MaaS desde el Análisis de Malware

8 de enero de 2026 Por Leave a Comment

Como analistas de malware en LAB52, la división de ciberinteligencia de S2Grupo, habitualmente centramos mucho nuestra atención en grupos APT. Sin embargo, desde hace un tiempo, la evolución del ecosistema de Malware-as-a-Service (MaaS) hace que inevitablemente capte nuestra atención por diversos motivos.

Este artículo aborda la problemática actual que suponen modelos de ciberdelincuencia como el conocido MaaS desde el punto de vista del análisis de malware. Si bien en el reciente informe de S2Grupo sobre IA ya se dieron unas pinceladas del efecto que la llegada de la IA tiene sobre el avance imparable de la comercialización del malware en sus múltiples formas, a continuación, abordamos algunos de los desafíos a los que nos enfrentamos actualmente, sin que los delincuentes requieran usar IA.

Conocer los retos y necesidades actuales es básico para afrontar problemas más complejos que no sólo precisan aprovechar mejor las tecnologías a nuestro alcance (sean nuevas o no), sino también potenciar nuestro sentido innovador, investigador y crítico.

Malware-as-a-Service

El Malware as a Service (MaaS) describe un modelo de negocio delincuencial en el que el software malicioso (malware) y/o su infraestructura asociada se ofrecen como un servicio a terceros: quienes lo adquieren (“afiliados”, “clientes”) no necesitan desarrollar el malware, solo utilizarlo para lanzar ataques. Este modelo de negocio forma a su vez parte de lo que se conoce como Cybercrime-as-a-Service (CaaS) donde, a su vez, encontramos ciberdelincuentes dedicados a suministrar otras partes que ayudan a construir la infraestructura. Nos encontramos con modelos dedicados a la ciberdelincuencia que hoy día podrían considerarse asentados y experimentados, y que, en muchos casos, actuarán como empresas.

[Read more…]

Bushcraft digital

26 de diciembre de 2025 Por Leave a Comment

Imaginemos (sólo imaginemos, por favor) una situación extrema en la que la vida en la ciudad sea muy complicada. Desde una guerra hasta una falta de suministros básicos (y por básicos no hablamos de Internet) continuada en el tiempo. En este caso, algunos trataríamos de llegar a pueblos que conocemos y en los que los recursos naturales son mayores. Si consigo llegar a mi pueblo, tendré al menos agua potable, fuego, posibilidad de cazar (aunque no sepa hacerlo), recolectar frutos o encontrar setas comestibles. Posibilidades de sobrevivir. No parece gran cosa, pero desde luego mucho mejor de lo que sería la vida en esas circunstancias dentro de una gran ciudad. O eso creo, aunque espero no tener que comprobarlo.

Llevando esta situación al extremo, encontramos el bushcraft, entendido como la práctica de habilidades y conocimiento para sobrevivir y prosperar en el medio natural. Existen diferencias entre el bushcraft y la supervivencia pura; esta última suele estar acotada en el tiempo y viene impuesta, mientras que el objetivo del bushcraft es una estancia prolongada en la naturaleza, habitualmente de forma voluntaria. No obstante, cuando hablamos de una situación extrema imaginaria como a la que hacíamos referencia al principio de este post, planteada seguramente sería difícil diferenciar dónde empieza el bushcraft y acaba la supervivencia pura: es una situación impuesta, sí, pero seguramente a medio o largo plazo, en la que no únicamente buscaríamos sobrevivir unos días…

Discusiones filosóficas entre bushcraft y supervivencia aparte, más allá del idealismo de poder vivir en el medio natural y valerse por uno mismo, parece que últimamente aumenta el miedo a que una situación como la imaginada pueda darse en la realidad. Y factores como pandemias, apagones, catástrofes naturales, polarización política… ayudan a incrementar este miedo, con o sin razón. Aquí entran los preppers, los preparacionistas, personas que se preparan activamente para esta situación extrema almacenando herramientas y alimentos o diseñando planes de supervivencia.

