Publicado el

Disfruta de unos días de descanso sin sobresaltos en Semana Santa con estos 10 consejos sobre ciberseguridad

DISFRUTA DE UNOS DÍAS DE DESCANSO SIN SOBRESALTOS EN SEMANA SANTA CON ESTOS 10 CONSEJOS SOBRE CIBERSEGURIDAD

La Semana Santa y la Pascua están a la vuelta de la esquina. Si vas a tomarte unos días de desconexión y ocio, ten presente estas 10 recomendaciones sobre Ciberseguridad para disfrutar de unos días de descanso sin sobresaltos.

Recuerda que la época vacacional es uno de los momentos más críticos para la ciberseguridad de todos los usuarios. Al tener que planificar hoteles, vuelos, contratación de excursiones, reservas en restaurantes… bajamos la guardia en cuanto a la seguridad. Circunstancia que es aprovechada por los ciberdelincuentes para robar nuestros datos e información.

A continuación, desde CSIRT-CV te recordamos una serie de consejos útiles para tus días libres. Ponlos en práctica antes de salir de casa.

1. WIFI

A la hora de conectarte a Internet, evita hacerlo desde redes WiFis públicas o sin contraseña en determinadas circunstancias (aeropuertos, cafeterías, hoteles…). Los riesgos a los que te expones son altos, ya que un cibercriminal puede estar conectándose a la misma red que tú en busca de nuevas víctimas desprevenidas.

Desde CSIRT-CV, siempre recomendamos deshabilitar las conexiones inalámbricas en caso de no estar utilizándolas, de esta forma estaremos protegiendo nuestro dispositivo y también reduciremos el consumo de la batería.

Si necesitas conectarte a una WiFi pública, sigue estos consejos:

• No uses aplicaciones con información sensible si hay versiones web de esos servicios. Por ejemplo, acceder con un navegador a esos servicios –web de Facebook– para garantizar que el protocolo utilizado en esa página sea HTTPS antes de introducir las credenciales.

Cierra la sesión de los servicios utilizados para que no quede ningún “resto” de nuestra conexión a esos sitios web.

Usa VPNs para la protección de las comunicaciones a través de la conexión virtual punto a punto.

Evita operaciones bancarias o acceder a cuentas de redes sociales o servicios en los que tengas que introducir claves.

2. Contraseñas

Las contraseñas son la puerta de entrada a tu identidad en la red. Si alguien consigue descifrarlas puede causar un daño irreparable en tu imagen, relaciones, trabajo, finanzas, etc. Para mejorar tu seguridad deberías crear contraseñas seguras y protegerlas. Antes de salir de casa, es buen momento para renovarlas. Para ello, los siguientes consejos resultan fundamentales:

Cuanto más larga, más segura será. Como mínimo, de 12 caracteres e idealmente de 16 o más. Por cada letra, número o signo que añadamos, la contraseña será 128 veces más difícil de adivinar para un programa de descifrar contraseñas.

• Usa una frase encriptada o regla nemotécnica en vez de una palabra familiar. Es peligroso usar contraseñas formadas por una sola palabra, en especial si tiene conexión personal con nosotros (nombre, año de nacimiento, etc.). Lo ideal es pensar una frase y cambiar letras por caracteres especiales, con una regla que sólo yo conozca.

Cámbialas periódicamente. Renovar las claves a menudo, nos protege por si han sido comprometidas sin que hayamos sido conscientes. Esta medida resulta fundamental en servicios críticos como el correo electrónico o la banca digital.

No uses una sola contraseña para todos nuestras cuentas o servicios. Idealmente la contraseña debería ser diferente para cada uno de nuestros sitios, ya que, si comprometen un sitio y averiguan nuestra contraseña, podría ser usada en otros sitios donde la usemos.

Nunca dejes apuntada y a la vista la clave. Nuestras contraseñas deben ser secretas, no deberíamos apuntarlas en sitios donde puedan ser vistas ni compartidas con nadie.

Desactiva la opción “Recordar contraseñas” de los navegadores.

Usa la verificación en dos pasos. También llamado doble factor de autenticación, ya que, al combinar el uso de contraseña con una segunda clave, habitualmente enviada al teléfono móvil por SMS, correo electrónico o una app especializada, proporciona más seguridad a la hora de iniciar sesión en tus servicios.

Usa un gestor de contraseñas para almacenarlas. Es de gran utilidad puesto que solo tienes que recordar una sola contraseña, la del gestor.

3. Móviles

Es habitual estar más pendientes de los móviles y tablets en período vacacional. No olvides tomar las mismas precauciones, o más, con estos dispositivos que las que tomas con tu PC. Haz un buen uso de ellos, aquí te enseñamos cómo hacerlo.

