OWASP - User contributions [en]

Guía para evitar infecciones de RANSOMWARE

2018-09-13T20:04:59Z

Cristian Borghello: Update a version 1.1

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.1 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo ''"Empresa X debió pagar 'rescate' por sus datos"'' u ''"Organización Pública Y no puede prestar atención porque su información fue secuestrada"''.

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el ''malware'' y en particular contra el ''RANSOMWARE''.

Este documento está destinado a ser una completa guía de '''Defensa en Profundidad''' basada en una lista de verificación, con el fin de evitar infecciones con ''ransomware'' y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ''ransomware'', la guía está orientada en gran medida hacia dicho entorno y, aunque fue diseñada para ser agnóstica, no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ''ransomware''
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, ''antispam'', ''firewall'' y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ''ActiveX'', servicios de ''scripting'' y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar ''Autorun/Autoplay''
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Gestión de protocolos y sistemas operativos obsoletos
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]
* [[User:Walter_Heffel|Walter Heffel]] - [https://www.segu-info.com.ar Segu-Info]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/images/b/b0/Owasp-guia-evitar-ransomware_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Defenders]] [[Category:OWASP_Document]] [[Category:Principle]] [[Category:Attack‏‎]]

File:Owasp-guia-evitar-ransomware es.pdf

2018-09-13T20:03:08Z

Cristian Borghello: Cristian Borghello uploaded a new version of File:Owasp-guia-evitar-ransomware es.pdf

Documento destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Guía para evitar infecciones de RANSOMWARE

2018-09-13T19:59:45Z

Cristian Borghello: /* Guía para evitar infecciones de RANSOMWARE */

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo ''"Empresa X debió pagar 'rescate' por sus datos"'' u ''"Organización Pública Y no puede prestar atención porque su información fue secuestrada"''.

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el ''malware'' y en particular contra el ''RANSOMWARE''.

Este documento está destinado a ser una completa guía de '''Defensa en Profundidad''' basada en una lista de verificación, con el fin de evitar infecciones con ''ransomware'' y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ''ransomware'', la guía está orientada en gran medida hacia dicho entorno y, aunque fue diseñada para ser agnóstica, no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ''ransomware''
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, ''antispam'', ''firewall'' y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ''ActiveX'', servicios de ''scripting'' y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar ''Autorun/Autoplay''
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Gestión de protocolos y sistemas operativos obsoletos
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]
* [[User:Walter_Heffel|Walter Heffel]] - [https://www.segu-info.com.ar Segu-Info]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/images/b/b0/Owasp-guia-evitar-ransomware_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Defenders]] [[Category:OWASP_Document]] [[Category:Principle]] [[Category:Attack‏‎]]

Guía para evitar infecciones de RANSOMWARE

2018-09-13T19:56:13Z

Cristian Borghello: /* Créditos */

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo ''"Empresa X debió pagar 'rescate' por sus datos"'' u ''"Organización Pública Y no puede prestar atención porque su información fue secuestrada"''.

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el ''malware'' y en particular contra el ''RANSOMWARE''.

Este documento está destinado a ser una completa guía de '''Defensa en Profundidad''' basada en una lista de verificación, con el fin de evitar infecciones con ''ransomware'' y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ''ransomware'', la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ''ransomware''
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, ''antispam'', ''firewall'' y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ''ActiveX'', servicios de ''scripting'' y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar ''Autorun/Autoplay''
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]
* [[User:Walter_Heffel|Walter Heffel]] - [https://www.segu-info.com.ar Segu-Info]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/images/b/b0/Owasp-guia-evitar-ransomware_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Defenders]] [[Category:OWASP_Document]] [[Category:Principle]] [[Category:Attack‏‎]]

Guía para evitar infecciones de RANSOMWARE

2018-09-06T21:04:39Z

Cristian Borghello: agregadas categorias

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo ''"Empresa X debió pagar 'rescate' por sus datos"'' u ''"Organización Pública Y no puede prestar atención porque su información fue secuestrada"''.

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el ''malware'' y en particular contra el ''RANSOMWARE''.

Este documento está destinado a ser una completa guía de '''Defensa en Profundidad''' basada en una lista de verificación, con el fin de evitar infecciones con ''ransomware'' y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ''ransomware'', la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ''ransomware''
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, ''antispam'', ''firewall'' y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ''ActiveX'', servicios de ''scripting'' y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar ''Autorun/Autoplay''
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/images/b/b0/Owasp-guia-evitar-ransomware_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Defenders]] [[Category:OWASP_Document]] [[Category:Principle]] [[Category:Attack‏‎]]

File:Owasp-guia-evitar-ransomware es.pdf

2018-09-05T13:04:28Z

Cristian Borghello: Cristian Borghello uploaded a new version of File:Owasp-guia-evitar-ransomware es.pdf

File:Owasp-guia-evitar-ransomware es.pdf

2018-09-04T17:37:55Z

Cristian Borghello: Cristian Borghello uploaded a new version of File:Owasp-guia-evitar-ransomware es.pdf

Guía para evitar infecciones de RANSOMWARE

2018-09-03T21:39:50Z

Cristian Borghello: /* Guía para evitar infecciones de RANSOMWARE */

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo ''"Empresa X debió pagar 'rescate' por sus datos"'' u ''"Organización Pública Y no puede prestar atención porque su información fue secuestrada"''.

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el ''malware'' y en particular contra el ''RANSOMWARE''.

Este documento está destinado a ser una completa guía de '''Defensa en Profundidad''' basada en una lista de verificación, con el fin de evitar infecciones con ''ransomware'' y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ''ransomware'', la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ''ransomware''
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, ''antispam'', ''firewall'' y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ''ActiveX'', servicios de ''scripting'' y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar ''Autorun/Autoplay''
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/images/b/b0/Owasp-guia-evitar-ransomware_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía para evitar infecciones de RANSOMWARE

2018-09-03T18:37:55Z

Cristian Borghello: Agregado enlace PDF

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Z no puede prestar atención porque su información fue secuestrada".

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ransomware
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, antispam, firewall y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ActiveX, servicios de scripting y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar Autorun/Autoplay
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/images/b/b0/Owasp-guia-evitar-ransomware_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

File:Owasp-guia-evitar-ransomware es.pdf

2018-09-03T18:36:55Z

Cristian Borghello: Documento destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Guía para evitar infecciones de RANSOMWARE

2018-09-03T16:04:17Z

Cristian Borghello: cambios en los creditos

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Z no puede prestar atención porque su información fue secuestrada".

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ransomware
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, antispam, firewall y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ActiveX, servicios de scripting y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar Autorun/Autoplay
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://equipoantiransom.com Equipo AntiRansom]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía para evitar infecciones de RANSOMWARE

2018-09-03T14:06:34Z

Cristian Borghello: cambios menores en el indice

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| style="background:#d9e9f9" width="70%" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Z no puede prestar atención porque su información fue secuestrada".

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.
== Contenido ==

* Introducción
* El negocio del ransomware
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus, antispam, firewall y filtro de contenido
* Extensiones de los archivos
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros, ActiveX, servicios de scripting y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar Autorun/Autoplay
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales, Responsabilidad Penal y Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" width="100" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| style="background:#eeeeee" width="30%" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://www.smartfense.com SMARTFENSE]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía para evitar infecciones de RANSOMWARE

2018-09-03T14:01:55Z

Cristian Borghello: cambios nombres empresas

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Z no puede prestar atención porque su información fue secuestrada".

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.

== Contenido ==

* Información de la Guía
* Licenciamiento
* Colaboradores
* Resumen Ejecutivo
* Introducción
* El negocio del ransomware
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus
* Utilizar antispam, firewall y filtro de contenido
* Mostrar las extensiones de los archivos
* Filtrar archivos con extensiones peligrosas
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros y ActiveX en las herramientas de ofimática
* Deshabilitar servicios de scripting y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar Autorun/Autoplay
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales
** Responsabilidad Penal
** Responsabilidad Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com SMARTFENSE]
* Matías Sequeira – [https://www.smartfense.com SMARTFENSE]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía para evitar infecciones de RANSOMWARE

2018-09-03T13:21:33Z

Cristian Borghello: primera version de la guia

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía para evitar infecciones de RANSOMWARE =

Guía para evitar infecciones de RANSOMWARE versión 1.0 (Español) fue publicada en septiembre de 2018.

== Objetivos ==

En los últimos años, son cada vez más comunes los titulares del tipo "Empresa X debió pagar 'rescate' por sus datos" u "Organización Pública Z no puede prestar atención porque su información fue secuestrada".

Parece que las organizaciones están preparadas para enfrentar distintos tipos de incidentes físicos como cortes de energía e inundaciones, pero sigue siendo común que toda la infraestructura de datos sea privada de funcionamiento porque alguien hizo clic en un enlace malicioso o abrió un archivo adjunto de un correo electrónico dañino. Debido a esto muchas organizaciones luchan contra el malware y en particular contra el RANSOMWARE.

Este documento está destinado a ser una completa guía de Defensa en Profundidad basada en una lista de verificación, con el fin de evitar infecciones con ransomware y, en última instancia crear procedimientos adecuados para la recuperación de la información.

Dada la prevalencia de los sistemas operativos Windows como objetivo (de más del 90%) del ransomware, la guía está orientada en gran medida hacia dicho entorno, pero está diseñada para ser agnóstica del entorno, aunque no siempre se podrán aplicar todos los controles en todos los casos.

== Contenido ==

* Información de la Guía
* Licenciamiento
* Colaboradores
* Resumen Ejecutivo
* Introducción
* El negocio del ransomware
* Un negocio como cualquier otro
* Mercado e innovación
* Grado de madurez
* Cómo evitar infectarse
* Hacer backup periódico de la información
* Concientizar y entrenar a los usuarios
* Aplicar un modelo de mínimo privilegio
* Segmentar la Red
* Revisar recursos compartidos y unidades externas
* Utilizar soluciones antivirus
* Utilizar antispam, firewall y filtro de contenido
* Mostrar las extensiones de los archivos
* Filtrar archivos con extensiones peligrosas
* Inventariar y controlar aplicaciones
* Instalar actualizaciones del sistema operativo y aplicaciones
* Deshabilitar ejecución de archivos temporales
* Deshabilitar escritorio remoto
* Restaurar el sistema
* Desactivar las macros y ActiveX en las herramientas de ofimática
* Deshabilitar servicios de scripting y consolas
* Bloquear publicidad y ventanas emergentes
* Desactivar Autorun/Autoplay
* Apagar conexiones inalámbricas
* Instalar herramientas de terceros
* Proteger el MBR
* Aislar el equipo infectado
* Recuperación de archivos cifrados
* Proceso de pago
* Aspectos legales
** Responsabilidad Penal
** Responsabilidad Civil
* Conclusión

== Licencia ==

La '''Guía para evitar infecciones de RANSOMWARE''' es de uso gratuito. Esta Guía está bajo [https://creativecommons.org/licenses/by-sa/4.0/deed.es_ES licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =
== Español ==

* [[User:Cristian_Borghello|Cristian Borghello]] - [https://www.segu-info.com.ar Segu-Info]
* Marcelo Temperini – [https://www.asegurarte.com.ar AsegurarTE]
* Mauro Gioino – [https://equipoantiransom.com Equipo AntiRansom]
* Nicolás Gustavo Bruna – [https://www.smartfense.com Smartfense]
* Matías Sequeira – [https://www.smartfense.com Smartfense]
* Maximiliano Macedo – [https://www.asegurarte.com.ar AsegurarTE]

= Descargar Guía =

La Guía para evitar infecciones de RANSOMWARE está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

User:Cristian Borghello

2018-03-27T20:54:49Z

Cristian Borghello: update cv

Cristian F. Borghello, es Licenciado en Sistemas, desarrollador, [http://www.isc2.org/CISSP Certified Information Systems Security Professional (CISSP)], [https://cloudsecurityalliance.org/education/ccsk/ CCSK (Certificate of Cloud Security Knowledge)] y [http://mvp.microsoft.com/en-us/default.aspx Microsoft MVP Security (Most Valuable Professional)].

Actualmente es Director de [https://www.segu-info.com.ar Segu-Info], [https://www.segu-kids.org Segu-Kids], [https://antiphishing.com.ar/ Antiphishing] y [https://www.ODILA.org ODILA] y se desempeña como consultor independiente en Seguridad de la Información.

Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información.

Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática, entre ellos en OWASP. Ha participado en la traducción del OWASP Top 10 - 2017.

Puedes ponerte en contacto [mailto:info@segu-info.com.ar aquí].

Top 10-2017 Top 10

2018-03-27T20:45:07Z

Cristian Borghello: Other languages added

=== [[OWASP_Top_Ten_Project#Translation_Efforts_2|Translation Efforts - Otros Idiomas]] ===
{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=applicationSecurityRisks|year=2017|language=en}}
|usenext=2017NextLink
|next=A1-{{Top_10_2010:ByTheNumbers
|1
|year=2017
|language=en
}}
|year=2017
|language=en
}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate
|type={{Top_10_2010:StyleTemplate}}
|subsection=freetext
|position=firstWhole
|title={{Top_10:LanguageFile|text=OWASPTop10ApplicationSecurityRisks|year=2017|language=en}} - 2017
|year=2017
}}<br/ style="font-size:5px">
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A1-{{Top_10_2010:ByTheNumbers|1|year=2017|language=en}} | A1:2017-{{Top_10_2010:ByTheNumbers|1|year=2017|language=en}}]]
: Injection flaws, such as SQL, NoSQL, OS, and LDAP injection, occur when untrusted data is sent to an interpreter as part of a command or query. The attacker's hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A2-{{Top_10_2010:ByTheNumbers|2|year=2017|language=en}} | A2:2017-{{Top_10_2010:ByTheNumbers|2|year=2017|language=en}}]]
: Application functions related to authentication and session management are often implemented incorrectly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users' identities temporarily or permanently.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A3-{{Top_10_2010:ByTheNumbers|3|year=2017|language=en}} | A3:2017-{{Top_10_2010:ByTheNumbers|3|year=2017|language=en}}]]
: Many web applications and APIs do not properly protect sensitive data, such as financial, healthcare, and PII. Attackers may steal or modify such weakly protected data to conduct credit card fraud, identity theft, or other crimes. Sensitive data may be compromised without extra protection, such as encryption at rest or in transit, and requires special precautions when exchanged with the browser.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A4-{{Top_10_2010:ByTheNumbers|4|year=2017|language=en}} | A4:2017-{{Top_10_2010:ByTheNumbers|4|year=2017|language=en}}]]
: Many older or poorly configured XML processors evaluate external entity references within XML documents. External entities can be used to disclose internal files using the file URI handler, internal file shares, internal port scanning, remote code execution, and denial of service attacks.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A5-{{Top_10_2010:ByTheNumbers|5|year=2017|language=en}} | A5:2017-{{Top_10_2010:ByTheNumbers|5|year=2017|language=en}}]]
: Restrictions on what authenticated users are allowed to do are often not properly enforced. Attackers can exploit these flaws to access unauthorized functionality and/or data, such as access other users' accounts, view sensitive files, modify other users' data, change access rights, etc.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A6-{{Top_10_2010:ByTheNumbers|6|year=2017|language=en}} | A6:2017-{{Top_10_2010:ByTheNumbers|6|year=2017|language=en}}]]
: Security misconfiguration is the most commonly seen issue. This is commonly a result of insecure default configurations, incomplete or ad hoc configurations, open cloud storage, misconfigured HTTP headers, and verbose error messages containing sensitive information. Not only must all operating systems, frameworks, libraries, and applications be securely configured, but they must be patched/upgraded in a timely fashion.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A7-{{Top_10_2010:ByTheNumbers|7|year=2017|language=en}} | A7:2017-{{Top_10_2010:ByTheNumbers|7|year=2017|language=en}}]]
: XSS flaws occur whenever an application includes untrusted data in a new web page without proper validation or escaping, or updates an existing web page with user-supplied data using a browser API that can create HTML or JavaScript. XSS allows attackers to execute scripts in the victim's browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A8-{{Top_10_2010:ByTheNumbers|8|year=2017|language=en}} | A8:2017-{{Top_10_2010:ByTheNumbers|8|year=2017|language=en}}]]
: Insecure deserialization often leads to remote code execution. Even if deserialization flaws do not result in remote code execution, they can be used to perform attacks, including replay attacks, injection attacks, and privilege escalation attacks.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }}_A9-{{Top_10_2010:ByTheNumbers|9|year=2017|language=en}} | A9:2017-{{Top_10_2010:ByTheNumbers|9|year=2017|language=en}}]]
: Components, such as libraries, frameworks, and other software modules, run with the same privileges as the application. If a vulnerable component is exploited, such an attack can facilitate serious data loss or server takeover. Applications and APIs using components with known vulnerabilities may undermine application defenses and enable various attacks and impacts.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
[[{{Top_10:LanguageFile|text=documentRootTop10New|language=en|year=2017 }} A10-{{Top_10_2010:ByTheNumbers|10|year=2017|language=en}} | A10:2017-{{Top_10_2010:ByTheNumbers|10|year=2017|language=en}}]]
: Insufficient logging and monitoring, coupled with missing or ineffective integration with incident response, allows attackers to further attack systems, maintain persistence, pivot to more systems, and tamper, extract, or destroy data. Most breach studies show time to detect a breach is over 200 days, typically detected by external parties rather than internal processes or monitoring.
{{Top 10:GrayBoxEnd|year=2017}}

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=applicationSecurityRisks|year=2017|language=en}}
|usenext=2017NextLink
|next=A1-{{Top_10_2010:ByTheNumbers
|1
|year=2017
|language=en
}}
|year=2017
|language=en
}}

ASVS V5 Input validation and output encoding

2018-03-16T14:06:51Z

Cristian Borghello: Visualization issues

== V5: Input Validation and Output Encoding Verification Requirements ==

=== Control Objective ===

The most common web application security weakness is the failure to properly validate input coming from the client or from the environment before using it. This weakness leads to almost all of the major vulnerabilities in web applications, such as cross site scripting, SQL injection, interpreter injection, locale/Unicode attacks, file system attacks, and buffer overflows.

Ensure that a verified application satisfies the following high level requirements:

* All input is validated to be correct and fit for the intended purpose.
* Data from an external entity or client should never be trusted and should be handled accordingly.

=== Security Verification Requirements ===
{| class="wikitable"
|-
! # !! Description !! L1 !! L2 !! L3 !! Since
|-
| 5.3 || Verify that server side input validation failures result in request rejection and are logged. || ✓ || ✓ || ✓ || 1.0
|-
| 5.5 || Verify that input validation routines are enforced on the server side. || ✓ || ✓ || ✓ || 1.0
|-
| 5.6 || Verify that a centralized input validation control mechanism is used by the application. || ✓ || ✓ || ✓ || 1.0
|-
| 5.10 || Verify that all database queries are protected by the use of parameterized queries or proper ORM usage to avoid SQL injection. || ✓ || ✓ || ✓ || 2.0
|-
| 5.11 || Verify that the application is not susceptible to LDAP Injection, or that security controls prevent LDAP Injection. || ✓ || ✓ || ✓ || 2.0
|-
| 5.12 || Verify that the application is not susceptible to OS Command Injection, or that security controls prevent OS Command Injection. || ✓ || ✓ || ✓ || 2.0
|-
| 5.13 || Verify that the application is not susceptible to Remote File Inclusion (RFI) or Local File Inclusion (LFI) when content is used that is a path to a file. || ✓ || ✓ || ✓ || 3.0
|-
| 5.14 || Verify that the application is not susceptible XPath injection or XML injection attacks. || ✓ || ✓ || ✓ || 2.0
|-
| 5.15 || Verify that all string variables placed into HTML or other web client code are either properly contextually encoded manually, or utilize templates that automatically contextually encode to ensure the application is not susceptible to reflected, stored or DOM Cross-Site Scripting (XSS) attacks. || ✓ || ✓ || ✓ || 3.1
|-
| 5.16 || Verify that the application does not contain mass parameter assignment (AKA automatic variable binding) vulnerabilities. || || ✓ || ✓ || 3.1
|-
| 5.17 || Verify that the application has defenses against HTTP parameter pollution attacks, particularly if the application framework makes no distinction about the source of request parameters (GET, POST, cookies, headers, environment, etc.) || || ✓ || ✓ || 2.0
|-
| 5.19 || Verify that all input data is validated, not only HTML form fields but all sources of input such as REST calls, query parameters, HTTP headers, cookies, batch files, RSS feeds, etc; using positive validation (whitelisting), then lesser forms of validation such as grey listing (eliminating known bad strings), or rejecting bad inputs (blacklisting). || || ✓ || ✓ || 3.0
|-
| 5.20 || Verify that structured data is strongly typed and validated against a defined schema including allowed characters, length and pattern (e.g. credit card numbers or telephone, or validating that two related fields are reasonable, such as validating suburbs and zip or post codes match). || || ✓ || ✓ || 3.0
|-
| 5.21 || Verify that unstructured data is sanitized to enforce generic safety measures such as allowed characters and length, and characters potentially harmful in given context should be escaped (e.g. natural names with Unicode or apostrophes, such as ねこ or O'Hara) || || ✓ || ✓ || 3.0
|-
| 5.22 || Verify that all untrusted HTML input from WYSIWYG editors or similar is properly sanitized with an HTML sanitizer library or framework feature. || ✓ || ✓ || ✓ || 3.0
|-
| 5.24 || Verify that where data is transferred from one DOM context to another, the transfer uses safe JavaScript methods, such as using innerText or .val to ensure the application is not susceptible to DOM Cross-Site Scripting (XSS) attacks. || || ✓ || ✓ || 3.1
|-
| 5.25 || Verify when parsing JSON in browsers or JavaScript based backends, that JSON.parse is used to parse the JSON document. Do not use eval() to parse JSON. || || ✓ || ✓ || 3.0
|-
| 5.27 || Verify the application for Server Side Request Forgery vulnerabilities. || ✓ || ✓ || ✓ || 3.1
|-
| 5.28 || Verify that the application correctly restricts XML parsers to only use the most restrictive configuration possible and to ensure that dangerous features such as resolving external entities are disabled. || ✓ || ✓ || ✓ || 3.1
|-
| 5.29 || Verify that deserialization of untrusted data is avoided or is extensively protected when deserialization cannot be avoided. || ✓ || ✓ || ✓ || 3.1
|}
=== References ===
For more information, see also:

* [OWASP Testing Guide 4.0: Input Validation Testing](https://www.owasp.org/index.php/Testing_for_Input_Validation)
* [OWASP Cheat Sheet: Input Validation](https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet)
* [OWASP Testing Guide 4.0: Testing for HTTP Parameter Pollution](https://www.owasp.org/index.php/Testing_for_HTTP_Parameter_pollution_%28OTG-INPVAL-004%29)
* [OWASP LDAP Injection Cheat Sheet ](https://www.owasp.org/index.php/LDAP_Injection_Prevention_Cheat_Sheet)
* [OWASP Testing Guide 4.0: Client Side Testing ](https://www.owasp.org/index.php/Client_Side_Testing)
* [OWASP Cross Site Scripting Prevention Cheat Sheet ](https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet)
* [OWASP DOM Based Cross Site Scripting Prevention Cheat Sheet ](https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet)
* [OWASP Java Encoding Project](https://www.owasp.org/index.php/OWASP_Java_Encoder_Project)

For more information on auto-escaping, please see:

* [Reducing XSS by way of Automatic Context-Aware Escaping in Template Systems](http://googleonlinesecurity.blogspot.com/2009/03/reducing-xss-by-way-of-automatic.html)
* [AngularJS Strict Contextual Escaping](https://docs.angularjs.org/api/ng/service/$sce)
* [ReactJS Escaping](https://reactjs.org/docs/introducing-jsx.html#jsx-prevents-injection-attacks)
* [Improperly Controlled Modification of Dynamically-Determined Object Attributes](https://cwe.mitre.org/data/definitions/915.html)

Category:OWASP Top Ten Project

2018-02-06T14:42:06Z

Cristian Borghello:

=Main=
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: flagship_big.jpg|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]</div>
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

== OWASP Top 10 2017 Released==
The [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017]] is now available.

==OWASP Top 10 Most Critical Web Application Security Risks==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

==Translation Efforts==

The OWASP Top 10 has been translated to many different languages by numerous volunteers. These translations are available as follows:

* [[Top10#Translation_Efforts_2 | OWASP Top 10 - 2017 translations are currently underway]]
* [[Top10#OWASP_Top_10_for_2013 | All versions of the OWASP Top 10 - 2013]]
* [[Top10#OWASP_Top_10_for_2010 | All versions of the OWASP Top 10 - 2010]]

== Related Projects ==

* [[OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks | OWASP Mobile Top 10 Risks]]

* [[OWASP_Top_Ten_Cheat_Sheet | OWASP Top 10 Cheat Sheet]]

* [[OWASP_Proactive_Controls | Top 10 Proactive Controls]]

== Project Sponsors ==

The OWASP Top 10 - 2017 project is sponsored by

{{MemberLinks|link=https://www.autodesk.com|logo=Autodesk-logo.png}}

Thanks to [https://www.aspectsecurity.com Aspect Security] for sponsoring earlier versions.

==Licensing==
The OWASP Top 10 is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/4.0/ Creative Commons Attribution-ShareAlike 4.0 license].

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==
* [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017 - PDF]]
* [[:Category:OWASP Top Ten 2017 Project | OWASP Top 10 - 2017 - wiki]]
* Historic:
:* [[Media:OWASP_Top_10_-_2013.pdf | OWASP Top 10 2013 - PDF]]
:* [[Top_10_2013 | OWASP Top 10 2013 - wiki]]
:* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation (PPTX)].

== Donate to OWASP ==
<div class="center" style="width: auto; margin-left: auto; margin-right: auto;">{{#widget:PayPal Donation
|target=_blank
|budget=Other (Website Donation) }}</div>

== Get Involved ==
* [https://github.com/OWASP/Top10/issues Top 10 Issues on GitHub](preferred)
* [https://lists.owasp.org/mailman/listinfo/Owasp-topten Project Email List]

== News and Events ==
* [20 Oct 2017] OWASP Top 10 2017 - RC2 Published
* [20 May 2016] OWASP Top 10 - 2017 Data Call Announced
* [12 Jun 2013] OWASP Top 10 - 2013 Final Released

== Project Leaders ==

* [[User:vanderaj | Andrew van der Stock]]
* [[User:Neil_Smithline | Neil Smithline]]
* [[User:T.Gigler | Torsten Gigler]]

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[File:Owasp-flagship-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Translation Efforts =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

Efforts are underway in numerous languages to translate the OWASP Top 10 - 2017. If you are interested in helping, please contact the members of the team for the language you are interested in contributing to, or if you don't see your language listed (neither here nor at [https://github.com/OWASP/Top10/issues?utf8=%E2%9C%93&q=is%3Aissue github]), please email owasp-topten@lists.owasp.org to let us know that you want to help and we'll form a volunteer group for your language.
We have compiled this [https://github.com/OWASP/Top10/blob/master/2017/translations/README.TRANSLATIONS README.TRANSLATIONS] with some hints to help you with your translation.


2017 Completed Translations:
* Japanese: [[Media:OWASP_Top_10-2017%28ja%29.pdf|OWASP Top 10 2017 - 日本語版 (PDF)]] translated and reviewed by Akitsugu ITO, Albert Hsieh, Chie TAZAWA, Hideko IGARASHI, Hiroshi TOKUMARU, Naoto KATSUMI, Riotaro OKADA, Robert DRACEA, Satoru TAKAHASHI, Sen UENO, Shoichi NAKATA, Takanori NAKANOWATARI ,Takanori ANDO, Tomohiro SANAE.

* Korean: [[Media:OWASP_Top_10-2017-ko.pdf|OWASP Top 10 2017 - 한글 (PDF)]] 번역 프로젝트 관리 및 감수 : 박형근(Hyungkeun Park) / 감수(ㄱㄴㄷ순) : 강용석(YongSeok Kang), 박창렴(Park Changryum), 조민재(Johnny Cho) / 편집 및 감수 : 신상원(Shin Sangwon) / 번역(ㄱㄴㄷ순) : 김영하(Youngha Kim), 박상영(Sangyoung Park), 이민욱(MinWook Lee), 정초아(JUNG CHOAH), 조광렬(CHO KWANG YULL), 최한동(Handong Choi)

* Chinese: [https://www.owasp.org/index.php/File:OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.2.pdf OWASP Top10 2017（最终版）PDF] 
# 项目组长：[[User:Jie_Wang|王颉]]（wangj@owasp.org.cn）
# 翻译人员：陈亮、王厚奎、王颉、王文君、王晓飞、吴楠、徐瑞祝、夏天泽、杨璐、张剑钟、赵学文（排名不分先后，按姓氏拼音排列）
# 审查人员：Rip、包悦忠、李旭勤、杨天识、张家银（排名不分先后，按姓氏拼音排列）
# 汇编人员：赵学文

* Spanish: [https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf OWASP Top 10 2017（Español）PDF] 
# [[User:Gerardo_Canedo|Gerardo Canedo]]（Gerardo.Canedo@owasp.org - [https://www.twitter.com/GerardoMCanedo @GerardoMCanedo])
# [[User:Cristian_Borghello|Cristian Borghello]]（Cristian.Borghello@owasp.org - [https://www.twitter.com/seguinfo @seguinfo])

2017 Release Candidate Translation Teams:

* Azerbaijanian: Rashad Aliyev (rashad@aliev.info)

* Chinese RC2:Rip、包悦忠、李旭勤、王颉、王厚奎、吴楠、徐瑞祝、夏天泽、张家银、张剑钟、赵学文(排名不分先后，按姓氏拼音排列) [https://www.owasp.org/images/d/d6/OWASP_Top_10_2017%EF%BC%88RC2%EF%BC%89%E4%B8%AD%E6%96%87%E7%89%88%EF%BC%88%E5%8F%91%E5%B8%83%E7%89%88%EF%BC%89.pdf OWASP Top10 2017 RC2 - Chinese PDF]
* French: Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org.
* Others to be listed.

2013 Completed Translations:

* Arabic: [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic PDF] Translated by: Mohannad Shahat: Mohannad.Shahat@owasp.org, Fahad: @SecurityArk, Abdulellah Alsaheel: cs.saheel@gmail.com, Khalifa Alshamsi: Khs1618@gmail.com and Sabri(KING SABRI): king.sabri@gmail.com, Mohammed Aldossary: mohammed.aldossary@owasp.org
* Chinese 2013：中文版2013 [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)]. 项目组长： Rip、王颉，参与人员：陈亮、顾庆林、胡晓斌、李建蒙、王文君、杨天识、张在峰
* Czech 2013: [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)] [https://www.owasp.org/images/0/02/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pptx OWASP Top 10 2013 - Czech (PPTX)] CSIRT.CZ - CZ.NIC, z.s.p.o. (.cz domain registry): Petr Zavodsky: petr.zavodsky@owasp.org, Vaclav Klimes, Zuzana Duracinska, Michal Prokop, Edvard Rejthar, Pavel Basta
*French 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French PDF] Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org, Erwan Abgrall: g4l4drim@gmail.com, Benjamin Avet: benjamin.avet@gmail.com, Jocelyn Aubert: jocelyn.aubert@owasp.org, Damien Azambour: damien.azambourg@owasp.org, Aline Barthelemy: aline.barthelemy@fr.abb.com, Moulay Abdsamad Belghiti: abdsamad.belghiti@gmail.com, Gregory Blanc: gregory.blanc@gmail.com, Clément Capel: clement.capel@sfr.com, Etienne Capgras: Etienne.capgras@solucom.fr, Julien Cayssol: julien@aqwz.com, Antonio Fontes: antonio.fontes@owasp.org, Ely de Travieso: Ely.detravieso@owasp.org, Nicolas Grégoire: nicolas.gregoire@agarri.fr, Valérie Lasserre: valerie.lasserre@gmx.fr, Antoine Laureau: antoine.laureau@owasp.org, Guillaume Lopes: lopes.guillaume@free.fr, Gilles Morain: gilles.morain@gmail.com, Christophe Pekar: christophe.pekar@owasp.org, Olivier Perret: perrets@free.fr, Michel Prunet: michel.prunet@owasp.org, Olivier Revollat: revollat@gmail.com, Aymeric Tabourin: aymeric.tabourin@orange.com
* German 2013: [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Torsten Gigler, Tobias Glemser, Dr. Ingo Hanke, Thomas Herzog, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
* Hebrew 2013: [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf PDF] Translated by: Or Katz, Eyal Estrin, Oran Yitzhak, Dan Peled, Shay Sivan.
* Italian 2013: [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian PDF] Translated by: Michele Saporito: m.saporito7@gmail.com, Paolo Perego: thesp0nge@owasp.org, Matteo Meucci: matteo.meucci@owasp.org, Sara Gallo: sara.gallo@gmail.com, Alessandro Guido: alex@securityaddicted.com, Mirko Guido Spezie: mirko@dayu.it, Giuseppe Di Cesare: giuseppe.dicesare@alice.it, Paco Schiaffella: schiaffella@gmail.com, Gianluca Grasso: giandou@gmail.com, Alessio D'Ospina: alessiodos@gmail.com, Loredana Mancini: loredana.mancini@business-e.it, Alessio Petracca: alessio.petracca@gmail.com, Giuseppe Trotta: giutrotta@gmail.com, Simone Onofri: simone.onofri@gmail.com, Francesco Cossu: hambucker@gmail.com, Marco Lancini: marco.lancini.ml@gmail.com, Stefano Zanero: zanero@elet.polimi.it, Giovanni Schmid: giovanni.schmid@na.icar.cnr.it, Igor Falcomata': koba@sikurezza.org
*Japanese 2013: [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese PDF] Translated by: Chia-Lung Hsieh: ryusuke.tw(at)gmail.com, Reviewed by: Hiroshi Tokumaru, Takanori Nakanowatari
* Korean 2013: [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korean PDF] (이름가나다순) 김병효:byounghyo.kim@owasp.org, 김지원:jiwon.kim@owasp.or.kr, 김효근:katuri@katuri.kr, 박정훈:xelion@gmail.com, 성영모:youngmo.seong@owasp.or.kr, 성윤기:yune.sung@owasp.org, 송보영:boyoung.song@owasp.or.kr, 송창기:factor7@naver.com, 유정호:griphis77@gmail.com, 장상민:sangmin.jang@owasp.or.kr, 전영재:youngjae.jeon@owasp.org, 정가람:tgcarrot@gmail.com, 정홍순:jhs728@gmail.com, 조민재:johnny.cho@owasp.org,허성무:issimplenet@gmail.com
*Brazilian Portuguese 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese PDF] Translated by: Carlos Serrão, Marcio Machry, Ícaro Evangelista de Torres, Carlo Marcelo Revoredo da Silva, Luiz Vieira, Suely Ramalho de Mello, Jorge Olímpia, Daniel Quintão, Mauro Risonho de Paula Assumpção, Marcelo Lopes, Caio Dias, Rodrigo Gularte
*Spanish 2013: [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish PDF] Gerardo Canedo: gerardo.canedo@owasp.org, Jorge Correa: jacorream@gmail.com, Fabien Spychiger: fabien.spychiger@dreamlab.net, Alberto Hill: alberto.daniel.hill@gmail.com, Johnatan Stanley: johnatanst@gmail.com, Maximiliano Alonzo: malonzo@tib.com.uy, Mateo Martinez: mateo.martinez@owasp.org, David Montero: david.montero@owasp.org, Rodrigo Martinez: rodmart@fing.edu.uy, Guillermo Skrilec: guillermo.skrilec@owasp.org, Felipe Zipitria: felipe.zipitria@owasp.org, Fabien Spychiger: fabien.spychiger@dreamlab.net, Rafael Gil: rafael.gillarios@owasp.org, Christian Lopez: christian.lopez.martin@owasp.org, jonathan fernandez jonathan.fernandez04@gmail.com, Paola Rodriguez: Paola_R1@verifone.com, Hector Aguirre: hector.antonio.aguirre@owasp.org, Roger Carhuatocto: rcarhuatocto@intix.info, Juan Carlos Calderon: johnccr@yahoo.com, Marc Rivero López: mriverolopez@gmail.com, Carlos Allendes: carlos.allendes@owasp.org, daniel@carrero.cl: daniel@carrero.cl, Manuel Ramírez: manuel.ramirez.s@gmail.com, Marco Miranda: marco.miranda@owasp.org, Mauricio D. Papaleo Mayada: mpapaleo@gmail.com, Felipe Sanchez: felipe.sanchez@peritajesinformaticos.cl, Juan Manuel Bahamonde: juanmanuel.bahamonde@gmail.com, Adrià Massanet: adriamassanet@gmail.com, Jorge Correa: jacorream@gmail.com, Ramiro Pulgar: ramiro.pulgar@owasp.org, German Alonso Suárez Guerrero: german.suarez@owasp.org, Jose A. Guasch: jaguasch@gmail.com, Edgar Salazar: edgar.salazar@owasp.org
*Ukrainian 2013: [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian PDF] Kateryna Ovechenko, Yuriy Fedko, Gleb Paharenko, Yevgeniya Maskayeva, Sergiy Shabashkevich, Bohdan Serednytsky

2010 Completed Translations:

*Korean 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF] Hyungkeun Park, (mirrk1@gmail.com)
*Spanish 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF] *Daniel Cabezas Molina , Edgar Sanchez, Juan Carlos Calderon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera
*French 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF] ludovic.petit@owasp.org, sebastien.gioria@owasp.org, antonio.fontes@owasp.org, benoit.guerette@owasp.org, Jocelyn.aubert@owasp.org, Eric.Garreau@gemalto.com, Guillaume.Huysmans@gemalto.com
*German: [[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Tobias Glemser, Dr. Ingo Hanke, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
*Indonesian: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF] Tedi Heriyanto (coordinator), Lathifah Arief, Tri A Sundara, Zaki Akhmad
*Italian: [https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF] Simone Onofri, Paolo Perego, Massimo Biagiotti, Edoardo Viscosi, Salvatore Fiorillo, Roberto Battistoni, Loredana Mancini, Michele Nesta, Paco Schiaffella, Lucilla Mancini, Gerardo Di Giacomo, Valentino Squilloni
*Japanese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF] cecil.su@owasp.org, Dr. Masayuki Hisada, Yoshimasa Kawamoto, Ryusuke Sakamoto, Keisuke Seki, Shin Umemoto, Takashi Arima
*Chinese: [https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF] 感谢以下为中文版本做出贡献的翻译人员和审核人员: Rip Torn, 钟卫林, 高雯, 王颉, 于振东
*Vietnamese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF] Translation lead by Cecil Su - Translation Team: Dang Hoang Vu, Nguyen Ba Tien, Nguyen Tang Hung, Luong Dieu Phuong, Huynh Thien Tam
*Hebrew: [[OWASP_Top10_Hebrew|OWASP Top 10 Hebrew Project]] -- [https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]. Lead by Or Katz, see translation page for list of contributors.

= OWASP Top 10 for 2013 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On June 12, 2013 the OWASP Top 10 for 2013 was officially released. This version was updated based on numerous comments received during the comment period after the release candidate was released in Feb. 2013.

* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013.pdf OWASP Top 10 2013 document (PDF)].
* [[Top_10_2013 | OWASP Top 10 2013 - Wiki.]]
* [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic (PDF)].
* [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)].
* [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French (PDF)].
* [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German (PDF)]]
* [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf (PDF)]
* [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian (PDF)]
* [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese (PDF)].
* [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korea (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese (PDF)].
* [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish (PDF)]
* [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian (PDF)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation - Presenting Each Item in the Top 10 (PPTX)].

For 2013, the OWASP Top 10 Most Critical Web Application Security Risks are:

* [[Top_10_2013-A1-Injection | A1 Injection]]
* [[Top_10_2013-A2-Broken_Authentication_and_Session_Management | A2 Broken Authentication and Session Management]]
* [[Top_10_2013-A3-Cross-Site_Scripting_(XSS) | A3 Cross-Site Scripting (XSS)]]
* [[Top_10_2013-A4-Insecure_Direct_Object_References | A4 Insecure Direct Object References]]
* [[Top_10_2013-A5-Security_Misconfiguration | A5 Security Misconfiguration]]
* [[Top_10_2013-A6-Sensitive_Data_Exposure | A6 Sensitive Data Exposure]]
* [[Top_10_2013-A7-Missing_Function_Level_Access_Control | A7 Missing Function Level Access Control]]
* [[Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF) | A8 Cross-Site Request Forgery (CSRF)]]
* [[Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities | A9 Using Components with Known Vulnerabilities]]
* [[Top_10_2013-A10-Unvalidated_Redirects_and_Forwards | A10 Unvalidated Redirects and Forwards]]

If you are interested, the methodology for how the Top 10 is produced is now documented here: [[Top_10_2013/ProjectMethodology | OWASP Top 10 Development Methodology]]

Please help us make sure every developer in the ENTIRE WORLD knows about the OWASP Top 10 by helping to spread the word!!!

As you help us spread the word, please emphasize:

*OWASP is reaching out to developers, not just the application security community
*The Top 10 is about managing risk, not just avoiding vulnerabilities
*To manage these risks, organizations need an application risk management program, not just awareness training, app testing, and remediation

We need to encourage organizations to get off the penetrate and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote: “we’ll never hack our way secure – it’s going to take a culture change” for organizations to properly address application security.

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 and 2010 version were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages. The 2013 version was translated into even more languages.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

== Changes between 2010 and 2013 Editions ==

The OWASP Top 10 - 2013 includes the following changes as compared to the 2010 edition:

* A1 Injection
* A2 Broken Authentication and Session Management (was formerly 2010-A3)
* A3 Cross-Site Scripting (XSS) (was formerly 2010-A2)
* A4 Insecure Direct Object References
* A5 Security Misconfiguration (was formerly 2010-A6)
* A6 Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage and 2010-A9 Insufficient Transport Layer Protection were merged to form 2013-A6)
* A7 Missing Function Level Access Control (renamed/broadened from 2010-A8 Failure to Restrict URL Access)
* A8 Cross-Site Request Forgery (CSRF) (was formerly 2010-A5)
* A9 Using Components with Known Vulnerabilities (new but was part of 2010-A6 – Security Misconfiguration)
* A10 Unvalidated Redirects and Forwards

== Other 2013 Top 10 Docs ==

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP Top 10 - 2013 - Release Candidate]
*[https://www.owasp.org/images/3/3d/OWASP_Top_10_-_2013_Final_Release_-_Change_Log.docx OWASP Top 10 - 2013 - Final Release - Change Log (docx)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Changes-from-2010.pptx Focusing on What Changed Since 2010 (PPTX)]

[[File:OWASP_Web_Top_10_for_2013.png]]

== Feedback ==

Please let us know how your organization is using the OWASP Top 10. Include your name, organization's name, and brief description of how you use the list. Thanks for supporting OWASP!

We hope you find the information in the OWASP Top 10 useful. Please contribute back to the project by sending your comments, questions, and suggestions to topten@lists.owasp.org. Thanks!

To join the OWASP Top 10 mailing list or view the archives, please visit the [http://lists.owasp.org/mailman/listinfo/owasp-topten subscription page.]

== Project Sponsors ==

The OWASP Top 10 project is sponsored by {{MemberLinks|link=https://www.aspectsecurity.com|logo=Aspect_logo_owasp.jpg}}



= OWASP Top 10 for 2010 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On April 19, 2010 the final version of the OWASP Top 10 for 2010 was released, and here is the associated [[OWASPTop10-2010-PressRelease|press release]]. This version was updated based on numerous comments received during the comment period after the release candidate was released in Nov. 2009.

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 - 2010 Document]
*[[Top 10 2010|OWASP Top 10 - 2010 - wiki]]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2010%20Presentation.pptx OWASP Top 10 - 2010 Presentation]
*[http://blip.tv/owasp-appsec-conference-in-europe/day2_track1_1430-1505-3936900 OWASP Top 10 Video of the Presentation above - this focused alot on the Top 10 for 2010 approach, rather than the details. (From OWASP AppSec EU 2010)]
*[http://www.vimeo.com/9006276 OWASP Top 10 Video of this Presentation when the Top 10 for 2010 was 1st released for comment - this goes through each item in the Top 10. (From OWASP AppSec DC 2009)]

For 2010, the OWASP Top 10 Most Critical Web Application Security Risks are:

*[[Top_10_2010-A1|A1: Injection]]
*[[Top_10_2010-A2|A2: Cross-Site Scripting (XSS)]]
*[[Top_10_2010-A3|A3: Broken Authentication and Session Management]]
*[[Top_10_2010-A4|A4: Insecure Direct Object References]]
*[[Top_10_2010-A5|A5: Cross-Site Request Forgery (CSRF)]]
*[[Top_10_2010-A6|A6: Security Misconfiguration]]
*[[Top_10_2010-A7|A7: Insecure Cryptographic Storage]]
*[[Top_10_2010-A8|A8: Failure to Restrict URL Access]]
*[[Top_10_2010-A9|A9: Insufficient Transport Layer Protection]]
*[[Top_10_2010-A10|A10: Unvalidated Redirects and Forwards]]

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages and the 2010 version was translated into even more languages. See below for all the translated versions.

== 2010 Versions ==

2010 Edition:

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 2010 - PDF]
*[[Top 10 2010|OWASP Top 10 2010 - wiki]]

2010 Translations:

*[https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF / 这里下载PDF格式文档]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF]
*[[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]]
*[https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF]
*[https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF]
*[https://www.owasp.org/images/8/86/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pptx OWASP Top 10 2010 - Spanish PPT]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF]

2010 Release Candidate:

*[https://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf OWASP Top 10 2010 Release Candidate]
*[https://www.owasp.org/images/e/e1/OWASP_Top_10_RC-Public_Comments.docx OWASP Top 10 2010 Release Candidate Comments], except for one set of scanned comments [https://www.owasp.org/images/2/2e/OWASP_T10_-_2010_rc1_cmts_Kai_Jendrian.pdf which are here].

Previous versions:

*[https://www.owasp.org/images/e/e8/OWASP_Top_10_2007.pdf OWASP Top 10 2007 - PDF]
*[[Top 10 2007|OWASP Top 10 2007 - wiki]]
*[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Project_Details OWASP Top 10 2007 - PDF Translations are here]
*[[Top 10 2004|OWASP Top 10 2004 - wiki]]

= Project Details =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

{{:GPC_Project_Details/OWASP_Top10 | OWASP Project Identification Tab}}

= Some Commercial & OWASP Uses of the Top 10 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

'''Warning''': these articles have not been rated for accuracy by OWASP. Product companies should be extremely careful about claiming to "cover" or "ensure compliance" with the OWASP Top 10. The current state-of-the-art for automated detection (scanners and static analysis) and prevention (WAF) is nowhere near sufficient to claim adequate coverage of the issues in the Top 10. Nevertheless, using the Top 10 as a simple way to communicate security to end users is effective.

;[https://blogs.microsoft.com/microsoftsecure/2008/05/01/sdl-and-the-owasp-top-ten/ Microsoft]
:as a way to measure the coverage of their SDL and improve security

;[https://www.pcisecuritystandards.org/index.shtml PCI Council]
:as part of the Payment Card Industry Data Security Standard (PCI DSS)

;[http://msdn.microsoft.com/en-us/library/dd129898.aspx Microsoft]
:to show how "T10 threats are handled by the security design and test procedures of Microsoft"

;[[OWASP_Top_10/Mapping_to_WHID | OWASP]]
:OWASP Top 10 Mapped to the Web Hacking Incident Database

;[[OWASP_Mobile_Security_Project#tab=Top_Ten_Mobile_Risks | OWASP]]
:OWASP Mobile Top 10 Risks

;[[OWASP_Top_Ten_Cheat_Sheet | OWASP]]
:OWASP Top 10 Cheat Sheet

__NOTOC__ <headertabs />

[[Category:OWASP_Project]] [[Category:OWASP_Document]] [[Category:OWASP_Download]] [[Category:OWASP_Release_Quality_Document]][[Category:Popular]][[Category:SAMM-EG-1]]

Category:OWASP Top Ten Project

2018-02-05T14:54:43Z

Cristian Borghello: Spanish version added

=Main=
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: flagship_big.jpg|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]</div>
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

== OWASP Top 10 2017 Released==
The [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017]] is now available.

==OWASP Top 10 Most Critical Web Application Security Risks==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

==Translation Efforts==

The OWASP Top 10 has been translated to many different languages by numerous volunteers. These translations are available as follows:

* [[Top10#Translation_Efforts_2 | OWASP Top 10 - 2017 translations are currently underway]]
* [[Top10#OWASP_Top_10_for_2013 | All versions of the OWASP Top 10 - 2013]]
* [[Top10#OWASP_Top_10_for_2010 | All versions of the OWASP Top 10 - 2010]]

== Related Projects ==

* [[OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks | OWASP Mobile Top 10 Risks]]

* [[OWASP_Top_Ten_Cheat_Sheet | OWASP Top 10 Cheat Sheet]]

* [[OWASP_Proactive_Controls | Top 10 Proactive Controls]]

== Project Sponsors ==

The OWASP Top 10 - 2017 project is sponsored by

{{MemberLinks|link=https://www.autodesk.com|logo=Autodesk-logo.png}}

Thanks to [https://www.aspectsecurity.com Aspect Security] for sponsoring earlier versions.

==Licensing==
The OWASP Top 10 is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/4.0/ Creative Commons Attribution-ShareAlike 4.0 license].

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==
* [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017 - PDF]]
* [[:Category:OWASP Top Ten 2017 Project | OWASP Top 10 - 2017 - wiki]]
* Historic:
:* [[Media:OWASP_Top_10_-_2013.pdf | OWASP Top 10 2013 - PDF]]
:* [[Top_10_2013 | OWASP Top 10 2013 - wiki]]
:* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation (PPTX)].

== Donate to OWASP ==
<div class="center" style="width: auto; margin-left: auto; margin-right: auto;">{{#widget:PayPal Donation
|target=_blank
|budget=Other (Website Donation) }}</div>

== Get Involved ==
* [https://github.com/OWASP/Top10/issues Top 10 Issues on GitHub](preferred)
* [https://lists.owasp.org/mailman/listinfo/Owasp-topten Project Email List]

== News and Events ==
* [20 Oct 2017] OWASP Top 10 2017 - RC2 Published
* [20 May 2016] OWASP Top 10 - 2017 Data Call Announced
* [12 Jun 2013] OWASP Top 10 - 2013 Final Released

== Project Leaders ==

* [[User:vanderaj | Andrew van der Stock]]
* [[User:Neil_Smithline | Neil Smithline]]
* [[User:T.Gigler | Torsten Gigler]]

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[File:Owasp-flagship-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Translation Efforts =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

Efforts are underway in numerous languages to translate the OWASP Top 10 - 2017. If you are interested in helping, please contact the members of the team for the language you are interested in contributing to, or if you don't see your language listed (neither here nor at [https://github.com/OWASP/Top10/issues?utf8=%E2%9C%93&q=is%3Aissue github]), please email owasp-topten@lists.owasp.org to let us know that you want to help and we'll form a volunteer group for your language.
We have compiled this [https://github.com/OWASP/Top10/blob/master/2017/translations/README.TRANSLATIONS README.TRANSLATIONS] with some hints to help you with your translation.


2017 Completed Translations:
* Japanese: [[Media:OWASP_Top_10-2017%28ja%29.pdf|OWASP Top 10 2017 - 日本語版 (PDF)]] translated and reviewed by Akitsugu ITO, Albert Hsieh, Chie TAZAWA, Hideko IGARASHI, Hiroshi TOKUMARU, Naoto KATSUMI, Riotaro OKADA, Robert DRACEA, Satoru TAKAHASHI, Sen UENO, Shoichi NAKATA, Takanori NAKANOWATARI ,Takanori ANDO, Tomohiro SANAE.

* Korean: [[Media:OWASP_Top_10-2017-ko.pdf|OWASP Top 10 2017 - 한글 (PDF)]] 번역 프로젝트 관리 및 감수 : 박형근(Hyungkeun Park) / 감수(ㄱㄴㄷ순) : 강용석(YongSeok Kang), 박창렴(Park Changryum), 조민재(Johnny Cho) / 편집 및 감수 : 신상원(Shin Sangwon) / 번역(ㄱㄴㄷ순) : 김영하(Youngha Kim), 박상영(Sangyoung Park), 이민욱(MinWook Lee), 정초아(JUNG CHOAH), 조광렬(CHO KWANG YULL), 최한동(Handong Choi)

* Chinese: [https://www.owasp.org/index.php/File:OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.2.pdf OWASP Top10 2017（最终版）PDF] 
# 项目组长：[[User:Jie_Wang|王颉]]（wangj@owasp.org.cn）
# 翻译人员：陈亮、王厚奎、王颉、王文君、王晓飞、吴楠、徐瑞祝、夏天泽、杨璐、张剑钟、赵学文（排名不分先后，按姓氏拼音排列）
# 审查人员：Rip、包悦忠、李旭勤、杨天识、张家银（排名不分先后，按姓氏拼音排列）
# 汇编人员：赵学文

* Spanish: [https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf OWASP Top 10 2017（Español）PDF] 
# [[User:Gerardo_Canedo|Gerardo Canedo]]（Gerardo.Canedo@owasp.org - [https://www.twitter.com/GerardoMCanedo @GerardoMCanedo])
# [[User:Cristian_Borghello|Cristian Borghello]]（Cristian_Borghello@owasp.org - [https://www.twitter.com/seguinfo @seguinfo])

2017 Release Candidate Translation Teams:

* Azerbaijanian: Rashad Aliyev (rashad@aliev.info)

* Chinese RC2:Rip、包悦忠、李旭勤、王颉、王厚奎、吴楠、徐瑞祝、夏天泽、张家银、张剑钟、赵学文(排名不分先后，按姓氏拼音排列) [https://www.owasp.org/images/d/d6/OWASP_Top_10_2017%EF%BC%88RC2%EF%BC%89%E4%B8%AD%E6%96%87%E7%89%88%EF%BC%88%E5%8F%91%E5%B8%83%E7%89%88%EF%BC%89.pdf OWASP Top10 2017 RC2 - Chinese PDF]
* French: Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org.
* Others to be listed.