Hay muchos manuales de supervivencia y bushcraft, y mucho material técnico: cuchillos, hachas, mochilas… pero en ninguno de estos libros, ni entre los materiales habituales de bushcraft o supervivencia, se habla de una supervivencia, o de un bushcraft, digital. Evidentemente, si la situación es de lucha por tu vida y de supervivencia en la montaña, a pocos nos preocupará un fichero PDF, un pendrive o una foto digital de nuestras últimas vacaciones. Pero ¿y si nuestra supervivencia no es en ese medio, sino en un medio urbano, tecnológico, avanzado… de otro país? ¿Cómo sería un preparacionista digital?

Volvamos a la situación imaginaria de partida, a ese extremo que hace que tengamos que cambiar radicalmente de vida. Pero en lugar de echarnos al monte, tenemos la suerte -o no- de meternos en un avión con lo puesto e irnos a una ciudad otro país de Europa. O de Norteamérica. O de LATAM. O de… vamos, a una ciudad de un país que no haya sido afectado por esa situación extrema y que siga su vida habitual en el primer mundo. Si fuera así, no serviría de nada disponer de un cuchillo de supervivencia o saber hacer fuego con un pedernal, pero sí que podría sernos útil información en formato digital. ¿Qué meteríamos en ese repositorio de supervivencia, o de bushcraft, digital, en ese “por si acaso”? Ojo, no digo que sea útil en la práctica, digo que podría serlo hipotéticamente… y que molestar, no molesta.

Dándole una vuelta a la situación, hay varias categorías de información digital potencialmente necesaria en esta situación. Antes de hablar de cada una de ellas, es necesario destacar que todo lo expuesto aplicaría no sólo a mí mismo, sino también a mi familia. Todos estos documentos los incluiría en el repositorio de supervivencia.

La primera categoría para incluir en ese repositorio es la más básica, la que me puede ayudar a decir quién soy, sirva luego o no. Así, lo primero que se me ocurre es digitalizar mi documentación de identidad. Mi pasaporte, en primer lugar, y mi DNI y permiso de conducir en segundo. Más allá de validez legal, que seguramente no la tiene, es lo único que tengo o puedo tener para demostrar que yo soy quien digo ser y no otra persona… ¿o no?

Una segunda categoría sería la que me permite algo más que identificarme, y es empezar a sobrevivir. Aquí identifico las cuentas bancarias y tarjetas asociadas, para poder disponer de dinero de alguna forma. También entrarían en esta categoría una copia del CV y los títulos académicos. Puede parecer una tontería, o ni siquiera estar convalidados, pero si tenemos que buscar trabajo, estos títulos pueden convertirse en la base de todo. ¿Quién o qué le dice a una persona de un país que soy ingeniero informático y no soy electricista, astronauta o taxidermista? Además, estos títulos tienen un número de registro único que, en algún momento, tras superar la situación extrema (si se supera) pueden sernos útiles para recuperar el título real. ¿O alguien se acuerda de memoria del número de registro o código de centro de su título? Ah, y por qué no, los ficheros de contraseñas: ese archivo cifrado, desde un KDBX a un PGP, con nuestras claves: correo, banca online, comercio… en fin, a los recursos que usamos en nuestro día a día.

Por último, la tercera categoría de documentación a digitalizar sería la que puede sernos útil a la vuelta, si la hay, a nuestras casas. Toda la anterior, por supuesto, pero también los títulos de propiedad, las escrituras de nuestra vivienda, el permiso de circulación o la ficha técnica de nuestro vehículo, entre otros. Sí, aquello que puede demostrar que algo de cierto valor nos pertenece. Si vuelvo a mi país, ¿quién demuestra que mi piso o mi coche son míos?