Si eres de los que usan productos de Apple (iPhone, iPad, etc.) tenemos una guía especializada para su uso, al igual que si usas Android.

Recuerda actualizar todos tus dispositivos y aplicaciones a la última versión para subsanar posibles vulnerabilidades, sobre todo, los que vas a llevar contigo antes de salir de casa. Una vez fuera, puede que no tengas la suficiente conexión o tiempo para actualizar el sistema operativo. No corras el riesgo.

4. Correo

Antes de periodos vacacionales es habitual que nos entre más basura en el correo (spam, phishing, falsas ofertas de viajes, alquileres sospechosos…). Hay que estar alerta ante este tipo de fraudes, y lo podemos hacer con nuestra guía para identificar phishings.

Dos consejos rápidos para cerciorarte de si un correo es un phishing: comprueba el remitente del correo electrónico, y verifica que el dominio de la dirección es el verdadero. Ante cualquier sospecha, no accedas a ningún enlace.

5. Redes sociales

Lo ideal sería no compartir fotografías de tus vacaciones o días libres mientras estás fuera de tu rutina, pero muy poca gente se resiste a ello. Ante esta situación, sigue estos conejos mínimos:

No publiques detalles sobre tu viaje, el itinerario o cuánto tiempo vas a estar fuera.

• Si vas a subir fotografías, es mejor hacerlo más tarde y no mientras estás en el lugar fotografiado.

• En el caso de que conozcas gente nueva, le proporciones tu número de teléfono, le aceptes en alguna red social como Instagram, te siga en Twitter o se apunte tu correo electrónico, recuerda tener bien configurada tu vida online antes de dejar entrar en ella a desconocidos.

Además, sigue estos consejos para mantenerte alerta ante los ciberdelincuentes.

• También es muy típico que crees una carpeta compartida en Drive o Dropbox para las fotos de las vacaciones o escapadas, pero como cualquier servicio en la nube hay que usarlo con seguridad. Aquí os enseñamos cómo hacerlo.

6. Juegos online

En vacaciones o días festivos, al tener más tiempo libre, es habitual recurrir a los juegos online. Existen muchos riesgos asociados a este tipo de ocio, desde los relacionados con contenidos no apropiados, la exposición de datos de carácter personal y/o bancarios, hasta los riesgos ligados a la descarga de malware cuando se usan dichos videojuegos en la Red.

Respecto al juego online relacionado con las apuestas, se trata de un objetivo fácil para los ciberdelincuentes del fraude online. El blanqueo de dinero a través del robo de cuentas es una de las principales amenazas que nos podemos encontrar.

Lee detenidamente las condiciones de uso, la reputación del sitio y no te fíes de posibles mensajes publicitarios que requieran de datos personales. Además, comprueba en qué países puede operar el casino y el organismo regulatorio al que está suscrito.

Además, este tipo de plataformas de apuestas se ven afectadas por el problema del Phishing y el SPAM, enviando masivamente a los usuarios mensajes fraudulentos, ya sea para promocionar casinos fraudulentos y conseguir que los usuarios introduzcan sus credenciales o para que visiten un sitio malicioso que persigue infectarte. Debes ser capaz de identificar este tipo de correos fraudulentos.

Asimismo, debes prestar mucha atención a la descarga de apps o juegos de escritorio, puesto que pueden llevar añadido un contenido malicioso que infecte el equipo. Como siempre, se insta a que uses un equipo lo más seguro posible (antivirus actualizado, firewall, etc.) y que el sitio de descarga sea fiable. En Internet, no te la juegues.

7. Educación

Quienes tienen hijos que se están haciendo mayores habrán notado, sobre todo los fines de semana y en vacaciones, que pasan más tiempo con sus ordenadores, tablets y teléfonos. Se conectan a Instagram, WhatsApp, comparten fotos… Es recomendable que los adultos dediquen tiempo con ellos para enseñarles y prevenirles que la vida en Internet tiene los mismos peligros que la vida real.

Esta misma tarea también puede hacerse por parte de los docentes quienes pueden ayudar a sus alumnos en ciberseguridad, siguiendo estos consejos que describimos en nuestra campaña titulada Ciberseguridad, una asignatura pendiente.

8. Alquileres vacacionales
A la hora de gestionar alquileres vacacionales mucho cuidado. Revisa bien las publicaciones de las ofertas, pueden ser fraudes:

• Las fotografías deben ser de calidad y si hay pocas, desconfía.

• Sospecha si la persona que realiza el alquiler es difícil de contactar u ofrece escasa información.