2013 Completed Translations:

* Arabic: [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic PDF] Translated by: Mohannad Shahat: Mohannad.Shahat@owasp.org, Fahad: @SecurityArk, Abdulellah Alsaheel: cs.saheel@gmail.com, Khalifa Alshamsi: Khs1618@gmail.com and Sabri(KING SABRI): king.sabri@gmail.com, Mohammed Aldossary: mohammed.aldossary@owasp.org
* Chinese 2013：中文版2013 [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)]. 项目组长： Rip、王颉，参与人员：陈亮、顾庆林、胡晓斌、李建蒙、王文君、杨天识、张在峰
* Czech 2013: [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)] [https://www.owasp.org/images/0/02/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pptx OWASP Top 10 2013 - Czech (PPTX)] CSIRT.CZ - CZ.NIC, z.s.p.o. (.cz domain registry): Petr Zavodsky: petr.zavodsky@owasp.org, Vaclav Klimes, Zuzana Duracinska, Michal Prokop, Edvard Rejthar, Pavel Basta
*French 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French PDF] Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org, Erwan Abgrall: g4l4drim@gmail.com, Benjamin Avet: benjamin.avet@gmail.com, Jocelyn Aubert: jocelyn.aubert@owasp.org, Damien Azambour: damien.azambourg@owasp.org, Aline Barthelemy: aline.barthelemy@fr.abb.com, Moulay Abdsamad Belghiti: abdsamad.belghiti@gmail.com, Gregory Blanc: gregory.blanc@gmail.com, Clément Capel: clement.capel@sfr.com, Etienne Capgras: Etienne.capgras@solucom.fr, Julien Cayssol: julien@aqwz.com, Antonio Fontes: antonio.fontes@owasp.org, Ely de Travieso: Ely.detravieso@owasp.org, Nicolas Grégoire: nicolas.gregoire@agarri.fr, Valérie Lasserre: valerie.lasserre@gmx.fr, Antoine Laureau: antoine.laureau@owasp.org, Guillaume Lopes: lopes.guillaume@free.fr, Gilles Morain: gilles.morain@gmail.com, Christophe Pekar: christophe.pekar@owasp.org, Olivier Perret: perrets@free.fr, Michel Prunet: michel.prunet@owasp.org, Olivier Revollat: revollat@gmail.com, Aymeric Tabourin: aymeric.tabourin@orange.com
* German 2013: [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Torsten Gigler, Tobias Glemser, Dr. Ingo Hanke, Thomas Herzog, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
* Hebrew 2013: [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf PDF] Translated by: Or Katz, Eyal Estrin, Oran Yitzhak, Dan Peled, Shay Sivan.
* Italian 2013: [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian PDF] Translated by: Michele Saporito: m.saporito7@gmail.com, Paolo Perego: thesp0nge@owasp.org, Matteo Meucci: matteo.meucci@owasp.org, Sara Gallo: sara.gallo@gmail.com, Alessandro Guido: alex@securityaddicted.com, Mirko Guido Spezie: mirko@dayu.it, Giuseppe Di Cesare: giuseppe.dicesare@alice.it, Paco Schiaffella: schiaffella@gmail.com, Gianluca Grasso: giandou@gmail.com, Alessio D'Ospina: alessiodos@gmail.com, Loredana Mancini: loredana.mancini@business-e.it, Alessio Petracca: alessio.petracca@gmail.com, Giuseppe Trotta: giutrotta@gmail.com, Simone Onofri: simone.onofri@gmail.com, Francesco Cossu: hambucker@gmail.com, Marco Lancini: marco.lancini.ml@gmail.com, Stefano Zanero: zanero@elet.polimi.it, Giovanni Schmid: giovanni.schmid@na.icar.cnr.it, Igor Falcomata': koba@sikurezza.org
*Japanese 2013: [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese PDF] Translated by: Chia-Lung Hsieh: ryusuke.tw(at)gmail.com, Reviewed by: Hiroshi Tokumaru, Takanori Nakanowatari
* Korean 2013: [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korean PDF] (이름가나다순) 김병효:byounghyo.kim@owasp.org, 김지원:jiwon.kim@owasp.or.kr, 김효근:katuri@katuri.kr, 박정훈:xelion@gmail.com, 성영모:youngmo.seong@owasp.or.kr, 성윤기:yune.sung@owasp.org, 송보영:boyoung.song@owasp.or.kr, 송창기:factor7@naver.com, 유정호:griphis77@gmail.com, 장상민:sangmin.jang@owasp.or.kr, 전영재:youngjae.jeon@owasp.org, 정가람:tgcarrot@gmail.com, 정홍순:jhs728@gmail.com, 조민재:johnny.cho@owasp.org,허성무:issimplenet@gmail.com
*Brazilian Portuguese 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese PDF] Translated by: Carlos Serrão, Marcio Machry, Ícaro Evangelista de Torres, Carlo Marcelo Revoredo da Silva, Luiz Vieira, Suely Ramalho de Mello, Jorge Olímpia, Daniel Quintão, Mauro Risonho de Paula Assumpção, Marcelo Lopes, Caio Dias, Rodrigo Gularte
*Spanish 2013: [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish PDF] Gerardo Canedo: gerardo.canedo@owasp.org, Jorge Correa: jacorream@gmail.com, Fabien Spychiger: fabien.spychiger@dreamlab.net, Alberto Hill: alberto.daniel.hill@gmail.com, Johnatan Stanley: johnatanst@gmail.com, Maximiliano Alonzo: malonzo@tib.com.uy, Mateo Martinez: mateo.martinez@owasp.org, David Montero: david.montero@owasp.org, Rodrigo Martinez: rodmart@fing.edu.uy, Guillermo Skrilec: guillermo.skrilec@owasp.org, Felipe Zipitria: felipe.zipitria@owasp.org, Fabien Spychiger: fabien.spychiger@dreamlab.net, Rafael Gil: rafael.gillarios@owasp.org, Christian Lopez: christian.lopez.martin@owasp.org, jonathan fernandez jonathan.fernandez04@gmail.com, Paola Rodriguez: Paola_R1@verifone.com, Hector Aguirre: hector.antonio.aguirre@owasp.org, Roger Carhuatocto: rcarhuatocto@intix.info, Juan Carlos Calderon: johnccr@yahoo.com, Marc Rivero López: mriverolopez@gmail.com, Carlos Allendes: carlos.allendes@owasp.org, daniel@carrero.cl: daniel@carrero.cl, Manuel Ramírez: manuel.ramirez.s@gmail.com, Marco Miranda: marco.miranda@owasp.org, Mauricio D. Papaleo Mayada: mpapaleo@gmail.com, Felipe Sanchez: felipe.sanchez@peritajesinformaticos.cl, Juan Manuel Bahamonde: juanmanuel.bahamonde@gmail.com, Adrià Massanet: adriamassanet@gmail.com, Jorge Correa: jacorream@gmail.com, Ramiro Pulgar: ramiro.pulgar@owasp.org, German Alonso Suárez Guerrero: german.suarez@owasp.org, Jose A. Guasch: jaguasch@gmail.com, Edgar Salazar: edgar.salazar@owasp.org
*Ukrainian 2013: [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian PDF] Kateryna Ovechenko, Yuriy Fedko, Gleb Paharenko, Yevgeniya Maskayeva, Sergiy Shabashkevich, Bohdan Serednytsky

2010 Completed Translations:

*Korean 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF] Hyungkeun Park, (mirrk1@gmail.com)
*Spanish 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF] *Daniel Cabezas Molina , Edgar Sanchez, Juan Carlos Calderon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera
*French 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF] ludovic.petit@owasp.org, sebastien.gioria@owasp.org, antonio.fontes@owasp.org, benoit.guerette@owasp.org, Jocelyn.aubert@owasp.org, Eric.Garreau@gemalto.com, Guillaume.Huysmans@gemalto.com
*German: [[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Tobias Glemser, Dr. Ingo Hanke, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
*Indonesian: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF] Tedi Heriyanto (coordinator), Lathifah Arief, Tri A Sundara, Zaki Akhmad
*Italian: [https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF] Simone Onofri, Paolo Perego, Massimo Biagiotti, Edoardo Viscosi, Salvatore Fiorillo, Roberto Battistoni, Loredana Mancini, Michele Nesta, Paco Schiaffella, Lucilla Mancini, Gerardo Di Giacomo, Valentino Squilloni
*Japanese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF] cecil.su@owasp.org, Dr. Masayuki Hisada, Yoshimasa Kawamoto, Ryusuke Sakamoto, Keisuke Seki, Shin Umemoto, Takashi Arima
*Chinese: [https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF] 感谢以下为中文版本做出贡献的翻译人员和审核人员: Rip Torn, 钟卫林, 高雯, 王颉, 于振东
*Vietnamese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF] Translation lead by Cecil Su - Translation Team: Dang Hoang Vu, Nguyen Ba Tien, Nguyen Tang Hung, Luong Dieu Phuong, Huynh Thien Tam
*Hebrew: [[OWASP_Top10_Hebrew|OWASP Top 10 Hebrew Project]] -- [https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]. Lead by Or Katz, see translation page for list of contributors.

= OWASP Top 10 for 2013 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On June 12, 2013 the OWASP Top 10 for 2013 was officially released. This version was updated based on numerous comments received during the comment period after the release candidate was released in Feb. 2013.

* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013.pdf OWASP Top 10 2013 document (PDF)].
* [[Top_10_2013 | OWASP Top 10 2013 - Wiki.]]
* [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic (PDF)].
* [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)].
* [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French (PDF)].
* [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German (PDF)]]
* [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf (PDF)]
* [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian (PDF)]
* [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese (PDF)].
* [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korea (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese (PDF)].
* [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish (PDF)]
* [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian (PDF)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation - Presenting Each Item in the Top 10 (PPTX)].

For 2013, the OWASP Top 10 Most Critical Web Application Security Risks are:

* [[Top_10_2013-A1-Injection | A1 Injection]]
* [[Top_10_2013-A2-Broken_Authentication_and_Session_Management | A2 Broken Authentication and Session Management]]
* [[Top_10_2013-A3-Cross-Site_Scripting_(XSS) | A3 Cross-Site Scripting (XSS)]]
* [[Top_10_2013-A4-Insecure_Direct_Object_References | A4 Insecure Direct Object References]]
* [[Top_10_2013-A5-Security_Misconfiguration | A5 Security Misconfiguration]]
* [[Top_10_2013-A6-Sensitive_Data_Exposure | A6 Sensitive Data Exposure]]
* [[Top_10_2013-A7-Missing_Function_Level_Access_Control | A7 Missing Function Level Access Control]]
* [[Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF) | A8 Cross-Site Request Forgery (CSRF)]]
* [[Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities | A9 Using Components with Known Vulnerabilities]]
* [[Top_10_2013-A10-Unvalidated_Redirects_and_Forwards | A10 Unvalidated Redirects and Forwards]]

If you are interested, the methodology for how the Top 10 is produced is now documented here: [[Top_10_2013/ProjectMethodology | OWASP Top 10 Development Methodology]]

Please help us make sure every developer in the ENTIRE WORLD knows about the OWASP Top 10 by helping to spread the word!!!

As you help us spread the word, please emphasize:

*OWASP is reaching out to developers, not just the application security community
*The Top 10 is about managing risk, not just avoiding vulnerabilities
*To manage these risks, organizations need an application risk management program, not just awareness training, app testing, and remediation

We need to encourage organizations to get off the penetrate and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote: “we’ll never hack our way secure – it’s going to take a culture change” for organizations to properly address application security.

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 and 2010 version were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages. The 2013 version was translated into even more languages.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

== Changes between 2010 and 2013 Editions ==

The OWASP Top 10 - 2013 includes the following changes as compared to the 2010 edition:

* A1 Injection
* A2 Broken Authentication and Session Management (was formerly 2010-A3)
* A3 Cross-Site Scripting (XSS) (was formerly 2010-A2)
* A4 Insecure Direct Object References
* A5 Security Misconfiguration (was formerly 2010-A6)
* A6 Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage and 2010-A9 Insufficient Transport Layer Protection were merged to form 2013-A6)
* A7 Missing Function Level Access Control (renamed/broadened from 2010-A8 Failure to Restrict URL Access)
* A8 Cross-Site Request Forgery (CSRF) (was formerly 2010-A5)
* A9 Using Components with Known Vulnerabilities (new but was part of 2010-A6 – Security Misconfiguration)
* A10 Unvalidated Redirects and Forwards

== Other 2013 Top 10 Docs ==

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP Top 10 - 2013 - Release Candidate]
*[https://www.owasp.org/images/3/3d/OWASP_Top_10_-_2013_Final_Release_-_Change_Log.docx OWASP Top 10 - 2013 - Final Release - Change Log (docx)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Changes-from-2010.pptx Focusing on What Changed Since 2010 (PPTX)]

[[File:OWASP_Web_Top_10_for_2013.png]]

== Feedback ==

Please let us know how your organization is using the OWASP Top 10. Include your name, organization's name, and brief description of how you use the list. Thanks for supporting OWASP!

We hope you find the information in the OWASP Top 10 useful. Please contribute back to the project by sending your comments, questions, and suggestions to topten@lists.owasp.org. Thanks!

To join the OWASP Top 10 mailing list or view the archives, please visit the [http://lists.owasp.org/mailman/listinfo/owasp-topten subscription page.]

== Project Sponsors ==

The OWASP Top 10 project is sponsored by {{MemberLinks|link=https://www.aspectsecurity.com|logo=Aspect_logo_owasp.jpg}}



= OWASP Top 10 for 2010 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On April 19, 2010 the final version of the OWASP Top 10 for 2010 was released, and here is the associated [[OWASPTop10-2010-PressRelease|press release]]. This version was updated based on numerous comments received during the comment period after the release candidate was released in Nov. 2009.

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 - 2010 Document]
*[[Top 10 2010|OWASP Top 10 - 2010 - wiki]]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2010%20Presentation.pptx OWASP Top 10 - 2010 Presentation]
*[http://blip.tv/owasp-appsec-conference-in-europe/day2_track1_1430-1505-3936900 OWASP Top 10 Video of the Presentation above - this focused alot on the Top 10 for 2010 approach, rather than the details. (From OWASP AppSec EU 2010)]
*[http://www.vimeo.com/9006276 OWASP Top 10 Video of this Presentation when the Top 10 for 2010 was 1st released for comment - this goes through each item in the Top 10. (From OWASP AppSec DC 2009)]

For 2010, the OWASP Top 10 Most Critical Web Application Security Risks are:

*[[Top_10_2010-A1|A1: Injection]]
*[[Top_10_2010-A2|A2: Cross-Site Scripting (XSS)]]
*[[Top_10_2010-A3|A3: Broken Authentication and Session Management]]
*[[Top_10_2010-A4|A4: Insecure Direct Object References]]
*[[Top_10_2010-A5|A5: Cross-Site Request Forgery (CSRF)]]
*[[Top_10_2010-A6|A6: Security Misconfiguration]]
*[[Top_10_2010-A7|A7: Insecure Cryptographic Storage]]
*[[Top_10_2010-A8|A8: Failure to Restrict URL Access]]cristi
*[[Top_10_2010-A9|A9: Insufficient Transport Layer Protection]]
*[[Top_10_2010-A10|A10: Unvalidated Redirects and Forwards]]

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages and the 2010 version was translated into even more languages. See below for all the translated versions.

== 2010 Versions ==

2010 Edition:

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 2010 - PDF]
*[[Top 10 2010|OWASP Top 10 2010 - wiki]]

2010 Translations:

*[https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF / 这里下载PDF格式文档]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF]
*[[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]]
*[https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF]
*[https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF]
*[https://www.owasp.org/images/8/86/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pptx OWASP Top 10 2010 - Spanish PPT]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF]

2010 Release Candidate:

*[https://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf OWASP Top 10 2010 Release Candidate]
*[https://www.owasp.org/images/e/e1/OWASP_Top_10_RC-Public_Comments.docx OWASP Top 10 2010 Release Candidate Comments], except for one set of scanned comments [https://www.owasp.org/images/2/2e/OWASP_T10_-_2010_rc1_cmts_Kai_Jendrian.pdf which are here].

Previous versions:

*[https://www.owasp.org/images/e/e8/OWASP_Top_10_2007.pdf OWASP Top 10 2007 - PDF]
*[[Top 10 2007|OWASP Top 10 2007 - wiki]]
*[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Project_Details OWASP Top 10 2007 - PDF Translations are here]
*[[Top 10 2004|OWASP Top 10 2004 - wiki]]

= Project Details =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

{{:GPC_Project_Details/OWASP_Top10 | OWASP Project Identification Tab}}

= Some Commercial & OWASP Uses of the Top 10 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

'''Warning''': these articles have not been rated for accuracy by OWASP. Product companies should be extremely careful about claiming to "cover" or "ensure compliance" with the OWASP Top 10. The current state-of-the-art for automated detection (scanners and static analysis) and prevention (WAF) is nowhere near sufficient to claim adequate coverage of the issues in the Top 10. Nevertheless, using the Top 10 as a simple way to communicate security to end users is effective.

;[https://blogs.microsoft.com/microsoftsecure/2008/05/01/sdl-and-the-owasp-top-ten/ Microsoft]
:as a way to measure the coverage of their SDL and improve security

;[https://www.pcisecuritystandards.org/index.shtml PCI Council]
:as part of the Payment Card Industry Data Security Standard (PCI DSS)

;[http://msdn.microsoft.com/en-us/library/dd129898.aspx Microsoft]
:to show how "T10 threats are handled by the security design and test procedures of Microsoft"

;[[OWASP_Top_10/Mapping_to_WHID | OWASP]]
:OWASP Top 10 Mapped to the Web Hacking Incident Database

;[[OWASP_Mobile_Security_Project#tab=Top_Ten_Mobile_Risks | OWASP]]
:OWASP Mobile Top 10 Risks

;[[OWASP_Top_Ten_Cheat_Sheet | OWASP]]
:OWASP Top 10 Cheat Sheet

__NOTOC__ <headertabs />

[[Category:OWASP_Project]] [[Category:OWASP_Document]] [[Category:OWASP_Download]] [[Category:OWASP_Release_Quality_Document]][[Category:Popular]][[Category:SAMM-EG-1]]

File:OWASP-Top-10-2017-es.pdf

2018-02-05T14:24:54Z

Cristian Borghello: OWASP Top 10 Español

OWASP Top 10 Español

User:Cristian Borghello

2017-12-20T12:17:18Z

Cristian Borghello:

Cristian F. Borghello, es Licenciado en Sistemas, desarrollador, [http://www.isc2.org/CISSP Certified Information Systems Security Professional (CISSP)], [https://cloudsecurityalliance.org/education/ccsk/ CCSK (Certificate of Cloud Security Knowledge)] y [http://mvp.microsoft.com/en-us/default.aspx Microsoft MVP Security (Most Valuable Professional)].

Actualmente es Director de [http://www.segu-info.com.ar Segu-Info] y [http://www.segu-kids.org Segu-Kids] y se desempeña como consultor independiente en Seguridad de la Información.

Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información.

Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática, entre ellos en OWASP.

Puedes ponerte en contacto [mailto:info@segu-info.com.ar aquí].

LatamTour2017

2017-05-02T13:55:26Z

Cristian Borghello:

__NOTOC__
{{:LatamTour2017_Header}}
= WELCOME =

'''Agenda'''

* April, 3: Manizales, Colombia 
* April, 3: Bogotá, Colombia - [https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706 REGISTRATE AQUÍ] 
* April, 5-6: Montevideo, Uruguay - [https://www.eventbrite.com/e/owasp-latam-tour-2017-uruguay-chapter-tickets-32991450316 REGISTRATE AQUÍ] 
* April, 6-7: República Dominicana - [https://www.eventbrite.com/e/owasp-latam-tour-2017-republica-dominicana-tickets-32594480970 REGÍSTRATE AQUÍ] 
* April, 8: Quito, Ecuador 
* April, 19: Córdoba, Argentina - [https://www.eventbrite.com/e/owasp-cordoba-tickets-33669370995 REGISTRARSE AQUI] 
* April, 21: Patagonia, Argentina - [https://owasp-patagonia-latamtour17.eventbrite.com REGISTRARSE AQUI] 
* April, 21: San José, Costa Rica 
* April, 22: Lima, Perú [https://latamtour2017peru.eventbrite.com REGISTRARSE AQUI] 
* April, 21-22: Santa Cruz, Bolivia -[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329 REGISTRARSE AQUI] 
* April, 22: Cancun, Mexico 
* May, XX: São Paulo, Brazil 
* April, 25: San Salvador, El Salvador - [https://www.eventbrite.com/e/owasp-latam-tour-2017-el-salvador-tickets-32678763060 Registrarse aquí] 
* April, 26: Guatemala, Guatemala 
* April, 26-27: Santiago de Chile 
* April, 27: Caracas, Venezuela -[https://www.eventbrite.com/e/owasp-latam-tour-2017-caracas-venezuela-tickets-32595739735 CANCELADO] 
* April, 28: Buenos Aires, Argentina - [https://www.eventbrite.com/e/owasp-latam-tour-2017-buenos-aires-argentina-tickets-32594072749 REGISTRARSE AQUI] 

'''Latam Tour Objective'''

The OWASP Latam Tour objective is to raise awareness about application security in the Latin America region, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.

We are proposing a chapters conference driven model in which the sessions are free for everybody and the costs are supported by a mix of funding i.e. OWASP Foundation, local chapter budget, external sponsorship, etc. 1-day training sessions are also offered in some tour stops. These sessions’ fees are $ 200USD for OWASP members and $ 250 USD for non-members (group discounts may apply).
 
 

'''Who Should Attend the Latam Tour?'''
 

*Application Developers
*Application Testers and Quality Assurance
*Application Project Management and Staff
*Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
*Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
*Security Managers and Staff
*Executives, Managers, and Staff Responsible for IT Security Governance
*IT Professionals Interesting in Improving IT Security
*Anyone interested in learning about or promoting Web Application Security 
 

'''Special offer - Become an OWASP Member'''

As part of the OWASP Latam Tour, you could become an OWASP Member by paying 20 U$D. Show your support and become an OWASP member today!

[[Image:Join_button.jpg|100px|link=http://sl.owasp.org/newmember]] [[Image:Renewal.jpg |100px|link=http://sl.owasp.org/renewmember]]

'''QUESTIONS'''

*If you have any questions about the Latam Tour, please send an email to laura.grau@owasp.org

----
'''[https://twitter.com/search?f=tweets&q=LATAMTOUR2017 #Latamtour]''' hashtag for your tweets for Latam Tour (What are [http://hashtags.org/ hashtags]?)

'''@AppSecLatam Twitter Feed ([http://twitter.com/AppSecLatam follow us on Twitter!])''' <twitter>34534108</twitter>

= CALL FOR PAPERS & TRAININGS =

== '''Do you want to give a talk or a training session in Latin America?''' ==
 

'''Please send your proposals to the corresponding chapter leader before March 1st 2017:'''
 
 

* '''Argentina''' (Buenos Aires): [https://docs.google.com/forms/d/e/1FAIpQLSdLgWPXaAaHBe8n74fiNcANra7Oq_1DxnNT6-8Usqecyvi9Pg/viewform Submit your talk here]
* '''Argentina''' (Patagonia): [https://goo.gl/forms/KSIfGvlHbmMD90ks2 Submit your talk here] or send it to Gaston Toth [gaston.toth@owasp.org]
* '''Argentina''' (Córdoba): send it to Eduardo Casanovas [eduardocasanovas.scg@gmail.com]
* '''Mexico''' (Riviera Maya): [https://goo.gl/forms/sVizcu23iLYjuM9L2 Submit your talk here] or send it to Paulino Calderon [paulino.calderonpale@owasp.org]
* '''Bolivia''': Elvin Mollinedo [elvin.mollinedo@owasp.org]
* '''Chile''': Carlos Allendes [carlos.allendes@owasp.org]
* '''Colombia''' (Bogotá): [https://goo.gl/forms/bDuccVZIxvZ7NZak1 Submit your talk here] or send it to Giovanni Cruz Forero [giovanni.cruz@owasp.org]
* '''Costa Rica''': Michael Hidalgo [michael.hidalgo@owasp.org]
* '''Ecuador''' (Quito): [https://www.papercall.io/owaspec Submit your talk here] or send it to Fernando Vela [fernando.vela@owasp.org]
* '''Guatemala''': Pablo Barrera [pbarrera@gmail.com]
* '''Peru''' (Lima) : John Vargas [john.vargas@owasp.org]
* '''Honduras''' : Gustavo Solano [gustavo.solano@owasp.org]
* '''Rep.Dominicana''' : Jonathan Correa [jonathan.correa@owasp.org]
* '''São Paulo''': Magno Logan [https://docs.google.com/forms/d/e/1FAIpQLSc1rLsekBX8tTBfh6c_J42HAQ5L3_dqEQA8BAae7n3pXbrEVQ/viewform Submit your talk here]
* '''Uruguay''' (Montevideo): [https://docs.google.com/forms/d/e/1FAIpQLSd_Lfd7XnCJ-9wULUWGtm8gfg4ggdAoSD6YvioCyHoKaCHkrA/viewform Submit your talk here]
* '''Venezuela''' (Caracas): Edgar Salazar [edgar.salazar@owasp.org]
 

''By your submission you agree to the [https://www.owasp.org/images/d/dd/LatamTour2016SpeakerAgreement.pdf '''Speaker Agreement'''], [https://www.owasp.org/images/2/27/LatamTour2016InvitedSpeakerAgreement.pdf '''Invited Speaker Agreement'''] or [https://www.owasp.org/images/e/e6/LatamTour2016InstructorAgreement.pdf ‎'''Instructor Agreement'''].''

=BOLIVIA=
=='''BOLIVIA: 21-22 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega nuevamente a Bolivia, '''OWASP Latam tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

==='''REGISTRO '''===

La entrada a las conferencias es gratuita. Los asistentes únicamente deberán registrarse en la [https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 lista de asistencia]. 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 Registro a OWASP LATAM Tour 2017 Bolivia]
 
 

==='''UBICACION'''===

[[Image:Dir.png |https://www.google.com/maps/place/Universidad+Privada+Domingo+Savio/@-17.7582917,-63.1755815,15.96z/data=!4m5!3m4!1s0x93f1e7c3e8d539cb:0x1ce9b8db4a387ab4!8m2!3d-17.7583404!4d-63.1744264]]
 
[https://www.google.com/maps/place/Universidad+Privada+Domingo+Savio/@-17.7582917,-63.1755815,15.96z/data=!4m5!3m4!1s0x93f1e7c3e8d539cb:0x1ce9b8db4a387ab4!8m2!3d-17.7583404!4d-63.1744264 '''Dirección: Av. Beni y 3er. Anillo Externo Santa Cruz, Bolivia.''']
 

 

===''' AGENDA'''===

== 21 de abril ==

{| class="wikitable"
|-
! width="200" align="center" | Hora
! width="320" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País
|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Registro - Acreditación
|-
! 08:30 - 09:00
| colspan="3" style="text-align: center;" | Proyecto OWASP
|-
! 09:00 - 09:45
| Saul Mamani M.
| '''Seguridad Perimetral de Aplicaciones, una buena alternativa'''
| Oruro, Bolivia
|-
! 09:45 - 10:30
| Danilo Anatoli Mercado Oudalova
| '''FRAMEWORK GALINA'''
| Santa Cruz, Bolivia
|-
! 10:30 - 11:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 11:00 - 11:45
| Camilo Quenta
| '''Ransomware en las alturas - enjaulando a linux'''
| La Paz, Bolivia
|-
! 11:45 - 12:30
| Carlos Vidaurre
| '''"BLUE" attacks'''
| Santa Cruz, Bolivia
|-
! 12:30 - 14:00
| colspan="3" style="text-align: center;" | Horario de Almuerzo
|-
! 14:00 - 14:45
| William Duabyakosky
| '''Seguridad en App Móviles con owasp'''
| Santa Cruz, Bolivia
|-
! 14:45 - 15:30
| Herman Brule
| '''DDOS y bot a larga escala'''
| Francia
|-
! 15:30 - 16:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 16:00 - 16:45
| Jaime Ivan Mendoza
| '''IoT internet'''
| Santa Cruz, Bolivia
|-
! 16:45 - 17:30
| Ricardo Supo Picón
| '''Érase una vez cuando hackearon un NIC'''
| Peru
|-
|}

== 22 de abril ==
{| class="wikitable"
|-
! width="200" align="centRed Team: Why you need the Red?er" | Hora
! width="320" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País
|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Registro - Acreditación
|-
! 08:30 - 09:00
| colspan="3" style="text-align: center;" | Proyecto OWASP
|-
! 09:00 - 09:45
| Juampa Rodríguez
| '''0037: Con Licencia para F*ckear!'''
| La Paz, Bolivia
|-
! 09:45 - 10:30
| Jorge Santillán
| '''Kit de robótica economico'''
| Sucre, Bolivia
|-
! 10:30 - 11:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 11:00 - 11:45
| Israel Aràoz Severiche
| '''El salto del León ( win32 Exploiting )'''
| Santa Cruz, Bolivia
|-
! 11:45 - 12:30
| Nolberto Zabala Quiroz
| '''Seguridad en equipos Mikrotik'''
| Santa Cruz, Bolivia
|-
! 12:30 - 14:00
| colspan="3" style="text-align: center;" | Horario de Almuerzo
|-
! 14:00 - 14:45
| Richard Villca Apaza
| '''Desarrollo de Exploits'''
| Oruro, Bolivia
|-
! 14:45 - 15:30
| Pablo Videla
| '''Ingeniería (Anti) Social'''
| Chile
|-
! 15:30 - 16:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 16:00 - 16:45
| Boris Murillo y Gabriel Bergel
| '''"MAFIA inc. How bad guys own our money ...and data"'''
| Chile
|-
! 16:45 - 17:30
| Diego Bruno
| '''DevOps - Del Salar de Uyuni a Skynet'''
| Argentina
|-
|}

 
==='''TALLERES'''===
 

{| class="wikitable floatleft"
| rowspan="3" | [[File:Ricardofoto.jpg ]]
| '''Top 10 OWASP al Cumplimiento de PCI-DSS v3.2'''
|-
| [https://www.owasp.org/images/e/e9/Ricardo-taller.jpg '''Detalle del training...''']
'''Costo para Miembros OWASP: 200 Dolares Americanos'''
 '''Costo normal: 250 Dolares Americanos'''
 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 Registro]
|-
| '''[https://www.linkedin.com/in/ricardo-supo-pic%C3%B3n-270a243/ Ing. Ricardo Supo Picon]'''
Co-lider del Capítulo Peruano de OWASP, CTO & Founder de INZAFE S.A. (Brasil - Chile - Perú), Ingeniero de Sistemas por la Universidad de Lima y Postgrado en Seguridad Informática por la UOC España. Reconocido por el gobierno peruano por su apoyo a combatir el Cybercrimen. Dispone de más de 10 años de experiencia en el sector bancario latinoamericano especializándose en los temas de ethical hacking, análisis forense, pentesting web, programación segura, ingeniería reversa, análisis de malware, optimización, revisión de código, criptografía y fraude bancario.
|}

{| class="wikitable floatleft"
| rowspan="3" | [[File:Israelfoto.jpg ]]
| '''Desarrollo de Exploit y Herramientas de Seguridad con Python'''
'''Costo para Miembros OWASP: 200 Dolares Americanos'''
 '''Costo normal: 250 Dolares Americanos'''
 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 Registro]
|-
| [https://www.owasp.org/images/2/2e/Israel-taller.jpg '''Detalle del training...''']
|-
| '''[https://www.linkedin.com/in/iaraoz/ Ing. Israel Aráoz S.] '''
CTO & Founder DEFENET (Defense Network) con más de 10 años de experiencia en seguridad informática, Implementación de normas ISO 27001 y ISO 22301, Miembro del Capitulo Owasp Bolivia, Docente de pre-grado y posgrado en Criptografia, Auditoria Informatica ,Ejecución de Pruebas de Intrusión en Guatemala, Bolivia , Chile, Honduras , Instructor en Análisis Forense Digital, Exploiting, Ingeniera Inversa , Certificación en Certified Ethical Hacker & Computer Hacking Forensic Investigator, Exploiting & Reversing sobre Windows & Linux, Scripting Python.
|}

=='''ORGANIZA: OWASP Chapter Bolivia'''==

Te invitamos a ser parte del capítulo OWASP Bolivia. 
Toda la información del capítulo se encuentra en: [https://goo.gl/Kq11Wx Link al Sitio Web de OWASP BOLIVIA]
=='''Redes Sociales'''==
[[File:Twitterelvin.png|link=https://twitter.com/owaspbolivia]]
[[File:Faceelvin.png|link=https://www.facebook.com/OWASPCHAPTERBOLIVIA/]]

=CORDOBA=
=='''CORDOBA: 19 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega a Códroba, '''OWASP Latam tour 2017!'''. Reconocidos expositores estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

==='''REGISTRO '''===
[https://www.eventbrite.com/e/owasp-cordoba-tickets-33669370995 Registro gratuito!]

 

===''' AGENDA'''===

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#e88a49;" align="center" | '''CONFERENCIA: 19 de Abril de 2017'''
|
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#e88a49" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#e88a49" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | 19 de Abril
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Av Fuerza Aérea 6500 Argentina [https://goo.gl/maps/43wW2PkKsgQ2 Ver mapa]''' 

|-
| colspan="2" style="background:#e88a49;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso al evento es '''GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link 
'''Link de Registro al OWASP LATAM TOUR 2017 - CORDOBA''': [https://www.eventbrite.com/e/owasp-cordoba-tickets-33669370995 Registro Gratuito al OWASP LATAM TOUR 2017 - CORDOBA]''' '''
|-
| 
|-
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#00549e" align="center" | '''DETALLES DE LA JORNADA'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Horario'''
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Modulo'''
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Ponente'''
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Detalles'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:00-9:20
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 9:20 - 9:35
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Bienvenida
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Eduardo Casanovas (OWASP Cordoba)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentación de OWASP y Proyectos
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:35 - 10:25
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | OWASP en Soluciones Corporativas de Seguridad de la Información
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |<nowiki> Andres More | Nicolas Guini (McAfee)</nowiki>
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 10:25 - 10:50
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Introducción a OWASP
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Martín Tartarelli (Infobyte)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | 10:50 - 11:20
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Café
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Café
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Café
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 11:20 - 12:10
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Stealing company data via Android apps
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Juan Urbano (ESET)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 12:10 - 13:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | How you web framework deals with CSRF
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Federico Iachetti (IUA)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" |13:00 - 14:10
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Almuerzo
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Almuerzo
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Almuerzo
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 14:10 - 15:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Web Goat como herramienta para training de seguridad
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Santiago Gimenez (OLAPIC)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 15:00 - 15:50
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | WAF: estado del arte y prevención para el Top10 de OWASP
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |<nowiki> Carlos Tapia (Claro) | Santiago Alasia (Mercado Libre)</nowiki>
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" |15:50 - 16:20
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Café
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Café
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Café
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:20 - 17:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | SDLC presente y futuro
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Martín Tartarelli (InfoByte)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|- |-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:00 - 17:50
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | CIO Vs CISO OWASP al rescate
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Mauro Graziosi (SmartFense)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|- |-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:50 - 18:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Cierre del evento
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Eduardo Casanovas (IUA)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
|}

==='''UBICACION'''===

Instituto Universitarío Aeronáutico, Av Fuerza Aérea 6500 de la Ciudad de Córdoba
Córdoba, Argentinac 
 

=='''ORGANIZA: OWASP Chapter Córdoba'''==

=URUGUAY=

 

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#00549e;" height="30" align="center" | '''TALLER Y CONFERENCIAS - OWASP LATAM TOUR 2017'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" |
'''Miércoles 5 de Abril''' ''(Talleres - A definir)'' '''Jueves 6 de Abril''' ''(Conferencia - En Facultad de Ingenieria - UDELAR)''
|-
| colspan="2" valign="center" bgcolor="#e88a49" align="center" | '''Descripcion y Objetivo'''
|-
| colspan="2" valign="left" height="80" bgcolor="#EEEEEE" align="left" |
El evento más importante de la región llega nuevamente a Uruguay, '''OWASP Latam tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#00549e;" align="center" | '''TALLER: Miércoles 5 de Abril'''

|-
| colspan="2" style="background:#CCCCEE;" align="center" | '''Taller: Owasp top 10 hands on training'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | Durante todo el OWASP Latam Tour se estarán realizando talleres de capacitación dictados por destacados profesionales en la materia. En Uruguay, se llevará a cabo el siguiente taller: '''Owasp top 10 hands on training''' el día miércoles 5 de abril de 2017 en el Hotel IBIS - Montevideo, Uruguay.

|-
| valign="middle" bgcolor="#EEEEEE" align="center" |
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Owasp top 10 hands on trainings'''

Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web de forma adecuada.

Orientado a desarrolladores y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

'''Nivel:''' Básico-Intermedio

'''Objetivos:'''

- Conocer OWASP Top 10
- Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador

'''Perfil de los talleristas '''

El grupo de OWASP Uruguay brindará un taller con sus mejores exponentes.
*Gerardo Canedo
*Mateo Martinez
*Maximiliano Alonzo

'''Duracion:''' 8 horas

'''Precio:''' U$S 250 [https://www.eventbrite.com/e/owasp-top-10-hands-on-training-tickets-33078967081?aff=es2 REGISTRO TRAINING - USD 250]

|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#e88a49" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#e88a49" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' TALLER: Miércoles 5 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | Hotel IBIS
|-
| colspan="2" style="background:#e88a49;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso al entrenamiento es '''PAGO''' con un costo de USD 250 - El proceso de registro lo podrá ubicar en el siguiente link 
'''Link de Registro al Training en el OWASP LATAM TOUR 2017''': [https://www.eventbrite.com/e/owasp-top-10-hands-on-training-tickets-33078967081?aff=es2 REGISTRO TRAINING - USD 250]''' '''
|-

|} 

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#e88a49;" align="center" | '''CONFERENCIA: Jueves 6 de Abril'''
|
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#e88a49" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#e88a49" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | Miércoles 6 de Abril
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Auditorio Massera - Universidad de la República''' 
[[File:Aulario_UDeLaR.jpg|center|400px|Auditorio Massera - Universidad de la República]]
Pasaje Landoni y J.Herrera y Reissig, Montevideo, Uruguay - www.fing.edu.uy
|-
| colspan="2" style="background:#e88a49;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso al evento es '''GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link 
'''Link de Registro al OWASP LATAM TOUR 2017''': [https://www.eventbrite.com/e/owasp-latam-tour-2017-uruguay-chapter-tickets-32991450316 Registro Gratuito al OWASP LATAM TOUR 2017 - URUGUAY]''' '''
|-
| 
|-
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#00549e" align="center" | '''DETALLES DE LA JORNADA'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Horario'''
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Modulo'''
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Ponente'''
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Detalles'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:00-9:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 9:30 - 10:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Bienvenida
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Mateo Martínez (OWASP Uruguay)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentación de OWASP y Proyectos
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 10:30 - 11:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | [https://speakerdeck.com/andresriancho/esoteric-web-application-vulnerabilities-1 Esoteric Web Application Vulnerabilities]
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | [https://andresriancho.com/ Andrés Riancho]
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Una interesante charla que muestra casos practicos de vulnerabilidades complejas (que no se ven todos los dias).
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 11:30 - 12:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | OWASP Security Knowledge Framework
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Edgar Salazar
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | OWASP SKF pretende ser una herramienta que se utiliza como guía para construir y verificar software seguro. También se puede utilizar para entrenar a los desarrolladores sobre la seguridad de las aplicaciones. La educación es el primer paso en el ciclo de vida de desarrollo de software seguro.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | 12:30 - 14:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Corte
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Almuerzo
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Almuerzo
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 14:00 - 14:45
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Hacking con ZAP
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Santiago Vazquez (Paraguay)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Presentaremos diversas técnicas para hacer hacking de apliaciones usando ZAP
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 14:45 - 15:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Hacking and Bitcoins (not hacking BITCOINS)
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Alberto Hill
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentaremos los problemas de seguridad mas importantes en la historia de cryptomonedas, en particular bitcoins, evaluacion de la seguridad en bitcoins, y resumen donde los problemas son basicamente los mismos de hace 15 años en portales web, y no en el diseño de blockchain/bitcoins, donde la seguridad fue contempleada desde el diseño. Se termina con un mapeo del owasp top 10 2013 y los incidentes mencionados asi como un caso real de hacke de sitio administrador de bitcoins.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" |15:30 - 16:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Break
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Break
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Break
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 16:00 - 16:45
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | (fr)Agile Security Testing
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Felipe Zipitria
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Descripcion
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:45 - 17:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | OWASP ASVS - Cómo me puede servir
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Gerardo Canedo
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Charla de Difusión del OWASP ASVS, Entry level. Contaré nuestra experiencia de utilizarlo como requerimientos de seguridad.
|-
|}

=='''ORGANIZA: OWASP Chapter Uruguay'''==

Te invitamos a ser parte del capítulo OWASP Uruguay. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Uruguay Link al Sitio Web de OWASP URUGUAY]

=BUENOS AIRES=

=='''OWASP Latam Tour en Buenos Aires, Argentina'''==

Invitamos a estudiantes, desarrolladores, expertos en seguridad informática y curiosos en general a compartir con la comunidad de OWASP un nuevo evento en Buenos Aires! Será una jornada de charlas técnicas, en un ambiente relajado e ideal para conocer otras personas interesadas en la seguridad en aplicaciones.

[[Image:OWASP-LATAM-2016-1.jpg|400px]] | [[Image:OWASP-LATAM-2016-2.jpg|400px]]

=='''Inscripcion'''==
TDB

== '''Fecha y lugar'''==

28 Abril 2017 - 9am (puntual!) [https://www.digitalhouse.com/campus/belgrano/ DigitalHouse] | Coding School (Monroe 860)
[[File:DigitalHouse Map.png|none|thumb]]

== '''Charlas'''==

Se encuentra abierto el llamado a conferencistas!! ([https://docs.google.com/forms/d/e/1FAIpQLSdLgWPXaAaHBe8n74fiNcANra7Oq_1DxnNT6-8Usqecyvi9Pg/viewform Call for papers is open!]) 

<table class="wikitable" width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Titulo</td>
<td>Orador</td>
</tr>
<tr>
<td width="100">9:20</td>
<td width="491">[http://docdro.id/CvpFkKu Introducción a OWASP]</td>
<td width="200">Martín Tartarelli / [https://andresriancho.com/ Andrés Riancho]</td>
</tr><tr><td>9:35
</td><td>[https://speakerdeck.com/andresriancho/string-compare-timing-attacks String comparison timing attacks]</td><td>[https://andresriancho.com/ Andrés Riancho]</td></tr><tr><td>10:25
</td><td>Análisis de aplicaciones móviles [Android]</td><td>Juan Urbano Stordeur</td></tr><tr><td>10:50</td><td>'''Cafe'''</td><td></td></tr><tr><td>11:20</td><td>HTTP/2 - Un viaje por el RFC</td><td>Maximiliano Soler</td></tr><tr><td>11:45</td><td>Are we safe with No SQL? The answer is NO!</td><td>Maximiliano Berrutto</td></tr><tr><td>12:35</td><td>'''Almuerzo'''</td><td></td></tr><tr><td>13:55</td><td>Malas Compañías</td><td>Fabian Martinez Portantier</td></tr><tr><td>14:20</td><td>Seguridad en WordPress con WPHardening</td><td>Daniel Maldonado</td></tr><tr><td>15:10</td><td>'''Cafe'''</td><td></td></tr><tr><td>15:40</td><td>Quantum Key Distribution - BB84</td><td>Nicolas Videla</td></tr><tr><td>16:05</td><td>[https://www.owasp.org/images/f/f2/Certificate-Transparency.pdf La Oscuridad de Certificate Transparency]</td><td>[http://blog.elevenpaths.com/2017/03/elevenpaths-crea-un-addon-para-hacer.html Cristian Borghello]</td></tr><tr><td>16:30</td><td>[https://www.owasp.org/images/e/ea/SDLC_Framework_-_MELI.pdf Seguridad automatizada en SDLC]</td><td>Alejandro Iacobelli Alexander Campos</td></tr><tr><td>17:20</td><td>''Cierre del evento''</td><td>Martin Tartarelli</td></tr></table>

 

=='''ORGANIZA: OWASP Chapter Argentina'''==

Te invitamos a ser parte del capítulo OWASP Argentina. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Argentina Link al Sitio Web de OWASP Argentina]

=COSTA RICA=
=='''Costa Rica: 21 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega a San José, Costa Rica, '''OWASP Latam tour 2017!'''. Expositores nacionales e internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

==='''REGISTRO '''===

https://www.eventbrite.com/e/owasp-latam-tour-2017-costa-rica-tickets-32740071435

==='''UBICACION'''===

La conferencia se llevará a cabo en las instalaciones del Centro Nacional de Alta Tecnología(CENAT).
Edificio Dr. Franklin Chang Diaz, 1.3 km. Norte de la Embajada de EE.UU. Pavas, San José, Costa Rica.

 

===''' AGENDA'''===

 

{| class="wikitable"
! colspan="5" | OWASP LATAM TOUR 2017 - SAN JOSE, COSTA RICA
|-
| style="font-weight: bold; width:10%;" | Hora
| style="font-weight: bold;" | Nombre de la Conferencia
| style="font-weight: bold;" | Expositor / Speaker
| style="font-weight: bold;" | Detalles
| style="font-weight: bold;" | Ubicación
|-
|7:00 - 8:00
| colspan="6" style="text-align: center; font-weight: bold;" | Recepción y Registro
|-

|-
| 8:00 -8:15
| Bienvenida
| Michael Hidalgo (OWASP Costa Rica)
| Presentación de OWASP y Proyectos
| Salón #1
|-
| 8:15 -9:15
| '''Keynote:'''Threat Modeling with PASTA - Risk Centric Application Threat Modeling Case Studies
| Tony UcedaVelez Atlanta, Georgia
| Developers needs prescriptive guidance on preemptive design and coding techniques. This can be done blindly or in alignment to both application use cases and the context of abuse cases or threats. This talk will speak to case studies in risk centric threat modeling using the PASTA (Process for Attack Simulation & Threat Analysis) methodology and provide 3 use cases of IoT, E-Commerce, and Mobile Applications.

This talk will assume that a basic understanding of data flow diagramming, pen testing, security architecture, and threat analytics is understood by the audience. This talk also centers around the idea of modeling threats for applications based upon a higher propensity of threat intelligence, how to harvest and correlate threat patterns to your threat model and also how to correlate a threat model to defining preemptive controls and countermeasures to include in the overall design.

This talk will focus on walking attendees through the PASTA threat modeling methodology over 3 different deployment models for technology: IoT, E-Commerce, and Mobile. The talk will place specific emphasis on phases II (Technology Enumeration), phase III (Application Decomposition), and phase IV (threat analysis). Although all 7 phases of the PASTA threat modeling methodology will be exemplified, discussions around what tools and techniques around phases II, III, and IV will be discussed in detail since many industry professionals find it challenging to know the various application components that make up the various tiers of an application model. I will be exemplifying some tools to enumerate technical components across various application levels (ex: fingerprinting service PIDs on different apps or systems across IoT, Mobile, eCommerce) as each of these types of system environments are different. Another emphasis on the talk will be around defining trust boundaries while data flow diagramming and identifying what possible countermeasures to introduce from an architectural level. We'll review security architectural best practices from SABSA and TOGAF and how it can fortify secure design patterns. Stage/ Phase IV (Threat Analysis) will also be a key focus as we speak on practical ways in which threat data can be harvested as well as collected from external threat sources. We'll be integrating STIX and TAXII considerations on how to have infrastructure that can feed relevant data points to your threat model. The actual threat modeling methodology can be found here: https://www.versprite.com/PASTA-abstract.pdf
| Salón #1
|-
| 9:20 - 10:15
| Identity and Access Management the fundamentals
| Karina Quiros Rapso Costa Rica
| Identity and Access Management es un conjunto de procesos y tecnologías para permitir la administración de identidades y control de los accesos que estas necesitan para utilizar recursos tecnológicos en la compañía. En términos de gestión de accesos, este aspecto de seguridad ha sido manejado por cada una de las aplicaciones, por consiguiente, la información se encuentra en múltiples repositorios, con diferentes políticas y procesos.
Implementaciones de este tipo, dificulta la visibilidad de los accesos que tiene cierta persona en un momento determinado e incrementa los riesgos de seguridad cuando una persona se retira de la empresa y se debe proceder con la eliminación de todas las autorizaciones a los sistemas que haya utilizado.
El conocer cuáles son los procesos básicos requeridos para implementar un manejo adecuado de esta información, permite evaluar el nivel de madurez de la organización en esta área y brinda una visión para definir un plan de acción, conociendo los beneficios y retos que cada etapa conlleva.
| Salón #1
|-
| 9:20 - 10:15
| DevOps: Primeros Pasos
| Martin Flores González Costa Rica
| Bugs are the main source of vulnerabilities in software; being able to quickly and seamlessly deploy fixes all the way to production should be one of the main goals of any development team; practices allowing towards that goal; by means of removing silos and barriers, need to be embraced by organizations of all sizes. DevOps movement has gain momentum, learning about its spirit, main practices and the overall journey; could enable software development organizations to find what is needed so they could start their journey too. Join us for this presentation were we will cover some of the history of DevOps, its practices and process.
| Salón #2
|-
| 10:15-10:30
| Coffee Break
| Coffee Break
| Coffee Break
| Coffee Break
|-
| 10:30-11:30
| Signed JSON Web Token for ensuring data integrity and authenticity of REST Messages
| Allan R. Cascante Valverde
| When passing on a request through different RESTful services there is always the risk of a forged request attack. To avoid such risk a mechanism to persist authentication across the multiple REST services is required, a signed JSON Web Tokens (JWT) could be a viable solution to prevent this attack. Json Web Tokens allows for claims to be transferred between two systems. These claims form the payload of the JWT which is URL safe base64 encoded. The token can then take a digital signature, of which the private key owner would be the service that was able to authenticate the request initially, so that the request would be authenticated for all others in the chain; as long as the digital signature is still valid. Ensuring data integrity and security across multiple services and components can be a challenge solved by the use of JWT Tokens.
| Salón #1
|-
| 11:30-12:30
| Protecting your Web sites and applications through the cloud
| Luis Diego Raga Costa Rica
| Every day we see more and more companies adopting cloud technologies to protect their web sites and applications from external threats such a DDoS and application layer attacks. There are several benefits of using a cloud solution to augment your security controls and security perimeter, but the main one is that you can drop malicious traffic on the cloud, saving you from processing and inspecting this traffic. In this talk we will cover some of the technologies that can be applied using cloud technologies to protect your websites and Internet facing applications.
| Salón #1
|-
| 12:30-1:30
| Lunch
| Lunch
| Lunch
| Lunch
|-
| 1:30-2:30
| '''Keynote''':Hassle Free Security Automation with Free and Open Source tools
| Anderson Dadario Sao Paulo, Brazil
| Security personnel headcount is always behind IT departments, thus security automation is mandatory to maximize the efficiency of the information security department. However automation is tricky, time-consuming and hard to maintain. Especially if the information security team is small. That said, I'd like to present how to tackle the most important points with the least effort using free and/or open source technologies like Docker, Intelligence Gathering scripts, Slack, Mozilla tools, OWASP tools and others to maximize the security investment. On the other hand the security industry has some limitation when it comes to security software focused on security automation, hence I'll also discuss those limitations to show opportunities. And last but not least, I will release some public code on GitHub related with automation as well. [ Disclaimer: I work for Gauntlet, a service related to this talk, but although there is a free service on there, I won't discuss it in the talk. I'm willing to share my knowledge only and keep it vendor agnostic. If you have any doubts, just ask me or check my past slides in my website and you'll see that there are no slides covering Gauntlet in the middle of the talk expect on 'Who I am' slides. Thank you.
| Salón #1
|-
| 2:30-3:30
| Challenges of Securing 3rd party Cloud Infrastructure
| Oscar Monge Espana Costa Rica
| La conferencia habla de los problemas que se pueden encontrar en empresas medianas y coporaciones al intentar asegurar IaaS en proveedores externos de servicios de nube. Abarca componentes de Logging & Monitoring, Automation Scripts.
| Salón #1
|-
| 2:30-3:30
| IoT-Mirai-Shodan (Consecuencias)
| Kenneth Monge Quirós
Comisión Ciberseguridad CPIC
| IoT ha llegado para quedarse y algunas personas han visto algo más que una manera más cómoda de llevar el día a día, como el desarrollo del Malware Mirai y Shodan, el buscador de IoT, que nos da una referencia importante de su alcance , y tuvo un impacto significativo como el ataque DDoS al IPS DyNDNS
| Salón #2
|-
| 3:45-4:00 +
| Cierre
| Cierre
| Cierre
| Salón #1
|}

=='''ORGANIZA: OWASP Chapter Costa Rica'''==

Te invitamos a ser parte del capítulo OWASP Costa Rica. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Costa_Rica Link al Sitio Web de OWASP Costa Rica]

=PATAGONIA=
=='''OWASP Latam Tour en la Patagonia, Argentina'''==

Invitamos a estudiantes, desarrolladores, expertos en seguridad informática y curiosos en general a compartir con la comunidad de OWASP un nuevo evento en la Patagonia! Será una jornada de charlas técnicas, en un ambiente relajado e ideal para conocer otras personas interesadas en la seguridad en aplicaciones.