¿Dónde estaría el repositorio de supervivencia digital? Podría ser un pendrive o un disco USB con todos los archivos. O un repositorio en la nube, accesible desde cualquier lugar del mundo. O nuestro móvil, que a fin de cuentas es lo primero que cogeríamos si salimos corriendo de casa. O, mejor aún, en todos estos sitios. Cada uno tiene ventajas e inconvenientes. Un pendrive es privado, pero no deja de ser un dispositivo físico que tengo que intentar recuperar en un momento crítico en el que quizás mi cabeza está en otro sitio. Algo parecido sucede con el teléfono móvil, pero aquí tenemos unas ventajas sobre el pendrive: el móvil lo llevamos siempre con nosotros (ese pendrive o disco externo no) y además parte de nuestro repositorio de supervivencia está ya en el móvil, como son las tarjetas o alguna documentación identificativa. Por el contrario, si el móvil está descargado o bloqueado, no sirve de nada. Por último, la alternativa cloud es muy interesante desde el punto de vista de accesibilidad (¡ojo al 2FA si no tenemos móvil!), pero tiene el problema habitual de la nube: es el ordenador de otra persona, en el que nos puede dar reparo dejar documentación tan sensible… ¿no? Aquí, recordemos que esta información puede ir cifrada.

Antes de finalizar, unos comentarios: el primero, que esto surge de una situación extrema que ojalá no se produzca nunca, y que “irse” a otro país no es tan fácil. Sin ir más lejos, tenemos Estados Unidos y sus requisitos de acceso. El segundo, que se trata de meras ideas, no de una relación exhaustiva (seguro que con aportaciones de todos podemos mejorar el contenido de nuestro repositorio de supervivencia). Y el tercero, que no entramos en la validez legal de cada documento o su copia digitalizada. Sé que si llegas a Estados Unidos con un pasaporte en PDF o un título de ingeniero escaneado no te va a servir para que automáticamente todos te crean… pero daño no creo que haga. Simplemente se plantean ideas como base para poder empezar a hablar, aunque sea con un fichero PDF. Ah, y, por último: recuerda que este repositorio hay que mantenerlo actualizado, ya que algunos de los documentos caducan, o nuestras vidas cambian (nuevo vehículo, título adicional, etc.).

A modo de ficha resumen del repositorio de supervivencia:

  • Ubicación: móvil, nube o pendrive. O todos.
  • Contenido:
    • Prioridad 1: pasaporte, DNI, permiso de conducir.
    • Prioridad 2: CV, títulos académicos, cuentas bancarias, tarjetas, ficheros de contraseñas.
    • Prioridad 3: escrituras vivienda, títulos de propiedad, permiso de circulación, tarjeta vehículo…

Cripto-estafa postal (II)

16 de diciembre de 2025 Por Leave a Comment

Continuo en esta segunda entrega analizando más en profundidad el Chat bot de Telegram y el código fuente de la web. Analizando la respuesta que da la web fraudulenta, se pudo extraer datos relevantes como el Chat_id:

Con la herramienta Curl me decido a extraer más información del bot  de telegram:
Con la orden GetMe a la api de telegram extraemos información básica sobre el Bot:

[Read more…]

Cuando la excepción se convierte en la regla

15 de diciembre de 2025 Por Leave a Comment

Este texto es el desarrollo de una conversación que mantuve hace un tiempo con un compañero de trabajo. La idea surgió durante un café rápido, pero con los años he llegado a pensar que apuntaba a un problema estructural que merece ser formulado con algo más de calma.

Durante años he pensado que el problema de la ciberseguridad estaba en los detalles. Si tuviera que concretarlo hoy un poco más, diría que el problema no está tanto en los detalles como en lo que hemos hecho con ellos: la excepción ha dejado de ser la excepción.

Todas las organizaciones están llenas de pequeños casos particulares. El usuario que necesita permisos de administrador local; el enésimo grupo en Active Directory que contiene solo a unas pocas personas; la aplicación que utiliza un puerto no estándar; la base de datos heredada que requiere un esquema de copias distinto; el departamento que necesita ejecutar software no incluido en la whitelist; el directivo al que hay que habilitar el uso de dispositivos USB; el servidor que no se puede parchear para no romper compatibilidad; la excepción puntual en el firewall; el tratamiento de datos personales que requiere una excepción a las políticas de minimización o retención porque “el proceso lo necesita”.

La naturaleza y cantidad de excepciones es innumerable.

[Read more…]

Cripto-estafa postal (I)

10 de diciembre de 2025 Por Leave a Comment

El mundo de las criptomonedas y la posibilidad de diversificar los ahorros, han hecho que a día de hoy muchas personas quieran asumir un riesgo y diversificar su cartera de ahorros incluyendo cripto-activos. En mi caso decidí hacerlo de forma cautelosa y a ser posible de la forma más segura posible usando una billetera fría o “cold wallet”, concretamente el modelo “Ledger Nano S”.

