Publicado el

Boletín de enero

Un compromiso para el año que comienza

El inicio de un nuevo año es siempre una oportunidad para reflexionar, planificar y adoptar mejores hábitos, también en el mundo digital. Hoy, nuestra vida es más digital que nunca: hacemos gestiones, compras y trámites por Internet, pero no siempre somos conscientes de los riesgos que esto implica para nuestra seguridad y privacidad.

En este primer boletín de 2026, queremos insistir en la importancia de mantener una actitud segura en el mundo digital y es que, la ciberseguridad, no es un tema exclusivo que ataña a las empresas o a los expertos. La ciberseguridad es un compromiso de todas las personas. Proteger nuestros datos y nuestros dispositivos es tan importante como proteger nuestro entorno físico.

 

Jornadas de Ciberseguridad en Primaria

Da comienzo un nuevo año y con él, nuevas iniciativas. En CSIRT-CV estamos felices de poder anunciar que las Jornadas de Concienciación en Ciberseguridad se han iniciado para el nivel de 5º de educación primaria.

El contacto con la tecnología se da cada vez a edades más tempranas y, aunque los menores no suelen disponer aún de dispositivos propios, sí hemos visto la necesidad de capacitarlos para que puedan identificar las amenazas antes de que se presenten.

En concienciaT podrás encontrar toda la información al respecto y si lo que quieres es solicitar las jornadas, solo tienes que escribir a jornadascsirtcv@gva.es para reservar fecha.

¡Date prisa! las plazas son limitadas.

 

V Jornadas de Seguridad Informática SegurXest

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) ha participado en las V Jornadas de Seguridad Informática SegurXest, en las que se han dado cita profesionales del mundo empresarial con la finalidad de divulgar y dar a conocer aspectos relevantes en la ciberseguridad a los estudiantes del Centro Integrado Público de Formación Profesional (CIPFP) del Complejo Educativo de Cheste.

Dos compañeros del centro de ciberseguridad han participado con las siguientes ponencias “No necesito tu contraseña: Tu vida es OpenSource” y “Un mal día en la ciudad: la importancia de la ciberseguridad OT”. Amplía esta información pinchando aquí.

 

Día del Comunity Manager

El cuarto lunes de enero conmemoramos el Día del Comunity Manager, donde reconocemos el trabajo de quienes gestionan la comunicación digital de organizaciones, marcas e instituciones a través de redes sociales y plataformas en línea.

Su trabajo va más allá de publicar contenido; son responsables de proteger la imagen digital de las organizaciones y transmiten mensajes de prevención sobre fraudes, suplantaciones de identidad o estafas frecuentes. En un entorno donde la comunicación digital es inmediata y pública, el Comunity Manager cumple un rol clave para garantizar interacciones seguras y confiables.

En CSIRT-CV sabemos lo importante que es su papel. Si quieres comprobar si eres un Comunity Manager ciberseguro, te invitamos a que consultes nuestro post en el portal de concienciaT. 

 

Día de la Protección de Datos: cuidar la información es cuidarnos

Cada 28 de enero celebramos el Día de la Protección de Datos; un día que nos invita a reflexionar sobre el valor que le damos a nuestra información personal. Desde nombres, documentos, correos electrónicos, fotografías o datos bancarios que compartimos a diario sin ser plenamente conscientes.

Tanto las organizaciones como la sociedad tenemos la responsabilidad de proteger la información que manejamos, utilizando contraseñas robustas, desconfiando de mensajes sospechosos y compartiéndola solo cuando sea realmente necesario.

Clica en este enlace y descárgate la infografía que te ayudará a proteger tu información personal y la de los tuyos.

 

Filtración de datos personales clientes de Endesa

El pasado 13 de enero, el Instituto Nacional de Ciberseguridad (INCIBE), avisó sobre un ciberincidente que afectaba a Endesa. En un comunicado enviado a sus clientes, la compañía de energía reconocía la exposición de datos identificativos e incluso información como medios de pago utilizados (IBAN), aunque confirmó no haberse visto comprometida información de acceso (contraseñas).

Asimismo, Endesa solicitó a sus clientes tomar precauciones y ante la mínima sospecha de suplantación de identidad o fraude, contactar con las Fuerzas y Cuerpos de Seguridad del Estado. Para más información puedes consultar el aviso de INCIBE.