==Registro==

El registro a las charlas es libre y gratuito. - [https://owasp-patagonia-latamtour17.eventbrite.com REGISTRARSE AQUI]

Viernes 21 de abril, Neuquén.
De 9:00hs a 18:00hs -> Imperdible!

==Agenda==

{| class="wikitable"
|-
! style="background-color: #30608f; color:#FFF;" width="100" align="center" | Hora
! style="background-color: #30608f; color:#FFF;" width="400" align="center" | Conferencia
! style="background-color: #30608f; color:#FFF;" width="150" align="center" | Expositor
! style="background-color: #30608f; color:#FFF;" width="150" align="center" | Pais
|-
| 09:00 - 10:00
| style="text-align: center;" | Acreditación
|
|
|-
| 10:00 - 10:15
| style="text-align: center;" | Presentación
| Gaston Toth
| General Roca, Arg
|-
| 10:15 - 10:55
| style="text-align: center;" | Donde esta mi Dinero!! - Casos reales en cyber crimen de ATM's
| Camilo Fernandez
| Guatemala
|-
| 10:55 - 11:25
| style="text-align: center;" | Pausa para café
|
|
|-
| 11:25 - 12:05
| style="text-align: center;" | Sysadmin Fails - El despertar de root
| Ramon Arias
| Santiago, Chile
|-
| 12:05 - 12:30
| style="text-align: center;" | Mobile pentesting
| Juan Urbano Stordeur
| Buenos Aires, Arg
|-
| 12:30 - 14:00
| style="text-align: center;" | Almuerzo
|
|
|-
| 14:00 - 14:20
| style="text-align: center;" | Remote wars phantom menace
| Pablo Torres
| Buenos Aires, Arg
|-
| 14:20 - 15:00
| style="text-align: center;" | Hacking a NFC/RFID
| Nahuel Grisolia
| Buenos Aires, Arg
|-
| 15:00 - 15:30
| style="text-align: center;" | Pausa para café
|
|
|-
| 15:30 - 15:50
| style="text-align: center;" | Seguridad Informática en las Universidades
| Jorge Sznek
| Neuquen, Arg
|-
| 15:50 - 16:10
| style="text-align: center;" | Internet de las cosas, Botnet y Seguridad
| Natalia Toranzo
| Neuquen, Arg
|-
| 16:10 - 16:25
| style="text-align: center;" | Pausa para café
|
|
|-
| 16:25 - 16:55
| style="text-align: center;" | Es posible hackear un país?
| Camilo Fernandez
| Guatemala
|}

==¿Dónde?==

'''Viernes 21''' 
Aula Magna, Universidad Nacional del Comahue, Buenos Aires 1400, Neuquén 

[[File:AulaMagna.png|link=https://www.google.com.ar/maps/place/Buenos+Aires+1400,+8300+Neuqu%C3%A9n/@-38.9401457,-68.0595519,17z/data=!3m1!4b1!4m5!3m4!1s0x960a33dd0e3e4b11:0x61ef0da0ee6bbf8c!8m2!3d-38.9401499!4d-68.0573579]]

==Afiche para difusión==
[[File:Poster_Latamtour_2017.jpg|link=https://www.owasp.org/images/7/71/Poster_Latamtour_2017.pdf]] 
(''Gracias Mariano Sckerl por el diseño!'')
 

=ECUADOR=
=='''ECUADOR: 8 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega nuevamente a Ecuador, '''OWASP Latam tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones web y mas.

==='''REGISTRO '''===
 

El registro a las charlas es gratuito.

Sábado 8 de abril, Quito-Ecuador.
De 9:00hs a 17:00hs -> No te lo pierdas!

 

==='''UBICACION'''===

Ladrón De Guevara E11-253- Universidad "Escuela Politécnica Nacional" 
PO•Box: 17-01-2759 
Edificio Earme, Auditorio 2 , 5to piso
Quito, Ecuador 
 

===''' AGENDA'''===

Este evento solo se puede llevar a cabo gracias a la inmensa generosidad y apoyo de nuestros patrocinadores:
* Escuela Politecnica Nacional
* Kaspersky Lab
* Krakensec

 
¿Te gustaría apoyar a nuestro evento? [mailto:fernando.vela@owasp.org Contactanos].

=='''ORGANIZA: OWASP ECUADOR'''==

Te invitamos a ser parte del capítulo OWASP ECUADOR.

====''' CHARLAS'''====
El acceso a las conferencias es gratuito.
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Conferencista</td>
<td>Pais</td>
</tr>
<tr>
<td width="100">08:30</td>
<td width="491">Registro - Acreditación</td>
<td width="300"> </td>
<td width="200"> </td>
</tr>
<tr>
<td width="100">09:00</td>
<td width="491">Introducción al capítulo OWASP Ecuador</td>
<td width="300">Fernando Vela, Roberto Andrade, Ramiro Pulgar</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">09:15</td>
<td width="491">Normas de seguridad PCI & Hackeando Apache</td>
<td width="300">Jorge Torres</td>
<td width="200">Colombia</td>
</tr>
<tr>
<td width="100">10:15</td>
<td width="491">Hackeando WebServices </td>
<td width="300">Alejandro Quiroz</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">11:15</td>
<td width="491">Virtualizacion Segura</td>
<td width="300">Victor Chisava</td>
<td width="200">Colombia</td>
</tr>
<tr>
<td width="100">12:15</td>
<td width="491">Spear-phishing (suplantación de identidad) detecta, evita y denuncia</td>
<td width="300">Fernando Vela</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">13:00</td>
<td width="491">Break</td>
<td width="300"></td>
<td width="200"></td>
</tr> <tr>
<td width="100">13:45</td>
<td width="491">Érase una vez cuando hackearon un NIC </td>
<td width="300">Ricardo Supo Picon</td>
<td width="200">Peru</td>
</tr>
<tr>
<td width="100">14:45</td>
<td width="491">Comunicaciones Seguras VOIP</td>
<td width="300">Cristian Palacios</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">15:45</td>
<td width="491">Ransomware Amenaza despiadada</td>
<td width="300">Nahum Deavila</td>
<td width="200">Colombia</td>

</tr>
<tr>

</table>

=='''ORGANIZA: OWASP Chapter Ecuador'''==

Te invitamos a ser parte del capítulo OWASP Ecuador. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Ecuador Link al Sitio Web de OWASP Ecuador]

=RIVIERA MAYA=
=='''Riviera Maya: 21 y 22 de Abril de 2017 en Cancun, Quintana Roo, Mexico''' ==
Para la edición 2017 estamos muy emocionados de que México se una al OWASP LATAM Tour. Por primera vez nos reuniremos en Cancun, Quintana Roo para un día de conferencias impartidas por expertos en la industria en donde discutiremos las últimas tecnologías, técnicas de ataque/protección y muchos otros temas relacionados con la seguridad informática.

OWASP LATAM Tour es un evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones como universidades, organismos gubernamentales, empresas de TI y entidades financieras.

¿Quieres tener presencia en el evento? [https://goo.gl/IL7kuL Call For Sponsors]

¿Tienes una plática o taller que compartir? [https://goo.gl/forms/sVizcu23iLYjuM9L2 Call For Papers] (CFP CERRADO)

==='''REGISTRO '''===
La entrada a las conferencias es gratuita. Los asistentes únicamente deberán registrarse en la [https://www.eventbrite.com/e/owasp-latam-tour-2017-riviera-maya-tickets-31018422938?aff=OWASPLATAMWIKI lista de asistencia]. 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-riviera-maya-tickets-31018422938?aff=OWASPLATAMWIKI Registro a OWASP LATAM Tour 2017 Riviera Maya]
 

==='''FECHA Y UBICACION'''===

El 21 y 22 de abril en [http://techgarage.mx/ Tech Garage] en Cancun, Quintana Roo, Mexico. 
¿Necesitas viajar a Cancun? A partir del 22 de marzo podrás utilizar el código 'OWASP' para obtener un 10% en tu vuelo con [http://interjet.com.mx Interjet].
 

===''' AGENDA'''===
====''' CONFERENCIAS (Sábado 22 de abril)'''====
El acceso a las conferencias es gratuito con previo registro.
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Conferencista</td>
</tr>
<tr>
<td width="100">9:00</td>
<td width="491">REGISTRO</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">9:30</td>
<td width="491">Introducción a evento</td>
<td width="300">OWASP Riviera Maya</td>
</tr>
<tr>
<td width="100">09:45</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.iwerjkqkfkua Mis vulnerabilidades favoritas del 2016 en Google]</td>
<td width="300">Eduardo Vela ([https://twitter.com/sirdarckcat @sirdarckcat])</td>
</tr>
<tr>
<td width="100">10:45</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.c3x691ipavdm Vulnerabilidades web esotéricas]</td>
<td width="300">Andres Riancho ([https://twitter.com/w3af w3af])</td>
</tr>
<tr>
<td width="100">11:45</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.2g8pc9nz3hhn Más allá de OWASP TOP 10: Fallos no convencionales con impacto en la seguridad]</td>
<td width="300">Alejandro Hernandez ([https://twitter.com/nitr0usmx nitr0usmx])</td>
</tr>
<tr>
<td width="100">12:15</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.yyu096on3qhk Comprometiendo el Internet Industrial de las Cosas (IIOT)]</td>
<td width="300">Rafael Bucio ([https://twitter.com/bucio @bucio])</td>
</tr> <tr>
<td width="100">13:15</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.9qy0l4ydurf2 Shields up and go to red alert!]</td>
<td width="300">Edgar Baldemar ([https://twitter.com/edgarbaldemarmx edgarbaldemarmx])</td>
</tr>
<tr>
<td width="100">14:15</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.1qfk6rxcd3ef Atacando el atacante, crónica de un sysadmin]</td>
<td width="300">Jacobo Tibaquirá Murillo ([https://twitter.com/jjtibaquira jjtibaquira])</td>
</tr>
<tr>
<td width="100">15:00</td>
<td width="491">BREAK/NETWORKING</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">16:30</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.74oq4mp8e1um Un lobo disfrazado de oveja]</td>
<td width="300">Roberto Salgado ([https://twitter.com/lightos @lightos]) Paulino Calderón ([https://twitter.com/calderpwn @calderpwn])</td>
</tr>
<tr>
<td width="100">17:30</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.abnevotnagm5 Timing attacks]</td>
<td width="300">Andres Riancho ([https://twitter.com/w3af w3af])</td>
</tr>
<tr>
<td width="100">18:30</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.2gv2194p25mp Aventuras y desventuras de un pentester]</td>
<td width="300">Jaime Andrés Restrepo ([https://twitter.com/dragonjar @dragonjar])</td>
</tr>
</table>
 

====''' TALLERES (Viernes 21 de abril) '''====
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Instructor</td>
</tr>
<tr>
<td width="100">10:00-18:00</td>
<td width="491">[https://drive.google.com/open?id=0BzPR8exG0kt6c3ZSVUhYeW9OVE0 OWASP TOP 10 Web - Desde descubrimiento a explotación]</td>
<td width="200">Edgar Baldemar Ramos
([https://twitter.com/edgarbaldemarmx edgarbaldemarmx])
</td>
</tr>
<tr>
<td width="100">10:00-18:00</td>
<td width="491">[https://drive.google.com/open?id=0BzPR8exG0kt6NHpuek1EZEtENmc OWASP TOP 10 Móvil - Desde descubrimiento a explotación]</td>
<td width="200">Victor Hugo Ramos Alvarez
([https://twitter.com/vhramosa vhramosa])
</td>
</tr>
<tr>
<td width="100">16:00-20:00</td>
<td width="491">Metasploit 101
(TALLER GRATUITO PARA ASISTENTES REGISTRADOS)
</td>
<td width="200">Jacobo Tibaquira
([https://twitter.com/jjtibaquira jjtibaquira])
</td>
</tr>
</table>
* El costo de los talleres "OWASP TOP 10 Web - Desde descubrimiento a explotación" y "OWASP TOP 10 Móvil - Desde descubrimiento a explotación" es de 250 usd por persona. El acceso a los talleres también da acceso a las charlas. [https://www.eventbrite.com/e/owasp-latam-tour-2017-cancun-mexico-tickets-32595246259 Registrate aquí].
* El taller de "Metasploit 101" es gratuito para los que ya se han registrado al evento.

===''' PATROCINADORES'''===

Este evento solo se puede llevar a cabo gracias a la inmensa generosidad y apoyo de nuestros patrocinadores. Una vez más le agradecemos por ayudar a mejorar la seguridad de software en México a:
* [http://bugcon.org Bugcon Security Conferences]
* [http://www.ohkasystems.com Consultora Ohkasis]
* [http://www.cyberopsec.com.mx CyberOPSEC México]
* [http://www.dragonjar.org DragonJAR]
* [http://fmcancun.net FMCancun]
* [https://www.fortinet.com Fortinet]
* [http://www.itcentersolutions.com.mx ITCenter Solutions]
* [http://optimiti.com.mx Optimiti]
* [http://papajohnspizzacancun.com Papa Johns Cancun]
* [http://www.pricetravel.com.mx Pricetravel]
* [https://protektnet.com Protektnet]
* [http://purplesec.com Purple Security]
* [http://homedepot.com.mx The Home Depot MX]
* [http://techgarage.mx/ Tech Garage Cancun]
* [https://tropicode.net Tropicode]
* [http://websec.mx Websec México]

 
¿Te gustaría apoyar a nuestro evento? [https://goo.gl/IL7kuL Hay muchas formas de hacerlo].

=='''ORGANIZA: OWASP Chapter Riviera Maya'''==

Te invitamos a ser parte del capítulo OWASP Riviera Maya. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Riviera_Maya Link al Sitio Web de OWASP Riviera Maya]

=MANIZALES=
=='''Manizales: 3 de Abril de 2017 ''' ==
OWASP LATAM Tour es un evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones como universidades, organismos gubernamentales, empresas de TI y entidades financieras.

==='''REGISTRO '''===
La entrada a las conferencias es gratuita. Los asistentes únicamente deberán registrarse en la [https://dragonjar.leadpages.co/owasp-manizales/ lista de asistencia]. 

==='''FECHA Y UBICACION'''===

El 3 de abril en el auditorio 323 - Universidad de Manizales. 

===''' AGENDA'''===
====''' CHARLAS'''====
El acceso a las conferencias es gratuito.
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Conferencista</td>
</tr>
<tr>
<td width="100">09:00</td>
<td width="491">Introducción al capítulo OWASP Manizales</td>
<td width="300">Jaime Restrepo</td>
</tr>
<tr>
<td width="100">10:00</td>
<td width="491">Hackeando APIs REST</td>
<td width="300">Juan Castro</td>
</tr>
<tr>
<td width="100">11:00</td>
<td width="491">BREAK</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">11:30</td>
<td width="491">Ingenieria Social enfocada en Seguridad Web</td>
<td width="300">Hugo Bayona</td>
</tr>
<tr>
<td width="100">12:30</td>
<td width="491">ALMUERZO LIBRE</td>
<td width="300"></td>
</tr> <tr>
<td width="100">14:00</td>
<td width="491">Seguridad en redes Smartgrid</td>
<td width="300">Diego Gonzales</td>
</tr>
<tr>
<td width="100">15:00</td>
<td width="491">Nsearch, lo que le faltaba a nmap</td>
<td width="300">Jacobo Tibaquira
</td>
</tr>
<tr>
<td width="100">16:00</td>
<td width="491">BREAK</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">16:30</td>
<td width="491">Sorpresas de la seguridad informatica</td>
<td width="300">Santiago Bernal</td>
</tr>
<tr>
<td width="100">17:30</td>
<td width="491">Web Application Security Testing the OWASP Style</td>
<td width="300">John Vargas</td>
</tr>
</table>
 

===''' PATROCINADORES'''===

Este evento solo se puede llevar a cabo gracias a la inmensa generosidad y apoyo de nuestros patrocinadores:
* [http://www.dragonjar.org DragonJAR]

 
¿Te gustaría apoyar a nuestro evento? [mailto:jaime.andres.restrepo@owasp.org Contactanos].

=='''ORGANIZA: OWASP Manizales'''==

Te invitamos a ser parte del capítulo OWASP Manizales. 

=PERÚ=
== '''Lima, Perú: 22 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#CCCCEE;" height="30" align="center" | '''CONFERENCIAS'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" |
== '''OWASP Latam Tour - Lima 2017''' ==

'''Sábado 22 de Abril ''' ''(Conferencia)''
|-
| valign="center" bgcolor="#CCCCEE" align="center" | '''Descripción y Objetivo'''
|-
| valign="left" bgcolor="#EEEEEE" align="left" | El evento más importante de la región llega a Lima, Perú, '''OWASP Latam Tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones. '''OWASP LATAM TOUR,''' es una gira por Latinoamérica que promueve la seguridad en aplicaciones web en diversas instituciones como: universidades, organismos gubernamentales, empresas de TI y entidades financieras; buscando crear conciencia sobre la seguridad en las aplicaciones y puedan tomar decisiones informadas sobre los verdaderos riesgos de seguridad.

*Además del OWASP Top 10, la mayoría de los [[:Category:OWASP_Project|Proyectos OWASP]] no son ampliamente utilizados en los ambientes corporativos. En la mayoría de los casos esto no es debido a una falta de calidad en los proyectos o la documentación disponible, sino por desconocer donde se ubicarán en un Ecosistema de Seguridad de Aplicaciones empresarial.

*Esta serie de talleres y conferencias tienen como objetivo cambiar esta situación proporcionando una explicación sobre los proyectos OWASP más maduros y listos para ser utilizados en el ámbito empresarial.
|}

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#4B0082;" align="center" | '''CONFERENCIAS (Sábado 22)'''
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Sábado 22 de Abril 9:00 am'''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' UTEC - Universidad de Ingeniería y Tecnología '''
Jr. Medrano Silva 165, Barranco 
Lima - Perú ''' '''
[[Image:Utec_ubicación.png|400px|link=https://goo.gl/maps/SPjTbRX35PL2]]
|-
| colspan="2" style="background:#CCCCEE;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso a las conferencias es '''100% GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link : 
[https://latamtour2017peru.eventbrite.com '''EL REGISTRO SE ENCUENTRA ABIERTO!''']
 

|-
| colspan="2" style="background:#CCCCEE;" align="center" | '''Promociones'''
|-
| colspan="2" valign="left" height="80" bgcolor="#EEEEEE" align="center" | OFERTA ESPECIAL - Durante todo el OWASP Latam Tour el costo de la membresía anual es de solamente U$D 20. Utilice el código de descuento "LATAM" durante el proceso de registro electrónico como miembro individual en el enlace disponible a continuación. 
[http://myowasp.force.com/memberappregion Hágase MIEMBRO DE OWASP AQUÍ] 
'''Si usted aun no es miembro OWASP, por favor considere unirse a nuestra organización.'''
|}
 

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#CCCCEE" align="center" | '''DETALLES DE LA JORNADA'''
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | ''' Horario '''
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Tema'''
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Ponente'''
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Presentación'''
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:00 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | OWASP Perú
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | [[Media:LatamTour2017_JVP_Membresia.pdf| Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 10:00 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentación del evento - Proyectos OWASP
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [https://twitter.com/John_Vargas John Vargas]
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |[[Media:OWASP_Latam_Tour_2017_-_Introducci%C3%B3n_JVP_1.pdf| Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 10:30 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Atacando servicios web en el mundo real
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Luis Quispe
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_LuisQuispe_AtacandoServiciosWeb.pdf | Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 11:30 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Panorama de la ciberseguridad
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Jorge Córdova
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_JorgeCordova_Panorama_de_la_Cyberseguridad.pdf | Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 12:30 pm
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Iniciandome en el Desarrollo Seguro ¿Por dónde empiezo?
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Gabriel Robalino
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_GabrielRobalino_Iniciandome_SDLC.pdf | Descargar Slides]]

|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 15:00 pm
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Prácticas seguras de criptografía en aplicaciones web
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Henry Sanchez
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_HenrySanchez_Pr%C3%A1cticas_Criptograf%C3%ADa_Aplicaciones_WEB.pdf | Descargar Slides]]

|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:00 pm
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | SQL Injection Deep Dive
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Mateo Martínez [OWASP Uruguay]
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_MateoMartinez_SQL_Injection_DeepDive.pdf | Descargar Slides]]

|}

=BOGOTÁ=
=='''Bogotá: 3 de Abril del 2017 en Bogotá, Colombia''' ==

En 2017 volvemos al Latam Tour, con la idea de tener un día para compartir todos los proyectos que tiene OWASP, discutir como los usamos, que hemos aprendido de ellos, la forma en que podemos seguir fortaleciendo nuestra seguridad digital con dichos proyectos en un ambiente de aprendizaje, junto a los miembros del Capítulo Bogotá y todos los asistentes que quieran aprender y compartir en este evento.

OWASP LATAM Tour es un evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones como universidades, organismos gubernamentales, empresas de TI y entidades financieras.

Tu puedes ser uno de nuestros '''Patrocinadores''', si estas interesado escribe a ''giovanni.cruz@owasp.org'' o cualquier miembro del capítulo OWASP Bogotá para más información.

El llamado a charlas ya se ha cerrado, gracias a todos los que nos enviaron sus propuestas.

==='''REGISTRO '''===
La entrada al evento es totalmente gratuita, pero para términos de logística necesitamos que todos los asistentes se encuentre registrados en la [https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI lista de asistencia del evento]. 
[https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI Registro a OWASP LATAM Tour 2017 Bogotá]
 

==='''FECHA Y UBICACION'''===

El 3 de Abril en el Auditorio Principal de la [http://www.unipiloto.edu.co/ Universidad Piloto de Colombia], ubicada en la Carrera 9 No. 45A - 44 en Bogotá, Colombia.

=== '''AGENDA''' ===

==03 de Abril==
{| class="wikitable"
|-
! width="200" align="centRed Team: Why you need the Red?er" |Hora
! width="320" align="center" |Expositor
! width="450" align="center" |Conferencia
! width="150" align="center" |País
|-
!07:50 - 08:25
| colspan="3" style="text-align: center;" |Registro - Acreditación
|-
!08:25 - 08:40
| style="text-align: center;" |Giovanni Cruz Forero
| style="text-align: center;" |'''Esto es OWASP'''
| style="text-align: center;" |Colombia
|-
!08:40 - 10:40
| style="text-align: center;" |Ricardo Supo Picón
| style="text-align: center;" |'''Del Top 10 OWASP al Cumplimiento de PCI-DSS v 3.2 - Workshop'''
| style="text-align: center;" |Perú
|-
!10:40 - 11:05
| style="text-align: center;" |Jeffrey Steve Borbón Sanabria
| style="text-align: center;" |'''¿Y cómo editamos sistemas legados que nadie sabe como sirven?'''
| style="text-align: center;" |Colombia
|-
!11:05 - 11:30
| colspan="3" style="text-align: center;" |Break
|-
!11:30 - 12:00
| style="text-align: center;" |Juan Pablo Arévalo - Andrés Vega
| style="text-align: center;" |'''OWASP Mobile Project and Internet of Things'''
| style="text-align: center;" |Colombia
|-
!12:00 - 12:40
| style="text-align: center;" |Hugo Alvarez - Maria Alejandra Blanco
| style="text-align: center;" |'''Offensive Web Testing Framework (OWTF)'''
| style="text-align: center;" |Colombia
|-
!12:40 - 13:40
| colspan="3" style="text-align: center;" |Almuerzo
|-
!13:45 - 14:30
| style="text-align: center;" |Edgar Felipe Duarte Porras
| style="text-align: center;" |'''Malware: Burlando los antivirus con JavaScripts'''
| style="text-align: center;" |Colombia
|-
!14:30 - 14:55
| style="text-align: center;" |Tatiana Higuera - Nicolas Moreno
| style="text-align: center;" |'''OWASP SeraphimDroid Project'''
| style="text-align: center;" |Colombia
|-
!14:55 - 15:40
| style="text-align: center;" |Oscar Mondragon
| style="text-align: center;" |'''Antidefacement Web'''
| style="text-align: center;" |Colombia
|-
!15:40 - 16:10
| colspan="3" style="text-align: center;" |Break
|-
!16:10 - 16:45
| style="text-align: center;" |David Useche – Maria Paula Bueno
| style="text-align: center;" |'''The OWASP Enterprise Security API (ESAPI): Security Control Library'''
| style="text-align: center;" |Colombia
|-
!16:45 - 17:30
| style="text-align: center;" |Jonathan Maderos
| style="text-align: center;" |'''Hackeando una Elección'''
| style="text-align: center;" |Venezuela
|-
!17:30 - 17:45
| colspan="3" style="text-align: center;" |CIERRE
|}

===''' PATROCINADORES'''===

Este año el OWASP LATAM Tour en Bogotá es posible gracias a nuestros patrocinadores:

* [http://www.csiete.org CSIETE]
* [http://www.unipiloto.edu.co/ Universidad Piloto de Colombia]
* [http://www.bsidesco.org BSides Colombia]
* [https://www.easysol.net/ Easy Solutions]
 
Tu puedes ser uno de nuestros patrocinadores, no dudes en comunicarte con cualquier miembro del [https://www.owasp.org/index.php/Bogota Capítulo Bogotá].

=='''ORGANIZA: OWASP Chapter Bogotá'''==

Te invitamos a ser parte del capítulo OWASP Bogotá. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Bogota Link al Sitio Web de OWASP Bogotá]

=EL SALVADOR=
=='''El Salvador: Martes 25 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega a San Salvador, El Salvador, '''OWASP Latam tour 2017!'''. Expositores internacionales presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones WEB.

==='''REGISTRO '''===
Evento Completamente Gratuito, a profesionales y estudiantes 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-el-salvador-tickets-32678763060 Registrarse Aquí]
 

==='''UBICACION'''===

Universidad Don Bosco, Campus Postgrados Antiguo Cuscatlan

 ''' AGENDA'''
{| class="wikitable"
!Hora
!Agenda
!Tematica
!Expositor
|-
|8:00 - 8:15
|Registro
|
|
|-
|8:15 - 9:00
|Presentación del Capitulo OWASP El Salvador
|Objetivos del Capitulo
|
|-
|9:05 - 10:00
|Programa BugBounty
|Como funciona el Bugbounty, y como puede ser una forma de
trabajo para los profesionales en la seguridad informática.
|
|-
|10:00 - 10:15
|Coffe Break
|
|
|-
|10:20 - 12:00
|OWASP Top 10 como mecanismo de protección
ante la Ciber Delincuencia.
|Como utilizar OWASP Top 10
como marco de referencia y Ley de Delitos

Informaticos de El Salvador
|Lic. Nelson Chacon Reyes
Lider Capitulo OWASP

El Salvador
|-
|12:00 - 13:00
|Almuerzo
|Almuerzo Libre
|
|-
|13:00 - 14:00
|'''IoT security, from home to enterprise networks'''
|El uso de elementos de IoT en casa y en las redes empresariales
| Rudiger Fogelbach, El Salvador
|-
|14:00 - 15:00
|Evadiendo los 20 Controles Criticos
de Seguridad
|Técnicas comúnmente usadas para
Evadir los controles de Seguridad
|Walter Cuestas, PERU
|-
|15:00 - 15:15
|Coffe Break
|
|
|-
|15:15 - 16:00
|La darknet dentro de la empresa
|Como impacta en la empresa las configuraciones

de nuestra red y dispositivos de seguridad
|Daniel Suarez, OWASP El Salvador
|-
|16:00 - 17:00
|Gaming and Hacking 4 Life
|Como aplicar los conocimientos adquiridos a través
de vídeo juegos y aplicarlos a la seguridad
|Mario Orellana, Tiger Security, El Salvador
|-
|Cierre - Rifas
|
|
|}
Se encuentra abierto el llamado a conferencistas!! (Call for papers is open!)

===''' Patrocinadores'''===
Universidad Don Bosco, El Salvador.

====== Centro de Estudios de Postgrado ======
Final Av. Albert Einstein, No. 233

Colonia Jardines de Guadalupe, La Libertad.

[ [http://postgrados.udb.edu.sv/insti.php http://www.udb.edu.sv/udb/] ]

Instituto Superior de Tecnología Aplicada [ http://www.insteconline.com/ ]

TigerSecurity [ https://www.facebook.com/TigerSecSV/ ]

WebCommService [ http://www.webcommservice.com ]

Hackerone.com [ https://www.hackerone.com/ ]

Grupo Active System [ http://activesystems.com.sv/activesystems/index.html ] 

=='''ORGANIZA: OWASP Chapter El Salvador'''==

Te invitamos a ser parte del capítulo OWASP El Salvador. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/El_Salvador Link al Sitio Web de OWASP El Salvador]

=GUATEMALA=

=='''GUATEMALA 26 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega nuevamente a Guatemala, '''OWASP Latam tour 2017!'''. Expositores estarán presentando conferencias sobre los temas más importantes en Seguridad Informatica y de Aplicaciones Web.

Evento Completamente Gratuito, a profesionales y estudiantes 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-guatemala-tickets-33934431799 Registrarse Aquí]
 

==='''UBICACION'''===

[http://www.galileo.edu/ Universidad Galileo - www.galileo.edu] 
[[Image:logo-ug.png|200px|link=https://www.galileo.edu/]]
Auditorio Principal 
 
===''' AGENDA'''===
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#4B0082" align="center" | '''DETALLES DE LA CONFERENCIA - Miércoles 26 de Abril (Universidad Galileo Salon 401)'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Horario'''
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Expositor'''
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Titulo'''
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Detalles'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 15:30 - 16:00
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:00 - 16:15
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Salon 401 Torre 1
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | INAUGURACION
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | 16:15 - 17:00
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | Roberto Rimola - Salon 401 Torre 1
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | "Ingenieria Social, hacking de humanos."
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | La Ingeniería Social tiene un papel fundamental en una gran cantidad de ciberataques, más allá de lo grande, pequeño o sofisticado que sea el crimen.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:00 - 17:45
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Amilcar De Leon
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | “Taller de SQL Injection”
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:45 - 18:30
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Pablo Barrera
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | "Taller de OWASP ZAP"
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Taller de como utilizar herramientas para encontrar vulnerabilidades que se encuentran en el OWASP TOP 10 y explotarlas.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 18:30 - 19:00
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Receso
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 19:00 - 20:30
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Cesar Calderon OWASP CTF Concurso de Hacking
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | CTF
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | CTF
|-
|}

 

=CHILE=
'''[https://www.owasp.org/index.php/Chile OWASP CHILE] invita a estudiantes y profesionales interesados en Seguridad de la Información, a nuestro evento OWASP LatamTour'''.
[[File:SCL_banner00.jpg |60% ]]

== Curso/taller '''jueves 27 abril''' 2017 [[https://www.eventbrite.com/e/owasp-latam-tour-2017-santiago-de-chile-tickets-32595688582#tickets Inscribete aquí]]==

{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="140" align="center" | Relator
! width="230" align="center" | '''Tema del Taller'''
! width="690" align="center" | Descripción
|-
! 1
| '''Carlos Allendes D. (Chile)''' 
| Programación Segura usando OWASP, [taller de 07 horas]
| Taller hands-on en técnicas de desarrollo seguro, con los tips y conocimiento basado en OWASP, para reducir vulnerabilidades en: BD ORACLE, BD SQLSERVER, Lenguaje: .NET, JAVA, PHP. aplicando las metodologías exigidas por normativas internacionales (PCI, ISO27001, CSA) que mitigan los riesgos en la web.
|-
! 2
| ''' Ricardo Supo (Peru) ''' 
| Del Top 10 OWASP al Cumplimiento de PCI-DSS v3.2, [taller de 07 horas]
| PCI-DSS v3.2 en su Requisito 6, Desarrollar y mantener sistemas y aplicaciones seguros, exige seguir directrices seguras como las definidas por OWASP a las entidades bancarias emisoras de tarjetas de crédito.
En este taller se desarrollará de manera práctica el OWASP Top 10 tanto la detección y la explotación de cada una así como su corrección en código en ambientes de desarrollo bajo máquinas virtuales tanto para .Net como Java.
|-
! 3
| '''Mateo Martinez (Uruguay) ''' 
| Mastering ZAP y Desarrollo Seguro", [taller de 07 horas]
| Completo taller con las técnicas que recomienda OWASP para programación segura y adicionalmente la respectiva validación usando herramientas de ethical hacking que permiten hacer el testing de seguridad sobre las aplicaciones que entrega el equipo de desarrollo.
|}

== Charlas Liberadas '''Miércoles 26 abril''' 2017 [[https://www.eventbrite.com/e/owasp-latam-tour-2017-santiago-de-chile-tickets-32595688582 Inscribete aquí]]==

{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="60" align="center" | Hora
! width="150" align="center" | Expositor
! width="250" align="center" | Título
! width="650" align="center" | Descripción
|-
! 1
| 08:30 a 09:00
|
| Acreditación de asistentes
|
|-
! 2
| 09:00 a 09:05
| '''DUOC-UC y OWASP'''
| Palabras de Bienvenida
|
|-
! 3
| 09:05 a 09:50
| '''Carlos Allendes D.'''
| Hacker o Empresario?
| El "hacking as a service" un riesgo creciente para la seguridad TI. El cibercrimen ya derivó en un "modelo de negocio", que usa estrategias de mercado y define su "cadena de valor", similar a una empresa legítima: maximiza beneficios, innova y gestiona RRHH). Para las organizaciones, esto incrementará los riesgos y la inversión en seguridad.
|-
! 4
| 09:55 a 10:40
| '''Mateo Martinez (Uruguay)'''
| OWASP Arsenal (*cambio horario*)
| Muchas herramientas de OWASP, que no todos conocen... ¿para qué sirven? ¿Cómo funcionan? ¿Qué tan maduras se encuentran? Esta charla busca hacer una puesta a punto de los principales proyectos de OWASP y mostrar las herramientas en acción mediante una presentación sumamente práctica y llena de demostraciones. Se incluyen proyectos de OWASP para: Defenders, Breakers & Builders.
|-
! 5
| 10:45 a 11:00
|
| '''Coffee Break'''
|
|-
! 6
| 11:05 a 11:50
| '''Claudio Salazar '''
| "Detectem" un proyecto open-source para seguridad
| Las herramientas de pentesting (al igual que cualquier software) requieren mejoras y nuevas funcionalidades. Pero a menudo los proyectos open-source no usan buenas prácticas de desarrollo. Esta charla analiza la necesidad de saber programar para un pentester y propone buenas prácticas de programación, basado en la experiencia al crear la herramienta chilena: Detectem.
|-
! 7
| 11:55 a 12:50
| '''Sebastián Quevedo '''
| Análisis de anatomías de ataque: Ransomware y sus contramedidas
| Existe un gran impacto del Ransomware hacia las organizaciones y personas. Este tipo de malware tiene una alta tasa de propagación/infección. Las primeras generaciones usaban criptovirología (año 2008) hasta los actuales que son bloqueadores de sistemas. Esta charla evalúa los principales efectos/daños que provoca y propone una estrategia práctica/efectiva para enfrentar esta amenaza.
|
|-
! 8
| 13:00 a 15:00
|
| '''Horario de Almuerzo'''
|
|
|-
! 9
| 15:00 a 15:45
| '''Gustavo Nieves Arreaza '''
| Buenas prácticas del SDLC basado en OWASP (*cambio horario*)
| Muchas organizaciones y personas entienden a OWASP como un referente para identificar fallas en el software ya terminado, pero la seguridad es un ciclo continuo, que debe mantenerse en paralelo a las fases del desarrollo y programación del software. OWASP provee herramientas útiles para todas las fases del ciclo de vida "SDLC".
|-
! 10
| 15:50 a 16:40
| '''Ricardo Supo (Peru)'''
| Érase una vez cuando hackearon un NIC
| Un día regresando del trabajo te reportan un incidente de riesgo bajo pero al analizarlo el NIC de un país estaba comprometido. Se narrará la historia jamás contada de un incidente nacional y como se pudo reducir los riesgos rápidamente. Los incidentes sucedidos en el NIC, banca y gobierno. Así mismo como las metodologías de OWASP apoyan a reducir los riesgos.
|-
! 11
| 16:45 a 17:20
|
| '''Sorteo y Premios'''
|
|-
|}

=SÃO PAULO=
=='''São Paulo: XX de Maio de 2017''' ==
O evento mais importante sobre Segurança de Aplicações da América Latina chega em São Paulo, '''OWASP Latam Tour 2017'''. Profissionais nacionais e internacionais estão apresentando palestras sobre os temas mais importantes em Segurança de Aplicações.

=VENEZUELA (CANCELADO)=
== '''Caracas: April, 27th 2017''' ==
[https://www.eventbrite.com/e/owasp-latam-tour-2017-caracas-venezuela-tickets-32595739735 CANCELADO] 

=REPUBLICA DOMINICANA=

[[File:RD_banner05.jpg |60% ]]

OWASP República Dominicana invita a estudiantes, profesionales e interesados en la '''Seguridad de la Información''' a nuestro segundo evento anual y gratuito de charlas OWASP, que realizaremos en el Instituto Tecnológico de Las Américas (ITLA) de la ciudad de Santo Domingo.

== Charlas Jueves 6 abril [[https://www.eventbrite.com/e/owasp-latam-tour-2017-republica-dominicana-tickets-32594480970 Registro Gratuito a Charlas]] ==
{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="290" align="center" | Expositor
! width="230" align="center" | '''Tema a Exponer'''
! width="690" align="center" | Descripción
|-
! 1
| '''Willis Polanco''' [Dominicano] 
| Palabras de Bienvenida
|
|-
! 2
| '''Jonathan Correa''' [Dominicano] 
| Introducción al Capitulo de OWASP en República Dominicana (R.D)
| Introducción a los objetivos de la comunidad internacional OWASP y expectativas a realizar en República Dominicana.
|-
! 3
| '''Carlos Allendes''' [Chileno] 
| Armar un Laboratorio de Hacking en 5 minutos.
| Esta charla enseñará como armar un ambiente controlado de laboratorio, usando herramientas y recursos de OWASP, para practicar, auto-estudiar y entrenarse con aplicaciones web.
|-
! 4
|
| '''Pausa de Café'''
|
|-
! 5
| '''Piero Alvigini''' [Dominicano] 
| Corriendo un (C) SOC en el Caribe.
| Se describe como opera SOC (Security Operations Center) en el caribe. El enfoque actual para el monitoreo continuo y respuesta ante incidentes frente a nuevas y emergentes amenazas de seguridad (APT).
|-
! 6
| '''Ruddy Simons''' [Dominicano] 
| Ransomware
| El malware del tipo Ransomware se infiltra en la máquina de una víctima, bloquea su sistema y/o encripta los archivos del usuario (word, excel, ppt, fotografias), y así fuerzan a la víctima para obtener el pago de un rescate.
|-
! 7
|
| '''Receso para Almorzar'''
|
|-
! 8
| '''Mario Orellana''' [Salvadoreño] 
| Y cómo es que uno se convierte en hacker?
| Mentalidad y perfil de un hacker y como iniciarse en la cyberseguridad. Demostración de las 5 fases de un ataque de hacking, y se entregará un breve análisis de las leyes informáticas de El Salvador y República Dominicana, para explicar bajo que condiciones podría ser considerado delito informático, una actividad no autorizada de intrusión.
|
|-
! 9
| '''Ricardo Supo''' [Peruano] 
| Érase una vez cuando hackearon un NIC
| Un día regresando del trabajo te reportan un incidente de riesgo bajo pero al analizarlo el NIC de un país estaba comprometido. Se narrará la historia jamás contada de un incidente nacional y como se pudo reducir los riesgos rápidamente. Los incidentes sucedidos en el NIC, banca y gobierno y como no debió actuar el NIC. Así mismo como las metodologías de OWASP apoyan a reducir los riesgos.
|-
! 10
| '''Luis Peralta''' [Dominicano] 
| Palabras cierre
|
|}

== Cursos/Taller[[https://www.eventbrite.com/e/owasp-latam-tour-2017-republica-dominicana-tickets-32594480970 Registro de Asistentes]] ==

{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="290" align="center" | Expositor
! width="230" align="center" | '''Tema del Taller'''
! width="690" align="center" | Descripción
|-
! 1
| '''Ricardo Supo ''' [Peruano] 
| Del Top 10 OWASP al Cumplimiento de PCI-DSS v3.2
| PCI-DSS v3.2 en su Requisito 6, Desarrollar y mantener sistemas y aplicaciones seguros, exige seguir directrices seguras como las definidas por OWASP a las entidades bancarias emisoras de tarjetas de crédito.

En este taller se desarrollará de manera práctica el OWASP Top 10 tanto la detección y la explotación de cada una así como su corrección en código en ambientes de desarrollo bajo máquinas virtuales tanto para .Net como Java.
|}

=='''Patrocinios'''==

Le interesa participar con un stand en el evento y su logo en la página del Tour?
Pueden contactarnos en [https://www.owasp.org/index.php/Rep%C3%BAblica_Dominicana '''Oportunidades de patrocinio''']
 
Cualquier consulta puede canalizarla con el Presidente Owasp R.Dominicana: [mailto:jonathan.correa@owasp.org Jonathan Correa]
 

=='''¿Dónde y cuando?'''==
 
Lugar: Instituto Tecnológico de Las Americas (ITLA) [https://goo.gl/maps/7jZZBvBeb1S2 mapa]
 
Parque Cibernético, República Dominicana
 
Fecha: Jueves 6 de Abril
 
 
Hacer click para ampliar mapa. 
[[File:RD_mapa.jpg|link=https://goo.gl/maps/7jZZBvBeb1S2]]

=='''Redes Sociales'''==
[[File:Twitterelvin.png|link=]]

=SPONSORS=

==We are looking for Sponsors for the Latam Tour 2017==
 

This is a truly unique opportunity to increase your brand recognition as a company dedicated to the highest standards of professional technology & security in the Latin-America region but also internationally throughout the world while supporting the continued activities conducted by OWASP worldwide.

* ''' Sponsorship benefits for organizations specializing in IT & Security:'''
** Opportunity to use the latest technological trends for professional training / development
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your business development strategy with leading information from the security industry
** Get networking and headhunting opportunities with world-class specialists and professionals
** Get the chance to interact with high-need discerning users to improve product development
** Increase your image as a professional company through this unique branding opportunity

* '''Sponsorship benefits for organizations utilizing the internet in their business:'''
** Opportunity to increase the international brand awareness and conduct business networking
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your service development by understanding the latest trends in security issues & risks
** Contribute to information society as a company by developing safe and secure services
** Get the chance to interact with high-need discerning users to improve product development
** Opportunity to brand your company as one that focuses on the highest standards in technology

Make your company part of the conversation. Become a sponsor of the tour today!

[https://www.owasp.org/images/6/68/SPONSORS_2017.pdf '''SPONSOR OPPORTUNITIES''']
[https://www.owasp.org/images/9/93/LatamTour2017OportunidadesdePatrocinio.pdf '''OPORTUNIDADES DE PATROCINIO''']

Please contact Kelly.Santalucia@owasp.org for further information

=TEAM=

== '''OWASP Latam Tour 2017 Team''' ==
 

'''Chapter Leaders'''

* [mailto:edgar.salazar@owasp.org Edgar Salazar] (Venezuela) 
*[mailto:elvin.mollinedo@owasp.org Elvin Mollinedo] (Bolivia)
*[[User:Gastontoth|Gaston Toth]] (Patagonia, Argentina) 
*[mailto:diego.dinardo@owasp.org Diego Di Nardo] (Patagonia, Argentina) 
*[[User:Jvargas|John Vargas]] (Perú) 
*[[User:Tartamar|Martin Tartarelli]] (Buenos Aires, Argentina) 
*[[User:Magno Logan|Magno Logan]] (São Paulo, Brazil) 
*[[User:Mateo Martínez|Mateo Martinez]] (Uruguay) 
*[[User:Mauro Flores|Mauro Flores]] (Uruguay) 
*[[User:Felipe Zipitria|Felipe Zipitria]] (Uruguay) 
*[[User:ferchovela|Fernando Vela]] (Ecuador) 
*[[User: Ramiro Pulgar|Ramiro Pulgar]] (Ecuador) 
*[mailto:carlos.allendes@owasp.org Carlos Allendes] (Chile)
*[mailto:gustavo.solano@owasp.org Gustavo Solano] (Honduras)
*[mailto:jonathan.correa@owasp.org Jonathan Correa] (Rep.Dominicana)
*[mailto:pablo.barrera@owasp.com Pablo Barrera] (Guatemala)
*[mailto:paulino.calderonpale@owasp.com Paulino Calderon] (Riviera Maya)
*[mailto:giovanni.cruz@owasp.com Giovanni Cruz Forero] (Bogotá)
*[mailto:nelson.chacon@owasp.org Nelson Chacon Reyes] (El Salvador)
* [mailto:michael.hidalgo@owasp.org Michael Hidalgo] (Costa Rica) 

'''OWASP Staff'''

*Alison Shrader (Finances)
*Kate Hartmann (Registration)
*Kelly Santalucia (Sponsorships)
*Laura Grau (Organization)

<headertabs></headertabs>

== Sponsors ==
[[Image:Dreamlab.png|link=https://www.dreamlab.net/es/]]
[[Image:Logo-inzafe.png|link=http://inzafe.cl/]]
[[Image:Infobyte-logo.png|200px|link=http://infobytesec.com/]]
[[image:WhiteJaguars.png|200px|link=https://www.whitejaguars.com/]]
[[image:ESET_logo_-_Stacked_-_Colour_-_Heavy_Turq_tag_-_RGB-01.png|200px|link=http://www.eset-la.com/]]
[[image:Despegar.png|280px|link=http://www.despegar.com/]]
[[Image:Logo_websec.jpg||220px|link=http://www.websec.mx/]]
[[Image:1024px-TheHomeDepot.svg.png||160px|link=http://homedepot.com.mx/]]
[[Image:Ohka_logo.png||300px|link=http://www.ohkasystems.com/]]
[[Image:Purplesecurity_logo.png||280px|link=http://purplesec.com/]]
[[Image:Protektnet.png||280px|link=https://protektnet.com/]]
[[Image:01_-_Tropicode_-_Logo_-_Color_-_Horizontal.png||280px|link=https://tropicode.net/]]
[[Image:DeepRecce.png||280px|link=https://www.deeprecce.com//]]

== Community Supporters ==
[[Image:Logo6.png‎‎|200px|link=https://www.8dot8.org/]]
[[Image:Dragonjar.png|300px|link=https://www.dragonjar.org/]]
[[Image:bsidesco.png|300px|link=https://www.bsidesco.org/]]
[[Image:Ekoparty-logo.jpg|120px|link=https://www.ekoparty.org/]]
[[Image:Andsec-logo.png|180px|link=http://www.andsec.org/]]
[[Image:Logo-segu-info-alta.jpg|280px|link=http://www.andsec.org/]]

==Lunch & Coffee Break Sponsor ==
[[Image:Cyberopsec_logo.jpg||150px|link=http://www.cyberopsec.com.mx/]]
[[Image:Papajohns_logo.png||150px|link=http://papajohnspizzacancun.com/]]

== Educational Supporters ==
[[Image:Logo_Uncoma.png ‎|200px|link=http://www.uncoma.edu.ar/]]
[[Image:Un2.png ‎|200px|link=http://www.upds.edu.bo/SantaCruz/]]
[[Image:logoITLA12.jpg|link=http://www.itla.edu.do/]]
[[Image:SCL duoc uc.jpg|link=http://www.duoc.cl/sedes/sede-padre-alonso-de-ovalle]]
‎[[Image:Universidadedmanizales.png|link=http://umanizales.edu.co/]]
[[File:Universidad Piloto .jpg|200x200px]]
[[Image:UCV2_(1).jpg|200px| link=http://www.ucv.ve/]]
[[Image:180-digital-house.jpg|200px| link=https://www.digitalhouse.com]]
[[Image:Logo_utec.png|250px| link=https://www.utec.edu.pe]]
[[Image:logo-ug.png|200px|link=https://www.galileo.edu/]]
[[Image:Techgarage_logo.png||200px|link=http://techgarage.mx/]]

File:Certificate-Transparency.pdf

2017-05-02T13:54:21Z

Cristian Borghello: Para qué sirve, cómo se implementa y cuáles son los problemas potenciales Certificate Transparency

Para qué sirve, cómo se implementa y cuáles son los problemas potenciales Certificate Transparency

LatamTour2017

2017-05-02T13:52:45Z

Cristian Borghello:

__NOTOC__
{{:LatamTour2017_Header}}
= WELCOME =

'''Agenda'''

* April, 3: Manizales, Colombia 
* April, 3: Bogotá, Colombia - [https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706 REGISTRATE AQUÍ] 
* April, 5-6: Montevideo, Uruguay - [https://www.eventbrite.com/e/owasp-latam-tour-2017-uruguay-chapter-tickets-32991450316 REGISTRATE AQUÍ] 
* April, 6-7: República Dominicana - [https://www.eventbrite.com/e/owasp-latam-tour-2017-republica-dominicana-tickets-32594480970 REGÍSTRATE AQUÍ] 
* April, 8: Quito, Ecuador 
* April, 19: Córdoba, Argentina - [https://www.eventbrite.com/e/owasp-cordoba-tickets-33669370995 REGISTRARSE AQUI] 
* April, 21: Patagonia, Argentina - [https://owasp-patagonia-latamtour17.eventbrite.com REGISTRARSE AQUI] 
* April, 21: San José, Costa Rica 
* April, 22: Lima, Perú [https://latamtour2017peru.eventbrite.com REGISTRARSE AQUI] 
* April, 21-22: Santa Cruz, Bolivia -[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329 REGISTRARSE AQUI] 
* April, 22: Cancun, Mexico 
* May, XX: São Paulo, Brazil 
* April, 25: San Salvador, El Salvador - [https://www.eventbrite.com/e/owasp-latam-tour-2017-el-salvador-tickets-32678763060 Registrarse aquí] 
* April, 26: Guatemala, Guatemala 
* April, 26-27: Santiago de Chile 
* April, 27: Caracas, Venezuela -[https://www.eventbrite.com/e/owasp-latam-tour-2017-caracas-venezuela-tickets-32595739735 CANCELADO] 
* April, 28: Buenos Aires, Argentina - [https://www.eventbrite.com/e/owasp-latam-tour-2017-buenos-aires-argentina-tickets-32594072749 REGISTRARSE AQUI] 

'''Latam Tour Objective'''

The OWASP Latam Tour objective is to raise awareness about application security in the Latin America region, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.

We are proposing a chapters conference driven model in which the sessions are free for everybody and the costs are supported by a mix of funding i.e. OWASP Foundation, local chapter budget, external sponsorship, etc. 1-day training sessions are also offered in some tour stops. These sessions’ fees are $ 200USD for OWASP members and $ 250 USD for non-members (group discounts may apply).
 
 

'''Who Should Attend the Latam Tour?'''
 

*Application Developers
*Application Testers and Quality Assurance
*Application Project Management and Staff
*Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
*Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
*Security Managers and Staff
*Executives, Managers, and Staff Responsible for IT Security Governance
*IT Professionals Interesting in Improving IT Security
*Anyone interested in learning about or promoting Web Application Security 
 

'''Special offer - Become an OWASP Member'''

As part of the OWASP Latam Tour, you could become an OWASP Member by paying 20 U$D. Show your support and become an OWASP member today!

[[Image:Join_button.jpg|100px|link=http://sl.owasp.org/newmember]] [[Image:Renewal.jpg |100px|link=http://sl.owasp.org/renewmember]]

'''QUESTIONS'''

*If you have any questions about the Latam Tour, please send an email to laura.grau@owasp.org

----
'''[https://twitter.com/search?f=tweets&q=LATAMTOUR2017 #Latamtour]''' hashtag for your tweets for Latam Tour (What are [http://hashtags.org/ hashtags]?)