La diferencia fundamental de usar una billetera fría es que tú mismo eres el que custodia la clave privada y la frase semilla que te permite recuperar la billetera en caso de pérdida, a diferencia del uso de un Exchange online.

El 14 de julio de 2020 Ledger fue alertado por un investigador propio de su programa de bug bounty de una posible brecha de seguridad. La brecha consistía en que un tercero no autorizado

 podría acceder a una parte de la base de datos de comercio electrónico y marketing mediante una API key que había sido asignada a un tercero.  Más tarde se comprobó que el 25 de junio de 2020 fue la fecha en la que el acceso malicioso había comenzado aprovechando dicha brecha.

Ledger informó que aproximadamente 1000000 de direcciones de correo electrónico estaban comprometidas, de las cuales 272.000 clientes estaban afectados por la exposición de datos personales como nombre/apellidos, dirección y teléfono.

A partir de esa fuga de datos, empecé a recibir mails, llamadas y sms fraudulentos, con el fin de conseguir las palabras que forman la frase semilla. La mayoría de estos intentos  fueron fáciles de detectar como estafa, aquí muestro algunos ejemplos:

[Read more…]

La tecnología y el sabotaje asimétrico

7 de octubre de 2025 Por Leave a Comment

En las últimas semanas, diferentes aeropuertos en Polonia, Noruega, Alemania o Dinamarca han sufrido perturbaciones mediante drones que han interferido en su funcionamiento normal. Vamos, que han sido saboteados. Estas acciones han vuelto a poner de manifiesto la eficacia de equipos relativamente baratos (y reutilizables en algunos casos) frente a sistemas de interceptación y defensa costosos. En pocas palabras: la asimetría de una acción, actualmente potenciada por la tecnología.

En WikiPedia se define el sabotaje como el “proceso por el cual se realiza una modificación, destrucción, obstrucción o cualquier intervención en una operación ajena, con el propósito de obtener algún beneficio para uno mismo o un perjuicio intencionado”. Podemos enfrentarnos a un sabotaje puramente tecnológico, por ejemplo, deteniendo durante más de un mes las operaciones de un fabricante británico de automóviles o retrasando varios años el programa nuclear iraní mediante un código dañino que altera el proceso de enriquecimiento de uranio. Pero podemos enfrentarnos también al factor humano, por ejemplo, a la influencia en personas para que tomen decisiones incorrectas, para que adopten posturas poco colaborativas o para que ralenticen la toma de decisiones clave.

El sabotaje es tan antiguo como los conflictos. Exactamente igual que el espionaje o la influencia. Y, al igual que con el espionaje o la influencia, la tecnología ha introducido ventajas clave para el saboteador. La tecnología no sólo facilita el sabotaje, sino que también multiplica los impactos y, además permite que actores hostiles con pocos recursos pongan en jaque a objetivos importantes. Agilidad, asimetría, accesibilidad, alto impacto, bajo riesgo… son algunas de las ventajas tecnológicas para el saboteador. Como lo son para cualquier operación de información donde la tecnología juegue un papel clave: guerra electrónica, operaciones en el ciberespacio, operaciones psicológicas…

[Read more…]

Nuevo impacto normativo para banca y seguros, llega el RIA, el nuevo reglamento de IA.

24 de septiembre de 2025 Por Leave a Comment

Cuando los responsables de las organizaciones financieras y de seguros podían dar por concluida la implementación del marco de gestión de DORA en sus negocios, un nuevo marco regulatorio ha impactado en su operativa: el Reglamento de Inteligencia Artificial (RIA).

Y es que no se puede afirmar que la adopción de la inteligencia artificial en el sector bancario y de seguros sea puntual o superficial, si no que está transformando el núcleo de sus modelos de negocio.

