Posted on

Butlletí febrer 2024

Un mes més tornem amb un nou butlletí en el qual us portem una infografia sobre com compartir dades de manera segura, consells de seguretat per a les connexions a xarxes públiques, els perills de connectar un dispositiu a un USB públic i les principals novetats respecte als cursos tant per a ciutadans com per a empreses. Finalment, com sempre, algunes de les principals amenaces sorgides durant este mes.

 

Dia d’Internet segura

El passat 6 de febrer es va celebrar el Dia d’Internet Segura a tot el món i des de CSIRT-CV us recordem, a través del nostre portal de concienciaT i de les nostres xarxes socials, com el nostre equip pot ajudar-te a mantindre’t protegit en el teu dia a dia. Pots consultar esta informació en el següent enllaç.

Com compartir arxius de manera segura

Aplicacions com Dropbox, WeTransfer, iCloud o Google Drive, s’utilitzen per a emmagatzemar i compartir arxius o carpetes de manera senzilla, però el seu ús comporta determinats riscos que has de conéixer.

Si estes plataformes tingueren un problema tècnic o de seguretat i haguérem emmagatzemat informació, esta es podria veure compromesa, ja que els arxius ixen dels sistemes organitzatius i es perd el control sobre estos.

Accedix a la següent infografia i descobrix els consells de ciberseguretat per a enviar arxius amb tota seguretat.

Consells de seguretat en xarxes i USB públics

Alguna vegada has pensat quins són els riscos de seguretat quan connectes els teus dispositius a xarxes o ports USB públics?

A través de les nostres xarxes socials, Facebook i X (antic Twitter), t’ajudem a mantindre’t actualitzat i a conéixer com afrontar estes situacions.

 

Cursos per a empreses

CSIRT-CV posa a la disposició de les empreses sis cursos amb format actualitzat i interactiu en la plataforma eFormació.

Si estaves realitzant algun d’estos cursos o tenies pensat fer-ho, recorda que a partir de l’1 de març de 2024 només estaran disponibles en la plataforma eFormació.

Des de CSIRT-CV ens agradaria incidir en el fet que és fonamental augmentar el nivell de maduresa en ciberseguretat en les empreses, per la qual cosa si estàs interessat a realitzar algun d’estos cursos, accedix a esta notícia i coneix més sobre estos cursos.

 

Matrícules rècord en les plataformes de formació de la Generalitat

La demanda de matriculacions en la plataforma en línia de cursos de formació de la Generalitat ha experimentat un creixement del 5 % respecte a l’exercici de 2022.

En concret, les matriculacions anuals han passat de les 266.689 registrades en 2022 a les 278.357 de 2023.

Entre les formacions més demandades, destaquem els nostres cursos de SAPS gratuïts, tant a ciutadans com a empreses.

Llig la notícia completa a través del següent enllaç.

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

      • ESET ha abordat una vulnerabilitat d’alta gravetat: la vulnerabilitat és un problema d’escalada de privilegis local. Segons l’avís, un atacant pot fer un mal ús de les operacions d’arxius d’ESET. La companyia ha llançat pedaços per a abordar els problemes en diverses plataformes.
      • Noves vulnerabilitats de Wi-Fi exposen els dispositius Android i Linux als pirates informàtics: investigadors de ciberseguretat han identificat dos fallades d’omissió d’autenticació en el programari Wi-Fi de codi obert que es troben en dispositius Android, Linux i ChromeOS que podrien enganyar els usuaris perquè s’unisquen a un clon maliciós d’una xarxa legítima o permetre que un atacant s’unisca a una xarxa de confiança sense una contrasenya. Les principals distribucions Linux han publicat avisos per a les dos vulnerabilitats.
      • Múltiples vulnerabilitats que afecten productes Zyxel: les vulnerabilitats detectades podrien permetre a un atacant de la xarxa local (LAN) causar problemes de denegació de servici (DoS), executar ordes del sistema operatiu en el dispositiu afectat a través d’FTP després de realitzar l’autenticació, causar condicions de denegació de servici (DoS) quan la funció “Deviced Insight” estiga habilitada o realitzar una execució remota de codi no autoritzat. Es recomana als usuaris que instal·len els pedaços per a una protecció òptima.