'''@AppSecLatam Twitter Feed ([http://twitter.com/AppSecLatam follow us on Twitter!])''' <twitter>34534108</twitter>

= CALL FOR PAPERS & TRAININGS =

== '''Do you want to give a talk or a training session in Latin America?''' ==
 

'''Please send your proposals to the corresponding chapter leader before March 1st 2017:'''
 
 

* '''Argentina''' (Buenos Aires): [https://docs.google.com/forms/d/e/1FAIpQLSdLgWPXaAaHBe8n74fiNcANra7Oq_1DxnNT6-8Usqecyvi9Pg/viewform Submit your talk here]
* '''Argentina''' (Patagonia): [https://goo.gl/forms/KSIfGvlHbmMD90ks2 Submit your talk here] or send it to Gaston Toth [gaston.toth@owasp.org]
* '''Argentina''' (Córdoba): send it to Eduardo Casanovas [eduardocasanovas.scg@gmail.com]
* '''Mexico''' (Riviera Maya): [https://goo.gl/forms/sVizcu23iLYjuM9L2 Submit your talk here] or send it to Paulino Calderon [paulino.calderonpale@owasp.org]
* '''Bolivia''': Elvin Mollinedo [elvin.mollinedo@owasp.org]
* '''Chile''': Carlos Allendes [carlos.allendes@owasp.org]
* '''Colombia''' (Bogotá): [https://goo.gl/forms/bDuccVZIxvZ7NZak1 Submit your talk here] or send it to Giovanni Cruz Forero [giovanni.cruz@owasp.org]
* '''Costa Rica''': Michael Hidalgo [michael.hidalgo@owasp.org]
* '''Ecuador''' (Quito): [https://www.papercall.io/owaspec Submit your talk here] or send it to Fernando Vela [fernando.vela@owasp.org]
* '''Guatemala''': Pablo Barrera [pbarrera@gmail.com]
* '''Peru''' (Lima) : John Vargas [john.vargas@owasp.org]
* '''Honduras''' : Gustavo Solano [gustavo.solano@owasp.org]
* '''Rep.Dominicana''' : Jonathan Correa [jonathan.correa@owasp.org]
* '''São Paulo''': Magno Logan [https://docs.google.com/forms/d/e/1FAIpQLSc1rLsekBX8tTBfh6c_J42HAQ5L3_dqEQA8BAae7n3pXbrEVQ/viewform Submit your talk here]
* '''Uruguay''' (Montevideo): [https://docs.google.com/forms/d/e/1FAIpQLSd_Lfd7XnCJ-9wULUWGtm8gfg4ggdAoSD6YvioCyHoKaCHkrA/viewform Submit your talk here]
* '''Venezuela''' (Caracas): Edgar Salazar [edgar.salazar@owasp.org]
 

''By your submission you agree to the [https://www.owasp.org/images/d/dd/LatamTour2016SpeakerAgreement.pdf '''Speaker Agreement'''], [https://www.owasp.org/images/2/27/LatamTour2016InvitedSpeakerAgreement.pdf '''Invited Speaker Agreement'''] or [https://www.owasp.org/images/e/e6/LatamTour2016InstructorAgreement.pdf ‎'''Instructor Agreement'''].''

=BOLIVIA=
=='''BOLIVIA: 21-22 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega nuevamente a Bolivia, '''OWASP Latam tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

==='''REGISTRO '''===

La entrada a las conferencias es gratuita. Los asistentes únicamente deberán registrarse en la [https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 lista de asistencia]. 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 Registro a OWASP LATAM Tour 2017 Bolivia]
 
 

==='''UBICACION'''===

[[Image:Dir.png |https://www.google.com/maps/place/Universidad+Privada+Domingo+Savio/@-17.7582917,-63.1755815,15.96z/data=!4m5!3m4!1s0x93f1e7c3e8d539cb:0x1ce9b8db4a387ab4!8m2!3d-17.7583404!4d-63.1744264]]
 
[https://www.google.com/maps/place/Universidad+Privada+Domingo+Savio/@-17.7582917,-63.1755815,15.96z/data=!4m5!3m4!1s0x93f1e7c3e8d539cb:0x1ce9b8db4a387ab4!8m2!3d-17.7583404!4d-63.1744264 '''Dirección: Av. Beni y 3er. Anillo Externo Santa Cruz, Bolivia.''']
 

 

===''' AGENDA'''===

== 21 de abril ==

{| class="wikitable"
|-
! width="200" align="center" | Hora
! width="320" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País
|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Registro - Acreditación
|-
! 08:30 - 09:00
| colspan="3" style="text-align: center;" | Proyecto OWASP
|-
! 09:00 - 09:45
| Saul Mamani M.
| '''Seguridad Perimetral de Aplicaciones, una buena alternativa'''
| Oruro, Bolivia
|-
! 09:45 - 10:30
| Danilo Anatoli Mercado Oudalova
| '''FRAMEWORK GALINA'''
| Santa Cruz, Bolivia
|-
! 10:30 - 11:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 11:00 - 11:45
| Camilo Quenta
| '''Ransomware en las alturas - enjaulando a linux'''
| La Paz, Bolivia
|-
! 11:45 - 12:30
| Carlos Vidaurre
| '''"BLUE" attacks'''
| Santa Cruz, Bolivia
|-
! 12:30 - 14:00
| colspan="3" style="text-align: center;" | Horario de Almuerzo
|-
! 14:00 - 14:45
| William Duabyakosky
| '''Seguridad en App Móviles con owasp'''
| Santa Cruz, Bolivia
|-
! 14:45 - 15:30
| Herman Brule
| '''DDOS y bot a larga escala'''
| Francia
|-
! 15:30 - 16:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 16:00 - 16:45
| Jaime Ivan Mendoza
| '''IoT internet'''
| Santa Cruz, Bolivia
|-
! 16:45 - 17:30
| Ricardo Supo Picón
| '''Érase una vez cuando hackearon un NIC'''
| Peru
|-
|}

== 22 de abril ==
{| class="wikitable"
|-
! width="200" align="centRed Team: Why you need the Red?er" | Hora
! width="320" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País
|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Registro - Acreditación
|-
! 08:30 - 09:00
| colspan="3" style="text-align: center;" | Proyecto OWASP
|-
! 09:00 - 09:45
| Juampa Rodríguez
| '''0037: Con Licencia para F*ckear!'''
| La Paz, Bolivia
|-
! 09:45 - 10:30
| Jorge Santillán
| '''Kit de robótica economico'''
| Sucre, Bolivia
|-
! 10:30 - 11:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 11:00 - 11:45
| Israel Aràoz Severiche
| '''El salto del León ( win32 Exploiting )'''
| Santa Cruz, Bolivia
|-
! 11:45 - 12:30
| Nolberto Zabala Quiroz
| '''Seguridad en equipos Mikrotik'''
| Santa Cruz, Bolivia
|-
! 12:30 - 14:00
| colspan="3" style="text-align: center;" | Horario de Almuerzo
|-
! 14:00 - 14:45
| Richard Villca Apaza
| '''Desarrollo de Exploits'''
| Oruro, Bolivia
|-
! 14:45 - 15:30
| Pablo Videla
| '''Ingeniería (Anti) Social'''
| Chile
|-
! 15:30 - 16:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 16:00 - 16:45
| Boris Murillo y Gabriel Bergel
| '''"MAFIA inc. How bad guys own our money ...and data"'''
| Chile
|-
! 16:45 - 17:30
| Diego Bruno
| '''DevOps - Del Salar de Uyuni a Skynet'''
| Argentina
|-
|}

 
==='''TALLERES'''===
 

{| class="wikitable floatleft"
| rowspan="3" | [[File:Ricardofoto.jpg ]]
| '''Top 10 OWASP al Cumplimiento de PCI-DSS v3.2'''
|-
| [https://www.owasp.org/images/e/e9/Ricardo-taller.jpg '''Detalle del training...''']
'''Costo para Miembros OWASP: 200 Dolares Americanos'''
 '''Costo normal: 250 Dolares Americanos'''
 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 Registro]
|-
| '''[https://www.linkedin.com/in/ricardo-supo-pic%C3%B3n-270a243/ Ing. Ricardo Supo Picon]'''
Co-lider del Capítulo Peruano de OWASP, CTO & Founder de INZAFE S.A. (Brasil - Chile - Perú), Ingeniero de Sistemas por la Universidad de Lima y Postgrado en Seguridad Informática por la UOC España. Reconocido por el gobierno peruano por su apoyo a combatir el Cybercrimen. Dispone de más de 10 años de experiencia en el sector bancario latinoamericano especializándose en los temas de ethical hacking, análisis forense, pentesting web, programación segura, ingeniería reversa, análisis de malware, optimización, revisión de código, criptografía y fraude bancario.
|}

{| class="wikitable floatleft"
| rowspan="3" | [[File:Israelfoto.jpg ]]
| '''Desarrollo de Exploit y Herramientas de Seguridad con Python'''
'''Costo para Miembros OWASP: 200 Dolares Americanos'''
 '''Costo normal: 250 Dolares Americanos'''
 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-santa-cruz-bolivia-tickets-32593932329?aff=es2 Registro]
|-
| [https://www.owasp.org/images/2/2e/Israel-taller.jpg '''Detalle del training...''']
|-
| '''[https://www.linkedin.com/in/iaraoz/ Ing. Israel Aráoz S.] '''
CTO & Founder DEFENET (Defense Network) con más de 10 años de experiencia en seguridad informática, Implementación de normas ISO 27001 y ISO 22301, Miembro del Capitulo Owasp Bolivia, Docente de pre-grado y posgrado en Criptografia, Auditoria Informatica ,Ejecución de Pruebas de Intrusión en Guatemala, Bolivia , Chile, Honduras , Instructor en Análisis Forense Digital, Exploiting, Ingeniera Inversa , Certificación en Certified Ethical Hacker & Computer Hacking Forensic Investigator, Exploiting & Reversing sobre Windows & Linux, Scripting Python.
|}

=='''ORGANIZA: OWASP Chapter Bolivia'''==

Te invitamos a ser parte del capítulo OWASP Bolivia. 
Toda la información del capítulo se encuentra en: [https://goo.gl/Kq11Wx Link al Sitio Web de OWASP BOLIVIA]
=='''Redes Sociales'''==
[[File:Twitterelvin.png|link=https://twitter.com/owaspbolivia]]
[[File:Faceelvin.png|link=https://www.facebook.com/OWASPCHAPTERBOLIVIA/]]

=CORDOBA=
=='''CORDOBA: 19 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega a Códroba, '''OWASP Latam tour 2017!'''. Reconocidos expositores estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

==='''REGISTRO '''===
[https://www.eventbrite.com/e/owasp-cordoba-tickets-33669370995 Registro gratuito!]

 

===''' AGENDA'''===

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#e88a49;" align="center" | '''CONFERENCIA: 19 de Abril de 2017'''
|
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#e88a49" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#e88a49" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | 19 de Abril
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Av Fuerza Aérea 6500 Argentina [https://goo.gl/maps/43wW2PkKsgQ2 Ver mapa]''' 

|-
| colspan="2" style="background:#e88a49;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso al evento es '''GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link 
'''Link de Registro al OWASP LATAM TOUR 2017 - CORDOBA''': [https://www.eventbrite.com/e/owasp-cordoba-tickets-33669370995 Registro Gratuito al OWASP LATAM TOUR 2017 - CORDOBA]''' '''
|-
| 
|-
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#00549e" align="center" | '''DETALLES DE LA JORNADA'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Horario'''
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Modulo'''
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Ponente'''
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Detalles'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:00-9:20
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 9:20 - 9:35
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Bienvenida
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Eduardo Casanovas (OWASP Cordoba)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentación de OWASP y Proyectos
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:35 - 10:25
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | OWASP en Soluciones Corporativas de Seguridad de la Información
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |<nowiki> Andres More | Nicolas Guini (McAfee)</nowiki>
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 10:25 - 10:50
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Introducción a OWASP
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Martín Tartarelli (Infobyte)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | 10:50 - 11:20
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Café
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Café
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Café
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 11:20 - 12:10
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Stealing company data via Android apps
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Juan Urbano (ESET)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 12:10 - 13:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | How you web framework deals with CSRF
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Federico Iachetti (IUA)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" |13:00 - 14:10
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Almuerzo
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Almuerzo
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Almuerzo
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 14:10 - 15:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Web Goat como herramienta para training de seguridad
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Santiago Gimenez (OLAPIC)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 15:00 - 15:50
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | WAF: estado del arte y prevención para el Top10 de OWASP
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |<nowiki> Carlos Tapia (Claro) | Santiago Alasia (Mercado Libre)</nowiki>
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" |15:50 - 16:20
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Café
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Café
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Café
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:20 - 17:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | SDLC presente y futuro
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Martín Tartarelli (InfoByte)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|- |-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:00 - 17:50
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | CIO Vs CISO OWASP al rescate
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Mauro Graziosi (SmartFense)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|- |-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:50 - 18:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Cierre del evento
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Eduardo Casanovas (IUA)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
|}

==='''UBICACION'''===

Instituto Universitarío Aeronáutico, Av Fuerza Aérea 6500 de la Ciudad de Córdoba
Córdoba, Argentinac 
 

=='''ORGANIZA: OWASP Chapter Córdoba'''==

=URUGUAY=

 

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#00549e;" height="30" align="center" | '''TALLER Y CONFERENCIAS - OWASP LATAM TOUR 2017'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" |
'''Miércoles 5 de Abril''' ''(Talleres - A definir)'' '''Jueves 6 de Abril''' ''(Conferencia - En Facultad de Ingenieria - UDELAR)''
|-
| colspan="2" valign="center" bgcolor="#e88a49" align="center" | '''Descripcion y Objetivo'''
|-
| colspan="2" valign="left" height="80" bgcolor="#EEEEEE" align="left" |
El evento más importante de la región llega nuevamente a Uruguay, '''OWASP Latam tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#00549e;" align="center" | '''TALLER: Miércoles 5 de Abril'''

|-
| colspan="2" style="background:#CCCCEE;" align="center" | '''Taller: Owasp top 10 hands on training'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | Durante todo el OWASP Latam Tour se estarán realizando talleres de capacitación dictados por destacados profesionales en la materia. En Uruguay, se llevará a cabo el siguiente taller: '''Owasp top 10 hands on training''' el día miércoles 5 de abril de 2017 en el Hotel IBIS - Montevideo, Uruguay.

|-
| valign="middle" bgcolor="#EEEEEE" align="center" |
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Owasp top 10 hands on trainings'''

Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web de forma adecuada.

Orientado a desarrolladores y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

'''Nivel:''' Básico-Intermedio

'''Objetivos:'''

- Conocer OWASP Top 10
- Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador

'''Perfil de los talleristas '''

El grupo de OWASP Uruguay brindará un taller con sus mejores exponentes.
*Gerardo Canedo
*Mateo Martinez
*Maximiliano Alonzo

'''Duracion:''' 8 horas

'''Precio:''' U$S 250 [https://www.eventbrite.com/e/owasp-top-10-hands-on-training-tickets-33078967081?aff=es2 REGISTRO TRAINING - USD 250]

|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#e88a49" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#e88a49" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' TALLER: Miércoles 5 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | Hotel IBIS
|-
| colspan="2" style="background:#e88a49;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso al entrenamiento es '''PAGO''' con un costo de USD 250 - El proceso de registro lo podrá ubicar en el siguiente link 
'''Link de Registro al Training en el OWASP LATAM TOUR 2017''': [https://www.eventbrite.com/e/owasp-top-10-hands-on-training-tickets-33078967081?aff=es2 REGISTRO TRAINING - USD 250]''' '''
|-

|} 

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#e88a49;" align="center" | '''CONFERENCIA: Jueves 6 de Abril'''
|
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#e88a49" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#e88a49" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | Miércoles 6 de Abril
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Auditorio Massera - Universidad de la República''' 
[[File:Aulario_UDeLaR.jpg|center|400px|Auditorio Massera - Universidad de la República]]
Pasaje Landoni y J.Herrera y Reissig, Montevideo, Uruguay - www.fing.edu.uy
|-
| colspan="2" style="background:#e88a49;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso al evento es '''GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link 
'''Link de Registro al OWASP LATAM TOUR 2017''': [https://www.eventbrite.com/e/owasp-latam-tour-2017-uruguay-chapter-tickets-32991450316 Registro Gratuito al OWASP LATAM TOUR 2017 - URUGUAY]''' '''
|-
| 
|-
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#00549e" align="center" | '''DETALLES DE LA JORNADA'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Horario'''
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Modulo'''
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Ponente'''
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | '''Detalles'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:00-9:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 9:30 - 10:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Bienvenida
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Mateo Martínez (OWASP Uruguay)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentación de OWASP y Proyectos
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 10:30 - 11:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | [https://speakerdeck.com/andresriancho/esoteric-web-application-vulnerabilities-1 Esoteric Web Application Vulnerabilities]
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | [https://andresriancho.com/ Andrés Riancho]
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Una interesante charla que muestra casos practicos de vulnerabilidades complejas (que no se ven todos los dias).
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 11:30 - 12:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | OWASP Security Knowledge Framework
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Edgar Salazar
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | OWASP SKF pretende ser una herramienta que se utiliza como guía para construir y verificar software seguro. También se puede utilizar para entrenar a los desarrolladores sobre la seguridad de las aplicaciones. La educación es el primer paso en el ciclo de vida de desarrollo de software seguro.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" | 12:30 - 14:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Corte
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Almuerzo
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" | Almuerzo
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 14:00 - 14:45
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Hacking con ZAP
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Santiago Vazquez (Paraguay)
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Presentaremos diversas técnicas para hacer hacking de apliaciones usando ZAP
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 14:45 - 15:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Hacking and Bitcoins (not hacking BITCOINS)
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Alberto Hill
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentaremos los problemas de seguridad mas importantes en la historia de cryptomonedas, en particular bitcoins, evaluacion de la seguridad en bitcoins, y resumen donde los problemas son basicamente los mismos de hace 15 años en portales web, y no en el diseño de blockchain/bitcoins, donde la seguridad fue contempleada desde el diseño. Se termina con un mapeo del owasp top 10 2013 y los incidentes mencionados asi como un caso real de hacke de sitio administrador de bitcoins.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#e88a49" align="center" |15:30 - 16:00
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Break
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Break
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#e88a49" align="center" |Break
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 16:00 - 16:45
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | (fr)Agile Security Testing
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Felipe Zipitria
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Descripcion
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:45 - 17:30
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | OWASP ASVS - Cómo me puede servir
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Gerardo Canedo
| colspan="0" style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Charla de Difusión del OWASP ASVS, Entry level. Contaré nuestra experiencia de utilizarlo como requerimientos de seguridad.
|-
|}

=='''ORGANIZA: OWASP Chapter Uruguay'''==

Te invitamos a ser parte del capítulo OWASP Uruguay. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Uruguay Link al Sitio Web de OWASP URUGUAY]

=BUENOS AIRES=

=='''OWASP Latam Tour en Buenos Aires, Argentina'''==

Invitamos a estudiantes, desarrolladores, expertos en seguridad informática y curiosos en general a compartir con la comunidad de OWASP un nuevo evento en Buenos Aires! Será una jornada de charlas técnicas, en un ambiente relajado e ideal para conocer otras personas interesadas en la seguridad en aplicaciones.

[[Image:OWASP-LATAM-2016-1.jpg|400px]] | [[Image:OWASP-LATAM-2016-2.jpg|400px]]

=='''Inscripcion'''==
TDB

== '''Fecha y lugar'''==

28 Abril 2017 - 9am (puntual!) [https://www.digitalhouse.com/campus/belgrano/ DigitalHouse] | Coding School (Monroe 860)
[[File:DigitalHouse Map.png|none|thumb]]

== '''Charlas'''==

Se encuentra abierto el llamado a conferencistas!! ([https://docs.google.com/forms/d/e/1FAIpQLSdLgWPXaAaHBe8n74fiNcANra7Oq_1DxnNT6-8Usqecyvi9Pg/viewform Call for papers is open!]) 

<table class="wikitable" width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Titulo</td>
<td>Orador</td>
</tr>
<tr>
<td width="100">9:20</td>
<td width="491">[http://docdro.id/CvpFkKu Introducción a OWASP]</td>
<td width="200">Martín Tartarelli / [https://andresriancho.com/ Andrés Riancho]</td>
</tr><tr><td>9:35
</td><td>[https://speakerdeck.com/andresriancho/string-compare-timing-attacks String comparison timing attacks]</td><td>[https://andresriancho.com/ Andrés Riancho]</td></tr><tr><td>10:25
</td><td>Análisis de aplicaciones móviles [Android]</td><td>Juan Urbano Stordeur</td></tr><tr><td>10:50</td><td>'''Cafe'''</td><td></td></tr><tr><td>11:20</td><td>HTTP/2 - Un viaje por el RFC</td><td>Maximiliano Soler</td></tr><tr><td>11:45</td><td>Are we safe with No SQL? The answer is NO!</td><td>Maximiliano Berrutto</td></tr><tr><td>12:35</td><td>'''Almuerzo'''</td><td></td></tr><tr><td>13:55</td><td>Malas Compañías</td><td>Fabian Martinez Portantier</td></tr><tr><td>14:20</td><td>Seguridad en WordPress con WPHardening</td><td>Daniel Maldonado</td></tr><tr><td>15:10</td><td>'''Cafe'''</td><td></td></tr><tr><td>15:40</td><td>Quantum Key Distribution - BB84</td><td>Nicolas Videla</td></tr><tr><td>16:05</td><td>La Oscuridad de Certificate Transparency</td><td>[http://blog.elevenpaths.com/2017/03/elevenpaths-crea-un-addon-para-hacer.html Cristian Borghello]</td></tr><tr><td>16:30</td><td>[https://www.owasp.org/images/e/ea/SDLC_Framework_-_MELI.pdf Seguridad automatizada en SDLC]</td><td>Alejandro Iacobelli Alexander Campos</td></tr><tr><td>17:20</td><td>''Cierre del evento''</td><td>Martin Tartarelli</td></tr></table>

 

=='''ORGANIZA: OWASP Chapter Argentina'''==

Te invitamos a ser parte del capítulo OWASP Argentina. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Argentina Link al Sitio Web de OWASP Argentina]

=COSTA RICA=
=='''Costa Rica: 21 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega a San José, Costa Rica, '''OWASP Latam tour 2017!'''. Expositores nacionales e internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

==='''REGISTRO '''===

https://www.eventbrite.com/e/owasp-latam-tour-2017-costa-rica-tickets-32740071435

==='''UBICACION'''===

La conferencia se llevará a cabo en las instalaciones del Centro Nacional de Alta Tecnología(CENAT).
Edificio Dr. Franklin Chang Diaz, 1.3 km. Norte de la Embajada de EE.UU. Pavas, San José, Costa Rica.

 

===''' AGENDA'''===

 

{| class="wikitable"
! colspan="5" | OWASP LATAM TOUR 2017 - SAN JOSE, COSTA RICA
|-
| style="font-weight: bold; width:10%;" | Hora
| style="font-weight: bold;" | Nombre de la Conferencia
| style="font-weight: bold;" | Expositor / Speaker
| style="font-weight: bold;" | Detalles
| style="font-weight: bold;" | Ubicación
|-
|7:00 - 8:00
| colspan="6" style="text-align: center; font-weight: bold;" | Recepción y Registro
|-

|-
| 8:00 -8:15
| Bienvenida
| Michael Hidalgo (OWASP Costa Rica)
| Presentación de OWASP y Proyectos
| Salón #1
|-
| 8:15 -9:15
| '''Keynote:'''Threat Modeling with PASTA - Risk Centric Application Threat Modeling Case Studies
| Tony UcedaVelez Atlanta, Georgia
| Developers needs prescriptive guidance on preemptive design and coding techniques. This can be done blindly or in alignment to both application use cases and the context of abuse cases or threats. This talk will speak to case studies in risk centric threat modeling using the PASTA (Process for Attack Simulation & Threat Analysis) methodology and provide 3 use cases of IoT, E-Commerce, and Mobile Applications.

This talk will assume that a basic understanding of data flow diagramming, pen testing, security architecture, and threat analytics is understood by the audience. This talk also centers around the idea of modeling threats for applications based upon a higher propensity of threat intelligence, how to harvest and correlate threat patterns to your threat model and also how to correlate a threat model to defining preemptive controls and countermeasures to include in the overall design.

This talk will focus on walking attendees through the PASTA threat modeling methodology over 3 different deployment models for technology: IoT, E-Commerce, and Mobile. The talk will place specific emphasis on phases II (Technology Enumeration), phase III (Application Decomposition), and phase IV (threat analysis). Although all 7 phases of the PASTA threat modeling methodology will be exemplified, discussions around what tools and techniques around phases II, III, and IV will be discussed in detail since many industry professionals find it challenging to know the various application components that make up the various tiers of an application model. I will be exemplifying some tools to enumerate technical components across various application levels (ex: fingerprinting service PIDs on different apps or systems across IoT, Mobile, eCommerce) as each of these types of system environments are different. Another emphasis on the talk will be around defining trust boundaries while data flow diagramming and identifying what possible countermeasures to introduce from an architectural level. We'll review security architectural best practices from SABSA and TOGAF and how it can fortify secure design patterns. Stage/ Phase IV (Threat Analysis) will also be a key focus as we speak on practical ways in which threat data can be harvested as well as collected from external threat sources. We'll be integrating STIX and TAXII considerations on how to have infrastructure that can feed relevant data points to your threat model. The actual threat modeling methodology can be found here: https://www.versprite.com/PASTA-abstract.pdf
| Salón #1
|-
| 9:20 - 10:15
| Identity and Access Management the fundamentals
| Karina Quiros Rapso Costa Rica
| Identity and Access Management es un conjunto de procesos y tecnologías para permitir la administración de identidades y control de los accesos que estas necesitan para utilizar recursos tecnológicos en la compañía. En términos de gestión de accesos, este aspecto de seguridad ha sido manejado por cada una de las aplicaciones, por consiguiente, la información se encuentra en múltiples repositorios, con diferentes políticas y procesos.
Implementaciones de este tipo, dificulta la visibilidad de los accesos que tiene cierta persona en un momento determinado e incrementa los riesgos de seguridad cuando una persona se retira de la empresa y se debe proceder con la eliminación de todas las autorizaciones a los sistemas que haya utilizado.
El conocer cuáles son los procesos básicos requeridos para implementar un manejo adecuado de esta información, permite evaluar el nivel de madurez de la organización en esta área y brinda una visión para definir un plan de acción, conociendo los beneficios y retos que cada etapa conlleva.
| Salón #1
|-
| 9:20 - 10:15
| DevOps: Primeros Pasos
| Martin Flores González Costa Rica
| Bugs are the main source of vulnerabilities in software; being able to quickly and seamlessly deploy fixes all the way to production should be one of the main goals of any development team; practices allowing towards that goal; by means of removing silos and barriers, need to be embraced by organizations of all sizes. DevOps movement has gain momentum, learning about its spirit, main practices and the overall journey; could enable software development organizations to find what is needed so they could start their journey too. Join us for this presentation were we will cover some of the history of DevOps, its practices and process.
| Salón #2
|-
| 10:15-10:30
| Coffee Break
| Coffee Break
| Coffee Break
| Coffee Break
|-
| 10:30-11:30
| Signed JSON Web Token for ensuring data integrity and authenticity of REST Messages
| Allan R. Cascante Valverde
| When passing on a request through different RESTful services there is always the risk of a forged request attack. To avoid such risk a mechanism to persist authentication across the multiple REST services is required, a signed JSON Web Tokens (JWT) could be a viable solution to prevent this attack. Json Web Tokens allows for claims to be transferred between two systems. These claims form the payload of the JWT which is URL safe base64 encoded. The token can then take a digital signature, of which the private key owner would be the service that was able to authenticate the request initially, so that the request would be authenticated for all others in the chain; as long as the digital signature is still valid. Ensuring data integrity and security across multiple services and components can be a challenge solved by the use of JWT Tokens.
| Salón #1
|-
| 11:30-12:30
| Protecting your Web sites and applications through the cloud
| Luis Diego Raga Costa Rica
| Every day we see more and more companies adopting cloud technologies to protect their web sites and applications from external threats such a DDoS and application layer attacks. There are several benefits of using a cloud solution to augment your security controls and security perimeter, but the main one is that you can drop malicious traffic on the cloud, saving you from processing and inspecting this traffic. In this talk we will cover some of the technologies that can be applied using cloud technologies to protect your websites and Internet facing applications.
| Salón #1
|-
| 12:30-1:30
| Lunch
| Lunch
| Lunch
| Lunch
|-
| 1:30-2:30
| '''Keynote''':Hassle Free Security Automation with Free and Open Source tools
| Anderson Dadario Sao Paulo, Brazil
| Security personnel headcount is always behind IT departments, thus security automation is mandatory to maximize the efficiency of the information security department. However automation is tricky, time-consuming and hard to maintain. Especially if the information security team is small. That said, I'd like to present how to tackle the most important points with the least effort using free and/or open source technologies like Docker, Intelligence Gathering scripts, Slack, Mozilla tools, OWASP tools and others to maximize the security investment. On the other hand the security industry has some limitation when it comes to security software focused on security automation, hence I'll also discuss those limitations to show opportunities. And last but not least, I will release some public code on GitHub related with automation as well. [ Disclaimer: I work for Gauntlet, a service related to this talk, but although there is a free service on there, I won't discuss it in the talk. I'm willing to share my knowledge only and keep it vendor agnostic. If you have any doubts, just ask me or check my past slides in my website and you'll see that there are no slides covering Gauntlet in the middle of the talk expect on 'Who I am' slides. Thank you.
| Salón #1
|-
| 2:30-3:30
| Challenges of Securing 3rd party Cloud Infrastructure
| Oscar Monge Espana Costa Rica
| La conferencia habla de los problemas que se pueden encontrar en empresas medianas y coporaciones al intentar asegurar IaaS en proveedores externos de servicios de nube. Abarca componentes de Logging & Monitoring, Automation Scripts.
| Salón #1
|-
| 2:30-3:30
| IoT-Mirai-Shodan (Consecuencias)
| Kenneth Monge Quirós
Comisión Ciberseguridad CPIC
| IoT ha llegado para quedarse y algunas personas han visto algo más que una manera más cómoda de llevar el día a día, como el desarrollo del Malware Mirai y Shodan, el buscador de IoT, que nos da una referencia importante de su alcance , y tuvo un impacto significativo como el ataque DDoS al IPS DyNDNS
| Salón #2
|-
| 3:45-4:00 +
| Cierre
| Cierre
| Cierre
| Salón #1
|}

=='''ORGANIZA: OWASP Chapter Costa Rica'''==

Te invitamos a ser parte del capítulo OWASP Costa Rica. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Costa_Rica Link al Sitio Web de OWASP Costa Rica]

=PATAGONIA=
=='''OWASP Latam Tour en la Patagonia, Argentina'''==

Invitamos a estudiantes, desarrolladores, expertos en seguridad informática y curiosos en general a compartir con la comunidad de OWASP un nuevo evento en la Patagonia! Será una jornada de charlas técnicas, en un ambiente relajado e ideal para conocer otras personas interesadas en la seguridad en aplicaciones.

==Registro==

El registro a las charlas es libre y gratuito. - [https://owasp-patagonia-latamtour17.eventbrite.com REGISTRARSE AQUI]

Viernes 21 de abril, Neuquén.
De 9:00hs a 18:00hs -> Imperdible!

==Agenda==

{| class="wikitable"
|-
! style="background-color: #30608f; color:#FFF;" width="100" align="center" | Hora
! style="background-color: #30608f; color:#FFF;" width="400" align="center" | Conferencia
! style="background-color: #30608f; color:#FFF;" width="150" align="center" | Expositor
! style="background-color: #30608f; color:#FFF;" width="150" align="center" | Pais
|-
| 09:00 - 10:00
| style="text-align: center;" | Acreditación
|
|
|-
| 10:00 - 10:15
| style="text-align: center;" | Presentación
| Gaston Toth
| General Roca, Arg
|-
| 10:15 - 10:55
| style="text-align: center;" | Donde esta mi Dinero!! - Casos reales en cyber crimen de ATM's
| Camilo Fernandez
| Guatemala
|-
| 10:55 - 11:25
| style="text-align: center;" | Pausa para café
|
|
|-
| 11:25 - 12:05
| style="text-align: center;" | Sysadmin Fails - El despertar de root
| Ramon Arias
| Santiago, Chile
|-
| 12:05 - 12:30
| style="text-align: center;" | Mobile pentesting
| Juan Urbano Stordeur
| Buenos Aires, Arg
|-
| 12:30 - 14:00
| style="text-align: center;" | Almuerzo
|
|
|-
| 14:00 - 14:20
| style="text-align: center;" | Remote wars phantom menace
| Pablo Torres
| Buenos Aires, Arg
|-
| 14:20 - 15:00
| style="text-align: center;" | Hacking a NFC/RFID
| Nahuel Grisolia
| Buenos Aires, Arg
|-
| 15:00 - 15:30
| style="text-align: center;" | Pausa para café
|
|
|-
| 15:30 - 15:50
| style="text-align: center;" | Seguridad Informática en las Universidades
| Jorge Sznek
| Neuquen, Arg
|-
| 15:50 - 16:10
| style="text-align: center;" | Internet de las cosas, Botnet y Seguridad
| Natalia Toranzo
| Neuquen, Arg
|-
| 16:10 - 16:25
| style="text-align: center;" | Pausa para café
|
|
|-
| 16:25 - 16:55
| style="text-align: center;" | Es posible hackear un país?
| Camilo Fernandez
| Guatemala
|}

==¿Dónde?==

'''Viernes 21''' 
Aula Magna, Universidad Nacional del Comahue, Buenos Aires 1400, Neuquén 

[[File:AulaMagna.png|link=https://www.google.com.ar/maps/place/Buenos+Aires+1400,+8300+Neuqu%C3%A9n/@-38.9401457,-68.0595519,17z/data=!3m1!4b1!4m5!3m4!1s0x960a33dd0e3e4b11:0x61ef0da0ee6bbf8c!8m2!3d-38.9401499!4d-68.0573579]]

==Afiche para difusión==
[[File:Poster_Latamtour_2017.jpg|link=https://www.owasp.org/images/7/71/Poster_Latamtour_2017.pdf]] 
(''Gracias Mariano Sckerl por el diseño!'')
 

=ECUADOR=
=='''ECUADOR: 8 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega nuevamente a Ecuador, '''OWASP Latam tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones web y mas.

==='''REGISTRO '''===
 

El registro a las charlas es gratuito.

Sábado 8 de abril, Quito-Ecuador.
De 9:00hs a 17:00hs -> No te lo pierdas!

 

==='''UBICACION'''===

Ladrón De Guevara E11-253- Universidad "Escuela Politécnica Nacional" 
PO•Box: 17-01-2759 
Edificio Earme, Auditorio 2 , 5to piso
Quito, Ecuador 
 

===''' AGENDA'''===

Este evento solo se puede llevar a cabo gracias a la inmensa generosidad y apoyo de nuestros patrocinadores:
* Escuela Politecnica Nacional
* Kaspersky Lab
* Krakensec

 
¿Te gustaría apoyar a nuestro evento? [mailto:fernando.vela@owasp.org Contactanos].

=='''ORGANIZA: OWASP ECUADOR'''==

Te invitamos a ser parte del capítulo OWASP ECUADOR.

====''' CHARLAS'''====
El acceso a las conferencias es gratuito.
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Conferencista</td>
<td>Pais</td>
</tr>
<tr>
<td width="100">08:30</td>
<td width="491">Registro - Acreditación</td>
<td width="300"> </td>
<td width="200"> </td>
</tr>
<tr>
<td width="100">09:00</td>
<td width="491">Introducción al capítulo OWASP Ecuador</td>
<td width="300">Fernando Vela, Roberto Andrade, Ramiro Pulgar</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">09:15</td>
<td width="491">Normas de seguridad PCI & Hackeando Apache</td>
<td width="300">Jorge Torres</td>
<td width="200">Colombia</td>
</tr>
<tr>
<td width="100">10:15</td>
<td width="491">Hackeando WebServices </td>
<td width="300">Alejandro Quiroz</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">11:15</td>
<td width="491">Virtualizacion Segura</td>
<td width="300">Victor Chisava</td>
<td width="200">Colombia</td>
</tr>
<tr>
<td width="100">12:15</td>
<td width="491">Spear-phishing (suplantación de identidad) detecta, evita y denuncia</td>
<td width="300">Fernando Vela</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">13:00</td>
<td width="491">Break</td>
<td width="300"></td>
<td width="200"></td>
</tr> <tr>
<td width="100">13:45</td>
<td width="491">Érase una vez cuando hackearon un NIC </td>
<td width="300">Ricardo Supo Picon</td>
<td width="200">Peru</td>
</tr>
<tr>
<td width="100">14:45</td>
<td width="491">Comunicaciones Seguras VOIP</td>
<td width="300">Cristian Palacios</td>
<td width="200">Ecuador</td>
</tr>
<tr>
<td width="100">15:45</td>
<td width="491">Ransomware Amenaza despiadada</td>
<td width="300">Nahum Deavila</td>
<td width="200">Colombia</td>

</tr>
<tr>

</table>

=='''ORGANIZA: OWASP Chapter Ecuador'''==

Te invitamos a ser parte del capítulo OWASP Ecuador. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Ecuador Link al Sitio Web de OWASP Ecuador]

=RIVIERA MAYA=
=='''Riviera Maya: 21 y 22 de Abril de 2017 en Cancun, Quintana Roo, Mexico''' ==
Para la edición 2017 estamos muy emocionados de que México se una al OWASP LATAM Tour. Por primera vez nos reuniremos en Cancun, Quintana Roo para un día de conferencias impartidas por expertos en la industria en donde discutiremos las últimas tecnologías, técnicas de ataque/protección y muchos otros temas relacionados con la seguridad informática.

OWASP LATAM Tour es un evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones como universidades, organismos gubernamentales, empresas de TI y entidades financieras.

¿Quieres tener presencia en el evento? [https://goo.gl/IL7kuL Call For Sponsors]

¿Tienes una plática o taller que compartir? [https://goo.gl/forms/sVizcu23iLYjuM9L2 Call For Papers] (CFP CERRADO)

==='''REGISTRO '''===
La entrada a las conferencias es gratuita. Los asistentes únicamente deberán registrarse en la [https://www.eventbrite.com/e/owasp-latam-tour-2017-riviera-maya-tickets-31018422938?aff=OWASPLATAMWIKI lista de asistencia]. 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-riviera-maya-tickets-31018422938?aff=OWASPLATAMWIKI Registro a OWASP LATAM Tour 2017 Riviera Maya]
 

==='''FECHA Y UBICACION'''===

El 21 y 22 de abril en [http://techgarage.mx/ Tech Garage] en Cancun, Quintana Roo, Mexico. 
¿Necesitas viajar a Cancun? A partir del 22 de marzo podrás utilizar el código 'OWASP' para obtener un 10% en tu vuelo con [http://interjet.com.mx Interjet].
 

===''' AGENDA'''===
====''' CONFERENCIAS (Sábado 22 de abril)'''====
El acceso a las conferencias es gratuito con previo registro.
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Conferencista</td>
</tr>
<tr>
<td width="100">9:00</td>
<td width="491">REGISTRO</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">9:30</td>
<td width="491">Introducción a evento</td>
<td width="300">OWASP Riviera Maya</td>
</tr>
<tr>
<td width="100">09:45</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.iwerjkqkfkua Mis vulnerabilidades favoritas del 2016 en Google]</td>
<td width="300">Eduardo Vela ([https://twitter.com/sirdarckcat @sirdarckcat])</td>
</tr>
<tr>
<td width="100">10:45</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.c3x691ipavdm Vulnerabilidades web esotéricas]</td>
<td width="300">Andres Riancho ([https://twitter.com/w3af w3af])</td>
</tr>
<tr>
<td width="100">11:45</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.2g8pc9nz3hhn Más allá de OWASP TOP 10: Fallos no convencionales con impacto en la seguridad]</td>
<td width="300">Alejandro Hernandez ([https://twitter.com/nitr0usmx nitr0usmx])</td>
</tr>
<tr>
<td width="100">12:15</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.yyu096on3qhk Comprometiendo el Internet Industrial de las Cosas (IIOT)]</td>
<td width="300">Rafael Bucio ([https://twitter.com/bucio @bucio])</td>
</tr> <tr>
<td width="100">13:15</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.9qy0l4ydurf2 Shields up and go to red alert!]</td>
<td width="300">Edgar Baldemar ([https://twitter.com/edgarbaldemarmx edgarbaldemarmx])</td>
</tr>
<tr>
<td width="100">14:15</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.1qfk6rxcd3ef Atacando el atacante, crónica de un sysadmin]</td>
<td width="300">Jacobo Tibaquirá Murillo ([https://twitter.com/jjtibaquira jjtibaquira])</td>
</tr>
<tr>
<td width="100">15:00</td>
<td width="491">BREAK/NETWORKING</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">16:30</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.74oq4mp8e1um Un lobo disfrazado de oveja]</td>
<td width="300">Roberto Salgado ([https://twitter.com/lightos @lightos]) Paulino Calderón ([https://twitter.com/calderpwn @calderpwn])</td>
</tr>
<tr>
<td width="100">17:30</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.abnevotnagm5 Timing attacks]</td>
<td width="300">Andres Riancho ([https://twitter.com/w3af w3af])</td>
</tr>
<tr>
<td width="100">18:30</td>
<td width="491">[https://docs.google.com/document/d/1xDh7Uq8SXC05NrfpyFbvI0ZZYXAsp36tgdokeV37Qdo/edit#heading=h.2gv2194p25mp Aventuras y desventuras de un pentester]</td>
<td width="300">Jaime Andrés Restrepo ([https://twitter.com/dragonjar @dragonjar])</td>
</tr>
</table>
 

====''' TALLERES (Viernes 21 de abril) '''====
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Instructor</td>
</tr>
<tr>
<td width="100">10:00-18:00</td>
<td width="491">[https://drive.google.com/open?id=0BzPR8exG0kt6c3ZSVUhYeW9OVE0 OWASP TOP 10 Web - Desde descubrimiento a explotación]</td>
<td width="200">Edgar Baldemar Ramos
([https://twitter.com/edgarbaldemarmx edgarbaldemarmx])
</td>
</tr>
<tr>
<td width="100">10:00-18:00</td>
<td width="491">[https://drive.google.com/open?id=0BzPR8exG0kt6NHpuek1EZEtENmc OWASP TOP 10 Móvil - Desde descubrimiento a explotación]</td>
<td width="200">Victor Hugo Ramos Alvarez
([https://twitter.com/vhramosa vhramosa])
</td>
</tr>
<tr>
<td width="100">16:00-20:00</td>
<td width="491">Metasploit 101
(TALLER GRATUITO PARA ASISTENTES REGISTRADOS)
</td>
<td width="200">Jacobo Tibaquira
([https://twitter.com/jjtibaquira jjtibaquira])
</td>
</tr>
</table>
* El costo de los talleres "OWASP TOP 10 Web - Desde descubrimiento a explotación" y "OWASP TOP 10 Móvil - Desde descubrimiento a explotación" es de 250 usd por persona. El acceso a los talleres también da acceso a las charlas. [https://www.eventbrite.com/e/owasp-latam-tour-2017-cancun-mexico-tickets-32595246259 Registrate aquí].
* El taller de "Metasploit 101" es gratuito para los que ya se han registrado al evento.

===''' PATROCINADORES'''===

Este evento solo se puede llevar a cabo gracias a la inmensa generosidad y apoyo de nuestros patrocinadores. Una vez más le agradecemos por ayudar a mejorar la seguridad de software en México a:
* [http://bugcon.org Bugcon Security Conferences]
* [http://www.ohkasystems.com Consultora Ohkasis]
* [http://www.cyberopsec.com.mx CyberOPSEC México]
* [http://www.dragonjar.org DragonJAR]
* [http://fmcancun.net FMCancun]
* [https://www.fortinet.com Fortinet]
* [http://www.itcentersolutions.com.mx ITCenter Solutions]
* [http://optimiti.com.mx Optimiti]
* [http://papajohnspizzacancun.com Papa Johns Cancun]
* [http://www.pricetravel.com.mx Pricetravel]
* [https://protektnet.com Protektnet]
* [http://purplesec.com Purple Security]
* [http://homedepot.com.mx The Home Depot MX]
* [http://techgarage.mx/ Tech Garage Cancun]
* [https://tropicode.net Tropicode]
* [http://websec.mx Websec México]

 
¿Te gustaría apoyar a nuestro evento? [https://goo.gl/IL7kuL Hay muchas formas de hacerlo].

=='''ORGANIZA: OWASP Chapter Riviera Maya'''==

Te invitamos a ser parte del capítulo OWASP Riviera Maya. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Riviera_Maya Link al Sitio Web de OWASP Riviera Maya]

=MANIZALES=
=='''Manizales: 3 de Abril de 2017 ''' ==
OWASP LATAM Tour es un evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones como universidades, organismos gubernamentales, empresas de TI y entidades financieras.

==='''REGISTRO '''===
La entrada a las conferencias es gratuita. Los asistentes únicamente deberán registrarse en la [https://dragonjar.leadpages.co/owasp-manizales/ lista de asistencia]. 

==='''FECHA Y UBICACION'''===

El 3 de abril en el auditorio 323 - Universidad de Manizales. 

===''' AGENDA'''===
====''' CHARLAS'''====
El acceso a las conferencias es gratuito.
<table width="761" cellspacing="0" cellpadding="0" border="1">
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Título</td>
<td>Conferencista</td>
</tr>
<tr>
<td width="100">09:00</td>
<td width="491">Introducción al capítulo OWASP Manizales</td>
<td width="300">Jaime Restrepo</td>
</tr>
<tr>
<td width="100">10:00</td>
<td width="491">Hackeando APIs REST</td>
<td width="300">Juan Castro</td>
</tr>
<tr>
<td width="100">11:00</td>
<td width="491">BREAK</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">11:30</td>
<td width="491">Ingenieria Social enfocada en Seguridad Web</td>
<td width="300">Hugo Bayona</td>
</tr>
<tr>
<td width="100">12:30</td>
<td width="491">ALMUERZO LIBRE</td>
<td width="300"></td>
</tr> <tr>
<td width="100">14:00</td>
<td width="491">Seguridad en redes Smartgrid</td>
<td width="300">Diego Gonzales</td>
</tr>
<tr>
<td width="100">15:00</td>
<td width="491">Nsearch, lo que le faltaba a nmap</td>
<td width="300">Jacobo Tibaquira
</td>
</tr>
<tr>
<td width="100">16:00</td>
<td width="491">BREAK</td>
<td width="300"></td>
</tr>
<tr>
<td width="100">16:30</td>
<td width="491">Sorpresas de la seguridad informatica</td>
<td width="300">Santiago Bernal</td>
</tr>
<tr>
<td width="100">17:30</td>
<td width="491">Web Application Security Testing the OWASP Style</td>
<td width="300">John Vargas</td>
</tr>
</table>
 

===''' PATROCINADORES'''===

Este evento solo se puede llevar a cabo gracias a la inmensa generosidad y apoyo de nuestros patrocinadores:
* [http://www.dragonjar.org DragonJAR]

 
¿Te gustaría apoyar a nuestro evento? [mailto:jaime.andres.restrepo@owasp.org Contactanos].

=='''ORGANIZA: OWASP Manizales'''==

Te invitamos a ser parte del capítulo OWASP Manizales. 

=PERÚ=
== '''Lima, Perú: 22 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#CCCCEE;" height="30" align="center" | '''CONFERENCIAS'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" |
== '''OWASP Latam Tour - Lima 2017''' ==

'''Sábado 22 de Abril ''' ''(Conferencia)''
|-
| valign="center" bgcolor="#CCCCEE" align="center" | '''Descripción y Objetivo'''
|-
| valign="left" bgcolor="#EEEEEE" align="left" | El evento más importante de la región llega a Lima, Perú, '''OWASP Latam Tour 2017!'''. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones. '''OWASP LATAM TOUR,''' es una gira por Latinoamérica que promueve la seguridad en aplicaciones web en diversas instituciones como: universidades, organismos gubernamentales, empresas de TI y entidades financieras; buscando crear conciencia sobre la seguridad en las aplicaciones y puedan tomar decisiones informadas sobre los verdaderos riesgos de seguridad.

*Además del OWASP Top 10, la mayoría de los [[:Category:OWASP_Project|Proyectos OWASP]] no son ampliamente utilizados en los ambientes corporativos. En la mayoría de los casos esto no es debido a una falta de calidad en los proyectos o la documentación disponible, sino por desconocer donde se ubicarán en un Ecosistema de Seguridad de Aplicaciones empresarial.

*Esta serie de talleres y conferencias tienen como objetivo cambiar esta situación proporcionando una explicación sobre los proyectos OWASP más maduros y listos para ser utilizados en el ámbito empresarial.
|}

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="2" style="background:#4B0082;" align="center" | '''CONFERENCIAS (Sábado 22)'''
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Fecha'''
| colspan="0" style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Sábado 22 de Abril 9:00 am'''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' UTEC - Universidad de Ingeniería y Tecnología '''
Jr. Medrano Silva 165, Barranco 
Lima - Perú ''' '''
[[Image:Utec_ubicación.png|400px|link=https://goo.gl/maps/SPjTbRX35PL2]]
|-
| colspan="2" style="background:#CCCCEE;" align="center" | '''Precio y Registro'''
|-
| colspan="2" style="background:#EEEEEE;" align="center" | El ingreso a las conferencias es '''100% GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link : 
[https://latamtour2017peru.eventbrite.com '''EL REGISTRO SE ENCUENTRA ABIERTO!''']
 

|-
| colspan="2" style="background:#CCCCEE;" align="center" | '''Promociones'''
|-
| colspan="2" valign="left" height="80" bgcolor="#EEEEEE" align="center" | OFERTA ESPECIAL - Durante todo el OWASP Latam Tour el costo de la membresía anual es de solamente U$D 20. Utilice el código de descuento "LATAM" durante el proceso de registro electrónico como miembro individual en el enlace disponible a continuación. 
[http://myowasp.force.com/memberappregion Hágase MIEMBRO DE OWASP AQUÍ] 
'''Si usted aun no es miembro OWASP, por favor considere unirse a nuestra organización.'''
|}
 

{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#CCCCEE" align="center" | '''DETALLES DE LA JORNADA'''
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | ''' Horario '''
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Tema'''
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Ponente'''
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Presentación'''
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 9:00 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | OWASP Perú
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | [[Media:LatamTour2017_JVP_Membresia.pdf| Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 10:00 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Presentación del evento - Proyectos OWASP
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [https://twitter.com/John_Vargas John Vargas]
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |[[Media:OWASP_Latam_Tour_2017_-_Introducci%C3%B3n_JVP_1.pdf| Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 10:30 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Atacando servicios web en el mundo real
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Luis Quispe
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_LuisQuispe_AtacandoServiciosWeb.pdf | Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 11:30 am
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Panorama de la ciberseguridad
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Jorge Córdova
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_JorgeCordova_Panorama_de_la_Cyberseguridad.pdf | Descargar Slides]]
|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 12:30 pm
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Iniciandome en el Desarrollo Seguro ¿Por dónde empiezo?
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Gabriel Robalino
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_GabrielRobalino_Iniciandome_SDLC.pdf | Descargar Slides]]

|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 15:00 pm
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Prácticas seguras de criptografía en aplicaciones web
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Henry Sanchez
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_HenrySanchez_Pr%C3%A1cticas_Criptograf%C3%ADa_Aplicaciones_WEB.pdf | Descargar Slides]]

|-
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:00 pm
| colspan="0" style="width:25%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | SQL Injection Deep Dive
| colspan="0" style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Mateo Martínez [OWASP Uruguay]
| colspan="0" style="width:20%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | [[Media:LatamTour2017_MateoMartinez_SQL_Injection_DeepDive.pdf | Descargar Slides]]

|}

=BOGOTÁ=
=='''Bogotá: 3 de Abril del 2017 en Bogotá, Colombia''' ==

En 2017 volvemos al Latam Tour, con la idea de tener un día para compartir todos los proyectos que tiene OWASP, discutir como los usamos, que hemos aprendido de ellos, la forma en que podemos seguir fortaleciendo nuestra seguridad digital con dichos proyectos en un ambiente de aprendizaje, junto a los miembros del Capítulo Bogotá y todos los asistentes que quieran aprender y compartir en este evento.

OWASP LATAM Tour es un evento realizado en todo América Latina que promueve la seguridad de software con el objetivo de crear conciencia sobre los riesgos a los que nos enfrentamos actualmente. Está enfocado a instituciones como universidades, organismos gubernamentales, empresas de TI y entidades financieras.

Tu puedes ser uno de nuestros '''Patrocinadores''', si estas interesado escribe a ''giovanni.cruz@owasp.org'' o cualquier miembro del capítulo OWASP Bogotá para más información.

El llamado a charlas ya se ha cerrado, gracias a todos los que nos enviaron sus propuestas.