En ambos sectores, la IA se está despegando en multitud de procesos internos y en la relación con sus clientes, en concreto en la banca es un componente central en áreas críticas como el scoring y concesión de crédito, ya que son los algoritmos los que analizan las variables financieras y de comportamiento para evaluar la solvencia de clientes con gran precisión, o en la prevención del fraude a través de la detección en tiempo real de transacciones sospechosas mediante análisis de patrones, identificación de anomalías y correlación de datos.

Mientras que el sector asegurador aprovecha la IA en la suscripción y tarificación dinámica, esta es capaz de analizar grandes volúmenes de datos (historial médico, hábitos de conducción, IoT en hogares y vehículos, etc.) para personalizar primas. Aplicándola también a uno de sus procesos más importantes como es la gestión de siniestros, automatizando la recepción, validación y tramitación de reclamaciones, incluyendo el análisis de documentos, imágenes y vídeos para estimar los daños.

Por lo tanto estos sectores se están viendo impactados de pleno por la entrada en vigor del el RIA el pasado 1 de agosto de 2025.

NUEVAS OBLIGACIONES PARA GESTIONAR NUEVOS RIESGOS

El RIA añade una capa regulatoria que obliga a las empresas ya sujetas a DORA a extender su marco de gestión de riesgos TIC hacia aspectos específicos de la IA, en concreto afecta a la calidad y gobernanza de los datos, incluye la necesidad de supervisión humana, impone prohibiciones de prácticas y hace obligatoria trazabilidad técnica de los procesos y las evaluaciones del impacto de la IA.

[Read more…]

Carmen después de R2D2: de observar a comprender en ciberseguridad industrial

19 de septiembre de 2025 Por Leave a Comment

En el mundo de la ciberseguridad, no basta con mirar el tráfico de red: hace falta entenderlo. Con el proyecto europeo R2D2, la herramienta CARMEN ha dado un salto cualitativo en su capacidad de análisis en entornos industriales (OT). Gracias a las nuevas funcionalidades incorporadas, CARMEN ahora puede detectar de manera temprana amenazas complejas, incluso aquellas diseñadas para pasar desapercibidas, ofreciendo a los equipos de seguridad una visión más completa y precisa de la infraestructura industrial.

Antes de R2D2: la visión de Carmen

Antes de la incorporación de los módulos del proyecto R2D2, Carmen ya era una herramienta consolidada y de prestigio para el análisis de tráfico de red. Sin embargo, su enfoque estaba principalmente orientado a IT y, aunque podía detectar anomalías y supervisar tráfico de manera efectiva, en entornos industriales (OT) tenía limitaciones naturales propias del alcance original de la herramienta:

  • Entornos OT: no podía interpretar en profundidad los protocolos industriales más complejos, limitando la comprensión de comandos, registros y mensajes críticos.
  • Entornos IT: la herramienta detectaba anomalías, aunque la correlación con posibles ataques de grupos avanzados (APTs) requería un análisis adicional y manual.
  • Detección de APTs: eficaz dentro de su ámbito, pero con un enfoque más general y basado en patrones conocidos.
  • Mapa de activos y riesgos: ofrecía visibilidad de eventos y alertas relevantes, pero la evaluación de impacto sobre activos críticos y rutas de ataque dependía de la interpretación del analista.

En definitiva, Carmen era ya una herramienta sólida y confiable, capaz de observar y alertar sobre eventos importantes en la red. Lo que aportó R2D2 no fue “empezar de cero”, sino expandir sus capacidades: permitirle profundizar en tráfico OT, interpretar protocolos industriales complejos, correlacionar anomalías con ataques avanzados y, además, ofrecer un mayor control sobre el mapa de activos y su riesgo asociado.

[Read more…]

¿Quieres aprender DFIR? ¡Practica con CTF!

8 de septiembre de 2025 Por 1 Comment

La respuesta ante incidentes es una parte de la ciberseguridad apasionante, pero que tiene un problema: ¿cómo la entrenas? Si trabajas en un SOC vas a estar gestionando alertas y aprendiendo todos los días, si estás en un área de hacking ético tu día a día es romper cosas… pero ¿qué sucede si no hay incidentes?