• Si es un chollo demasiado bueno para ser verdad, suele ser una estafa.

Investiga, ¿la web es segura? ¿el anuncio se encuentra también en otras webs de alquileres y el dueño o arrendador es siempre el mismo?

• Si te llegan multitud de emails de ofertas de viajes de vacaciones sin tú estar registrado en ninguna web, revísalos con detenimiento y no accedas si no confías plenamente. Pueden ser falsos anuncios.

9. Antivirus y otras herramientas de seguridad

Los programas antivirus tienen como propósito evitar que nuestro sistema se infecte e identifique cambios que pudieran ser realizados por algún malware (programas maliciosos).

Todos los dispositivos deberían contar con antivirus de calidad y fiables para detectar malware u otros elementos maliciosos, mitigando posibles amenazas y siendo capaces de poner el dispositivo en cuarentena para evitar males mayores.

Mantener el software antivirus actualizado se convierte en una práctica determinante para seguir estando protegidos.

Además, existen otras herramientas de seguridad como el firewall. Esta herramienta se dedica a escanear los paquetes de red y los bloquea o no según las reglas previamente definidas. Gracias a los firewalls se puede inspeccionar el tráfico web, identificar usuarios, y bloquear accesos no autorizados. Existen firewalls de todo tipo: de filtrado de paquetes, de proxy, software, hardware o nube.

10. Copias de Seguridad

Puede ser muy útil, realizar una copia de seguridad de tus dispositivos que te permita proteger toda tu información. Los backups son necesarios para garantizar la recuperación de los datos en caso de ciberincidentes, errores humanos, técnicos o naturales, pérdidas o robos.

Puedes almacenar las copias de seguridad en soportes como los discos duros externos, las memorias USB, e incluso, la nube. En el caso de las redes sociales, estas plataformas suelen contar con herramientas y opciones de backup.

Para una adecuada gestión de copias de seguridad es necesario tener en cuenta factores como la ubicación, el período de conservación, el cifrado de datos y/o la gestión y destrucción de soportes. Algunos consejos que te ayudarán a proteger la información son:

• Contar con un plan de copias de seguridad diario.

• Realizar backups de forma automática.

Comprobar periódicamente que se están realizando.

Duplicar periódicamente las copias diarias a un soporte externo (USB, nube…), para que no sea alcanzable en caso de infección por ransomware.

Como puedes comprobar no te estamos contando nada nuevo. Siempre son los mismos consejos, pero ¿cuántos de ellos no has incorporado todavía a tu rutina?. Ponte manos a la obra si quieres disfrutar en Pascua de comer la monas.

concienciaT más sobre Ciberseguridad con estos dos artículos:

NO CIERRES LOS OJOS A LA CIBERSEGURIDAD, DESCUBRE CONCIENCIAT


HISTORIAS VIRTUALES PARA NO DORMIR

Publicado el

[SCI] Credenciales en texto claro en productos VARTA

Introducción

Una vulnerabilidad crítica en distintos productos de VARTA ha sido descubierta bajo la coordinación y soporte del CERT@VDE por el investigador de seguridad Andreas Dolp[1] .

Análisis

La explotación exitosa de estas vulnerabilidades podría permitir que un atacante o proceso no autorizado espíe, vea o modifique datos, obtenga acceso al sistema, realice una ejecución de código, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad de este.

CVE-2022-22512: Uso de credenciales codificadas (CWE-798)

Las credenciales codificadas en la Web-UI de varios productos VARTA Storage en varias versiones permiten a un atacante no autorizado obtener acceso administrativo a la Web-UI a través de la red.

La vulnerabilidad permite el acceso no autorizado de lectura y escritura al backend web. Esto permite la lectura y escritura de parámetros que no están destinados a este fin (por ejemplo, ajustes de conectividad, parámetros de red).

La seguridad del dispositivo de almacenamiento en batería no se ve afectada porque los parámetros relevantes para la seguridad no son accesibles a través del backend web.

Los modelos afectados son:

    • Element backup, versiones anteriores a F21000400.
    • Versiones anteriores a 2e.3.8.0 de los productos:
      • Element S1,
      • Element S2,
      • Element S3,
      • One L/XL.
    • Element S3, versiones anteriores a 2e.4.4.0.
    • Element S4, versiones anteriores a D21010400.
    • Pulse (sin incluir pulse neo), versiones anteriores a C21010800.

Recomendaciones

Contramedidas generales: Restringir el tráfico HTTP al sistema de almacenamiento de energía utilizando un cortafuegos de entrada u otras medidas a nivel de red.