==='''REGISTRO '''===
La entrada al evento es totalmente gratuita, pero para términos de logística necesitamos que todos los asistentes se encuentre registrados en la [https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI lista de asistencia del evento]. 
[https://www.eventbrite.com/e/owasp-latam-tour-bogota-tickets-32162099706?aff=OWASPLATAMWIKI Registro a OWASP LATAM Tour 2017 Bogotá]
 

==='''FECHA Y UBICACION'''===

El 3 de Abril en el Auditorio Principal de la [http://www.unipiloto.edu.co/ Universidad Piloto de Colombia], ubicada en la Carrera 9 No. 45A - 44 en Bogotá, Colombia.

=== '''AGENDA''' ===

==03 de Abril==
{| class="wikitable"
|-
! width="200" align="centRed Team: Why you need the Red?er" |Hora
! width="320" align="center" |Expositor
! width="450" align="center" |Conferencia
! width="150" align="center" |País
|-
!07:50 - 08:25
| colspan="3" style="text-align: center;" |Registro - Acreditación
|-
!08:25 - 08:40
| style="text-align: center;" |Giovanni Cruz Forero
| style="text-align: center;" |'''Esto es OWASP'''
| style="text-align: center;" |Colombia
|-
!08:40 - 10:40
| style="text-align: center;" |Ricardo Supo Picón
| style="text-align: center;" |'''Del Top 10 OWASP al Cumplimiento de PCI-DSS v 3.2 - Workshop'''
| style="text-align: center;" |Perú
|-
!10:40 - 11:05
| style="text-align: center;" |Jeffrey Steve Borbón Sanabria
| style="text-align: center;" |'''¿Y cómo editamos sistemas legados que nadie sabe como sirven?'''
| style="text-align: center;" |Colombia
|-
!11:05 - 11:30
| colspan="3" style="text-align: center;" |Break
|-
!11:30 - 12:00
| style="text-align: center;" |Juan Pablo Arévalo - Andrés Vega
| style="text-align: center;" |'''OWASP Mobile Project and Internet of Things'''
| style="text-align: center;" |Colombia
|-
!12:00 - 12:40
| style="text-align: center;" |Hugo Alvarez - Maria Alejandra Blanco
| style="text-align: center;" |'''Offensive Web Testing Framework (OWTF)'''
| style="text-align: center;" |Colombia
|-
!12:40 - 13:40
| colspan="3" style="text-align: center;" |Almuerzo
|-
!13:45 - 14:30
| style="text-align: center;" |Edgar Felipe Duarte Porras
| style="text-align: center;" |'''Malware: Burlando los antivirus con JavaScripts'''
| style="text-align: center;" |Colombia
|-
!14:30 - 14:55
| style="text-align: center;" |Tatiana Higuera - Nicolas Moreno
| style="text-align: center;" |'''OWASP SeraphimDroid Project'''
| style="text-align: center;" |Colombia
|-
!14:55 - 15:40
| style="text-align: center;" |Oscar Mondragon
| style="text-align: center;" |'''Antidefacement Web'''
| style="text-align: center;" |Colombia
|-
!15:40 - 16:10
| colspan="3" style="text-align: center;" |Break
|-
!16:10 - 16:45
| style="text-align: center;" |David Useche – Maria Paula Bueno
| style="text-align: center;" |'''The OWASP Enterprise Security API (ESAPI): Security Control Library'''
| style="text-align: center;" |Colombia
|-
!16:45 - 17:30
| style="text-align: center;" |Jonathan Maderos
| style="text-align: center;" |'''Hackeando una Elección'''
| style="text-align: center;" |Venezuela
|-
!17:30 - 17:45
| colspan="3" style="text-align: center;" |CIERRE
|}

===''' PATROCINADORES'''===

Este año el OWASP LATAM Tour en Bogotá es posible gracias a nuestros patrocinadores:

* [http://www.csiete.org CSIETE]
* [http://www.unipiloto.edu.co/ Universidad Piloto de Colombia]
* [http://www.bsidesco.org BSides Colombia]
* [https://www.easysol.net/ Easy Solutions]
 
Tu puedes ser uno de nuestros patrocinadores, no dudes en comunicarte con cualquier miembro del [https://www.owasp.org/index.php/Bogota Capítulo Bogotá].

=='''ORGANIZA: OWASP Chapter Bogotá'''==

Te invitamos a ser parte del capítulo OWASP Bogotá. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/Bogota Link al Sitio Web de OWASP Bogotá]

=EL SALVADOR=
=='''El Salvador: Martes 25 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega a San Salvador, El Salvador, '''OWASP Latam tour 2017!'''. Expositores internacionales presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones WEB.

==='''REGISTRO '''===
Evento Completamente Gratuito, a profesionales y estudiantes 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-el-salvador-tickets-32678763060 Registrarse Aquí]
 

==='''UBICACION'''===

Universidad Don Bosco, Campus Postgrados Antiguo Cuscatlan

 ''' AGENDA'''
{| class="wikitable"
!Hora
!Agenda
!Tematica
!Expositor
|-
|8:00 - 8:15
|Registro
|
|
|-
|8:15 - 9:00
|Presentación del Capitulo OWASP El Salvador
|Objetivos del Capitulo
|
|-
|9:05 - 10:00
|Programa BugBounty
|Como funciona el Bugbounty, y como puede ser una forma de
trabajo para los profesionales en la seguridad informática.
|
|-
|10:00 - 10:15
|Coffe Break
|
|
|-
|10:20 - 12:00
|OWASP Top 10 como mecanismo de protección
ante la Ciber Delincuencia.
|Como utilizar OWASP Top 10
como marco de referencia y Ley de Delitos

Informaticos de El Salvador
|Lic. Nelson Chacon Reyes
Lider Capitulo OWASP

El Salvador
|-
|12:00 - 13:00
|Almuerzo
|Almuerzo Libre
|
|-
|13:00 - 14:00
|'''IoT security, from home to enterprise networks'''
|El uso de elementos de IoT en casa y en las redes empresariales
| Rudiger Fogelbach, El Salvador
|-
|14:00 - 15:00
|Evadiendo los 20 Controles Criticos
de Seguridad
|Técnicas comúnmente usadas para
Evadir los controles de Seguridad
|Walter Cuestas, PERU
|-
|15:00 - 15:15
|Coffe Break
|
|
|-
|15:15 - 16:00
|La darknet dentro de la empresa
|Como impacta en la empresa las configuraciones

de nuestra red y dispositivos de seguridad
|Daniel Suarez, OWASP El Salvador
|-
|16:00 - 17:00
|Gaming and Hacking 4 Life
|Como aplicar los conocimientos adquiridos a través
de vídeo juegos y aplicarlos a la seguridad
|Mario Orellana, Tiger Security, El Salvador
|-
|Cierre - Rifas
|
|
|}
Se encuentra abierto el llamado a conferencistas!! (Call for papers is open!)

===''' Patrocinadores'''===
Universidad Don Bosco, El Salvador.

====== Centro de Estudios de Postgrado ======
Final Av. Albert Einstein, No. 233

Colonia Jardines de Guadalupe, La Libertad.

[ [http://postgrados.udb.edu.sv/insti.php http://www.udb.edu.sv/udb/] ]

Instituto Superior de Tecnología Aplicada [ http://www.insteconline.com/ ]

TigerSecurity [ https://www.facebook.com/TigerSecSV/ ]

WebCommService [ http://www.webcommservice.com ]

Hackerone.com [ https://www.hackerone.com/ ]

Grupo Active System [ http://activesystems.com.sv/activesystems/index.html ] 

=='''ORGANIZA: OWASP Chapter El Salvador'''==

Te invitamos a ser parte del capítulo OWASP El Salvador. 
Toda la información del capítulo se encuentra en: [https://www.owasp.org/index.php/El_Salvador Link al Sitio Web de OWASP El Salvador]

=GUATEMALA=

=='''GUATEMALA 26 de Abril de 2017 (Conferencia de Seguridad Gratuita)''' ==
El evento más importante de la región llega nuevamente a Guatemala, '''OWASP Latam tour 2017!'''. Expositores estarán presentando conferencias sobre los temas más importantes en Seguridad Informatica y de Aplicaciones Web.

Evento Completamente Gratuito, a profesionales y estudiantes 
[https://www.eventbrite.com/e/owasp-latam-tour-2017-guatemala-tickets-33934431799 Registrarse Aquí]
 

==='''UBICACION'''===

[http://www.galileo.edu/ Universidad Galileo - www.galileo.edu] 
[[Image:logo-ug.png|200px|link=https://www.galileo.edu/]]
Auditorio Principal 
 
===''' AGENDA'''===
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
|-
| colspan="6" style="width:90%" valign="middle" height="40" bgcolor="#4B0082" align="center" | '''DETALLES DE LA CONFERENCIA - Miércoles 26 de Abril (Universidad Galileo Salon 401)'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Horario'''
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Expositor'''
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Titulo'''
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | '''Detalles'''
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 15:30 - 16:00
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Acreditación
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 16:00 - 16:15
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Salon 401 Torre 1
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | INAUGURACION
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | 16:15 - 17:00
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | Roberto Rimola - Salon 401 Torre 1
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | "Ingenieria Social, hacking de humanos."
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" | La Ingeniería Social tiene un papel fundamental en una gran cantidad de ciberataques, más allá de lo grande, pequeño o sofisticado que sea el crimen.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:00 - 17:45
| colspan="0" style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Amilcar De Leon
| colspan="0" style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | “Taller de SQL Injection”
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | 17:45 - 18:30
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Pablo Barrera
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | "Taller de OWASP ZAP"
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" | Taller de como utilizar herramientas para encontrar vulnerabilidades que se encuentran en el OWASP TOP 10 y explotarlas.
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 18:30 - 19:00
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Receso
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" |
|-
| colspan="0" style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | 19:00 - 20:30
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | Cesar Calderon OWASP CTF Concurso de Hacking
| colspan="0" style="width:15%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | CTF
| colspan="0" style="width:60%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" | CTF
|-
|}

 

=CHILE=
'''[https://www.owasp.org/index.php/Chile OWASP CHILE] invita a estudiantes y profesionales interesados en Seguridad de la Información, a nuestro evento OWASP LatamTour'''.
[[File:SCL_banner00.jpg |60% ]]

== Curso/taller '''jueves 27 abril''' 2017 [[https://www.eventbrite.com/e/owasp-latam-tour-2017-santiago-de-chile-tickets-32595688582#tickets Inscribete aquí]]==

{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="140" align="center" | Relator
! width="230" align="center" | '''Tema del Taller'''
! width="690" align="center" | Descripción
|-
! 1
| '''Carlos Allendes D. (Chile)''' 
| Programación Segura usando OWASP, [taller de 07 horas]
| Taller hands-on en técnicas de desarrollo seguro, con los tips y conocimiento basado en OWASP, para reducir vulnerabilidades en: BD ORACLE, BD SQLSERVER, Lenguaje: .NET, JAVA, PHP. aplicando las metodologías exigidas por normativas internacionales (PCI, ISO27001, CSA) que mitigan los riesgos en la web.
|-
! 2
| ''' Ricardo Supo (Peru) ''' 
| Del Top 10 OWASP al Cumplimiento de PCI-DSS v3.2, [taller de 07 horas]
| PCI-DSS v3.2 en su Requisito 6, Desarrollar y mantener sistemas y aplicaciones seguros, exige seguir directrices seguras como las definidas por OWASP a las entidades bancarias emisoras de tarjetas de crédito.
En este taller se desarrollará de manera práctica el OWASP Top 10 tanto la detección y la explotación de cada una así como su corrección en código en ambientes de desarrollo bajo máquinas virtuales tanto para .Net como Java.
|-
! 3
| '''Mateo Martinez (Uruguay) ''' 
| Mastering ZAP y Desarrollo Seguro", [taller de 07 horas]
| Completo taller con las técnicas que recomienda OWASP para programación segura y adicionalmente la respectiva validación usando herramientas de ethical hacking que permiten hacer el testing de seguridad sobre las aplicaciones que entrega el equipo de desarrollo.
|}

== Charlas Liberadas '''Miércoles 26 abril''' 2017 [[https://www.eventbrite.com/e/owasp-latam-tour-2017-santiago-de-chile-tickets-32595688582 Inscribete aquí]]==

{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="60" align="center" | Hora
! width="150" align="center" | Expositor
! width="250" align="center" | Título
! width="650" align="center" | Descripción
|-
! 1
| 08:30 a 09:00
|
| Acreditación de asistentes
|
|-
! 2
| 09:00 a 09:05
| '''DUOC-UC y OWASP'''
| Palabras de Bienvenida
|
|-
! 3
| 09:05 a 09:50
| '''Carlos Allendes D.'''
| Hacker o Empresario?
| El "hacking as a service" un riesgo creciente para la seguridad TI. El cibercrimen ya derivó en un "modelo de negocio", que usa estrategias de mercado y define su "cadena de valor", similar a una empresa legítima: maximiza beneficios, innova y gestiona RRHH). Para las organizaciones, esto incrementará los riesgos y la inversión en seguridad.
|-
! 4
| 09:55 a 10:40
| '''Mateo Martinez (Uruguay)'''
| OWASP Arsenal (*cambio horario*)
| Muchas herramientas de OWASP, que no todos conocen... ¿para qué sirven? ¿Cómo funcionan? ¿Qué tan maduras se encuentran? Esta charla busca hacer una puesta a punto de los principales proyectos de OWASP y mostrar las herramientas en acción mediante una presentación sumamente práctica y llena de demostraciones. Se incluyen proyectos de OWASP para: Defenders, Breakers & Builders.
|-
! 5
| 10:45 a 11:00
|
| '''Coffee Break'''
|
|-
! 6
| 11:05 a 11:50
| '''Claudio Salazar '''
| "Detectem" un proyecto open-source para seguridad
| Las herramientas de pentesting (al igual que cualquier software) requieren mejoras y nuevas funcionalidades. Pero a menudo los proyectos open-source no usan buenas prácticas de desarrollo. Esta charla analiza la necesidad de saber programar para un pentester y propone buenas prácticas de programación, basado en la experiencia al crear la herramienta chilena: Detectem.
|-
! 7
| 11:55 a 12:50
| '''Sebastián Quevedo '''
| Análisis de anatomías de ataque: Ransomware y sus contramedidas
| Existe un gran impacto del Ransomware hacia las organizaciones y personas. Este tipo de malware tiene una alta tasa de propagación/infección. Las primeras generaciones usaban criptovirología (año 2008) hasta los actuales que son bloqueadores de sistemas. Esta charla evalúa los principales efectos/daños que provoca y propone una estrategia práctica/efectiva para enfrentar esta amenaza.
|
|-
! 8
| 13:00 a 15:00
|
| '''Horario de Almuerzo'''
|
|
|-
! 9
| 15:00 a 15:45
| '''Gustavo Nieves Arreaza '''
| Buenas prácticas del SDLC basado en OWASP (*cambio horario*)
| Muchas organizaciones y personas entienden a OWASP como un referente para identificar fallas en el software ya terminado, pero la seguridad es un ciclo continuo, que debe mantenerse en paralelo a las fases del desarrollo y programación del software. OWASP provee herramientas útiles para todas las fases del ciclo de vida "SDLC".
|-
! 10
| 15:50 a 16:40
| '''Ricardo Supo (Peru)'''
| Érase una vez cuando hackearon un NIC
| Un día regresando del trabajo te reportan un incidente de riesgo bajo pero al analizarlo el NIC de un país estaba comprometido. Se narrará la historia jamás contada de un incidente nacional y como se pudo reducir los riesgos rápidamente. Los incidentes sucedidos en el NIC, banca y gobierno. Así mismo como las metodologías de OWASP apoyan a reducir los riesgos.
|-
! 11
| 16:45 a 17:20
|
| '''Sorteo y Premios'''
|
|-
|}

=SÃO PAULO=
=='''São Paulo: XX de Maio de 2017''' ==
O evento mais importante sobre Segurança de Aplicações da América Latina chega em São Paulo, '''OWASP Latam Tour 2017'''. Profissionais nacionais e internacionais estão apresentando palestras sobre os temas mais importantes em Segurança de Aplicações.

=VENEZUELA (CANCELADO)=
== '''Caracas: April, 27th 2017''' ==
[https://www.eventbrite.com/e/owasp-latam-tour-2017-caracas-venezuela-tickets-32595739735 CANCELADO] 

=REPUBLICA DOMINICANA=

[[File:RD_banner05.jpg |60% ]]

OWASP República Dominicana invita a estudiantes, profesionales e interesados en la '''Seguridad de la Información''' a nuestro segundo evento anual y gratuito de charlas OWASP, que realizaremos en el Instituto Tecnológico de Las Américas (ITLA) de la ciudad de Santo Domingo.

== Charlas Jueves 6 abril [[https://www.eventbrite.com/e/owasp-latam-tour-2017-republica-dominicana-tickets-32594480970 Registro Gratuito a Charlas]] ==
{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="290" align="center" | Expositor
! width="230" align="center" | '''Tema a Exponer'''
! width="690" align="center" | Descripción
|-
! 1
| '''Willis Polanco''' [Dominicano] 
| Palabras de Bienvenida
|
|-
! 2
| '''Jonathan Correa''' [Dominicano] 
| Introducción al Capitulo de OWASP en República Dominicana (R.D)
| Introducción a los objetivos de la comunidad internacional OWASP y expectativas a realizar en República Dominicana.
|-
! 3
| '''Carlos Allendes''' [Chileno] 
| Armar un Laboratorio de Hacking en 5 minutos.
| Esta charla enseñará como armar un ambiente controlado de laboratorio, usando herramientas y recursos de OWASP, para practicar, auto-estudiar y entrenarse con aplicaciones web.
|-
! 4
|
| '''Pausa de Café'''
|
|-
! 5
| '''Piero Alvigini''' [Dominicano] 
| Corriendo un (C) SOC en el Caribe.
| Se describe como opera SOC (Security Operations Center) en el caribe. El enfoque actual para el monitoreo continuo y respuesta ante incidentes frente a nuevas y emergentes amenazas de seguridad (APT).
|-
! 6
| '''Ruddy Simons''' [Dominicano] 
| Ransomware
| El malware del tipo Ransomware se infiltra en la máquina de una víctima, bloquea su sistema y/o encripta los archivos del usuario (word, excel, ppt, fotografias), y así fuerzan a la víctima para obtener el pago de un rescate.
|-
! 7
|
| '''Receso para Almorzar'''
|
|-
! 8
| '''Mario Orellana''' [Salvadoreño] 
| Y cómo es que uno se convierte en hacker?
| Mentalidad y perfil de un hacker y como iniciarse en la cyberseguridad. Demostración de las 5 fases de un ataque de hacking, y se entregará un breve análisis de las leyes informáticas de El Salvador y República Dominicana, para explicar bajo que condiciones podría ser considerado delito informático, una actividad no autorizada de intrusión.
|
|-
! 9
| '''Ricardo Supo''' [Peruano] 
| Érase una vez cuando hackearon un NIC
| Un día regresando del trabajo te reportan un incidente de riesgo bajo pero al analizarlo el NIC de un país estaba comprometido. Se narrará la historia jamás contada de un incidente nacional y como se pudo reducir los riesgos rápidamente. Los incidentes sucedidos en el NIC, banca y gobierno y como no debió actuar el NIC. Así mismo como las metodologías de OWASP apoyan a reducir los riesgos.
|-
! 10
| '''Luis Peralta''' [Dominicano] 
| Palabras cierre
|
|}

== Cursos/Taller[[https://www.eventbrite.com/e/owasp-latam-tour-2017-republica-dominicana-tickets-32594480970 Registro de Asistentes]] ==

{| class="wikitable"
|-
! width="30" align="center" | Nro
! width="290" align="center" | Expositor
! width="230" align="center" | '''Tema del Taller'''
! width="690" align="center" | Descripción
|-
! 1
| '''Ricardo Supo ''' [Peruano] 
| Del Top 10 OWASP al Cumplimiento de PCI-DSS v3.2
| PCI-DSS v3.2 en su Requisito 6, Desarrollar y mantener sistemas y aplicaciones seguros, exige seguir directrices seguras como las definidas por OWASP a las entidades bancarias emisoras de tarjetas de crédito.

En este taller se desarrollará de manera práctica el OWASP Top 10 tanto la detección y la explotación de cada una así como su corrección en código en ambientes de desarrollo bajo máquinas virtuales tanto para .Net como Java.
|}

=='''Patrocinios'''==

Le interesa participar con un stand en el evento y su logo en la página del Tour?
Pueden contactarnos en [https://www.owasp.org/index.php/Rep%C3%BAblica_Dominicana '''Oportunidades de patrocinio''']
 
Cualquier consulta puede canalizarla con el Presidente Owasp R.Dominicana: [mailto:jonathan.correa@owasp.org Jonathan Correa]
 

=='''¿Dónde y cuando?'''==
 
Lugar: Instituto Tecnológico de Las Americas (ITLA) [https://goo.gl/maps/7jZZBvBeb1S2 mapa]
 
Parque Cibernético, República Dominicana
 
Fecha: Jueves 6 de Abril
 
 
Hacer click para ampliar mapa. 
[[File:RD_mapa.jpg|link=https://goo.gl/maps/7jZZBvBeb1S2]]

=='''Redes Sociales'''==
[[File:Twitterelvin.png|link=]]

=SPONSORS=

==We are looking for Sponsors for the Latam Tour 2017==
 

This is a truly unique opportunity to increase your brand recognition as a company dedicated to the highest standards of professional technology & security in the Latin-America region but also internationally throughout the world while supporting the continued activities conducted by OWASP worldwide.

* ''' Sponsorship benefits for organizations specializing in IT & Security:'''
** Opportunity to use the latest technological trends for professional training / development
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your business development strategy with leading information from the security industry
** Get networking and headhunting opportunities with world-class specialists and professionals
** Get the chance to interact with high-need discerning users to improve product development
** Increase your image as a professional company through this unique branding opportunity

* '''Sponsorship benefits for organizations utilizing the internet in their business:'''
** Opportunity to increase the international brand awareness and conduct business networking
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your service development by understanding the latest trends in security issues & risks
** Contribute to information society as a company by developing safe and secure services
** Get the chance to interact with high-need discerning users to improve product development
** Opportunity to brand your company as one that focuses on the highest standards in technology

Make your company part of the conversation. Become a sponsor of the tour today!

[https://www.owasp.org/images/6/68/SPONSORS_2017.pdf '''SPONSOR OPPORTUNITIES''']
[https://www.owasp.org/images/9/93/LatamTour2017OportunidadesdePatrocinio.pdf '''OPORTUNIDADES DE PATROCINIO''']

Please contact Kelly.Santalucia@owasp.org for further information

=TEAM=

== '''OWASP Latam Tour 2017 Team''' ==
 

'''Chapter Leaders'''

* [mailto:edgar.salazar@owasp.org Edgar Salazar] (Venezuela) 
*[mailto:elvin.mollinedo@owasp.org Elvin Mollinedo] (Bolivia)
*[[User:Gastontoth|Gaston Toth]] (Patagonia, Argentina) 
*[mailto:diego.dinardo@owasp.org Diego Di Nardo] (Patagonia, Argentina) 
*[[User:Jvargas|John Vargas]] (Perú) 
*[[User:Tartamar|Martin Tartarelli]] (Buenos Aires, Argentina) 
*[[User:Magno Logan|Magno Logan]] (São Paulo, Brazil) 
*[[User:Mateo Martínez|Mateo Martinez]] (Uruguay) 
*[[User:Mauro Flores|Mauro Flores]] (Uruguay) 
*[[User:Felipe Zipitria|Felipe Zipitria]] (Uruguay) 
*[[User:ferchovela|Fernando Vela]] (Ecuador) 
*[[User: Ramiro Pulgar|Ramiro Pulgar]] (Ecuador) 
*[mailto:carlos.allendes@owasp.org Carlos Allendes] (Chile)
*[mailto:gustavo.solano@owasp.org Gustavo Solano] (Honduras)
*[mailto:jonathan.correa@owasp.org Jonathan Correa] (Rep.Dominicana)
*[mailto:pablo.barrera@owasp.com Pablo Barrera] (Guatemala)
*[mailto:paulino.calderonpale@owasp.com Paulino Calderon] (Riviera Maya)
*[mailto:giovanni.cruz@owasp.com Giovanni Cruz Forero] (Bogotá)
*[mailto:nelson.chacon@owasp.org Nelson Chacon Reyes] (El Salvador)
* [mailto:michael.hidalgo@owasp.org Michael Hidalgo] (Costa Rica) 

'''OWASP Staff'''

*Alison Shrader (Finances)
*Kate Hartmann (Registration)
*Kelly Santalucia (Sponsorships)
*Laura Grau (Organization)

<headertabs></headertabs>

== Sponsors ==
[[Image:Dreamlab.png|link=https://www.dreamlab.net/es/]]
[[Image:Logo-inzafe.png|link=http://inzafe.cl/]]
[[Image:Infobyte-logo.png|200px|link=http://infobytesec.com/]]
[[image:WhiteJaguars.png|200px|link=https://www.whitejaguars.com/]]
[[image:ESET_logo_-_Stacked_-_Colour_-_Heavy_Turq_tag_-_RGB-01.png|200px|link=http://www.eset-la.com/]]
[[image:Despegar.png|280px|link=http://www.despegar.com/]]
[[Image:Logo_websec.jpg||220px|link=http://www.websec.mx/]]
[[Image:1024px-TheHomeDepot.svg.png||160px|link=http://homedepot.com.mx/]]
[[Image:Ohka_logo.png||300px|link=http://www.ohkasystems.com/]]
[[Image:Purplesecurity_logo.png||280px|link=http://purplesec.com/]]
[[Image:Protektnet.png||280px|link=https://protektnet.com/]]
[[Image:01_-_Tropicode_-_Logo_-_Color_-_Horizontal.png||280px|link=https://tropicode.net/]]
[[Image:DeepRecce.png||280px|link=https://www.deeprecce.com//]]

== Community Supporters ==
[[Image:Logo6.png‎‎|200px|link=https://www.8dot8.org/]]
[[Image:Dragonjar.png|300px|link=https://www.dragonjar.org/]]
[[Image:bsidesco.png|300px|link=https://www.bsidesco.org/]]
[[Image:Ekoparty-logo.jpg|120px|link=https://www.ekoparty.org/]]
[[Image:Andsec-logo.png|180px|link=http://www.andsec.org/]]
[[Image:Logo-segu-info-alta.jpg|280px|link=http://www.andsec.org/]]

==Lunch & Coffee Break Sponsor ==
[[Image:Cyberopsec_logo.jpg||150px|link=http://www.cyberopsec.com.mx/]]
[[Image:Papajohns_logo.png||150px|link=http://papajohnspizzacancun.com/]]

== Educational Supporters ==
[[Image:Logo_Uncoma.png ‎|200px|link=http://www.uncoma.edu.ar/]]
[[Image:Un2.png ‎|200px|link=http://www.upds.edu.bo/SantaCruz/]]
[[Image:logoITLA12.jpg|link=http://www.itla.edu.do/]]
[[Image:SCL duoc uc.jpg|link=http://www.duoc.cl/sedes/sede-padre-alonso-de-ovalle]]
‎[[Image:Universidadedmanizales.png|link=http://umanizales.edu.co/]]
[[File:Universidad Piloto .jpg|200x200px]]
[[Image:UCV2_(1).jpg|200px| link=http://www.ucv.ve/]]
[[Image:180-digital-house.jpg|200px| link=https://www.digitalhouse.com]]
[[Image:Logo_utec.png|250px| link=https://www.utec.edu.pe]]
[[Image:logo-ug.png|200px|link=https://www.galileo.edu/]]
[[Image:Techgarage_logo.png||200px|link=http://techgarage.mx/]]

LatamTour2015

2015-04-20T20:36:19Z

Cristian Borghello: /* Agenda */

__NOTOC__

[[Image:Banner_latam_2015.jpg ‎|750px|link=https://www.owasp.org/index.php/LatamTour2015]]

=WELCOME=

== '''Schedule''' ==

* Santiago, '''Chile''': April, 8th-9th 2015
* Patagonia, '''Argentina''': April, 10th-11th 2015
* Bucaramanga, '''Colombia''': April, 14th 2015
* Montevideo, '''Uruguay''': April, 15th-16th 2015
* Lima, '''Peru''': April, 17th-18th 2015
* Santa Cruz, '''Bolivia''': April 17th -18th 2015
* San Jose, '''Costa Rica''': April, 21st 2015
* Guatemala, '''Guatemala''': April, 21st-22nd 2015
* Buenos Aires, '''Argentina''': April, 24th 2015
* Caracas, '''Venezuela''': April, 24th 2015
 
 

'''REGISTRATION IS NOW OPEN, PLEASE CHECK THE LOCATION TAB YOU ARE INTERESTED IN'''
 
 

== '''Latam Tour Objective''' ==

The OWASP Latam Tour objective is to raise awareness about application security in the Latin America region, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.

We are proposing a chapters conference driven model in which the sessions are free for everybody and the costs are supported by a mix of funding i.e. OWASP Foundation, local chapter budget, external sponsorship, etc. 1-day training sessions are also offered in some tour stops. These sessions’ fees are $ 200USD for OWASP members and $ 250 USD for non-members (group discounts may apply).
 
 

=='''Who Should Attend the Latam Tour?'''==

*Application Developers
*Application Testers and Quality Assurance
*Application Project Management and Staff
*Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
*Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
*Security Managers and Staff
*Executives, Managers, and Staff Responsible for IT Security Governance
*IT Professionals Interesting in Improving IT Security
*Anyone interested in learning about or promoting Web Application Security 
 
 
== '''Become an OWASP Member''' ==

As part of the OWASP Latam Tour, you could '''become an OWASP Member by ONLY paying 20 U$D'''. Show your support and become an OWASP member today!

[[Image:Join_button.jpg|100px|link=http://sl.owasp.org/newmember]] [[Image:Renewal.jpg |100px|link=http://sl.owasp.org/renewmember]]
 
 

== '''Questions''' ==

*If you have any questions about the Latam Tour 2015, please send an email to andrea.villar@owasp.org / fcerullo@owasp.org
 
 

== '''Social Media''' ==

'''[http://twitter.com/search?q=%23LATAMTOUR #Latamtour]''' hashtag for your tweets for Latam Tour (What are [http://hashtags.org/ hashtags]?)

'''@AppSecLatam Twitter Feed ([http://twitter.com/AppSecLatam follow us on Twitter!])''' <twitter>34534108</twitter>

= CALL FOR PAPERS & TRAININGS =

== '''Do you want to give a talk or a training session in Latin America?''' ==
 

'''Please send your proposals to the corresponding chapter leader before February 1st 2015:'''
 
 

* '''Argentina''' (Buenos Aires): Martin Tartarelli via [https://docs.google.com/forms/d/1ncVFYKsBv6aUsf3WBI657yRHUQLkazjkT9VMu4Vdp9I/viewform '''this Google form''']
* '''Argentina''' (Patagonia): Gaston Toth [gaston.toth@owasp.org]
* '''Colombia''': Diego Ademir Duarte [dadhemir@owasp.org]
* '''Costa Rica''': Michael Hidalgo [michael.hidalgo@owasp.org]
* '''Chile''': Carlos Allendes Droguett [carlos.allendes@owasp.org]
* '''Guatemala''': Pablo Barrera [pbarrera@gmail.com]
* '''Peru'''(Lima) : John Vargas [john.vargas@owasp.org] vía [https://docs.google.com/forms/d/1HJAwdnCxhnDjxdEOrHVBaewrkQncIB2uxHCzxEtxwug '''this Google form''']
* '''Uruguay''': Mateo Martinez [mateo.martinez@owasp.org]
* '''Venezuela''': Edgar Salazar [edgar.salazar@owasp.org]
 

''By your submission you agree to the [https://www.owasp.org/images/4/4f/AppSec_Latam_2015_Speaker_Agreement.pdf '''OWASP Speaker Agreement'''] or [https://www.owasp.org/images/f/fa/LatamTour_2015_Training_Instructor_Agreement.pdf ‎'''Instructor Agreement'''].

=TEAM=

'''Chapter Leaders'''

* Bucaramanga, Colombia: Diego Ademir Duarte [dadhemir@owasp.org]
* Santiago, Chile: Carlos Allendes Droguett [carlos.allendes@owasp.org]
* Guatemala, Guatemala: Pablo Barrera [pbarrera@gmail.com]
* Santa Cruz de las Sierras, Bolivia: Daniel Torres [daniel.torres@owasp.org] & Elvin Mollinedo [elvin.mollinedo@owasp.org]
* San Jose, Costa Rica: Michael Hidalgo [michael.hidalgo@owasp.org]
* Montevideo, Uruguay: Mateo Martinez [mateo.martinez@owasp.org]
* Caracas, Venezuela: Edgar Salazar [edgar.salazar@owasp.org]
* Buenos Aires, Argentina: Martin Tartarelli [martin.tartarelli@gmail.com]
* Patagonia, Argentina: Gaston Toth [gaston.toth@owasp.org]
* Lima, Peru: John Vargas [john.vargas@owasp.org]

'''Operations'''

*[[User:Fabio.e.cerullo|Fabio Cerullo]], 
* Andrea Villar
* Kate Hartmann
* [https://www.owasp.org/index.php/User:Kelly_Santalucia Kelly Santalucia]

=PATAGONIA=

=='''Patagonia: April, 10th-11th 2015'''==

{| class="wikitable"
|-
| '''Diapositivas'''
| '''Fotos'''
|-
| style="background:white" | [[File:TourPatagonia2015_Slides.jpg|150px|link=https://www.owasp.org/index.php/Patagonia/Latam_Tour_2015_Slides]] 

| style="background:white" | [[File:TourPatagonia2015_Fotos.png|150px|link=https://www.owasp.org/index.php/Patagonia/Latam_Tour_2015_Fotos]] 
|}

===Registrarse (Finalizado)===
Los interesados en asistir al evento deben registrarse en: 
[https://www.regonline.com/owasplatamtour15patagonia https://www.regonline.com/owasplatamtour15patagonia] 
''Conferencias: Libres y gratuitas'' 
''Entrenamiento: 250 dólares'' 

===CTF Patagonia===
Competencia de hacking "CTF Patagonia". 
Preparen, aputen,...., [http://ctf-ddn.rhcloud.com/ FUEGO!]
 
 
'''Felicitaciones Jose Mateo!''' 
Ganador del CTF 2015 
[[File:TourPatagonia2015_JoseMateo.JPG|300px]]

===Agenda ===
'''Viernes 10 de abril''' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="450" align="center" | Conferencia
! width="150" align="center" | Expositor

|-
| 09:00 - 10:00
| Acreditacion
|
|-
| 10:00 - 10:15
| Bienvenida e intoduccion a OWASP
|
|-
| 10:20 - 11:00
| [https://www.owasp.org/index.php/LatamTour2015/VulnerabilidadesGatewayPago Vulnerabilidades en Gateways de Pago]
| [https://www.linkedin.com/in/ariancho Andrés Riancho]
|-
| 11:00 - 11:30
| Pausa para café
|
|-
| 11:30 - 12:00
| Aspectos Legales de la Seguridad informática 
| Marcelo Campetella
|-
| 12:00 - 12:30
| El mercado del Malware en las Apps de los Store para Android
| Claudio Caracciolo
|-
| 12:30 - 14:00
| Pausa para almuerzo
|
|-
| 14:00 - 14:40
| Mobile Apps and how to Pentest them
| Gustavo Sorondo
|-
| 14:40 - 15:10
| CIOs vs CISOs: OWASP al rescate
| Mauro Graziosi
|-
| 15:10 - 15:40
| Pausa para café
|
|-
| 15:40 - 16:20
| [[media:OWASPLatamTour2015_Seguridad-Certificados-Digitales.pdf | Seguridad en Certificados Digitales - Certificate Pinning]]
| Cristian Borghello
|-
| 16:20 - 16:30
| Agradecimientos y cierre
|
|}

'''Sabado 11 de abril''' 
''Valor del entrenamiento: u$s 250'' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="450" align="center" | Entrenamiento
! width="150" align="center" | Expositor

|-
| 08:00 - 12:00
| Hacking de aplicaciones web basado en OWASP Top 10 (Parte 1)
| Cristian Borghello
|-
| 12:00 - 13:00
| Pausa para almuerzo
|
|-
| 13:00 - 17:00
| Hacking de aplicaciones web basado en OWASP Top 10 (Parte 2)
| Cristian Borghello
|}

===¿Dónde?===
'''Viernes 10''' 
Universidad Nacional del Comahue, Buenos Aires 1400, Neuquén 
[[File:Ubicacion.png|link=https://www.google.com.ar/maps/place/38%C2%B056'26.2%22S+68%C2%B003'15.5%22W/@-38.940623,-68.054305,228m/data=!3m2!1e3!4b1!4m2!3m1!1s0x0:0x0]]
 
'''Sabado 11''' 
Instituto Icono, Santa Fe 355, Neuquén 
[[File:MapaIFES.png|link=https://www.google.com.ar/maps/place/Icono+S.r.l./@-38.9517208,-68.0592463,16z/data=!4m2!3m1!1s0x960a33d10f798455:0xed1c52f760942955?hl=es-419]]

===Afiche para difusión===
[[File:PosterLatamtour2015-Patagonia.jpg|link=https://www.owasp.org/images/6/60/Poster_Latamtour.pdf]]

===Patrocinio===
Los interesados en participar con un stand en el evento y su logo en la página del Tour (entre otras posibilidades), pueden revisar las
[https://www.owasp.org/images/6/67/Latam_Tour_2015_Oportunidades_de_Patrocinio.pdf oportunidades de patrocinio]
 
Cualquier consulta no duden en escribir a [mailto:gaston.toth@owasp.org Gaston Toth] o a [mailto:diego.dinardo@patagoniasec.com.ar Diego Di Nardo].
 

=BUENOS AIRES=

Invitamos a estudiantes, desarrolladores, expertos en seguridad informática y curiosos en general a compartir con la comunidad de OWASP un nuevo evento en Buenos Aires! Será una jornada de charlas técnicas, en un ambiente relajado e ideal para conocer otras personas interesadas en la seguridad en aplicaciones.

=='''Inscripcion'''==

Recuerden que es necesario [https://www.regonline.com/owasplatamtour15argentina '''inscribirse'''] para asistir. La registración es '''completamente gratis''' y es unicamente utilizada para verificar su identidad en la entrada de la Universidad.

== '''Fecha y lugar'''==

24 Abril 2015 - 9am (puntual!) 
[http://www.udemm.edu.ar/ Universidad de la Marina Mercante] 
[https://www.google.com.ar/maps/place/Av+Rivadavia+2258,+Buenos+Aires,+Ciudad+Aut%C3%B3noma+de+Buenos+Aires/@-34.6096561,-58.3984517,17z/data=!3m1!4b1!4m2!3m1!1s0x95bccae91dc7f349:0x3177aaca9808e637 Av. Rivadavia 2258, Ciudad Autonoma de Buenos Aires] 

== '''Charlas'''==

<table width="761" border="1" cellpadding="0" cellspacing="0" >
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Titulo</td>
<td>Orador</td>
</tr>
<tr>
<td width="100">9:10</td>
<td width="491">Introducción a OWASP</td>
<td width="200">Fabio Cerullo</td>
</tr>
<tr>
<td width="100">9:35</td>
<td width="491">Steering a Bullet Train</td>
<td width="200">Santiago Kantorowicz</td>
</tr>
<tr>
<td width="100">10:25</td>
<td width="491">Building a High Interaction Honeypot: Implementation and logging techniques</td>
<td width="200">Fernando Catoira</td>
</tr>
<tr>
<td width="100">10:50</td>
<td width="491">Coffee break</td>
<td width="200">n/a</td>
</tr>
<tr>
<td width="100">11:20</td>
<td width="491">Cornucopia, la seguridad es un juego</td>
<td width="200">Leonardo Federico Rosso</td>
</tr>
<tr>
<td width="100">11:45</td>
<td width="491">[https://www.owasp.org/index.php/LatamTour2015/VulnerabilidadesGatewayPago Vulnerabilidades en Gateways de Pago]</td>
<td width="200">[https://www.linkedin.com/in/ariancho Andrés Riancho]</td>
</tr>
<tr>
<td width="100">12:35</td>
<td width="491">Almuerzo</td>
<td width="200">n/a</td>
</tr>
<tr>
<td width="100">13:55</td>
<td width="491">Threat not found!</td>
<td width="200">Sheila Berta</td>
</tr>
<tr>
<td width="100">14:20</td>
<td width="491">Mobile Apps and How To Pentest Them</td>
<td width="200">Gustavo Sorondo</td>
</tr>
<tr>
<td width="100">15:10</td>
<td width="491">Coffee break</td>
<td width="200">n/a</td>
</tr>
<tr>
<td width="100">15:40</td>
<td width="491">Por que la seguridad en el software es importante?</td>
<td width="200">Victor Rojo (HP Fortify)</td>
</tr>
<tr>
<td width="100">16:05</td>
<td width="491">Web Security for Bitcoin Services</td>
<td width="200">Juliano Rizzo</td>
</tr>
</table>

=CHILE=

=='''Santiago: April, 8th-9th 2015'''==

[https://www.owasp.org/index.php/Chile El Capítulo Chileno de OWASP], tiene el agrado de invitar a la conferencia LatamTour2015, con el auspicio de [http://www.duoc.cl/escuela/escuela-de-informatica-y-telecomunicaciones Duoc UC] sede Alonso Ovalle.

OWASP es una organización mundial sin fines de lucro dedicada a identificar y combatir las causas que hacen inseguro el software. Revise nuestra documentación y metodologías en los [[:Category:OWASP_Project|Proyectos OWASP]] donde encontrará valioso material de aplicación práctica en los ambientes corporativos. Asista a los talleres y conferencias del LatamTour y aprenda como sacar provecho a estos recursos de libre acceso.

 
[https://www.regonline.com/owasplatamtour15chile'''HAGA CLICK AQUI PARA REGISTRARSE''']
 
Para asistentes registrados se sortean 5 membresías, que permiten acceder gratis (o con descuento preferente) a eventos y talleres OWASP durante 12 meses.
Inscribase y asegure su confirmación de reserva preferente.
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| style="width:90%" valign="middle" height="40" bgcolor="#4B0082" align="center" colspan="6" | '''DETALLES DE LA CONFERENCIA (Miércoles 8 de Abril en DUOC-UC sede Alonso Ovalle Nro.1586 -Metro Moneda-)'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Horario'''
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Modulo'''
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Ponente'''
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 09:00 - 09:30
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Acreditación
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 09:30 - 10:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Bienvenida y Presentación del Evento
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | DUOC-UC y OWASP-Chile
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Rodrigo Cea Warner. Director de Carrera DUOC-UC. Carlos Allendes Droguett Chapter Leader OWASP Chile.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 10:00 - 10:50
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Bug Bounty, programs reload
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Carlos Ormeño y Freddy Grey (CHILE)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Enfoques e investigación sobre programas de BUG BOUNTY periodico a través de vectores de ataque poco convencionales.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 10:50 - 11:05
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Coffee - Break
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 11:10 - 12:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Analizando tráfico WIFI de smartphones
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Yago F. Hansen (ESPAÑA)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Es seguro utilizar redes WiFi? Intercepción on-line del tráfico wi-fi en conexiones de smartphone y tecnicas de hacking.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 12:00 - 12:40
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Estado transparente, descentralización y confianza ¿Apoyado con Tecnología?
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Esteban Valenzuela Van Treek (Escritor, doctor en Historia, ex alcalde/diputado, Director de Ciencia Política U.A.Hurtado)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" |
*Potenciar la descentralización, regionalismo y trasparencia, apoyándose en la tecnología e internet.
*Panelista Invitado: Larry Vargas Poblete (Ing.Civil Informático y Magister Ciencia Política y Gobierno U.Chile).
|-|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 12:45 - 13:10
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Gestionar la inversión en seguridad con OpenSAMM. Donde Iniciar?
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Carlos Allendes Droguett (CHILE)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Enfoque Técnico y Ecónomico para maximizar el retorno de la inversión en hacking etico, pentesting, desarrollo seguro, análisis del código, pruebas de seguridad.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 13:10 - 14:50
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Break para Almorzar
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 14:50 - 15:40
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hacking efectivo: Desde una credencial hasta el Domain Admin en un solo día
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Ricardo Supo P. (PERU)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Como ganar acceso a credenciales locales de dominio y escalar privilegios hasta obtener un acceso de administrador de dominio.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 15:40 - 16:30
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | HTTPS: Usted, úselo bien.
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Cristián Rojas, CLCERT U.de Chile
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Que riesgos acechan, aunque tengamos instalado SSL/TLS? Año 2014 fue intenso: Heartbleed, POODLE, y errores de implementación como el GOTO FAIL.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 16:30 - 16:40
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Coffee - Break
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 16:40 - 17:20
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Seguridad Incorporada al Ciclo de Desarrollo
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Alejandro Johannes (CHILE)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Principios y fundamentos para disponer de una gestión con seguridad y calidad en el Ciclo de Desarrollo de aplicaciones.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 17:20 - 18:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Importancia de la seguridad en el software
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hector Takami (MEXICO)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | En lo que respecta a la seguridad del software, dar importancia a proyectos como OpenSAMM e integrar estas sugerencias en un modelo de seguridad aplicativa.
|-
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 18:00 - 18:10
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Cierre del evento
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Sorteo de Premios
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | membresías OWASP (entre inscritos)
|-
|}
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#4B0082;" colspan="6" | '''TALLERES (Jueves 9 de Abril)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Tema'''
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Jueves 9 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Jueves 9 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir

|}
 

=COLOMBIA=

== '''Bucaramanga: April, 14th 2015''' ==

[http://www.upb.edu.co/bucaramanga Universidad Pontifica Bolivariana] 
Seccional Bucaramanga 
Autopista Piedecuesta Kilometro 7 
Bloque K - 605 
[http://goo.gl/EwBpTu'''Mapa :: Ubicación del evento''']
 
[[File:Owasp_upb_2015.jpg|link=https://www.google.com/maps/place/Universidad+Pontificia+Bolivariana+Seccional+Bucaramanga/@7.0389574,-73.071732,14z/data=!4m2!3m1!1s0x8e6840b36653b9c5:0x4dcdbc55842151df]]
 
 
===REGISTRO===
Recuerde que el ingreso al evento es TOTALMENTE GRATUITO, sólo debe registrarse previamente. 
--REGISTRO CERRADO POR CUPO LLENO--


 
 

===CONFERENCIAS===

<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Register from 7:30 a.m.</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">8:00</td>
<td width="212" bgcolor="#CED7EF">Diego Ademir Duarte Santana</td>
<td width="482" bgcolor="#CED7EF">OWASP ASVS 2.0 Web Application Standard</td>
</tr>
<tr>
<td style="text-align: center">9:00</td>
<td>Jhon César Arango Serna</td>
<td>IPv6 Ventaja o Amenaza</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">10:00</td>
<td bgcolor="#CED7EF">Hugo Armando Rodriguez Vera</td>
<td bgcolor="#CED7EF">Protección de Datos Personales, infracción y consecuencias</td>
</tr>
<tr>
<td bgcolor="#FFFFFF" style="text-align: center">11:00</td>
<td bgcolor="#FFFFFF">MundoHacker</td>
<td bgcolor="#FFFFFF">Ciberespionaje y Cibercrimen as a Service</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Lunch</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">14:00</td>
<td bgcolor="#CED7EF">German Alonso Suárez Guerrero</td>
<td bgcolor="#CED7EF">OWASP Proactive Controls</td>
</tr>
<tr>
<td style="text-align: center">15:00</td>
<td>Ronald Escalona</td>
<td>Hardening del Servidor Web, enfoque práctico con jail/chroot para entornos multisitios</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">16:00</td>
<td bgcolor="#CED7EF">Javier Orlando Mantilla P</td>
<td bgcolor="#CED7EF">Seguridad en desarrollo de aplicaciones web usando Apache Tomee</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Finish Event</td>
</tr>
</table>
 
Tendremos algunas otras sorpresas más relacionadas con SEGURIDAD INFORMÁTICA Y CIBERSEGURIDAD !!!!
 
 
Transmisión en VIVO por [[File:oficinavirtual.png|link=http://www.renata.edu.co]][[File:renata.png|link=http://www.renata.edu.co]] 
 
 

===PATROCINIO===
Los interesados en participar con un stand en el evento y su logo en la página del Tour (entre otras posibilidades), pueden revisar las
[https://www.owasp.org/images/6/67/Latam_Tour_2015_Oportunidades_de_Patrocinio.pdf oportunidades de patrocinio]
 
Cualquier consulta pueden escribir a [mailto:dadhemir@owasp.org Diego Ademir Duarte Santana] .
 

===MEMORIAS===
Ya se encuentran publicadas las memorias del evento pulsando [http://goo.gl/RlcIiW aquí.]
 

=BOLIVIA=

[[File:Santa.jpg]]
 
 
 
Lugar: Universidad NUR
 
Dirección: Av. Banzer, Victorino Rivero 100
 
Santa Cruz de la Sierra, Bolivia
 
Fecha: 17 y 18 de abril del 2015
 
 
[[File:Mapa.jpg]]

[https://www.regonline.com/owasplatamtour15bolivia'''REGISTARTION IS NOW OPEN''']
 
 
 

'''Viernes 17 de abril y''' '''Sabado 18 de abril''' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="150" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País

|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Registro - Acreditación
|-
! 08:30 - 09:00
| colspan="3" style="text-align: center;" | Video: Mundo Hacker - Proyecto OWASP
|-
! 09:00 - 09:50
| Jaime Iván Mendoza Ribera
| [https://www.owasp.org/images/8/86/Analisis_de_vulnerabilidades_web.pdf Análisis de vulnerabilidades web]
| Santa Cruz, Bolivia
|-
! 09:50 - 10:40
| Cesar Roberto Cuenca Díaz
| [https://www.owasp.org/images/9/93/Desarrollo_Seguro_Principios_y_Buenas_Pr%C3%A1cticas..pdf Desarrollo Seguro Principios y Buenas Prácticas] .
| La Paz, Bolivia
|-
! 11:30 - 12:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 12:00 - 12:50
| Walter Camama Menacho
| [https://www.owasp.org/images/3/3a/MiTM_a_nivel_de_browser_con_beef_y_metasploit.pdf MiTM a nivel de browser con beef y metasploit]
| Trinidad, Bolivia
|-
! 12:50 - 13:40
| Leonardo Camilo Quenta Alarcon
| [https://www.owasp.org/images/5/5d/Seguridad_en_sistemas_financieros.pdf Seguridad en sistemas financieros. Buenas prácticas de programación y aplicación de pruebas de penetración OWASP]
| La Paz , Bolivia
|-
! 13:40 - 14:30
| Deyvi Bustamante Perez
| [https://www.owasp.org/images/b/b1/Exploit_development.pdf Exploit development]
| Sucre , Bolivia
|-aps
! 14:30 - 15:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 15:00 - 15:50
| Gonzalo Nina Mamani
| [https://www.owasp.org/images/7/71/Sistema_para_la_recolecci%C3%B3n_de_informaci%C3%B3n.pdf Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web]
| Cochabamba , Bolivia
|-

{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="150" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País

|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Acreditación
|-
! 09:00 - 09:50
| Alex Villegas y Roller Ibanez
| Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301
| Cochabamba, Bolivia
|-
! 09:50 - 10:40
| Richard Villca Apaza
| [https://www.owasp.org/images/1/13/Debugging_Android_Apps.pdf Rompiendo el modelo de negocios: Debugging Android Apps]
| La Paz, Bolivia
|-
! 10:40 - 11:30
| Cristhian Lima Saravia
| [https://www.owasp.org/images/3/32/Pleni.pdf Framework Pleni]
| Cochabamba, Bolivia
|-
! 11:30 - 12:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 12:00 - 12:50
| Elvin Vidal Mollinedo Mencia
| Los 7 pecados de un desarrollador Web
| Santa Cruz, Bolivia
|-
! 12:50 - 13:40
| Alvaro Machaca Tola
| [https://www.owasp.org/images/b/b3/Analisis_de_riesgo_usando_la_metodologia_OWASP.pdf Análisis de riesgos aplicando la metodología OWASP ]
| La Paz , Bolivia
|-
! 13:40 - 14:30
| Erick Calderon Mostajo
| [https://www.owasp.org/images/7/77/Herramientas_de_Aprendizaje_OWASP.pdf Herramientas de Aprendizaje OWASP]
| La Paz , Bolivia
|-
! 14:30 - 15:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 15:00 - 15:50
| Daniel Torres Sandi
| [https://www.owasp.org/images/6/6a/Headers_seguros.pdf Headers seguros en HTTP]
| Sucre , Bolivia
|-
! 15:50 - 16:50
| Gabriel Labrada Hernandez (MEXICO)
| Seguridad en Hardware y los servicios en la nube
| Mexico
|-
! 16:50 - 17:50
| Jacobo Tibaquira
| Atacando al atacante (DRAGON JAR)
| Colombia
|}

=COSTA RICA=
== '''San Jose: April, 21st 2015''' ==

El evento se va a llevar a cabo en el auditorio de la Ciudad de la Investigación de la Universidad de Costa Rica. [http://goo.gl/Y64lZG'''Ver Dirección exacta''']

[[File:Mapa-ucr-auditorio.png|800px]]

 

=== REGISTRO ===
Recuerde que el ingreso al evento es totalmente gratuito, sólo debe registrarse previamente. '''El comprobante de registro será solicitado en el momento de ingresar en el auditorio'''.
[https://www.regonline.com/owasplatamtour15costarica'''Pulse aquí para registrarse en el evento.''']
 