 

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@csirtcv).

Posted on

Butlletí de gener 2024

En començar un nou any, moltes persones es plantegen nous propòsits o metes per a millorar diferents aspectes de les seues vides. Estos propòsits solen estar relacionats amb la salut, el treball o el desenvolupament personal. Des de CSIRT-CV, arranquem 2024 amb una nova edició de la nostra oferta formativa perquè et convertisques en un ‘Human Firewall’. Et sumes al repte?. Et convidem a llegir el nostre primer butlletí de l’any per a estar informat de les notícies més destacades esdevingudes en CSIRT-CV i en l’àrea de la ciberseguretat.  

 

CSIRT-CV posa en marxa la nova edició de cursos en línia de seguretat per a ciutadans i ciutadanes

CSIRT-CV ha posat en marxa la nova edició dels 19 cursos en línia de seguretat per a este 2024, enfocats, principalment, als ciutadans i ciutadanes. El termini de matrícula està obert des de l’1 de gener fins al 31 de desembre.

Els cursos s’impartixen a través de la plataforma SAPS, són gratuïts, de curta duració i aplicació pràctica, tant a nivell personal com professional.

Per a poder començar a fer els cursos cal ser usuari/ària de SAPS. Per a això, és necessari registrar-se en la plataforma i inscriure’s en els cursos desitjats. Accés a SAPS.

Coneix detalladament  els nostres cursos en el nostre portal de ConcienciaT.

 

Dia Internacional de l’Educació

Dimecres passat, 24 de gener, ens vam sumar a la celebració del Dia Internacional de l’Educació. Com sabeu, des de CSIRT-CV estem compromesos amb la formació i conscienciació en matèria de ciberseguretat, per això, a més d’oferir cursos en línia gratuïts en matèria de seguretat, impartim sessions i tallers a menors, familiars i docents en els centres educatius de Secundària de la Comunitat Valenciana amb l’objectiu d’implantar una cultura de ciberseguretat i bones pràctiques digitals en tota la població.

 

La Generalitat Valenciana rep el guardó a millor projecte d’innovació tecnològica

El Pla de ciberseguretat dirigit a les 584 entitats locals de la Comunitat Valenciana, l’objectiu del qual és dotar a estos ens d’eines i solucions capdavanteres que els ajuden a lluitar contra els ciberatacs, ha rebut un nou reconeixement, per la qual cosa la Generalitat Valenciana ha sigut guardonada amb el premi CIO 100 Awards 2023 al millor projecte de l’any d’innovació tecnològica en ciberseguretat.

Este premi és un reconeixement a l’esforç de la institució, i en particular, de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), a través del Centre de Ciberseguretat de la Comunitat Valenciana (CSIRTCV), organisme encarregat de l’execució del pla. Pots llegir la notícia completa ací.

 

Dia Europeu de la Protecció de Dades

El 28 de gener se celebra el Dia Europeu de la Protecció de Dades i per a esta ocasió vos recordem una sèrie de consells sobre ciberseguretat per a protegir les teues dades tots els dies. Descarrega la nostra infografia per a conéixer-los íntegrament.

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este  mes:

      • Pedaç per a Zero-Day crític en iPhones i Macs: Apple ha publicat noves actualitzacions de seguretat per a iOS, iPadOS, macOS, tvOS i el navegador web Safari per a abordar una fallada de Zero-Day, que ha sigut objecte d’explotació activa. Es tracta de la primera vulnerabilitat de Zero-Day activament explotada que Apple posa pedaços enguany. L’any passat, el fabricant de l’iPhone havia abordat 20 vulnerabilitats que s’han emprat en atacs del món real. El proveïdor ha llançat una sèrie d’actualitzacions per a corregir esta fallada.
      • Vulnerabilitat en Apache Superset: s’ha detectat una vulnerabilitat crítica en versions d’Apache Superset prèvies a la 3.0.3. D’esta manera, un atacant podria emmagatzemar un script o afegir un fragment HTML específic que actuaria com a XSS emmagatzemat. Les recomanacions consistixen en l’actualització a versions 3.0.3 o bé canviar la configuració incloent el codi descrit en la notícia.
      • Vulnerabilitat en Apache OpenOffice: s’ha detectat una vulnerabilitat d’alta severitat en Apache OpenOffice. Esta vulnerabilitat permet l’execució de codi no desitjada. El fabricant recomana que s’actualitzen les versions a la 4.1.15.