Lógicamente, la mejor forma de entrenar y mejorar tus habilidades en DFIR es … teniendo incidentes. Aquí va a depender de dónde estés: irónicamente, si estás en una organización que se toma la ciberseguridad en serio y que lo tiene todo bien montado, puede que no toques un incidente serio en meses o años.  El otro extremo lo tienes en las consultoras de ciberseguridad (como S2GRUPO), que gestionamos más de 100 incidentes serios todos los años.

El problema es que cuando venga el incidente, tienes que estar ahí a tu mejor nivel ¿Y cómo puedes hacerlo? Una forma muy interesante es resolviendo CTF DFIR. Todo el mundo conoce los CTF clásicos “jeopardy”, en los que tienes un mix de hacking web, cripto, forense, reversing, web … pero que no tienen un hilo conductor. En un CTF DFIR, sin embargo, las preguntas suelen contar una historia: cada reto es una pieza más del puzzle, de modo que al terminar el CTF deberías de poder contar “qué narices ha pasado” con el incidente.

Este tipo de CTF DFIR son muy interesantes, porque además de poder practicar con las herramientas clásicas (la “memoria muscular” que hace que muchos comandos y herramientas te salgan solas), te permite aprender nuevas cosas (“¿qué es RustDesk? ¿de verdad hay tantas herramientas RMM sueltas por el mundo? Skynet llévame pronto”) y sobre todo, aprender a cómo investigar sistemas (una habilidad fundamental si quieres dominar IR).

Por todo esto, hemos realizado una lista bastante jugosa con un montón de CTF DFIR que puedes emplear para practicar, mejorar y afilar tus skills. [NOTA: hay CTF más antiguos, pero he puesto aproximadamente de año de corte 2019 para que tener los más modernos. Los que están y son más antiguos, es porque hay un buen motivo para ello  ;-) ]

Primer bloque: los imprescindibles

Si ya sabes algo de DFIR en Windows (que si te dedicas a esto, va a ser el 80-90% de tu día a día fácilmente) y quieres practicar, estos son los CTF DFIR por los que deberías empezar a afinar tus habilidades… !sobre todo porque tienes solución de todos ellos!

[Read more…]

Evasión avanzada de SQLi (IDS/WAF): técnicas manuales explicadas

2 de septiembre de 2025 Por Leave a Comment

SQLPAB o cómo explotar inyecciones SQL avanzadas

Muchos conoceréis la famosa herramienta SQLMAP, pero también habréis podido comprobar que su efectividad no es del 100%, incluso con el uso de los tampers, utilizados para nuestra causa actual: evadir IDS/WAF; y es aquí donde entra nuestra “herramienta” SQLPAB. Y por qué entrecomillo herramienta, pues porque realmente es una broma interna del equipo de redteam de CSIRTCV, es nuestra manera de hablar de las explotaciones manuales, por nuestro compañero y amigo Pablo Arias.

Como bien he comentado, vamos a centrarnos en la detección e inyección SQL manual, con algunos payloads de evasión de IDS/WAF; y es que la inyección SQL (SQLi) sigue siendo una de las vulnerabilidades más explotadas. A medida que los IDS (Sistemas de Detección de Intrusos) y los WAF (Web Application Firewall) mejoran, nosotros debemos recurrir a técnicas de evasión para burlar estos sistemas.  Y es por esto, que en este post me centraré en algunos ejemplos prácticos de cómo evadir un IDS mediante SQLi en Oracle y MySQL, la mayoría de los cuales hemos utilizado en auditorias donde hemos encontrado algún WAF. Cabe mencionar, además, que otro de los motivos por los que preferimos el uso de inyecciones manuales es porque reduce significativamente el número de peticiones realizadas al servidor.

1. Evasión con Comentarios Multilínea

El uso de comentarios SQL (/*...*/) permite ocultar porciones de la consulta, haciendo que el IDS/WAF no detecte el ataque.

  • Ejemplo ORACLE:  SEL/**/ECT/**/user/**/FROM/**/dual/**/–
  • Ejemplo MySQL: SEL/**/ECT/**/user()/**/–

El comentario multilínea, en estos casos, se utiliza para ocultar la palabra SELECT y los espacios evitando así que el IDS/WAF detecte cadenas SQL.

[Read more…]