=== CONFERENCIAS-LISTADO DE EXPOSITORES===

'''Martes 21 de Abril'''
 
<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Recepción y Registro De 7:30 am a 8:00 am</td>
</tr>
<tr>
<td width="150" bgcolor="#CED7EF" style="text-align: center">8:00 am a 8:10 am</td>
<td width="212" bgcolor="#CED7EF">OWASP Costa Rica & UCR</td>
<td width="500" bgcolor="#CED7EF">Palabras de Bienvenida</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">8:10-9:00 am</td>
<td bgcolor="#CED7EF">Fabio Cerullo , Dublin Irlanda</td>
<td bgcolor="#CED7EF">Keynote: Desarrollo Rápido y Seguro de Aplicaciones – Es posible tener las dos cosas? </td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">09:00-09:50 am</td>
<td bgcolor="#CED7EF"> Eduardo Rojas</td>
<td bgcolor="#CED7EF">Bloques de construcción en la implementación estratégica del software seguro con SAMM</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">09:50-10:10am</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">10:10-11:00 am</td>
<td bgcolor="#CED7EF">Mauricio Oviedo</td>
<td bgcolor="#CED7EF">Manejo Seguro del DNS</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">11:00-11:50 am</td>
<td bgcolor="#CED7EF">Walter Montes</td>
<td bgcolor="#CED7EF">Buenas prácticas para manejo de autenticación y sesión</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">11:50-1:20 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Almuerzo Libre</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">1:20-2:10 pm</td>
<td bgcolor="#CED7EF">Randall Barnett</td>
<td bgcolor="#CED7EF">Vulnerabilidades encontradas en Sistema de Control de Tráfico Nacional</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">2:15-3:05 pm</td>
<td bgcolor="#CED7EF"> Mario Robles</td>
<td bgcolor="#CED7EF"> Web Application Penetration Testing</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">3:05-3:25 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">3:25-4:15 pm</td>
<td bgcolor="#CED7EF">Alejandro Castañeda </td>
<td bgcolor="#CED7EF">¿Por qué la seguridad en el software es importante?</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:15-5:00 pm</td>
<td bgcolor="#CED7EF">Bertin Bervis</td>
<td bgcolor="#CED7EF">MiTM Attacks con DNS proxys a escala WAN el modem bajo ataque</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">5:00 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Palabras de cierre</td>
</tr>
</table>
 

=== PATROCINIO===
Los interesados en participar con un stand en el evento y su logo en la página del Tour (entre otras posibilidades), pueden revisar las oportunidades de patrocinio
Cualquier consulta pueden contactar a [mailto:michael.hidalgo@owasp.org Michael Hidalgo].

=GUATEMALA=

== '''Ciudad de Guatemala: April, 21st-22nd 2015''' ==
===CONFERENCIAS===
Día 1
Abril 21
 
 
<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Register from 1:30 p.m.</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">2:00</td>
<td width="212" bgcolor="#CED7EF">Camilo Fernandez</td>
<td width="482" bgcolor="#CED7EF">OWASP Tools</td>
</tr>
<tr>
<td style="text-align: center">3:00</td>
<td>Pablo Barrera</td>
<td>La verdad sobre los ataques de denegación de servicio</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:30</td>
<td bgcolor="#CED7EF">Oscar Rodas y Marco To</td>
<td bgcolor="#CED7EF">Avances en investigación sobre seguridad informática</td>
</tr>
<tr>
<td bgcolor="#FFFFFF" style="text-align: center">5:15</td>
<td bgcolor="#FFFFFF">Elder Guerra</td>
<td bgcolor="#FFFFFF">Un verdadero análisis de riesgos</td>
</tr>
</table>
 
Día 2
Abril 22
 
 
<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Register from 1:30 p.m.</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">2:00 PM Salon 1</td>
<td width="212" bgcolor="#CED7EF">Luis Cordon</td>
<td width="482" bgcolor="#CED7EF">Web Pentesting</td>
</tr>
<tr>
<td style="text-align: center">2:00 PM Salon 2</td>
<td>Pablo Barrera</td>
<td>Server Hardening: métodos de aseguramiento de tu servidor web y los datos que contiene</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:00PM</td>
<td bgcolor="#CED7EF">Concurso de Ethical Hacking</td>
</tr>
</table>
Tendremos algunas otras sorpresas más relacionadas con SEGURIDAD INFORMÁTICA Y CIBERSEGURIDAD !!!!
 
 
 
 

[http://www.galileo.edu/ Universidad Galileo] 
4A Calle 7a. Avenida, calle Dr. Eduardo Suger Cofiño, 
Ciudad de Guatemala 01010 
 
[https://www.regonline.com/owasplatamtour15guatemala'''REGISTRATION IS NOW OPEN''']
 
 
 

=PERU=

== '''Lima: April, 17th-18th 2015''' ==
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" height="30" style="background:#CCCCEE;" colspan="2" | '''TALLERES Y CONFERENCIAS'''
|-
| align="center" style="background:#EEEEEE;" colspan="2" |
== '''OWASP Latam Tour - Lima 2015''' ==

'''Viernes 17 de Abril''' ''(Talleres)'' '''Sábado 18 de Abril''' ''(Conferencia)''
|-
| valign="center" bgcolor="#CCCCEE" align="center" colspan="2" | '''Descripción y Objetivo'''
|-
| valign="left" height="80" bgcolor="#EEEEEE" align="left" colspan="2" | '''OWASP LATAM TOUR,''' es una gira por Latino América que promueve la seguridad en aplicaciones web en diversas instituciones como: universidades, organismos gubernamentales, empresas de TI y entidades financieras; buscando crear conciencia sobre la seguridad en las aplicaciones y puedan tomar decisiones informadas sobre los verdaderos riesgos de seguridad.

*Además del OWASP Top 10, la mayoría de los [[:Category:OWASP_Project|Proyectos OWASP]] no son ampliamente utilizados en los ambientes corporativos. En la mayoría de los casos esto no es debido a una falta de calidad en los proyectos o la documentación disponible, sino por desconocer donde se ubicarán en un Ecosistema de Seguridad de Aplicaciones empresarial.

*Esta serie de talleres y conferencias tienen como objetivo cambiar esta situación proporcionando una explicación sobre los proyectos OWASP más maduros y listos para ser utilizados en el ámbito empresarial.
|}
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''RESUMEN DE ACTIVIDADES'''
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''CONFERENCIAS (Sábado 18) 100% Gratuitas'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Sábado 18 de Abril'''
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Universidad Tecnológica del Perú - Esquina Av. 28 de Julio con Av. Petit Thouars, Lima – Perú'''
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''TALLERES (Viernes 17)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Viernes 17 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' Calle Dean Valdivia 148 - Piso 13 - San Isidro '''
|-
|}
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
| align="center" style="background: #4B0082;" colspan="2" | '''LIMA PERÚ'''
|-
| align="center" style="background:#4B0082;" colspan="2" | '''TALLERES (Viernes 17)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Viernes 17 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' Calle Dean Valdivia 148 - Piso 13 - San Isidro '''
|-
| align="center" style="background:#EEEEEE;" colspan="2" | Durante todo el OWASP LatamTour se estarán realizando talleres de capacitación dictados por destacados profesionales en la materia. 
'''Duración:''' 8 horas 
'''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General). 
'''Para mayor informacion : ''' Por favor comuníquese al correo owasp.peru@gmail.com 
'''Link de Registro''': ['''REGISTRATION IS CLOSE'''] ''' 
|-
| align="center" style="background: #4B0082;" colspan="2" | '''TALLER 1'''
|-
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Taller'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''De 0 a Ninja con Metasploit'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Dragonjar.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | El taller de 0 a Ninja con Metasploit, busca detallar el uso de la herramienta Metasploit ampliamente utilizada en auditorias de seguridad por profesionales del área, desde su instalación y puesta a punto para el trabajo, hasta el uso de sus funciones para llevar a feliz término una auditoria en seguridad.
De 0 a Ninja DragonJAR

Este curso, altamente práctico, tiene una duración de 8 horas en las que los asistentes podrán acortar la curva de aprendizaje, gracias a la transmisión de conocimientos y experiencias de los docentes, altamente calificados, con el fin de que una vez finalizado el taller puedas aplicar los conocimientos adquiridos.

Duración: 1 día (8 horas)
====De 0 a Ninja con Metasploit====
*Introducción a Metasploit
*Introducción a la línea de comandos de Metasploit
*Trabajando con Metasploit y sus componentes (msfconsole, msfcli, msfgui, msfweb, msfpayload, msfencode, msfvenom, etc…)
*Etapas de un Pentesting y las herramientas para realizarlas incluidas en Metasploit
*Post-Explotación, ya tengo shell … ¿ahora qué hago?
*Trabajando con Meterpreter
*Trabajo colaborativo usando Armitage/Cobalt Strike
*Generando el informe ¿Alguna tool que pueda ayudarme?

 
'''Perﬁl del Trainer : '''

'''[https://twitter.com/DragonJAR/ Jaime Andrés Restrepo (DragonJAR)]''', es Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference, Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática más grandes de habla hispana y referente en el sector. 

* '''Duracion:''' 8 horas (El taller iniciará a las 9:00am y finaliza a las 6:00pm)

* '''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General).

* '''Para mayor información : ''' Por favor comuníquese al correo owasp.peru@gmail.com

* '''Link de Registro''': ['''REGISTRO CERRADO '''] ''' 
|-
| align="center" style="background: #4B0082;" colspan="2" | '''TALLER 2'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Taller'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Introducción a la Seguridad en Aplicaciones Web'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cerullof.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | El contenido está alineado al OWASP TOP 10, documento referente sobre los riesgos de seguridad de las Aplicaciones Web.
'''Formato:'''

El taller combina la teoría y ejercicios prácticos. Los participantes aprenderán a identificar vulnerabilidades en sitios web específicamente diseñados con vulnerabilidades y errores de código, explotándolas utilizando diferentes técnicas y herramientas libres en un entorno controlado.

'''Audiencia:''' IT Staff, Managers, System Architects, Information Security Professionals, Developers, QA Professionals.

'''Duración:''' 1 día - (8 horas)

'''Material a entregar:'''

- Material Impreso 
- OWASP Live CD incluyendo las herramientas utilizadas. 
- Certificado de Participación (CPE Points) 

==== Introducción a la Seguridad de Aplicaciones Web. ====
Los temas a cubrir son:

*Introducción a la Seguridad de Aplicaciones Web.
*Tecnología usada en aplicaciones web.
*Áreas críticas en una aplicación web.
**Inyección
**Cross Site Scripting (XSS).
**Broken Authentication and Session Management.
**Insecure Direct Object References.
**Cross Site Request Forgery.
**Security Misconfiguration.
**Insecure Cryptographic Storage.
**Failure to restrict URL Access.
**Insufficient Transport Layer Protection.
**Unvalidated Redirects and Forwards.
**Secure Software Development Lifecycle (SSDLC)
 
'''Perﬁl del Trainer : '''

'''[https://twitter.com/fcerullo Fabio Cerullo]''', más de 10 años de experiencia en el campo de seguridad de la información adquirida a través de una amplia gama de industrias. Como CEO y Fundador de Cycubix, que ayuda a los clientes de todo el mundo mediante la evaluación de la seguridad de las aplicaciones desarrolladas internamente o por terceros, la definición de políticas y normas, la implementación de iniciativas de gestión de riesgos, así como la capacitación sobre el tema para desarrolladores, auditores , ejecutivos y profesionales de la seguridad. 
Como miembro de la Fundación OWASP, Fabio es parte de la Comisión de Educación Global, cuya misión es proporcionar formación y servicios educativos a las empresas, los gobiernos y las instituciones educativas en la seguridad de la aplicación, y ha sido nombrado Líder del Capítulo OWASP Irlanda desde principios de 2010.
Posee una Maestría en Ingeniería Informática por la UCA y se ha obtenido los certificados CISSP y CSSLP por (ISC)2. 

* '''Duracion:''' 8 horas (El taller iniciará a las 09:00 am y finaliza a las 6:00pm)

* '''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General).

* '''Para mayor información : ''' Por favor comuníquese al correo owasp.peru@gmail.com

* '''Link de Registro''': [https://www.regonline.com/owasplatamtour15lima'''REGISTRO CERRADO!'''] ''' 
|-
|}
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#4B0082;" colspan="2" | '''CONFERENCIAS (Sábado 18)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Sábado 18 de Abril'''
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Universidad Tecnológica del Perú - Esquina Av. 28 de Julio con Av. Petit Thouars, Lima – Perú'''
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''Precio y Registro'''
|-
| align="center" style="background:#EEEEEE;" colspan="2" | El ingreso a las conferencias es '''100% GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link : 
[https://www.regonline.com/owasplatamtour15lima'''EL REGISTRO SE ENCUENTRA ABIERTO!''']
 
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''Promociones'''
|-
| valign="left" height="80" bgcolor="#EEEEEE" align="center" colspan="2" | OFERTA ESPECIAL - Durante todo el OWASP Latam Tour el costo de la membresía anual es de solamente U$D 20. Utilice el código de descuento "LATAM" durante el proceso de registro electrónico como miembro individual en el enlace disponible a continuación. 
[http://myowasp.force.com/memberappregion Hágase MIEMBRO DE OWASP AQUÍ] 
'''Si usted aun no es miembro OWASP, por favor considere unirse a nuestra organización.'''
|}
 

{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| style="width:90%" valign="middle" height="40" bgcolor="#CCCCEE" align="center" colspan="6" | '''DETALLES DE LA JORNADA'''
|-
| style="width:30%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | ''' Horario '''
| style="width:35%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Tema'''
| style="width:35%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Ponente'''
|-
| style="width:30%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 9:30 am
| style="width:35%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Acreditación
| style="width:35%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | OWASP PERU
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 10:00 am
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Presentación del evento
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Representante OEA - Pablo Zuñiga 
OWASP Perú [https://twitter.com/John_Vargas John Vargas]
|-
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 10:30 am
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Cyber War in Web and Mobile Applications
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/stinguer88 Jesús González (ESP)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 11:20 am
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Seguridad en Aplicaciones Móviles
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" |[https://twitter.com/pITea_security Juan Pablo Quiñe (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 12:10 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Por qué la seguridad en el software es importante?
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Sergio Carranza (PER)
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 14:40 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Todos a Sh3ll34r!
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/gabsitus Gabriel Lazo (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 15:30 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Desarrollo Rápido y Seguro de Aplicaciones - ¿Es posible tener las dos cosas?
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/fcerullo Fabio Cerullo (ARG)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 16:20 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Browser hijacking 4 fun'n profit!
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/NoxOner Josué Rojas (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 17:00
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Desde una Credencial hasta el Domain Admin en un solo día
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/ricardosupo Ricardo Supo (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 17:40
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hackeando Carros en Latinoamérica
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/DragonJAR Andrés Restrepo (COL) (DragonJAR)]
|}

=URUGUAY=

== '''Conferencia: 15 de abril de 2015 ''' ==
El evento más importante de la región llega nuevamente a Uruguay, OWASP Latam tour 2015!. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

[https://www.regonline.com/owasplatamtour15uruguay'''PARA REGISTRARSE AL EVENTO HAGA CLIC AQUI! - SIN COSTO''']

'''¿Dónde?'''

[http://www.ucu.edu.uy/ Universidad Católica del Uruguay] 
Av. 8 de Octubre 2738 
Sala Bauza 
Montevideo 11600 Montevideo, Uruguay. 
Ver en [https://www.google.com/maps/place/Universidad+Cat%C3%B3lica+del+Uruguay/@-34.888694,-56.159218,17z/data=!3m1!4b1!4m2!3m1!1s0x0:0x13508c3340b76e45 Google Maps]
 

== '''Conferencias: Miércoles 15 de abril''' ==
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| style="width:90%" valign="middle" height="40" bgcolor="#4B0082" align="center" colspan="6" | '''DETALLES DE LA CONFERENCIA - Miércoles 15 de Abril (Universidad Católica del Uruguay)'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Horario'''
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Expositor'''
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Titulo'''
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 17:30 - 18:00
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Acreditación
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 18:00 - 18:45
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Cristian Borghello
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [[media:OWASPLatamTour2015_Seguridad-Certificados-Digitales.pdf | Seguridad en Certificados Digitales - Certificate Pinning]]
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Esta charla pretende demostrar en vivo la explotación de distintas vulnerabilidades en una aplicación móvil de tal manera que podamos revisar las causas y consecuencias, ademas recomendar las medidas de seguridad pertinentes.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 18:45 - 19:15
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Edgar Salazar
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Inseguridad en Aplicaciones Móviles
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Esta charla pretende demostrar en vivo la explotación de distintas vulnerabilidades en una aplicación móvil de tal manera que podamos revisar las causas y consecuencias, ademas recomendar las medidas de seguridad pertinentes.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 19:15 - 19:30
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Coffee - Break
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 19:30 - 20:15
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Carlos Eduardo Santiago
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | (IN)secure Development
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Forget Injection and XSS
This lecture aims to demonstrate simple traps in web development, and bad practices in addition to some factors are likely to cause critical security flaws. We will analyze some cases and demonstrate ways to mitigate and correct such failures.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 20:15 - 21:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Ricardo Supo Picón
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hacking Efectivo
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Los dominios windows están presentes en gran cantidad de organizaciones, en estos la autenticación de usuarios esta disponible en muchos servicios. En esta charla analizaremos los distintos tipos de autenticación de windows y como obtener credenciales locales y de dominio así mismo como a partir de una sola credencial se puede obtener más credenciales hasta obtener un administrador de dominio. Así mismo se detallará como poder realizar intrusiones masivas en red de computadores que ayudan a que un sólo hacker pueda multiplicar sus actividades y conseguir su objetivo en un sólo día, presentación de la herramienta Domainator.
|-|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 21:00 - 21:30
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Viviana Basso
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Porque la seguridad en software es tan importante?
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Enfoque Tecnico y Ecónomico para maximizar el retorno de la inversión en hacking etico, pentesting, desarrollo seguro, análisis del código, pruebas de seguridad.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 21:30 - 22:00
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Cierre del evento
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Sorteo de Premios
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
|-
|}
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#4B0082;" colspan="6" | '''TALLERES (Jueves 16 de Abril)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Tema'''
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Jueves 16 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | TRAINING 1: Hacking de aplicaciones web basado en OWASP Top 10 (Costo: USD 250) by Cristian Borghello
| valign="middle" bgcolor="#EEEEEE" align="left" | Universidad Católica del Uruguay
| valign="middle" bgcolor="#EEEEEE" align="left" | Los desarrolladores son una raza extraña. Los Pentesters viven en una burbuja. Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web y a los Pentesters a probar aplicaciones web de forma adecuada.

Objetivos: - Conocer OWASP Top 10 (quick summary) - Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador y del Pentester - Conocer recomendaciones desde el punto de vista del Pentester - Conocer recomendaciones desde el punto de vista del Desarrollador

Orientado a desarrolladores, pentesters y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

|}

[https://www.regonline.com/owasplatamtour15uruguay'''PARA REGISTRARSE AL EVENTO HAGA CLIC AQUI! - SIN COSTO''']

== '''Trainings: Jueves 16 de abril de 8am a 5pm''' ==

=== TRAINING 1: Hacking de aplicaciones web basado en OWASP Top 10 (Costo: USD 250) ===

'''Instructor:''' Cristian Borghello

Los desarrolladores son una raza extraña. Los Pentesters viven en una burbuja. Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web y a los Pentesters a probar aplicaciones web de forma adecuada.

Objetivos: - Conocer OWASP Top 10 (quick summary) - Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador y del Pentester - Conocer recomendaciones desde el punto de vista del Pentester - Conocer recomendaciones desde el punto de vista del Desarrollador

Orientado a desarrolladores, pentesters y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

[https://www.regonline.com/owasplatamtour15uruguay'''PARA INSCRIBIRSE HAGA CLIC AQUI!''']

=VENEZUELA=

== '''Caracas: April, 24th 2015''' ==
[[File:Owaspbanner24.png| center |Owaspbanner24.png ]]
 

== Registro ==
El registro es totalmente gratis, nos complacería mucho que nos acompañaras este día.

Te esperamos!!!

[https://www.regonline.com/owasplatamtour15venezuela'''REGISTRATE AQUI''']
 
 

== UBICACIÓN ==

[http://www.ucv.ve/ Universidad Central de Venezuela] 
Facultad de Ciencias 
Auditórium Tobías Lasser 
Paseo Los Ilustres Urb. Valle Abajo. 
1040 Caracas 
 

[[File:UbicacionLatamCaracas.png]]

== LISTADO DE SPEAKERS ==

<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Registro 8:30 am</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">9:00 am</td>
<td width="212" bgcolor="#CED7EF">OWASP Venezuela & UCV</td>
<td width="482" bgcolor="#CED7EF">Palabras de Bienvenida</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">9:15-9:55 am</td>
<td bgcolor="#CED7EF"> Jair Garcia</td>
<td bgcolor="#CED7EF" >Hacking Etico: Cacería de Vulnerabilidades</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">10:00-9:35 am</td>
<td bgcolor="#CED7EF"> Randy Ortega</td>
<td bgcolor="#CED7EF">Sessión Hijacking: Peligro en la web</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">10:40-11:10am</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">11:15-11:50 am</td>
<td bgcolor="#CED7EF">Michael Hidalgo (Costa Rica)</td>
<td bgcolor="#CED7EF">Ataques de denegación de servicio a través de expresiones regulares: De la explotación a la corrección</td>
</tr>

<tr>
<td bgcolor="#FBF1D7" style="text-align: center">12:00-1:30 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Almuerzo Libre</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">1:35-2:10 pm</td>
<td bgcolor="#CED7EF">Josmell Chavarri</td>
<td bgcolor="#CED7EF">Conociendo al Enemigo: Honeypots</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">2:15-2:40 pm</td>
<td bgcolor="#CED7EF" > Rodrigo Bravo y Eliezer Romero</td>
<td bgcolor="#CED7EF" > Programación Segura en Python</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">2:45-3:20 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">3:35-4:10 pm</td>
<td bgcolor="#CED7EF">Maximiliano Anlonzo (Uruguay) </td>
<td bgcolor="#CED7EF">Peligro: software en construcción</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:15-4:40 pm</td>
<td bgcolor="#CED7EF">Carlos Suárez</td>
<td bgcolor="#CED7EF">Beef como framework de explotación xss</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">4:45-5:00 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Palabras de cierre</td>
</tr>
</table>

=SPONSORS=

==We are looking for Sponsors for the Latam Tour 2015==
 

This is a truly unique opportunity to increase your brand recognition as a company dedicated to the highest standards of professional technology & security in the Latin-America region but also internationally throughout the world while supporting the continued activities conducted by OWASP worldwide.
 
 

* ''' Sponsorship benefits for organizations specializing in IT & Security:'''

** Opportunity to use the latest technological trends for professional training / development
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your business development strategy with leading information from the security industry
** Get networking and headhunting opportunities with world-class specialists and professionals
** Get the chance to interact with high-need discerning users to improve product development
** Increase your image as a professional company through this unique branding opportunity
 
 
* '''Sponsorship benefits for organizations utilizing the internet in their business:'''

** Opportunity to increase the international brand awareness and conduct business networking
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your service development by understanding the latest trends in security issues & risks
** Contribute to information society as a company by developing safe and secure services
** Get the chance to interact with high-need discerning users to improve product development
** Opportunity to brand your company as one that focuses on the highest standards in technology

Make your company part of the conversation. Become a sponsor of the tour today! [https://www.owasp.org/images/5/5f/Latam_Tour_2015_Sponsorship_Opportunities.pdf'''SPONSOR OPPORTUNITIES''']
[https://www.owasp.org/images/6/67/Latam_Tour_2015_Oportunidades_de_Patrocinio.pdf '''OPORTUNIDADES DE PATROCINIO''']

= CTF =

Do you have an interest in security or are you a security professional? Either way, you have something to gain from the OWASP Security Shepherd LATAM Tour CTF. OWASP Security Shepherd has been designed and implemented with the aim of fostering and improving security awareness among a varied skill-set demographic. This project enables users to learn or to improve upon existing manual penetration testing skills. The OWASP Security Shepherd leaders have created a customised version of the project for this CTF. This CTF is for everyone and anyone, so check it out! Just ensure that you follow these rules when you take part;

== CTF Rules ==
- No Denial of Service Attacks. 
- No automated Scans (you might get banned). 
- Do not generate large amounts of traffic. 
- No destructive attacks (don't delete stuff). 
- Confine hacking on the tasks that are explicitly free to hack. 
- If you find a cheat or trick to solve things more easily, please report it for Bonus Points. 
- The organizers might change the rules throughout the challenge. 
- Participants breaking these rules might be penalized or excluded from the competition. 

Play in the CTF now: [http://latam.securityshepherd.eu http://latam.securityshepherd.eu]

Follow the CTF twitter feed for CTF news: [https://twitter.com/LatamTourCtf https://twitter.com/LatamTourCtf]

Enjoying the CTF? Want to contribute? More information on the project here: [https://www.owasp.org/index.php/OWASP_Security_Shepherd https://www.owasp.org/index.php/OWASP_Security_Shepherd]

<headertabs />

{{:LatamTour2015 Sponsors}}

LatamTour2015

2015-04-17T20:18:50Z

Cristian Borghello: /* Conferencias: Miércoles 15 de abril */

__NOTOC__

[[Image:Banner_latam_2015.jpg ‎|750px|link=https://www.owasp.org/index.php/LatamTour2015]]

=WELCOME=

== '''Schedule''' ==

* Santiago, '''Chile''': April, 8th-9th 2015
* Patagonia, '''Argentina''': April, 10th-11th 2015
* Bucaramanga, '''Colombia''': April, 14th 2015
* Montevideo, '''Uruguay''': April, 15th-16th 2015
* Lima, '''Peru''': April, 17th-18th 2015
* Santa Cruz, '''Bolivia''': April 17th -18th 2015
* San Jose, '''Costa Rica''': April, 21st 2015
* Guatemala, '''Guatemala''': April, 21st-22nd 2015
* Buenos Aires, '''Argentina''': April, 24th 2015
* Caracas, '''Venezuela''': April, 24th 2015
 
 

'''REGISTRATION IS NOW OPEN, PLEASE CHECK THE LOCATION TAB YOU ARE INTERESTED IN'''
 
 

== '''Latam Tour Objective''' ==

The OWASP Latam Tour objective is to raise awareness about application security in the Latin America region, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.

We are proposing a chapters conference driven model in which the sessions are free for everybody and the costs are supported by a mix of funding i.e. OWASP Foundation, local chapter budget, external sponsorship, etc. 1-day training sessions are also offered in some tour stops. These sessions’ fees are $ 200USD for OWASP members and $ 250 USD for non-members (group discounts may apply).
 
 

=='''Who Should Attend the Latam Tour?'''==

*Application Developers
*Application Testers and Quality Assurance
*Application Project Management and Staff
*Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
*Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
*Security Managers and Staff
*Executives, Managers, and Staff Responsible for IT Security Governance
*IT Professionals Interesting in Improving IT Security
*Anyone interested in learning about or promoting Web Application Security 
 
 
== '''Become an OWASP Member''' ==

As part of the OWASP Latam Tour, you could '''become an OWASP Member by ONLY paying 20 U$D'''. Show your support and become an OWASP member today!

[[Image:Join_button.jpg|100px|link=http://sl.owasp.org/newmember]] [[Image:Renewal.jpg |100px|link=http://sl.owasp.org/renewmember]]
 
 

== '''Questions''' ==

*If you have any questions about the Latam Tour 2015, please send an email to andrea.villar@owasp.org / fcerullo@owasp.org
 
 

== '''Social Media''' ==

'''[http://twitter.com/search?q=%23LATAMTOUR #Latamtour]''' hashtag for your tweets for Latam Tour (What are [http://hashtags.org/ hashtags]?)

'''@AppSecLatam Twitter Feed ([http://twitter.com/AppSecLatam follow us on Twitter!])''' <twitter>34534108</twitter>

= CALL FOR PAPERS & TRAININGS =

== '''Do you want to give a talk or a training session in Latin America?''' ==
 

'''Please send your proposals to the corresponding chapter leader before February 1st 2015:'''
 
 

* '''Argentina''' (Buenos Aires): Martin Tartarelli via [https://docs.google.com/forms/d/1ncVFYKsBv6aUsf3WBI657yRHUQLkazjkT9VMu4Vdp9I/viewform '''this Google form''']
* '''Argentina''' (Patagonia): Gaston Toth [gaston.toth@owasp.org]
* '''Colombia''': Diego Ademir Duarte [dadhemir@owasp.org]
* '''Costa Rica''': Michael Hidalgo [michael.hidalgo@owasp.org]
* '''Chile''': Carlos Allendes Droguett [carlos.allendes@owasp.org]
* '''Guatemala''': Pablo Barrera [pbarrera@gmail.com]
* '''Peru'''(Lima) : John Vargas [john.vargas@owasp.org] vía [https://docs.google.com/forms/d/1HJAwdnCxhnDjxdEOrHVBaewrkQncIB2uxHCzxEtxwug '''this Google form''']
* '''Uruguay''': Mateo Martinez [mateo.martinez@owasp.org]
* '''Venezuela''': Edgar Salazar [edgar.salazar@owasp.org]
 

''By your submission you agree to the [https://www.owasp.org/images/4/4f/AppSec_Latam_2015_Speaker_Agreement.pdf '''OWASP Speaker Agreement'''] or [https://www.owasp.org/images/f/fa/LatamTour_2015_Training_Instructor_Agreement.pdf ‎'''Instructor Agreement'''].

=TEAM=

'''Chapter Leaders'''

* Bucaramanga, Colombia: Diego Ademir Duarte [dadhemir@owasp.org]
* Santiago, Chile: Carlos Allendes Droguett [carlos.allendes@owasp.org]
* Guatemala, Guatemala: Pablo Barrera [pbarrera@gmail.com]
* Santa Cruz de las Sierras, Bolivia: Daniel Torres [daniel.torres@owasp.org] & Elvin Mollinedo [elvin.mollinedo@owasp.org]
* San Jose, Costa Rica: Michael Hidalgo [michael.hidalgo@owasp.org]
* Montevideo, Uruguay: Mateo Martinez [mateo.martinez@owasp.org]
* Caracas, Venezuela: Edgar Salazar [edgar.salazar@owasp.org]
* Buenos Aires, Argentina: Martin Tartarelli [martin.tartarelli@gmail.com]
* Patagonia, Argentina: Gaston Toth [gaston.toth@owasp.org]
* Lima, Peru: John Vargas [john.vargas@owasp.org]

'''Operations'''

*[[User:Fabio.e.cerullo|Fabio Cerullo]], 
* Andrea Villar
* Kate Hartmann
* [https://www.owasp.org/index.php/User:Kelly_Santalucia Kelly Santalucia]

=PATAGONIA=

=='''Patagonia: April, 10th-11th 2015'''==

{| class="wikitable"
|-
| '''Diapositivas'''
| '''Fotos'''
|-
| style="background:white" | [[File:TourPatagonia2015_Slides.jpg|150px|link=https://www.owasp.org/index.php/Patagonia/Latam_Tour_2015_Slides]] 

| style="background:white" | [[File:TourPatagonia2015_Fotos.png|150px|link=https://www.owasp.org/index.php/Patagonia/Latam_Tour_2015_Fotos]] 
|}

===Registrarse (Finalizado)===
Los interesados en asistir al evento deben registrarse en: 
[https://www.regonline.com/owasplatamtour15patagonia https://www.regonline.com/owasplatamtour15patagonia] 
''Conferencias: Libres y gratuitas'' 
''Entrenamiento: 250 dólares'' 

===CTF Patagonia===
Competencia de hacking "CTF Patagonia". 
Preparen, aputen,...., [http://ctf-ddn.rhcloud.com/ FUEGO!]
 
 
'''Felicitaciones Jose Mateo!''' 
Ganador del CTF 2015 
[[File:TourPatagonia2015_JoseMateo.JPG|300px]]

===Agenda ===
'''Viernes 10 de abril''' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="450" align="center" | Conferencia
! width="150" align="center" | Expositor

|-
| 09:00 - 10:00
| Acreditacion
|
|-
| 10:00 - 10:15
| Bienvenida e intoduccion a OWASP
|
|-
| 10:20 - 11:00
| [https://www.owasp.org/index.php/LatamTour2015/VulnerabilidadesGatewayPago Vulnerabilidades en Gateways de Pago]
| [https://www.linkedin.com/in/ariancho Andrés Riancho]
|-
| 11:00 - 11:30
| Pausa para café
|
|-
| 11:30 - 12:00
| Aspectos Legales de la Seguridad informática 
| Marcelo Campetella
|-
| 12:00 - 12:30
| El mercado del Malware en las Apps de los Store para Android
| Claudio Caracciolo
|-
| 12:30 - 14:00
| Pausa para almuerzo
|
|-
| 14:00 - 14:40
| Mobile Apps and how to Pentest them
| Gustavo Sorondo
|-
| 14:40 - 15:10
| CIOs vs CISOs: OWASP al rescate
| Mauro Graziosi
|-
| 15:10 - 15:40
| Pausa para café
|
|-
| 15:40 - 16:20
| Certificate Pinning: ¿tenemos el c...ertificado roto?
| Cristian Borghello
|-
| 16:20 - 16:30
| Agradecimientos y cierre
|
|}

'''Sabado 11 de abril''' 
''Valor del entrenamiento: u$s 250'' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="450" align="center" | Entrenamiento
! width="150" align="center" | Expositor

|-
| 08:00 - 12:00
| Hacking de aplicaciones web basado en OWASP Top 10 (Parte 1)
| Cristian Borghello
|-
| 12:00 - 13:00
| Pausa para almuerzo
|
|-
| 13:00 - 17:00
| Hacking de aplicaciones web basado en OWASP Top 10 (Parte 2)
| Cristian Borghello
|}

===¿Dónde?===
'''Viernes 10''' 
Universidad Nacional del Comahue, Buenos Aires 1400, Neuquén 
[[File:Ubicacion.png|link=https://www.google.com.ar/maps/place/38%C2%B056'26.2%22S+68%C2%B003'15.5%22W/@-38.940623,-68.054305,228m/data=!3m2!1e3!4b1!4m2!3m1!1s0x0:0x0]]
 
'''Sabado 11''' 
Instituto Icono, Santa Fe 355, Neuquén 
[[File:MapaIFES.png|link=https://www.google.com.ar/maps/place/Icono+S.r.l./@-38.9517208,-68.0592463,16z/data=!4m2!3m1!1s0x960a33d10f798455:0xed1c52f760942955?hl=es-419]]

===Afiche para difusión===
[[File:PosterLatamtour2015-Patagonia.jpg|link=https://www.owasp.org/images/6/60/Poster_Latamtour.pdf]]

===Patrocinio===
Los interesados en participar con un stand en el evento y su logo en la página del Tour (entre otras posibilidades), pueden revisar las
[https://www.owasp.org/images/6/67/Latam_Tour_2015_Oportunidades_de_Patrocinio.pdf oportunidades de patrocinio]
 
Cualquier consulta no duden en escribir a [mailto:gaston.toth@owasp.org Gaston Toth] o a [mailto:diego.dinardo@patagoniasec.com.ar Diego Di Nardo].
 

=BUENOS AIRES=

Invitamos a estudiantes, desarrolladores, expertos en seguridad informática y curiosos en general a compartir con la comunidad de OWASP un nuevo evento en Buenos Aires! Será una jornada de charlas técnicas, en un ambiente relajado e ideal para conocer otras personas interesadas en la seguridad en aplicaciones.

=='''Inscripcion'''==

Recuerden que es necesario [https://www.regonline.com/owasplatamtour15argentina '''inscribirse'''] para asistir. La registración es '''completamente gratis''' y es unicamente utilizada para verificar su identidad en la entrada de la Universidad.

== '''Fecha y lugar'''==

24 Abril 2015 - 9am (puntual!) 
[http://www.udemm.edu.ar/ Universidad de la Marina Mercante] 
[https://www.google.com.ar/maps/place/Av+Rivadavia+2258,+Buenos+Aires,+Ciudad+Aut%C3%B3noma+de+Buenos+Aires/@-34.6096561,-58.3984517,17z/data=!3m1!4b1!4m2!3m1!1s0x95bccae91dc7f349:0x3177aaca9808e637 Av. Rivadavia 2258, Ciudad Autonoma de Buenos Aires] 

== '''Charlas'''==

<table width="761" border="1" cellpadding="0" cellspacing="0" >
<tr style="background-color: #30608f; color:#FFF;">
<td>Hora</td>
<td>Titulo</td>
<td>Orador</td>
</tr>
<tr>
<td width="100">9:10</td>
<td width="491">Introducción a OWASP</td>
<td width="200">Fabio Cerullo</td>
</tr>
<tr>
<td width="100">9:35</td>
<td width="491">Steering a Bullet Train</td>
<td width="200">Santiago Kantorowicz</td>
</tr>
<tr>
<td width="100">10:25</td>
<td width="491">Building a High Interaction Honeypot: Implementation and logging techniques</td>
<td width="200">Fernando Catoira</td>
</tr>
<tr>
<td width="100">10:50</td>
<td width="491">Coffee break</td>
<td width="200">n/a</td>
</tr>
<tr>
<td width="100">11:20</td>
<td width="491">Cornucopia, la seguridad es un juego</td>
<td width="200">Leonardo Federico Rosso</td>
</tr>
<tr>
<td width="100">11:45</td>
<td width="491">[https://www.owasp.org/index.php/LatamTour2015/VulnerabilidadesGatewayPago Vulnerabilidades en Gateways de Pago]</td>
<td width="200">[https://www.linkedin.com/in/ariancho Andrés Riancho]</td>
</tr>
<tr>
<td width="100">12:35</td>
<td width="491">Almuerzo</td>
<td width="200">n/a</td>
</tr>
<tr>
<td width="100">13:55</td>
<td width="491">Threat not found!</td>
<td width="200">Sheila Berta</td>
</tr>
<tr>
<td width="100">14:20</td>
<td width="491">Mobile Apps and How To Pentest Them</td>
<td width="200">Gustavo Sorondo</td>
</tr>
<tr>
<td width="100">15:10</td>
<td width="491">Coffee break</td>
<td width="200">n/a</td>
</tr>
<tr>
<td width="100">15:40</td>
<td width="491">Por que la seguridad en el software es importante?</td>
<td width="200">Victor Rojo (HP Fortify)</td>
</tr>
<tr>
<td width="100">16:05</td>
<td width="491">Web Security for Bitcoin Services</td>
<td width="200">Juliano Rizzo</td>
</tr>
</table>

=CHILE=

=='''Santiago: April, 8th-9th 2015'''==

[https://www.owasp.org/index.php/Chile El Capítulo Chileno de OWASP], tiene el agrado de invitar a la conferencia LatamTour2015, con el auspicio de [http://www.duoc.cl/escuela/escuela-de-informatica-y-telecomunicaciones Duoc UC] sede Alonso Ovalle.

OWASP es una organización mundial sin fines de lucro dedicada a identificar y combatir las causas que hacen inseguro el software. Revise nuestra documentación y metodologías en los [[:Category:OWASP_Project|Proyectos OWASP]] donde encontrará valioso material de aplicación práctica en los ambientes corporativos. Asista a los talleres y conferencias del LatamTour y aprenda como sacar provecho a estos recursos de libre acceso.

 
[https://www.regonline.com/owasplatamtour15chile'''HAGA CLICK AQUI PARA REGISTRARSE''']
 
Para asistentes registrados se sortean 5 membresías, que permiten acceder gratis (o con descuento preferente) a eventos y talleres OWASP durante 12 meses.
Inscribase y asegure su confirmación de reserva preferente.
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| style="width:90%" valign="middle" height="40" bgcolor="#4B0082" align="center" colspan="6" | '''DETALLES DE LA CONFERENCIA (Miércoles 8 de Abril en DUOC-UC sede Alonso Ovalle Nro.1586 -Metro Moneda-)'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Horario'''
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Modulo'''
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Ponente'''
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 09:00 - 09:30
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Acreditación
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 09:30 - 10:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Bienvenida y Presentación del Evento
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | DUOC-UC y OWASP-Chile
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Rodrigo Cea Warner. Director de Carrera DUOC-UC. Carlos Allendes Droguett Chapter Leader OWASP Chile.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 10:00 - 10:50
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Bug Bounty, programs reload
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Carlos Ormeño y Freddy Grey (CHILE)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Enfoques e investigación sobre programas de BUG BOUNTY periodico a través de vectores de ataque poco convencionales.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 10:50 - 11:05
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Coffee - Break
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 11:10 - 12:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Analizando tráfico WIFI de smartphones
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Yago F. Hansen (ESPAÑA)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Es seguro utilizar redes WiFi? Intercepción on-line del tráfico wi-fi en conexiones de smartphone y tecnicas de hacking.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 12:00 - 12:40
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Estado transparente, descentralización y confianza ¿Apoyado con Tecnología?
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Esteban Valenzuela Van Treek (Escritor, doctor en Historia, ex alcalde/diputado, Director de Ciencia Política U.A.Hurtado)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" |
*Potenciar la descentralización, regionalismo y trasparencia, apoyándose en la tecnología e internet.
*Panelista Invitado: Larry Vargas Poblete (Ing.Civil Informático y Magister Ciencia Política y Gobierno U.Chile).
|-|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 12:45 - 13:10
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Gestionar la inversión en seguridad con OpenSAMM. Donde Iniciar?
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Carlos Allendes Droguett (CHILE)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Enfoque Técnico y Ecónomico para maximizar el retorno de la inversión en hacking etico, pentesting, desarrollo seguro, análisis del código, pruebas de seguridad.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 13:10 - 14:50
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Break para Almorzar
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 14:50 - 15:40
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hacking efectivo: Desde una credencial hasta el Domain Admin en un solo día
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Ricardo Supo P. (PERU)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Como ganar acceso a credenciales locales de dominio y escalar privilegios hasta obtener un acceso de administrador de dominio.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 15:40 - 16:30
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | HTTPS: Usted, úselo bien.
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Cristián Rojas, CLCERT U.de Chile
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Que riesgos acechan, aunque tengamos instalado SSL/TLS? Año 2014 fue intenso: Heartbleed, POODLE, y errores de implementación como el GOTO FAIL.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 16:30 - 16:40
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Coffee - Break
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 16:40 - 17:20
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Seguridad Incorporada al Ciclo de Desarrollo
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Alejandro Johannes (CHILE)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Principios y fundamentos para disponer de una gestión con seguridad y calidad en el Ciclo de Desarrollo de aplicaciones.
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 17:20 - 18:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Importancia de la seguridad en el software
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hector Takami (MEXICO)
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | En lo que respecta a la seguridad del software, dar importancia a proyectos como OpenSAMM e integrar estas sugerencias en un modelo de seguridad aplicativa.
|-
|-
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 18:00 - 18:10
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Cierre del evento
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Sorteo de Premios
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | membresías OWASP (entre inscritos)
|-
|}
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#4B0082;" colspan="6" | '''TALLERES (Jueves 9 de Abril)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Tema'''
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Jueves 9 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Jueves 9 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir
| valign="middle" bgcolor="#EEEEEE" align="left" | Por Definir

|}
 

=COLOMBIA=

== '''Bucaramanga: April, 14th 2015''' ==

[http://www.upb.edu.co/bucaramanga Universidad Pontifica Bolivariana] 
Seccional Bucaramanga 
Autopista Piedecuesta Kilometro 7 
Bloque K - 605 
[http://goo.gl/EwBpTu'''Mapa :: Ubicación del evento''']
 
[[File:Owasp_upb_2015.jpg|link=https://www.google.com/maps/place/Universidad+Pontificia+Bolivariana+Seccional+Bucaramanga/@7.0389574,-73.071732,14z/data=!4m2!3m1!1s0x8e6840b36653b9c5:0x4dcdbc55842151df]]
 
 
===REGISTRO===
Recuerde que el ingreso al evento es TOTALMENTE GRATUITO, sólo debe registrarse previamente. 
--REGISTRO CERRADO POR CUPO LLENO--


 
 

===CONFERENCIAS===

<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Register from 7:30 a.m.</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">8:00</td>
<td width="212" bgcolor="#CED7EF">Diego Ademir Duarte Santana</td>
<td width="482" bgcolor="#CED7EF">OWASP ASVS 2.0 Web Application Standard</td>
</tr>
<tr>
<td style="text-align: center">9:00</td>
<td>Jhon César Arango Serna</td>
<td>IPv6 Ventaja o Amenaza</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">10:00</td>
<td bgcolor="#CED7EF">Hugo Armando Rodriguez Vera</td>
<td bgcolor="#CED7EF">Protección de Datos Personales, infracción y consecuencias</td>
</tr>
<tr>
<td bgcolor="#FFFFFF" style="text-align: center">11:00</td>
<td bgcolor="#FFFFFF">MundoHacker</td>
<td bgcolor="#FFFFFF">Ciberespionaje y Cibercrimen as a Service</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Lunch</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">14:00</td>
<td bgcolor="#CED7EF">German Alonso Suárez Guerrero</td>
<td bgcolor="#CED7EF">OWASP Proactive Controls</td>
</tr>
<tr>
<td style="text-align: center">15:00</td>
<td>Ronald Escalona</td>
<td>Hardening del Servidor Web, enfoque práctico con jail/chroot para entornos multisitios</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">16:00</td>
<td bgcolor="#CED7EF">Javier Orlando Mantilla P</td>
<td bgcolor="#CED7EF">Seguridad en desarrollo de aplicaciones web usando Apache Tomee</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Finish Event</td>
</tr>
</table>
 
Tendremos algunas otras sorpresas más relacionadas con SEGURIDAD INFORMÁTICA Y CIBERSEGURIDAD !!!!
 
 
Transmisión en VIVO por [[File:oficinavirtual.png|link=http://www.renata.edu.co]][[File:renata.png|link=http://www.renata.edu.co]] 
 
 

===PATROCINIO===
Los interesados en participar con un stand en el evento y su logo en la página del Tour (entre otras posibilidades), pueden revisar las
[https://www.owasp.org/images/6/67/Latam_Tour_2015_Oportunidades_de_Patrocinio.pdf oportunidades de patrocinio]
 
Cualquier consulta pueden escribir a [mailto:dadhemir@owasp.org Diego Ademir Duarte Santana] .
 

===MEMORIAS===
Ya se encuentran publicadas las memorias del evento pulsando [http://goo.gl/RlcIiW aquí.]
 

=BOLIVIA=

[[File:Santa.jpg]]
 
 
 
Lugar: Universidad NUR
 
Dirección: Av. Banzer, Victorino Rivero 100
 
Santa Cruz de la Sierra, Bolivia
 
Fecha: 17 y 18 de abril del 2015
 
 
[[File:Mapa.jpg]]

[https://www.regonline.com/owasplatamtour15bolivia'''REGISTARTION IS NOW OPEN''']
 
 
 

'''Viernes 17 de abril''' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="150" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País

|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Registro - Acreditación
|-
! 08:30 - 09:00
| colspan="3" style="text-align: center;" | Video: Mundo Hacker - Proyecto OWASP
|-
! 09:00 - 09:50
| Jaime Iván Mendoza Ribera
| Análisis de vulnerabilidades web
| Santa Cruz, Bolivia
|-
! 09:50 - 10:40
| Cesar Roberto Cuenca Díaz
| Desarrollo Seguro Principios y Buenas Prácticas.
| La Paz, Bolivia
|-
! 10:40 - 11:30
| Juan Pablo Barriga Sapiencia
| Riegos en TI
| Sucre, Bolivia
|-
! 11:30 - 12:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 12:00 - 12:50
| Walter Camama Menacho
| MiTM a nivel de browser con beef y metasploit
| Trinidad, Bolivia
|-
! 12:50 - 13:40
| Leonardo Camilo Quenta Alarcon
| Seguridad en sistemas financieros. Buenas prácticas de programación y aplicación de pruebas de penetración OWASP
| La Paz , Bolivia
|-
! 13:40 - 14:30
| Deyvi Bustamante Perez
| Exploit development
| Sucre , Bolivia
|-
! 14:30 - 15:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 15:00 - 15:50
| Gonzalo Nina Mamani
| Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web
| Cochabamba , Bolivia
|-
! 15:50 - 16:40
| Hernán Marcelo Leytón Balderrama
| Seguridad en los Satélites de Comunicación
| Potosí, Bolivia
|-
! 16:40 - 17:30
| Juan Alberto Fajardo Canaza
| WAF Testing Framework
| Potosí, Bolivia
|}

'''Sabado 18 de abril''' 
{| class="wikitable"
|-
! width="100" align="center" | Hora
! width="150" align="center" | Expositor
! width="450" align="center" | Conferencia
! width="150" align="center" | País

|-
! 08:00 - 08:30
| colspan="3" style="text-align: center;" | Acreditación
|-
! 09:00 - 09:50
| Alex Villegas y Roller Ibanez
| Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301
| Cochabamba, Bolivia
|-
! 09:50 - 10:40
| Richard Villca Apaza
| Rompiendo el modelo de negocios: Debugging Android Apps
| La Paz, Bolivia
|-
! 10:40 - 11:30
| Cristhian Lima Saravia
| Framework Pleni
| Cochabamba, Bolivia
|-
! 11:30 - 12:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 12:00 - 12:50
| Elvin Vidal Mollinedo Mencia
| Los 7 pecados de un desarrollador Web
| Santa Cruz, Bolivia
|-
! 12:50 - 13:40
| Alvaro Machaca Tola
| Análisis de riesgos aplicando la metodología OWASP
| La Paz , Bolivia
|-
! 13:40 - 14:30
| Erick Calderon Mostajo
| Herramientas de Aprendizaje OWASP
| La Paz , Bolivia
|-
! 14:30 - 15:00
| colspan="3" style="text-align: center;" | Pausa para café
|-
! 15:00 - 15:50
| Daniel Torres Sandi
| Headers seguros en HTTP
| Sucre , Bolivia
|-
! 15:50 - 16:50
| Gabriel Labrada Hernandez (MEXICO)
| Seguridad en Hardware y los servicios en la nube
| Mexico
|-
! 16:50 - 17:50
| Jacobo Tibaquira
| Atacando al atacante (DRAGON JAR)
| Colombia
|}

=COSTA RICA=
== '''San Jose: April, 21st 2015''' ==

El evento se va a llevar a cabo en el auditorio de la Ciudad de la Investigación de la Universidad de Costa Rica. [http://goo.gl/Y64lZG'''Ver Dirección exacta''']

[[File:Mapa-ucr-auditorio.png|800px]]

 

=== REGISTRO ===
Recuerde que el ingreso al evento es totalmente gratuito, sólo debe registrarse previamente. '''El comprobante de registro será solicitado en el momento de ingresar en el auditorio'''.
[https://www.regonline.com/owasplatamtour15costarica'''Pulse aquí para registrarse en el evento.''']
 

=== CONFERENCIAS-LISTADO DE EXPOSITORES===

'''Martes 21 de Abril'''
 
<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Recepción y Registro De 7:30 am a 8:00 am</td>
</tr>
<tr>
<td width="150" bgcolor="#CED7EF" style="text-align: center">8:00 am a 8:10 am</td>
<td width="212" bgcolor="#CED7EF">OWASP Costa Rica & UCR</td>
<td width="500" bgcolor="#CED7EF">Palabras de Bienvenida</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">8:10-9:00 am</td>
<td bgcolor="#CED7EF">Fabio Cerullo , Dublin Irlanda</td>
<td bgcolor="#CED7EF">Keynote: Desarrollo Rápido y Seguro de Aplicaciones – Es posible tener las dos cosas? </td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">09:00-09:50 am</td>
<td bgcolor="#CED7EF"> Eduardo Rojas</td>
<td bgcolor="#CED7EF">Bloques de construcción en la implementación estratégica del software seguro con SAMM</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">09:50-10:10am</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">10:10-11:00 am</td>
<td bgcolor="#CED7EF">Mauricio Oviedo</td>
<td bgcolor="#CED7EF">Manejo Seguro del DNS</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">11:00-11:50 am</td>
<td bgcolor="#CED7EF">Walter Montes</td>
<td bgcolor="#CED7EF">Buenas prácticas para manejo de autenticación y sesión</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">11:50-1:20 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Almuerzo Libre</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">1:20-2:10 pm</td>
<td bgcolor="#CED7EF">Randall Barnett</td>
<td bgcolor="#CED7EF">Vulnerabilidades encontradas en Sistema de Control de Tráfico Nacional</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">2:15-3:05 pm</td>
<td bgcolor="#CED7EF"> Mario Robles</td>
<td bgcolor="#CED7EF"> Web Application Penetration Testing</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">3:05-3:25 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">3:25-4:15 pm</td>
<td bgcolor="#CED7EF">Alejandro Castañeda </td>
<td bgcolor="#CED7EF">¿Por qué la seguridad en el software es importante?</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:15-5:00 pm</td>
<td bgcolor="#CED7EF">Bertin Bervis</td>
<td bgcolor="#CED7EF">MiTM Attacks con DNS proxys a escala WAN el modem bajo ataque</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">5:00 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Palabras de cierre</td>
</tr>
</table>
 

=== PATROCINIO===
Los interesados en participar con un stand en el evento y su logo en la página del Tour (entre otras posibilidades), pueden revisar las oportunidades de patrocinio
Cualquier consulta pueden contactar a [mailto:michael.hidalgo@owasp.org Michael Hidalgo].