 

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en este àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).

Posted on

Detectada una campanya fraudulenta, suplantant a Metrovalencia, que afecta les targetes de transport SUMA

S’ha detectat una campanya de missatges fraudulents en la xarxa social Facebook suplantant a Metrovalencia, en la qual es publicita una nova targeta SUMA per un import de 2,35 €.

Per a accedir a la falsa promoció, suposadament vàlida fins al 31 de desembre, l’usuari ha d’accedir a un enllaç fraudulent i emplenar una enquesta de tres preguntes amb resposta de Si o No.

Una vegada respostes les preguntes, ix un missatge d’Enhorabona (veure imatge següent) i proporciona tres indicacions:

1. Fer clic per a per a accedir a la pàgina de pagament

2. Emplenar el formulari per a procedir amb el pagament

3. Indicar que el paquet s’entregarà en un termini de 5 a 7 dies.

A continuació, redirigix a una passarel·la de pagament en la qual se sol·liciten les dades personals de l’usuari (veure següent imatge).

Finalment, sol·licita les dades bancàries com a mostra la imatge següent. Si s’arribaren a introduir les dades bancàries, els ciberdelinqüents es farien amb ells.

Recursos Afectats

Qualsevol persona a la qual li haja aparegut la publicació falsa en el seu mur de Facebook i haja accedit a l’enllaç facilitat i emplenat les dades sol·licitades en la web fraudulenta.

Recomanacions

Si no has accedit a l’enllaç de la publicació, ignora’l i avisa als teus afins que és una estafa.

Si has accedit a l’enllaç i introduït dades personals i bancaris en la passarel·la de pagament, para atenció a les següents recomanacions:

1. Realitza captures de pantalla o guarda totes les evidències possibles de l’estafa i els enllaços adjunts.

2. Si has introduït dades bancàries, posa’t en contacte amb la teua entitat bancària, al més prompte possible, per a informar de l’incident i que es prenguen les mesures necessàries.

3. En els pròxims dies i mesos, practica el *egosurfing: introduïx el teu nom i cognoms en els cercadors d’Internet per a assegurar-te que les teues dades no s’han vist compromesos o hagen sigut usats per a altres fins com podria ser la creació de perfils en xarxes socials.

4. Presenta una denúncia davant les Forces i Cossos de Seguretat de l’Estat juntament amb les evidències que hages pogut recaptar del frau.

5. Informa del frau als teus afins per a evitar que altres persones puguen ser víctimes d’esta estafa.

Per a mantindre’t informat sobre esta mena de fraus o alertes de vulnerabilitats, pots subscriure’t ací i visitar la nostra web de CSIRT-CV i concienciaT.

 

Posted on

Butlletí de novembre 2023

Iniciem l’últim mes d’enguany i per donar la benvinguda al mes de desembre us portem un nou butlletí informatiu on recollim la participació del CSIRT-CV en diversos esdeveniments de ciberseguretat com són les Jornades STIC del CCN i el Congrés IARIA, així com uns consells sobre compres segures en línia i algunes de les vulnerabilitats més rellevants de l’últim mes. Comencem!

 

Congrés IARIA

El mes de novembre ha sigut un dels períodes més actius quant a la participació de CSIRT-CV en esdeveniments de Ciberseguretat. El primer d’estos  al qual vam assistir va ser el Congrés IARIA 2023, amb el títol Fronteres en Ciència, Tecnologia, Serveis i Aplicacions (Annual Congress on Frontiers in Science, Technology, Services, and Applications).

Este congrés es va celebrar del 13 al 17 de novembre a la ciutat de València i va comptar amb la presència de doctors, professors, científics, especialistes i prenedors de decisions de totes les entitats econòmiques, educatives i governamentals en sistemes socials, programari, anàlisi de ciència de dades, comunicacions, tecnologia i serveis en xarxa a escala mundial.