 

Alertas de seguridad

A continuación, destacamos tres de las alertas de seguridad más destacadas del último mes y que puedes encontrar en nuestro portal de CSIRT-CV :

  • Múltiples vulnerabilidades en Chrome y Firefox: Google Chrome y Mozilla Firefox publican actualizaciones de seguridad que corrigen numerosas vulnerabilidades críticas en ambos navegadores.
  • Vulnerabilidad corregida en Adobe: Adobe publica un boletín de seguridad donde corrige una vulnerabilidad crítica; se recomienda actualizar inmediatamente a las versiones corregidas ColdFusion (2025 Update 6 o 2023 Update 18).
  • Parche de seguridad enero Microsoft: en su boletín de enero, Microsoft corrige hasta 114 vulnerabilidades, incluidas tres recientemente descubiertas. Estas vulnerabilidades abarcan desde divulgación de información sensible hasta errores que podrían permitir la ejecución de código remota.

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

Publicado el

Aviso importante para los proveedores de la Generalitat y sus organismos dependientes

Los casos de suplantación de identidad de la Generalitat y sus organismos se multiplican por 16 en el primer semestre de 2025

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) ha registrado un aumento de los casos de intentos de suplantación de identidad de la Generalitat Valenciana o de algún organismo dependiente de ella como, por ejemplo, Turisme Comunitat Valenciana, la Entidad Valenciana de Vivienda y Suelo (EVHA) u hospitales, entre otros y alerta a los proveedores y empresas colaboradoras de la Administración Autonómica para que extremen la precaución y evitar ser víctimas de posibles estafas.

En este sentido, el centro de ciberseguridad, adscrito a la Dirección General de la Tecnologías de la Información y Comunicaciones (DGTIC), ha gestionado un total de 48 incidentes de suplantación de identidad durante los seis primeros meses de este año, frente a los 3 de 2024, lo que supone que este tipo de amenazas cibernéticas se han multiplicado por 16 respecto, es decir, han crecido un 1.500%.

El modus operandi de los ciberdelincuentes es contactar con los proveedores y empresas colaboradoras de la Generalitat a través de correos electrónicos fraudulentos, aparentemente oficiales, con el objetivo de obtener información confidencial, solicitar pagos indebidos o desviar transferencias económicas.

Ante esta situación, CSIRT-CV recuerda a todos los proveedores y empresas colaboradoras de la Generalitat o de sus organismos dependientes que:

    • Las comunicaciones oficiales siempre se realizan a través de canales institucionales y dominios oficiales (@gva.es @evha.es @turismecv.es). Verificar el remitente antes de realizar cualquier acción.

    • Extremar la precaución, sobre todo si se abarcan contratos, facturación, solicitud de información, cambios de domiciliación o de cuentas y pago de los anuncios de licitación, entre otros supuestos.

    • Si duda sobre la legitimidad de un correo, contactar directamente con el organismo supuestamente suplantado por vías diferentes al correo electrónico para contrastar la información.

    • Reportar el correo sospechoso a su Departamento de Seguridad Informática correspondiente para un análisis detallado.

    • Si considera haber sido estafado, ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado e interponer la denuncia correspondiente.

    • Avisar a sus compañeros de la recepción de mensajes sospechosos o fraudulentos para evitar ser víctimas de posibles estafas digitales o robos de información.

Estas medidas ayudarán a fortalecer la seguridad y a proteger tanto a proveedores como a clientes frente a intentos de suplantación de identidad.

¿Qué consiguen los ciberdelincuentes con la suplantación de identidad?

Los ciberdelincuentes, suplantando la identidad de la Generalitat Valenciana o de algún organismo dependiente de ella, consiguen:

    • Obtener información (DNI, información bancaria, direcciones…) que puede ser utilizada para cometer fraudes financieros o venderse en el mercado negro a cambio de dinero.

    • Redirigir a los usuarios a páginas falsas para que ingresen sus credenciales bancarias o realicen pagos que, en realidad, se ingresan en las cuentas de los atacantes.

    • A través de enlaces o archivos adjuntos disfrazados en mensajes oficiales, los ciberdelincuentes pueden instalar malware en los dispositivos de las víctimas. Asimismo, pueden secuestrar el dispositivo para pedir un rescate (ransomware), espiar la actividad del usuario o extraer información sensible.

    • Suplantar a un organismo como la Generalitat puede tener como objetivo infiltrarse en sus redes o sistemas informáticos, lo que permitiría a los atacantes robar grandes volúmenes de datos, alterar registros oficiales o llevar a cabo otras actividades maliciosas a nivel interno.

Recuerda que CSIRT-CV ofrece cursos gratuitos online sobre ciberseguridad, entre los que se encuentran el Curso de Delitos Tecnológicos y el Curso de Seguridad en el Correo Electrónico.

Accede aquí para leer la noticia completa, publicada por la Generalitat Valenciana.