=GUATEMALA=

== '''Ciudad de Guatemala: April, 21st-22nd 2015''' ==
===CONFERENCIAS===
Día 1
Abril 21
 
 
<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Register from 1:30 p.m.</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">2:00</td>
<td width="212" bgcolor="#CED7EF">Camilo Fernandez</td>
<td width="482" bgcolor="#CED7EF">OWASP Tools</td>
</tr>
<tr>
<td style="text-align: center">3:00</td>
<td>Pablo Barrera</td>
<td>La verdad sobre los ataques de denegación de servicio</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:30</td>
<td bgcolor="#CED7EF">Oscar Rodas y Marco To</td>
<td bgcolor="#CED7EF">Avances en investigación sobre seguridad informática</td>
</tr>
<tr>
<td bgcolor="#FFFFFF" style="text-align: center">5:15</td>
<td bgcolor="#FFFFFF">Elder Guerra</td>
<td bgcolor="#FFFFFF">Un verdadero análisis de riesgos</td>
</tr>
</table>
 
Día 2
Abril 22
 
 
<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Register from 1:30 p.m.</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">2:00 PM Salon 1</td>
<td width="212" bgcolor="#CED7EF">Luis Cordon</td>
<td width="482" bgcolor="#CED7EF">Web Pentesting</td>
</tr>
<tr>
<td style="text-align: center">2:00 PM Salon 2</td>
<td>Pablo Barrera</td>
<td>Server Hardening: métodos de aseguramiento de tu servidor web y los datos que contiene</td>
</tr>
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:00PM</td>
<td bgcolor="#CED7EF">Concurso de Ethical Hacking</td>
</tr>
</table>
Tendremos algunas otras sorpresas más relacionadas con SEGURIDAD INFORMÁTICA Y CIBERSEGURIDAD !!!!
 
 
 
 

[http://www.galileo.edu/ Universidad Galileo] 
4A Calle 7a. Avenida, calle Dr. Eduardo Suger Cofiño, 
Ciudad de Guatemala 01010 
 
[https://www.regonline.com/owasplatamtour15guatemala'''REGISTRATION IS NOW OPEN''']
 
 
 

=PERU=

== '''Lima: April, 17th-18th 2015''' ==
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" height="30" style="background:#CCCCEE;" colspan="2" | '''TALLERES Y CONFERENCIAS'''
|-
| align="center" style="background:#EEEEEE;" colspan="2" |
== '''OWASP Latam Tour - Lima 2015''' ==

'''Viernes 17 de Abril''' ''(Talleres)'' '''Sábado 18 de Abril''' ''(Conferencia)''
|-
| valign="center" bgcolor="#CCCCEE" align="center" colspan="2" | '''Descripción y Objetivo'''
|-
| valign="left" height="80" bgcolor="#EEEEEE" align="left" colspan="2" | '''OWASP LATAM TOUR,''' es una gira por Latino América que promueve la seguridad en aplicaciones web en diversas instituciones como: universidades, organismos gubernamentales, empresas de TI y entidades financieras; buscando crear conciencia sobre la seguridad en las aplicaciones y puedan tomar decisiones informadas sobre los verdaderos riesgos de seguridad.

*Además del OWASP Top 10, la mayoría de los [[:Category:OWASP_Project|Proyectos OWASP]] no son ampliamente utilizados en los ambientes corporativos. En la mayoría de los casos esto no es debido a una falta de calidad en los proyectos o la documentación disponible, sino por desconocer donde se ubicarán en un Ecosistema de Seguridad de Aplicaciones empresarial.

*Esta serie de talleres y conferencias tienen como objetivo cambiar esta situación proporcionando una explicación sobre los proyectos OWASP más maduros y listos para ser utilizados en el ámbito empresarial.
|}
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''RESUMEN DE ACTIVIDADES'''
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''CONFERENCIAS (Sábado 18) 100% Gratuitas'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Sábado 18 de Abril'''
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Universidad Tecnológica del Perú - Esquina Av. 28 de Julio con Av. Petit Thouars, Lima – Perú'''
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''TALLERES (Viernes 17)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Viernes 17 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' Calle Dean Valdivia 148 - Piso 13 - San Isidro '''
|-
|}
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
| align="center" style="background: #4B0082;" colspan="2" | '''LIMA PERÚ'''
|-
| align="center" style="background:#4B0082;" colspan="2" | '''TALLERES (Viernes 17)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Viernes 17 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' Calle Dean Valdivia 148 - Piso 13 - San Isidro '''
|-
| align="center" style="background:#EEEEEE;" colspan="2" | Durante todo el OWASP LatamTour se estarán realizando talleres de capacitación dictados por destacados profesionales en la materia. 
'''Duración:''' 8 horas 
'''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General). 
'''Para mayor informacion : ''' Por favor comuníquese al correo owasp.peru@gmail.com 
'''Link de Registro''': ['''REGISTRATION IS CLOSE'''] ''' 
|-
| align="center" style="background: #4B0082;" colspan="2" | '''TALLER 1'''
|-
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Taller'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''De 0 a Ninja con Metasploit'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Dragonjar.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | El taller de 0 a Ninja con Metasploit, busca detallar el uso de la herramienta Metasploit ampliamente utilizada en auditorias de seguridad por profesionales del área, desde su instalación y puesta a punto para el trabajo, hasta el uso de sus funciones para llevar a feliz término una auditoria en seguridad.
De 0 a Ninja DragonJAR

Este curso, altamente práctico, tiene una duración de 8 horas en las que los asistentes podrán acortar la curva de aprendizaje, gracias a la transmisión de conocimientos y experiencias de los docentes, altamente calificados, con el fin de que una vez finalizado el taller puedas aplicar los conocimientos adquiridos.

Duración: 1 día (8 horas)
====De 0 a Ninja con Metasploit====
*Introducción a Metasploit
*Introducción a la línea de comandos de Metasploit
*Trabajando con Metasploit y sus componentes (msfconsole, msfcli, msfgui, msfweb, msfpayload, msfencode, msfvenom, etc…)
*Etapas de un Pentesting y las herramientas para realizarlas incluidas en Metasploit
*Post-Explotación, ya tengo shell … ¿ahora qué hago?
*Trabajando con Meterpreter
*Trabajo colaborativo usando Armitage/Cobalt Strike
*Generando el informe ¿Alguna tool que pueda ayudarme?

 
'''Perﬁl del Trainer : '''

'''[https://twitter.com/DragonJAR/ Jaime Andrés Restrepo (DragonJAR)]''', es Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference, Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática más grandes de habla hispana y referente en el sector. 

* '''Duracion:''' 8 horas (El taller iniciará a las 9:00am y finaliza a las 6:00pm)

* '''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General).

* '''Para mayor información : ''' Por favor comuníquese al correo owasp.peru@gmail.com

* '''Link de Registro''': ['''REGISTRO CERRADO '''] ''' 
|-
| align="center" style="background: #4B0082;" colspan="2" | '''TALLER 2'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Taller'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Introducción a la Seguridad en Aplicaciones Web'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cerullof.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | El contenido está alineado al OWASP TOP 10, documento referente sobre los riesgos de seguridad de las Aplicaciones Web.
'''Formato:'''

El taller combina la teoría y ejercicios prácticos. Los participantes aprenderán a identificar vulnerabilidades en sitios web específicamente diseñados con vulnerabilidades y errores de código, explotándolas utilizando diferentes técnicas y herramientas libres en un entorno controlado.

'''Audiencia:''' IT Staff, Managers, System Architects, Information Security Professionals, Developers, QA Professionals.

'''Duración:''' 1 día - (8 horas)

'''Material a entregar:'''

- Material Impreso 
- OWASP Live CD incluyendo las herramientas utilizadas. 
- Certificado de Participación (CPE Points) 

==== Introducción a la Seguridad de Aplicaciones Web. ====
Los temas a cubrir son:

*Introducción a la Seguridad de Aplicaciones Web.
*Tecnología usada en aplicaciones web.
*Áreas críticas en una aplicación web.
**Inyección
**Cross Site Scripting (XSS).
**Broken Authentication and Session Management.
**Insecure Direct Object References.
**Cross Site Request Forgery.
**Security Misconfiguration.
**Insecure Cryptographic Storage.
**Failure to restrict URL Access.
**Insufficient Transport Layer Protection.
**Unvalidated Redirects and Forwards.
**Secure Software Development Lifecycle (SSDLC)
 
'''Perﬁl del Trainer : '''

'''[https://twitter.com/fcerullo Fabio Cerullo]''', más de 10 años de experiencia en el campo de seguridad de la información adquirida a través de una amplia gama de industrias. Como CEO y Fundador de Cycubix, que ayuda a los clientes de todo el mundo mediante la evaluación de la seguridad de las aplicaciones desarrolladas internamente o por terceros, la definición de políticas y normas, la implementación de iniciativas de gestión de riesgos, así como la capacitación sobre el tema para desarrolladores, auditores , ejecutivos y profesionales de la seguridad. 
Como miembro de la Fundación OWASP, Fabio es parte de la Comisión de Educación Global, cuya misión es proporcionar formación y servicios educativos a las empresas, los gobiernos y las instituciones educativas en la seguridad de la aplicación, y ha sido nombrado Líder del Capítulo OWASP Irlanda desde principios de 2010.
Posee una Maestría en Ingeniería Informática por la UCA y se ha obtenido los certificados CISSP y CSSLP por (ISC)2. 

* '''Duracion:''' 8 horas (El taller iniciará a las 09:00 am y finaliza a las 6:00pm)

* '''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General).

* '''Para mayor información : ''' Por favor comuníquese al correo owasp.peru@gmail.com

* '''Link de Registro''': [https://www.regonline.com/owasplatamtour15lima'''REGISTRO CERRADO!'''] ''' 
|-
|}
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#4B0082;" colspan="2" | '''CONFERENCIAS (Sábado 18)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | '''Sábado 18 de Abril'''
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Universidad Tecnológica del Perú - Esquina Av. 28 de Julio con Av. Petit Thouars, Lima – Perú'''
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''Precio y Registro'''
|-
| align="center" style="background:#EEEEEE;" colspan="2" | El ingreso a las conferencias es '''100% GRATUITO''' - El proceso de registro lo podrá ubicar en el siguiente link : 
[https://www.regonline.com/owasplatamtour15lima'''EL REGISTRO SE ENCUENTRA ABIERTO!''']
 
|-
| align="center" style="background:#CCCCEE;" colspan="2" | '''Promociones'''
|-
| valign="left" height="80" bgcolor="#EEEEEE" align="center" colspan="2" | OFERTA ESPECIAL - Durante todo el OWASP Latam Tour el costo de la membresía anual es de solamente U$D 20. Utilice el código de descuento "LATAM" durante el proceso de registro electrónico como miembro individual en el enlace disponible a continuación. 
[http://myowasp.force.com/memberappregion Hágase MIEMBRO DE OWASP AQUÍ] 
'''Si usted aun no es miembro OWASP, por favor considere unirse a nuestra organización.'''
|}
 

{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| style="width:90%" valign="middle" height="40" bgcolor="#CCCCEE" align="center" colspan="6" | '''DETALLES DE LA JORNADA'''
|-
| style="width:30%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | ''' Horario '''
| style="width:35%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Tema'''
| style="width:35%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Ponente'''
|-
| style="width:30%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 9:30 am
| style="width:35%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Acreditación
| style="width:35%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | OWASP PERU
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 10:00 am
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Presentación del evento
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Representante OEA - Pablo Zuñiga 
OWASP Perú [https://twitter.com/John_Vargas John Vargas]
|-
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 10:30 am
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Cyber War in Web and Mobile Applications
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/stinguer88 Jesús González (ESP)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 11:20 am
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Seguridad en Aplicaciones Móviles
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" |[https://twitter.com/pITea_security Juan Pablo Quiñe (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 12:10 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Por qué la seguridad en el software es importante?
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Sergio Carranza (PER)
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 14:40 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Todos a Sh3ll34r!
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/gabsitus Gabriel Lazo (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 15:30 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Desarrollo Rápido y Seguro de Aplicaciones - ¿Es posible tener las dos cosas?
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/fcerullo Fabio Cerullo (ARG)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 16:20 pm
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Browser hijacking 4 fun'n profit!
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/NoxOner Josué Rojas (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 17:00
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Desde una Credencial hasta el Domain Admin en un solo día
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/ricardosupo Ricardo Supo (PER)]
|-
| style="width:30%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 17:40
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hackeando Carros en Latinoamérica
| style="width:35%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [https://twitter.com/DragonJAR Andrés Restrepo (COL) (DragonJAR)]
|}

=URUGUAY=

== '''Conferencia: 15 de abril de 2015 ''' ==
El evento más importante de la región llega nuevamente a Uruguay, OWASP Latam tour 2015!. Expositores internacionales estarán presentando conferencias sobre los temas más importantes en Seguridad en Aplicaciones.

[https://www.regonline.com/owasplatamtour15uruguay'''PARA REGISTRARSE AL EVENTO HAGA CLIC AQUI! - SIN COSTO''']

'''¿Dónde?'''

[http://www.ucu.edu.uy/ Universidad Católica del Uruguay] 
Av. 8 de Octubre 2738 
Sala Bauza 
Montevideo 11600 Montevideo, Uruguay. 
Ver en [https://www.google.com/maps/place/Universidad+Cat%C3%B3lica+del+Uruguay/@-34.888694,-56.159218,17z/data=!3m1!4b1!4m2!3m1!1s0x0:0x13508c3340b76e45 Google Maps]
 

== '''Conferencias: Miércoles 15 de abril''' ==
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| style="width:90%" valign="middle" height="40" bgcolor="#4B0082" align="center" colspan="6" | '''DETALLES DE LA CONFERENCIA - Miércoles 15 de Abril (Universidad Católica del Uruguay)'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Horario'''
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Expositor'''
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Titulo'''
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 17:30 - 18:00
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Acreditación
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 18:00 - 18:45
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Cristian Borghello
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | [[media:OWASPLatamTour2015_Seguridad-Certificados-Digitales.pdf | Seguridad en Certificados Digitales - Certificate Pinning]]
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Esta charla pretende demostrar en vivo la explotación de distintas vulnerabilidades en una aplicación móvil de tal manera que podamos revisar las causas y consecuencias, ademas recomendar las medidas de seguridad pertinentes.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 18:45 - 19:15
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Edgar Salazar
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Inseguridad en Aplicaciones Móviles
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Esta charla pretende demostrar en vivo la explotación de distintas vulnerabilidades en una aplicación móvil de tal manera que podamos revisar las causas y consecuencias, ademas recomendar las medidas de seguridad pertinentes.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | 19:15 - 19:30
| style="width:27%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" | Coffee - Break
| style="width:23%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
| style="width:40%" valign="middle" height="30" bgcolor="#CCCCEE" align="center" colspan="0" |
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 19:30 - 20:15
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Carlos Eduardo Santiago
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | (IN)secure Development
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Forget Injection and XSS
This lecture aims to demonstrate simple traps in web development, and bad practices in addition to some factors are likely to cause critical security flaws. We will analyze some cases and demonstrate ways to mitigate and correct such failures.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 20:15 - 21:00
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Ricardo Supo Picón
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Hacking Efectivo
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Los dominios windows están presentes en gran cantidad de organizaciones, en estos la autenticación de usuarios esta disponible en muchos servicios. En esta charla analizaremos los distintos tipos de autenticación de windows y como obtener credenciales locales y de dominio así mismo como a partir de una sola credencial se puede obtener más credenciales hasta obtener un administrador de dominio. Así mismo se detallará como poder realizar intrusiones masivas en red de computadores que ayudan a que un sólo hacker pueda multiplicar sus actividades y conseguir su objetivo en un sólo día, presentación de la herramienta Domainator.
|-|-
| style="width:10%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | 21:00 - 21:30
| style="width:27%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Viviana Basso
| style="width:23%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | ¿Porque la seguridad en software es tan importante?
| style="width:40%" valign="middle" height="30" bgcolor="#EEEEEE" align="center" colspan="0" | Enfoque Tecnico y Ecónomico para maximizar el retorno de la inversión en hacking etico, pentesting, desarrollo seguro, análisis del código, pruebas de seguridad.
|-
| style="width:10%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | 21:30 - 22:00
| style="width:27%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Cierre del evento
| style="width:23%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" | Sorteo de Premios
| style="width:40%" valign="middle" height="30" bgcolor="#CCEEEE" align="center" colspan="0" |
|-
|}
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" style="background:#4B0082;" colspan="6" | '''TALLERES (Jueves 16 de Abril)'''
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Tema'''
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
| style="width:30%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Detalles'''
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Jueves 16 de Abril '''
| valign="middle" bgcolor="#EEEEEE" align="left" | TRAINING 1: Hacking de aplicaciones web basado en OWASP Top 10 (Costo: USD 250) by Cristian Borghello
| valign="middle" bgcolor="#EEEEEE" align="left" | Universidad Católica del Uruguay
| valign="middle" bgcolor="#EEEEEE" align="left" | Los desarrolladores son una raza extraña. Los Pentesters viven en una burbuja. Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web y a los Pentesters a probar aplicaciones web de forma adecuada.

Objetivos: - Conocer OWASP Top 10 (quick summary) - Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador y del Pentester - Conocer recomendaciones desde el punto de vista del Pentester - Conocer recomendaciones desde el punto de vista del Desarrollador

Orientado a desarrolladores, pentesters y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

|}

[https://www.regonline.com/owasplatamtour15uruguay'''PARA REGISTRARSE AL EVENTO HAGA CLIC AQUI! - SIN COSTO''']

== '''Trainings: Jueves 16 de abril de 8am a 5pm''' ==

=== TRAINING 1: Hacking de aplicaciones web basado en OWASP Top 10 (Costo: USD 250) ===

'''Instructor:''' Cristian Borghello

Los desarrolladores son una raza extraña. Los Pentesters viven en una burbuja. Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web y a los Pentesters a probar aplicaciones web de forma adecuada.

Objetivos: - Conocer OWASP Top 10 (quick summary) - Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador y del Pentester - Conocer recomendaciones desde el punto de vista del Pentester - Conocer recomendaciones desde el punto de vista del Desarrollador

Orientado a desarrolladores, pentesters y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

[https://www.regonline.com/owasplatamtour15uruguay'''PARA INSCRIBIRSE HAGA CLIC AQUI!''']

=VENEZUELA=

== '''Caracas: April, 24th 2015''' ==
[[File:Owaspbanner24.png| center |Owaspbanner24.png ]]
 

== Registro ==
El registro es totalmente gratis, nos complacería mucho que nos acompañaras este día.

Te esperamos!!!

[https://www.regonline.com/owasplatamtour15venezuela'''REGISTRATE AQUI''']
 
 

== UBICACIÓN ==

[http://www.ucv.ve/ Universidad Central de Venezuela] 
Facultad de Ciencias 
Auditórium Tobías Lasser 
Paseo Los Ilustres Urb. Valle Abajo. 
1040 Caracas 
 

[[File:UbicacionLatamCaracas.png]]

== LISTADO DE SPEAKERS ==

<table width="804" border="0">
<tr>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Registro 8:30 am</td>
</tr>
<tr>
<td width="96" bgcolor="#CED7EF" style="text-align: center">9:00 am</td>
<td width="212" bgcolor="#CED7EF">OWASP Venezuela & UCV</td>
<td width="482" bgcolor="#CED7EF">Palabras de Bienvenida</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">9:15-9:55 am</td>
<td bgcolor="#CED7EF"> Jair Garcia</td>
<td bgcolor="#CED7EF" >Hacking Etico: Cacería de Vulnerabilidades</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">10:00-9:35 am</td>
<td bgcolor="#CED7EF"> Randy Ortega</td>
<td bgcolor="#CED7EF">Sessión Hijacking: Peligro en la web</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">10:40-11:10am</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">11:15-11:50 am</td>
<td bgcolor="#CED7EF">Michael Hidalgo (Costa Rica)</td>
<td bgcolor="#CED7EF">Ataques de denegación de servicio a través de expresiones regulares: De la explotación a la corrección</td>
</tr>

<tr>
<td bgcolor="#FBF1D7" style="text-align: center">12:00-1:30 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Almuerzo Libre</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">1:35-2:10 pm</td>
<td bgcolor="#CED7EF">Josmell Chavarri</td>
<td bgcolor="#CED7EF">Conociendo al Enemigo: Honeypots</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">2:15-2:40 pm</td>
<td bgcolor="#CED7EF" > Rodrigo Bravo y Eliezer Romero</td>
<td bgcolor="#CED7EF" > Programación Segura en Python</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">2:45-3:20 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Coffee Break</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">3:35-4:10 pm</td>
<td bgcolor="#CED7EF">Maximiliano Anlonzo (Uruguay) </td>
<td bgcolor="#CED7EF">Peligro: software en construcción</td>
</tr>
<tr>
<td bgcolor="#CED7EF" style="text-align: center">4:15-4:40 pm</td>
<td bgcolor="#CED7EF">Carlos Suárez</td>
<td bgcolor="#CED7EF">Beef como framework de explotación xss</td>
</tr>
<tr>
<td bgcolor="#FBF1D7" style="text-align: center">4:45-5:00 pm</td>
<td colspan="3" bgcolor="#FBF1D7" style="text-align: center">Palabras de cierre</td>
</tr>
</table>

=SPONSORS=

==We are looking for Sponsors for the Latam Tour 2015==
 

This is a truly unique opportunity to increase your brand recognition as a company dedicated to the highest standards of professional technology & security in the Latin-America region but also internationally throughout the world while supporting the continued activities conducted by OWASP worldwide.
 
 

* ''' Sponsorship benefits for organizations specializing in IT & Security:'''

** Opportunity to use the latest technological trends for professional training / development
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your business development strategy with leading information from the security industry
** Get networking and headhunting opportunities with world-class specialists and professionals
** Get the chance to interact with high-need discerning users to improve product development
** Increase your image as a professional company through this unique branding opportunity
 
 
* '''Sponsorship benefits for organizations utilizing the internet in their business:'''

** Opportunity to increase the international brand awareness and conduct business networking
** Strengthen your company strategy by learning the latest trends in web software security
** Improve your service development by understanding the latest trends in security issues & risks
** Contribute to information society as a company by developing safe and secure services
** Get the chance to interact with high-need discerning users to improve product development
** Opportunity to brand your company as one that focuses on the highest standards in technology

Make your company part of the conversation. Become a sponsor of the tour today! [https://www.owasp.org/images/5/5f/Latam_Tour_2015_Sponsorship_Opportunities.pdf'''SPONSOR OPPORTUNITIES''']
[https://www.owasp.org/images/6/67/Latam_Tour_2015_Oportunidades_de_Patrocinio.pdf '''OPORTUNIDADES DE PATROCINIO''']

= CTF =

Do you have an interest in security or are you a security professional? Either way, you have something to gain from the OWASP Security Shepherd LATAM Tour CTF. OWASP Security Shepherd has been designed and implemented with the aim of fostering and improving security awareness among a varied skill-set demographic. This project enables users to learn or to improve upon existing manual penetration testing skills. The OWASP Security Shepherd leaders have created a customised version of the project for this CTF. This CTF is for everyone and anyone, so check it out! Just ensure that you follow these rules when you take part;

== CTF Rules ==
- No Denial of Service Attacks. 
- No automated Scans (you might get banned). 
- Do not generate large amounts of traffic. 
- No destructive attacks (don't delete stuff). 
- Confine hacking on the tasks that are explicitly free to hack. 
- If you find a cheat or trick to solve things more easily, please report it for Bonus Points. 
- The organizers might change the rules throughout the challenge. 
- Participants breaking these rules might be penalized or excluded from the competition. 

Play in the CTF now: [http://latam.securityshepherd.eu http://latam.securityshepherd.eu]

Follow the CTF twitter feed for CTF news: [https://twitter.com/LatamTourCtf https://twitter.com/LatamTourCtf]

Enjoying the CTF? Want to contribute? More information on the project here: [https://www.owasp.org/index.php/OWASP_Security_Shepherd https://www.owasp.org/index.php/OWASP_Security_Shepherd]

<headertabs />

{{:LatamTour2015 Sponsors}}

Patagonia/Latam Tour 2015 Slides

2015-04-17T20:16:37Z

Cristian Borghello:

==Diapositivas==

{| class="wikitable"
|-
! width="100" align="center" | Link
! width="450" align="center" | Conferencia
! width="150" align="center" | Expositor
|-
| [[media:TourPatagonia2015_Presentacion.pdf | Descargar ]]
| Presentacion
| Gaston Toth
|-
| [[media:TourPatagonia2015_Vulnerabilidades_en_Gateways_de_Pago.pdf | Descargar ]]
| Vulnerabilidades en Gateways de Pago
| Andres Riancho
|-
| [[media:TourPatagonia2015_Aspectos_Legales_de_la_Seguridad_Informática.pdf | Descargar ]]
| Aspectos Legales de la Seguridad informática
| Marcelo Campetella
|-
| [[media:TourPatagonia2015_Mobile_Apps_and_How_to_Pentest_Them.pdf | Descargar ]]
| Mobile Apps and how to Pentest them
| Gustavo Sorondo
|-
| [[media:TourPatagonia2015_CIO_vs_CISO.pdf | Descargar ]]
| CIOs vs CISOs: OWASP al rescate
| Mauro Graziosi
|-
| [[media:OWASPLatamTour2015_Seguridad-Certificados-Digitales.pdf | Descargar ]]
| Seguridad en Certificados Digitales - Certificate Pinning
| Cristian Borghello
|-
| Subiendo...
| Subiendo...
| Claudio Caracciolo
|}

File:OWASPLatamTour2015 Seguridad-Certificados-Digitales.pdf

2015-04-17T20:15:47Z

Cristian Borghello: Cuál es la situación de los certificados digitales, las autoridades de certificación y las nuevas medidas de seguridad en la criptografía

Cuál es la situación de los certificados digitales, las autoridades de certificación y las nuevas medidas de seguridad en la criptografía

Application Security Guide For CISOs

2015-04-01T01:52:30Z

Cristian Borghello:

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= The CISO Guide =

'''Application Security Guide For CISOs''' Version 1.0 was published in November 2013.

La [[Guía de Seguridad en Aplicaciones para CISOs]] versión 1.0 (Español) fue publicada en marzo de 2015.

== Contents ==

* Preamble
** [[CISO AppSec Guide: Introduction|Introduction]]
** [[CISO AppSec Guide: Executive Summary|Executive Summary]]
** [[CISO AppSec Guide: Foreword|Foreword]]
* The CISO Guide
** [[CISO AppSec Guide: Reasons for Investing in Application Security|Part I: Reasons for Investing in Application Security]]
** [[CISO AppSec Guide: Criteria for Managing Application Security Risks|Part II: Criteria for Managing Application Security Risks]]
** [[CISO AppSec Guide: Application Security Program|Part III: Application Security Program]]
** [[CISO AppSec Guide: Metrics For Managing Risks & Application Security Investments|Part IV: Metrics For Managing Risks & Application Security Investments]]
* Supporting Information
** [[CISO AppSec Guide: References|References]]
** [[CISO AppSec Guide: About OWASP|About OWASP]]
* Appendix
** [[CISO AppSec Guide: Value of Data & Cost of an Incident|Appendix A: Value of Data & Cost of an Incident]]
** [[CISO AppSec Guide: Quick Reference to OWASP Guides & Projects|Appendix B: Quick Reference to OWASP Guides & Projects]]

== Licensing ==

The OWASP Application Security Guide For CISOs is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/3.0/ Creative Commons Attribution-ShareAlike 3.0 license], so you can copy, distribute and transmit the work, and you can adapt it, and use it commercially, but all provided that you attribute the work and if you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

=Credits =

== Project lead and main author ==

* [[User:Marco-cincy|Marco Morana]]

== Other contributors ==

Co-authors, contributors and reviewers:

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Versión en español ==

La [[Guía de Seguridad en Aplicaciones para CISOs]] (Español) fue editada y corregida por Mauro Gioino, Mauro Graziosi y [[User:Cristian_Borghello|Cristian Borghello]].

=== Traductores al español ===

* Daniel J. Fernández
* Franco Cian
* German Chiovetta
* Javier Albano
* Lucas Barbero
* [[User:Walter_Heffel|Walter Heffel]]

= Further Information =

== CISO guide ==

The OWASP CISO Guide is also available as
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html At cost print on demand monochrome book].

For full information about the Application Security Guide For CISOs Project, including mailing list details, the forward plan, how to contribute, the project status, and alternative media, see the project page:
* [https://www.owasp.org/index.php/OWASP_Application_Security_Guide_For_CISOs_Project CISO Guide Project Page]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía de Seguridad en Aplicaciones para CISOs

2015-03-19T00:03:28Z

Cristian Borghello:

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

[[Application Security Guide For CISOs]] Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Objetivos ==

La guía ayuda a los CISOs a gestionar los riesgos de seguridad en las aplicaciones, teniendo en cuenta la exposición de las amenazas emergentes y los requisitos de cumplimiento. Sus objetivos son:

* Hacer visible a los CISOs la seguridad en las aplicaciones
* Asegurar la conformidad de las aplicaciones con normas de seguridad, privacidad y protección de datos
* Priorizar la corrección de las vulnerabilidades basándose en la exposición al riesgo para el negocio
* Proporcionar orientación para construir y administrar los procesos de seguridad de la aplicación
* Analizar las ciberamenazas e identificar las contramedidas
* Crear programas de capacitación de seguridad para las aplicaciones, desarrolladores y administradores
* Medir y gestionar los riesgos de seguridad en las aplicaciones y los procesos

== Contenido ==

* Preámbulo
* Objetivos y destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía está bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)]. Se puede copiar, distribuir, difundir, adaptar y utilizar este trabajo comercialmente, pero todo lo que se atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por [[User:Mauro_D._Gioino|Mauro Gioino]], [https://ar.linkedin.com/in/mgraziosi/es Mauro Graziosi] y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovetta
* Javier Albano
* Lucas Barbero
* [[User:Walter_Heffel|Walter Heffel]]

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía de Seguridad en Aplicaciones para CISOs

2015-03-18T23:59:49Z

Cristian Borghello: /* Objetivos */

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

[[Application Security Guide For CISOs]] Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Objetivos ==

La guía ayuda a los CISOs a gestionar los riesgos de seguridad en las aplicaciones, teniendo en cuenta la exposición de las amenazas emergentes y los requisitos de cumplimiento. Sus objetivos son:

* Hacer visible a los CISOs la seguridad en las aplicaciones
* Asegurar la conformidad de las aplicaciones con normas de seguridad, privacidad y protección de datos
* Priorizar la corrección de las vulnerabilidades basándose en la exposición al riesgo para el negocio
* Proporcionar orientación para construir y administrar los procesos de seguridad de la aplicación
* Analizar las ciberamenazas e identificar las contramedidas
* Crear programas de capacitación de seguridad para las aplicaciones, desarrolladores y administradores
* Medir y gestionar los riesgos de seguridad en las aplicaciones y los procesos

== Contenido ==

* Preámbulo
* Objetivos
* Destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía llega a usted bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)], así que puede copiar, distribuir y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por [[User:Mauro_D._Gioino|Mauro Gioino]], [https://ar.linkedin.com/in/mgraziosi/es Mauro Graziosi] y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovetta
* Javier Albano
* Lucas Barbero
* [[User:Walter_Heffel|Walter Heffel]]

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía de Seguridad en Aplicaciones para CISOs

2015-03-18T23:58:00Z

Cristian Borghello:

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

[[Application Security Guide For CISOs]] Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Objetivos ==

La guía ayuda a a los CISOs a gestionar los riesgos de seguridad en las aplicaciones teniendo en cuenta la exposición de las amenazas emergentes y los requisitos de cumplimiento. Los objetivos de esta guía son:

* Hacer visible a los CISOs la seguridad en las aplicaciones
* Asegurar la conformidad de las aplicaciones con normas de seguridad, privacidad y protección de datos
* Priorizar la corrección de las vulnerabilidades basándose en la exposición al riesgo para el negocio
* Proporcionar orientación para construir y administrar los procesos de seguridad de la aplicación
* Analizar las ciberamenazas e identificar las contramedidas
* Crear programas de capacitación de seguridad para las aplicaciones, desarrolladores y administradores
* Medir y gestionar los riesgos de seguridad en las aplicaciones y los procesos

== Contenido ==

* Preámbulo
* Objetivos
* Destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía llega a usted bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)], así que puede copiar, distribuir y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por [[User:Mauro_D._Gioino|Mauro Gioino]], [https://ar.linkedin.com/in/mgraziosi/es Mauro Graziosi] y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovetta
* Javier Albano
* Lucas Barbero
* [[User:Walter_Heffel|Walter Heffel]]

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía de Seguridad en Aplicaciones para CISOs

2015-03-17T22:22:46Z

Cristian Borghello: /* Versión en español */

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

[[Application Security Guide For CISOs]] Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Contenido ==

* Preámbulo
* Objetivos
* Destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía llega a usted bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)], así que puede copiar, distribuir y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por [[User:Mauro_D._Gioino|Mauro Gioino]], [https://ar.linkedin.com/in/mgraziosi/es Mauro Graziosi] y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovett
* Javier Albano
* Lucas Barbero
* Walter Heffel

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

File:Owasp-ciso-guide es.pdf

2015-03-17T18:32:28Z

Cristian Borghello: Cristian Borghello uploaded a new version of "File:Owasp-ciso-guide es.pdf"

Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español)

Guía de Seguridad en Aplicaciones para CISOs

2015-03-17T01:18:46Z

Cristian Borghello:

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

[[Application Security Guide For CISOs]] Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Contenido ==

* Preámbulo
* Objetivos
* Destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía llega a usted bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)], así que puede copiar, distribuir y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por [[User:Mauro_D._Gioino|Mauro Gioino]], Mauro Graziosi y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovett
* Javier Albano
* Lucas Barbero
* Walter Heffel

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía de Seguridad en Aplicaciones para CISOs

2015-03-16T13:43:19Z

Cristian Borghello:

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

[[Application Security Guide For CISOs]] Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Contenido ==

* Preámbulo
* Objetivos
* Destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía llega a usted bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)], así que puede copiar, distribuir y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por Mauro Gioino, Mauro Graziosi y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovett
* Javier Albano
* Lucas Barbero
* Walter Heffel

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

File:Owasp-ciso-guide es.pdf

2015-03-16T13:42:40Z

Cristian Borghello: Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español)

Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español)

Application Security Guide For CISOs

2015-03-14T18:18:43Z

Cristian Borghello: Spanish version linked

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= The CISO Guide =

'''Application Security Guide For CISOs''' Version 1.0 was published in November 2013.

La [[Guía de Seguridad en Aplicaciones para CISOs]] versión 1.0 (Español) fue publicada en marzo de 2015.

== Contents ==

* Preamble
** [[CISO AppSec Guide: Introduction|Introduction]]
** [[CISO AppSec Guide: Executive Summary|Executive Summary]]
** [[CISO AppSec Guide: Foreword|Foreword]]
* The CISO Guide
** [[CISO AppSec Guide: Reasons for Investing in Application Security|Part I: Reasons for Investing in Application Security]]
** [[CISO AppSec Guide: Criteria for Managing Application Security Risks|Part II: Criteria for Managing Application Security Risks]]
** [[CISO AppSec Guide: Application Security Program|Part III: Application Security Program]]
** [[CISO AppSec Guide: Metrics For Managing Risks & Application Security Investments|Part IV: Metrics For Managing Risks & Application Security Investments]]
* Supporting Information
** [[CISO AppSec Guide: References|References]]
** [[CISO AppSec Guide: About OWASP|About OWASP]]
* Appendix
** [[CISO AppSec Guide: Value of Data & Cost of an Incident|Appendix A: Value of Data & Cost of an Incident]]
** [[CISO AppSec Guide: Quick Reference to OWASP Guides & Projects|Appendix B: Quick Reference to OWASP Guides & Projects]]

== Licensing ==

The OWASP Application Security Guide For CISOs is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/3.0/ Creative Commons Attribution-ShareAlike 3.0 license], so you can copy, distribute and transmit the work, and you can adapt it, and use it commercially, but all provided that you attribute the work and if you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

=Credits =

== Project lead and main author ==

* [[User:Marco-cincy|Marco Morana]]

== Other contributors ==

Co-authors, contributors and reviewers:

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Versión en español ==

La [[Guía de Seguridad en Aplicaciones para CISOs]] (Español) fue editada y corregida por Mauro Gioino, Mauro Graziosi y [[User:Cristian_Borghello|Cristian Borghello]].

= Further Information =

== CISO guide ==

The OWASP CISO Guide is also available as
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html At cost print on demand monochrome book].

For full information about the Application Security Guide For CISOs Project, including mailing list details, the forward plan, how to contribute, the project status, and alternative media, see the project page:
* [https://www.owasp.org/index.php/OWASP_Application_Security_Guide_For_CISOs_Project CISO Guide Project Page]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Guía de Seguridad en Aplicaciones para CISOs

2015-03-14T14:22:23Z

Cristian Borghello: Crecion del documento sobre la guia CISO en español

__NOTOC__

{| width="100%" cellspacing="0" cellpadding="10"
|- valign="top"
| width="70%" style="background:#d9e9f9" |

= Guía de Seguridad en Aplicaciones para CISOs =

The CISO Guide Version 1.0 (English) was published in November 2013.

La Guía de Seguridad en Aplicaciones para CISOs versión 1.0 (Español) fue publicada en marzo de 2015.

== Contenido ==

* Preámbulo
* Objetivos
* Destinatarios
* Resumen Ejecutivo
* Parte I: Razones para invertir en Seguridad de aplicaciones
** I-1 Resumen ejecutivo
** I-2 Introducción
** I-3 Estándares de Seguridad de la Información, Políticas y Cumplimiento
** I-4 Gestión de riesgos
* Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones
** II-1 Resumen Ejecutivo
** II-2 Introducción
** II-3 Definir el riesgo
** II-4 Priorizar el riesgo global
** II-5 Comprender los factores de Riesgo: Amenazas y Contramedidas
** II-6 Mitigando los riesgos inherentes a las nuevas tecnologías de aplicación
* Parte III: Programa de Seguridad de Aplicaciones
** III-1 Resumen Ejecutivo
** III-2 Introducción
** III-3 Abordando las Funciones de seguridad de aplicaciones del CISO
** III-4 Enfocando las actividades de Seguridad en Software y procesos del S-SDLC
** III-5 Cómo elegir los proyectos de OWASP adecuados para su organización
* Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad
** IV-1 Resumen ejecutivo
** IV-2 Introducción
** IV-3 Métricas y objetivos de las mediciones
** IV-4 Métricas de riesgo de seguridad en las aplicaciones
** IV-5 Métricas de Gestión de Seguridad en SDLC
* Apéndice A: Valor de los datos y costo de un incidente
* Apéndice B: Referencia rápida a otras guías y proyectos en OWASP

== Licencia ==

La '''Guía de Seguridad en Aplicaciones para CISOs de OWASP''' es de uso gratuito. Esta Guía llega a usted bajo [http://creativecommons.org/licenses/by-sa/3.0/es/ licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES)], así que puede copiar, distribuir y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.

| width="100" style="max-height:200px;overflow:hidden;background:#fff;margin:0;padding:0;" cellpadding="0" |

<div style="width:100px;max-height:300px;border:0;margin:0;padding-left:6px;padding-right:6px;overflow:visible;">[[File:CISO-Guide-bar.jpg|link=]]</div>

| width="30%" style="background:#eeeeee" |

= Créditos =

== Líder y autor principal ==

* [[User:Marco-cincy|Marco Morana]]

== Versión en español ==

La presente versión en español fue editada y corregida por Mauro Gioino, Mauro Graziosi y [[User:Cristian_Borghello|Cristian Borghello]].

= Otros contribuyentes =

== Inglés ==

* [[User:Tobias|Tobias Gondrom]]
* [[Eoin_Keary|Eoin Keary]]
* [[User:Andylew|Andy Lewis]]
* [[User:Stephanie_Tan|Stephanie Tan]]
* [[User:Clerkendweller|Colin Watson]]

== Español ==

* Daniel J. Fernández
* Franco Cian
* German Chiovett
* Javier Albano
* Lucas Barbero
* Walter Heffel

= Descargar Guía CISO =

La Guía de Seguridad en Aplicaciones para CISOs está disponible en:
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide.pdf [EN] Download PDF]
* [https://www.owasp.org/index.php/File:Owasp-ciso-guide_es.pdf [ES] Descarga PDF]
* [http://www.lulu.com/shop/owasp-foundation/application-security-guide-for-cisos-v10-nov-2013/paperback/product-21288580.html [Copia impresa con costo] ]

== CISO survey ==

The contributors to the [[OWASP CISO Survey]] also provided invaluable data for this guide.

|}

[[Category:OWASP_Application_Security_Guide_For_CISO_Project]]

Modelado de Amenazas

2014-07-25T15:12:55Z

Cristian Borghello: Cristian Borghello movió la página Threat Modeling/ES a Modelado de Amenazas: Cambio de idiomal al español

= Modelado de amenazas =

==Introducción==

El término '''Modelado de Amenazas''' se ha vuelto bastante popular en los últimos años. Microsoft ha publicado un libro sobre su proceso e incluye al Modelado de Amenazas como una actividad clave en su [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Ciclo de Vida de Desarrollo Seguro (S-SDLC)].

Un modelo de amenazas es en esencia una representación estructurada de toda la información que afecta a la seguridad de una aplicación. En sí, es una vista de la aplicación y su entorno a través de los "anteojos" de la seguridad.

El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de seguridad en las aplicaciones. Además de producir un modelo, los esfuerzos para un modelado de amenazas típico también producen una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.

==Objetivos del Modelado de Amenazas==

El modelado de amenazas es un procedimiento para optimizar la seguridad de la red/aplicaciones/Internet mediante la identificación de objetivos y vulnerabilidades, y luego definir las contramedidas para prevenir o mitigar los efectos de las amenazas al sistema.

Una '''amenaza''' es un evento potencial indeseable o real que puede ser malicioso (como un ataque DoS) o accidental (fallo en un dispositivo de almacenamiento). El modelado de amenazas es una actividad planificada para la identificación y evaluación de las amenazas y vulnerabilidades en las aplicaciones.

==Modelado de Amenazas a lo largo del Ciclo de Vida==

El modelado de amenazas se aplica mejor de forma continua a lo largo de un proyecto de desarrollo de software. El proceso es esencialmente el mismo pero en diferentes niveles de abstracción, aunque la información se vuelve más y más granular durante todo el ciclo de vida. Lo ideal es que un modelo de amenazas de alto nivel debe estar definido en la fase de planificación, y luego refinado a lo largo del ciclo de vida. A medida que se agregan más detalles al sistema, se crean y se exponen a nuevos vectores de ataque. El proceso de modelado de riesgos en curso debe examinar, diagnosticar y tratar estas amenazas.

El refinar el sistema para las nuevas amenazas a las que se estará expuesto es una parte natural del proceso. Por ejemplo, al seleccionar una tecnología en particular, como Java por ejemplo, hay que asumir la responsabilidad de identificar las nuevas amenazas que se crean por esa elección. Incluso las opciones de implementación, tales como el uso de expresiones regulares para una validación, introducen nuevas amenazas potenciales a tratar.

==Modelado de Amenazas - Pasos genéricos==

Para que exista una amenaza para una aplicación, tiene que haber una combinación donde la probabilidad y el impacto en conjunto sean suficientemente importantes como para hacer algo al respecto. A continuación se presenta un borrador de una metodología genérica para el modelado de amenazas:

* Alcance de la evaluación
* Modelado del sistema
* Identificación de amenazas
* Identificación de vulnerabilidades
* Examinación del historial de amenazas
* Evaluación del impacto en el negocio
* Desarrollo de un plan de respuestas ante amenazas a la seguridad

Para comprender si una aplicación es lo suficientemente segura o no, hay que buscar combinaciones de estos ingredientes que conducen hacia las amenazas reales. El verdadero truco para el modelado de amenazas es no perder el tiempo en las amenazas que son demasiado inverosímiles o demasiado intrascendentes. Se debe tener cuidado con los procesos de modelado de amenazas que son ineficientes debido a la reducción del espacio de búsqueda; de las posibles amenazas para eliminar que son muy poco probables; o de las que tienen un impacto mínimo.

No existe una manera "correcta" para evaluar el espacio de búsqueda de posibles amenazas. Pero hay maneras "equivocadas". El intento por evaluar todas las posibles combinaciones de agentes de amenazas, ataques, vulnerabilidades e impacto, es una pérdida de tiempo y esfuerzo. Existen muchas herramientas automatizadas que toman este enfoque: la recopilación de una gran cantidad de datos y la producción de miles de posibles amenazas. Generalmente es más productivo centrarse en la búsqueda de amenazas con alta probabilidad y alto impacto.

El proceso básico de modelado de amenazas consiste en los siguientes pasos genéricos. El proceso de explorar el espacio de búsqueda es iterativo y constantemente perfeccionado sobre la base de lo que han hecho hasta el momento. Así, por ejemplo, comenzar con todas las vulnerabilidades posibles suele ser inútil, ya que la mayoría de ellas no son atacables por los agentes de amenaza, protegidas por una contramedida o no conducen a una consecuencia directa. Por lo tanto, en general es mejor comenzar con los factores que hacen la diferencia.

* '''Alcance de la evaluación:''' el primer paso siempre es entender lo que está en juego. La identificación de los activos tangibles, como bases de datos o archivos confidenciales o sensible, usualmente es fácil. La comprensión de las capacidades proporcionadas por la aplicación y la valoración de estas es más difícil. Cosas menos concretas, tales como la reputación y el renombre comercial son los más difíciles de medir, pero a menudo son los más críticos.
* '''Identificar agentes de amenaza y posibles ataques:''' una parte fundamental del modelado de amenazas es una caracterización de los diferentes grupos de personas que podrían ser capaces de atacar a la aplicación. Estos grupos deben incluir elementos internos y externos, y la realización de ambos, errores involuntarios y ataques maliciosos.
* '''Entender contramedidas existentes:''' el modelo debe incluir las contramedidas existentes.
* '''Identificar las vulnerabilidades explotables:''' una vez que se tiene una comprensión de la seguridad en la aplicación, luego se podrán analizar las nuevas vulnerabilidades. La búsqueda es para las vulnerabilidades que se relacionan a los posibles ataques y las consecuencias negativas que se han identificado.
* '''Identificar riesgos prioritarios:''' la priorización es todo en el modelado de amenazas ya que siempre hay muchos riesgos que simplemente no merecen ninguna atención. Para cada amenaza, se debe estimar una probabilidad y factor de impacto para determinar el riesgo general o el nivel de gravedad.
* '''Identificar las contramedidas para reducir la amenaza:''' el último paso consiste en identificar las contramedidas para reducir el riesgo a niveles aceptables.

== Beneficios ==

Si se hace bien, el modelado de amenazas proporciona una "línea de visión" clara a través de un proyecto que justifica los esfuerzos de seguridad. El modelado de amenazas permite que las decisiones de seguridad se hagan de manera racional, con toda la información sobre la mesa. La alternativa consiste en tomar decisiones de seguridad instintivas sin apoyo. El proceso de modelado de amenazas, naturalmente, produce un argumento de seguridad que se puede utilizar para explicar y defender la seguridad de una aplicación. Un argumento de aseguramiento comienza con algunas exposiciones de alto nivel, y las justifica ya sea con subexposiciones o evidencias.

== Referencias ==
* [http://blogs.msdn.com/b/threatmodeling/ Microsoft's Application Consulting & Engineering Team's Threat Modeling Blog]
* [http://www.rockyh.net/Posts/Post.aspx?postId=c85d6411-3eb8-4f26-9213-cbd735d01979 RockyH.net Threat Modeling v2]
* [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Microsoft's Security Development Process]

== Artículos relacionados ==
* [https://www.owasp.org/index.php/Application_Threat_Modeling Application Threat Modeling]
* [https://www.owasp.org/index.php/OCRG1.1:Application_Threat_Modeling OCRG1.1:Application Threat Modeling]
* [https://www.owasp.org/index.php/Perform_security_analysis_of_system_requirements_and_design_(threat_modeling) Perform security analysis of system requirements and design (threat modeling)]
* [https://www.owasp.org/index.php/Threat_modeling OWASP Threat modeling]
* [https://www.owasp.org/index.php/Threat_Risk_Modeling OWASP Threat Risk Modeling]

= Aplicación del modelado de amenazas =

== Introducción ==

El modelado de amenazas es un enfoque para el análisis de seguridad de una aplicación. Se trata de un enfoque estructurado que permite identificar, cuantificar y abordar los riesgos de seguridad asociados con una aplicación. El modelado de amenazas no es un enfoque para la revisión de código, pero sí para complementar dicha revisión. La inclusión de modelos de amenazas en el SDLC puede ayudar a garantizar que las aplicaciones se están desarrollando con seguridad incorporada desde el principio.

Esto combinado con la documentación producida como parte del proceso de modelado de amenazas, puede darle al revisor un mayor entendimiento del sistema; le permite ver dónde están los puntos de entrada y las amenazas asociadas con cada uno de estos punto. El concepto de modelado de amenazas no es nuevo, pero se ha producido un cambio de mentalidad en los últimos años. El modelado de amenazas moderno mira el sistema desde la perspectiva de un potencial atacante, a diferencia del punto de vista del defensor. Microsoft ha sido un fuerte defensor del proceso a lo largo de los últimos años. Ellos han hecho del modelado de amenazas un componente central en su SDLC, por lo que afirman que es una de las razones para el aumento de la seguridad de sus productos en los últimos años.

Cuando se realiza análisis de código fuente fuera del SDLC sobre ciertas aplicaciones existentes, los resultados del modelado de amenazas ayuda en la reducción de la complejidad del análisis del código, promoviendo una primera aproximación en profundidad vs la amplitud del primer enfoque. En lugar de revisar todo el código fuente con el mismo enfoque, se puede dar prioridad a la revisión del código de seguridad de los componentes, cuyo modelado de amenazas ha clasificado con amenazas de riesgo alto.

== Pasos del modelado de amenazas ==

El proceso de modelado de amenazas se puede descomponer en 3 pasos de alto nivel:

* '''Paso 1 - Descomponer la aplicación:''' el primer paso en el proceso de modelado de amenazas se ocupa de profundizar el conocimiento de la aplicación y determinar cómo interactúa con entidades externas. Esto implica la creación de casos de uso para entender cómo se utiliza la aplicación, la identificación de puntos de entrada para ver dónde un potencial atacante podría interactuar con la aplicación y la identificación de activos. Por ejemplo: ítems/áreas que el atacante estaría interesado y la identificación de los niveles de confianza que representan los derechos de acceso que la aplicación le otorgará a las entidades externas. Esta información se registra en el documento "Modelo de amenazas" y también se utiliza para realizar los diagramas de flujo de datos (DFDs) para la aplicación. Los DFDs muestran los diferentes caminos a través del sistema, destacando las fronteras de privilegios.

* '''Paso 2 - Determinar y jerarquizar amenazas:''' la identificación de amenazas críticas se realiza con una metodología de categorización de amenazas. Se puede utilizar una categorización de amenazas como [http://msdn.microsoft.com/en-us/library/ee823878%28v=cs.20%29.aspx STRIDE] (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege por sus siglas en inglés), o el marco de seguridad de aplicaciones (''Application Security Framework'' ASF por sus siglas en ingglés) que define las categorías de amenazas tales como auditoría y ''logging'', autenticación, autorización, gestión de configuración, protección de datos almacenados y en tránsito, validación de datos y gestión de excepciones.
El objetivo de la categorización de amenazas es ayudar a identificar tanto las del atacante (STRIDE) como así también desde el punto de vista del defensor (ASF). Los DFDs producidos en el paso 1 ayudan a identificar los posibles objetivos de amenaza desde la perspectiva del atacante, como fuentes de datos, procesos, flujos de datos y la interacción con los usuarios. Estas amenazas se pueden identificar más adelante como las raíces de [http://en.wikipedia.org/wiki/Attack_tree árboles de amenazas]; hay un árbol por cada objetivo de amenaza. Desde el punto de vista defensivo, la categorización ASF ayuda a identificar las amenazas como las debilidades en los controles de seguridad para este tipo de amenazas. Listas con amenazas comunes con ejemplos pueden ayudar en la identificación de este tipo de amenazas. Los casos de uso y abuso pueden ilustrar la forma en que se pueden omitir las medidas de protección existentes, o cuando existe una falta de esa protección. La determinación del riesgo de seguridad para cada amenaza se puede determinar mediante un modelo de riesgos basado en valores como [https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD DREAD] (Damage, Reproducibility, Exploitability, Affected users, Discoverability por sus siglas en inglés) o un modelo de riesgos cualitativo menos subjetivo basado en factores de riesgo generales (por ejemplo, probabilidad e impacto).