Durant el congrés, la nostra companya de CSIRT-CV, Marina Galiano, va presentar dos dels projectes en els quals treballa i investiga el Centre de Seguretat de les Tecnologies de la Informació i les Comunicacions de la Comunitat Valenciana, pertanyents a l’àrea de la Ciberseguretat Industrial. Estos treballs consisteixen en el desenvolupament d’entorns que simulen, d’una banda, el funcionament real d’una Unitat d’Imatge Mèdica i, d’una altra, el d’una SmartCity, amb l’objectiu d’entendre i protegir millor els sistemes que els componen de possibles amenaces cibernètiques.

L’article d’esta  notícia està disponible en el nostre portal de CSIRT-CV.

 

XVII Jornades STIC CCN-CERT i V Jornades de Ciberdefensa

Com és habitual, CSIRT-CV ha participat en les XVII Jornades STIC CCN-CERT i V Jornades de Ciberdefensa: ESPDEF-CERT, organitzades pel Centre Criptològic Nacional (CCN), amb el lema “Compartir per a guanyar”, entre el 28 i el 30 de novembre a Madrid, coincidint l’última jornada amb el Dia Mundial de la Seguretat de la Informació, que se celebra cada 30 de novembre, des de 1988.

Durant estes jornades hem tingut el plaer de participar amb la ponència L’Ampere contra Càrrega: atacant a un carregador elèctric en una SmartCity, en la qual la nostra companya Marina Galiano ha explicat les conseqüències socials que podria patir una Smartcity després que diversos dispositius IoT com són els carregadors elèctrics de vehicles, els sensors d’ompliment de contenidors o les càmeres de vigilància de trànsit foren atacats per ciberdelinqüents.

La SmartCity és un projecte d’investigació, emmarcat dins de l’àmbit de la Ciberseguretat Industrial, que du a terme CSIRT-CV en col·laboració amb l’Ajuntament de València, per a la realització de proves amb la finalitat de saber què passaria si foren manipulats estos dispositius IoT, que es troben actualment repartits per la ciutat de València, i sobretot per a minimitzar el seu impacte en la societat.

En el següent enllaç, pots llegir esta notícia publicada en el nostre portal de concienciaT i ampliar la informació sobre estes jornades.

 

Compres segures en línia

Estem immersos en una de les èpoques en les quals realitzem centenars de compres tant en botigues físiques com en comerços electrònics. El Black Friday, el Cyber Monday, els regals de Nadal, les rebaixes, etc. ens inciten a realitzar compres compulsives i ens porten a un dels escenaris que més ens preocupa en CSIRT-CV: la Ciberseguretat en les compres en línia i com evitar ser víctimes d’estafes i fraus, ja que són milers els ciutadans que són víctimes dels ciberatacants.

Per això, i amb la finalitat que pugueu gaudir de les vostres compres en línia de manera segura, hem llançat una sèrie de ciberconsells en format cartoon, tant previs a la compra com després d’esta, i què fer en cas d’haver sigut víctima d’este tipus de frau per a no caure en el parany.

Aprofita esta oportunitat per a assentar els teus coneixements sobre compres segures en línia!

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que publiquem periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits.

A continuació, destaquem les alertes de seguretat més rellevants del mes:

      • Vulnerabilitats en productes de Siemens: Siemens ha reportat diverses vulnerabilitats l’explotació de les quals podria permetre als atacants executar codi arbitrari o causar una denegació de servei. Siemens ha llançat actualitzacions per als productes afectats i recomana als usuaris que actualitzen a les últimes versions.
      • Vulnerabilitat crítica en productes Johnson Controls: Jim Reprogle va reportar esta vulnerabilitat crítica a Johnson Controls que podria permetre a un usuari no autoritzat accedir a funcions de depuració que van ser exposades accidentalment. Johnson Controls recomana als usuaris actualitzar els productes a les últimes versions.

 

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una Cultura de la Ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubtes a visitar les nostres pàgines web on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/, així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).