Publicado el

Apple mitiga vulnerabilidades Zero-Day

Apple ha lanzado actualizaciones para corregir dos vulnerabilidades críticas, CVE-2024-44308 y CVE-2024-44309, según ha informado el medio The Hacker News. Estos fallos afectan a su motor WebKit y podrían ser explotadas mediante la apertura de contenido malicioso, permitiendo a un atacante ejecutar código no autorizado en dispositivos como iPhones, iPads y Macs.

Las actualizaciones incluyen parches para versiones recientes de macOS, iOS, iPadOS y Safari. Estas vulnerabilidades destacan por su severidad, ya que podrían comprometer por completo la seguridad de los dispositivos afectados. Apple confirma que una explotación exitosa requeriría una acción del usuario, como visitar un sitio web preparado específicamente.

El fallo CVE-2024-44308 involucra un problema de tipo use-after-free en WebKit, mientras que CVE-2024-44309 se relaciona con una escritura fuera de los límites. Ambos fallos pueden desencadenar ejecución de código arbitrario con privilegios elevados. Hasta el momento, no se han reportado casos de explotación activa de estas vulnerabilidades en entornos reales.

Se insta a los usuarios a aplicar las actualizaciones de inmediato para mitigar los riesgos. La corrección de estas vulnerabilidades subraya la importancia de mantener los sistemas operativos actualizados para prevenir posibles ciberataques.

Referencias

Publicado el

Política de Cookies

El objetivo de la presente Política es informar a los usuarios acerca de las Cookies que emplea esta página web de conformidad con:

• La Ley 34/2022, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
• El Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

¿Qué son las cookies?
Son ficheros de texto e imagen que se descargan en los dispositivos electrónicos (ordenador, smartphone, tablet…) al acceder a un servicio online.

Las cookies permiten, entre otras cosas, almacenar y recuperar información sobre el usuario, su navegador, sus dispositivos y la actividad del usuario en el servicio al que se conecta.

Hay que tener en cuenta que para poder utilizar y contar con una mejor experiencia de navegación, es necesario mantener habilitadas las Cookies, especialmente aquellas de carácter técnico que son necesarias para poder identificarte como usuario registrado cada vez que accedes a la web.

En caso de no querer recibir cookies, por favor, configure su navegador de internet, para que las borre del disco duro de su ordenador, las bloquee o le avise en su caso de instalación de las mismas.

Tipos de cookies
Existen muchos tipos de cookies, pero con carácter general, podemos distinguir las siguientes:

1. Según quién gestione las cookies:

Cookies propias. Se envían al dispositivo o terminal del usuario desde el equipo o dominio perteneciente al titular del servicio al que se ha conectado el usuario, y son gestionadas por dicho titular.
Cookies de terceros. Se envían al dispositivo o terminal del usuario desde un equipo o dominio que no es gestionado por el titular del servicio al que se ha conectado el usuario, sino por un tercero que tiene un acuerdo con el titular del servicio.

2. Según el plazo de conservación:

Cookies de sesión. Recaban y almacenan los datos cuando el usuario accede a una página web. Suelen conservar información que solo interesa para la prestación del servicio solicitado.
Cookies persistentes. Aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie (minutos o años).

3. Según su finalidad:

Cookies técnicas. Aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, etc.
Cookies de personalización. Aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, etc.
Cookies analíticas. Aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
Cookies publicitarias. Aquellas que permiten gestionar la oferta publicitaria en función del contenido del servicio solicitado o al uso que se realice de la página web. Realizan un perfilado de navegación.

¿Qué cookies utiliza la web?

 

¿Cómo bloquear las cookies?
El usuario puede permitir, bloquear, revocar o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones de su navegador. Puedes encontrar información sobre cómo hacerlo, en los siguientes links:

Edge.
Chrome.
Firefox.
Safari.
Opera.

Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. Para evitar desajustes, puede acceder directamente desde las opciones de su navegador, sección “Privacidad” (por lo general).

Debe tener en cuenta que la desactivación de alguna cookie puede impedir o dificultar la navegación o prestación de los servicios ofrecidos en la web.

Transferencias internacionales
No se producen transferencias internacionales de datos personales a terceros países fuera de la UE o Espacio Económico Europeo.

Protección de datos
Para conocer más sobre protección de datos, y los derechos que le asisten en la materia, puede acudir a lo establecido en nuestra “Política de Privacidad

Modificaciones
La presente política de cookies puede verse modificada en función de las exigencias legalmente establecidas o debido a instrucciones de la Agencia Española de Protección de Datos, o cambios en la Web.

Aconsejamos a los usuarios visitar periódicamente nuestra Política de Cookies.

Ante cualquier duda, contactar con CSIRT-CV a través de la dirección csirtcv@gva.es o en el siguiente formulario web.