* '''Paso 3 - Determinar contramedidas y mitigaciones:''' la falta de protección contra una amenaza podría indicar una vulnerabilidad cuya exposición al riesgo podría mitigarse con la aplicación de una contramedida. Tales medidas pueden identificarse utilizando listas de mapeo amenazas-contramedidas. Una vez que una clasificación de riesgos se corresponde con las amenazas, es posible clasificar las amenazas de mayor a menor riesgo, y dar prioridad a los esfuerzos de mitigación, cómo responder a tales amenazas aplicando las medidas identificadas. La estrategia de mitigación de riesgos puede implicar la evaluación de esas amenazas desde el impacto en el negocio que plantean, hasta la reducción del riesgo. Otras opciones podrían incluir asumir el riesgo, asumiendo que el impacto en el negocio es aceptable debido a controles compensatorios, informando de la amenaza al usuario, mitigando el riesgo que representa a través de la aplicación de un control o, la opción menos preferible, que es no hacer nada.

Cada uno de los pasos anteriores se tienen que documentar, para saber cómo se llevan a cabo. El documento resultante es el modelo de amenazas para la aplicación. En esta guía se utilizará un ejemplo para ayudar a explicar los conceptos detrás del modelado de amenazas. El mismo ejemplo se utilizará a lo largo de cada uno de los 3 pasos como una ayuda para el aprendizaje. El ejemplo que se utilizará es un sitio web de la biblioteca de una universidad. Cada uno de los pasos en el proceso de modelado de amenazas se describen en detalle a continuación.

= Descomponer la Aplicación =

El objetivo de este paso es obtener una comprensión de la aplicación y cómo interactúa con entidades externas. Este objetivo se logra mediante la recopilación y documentación de información. El proceso de recopilación de información se lleva a cabo utilizando una estructura definida claramente, lo que asegura que se recoge la información correcta. Esta estructura también define la forma en que la información debe ser documentada para producir el modelo de amenazas.

== Información del modelado de amenazas ==

El primer elemento del modelo de amenazas es la información relacionada con el modelo de amenaza.
Esto debe incluir lo siguiente:

# Nombre de la aplicación
# Versión de la aplicación
# Descripción: una descripción de alto nivel de la aplicación
# Propietario del documento: el propietario del documento del modelado de amenazas
# Participantes: los participantes involucrados en el proceso de modelado de amenazas para esta aplicación
# Revisor: el revisor/es del modelado de amenazas

{| class="wikitable"
|+ align="center" style="background:DarkSlateBlue; color:white"|'''Modelado de amenazas'''
|-
| Versión de la aplicación || 1.0
|-
| Descripción || La página web de la biblioteca de la universidad es la primera implementación de un sitio web para ofrecer a los bibliotecarios y usuarios de la biblioteca (estudiantes y personal de la universidad), servicios online.
Como es la primera implementación del sitio web, la funcionalidad será limitada. Serán 3 usuarios de la aplicación:
# Estudiantes
# Personal
# Bibliotecarios
El personal y los estudiantes serán capaces de ingresar a buscar libros y el personal pueden solicitar libros. Los bibliotecarios serán capaces de ingresar, agregar libros, agregar usuarios y buscar libros.
|-
| Propietario del documento || Nombre y apellido del responsable
|-
| Participantes || Nombre de los participantes del proyecto
|-
| Revisor || Nombre y apellido del revisor
|}

=== Dependencias externas ===

Las dependencias externas son elementos externos al código de la aplicación que puede suponer una amenaza para la aplicación. Estos elementos todavía suelen estar dentro del control de la organización, pero posiblemente no bajo el control del equipo de desarrollo. La primer área a observar a la hora de investigar las dependencias externas, es cómo se va a implementar la aplicación en entorno de producción, y cuáles son los requisitos en torno a ésta. Esto implica observar cómo está o no destinada la aplicación a ser ejecutada. Por ejemplo, si se espera que la aplicación se ejecute en un servidor que se ha "fortalecido" ''(hardening)'' con el estándar de la organización y se espera que se coloque detrás de un firewall, esta información debe ser documentada en la sección de dependencias externas. Las dependencias externas deben ser documentadas de la siguiente manera:

* ID: un identificador único asignado a la dependencia externa.
* Descripción: una descripción textual de la dependencia externa.

=== Puntos de entrada ===

Los puntos de entrada definen las interfaces a través de la cual los atacantes potenciales pueden interactuar con la aplicación o alimentarla con datos. Para que un atacante potencial ataque una aplicación, deben existir puntos de entrada. Los puntos de entrada de una aplicación se pueden superponer, por ejemplo cada página web en una aplicación web pueden contener varios puntos de entrada. Los puntos de entrada deben ser documentados de la siguiente manera:

* ID: un identificador único asignado al punto de entrada. Esto será utilizado para cruzar de referencia el punto de entrada a las amenazas o vulnerabilidades que se identifiquen. En el caso de los puntos de entrada de la capa, se debe utilizar una notación de mayor-menor.
* Nombre: nombre descriptivo que identifica el punto de entrada y su propósito.
* Descripción: una descripción textual que detalla la interacción o proceso que se produce en el punto de entrada.
* Niveles de confianza: nivel de acceso requerido en el punto de entrada documentado. Serán referencias cruzadas con los niveles de confianza definidos más adelante.

=== Activos ===

El sistema debe tener algo que al atacante le interese; estos elementos/áreas de interés se definen como activos. Los activos son esencialmente los objetivos de una amenaza, es decir, son la razón por las cuales existirán las amenazas. Los activos pueden ser tanto físicos como lógicos (abstractos). Por ejemplo, un activo de una aplicación podría ser una lista de clientes y su información personal, este es un activo físico. Un activo abstracto podría ser la reputación de una organización.
Dichos activos están documentados en el modelo de amenazas de la siguiente manera:

* ID: un identificador único es asignado para identificar cada activo. Esto será utilizado para cruzar referencias del activo con las amenazas o vulnerabilidades que se identifiquen.
* Nombre: nombre descriptivo que identifique claramente el activo.
* Descripción: una descripción textual de lo que es el activo y qué necesita ser protegido.
* Niveles de confianza: el nivel de acceso requerido para acceder al punto de entrada se documenta aquí. Estas serán referencias cruzadas con los niveles de confianza definidos en el siguiente paso.

=== Niveles de confianza ===

Los niveles de confianza representan los derechos de acceso que la aplicación va a conceder a entidades externas. Los niveles de confianza tienen una referencia cruzada con los puntos de entrada y activos. Esto nos permite definir los derechos de acceso o privilegios requeridos en cada punto de entrada, y los necesarios para interactuar con cada activo. Los niveles de confianza están documentados en el modelo de amenaza de la siguiente manera:
* ID: número único asignado a cada nivel de la confianza. Esto se utiliza para cruzar referencia del nivel de confianza con los puntos de entrada y activos.
* Nombre: nombre descriptivo que permita identificar a las entidades externas a las que se le ha concedido este nivel de confianza.
* Descripción: descripción textual del nivel de confianza que detalla la entidad externa que se ha concedido el nivel de confianza.

== Diagrama de flujo de datos (DFD) ==

Toda la información recopilada permite modelar con precisión la aplicación a través del uso de diagramas de flujo de datos (DFDs). El DFD permitirá obtener una mejor comprensión de la aplicación, proporcionando una representación visual de cómo la aplicación procesa los datos.
El enfoque del DFD está en cómo los datos se mueven a través de la aplicación y lo que ocurre con los datos a medida que se mueven. Los DFD son estructuras jerárquicas, por lo que se pueden usar para descomponer la aplicación en subsistemas y subsistemas de nivel inferior. El nivel alto del DFD permitirá aclarar el alcance de la aplicación que se está modelando. Las iteraciones de bajo nivel permitirán centrarse en los procesos involucrados en el tratamiento de datos específicos. Hay un número de símbolos que se utilizan en DFD para el modelado de amenazas.

== Referencias ==
* [https://www.owasp.org/index.php/Application_Threat_Modeling OWASP Application Threat Modeling]

= Contribución =
Esta página es una traducción de [https://www.owasp.org/index.php/Threat_modeling OWASP Threat modeling] y [https://www.owasp.org/index.php/Application_Threat_Modeling OWASP Application Threat Modeling] desarrollada por Mauro Gioino y [https://www.owasp.org/index.php/User:Cristian_Borghello Cristian Borghello].
Si deseas contribuir no dudes en ponerte en contacto.

[[Category:Threat_Modeling]]

Threat Modeling/ES

2014-07-25T15:12:55Z

Cristian Borghello: Cristian Borghello movió la página Threat Modeling/ES a Modelado de Amenazas: Cambio de idiomal al español

#REDIRECT [[Modelado de Amenazas]]

Modelado de Amenazas

2014-07-25T15:11:14Z

Cristian Borghello: Agregadas las contribuciones

User:Cristian Borghello

2014-07-25T15:10:35Z

Cristian Borghello:

Cristian F. Borghello, es Licenciado en Sistemas, desarrollador, [http://www.isc2.org/CISSP Certified Information Systems Security Professional (CISSP)], [https://cloudsecurityalliance.org/education/ccsk/ CCSK (Certificate of Cloud Security Knowledge)] y [http://mvp.microsoft.com/en-us/default.aspx Microsoft MVP Security (Most Valuable Professional)].

Actualmente es Director de [http://www.segu-info.com.ar Segu-Info] y [http://www.segu-kids.org Segu-Kids] y se desempeña como consultor independiente en Seguridad de la Información.

Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información.

Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática, entre ellos en OWASP.

Puedes ponerte en contacto [mailto:cristian.borghello@owasp.org aquí].

Threat modeling/ES

2014-07-25T14:59:38Z

Cristian Borghello:

Contenido de [[Threat_Modeling/ES|Modelado de Amenazas]].

Modelado de Amenazas

2014-07-25T14:58:06Z

Cristian Borghello: Actualizado punto 3

= Modelado de amenazas =

==Introducción==

El término '''Modelado de Amenazas''' se ha vuelto bastante popular en los últimos años. Microsoft ha publicado un libro sobre su proceso e incluye al Modelado de Amenazas como una actividad clave en su [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Ciclo de Vida de Desarrollo Seguro (S-SDLC)].

Un modelo de amenazas es en esencia una representación estructurada de toda la información que afecta a la seguridad de una aplicación. En sí, es una vista de la aplicación y su entorno a través de los "anteojos" de la seguridad.

El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de seguridad en las aplicaciones. Además de producir un modelo, los esfuerzos para un modelado de amenazas típico también producen una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.

==Objetivos del Modelado de Amenazas==

El modelado de amenazas es un procedimiento para optimizar la seguridad de la red/aplicaciones/Internet mediante la identificación de objetivos y vulnerabilidades, y luego definir las contramedidas para prevenir o mitigar los efectos de las amenazas al sistema.

Una '''amenaza''' es un evento potencial indeseable o real que puede ser malicioso (como un ataque DoS) o accidental (fallo en un dispositivo de almacenamiento). El modelado de amenazas es una actividad planificada para la identificación y evaluación de las amenazas y vulnerabilidades en las aplicaciones.

==Modelado de Amenazas a lo largo del Ciclo de Vida==

El modelado de amenazas se aplica mejor de forma continua a lo largo de un proyecto de desarrollo de software. El proceso es esencialmente el mismo pero en diferentes niveles de abstracción, aunque la información se vuelve más y más granular durante todo el ciclo de vida. Lo ideal es que un modelo de amenazas de alto nivel debe estar definido en la fase de planificación, y luego refinado a lo largo del ciclo de vida. A medida que se agregan más detalles al sistema, se crean y se exponen a nuevos vectores de ataque. El proceso de modelado de riesgos en curso debe examinar, diagnosticar y tratar estas amenazas.

El refinar el sistema para las nuevas amenazas a las que se estará expuesto es una parte natural del proceso. Por ejemplo, al seleccionar una tecnología en particular, como Java por ejemplo, hay que asumir la responsabilidad de identificar las nuevas amenazas que se crean por esa elección. Incluso las opciones de implementación, tales como el uso de expresiones regulares para una validación, introducen nuevas amenazas potenciales a tratar.

==Modelado de Amenazas - Pasos genéricos==

Para que exista una amenaza para una aplicación, tiene que haber una combinación donde la probabilidad y el impacto en conjunto sean suficientemente importantes como para hacer algo al respecto. A continuación se presenta un borrador de una metodología genérica para el modelado de amenazas:

* Alcance de la evaluación
* Modelado del sistema
* Identificación de amenazas
* Identificación de vulnerabilidades
* Examinación del historial de amenazas
* Evaluación del impacto en el negocio
* Desarrollo de un plan de respuestas ante amenazas a la seguridad

Para comprender si una aplicación es lo suficientemente segura o no, hay que buscar combinaciones de estos ingredientes que conducen hacia las amenazas reales. El verdadero truco para el modelado de amenazas es no perder el tiempo en las amenazas que son demasiado inverosímiles o demasiado intrascendentes. Se debe tener cuidado con los procesos de modelado de amenazas que son ineficientes debido a la reducción del espacio de búsqueda; de las posibles amenazas para eliminar que son muy poco probables; o de las que tienen un impacto mínimo.

No existe una manera "correcta" para evaluar el espacio de búsqueda de posibles amenazas. Pero hay maneras "equivocadas". El intento por evaluar todas las posibles combinaciones de agentes de amenazas, ataques, vulnerabilidades e impacto, es una pérdida de tiempo y esfuerzo. Existen muchas herramientas automatizadas que toman este enfoque: la recopilación de una gran cantidad de datos y la producción de miles de posibles amenazas. Generalmente es más productivo centrarse en la búsqueda de amenazas con alta probabilidad y alto impacto.

El proceso básico de modelado de amenazas consiste en los siguientes pasos genéricos. El proceso de explorar el espacio de búsqueda es iterativo y constantemente perfeccionado sobre la base de lo que han hecho hasta el momento. Así, por ejemplo, comenzar con todas las vulnerabilidades posibles suele ser inútil, ya que la mayoría de ellas no son atacables por los agentes de amenaza, protegidas por una contramedida o no conducen a una consecuencia directa. Por lo tanto, en general es mejor comenzar con los factores que hacen la diferencia.

* '''Alcance de la evaluación:''' el primer paso siempre es entender lo que está en juego. La identificación de los activos tangibles, como bases de datos o archivos confidenciales o sensible, usualmente es fácil. La comprensión de las capacidades proporcionadas por la aplicación y la valoración de estas es más difícil. Cosas menos concretas, tales como la reputación y el renombre comercial son los más difíciles de medir, pero a menudo son los más críticos.
* '''Identificar agentes de amenaza y posibles ataques:''' una parte fundamental del modelado de amenazas es una caracterización de los diferentes grupos de personas que podrían ser capaces de atacar a la aplicación. Estos grupos deben incluir elementos internos y externos, y la realización de ambos, errores involuntarios y ataques maliciosos.
* '''Entender contramedidas existentes:''' el modelo debe incluir las contramedidas existentes.
* '''Identificar las vulnerabilidades explotables:''' una vez que se tiene una comprensión de la seguridad en la aplicación, luego se podrán analizar las nuevas vulnerabilidades. La búsqueda es para las vulnerabilidades que se relacionan a los posibles ataques y las consecuencias negativas que se han identificado.
* '''Identificar riesgos prioritarios:''' la priorización es todo en el modelado de amenazas ya que siempre hay muchos riesgos que simplemente no merecen ninguna atención. Para cada amenaza, se debe estimar una probabilidad y factor de impacto para determinar el riesgo general o el nivel de gravedad.
* '''Identificar las contramedidas para reducir la amenaza:''' el último paso consiste en identificar las contramedidas para reducir el riesgo a niveles aceptables.

== Beneficios ==

Si se hace bien, el modelado de amenazas proporciona una "línea de visión" clara a través de un proyecto que justifica los esfuerzos de seguridad. El modelado de amenazas permite que las decisiones de seguridad se hagan de manera racional, con toda la información sobre la mesa. La alternativa consiste en tomar decisiones de seguridad instintivas sin apoyo. El proceso de modelado de amenazas, naturalmente, produce un argumento de seguridad que se puede utilizar para explicar y defender la seguridad de una aplicación. Un argumento de aseguramiento comienza con algunas exposiciones de alto nivel, y las justifica ya sea con subexposiciones o evidencias.

== Referencias ==
* [http://blogs.msdn.com/b/threatmodeling/ Microsoft's Application Consulting & Engineering Team's Threat Modeling Blog]
* [http://www.rockyh.net/Posts/Post.aspx?postId=c85d6411-3eb8-4f26-9213-cbd735d01979 RockyH.net Threat Modeling v2]
* [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Microsoft's Security Development Process]

== Artículos relacionados ==
* [https://www.owasp.org/index.php/Application_Threat_Modeling Application Threat Modeling]
* [https://www.owasp.org/index.php/OCRG1.1:Application_Threat_Modeling OCRG1.1:Application Threat Modeling]
* [https://www.owasp.org/index.php/Perform_security_analysis_of_system_requirements_and_design_(threat_modeling) Perform security analysis of system requirements and design (threat modeling)]
* [https://www.owasp.org/index.php/Threat_modeling Threat modeling]
* [https://www.owasp.org/index.php/Threat_Risk_Modeling Threat Risk Modeling]

= Aplicación del modelado de amenazas =

== Introducción ==

El modelado de amenazas es un enfoque para el análisis de seguridad de una aplicación. Se trata de un enfoque estructurado que permite identificar, cuantificar y abordar los riesgos de seguridad asociados con una aplicación. El modelado de amenazas no es un enfoque para la revisión de código, pero sí para complementar dicha revisión. La inclusión de modelos de amenazas en el SDLC puede ayudar a garantizar que las aplicaciones se están desarrollando con seguridad incorporada desde el principio.

Esto combinado con la documentación producida como parte del proceso de modelado de amenazas, puede darle al revisor un mayor entendimiento del sistema; le permite ver dónde están los puntos de entrada y las amenazas asociadas con cada uno de estos punto. El concepto de modelado de amenazas no es nuevo, pero se ha producido un cambio de mentalidad en los últimos años. El modelado de amenazas moderno mira el sistema desde la perspectiva de un potencial atacante, a diferencia del punto de vista del defensor. Microsoft ha sido un fuerte defensor del proceso a lo largo de los últimos años. Ellos han hecho del modelado de amenazas un componente central en su SDLC, por lo que afirman que es una de las razones para el aumento de la seguridad de sus productos en los últimos años.

Cuando se realiza análisis de código fuente fuera del SDLC sobre ciertas aplicaciones existentes, los resultados del modelado de amenazas ayuda en la reducción de la complejidad del análisis del código, promoviendo una primera aproximación en profundidad vs la amplitud del primer enfoque. En lugar de revisar todo el código fuente con el mismo enfoque, se puede dar prioridad a la revisión del código de seguridad de los componentes, cuyo modelado de amenazas ha clasificado con amenazas de riesgo alto.

== Pasos del modelado de amenazas ==

El proceso de modelado de amenazas se puede descomponer en 3 pasos de alto nivel:

* '''Paso 1 - Descomponer la aplicación:''' el primer paso en el proceso de modelado de amenazas se ocupa de profundizar el conocimiento de la aplicación y determinar cómo interactúa con entidades externas. Esto implica la creación de casos de uso para entender cómo se utiliza la aplicación, la identificación de puntos de entrada para ver dónde un potencial atacante podría interactuar con la aplicación y la identificación de activos. Por ejemplo: ítems/áreas que el atacante estaría interesado y la identificación de los niveles de confianza que representan los derechos de acceso que la aplicación le otorgará a las entidades externas. Esta información se registra en el documento "Modelo de amenazas" y también se utiliza para realizar los diagramas de flujo de datos (DFDs) para la aplicación. Los DFDs muestran los diferentes caminos a través del sistema, destacando las fronteras de privilegios.

* '''Paso 2 - Determinar y jerarquizar amenazas:''' la identificación de amenazas críticas se realiza con una metodología de categorización de amenazas. Se puede utilizar una categorización de amenazas como [http://msdn.microsoft.com/en-us/library/ee823878%28v=cs.20%29.aspx STRIDE] (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege por sus siglas en inglés), o el marco de seguridad de aplicaciones (''Application Security Framework'' ASF por sus siglas en ingglés) que define las categorías de amenazas tales como auditoría y ''logging'', autenticación, autorización, gestión de configuración, protección de datos almacenados y en tránsito, validación de datos y gestión de excepciones.
El objetivo de la categorización de amenazas es ayudar a identificar tanto las del atacante (STRIDE) como así también desde el punto de vista del defensor (ASF). Los DFDs producidos en el paso 1 ayudan a identificar los posibles objetivos de amenaza desde la perspectiva del atacante, como fuentes de datos, procesos, flujos de datos y la interacción con los usuarios. Estas amenazas se pueden identificar más adelante como las raíces de [http://en.wikipedia.org/wiki/Attack_tree árboles de amenazas]; hay un árbol por cada objetivo de amenaza. Desde el punto de vista defensivo, la categorización ASF ayuda a identificar las amenazas como las debilidades en los controles de seguridad para este tipo de amenazas. Listas con amenazas comunes con ejemplos pueden ayudar en la identificación de este tipo de amenazas. Los casos de uso y abuso pueden ilustrar la forma en que se pueden omitir las medidas de protección existentes, o cuando existe una falta de esa protección. La determinación del riesgo de seguridad para cada amenaza se puede determinar mediante un modelo de riesgos basado en valores como [https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD DREAD] (Damage, Reproducibility, Exploitability, Affected users, Discoverability por sus siglas en inglés) o un modelo de riesgos cualitativo menos subjetivo basado en factores de riesgo generales (por ejemplo, probabilidad e impacto).

* '''Paso 3 - Determinar contramedidas y mitigaciones:''' la falta de protección contra una amenaza podría indicar una vulnerabilidad cuya exposición al riesgo podría mitigarse con la aplicación de una contramedida. Tales medidas pueden identificarse utilizando listas de mapeo amenazas-contramedidas. Una vez que una clasificación de riesgos se corresponde con las amenazas, es posible clasificar las amenazas de mayor a menor riesgo, y dar prioridad a los esfuerzos de mitigación, cómo responder a tales amenazas aplicando las medidas identificadas. La estrategia de mitigación de riesgos puede implicar la evaluación de esas amenazas desde el impacto en el negocio que plantean, hasta la reducción del riesgo. Otras opciones podrían incluir asumir el riesgo, asumiendo que el impacto en el negocio es aceptable debido a controles compensatorios, informando de la amenaza al usuario, mitigando el riesgo que representa a través de la aplicación de un control o, la opción menos preferible, que es no hacer nada.

Cada uno de los pasos anteriores se tienen que documentar, para saber cómo se llevan a cabo. El documento resultante es el modelo de amenazas para la aplicación. En esta guía se utilizará un ejemplo para ayudar a explicar los conceptos detrás del modelado de amenazas. El mismo ejemplo se utilizará a lo largo de cada uno de los 3 pasos como una ayuda para el aprendizaje. El ejemplo que se utilizará es un sitio web de la biblioteca de una universidad. Cada uno de los pasos en el proceso de modelado de amenazas se describen en detalle a continuación.

= Descomponer la Aplicación =

El objetivo de este paso es obtener una comprensión de la aplicación y cómo interactúa con entidades externas. Este objetivo se logra mediante la recopilación y documentación de información. El proceso de recopilación de información se lleva a cabo utilizando una estructura definida claramente, lo que asegura que se recoge la información correcta. Esta estructura también define la forma en que la información debe ser documentada para producir el modelo de amenazas.

== Información del modelado de amenazas ==

El primer elemento del modelo de amenazas es la información relacionada con el modelo de amenaza.
Esto debe incluir lo siguiente:

# Nombre de la aplicación
# Versión de la aplicación
# Descripción: una descripción de alto nivel de la aplicación
# Propietario del documento: el propietario del documento del modelado de amenazas
# Participantes: los participantes involucrados en el proceso de modelado de amenazas para esta aplicación
# Revisor: el revisor/es del modelado de amenazas

{| class="wikitable"
|+ align="center" style="background:DarkSlateBlue; color:white"|'''Modelado de amenazas'''
|-
| Versión de la aplicación || 1.0
|-
| Descripción || La página web de la biblioteca de la universidad es la primera implementación de un sitio web para ofrecer a los bibliotecarios y usuarios de la biblioteca (estudiantes y personal de la universidad), servicios online.
Como es la primera implementación del sitio web, la funcionalidad será limitada. Serán 3 usuarios de la aplicación:
# Estudiantes
# Personal
# Bibliotecarios
El personal y los estudiantes serán capaces de ingresar a buscar libros y el personal pueden solicitar libros. Los bibliotecarios serán capaces de ingresar, agregar libros, agregar usuarios y buscar libros.
|-
| Propietario del documento || Nombre y apellido del responsable
|-
| Participantes || Nombre de los participantes del proyecto
|-
| Revisor || Nombre y apellido del revisor
|}

=== Dependencias externas ===

Las dependencias externas son elementos externos al código de la aplicación que puede suponer una amenaza para la aplicación. Estos elementos todavía suelen estar dentro del control de la organización, pero posiblemente no bajo el control del equipo de desarrollo. La primer área a observar a la hora de investigar las dependencias externas, es cómo se va a implementar la aplicación en entorno de producción, y cuáles son los requisitos en torno a ésta. Esto implica observar cómo está o no destinada la aplicación a ser ejecutada. Por ejemplo, si se espera que la aplicación se ejecute en un servidor que se ha "fortalecido" ''(hardening)'' con el estándar de la organización y se espera que se coloque detrás de un firewall, esta información debe ser documentada en la sección de dependencias externas. Las dependencias externas deben ser documentadas de la siguiente manera:

* ID: un identificador único asignado a la dependencia externa.
* Descripción: una descripción textual de la dependencia externa.

=== Puntos de entrada ===

Los puntos de entrada definen las interfaces a través de la cual los atacantes potenciales pueden interactuar con la aplicación o alimentarla con datos. Para que un atacante potencial ataque una aplicación, deben existir puntos de entrada. Los puntos de entrada de una aplicación se pueden superponer, por ejemplo cada página web en una aplicación web pueden contener varios puntos de entrada. Los puntos de entrada deben ser documentados de la siguiente manera:

* ID: un identificador único asignado al punto de entrada. Esto será utilizado para cruzar de referencia el punto de entrada a las amenazas o vulnerabilidades que se identifiquen. En el caso de los puntos de entrada de la capa, se debe utilizar una notación de mayor-menor.
* Nombre: nombre descriptivo que identifica el punto de entrada y su propósito.
* Descripción: una descripción textual que detalla la interacción o proceso que se produce en el punto de entrada.
* Niveles de confianza: nivel de acceso requerido en el punto de entrada documentado. Serán referencias cruzadas con los niveles de confianza definidos más adelante.

=== Activos ===

El sistema debe tener algo que al atacante le interese; estos elementos/áreas de interés se definen como activos. Los activos son esencialmente los objetivos de una amenaza, es decir, son la razón por las cuales existirán las amenazas. Los activos pueden ser tanto físicos como lógicos (abstractos). Por ejemplo, un activo de una aplicación podría ser una lista de clientes y su información personal, este es un activo físico. Un activo abstracto podría ser la reputación de una organización.
Dichos activos están documentados en el modelo de amenazas de la siguiente manera:

* ID: un identificador único es asignado para identificar cada activo. Esto será utilizado para cruzar referencias del activo con las amenazas o vulnerabilidades que se identifiquen.
* Nombre: nombre descriptivo que identifique claramente el activo.
* Descripción: una descripción textual de lo que es el activo y qué necesita ser protegido.
* Niveles de confianza: el nivel de acceso requerido para acceder al punto de entrada se documenta aquí. Estas serán referencias cruzadas con los niveles de confianza definidos en el siguiente paso.

=== Niveles de confianza ===

Los niveles de confianza representan los derechos de acceso que la aplicación va a conceder a entidades externas. Los niveles de confianza tienen una referencia cruzada con los puntos de entrada y activos. Esto nos permite definir los derechos de acceso o privilegios requeridos en cada punto de entrada, y los necesarios para interactuar con cada activo. Los niveles de confianza están documentados en el modelo de amenaza de la siguiente manera:
* ID: número único asignado a cada nivel de la confianza. Esto se utiliza para cruzar referencia del nivel de confianza con los puntos de entrada y activos.
* Nombre: nombre descriptivo que permita identificar a las entidades externas a las que se le ha concedido este nivel de confianza.
* Descripción: descripción textual del nivel de confianza que detalla la entidad externa que se ha concedido el nivel de confianza.

== Diagrama de flujo de datos (DFD) ==

Toda la información recopilada permite modelar con precisión la aplicación a través del uso de diagramas de flujo de datos (DFDs). El DFD permitirá obtener una mejor comprensión de la aplicación, proporcionando una representación visual de cómo la aplicación procesa los datos.
El enfoque del DFD está en cómo los datos se mueven a través de la aplicación y lo que ocurre con los datos a medida que se mueven. Los DFD son estructuras jerárquicas, por lo que se pueden usar para descomponer la aplicación en subsistemas y subsistemas de nivel inferior. El nivel alto del DFD permitirá aclarar el alcance de la aplicación que se está modelando. Las iteraciones de bajo nivel permitirán centrarse en los procesos involucrados en el tratamiento de datos específicos. Hay un número de símbolos que se utilizan en DFD para el modelado de amenazas.

[[Category:Threat_Modeling]]

Modelado de Amenazas

2014-07-25T14:48:13Z

Cristian Borghello: Agregado el punto 3

= Modelado de amenazas =

==Introducción==

El término '''Modelado de Amenazas''' se ha vuelto bastante popular en los últimos años. Microsoft ha publicado un libro sobre su proceso e incluye al Modelado de Amenazas como una actividad clave en su [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Ciclo de Vida de Desarrollo Seguro (S-SDLC)].

Un modelo de amenazas es en esencia una representación estructurada de toda la información que afecta a la seguridad de una aplicación. En sí, es una vista de la aplicación y su entorno a través de los "anteojos" de la seguridad.

El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de seguridad en las aplicaciones. Además de producir un modelo, los esfuerzos para un modelado de amenazas típico también producen una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.

==Objetivos del Modelado de Amenazas==

El modelado de amenazas es un procedimiento para optimizar la seguridad de la red/aplicaciones/Internet mediante la identificación de objetivos y vulnerabilidades, y luego definir las contramedidas para prevenir o mitigar los efectos de las amenazas al sistema.

Una '''amenaza''' es un evento potencial indeseable o real que puede ser malicioso (como un ataque DoS) o accidental (fallo en un dispositivo de almacenamiento). El modelado de amenazas es una actividad planificada para la identificación y evaluación de las amenazas y vulnerabilidades en las aplicaciones.

==Modelado de Amenazas a lo largo del Ciclo de Vida==

El modelado de amenazas se aplica mejor de forma continua a lo largo de un proyecto de desarrollo de software. El proceso es esencialmente el mismo pero en diferentes niveles de abstracción, aunque la información se vuelve más y más granular durante todo el ciclo de vida. Lo ideal es que un modelo de amenazas de alto nivel debe estar definido en la fase de planificación, y luego refinado a lo largo del ciclo de vida. A medida que se agregan más detalles al sistema, se crean y se exponen a nuevos vectores de ataque. El proceso de modelado de riesgos en curso debe examinar, diagnosticar y tratar estas amenazas.

El refinar el sistema para las nuevas amenazas a las que se estará expuesto es una parte natural del proceso. Por ejemplo, al seleccionar una tecnología en particular, como Java por ejemplo, hay que asumir la responsabilidad de identificar las nuevas amenazas que se crean por esa elección. Incluso las opciones de implementación, tales como el uso de expresiones regulares para una validación, introducen nuevas amenazas potenciales a tratar.

==Modelado de Amenazas - Pasos genéricos==

Para que exista una amenaza para una aplicación, tiene que haber una combinación donde la probabilidad y el impacto en conjunto sean suficientemente importantes como para hacer algo al respecto. A continuación se presenta un borrador de una metodología genérica para el modelado de amenazas:

* Alcance de la evaluación
* Modelado del sistema
* Identificación de amenazas
* Identificación de vulnerabilidades
* Examinación del historial de amenazas
* Evaluación del impacto en el negocio
* Desarrollo de un plan de respuestas ante amenazas a la seguridad

Para comprender si una aplicación es lo suficientemente segura o no, hay que buscar combinaciones de estos ingredientes que conducen hacia las amenazas reales. El verdadero truco para el modelado de amenazas es no perder el tiempo en las amenazas que son demasiado inverosímiles o demasiado intrascendentes. Se debe tener cuidado con los procesos de modelado de amenazas que son ineficientes debido a la reducción del espacio de búsqueda; de las posibles amenazas para eliminar que son muy poco probables; o de las que tienen un impacto mínimo.

No existe una manera "correcta" para evaluar el espacio de búsqueda de posibles amenazas. Pero hay maneras "equivocadas". El intento por evaluar todas las posibles combinaciones de agentes de amenazas, ataques, vulnerabilidades e impacto, es una pérdida de tiempo y esfuerzo. Existen muchas herramientas automatizadas que toman este enfoque: la recopilación de una gran cantidad de datos y la producción de miles de posibles amenazas. Generalmente es más productivo centrarse en la búsqueda de amenazas con alta probabilidad y alto impacto.

El proceso básico de modelado de amenazas consiste en los siguientes pasos genéricos. El proceso de explorar el espacio de búsqueda es iterativo y constantemente perfeccionado sobre la base de lo que han hecho hasta el momento. Así, por ejemplo, comenzar con todas las vulnerabilidades posibles suele ser inútil, ya que la mayoría de ellas no son atacables por los agentes de amenaza, protegidas por una contramedida o no conducen a una consecuencia directa. Por lo tanto, en general es mejor comenzar con los factores que hacen la diferencia.

* '''Alcance de la evaluación:''' el primer paso siempre es entender lo que está en juego. La identificación de los activos tangibles, como bases de datos o archivos confidenciales o sensible, usualmente es fácil. La comprensión de las capacidades proporcionadas por la aplicación y la valoración de estas es más difícil. Cosas menos concretas, tales como la reputación y el renombre comercial son los más difíciles de medir, pero a menudo son los más críticos.
* '''Identificar agentes de amenaza y posibles ataques:''' una parte fundamental del modelado de amenazas es una caracterización de los diferentes grupos de personas que podrían ser capaces de atacar a la aplicación. Estos grupos deben incluir elementos internos y externos, y la realización de ambos, errores involuntarios y ataques maliciosos.
* '''Entender contramedidas existentes:''' el modelo debe incluir las contramedidas existentes.
* '''Identificar las vulnerabilidades explotables:''' una vez que se tiene una comprensión de la seguridad en la aplicación, luego se podrán analizar las nuevas vulnerabilidades. La búsqueda es para las vulnerabilidades que se relacionan a los posibles ataques y las consecuencias negativas que se han identificado.
* '''Identificar riesgos prioritarios:''' la priorización es todo en el modelado de amenazas ya que siempre hay muchos riesgos que simplemente no merecen ninguna atención. Para cada amenaza, se debe estimar una probabilidad y factor de impacto para determinar el riesgo general o el nivel de gravedad.
* '''Identificar las contramedidas para reducir la amenaza:''' el último paso consiste en identificar las contramedidas para reducir el riesgo a niveles aceptables.

== Beneficios ==

Si se hace bien, el modelado de amenazas proporciona una "línea de visión" clara a través de un proyecto que justifica los esfuerzos de seguridad. El modelado de amenazas permite que las decisiones de seguridad se hagan de manera racional, con toda la información sobre la mesa. La alternativa consiste en tomar decisiones de seguridad instintivas sin apoyo. El proceso de modelado de amenazas, naturalmente, produce un argumento de seguridad que se puede utilizar para explicar y defender la seguridad de una aplicación. Un argumento de aseguramiento comienza con algunas exposiciones de alto nivel, y las justifica ya sea con subexposiciones o evidencias.

== Referencias ==
* [http://blogs.msdn.com/b/threatmodeling/ Microsoft's Application Consulting & Engineering Team's Threat Modeling Blog]
* [http://www.rockyh.net/Posts/Post.aspx?postId=c85d6411-3eb8-4f26-9213-cbd735d01979 RockyH.net Threat Modeling v2]
* [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Microsoft's Security Development Process]

== Artículos relacionados ==
* [https://www.owasp.org/index.php/Application_Threat_Modeling Application Threat Modeling]
* [https://www.owasp.org/index.php/OCRG1.1:Application_Threat_Modeling OCRG1.1:Application Threat Modeling]
* [https://www.owasp.org/index.php/Perform_security_analysis_of_system_requirements_and_design_(threat_modeling) Perform security analysis of system requirements and design (threat modeling)]
* [https://www.owasp.org/index.php/Threat_modeling Threat modeling]
* [https://www.owasp.org/index.php/Threat_Risk_Modeling Threat Risk Modeling]

= Aplicación del modelado de amenazas =

== Introducción ==

El modelado de amenazas es un enfoque para el análisis de seguridad de una aplicación. Se trata de un enfoque estructurado que permite identificar, cuantificar y abordar los riesgos de seguridad asociados con una aplicación. El modelado de amenazas no es un enfoque para la revisión de código, pero sí para complementar dicha revisión. La inclusión de modelos de amenazas en el SDLC puede ayudar a garantizar que las aplicaciones se están desarrollando con seguridad incorporada desde el principio.

Esto combinado con la documentación producida como parte del proceso de modelado de amenazas, puede darle al revisor un mayor entendimiento del sistema; le permite ver dónde están los puntos de entrada y las amenazas asociadas con cada uno de estos punto. El concepto de modelado de amenazas no es nuevo, pero se ha producido un cambio de mentalidad en los últimos años. El modelado de amenazas moderno mira el sistema desde la perspectiva de un potencial atacante, a diferencia del punto de vista del defensor. Microsoft ha sido un fuerte defensor del proceso a lo largo de los últimos años. Ellos han hecho del modelado de amenazas un componente central en su SDLC, por lo que afirman que es una de las razones para el aumento de la seguridad de sus productos en los últimos años.

Cuando se realiza análisis de código fuente fuera del SDLC sobre ciertas aplicaciones existentes, los resultados del modelado de amenazas ayuda en la reducción de la complejidad del análisis del código, promoviendo una primera aproximación en profundidad vs la amplitud del primer enfoque. En lugar de revisar todo el código fuente con el mismo enfoque, se puede dar prioridad a la revisión del código de seguridad de los componentes, cuyo modelado de amenazas ha clasificado con amenazas de riesgo alto.

== Pasos del modelado de amenazas ==

El proceso de modelado de amenazas se puede descomponer en 3 pasos de alto nivel:

* '''Paso 1 - Descomponer la aplicación:''' el primer paso en el proceso de modelado de amenazas se ocupa de profundizar el conocimiento de la aplicación y determinar cómo interactúa con entidades externas. Esto implica la creación de casos de uso para entender cómo se utiliza la aplicación, la identificación de puntos de entrada para ver dónde un potencial atacante podría interactuar con la aplicación y la identificación de activos. Por ejemplo: ítems/áreas que el atacante estaría interesado y la identificación de los niveles de confianza que representan los derechos de acceso que la aplicación le otorgará a las entidades externas. Esta información se registra en el documento "Modelo de amenazas" y también se utiliza para realizar los diagramas de flujo de datos (DFDs) para la aplicación. Los DFDs muestran los diferentes caminos a través del sistema, destacando las fronteras de privilegios.

* '''Paso 2 - Determinar y jerarquizar amenazas:''' la identificación de amenazas críticas se realiza con una metodología de categorización de amenazas. Se puede utilizar una categorización de amenazas como [http://msdn.microsoft.com/en-us/library/ee823878%28v=cs.20%29.aspx STRIDE] (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege por sus siglas en inglés), o el marco de seguridad de aplicaciones (''Application Security Framework'' ASF por sus siglas en ingglés) que define las categorías de amenazas tales como auditoría y ''logging'', autenticación, autorización, gestión de configuración, protección de datos almacenados y en tránsito, validación de datos y gestión de excepciones.
El objetivo de la categorización de amenazas es ayudar a identificar tanto las del atacante (STRIDE) como así también desde el punto de vista del defensor (ASF). Los DFDs producidos en el paso 1 ayudan a identificar los posibles objetivos de amenaza desde la perspectiva del atacante, como fuentes de datos, procesos, flujos de datos y la interacción con los usuarios. Estas amenazas se pueden identificar más adelante como las raíces de [http://en.wikipedia.org/wiki/Attack_tree árboles de amenazas]; hay un árbol por cada objetivo de amenaza. Desde el punto de vista defensivo, la categorización ASF ayuda a identificar las amenazas como las debilidades en los controles de seguridad para este tipo de amenazas. Listas con amenazas comunes con ejemplos pueden ayudar en la identificación de este tipo de amenazas. Los casos de uso y abuso pueden ilustrar la forma en que se pueden omitir las medidas de protección existentes, o cuando existe una falta de esa protección. La determinación del riesgo de seguridad para cada amenaza se puede determinar mediante un modelo de riesgos basado en valores como [https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD DREAD] (Damage, Reproducibility, Exploitability, Affected users, Discoverability por sus siglas en inglés) o un modelo de riesgos cualitativo menos subjetivo basado en factores de riesgo generales (por ejemplo, probabilidad e impacto).

* '''Paso 3 - Determinar contramedidas y mitigaciones:''' la falta de protección contra una amenaza podría indicar una vulnerabilidad cuya exposición al riesgo podría mitigarse con la aplicación de una contramedida. Tales medidas pueden identificarse utilizando listas de mapeo amenazas-contramedidas. Una vez que una clasificación de riesgos se corresponde con las amenazas, es posible clasificar las amenazas de mayor a menor riesgo, y dar prioridad a los esfuerzos de mitigación, cómo responder a tales amenazas aplicando las medidas identificadas. La estrategia de mitigación de riesgos puede implicar la evaluación de esas amenazas desde el impacto en el negocio que plantean, hasta la reducción del riesgo. Otras opciones podrían incluir asumir el riesgo, asumiendo que el impacto en el negocio es aceptable debido a controles compensatorios, informando de la amenaza al usuario, mitigando el riesgo que representa a través de la aplicación de un control o, la opción menos preferible, que es no hacer nada.

Cada uno de los pasos anteriores se tienen que documentar, para saber cómo se llevan a cabo. El documento resultante es el modelo de amenazas para la aplicación. En esta guía se utilizará un ejemplo para ayudar a explicar los conceptos detrás del modelado de amenazas. El mismo ejemplo se utilizará a lo largo de cada uno de los 3 pasos como una ayuda para el aprendizaje. El ejemplo que se utilizará es un sitio web de la biblioteca de una universidad. Cada uno de los pasos en el proceso de modelado de amenazas se describen en detalle a continuación.

= Descomponer la Aplicación =

El objetivo de este paso es obtener una comprensión de la aplicación y cómo interactúa con entidades externas. Este objetivo se logra mediante la recopilación y documentación de información. El proceso de recopilación de información se lleva a cabo utilizando una estructura definida claramente, lo que asegura que se recoge la información correcta. Esta estructura también define la forma en que la información debe ser documentada para producir el modelo de amenazas.

== Información del modelado de amenazas ==

El primer elemento del modelo de amenazas es la información relacionada con el modelo de amenaza.
Esto debe incluir lo siguiente:

# Nombre de la aplicación
# Versión de la aplicación
# Descripción: una descripción de alto nivel de la aplicación
# Propietario del documento: el propietario del documento del modelado de amenazas
# Participantes: los participantes involucrados en el proceso de modelado de amenazas para esta aplicación
# Revisor: el revisor/es del modelado de amenazas

{| class="wikitable"
|+ align="center" style="background:DarkSlateBlue; color:white"|<big>'''Modelado de amenazas'''</big>
|-
| Versión de la aplicación || 1.0
|-
| Descripción || La página web de la biblioteca de la universidad es la primera implementación de un sitio web para ofrecer a los bibliotecarios y usuarios de la biblioteca (estudiantes y personal de la universidad), servicios online.
Como es la primera implementación del sitio web, la funcionalidad será limitada. Serán 3 usuarios de la aplicación:
# Estudiantes
# Personal
# Bibliotecarios
El personal y los estudiantes serán capaces de ingresar a buscar libros y el personal pueden solicitar libros. Los bibliotecarios serán capaces de ingresar, agregar libros, agregar usuarios y buscar libros.
|-
| Propietario del documento || Nombre y apellido del responsable
|-
| Participantes || Nombre de los participantes del proyecto
|-
| Revisor || Nombre y apellido del revisor
|}

[[Category:Threat_Modeling]]

Modelado de Amenazas

2014-07-25T14:11:38Z

Cristian Borghello: Agregado el punto 2

Modelado de Amenazas

2014-07-25T13:52:00Z

Cristian Borghello: Creación del documento

==Introducción==
El término '''Modelado de Amenazas''' se ha vuelto bastante popular en los últimos años. Microsoft ha publicado un libro sobre su proceso e incluye al Modelado de Amenazas como una actividad clave en su [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Ciclo de Vida de Desarrollo Seguro (S-SDLC)].

Un modelo de amenazas es en esencia una representación estructurada de toda la información que afecta a la seguridad de una aplicación. En sí, es una vista de la aplicación y su entorno a través de los "anteojos" de la seguridad.

El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de seguridad en las aplicaciones. Además de producir un modelo, los esfuerzos para un modelado de amenazas típico también producen una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.

==Objetivos del Modelado de Amenazas==

El modelado de amenazas es un procedimiento para optimizar la seguridad de la red/aplicaciones/Internet mediante la identificación de objetivos y vulnerabilidades, y luego definir las contramedidas para prevenir o mitigar los efectos de las amenazas al sistema.

Una '''amenaza''' es un evento potencial indeseable o real que puede ser malicioso (como un ataque DoS) o accidental (fallo en un dispositivo de almacenamiento). El modelado de amenazas es una actividad planificada para la identificación y evaluación de las amenazas y vulnerabilidades en las aplicaciones.

==Modelado de Amenazas a lo largo del Ciclo de Vida==

El modelado de amenazas se aplica mejor de forma continua a lo largo de un proyecto de desarrollo de software. El proceso es esencialmente el mismo pero en diferentes niveles de abstracción, aunque la información se vuelve más y más granular durante todo el ciclo de vida. Lo ideal es que un modelo de amenazas de alto nivel debe estar definido en la fase de planificación, y luego refinado a lo largo del ciclo de vida. A medida que se agregan más detalles al sistema, se crean y se exponen a nuevos vectores de ataque. El proceso de modelado de riesgos en curso debe examinar, diagnosticar y tratar estas amenazas.

El refinar el sistema para las nuevas amenazas a las que se estará expuesto es una parte natural del proceso. Por ejemplo, al seleccionar una tecnología en particular, como Java por ejemplo, hay que asumir la responsabilidad de identificar las nuevas amenazas que se crean por esa elección. Incluso las opciones de implementación, tales como el uso de expresiones regulares para una validación, introducen nuevas amenazas potenciales a tratar.

==Modelado de Amenazas - Pasos genéricos==

Para que exista una amenaza para una aplicación, tiene que haber una combinación donde la probabilidad y el impacto en conjunto sean suficientemente importantes como para hacer algo al respecto. A continuación se presenta un borrador de una metodología genérica para el modelado de amenazas:

* Alcance de la evaluación
* Modelado del sistema
* Identificación de amenazas
* Identificación de vulnerabilidades
* Examinación del historial de amenazas
* Evaluación del impacto en el negocio
* Desarrollo de un plan de respuestas ante amenazas a la seguridad

Para comprender si una aplicación es lo suficientemente segura o no, hay que buscar combinaciones de estos ingredientes que conducen hacia las amenazas reales. El verdadero truco para el modelado de amenazas es no perder el tiempo en las amenazas que son demasiado inverosímiles o demasiado intrascendentes. Se debe tener cuidado con los procesos de modelado de amenazas que son ineficientes debido a la reducción del espacio de búsqueda; de las posibles amenazas para eliminar que son muy poco probables; o de las que tienen un impacto mínimo.

No existe una manera "correcta" para evaluar el espacio de búsqueda de posibles amenazas. Pero hay maneras "equivocadas". El intento por evaluar todas las posibles combinaciones de agentes de amenazas, ataques, vulnerabilidades e impacto, es una pérdida de tiempo y esfuerzo. Existen muchas herramientas automatizadas que toman este enfoque: la recopilación de una gran cantidad de datos y la producción de miles de posibles amenazas. Generalmente es más productivo centrarse en la búsqueda de amenazas con alta probabilidad y alto impacto.

El proceso básico de modelado de amenazas consiste en los siguientes pasos genéricos. El proceso de explorar el espacio de búsqueda es iterativo y constantemente perfeccionado sobre la base de lo que han hecho hasta el momento. Así, por ejemplo, comenzar con todas las vulnerabilidades posibles suele ser inútil, ya que la mayoría de ellas no son atacables por los agentes de amenaza, protegidas por una contramedida o no conducen a una consecuencia directa. Por lo tanto, en general es mejor comenzar con los factores que hacen la diferencia.

* '''Alcance de la evaluación:''' el primer paso siempre es entender lo que está en juego. La identificación de los activos tangibles, como bases de datos o archivos confidenciales o sensible, usualmente es fácil. La comprensión de las capacidades proporcionadas por la aplicación y la valoración de estas es más difícil. Cosas menos concretas, tales como la reputación y el renombre comercial son los más difíciles de medir, pero a menudo son los más críticos.
* '''Identificar agentes de amenaza y posibles ataques:''' una parte fundamental del modelado de amenazas es una caracterización de los diferentes grupos de personas que podrían ser capaces de atacar a la aplicación. Estos grupos deben incluir elementos internos y externos, y la realización de ambos, errores involuntarios y ataques maliciosos.
* '''Entender contramedidas existentes:''' el modelo debe incluir las contramedidas existentes.
* '''Identificar las vulnerabilidades explotables:''' una vez que se tiene una comprensión de la seguridad en la aplicación, luego se podrán analizar las nuevas vulnerabilidades. La búsqueda es para las vulnerabilidades que se relacionan a los posibles ataques y las consecuencias negativas que se han identificado.
* '''Identificar riesgos prioritarios:''' la priorización es todo en el modelado de amenazas ya que siempre hay muchos riesgos que simplemente no merecen ninguna atención. Para cada amenaza, se debe estimar una probabilidad y factor de impacto para determinar el riesgo general o el nivel de gravedad.
* '''Identificar las contramedidas para reducir la amenaza:''' el último paso consiste en identificar las contramedidas para reducir el riesgo a niveles aceptables.

== Beneficios ==

Si se hace bien, el modelado de amenazas proporciona una "línea de visión" clara a través de un proyecto que justifica los esfuerzos de seguridad. El modelado de amenazas permite que las decisiones de seguridad se hagan de manera racional, con toda la información sobre la mesa. La alternativa consiste en tomar decisiones de seguridad instintivas sin apoyo. El proceso de modelado de amenazas, naturalmente, produce un argumento de seguridad que se puede utilizar para explicar y defender la seguridad de una aplicación. Un argumento de aseguramiento comienza con algunas exposiciones de alto nivel, y las justifica ya sea con subexposiciones o evidencias.

== Referencias ==
* [http://blogs.msdn.com/b/threatmodeling/ Microsoft's Application Consulting & Engineering Team's Threat Modeling Blog]
* [http://www.rockyh.net/Posts/Post.aspx?postId=c85d6411-3eb8-4f26-9213-cbd735d01979 RockyH.net Threat Modeling v2]
* [http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Microsoft's Security Development Process]

== Artículos relacionados ==
* [https://www.owasp.org/index.php/Application_Threat_Modeling Application Threat Modeling]
* [https://www.owasp.org/index.php/OCRG1.1:Application_Threat_Modeling OCRG1.1:Application Threat Modeling]
* [https://www.owasp.org/index.php/Perform_security_analysis_of_system_requirements_and_design_(threat_modeling) Perform security analysis of system requirements and design (threat modeling)]
* [https://www.owasp.org/index.php/Threat_modeling Threat modeling]
* [https://www.owasp.org/index.php/Threat_Risk_Modeling Threat Risk Modeling]

[[Category:Threat_Modeling]]

Threat modeling/ES

2014-07-14T22:23:40Z

Cristian Borghello: Created page with "Contenido de '''Modelado de Amenazas''', traducción de Threat Modeling. Category:Threat_Modeling"

Contenido de '''Modelado de Amenazas''', traducción de [[Threat Modeling]].

[[Category:Threat_Modeling]]

Modelado de Amenazas

2014-07-14T22:17:55Z

Cristian Borghello:

Contenido de '''Modelado de Amenazas''', traducción de [[Threat Modeling]].

[[Category:Threat_Modeling]]