Contramedidas específicas del producto: Se lanzará una versión corregida por OTA en cuanto esté disponible. El despliegue para la copia de seguridad del elemento VARTA comenzará a finales del primer trimestre de 2023, seguido del elemento S4.

Referencias

[1] VDE-2022-061 – VARTA: Multiple devices prone to hard-coded credentials

Publicado el

[SCI] Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump

Introducción

Gjoko Krstic, de Zero Science Lab[1] , ha informado de 9 vulnerabilidades: 4 de ellas de severidad crítica y 5 de severidad alta en el controlador de bomba Osprey ProPump versión 1.01. Su explotación podría permitir que un atacante obtenga acceso no autorizado, recupere información confidencial, modifique datos, provoque una denegación de servicio y/o obtenga control administrativo.

 

Análisis

Las cuatro vulnerabilidades de severidad crítica tienen asignados los siguientes identificadores:

CVE-2023-28654: Osprey Pump Controller versión 1.01 tiene una cuenta administrativa oculta con una contraseña codificada que permite el acceso completo a la configuración de la interfaz de administración web. La cuenta no está visible en la lista del menú Nombres de usuario y contraseñas de la aplicación y la contraseña no se puede cambiar a través de ninguna operación normal del dispositivo.

CVE-2023-27886: El controlador tiene una vulnerabilidad de inyección de comandos del sistema operativo. Un actor malicioso podría explotar esta vulnerabilidad para inyectar y ejecutar comandos de shell arbitrarios a través de un parámetro HTTP POST llamado por el script index.php.

CVE-2023-27394: Osprey Pump Controller versión 1.01 es vulnerable a la inyección de comandos del sistema operativo no autenticado. Los actores de amenazas podrían explotar esta vulnerabilidad para inyectar y ejecutar comandos de shell arbitrarios a través de un parámetro HTTP GET llamado por los scripts DataLogView.php, EventsView.php y AlarmsView.php.

CVE-2023-28395: Osprey Pump Controller versión 1.01 es vulnerable a un algoritmo predecible de generación de token de sesión débil y podría ayudar en la autenticación y la omisión de autorización. Esto podría permitir que un actor malicioso secuestre una sesión al predecir la identificación de la sesión y obtener acceso no autorizado al producto.

 

Recomendaciones

Se recomienda a los usuarios del producto afectado que  se comuniquen con el representante de ProPump and Controls[2] .

 

Referencias

[1] ICSA-23-082-06 – ProPump and Controls Osprey Pump Controller
[2] Pump Station Sales, Service & Installation

Publicado el

[SCI] Múltiples vulnerabilidades en productos ThinManager de Rockwell Automation

Introducción

Los investigadores de Tenable Network Security [1] han informado que existen tres vulnerabilidades: una de severidad crítica y dos de severidad alta que podrían permitir que un atacante realice una ejecución remota de código en el sistema o dispositivo de destino o bloquee el software.

 

Análisis

CVE-2023-28755: La vulnerabilidad de severidad crítica podría permitir a un atacante sobrescribir los archivos ejecutables existentes con contenidos maliciosos controlados por él, lo que podría provocar la ejecución remota de código[2] .

Las vulnerabilidades de severidad alta podrían permitir a un atacante remoto, no autenticado, descargar archivos arbitrarios en la unidad de disco donde está instalado ThinServer.exe y bloquear ThinServer.exe debido a una infracción de acceso de lectura. Se han asignado los identificadores CVE-2023-28756 y CVE-2023-28757 para estas vulnerabilidades.

 

Recomendaciones

Rockwell Automation ha publicado las siguientes actualizaciones para las versiones afectadas:

  • Versiones 6.x – 10.x: estas versiones están retiradas. Los usuarios deben actualizar a una versión compatible.
  • Versiones 11.0.0 – 11.0.5: Actualización a  v11.0.6.
  • Versiones 11.1.0 – 11.1.5: Actualización a  v11.1.6.
  • Versiones 11.2.0 – 11.2.6: Actualización a  v11.2.7.
  • Versiones 12.0.0 – 12.0.4: Actualización a  v12.0.5.
  • Versiones 12.1.0 – 12.1.5: Actualización a  v12.1.6.
  • Versiones 13.0.0 – 13.0.1: Actualización a  v13.0.2.
    Si los usuarios no pueden actualizar a la versión parcheada, pueden limitar el acceso remoto del puerto 2031/TCP a clientes y servidores ThinManager conocidos.

 

Referencias

[1] Tenable Network ThinManager de Rockwell Automation
[2] ICSA-23-080-06 – ThinManager de Rockwell Automation