más recientes vinculados con exfiltración de datos personales (incluyendo la información publicada de forma no autorizada de 49,6 millones de ciudadanos turcos y 93,4 millones de ciudadanos mexicanos, sin contar el robo de información de
Leer Más
  • Por - david
  • Publicado el

Seguridad vs. Cumplimiento: La bala de plata no existe

En diciembre de 2013 la compañía estadounidense Target Inc. sufrió uno de los mayores ciberataques de la historia, con la pérdida de aproximadamente 40 millones de datos de tarjeta de pago y más de 70 millones de direcciones, números de teléfono y otra información personal. Como resultado de este ataque, su CEO fue despedido, su
Leer Más
  • Por - david
  • Publicado el

Guía rápida para entender el marco de trabajo de ciberseguridad del NIST

Cuando un Oficial de Seguridad de la Información planifica la estrategia para la gestión de los riesgos vinculados con los activos de información de su organización, se enfrenta con un interrogante decisivo que definirá el curso de las acciones de protección en un futuro: ¿Cuál marco de referencia debe emplear para garantizar la gestión coordinada
Leer Más
  • Por - david
  • Publicado el

Instalación y configuración de SoftEther VPN (L2TP + IPSEC) en una Raspberry Pi para acceso a una red doméstica

Después de haber probado múltiples soluciones para la protección del tráfico de mis dispositivos empleando VPN (IPSEC + L2TP con OpenSwan) o a través de túneles SSH en una Raspberry Pi, me he decidido a usar una nueva solución muy interesante: SoftEther. SoftEther (Software Ethernet) es una solución para la gestión de túneles VPN Open
Leer Más
  • Por - david
  • Publicado el

Instala tu propio servidor de almacenamiento en la nube con Seafile + HTTPS en una Raspberry Pi y conviértete en el responsable de tu propios datos

«Cloud» es una de esas palabras rimbombantes tan de moda en la tecnología, como lo fue en su momento «outsourcing«, «virtualización«, «datamining» y más recientemente cualquier cosa que empiece con el prefijo «ciber«. Todas las empresas quieren implementar los últimos desarrollos tecnológicos, aunque a veces ni siquiera los entiendan ni identifiquen los potenciales riesgos a
Leer Más

Acerca de

Avatar de david

Blog personal de David Acosta - Barcelona (España) dacosta at computer dot org

Entradas recientes: PCI Hispano

Cambios en PCI PTS HSM v5.0: ¿A quiénes afectan y qué significa para el futuro de los pagos?

Cambios en PCI PTS HSM v5.0: ¿A quiénes afectan y qué significa para el futuro de los pagos?

DNS: El punto ciego de PCI DSS

DNS: El punto ciego de PCI DSS

¿Qué se sabe acerca de PCI DSS v5.0?

¿Qué se sabe acerca de PCI DSS v5.0?