Publicado el

Serrano: “En Navidad crece el riesgo porque nueve de cada diez ciberestafas son fraudes con compras por internet”

La directora del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV) y subdirectora de Ciberseguridad, Carmen Serrano, ha resaltado que nueve de cada diez ciberestafas que se producen son fraudes relacionados con compras por Internet.

Respecto al perfil del usuario más afectado, ha indicado que son los jóvenes, al comprar en plataformas no reguladas o a través de las redes sociales, «donde la seguridad es menor y se sienten más confiados». Otro de los colectivos más vulnerables son las personas mayores y los compradores impulsivos que reaccionan a ofertas flash.

Carmen Serrano ha indicado que entre los métodos más habituales destaca el phishing, con correos engañosos que solicitan información de datos personales o contraseñas. Otro de los fraudes más comunes es el falso mensaje: «Tu paquete no se ha entregado» conocido como smishing (SMS falsos) y anuncios fraudulentos que intentan captar datos confidenciales.

Serrano ha recomendado comprar en webs oficiales, evitar hacer clic en enlaces sospechosos y comprobar que las páginas sean seguras de cara a las compras online que realizamos con motivo de la Navidad.

La directora de CSIRT-CV ha realizado estas declaraciones durante su intervención en el programa de À Punt, ‘Las noticias de la mañana’. Pincha aquí para acceder al vídeo y la noticia.

Publicado el

La Generalitat impulsa la formación en ciberseguridad de su personal de contratación para reforzar la protección frente a intentos de suplantación de identidad

La Generalitat ha reforzado la formación en ciberseguridad de su personal de contratación con el objetivo de mejorar la detección temprana de intentos de suplantación de identidad y promover hábitos digitales más seguros en el trabajo diario.

El director general de Tecnologías de la Información y las Comunicaciones, Javier Balfagón, ha subrayado que la formación continua es clave frente a unos métodos de engaño “cada vez más elaborados”, que buscan explotar la confianza o la rutina. “Un empleado público informado es siempre la primera línea de defensa”, ha señalado.

Durante la jornada, organizada por el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) y celebrada bajo el lema ‘Supervivencia digital en tu día a día’, se han analizado los intentos de engaño más comunes que pueden dirigirse al personal de contratación, como la manipulación de facturas, la suplantación de responsables administrativos o el envío de correos electrónicos diseñados para parecer legítimos.

La sesión ha incluido ejemplos reales, buenas prácticas y recomendaciones sencillas para evitar caer en mensajes fraudulentos, así como pautas para identificar señales que pueden pasar desapercibidas. El objetivo es que el personal empleado público pueda actuar con mayor seguridad tanto en el ámbito profesional como en el personal.

CSIRT-CV, dependiente de la Dirección General de Tecnologías de la Información y las Comunicaciones, desarrolla de forma permanente acciones de concienciación para fomentar una cultura preventiva en materia de ciberseguridad dentro de la Administración. Este tipo de sesiones se enmarca en el compromiso del Consell por mejorar la protección de los servicios públicos y garantizar una gestión segura y fiable en todos los procedimientos administrativos.

Publicado el

Múltiples vulnerabilidades en el kernel de Android

El boletín mensual de diciembre de 2025 de Android incluye varias vulnerabilidades que afectan diferentes productos de Android, algunos incluso afectan a componentes del kernel. Las vulnerabilidades de mayor severidad podrían permitir a un atacante provocar una denegación de servicio (DoS) remota sin la necesidad de privilegios de ejecución adicionales y llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.

Análisis

    • CVE-2025-48623: vulnerabilidad sobre la dirección no alineada del búfer de solicitud de hipervisor para evitar derrames en la página adyacente.
    • CVE-2025-48624: vulnerabilidad de asignación de punteros L2 se debe comprobar el SID y la falta de un igual para las comprobaciones de SID.
    • CVE-2025-48637: vulnerabilidad en la copia local de los datos proporcionados por el host con el fin de evitar un error de tiempo de verificación de uso al utilizar páginas al hipervisor Memcache.
    • CVE-2025-48638: vulnerabilidad en la lectura de valores negativos del descriptor de seguimiento.
    • CVE-2025-48631: vulnerabilidad en AOSP que podría provocar una denegación de servicio remota sin necesidad de privilegios de ejecución adicionales.
    • CVE-2025-47319 y CVE-2025-47372: estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm.

Recursos afectados

Los componentes del Kernel con mayor criticidad afectados son:

    • pKVM
    • IOMMU

Existen otras vulnerabilidades de severidad crítica que afectan:

    • al framework en versiones de AOSP 13, 14, 15 y 16.
    • a componentes de código cerrado de Qualcomm.

Recomendaciones

El boletín de seguridad de Android incluye información sobre las vulnerabilidades que tienen los dispositivos Android. Los niveles de parche de seguridad del 2025-12-05 o posteriores abordan todos estos problemas.

Referencias

Publicado el

Boletín de seguridad de Zoom

S’ha publicat recentment el butlletí de seguretat de novembre de 2025 de Zoom, en el qual es corregixen diverses vulnerabilitats d’alta i mitjana severitat en els clients, SDK i components VDI de Zoom Workplace

Anàlisi

Les vulnerabilitats destacades tenen assignats els identificadors CVE següents:

    • CVE-2025-64741 — vulnerabilitat alta (CVSSv3 8.1) de tipus escalat de privilegis
    • CVE-2025-64740 — vulnerabilitat alta (CVSSv3 7.5) de tipus escalat de privilegis
    • CVE-2025-62484 — vulnerabilitat alta (CVSSv3 8.1) de tipus escalat de privilegis
    • CVE-2025-62483 — vulnerabilitat mitjana (CVSSv3 5.3) de tipus divulgació d’informació

La vulnerabilitat CVE-2025-64740 es va produir perquè l’instal·lador del client VDI per a Windows de Zoom no validava correctament les firmes criptogràfiques, la qual cosa podria permetre a un usuari local autenticat manipular l’instal·lador i escalar privilegis en el sistema.

Quant a CVE-2025-64741, afecta a l’aplicació Android de Zoom Workplace, i implica un maneig inadequat d’autoritzacions, a on un atacant podria dur a terme accions no permeses per falta de comprovació de permisos.

Productes afectats 

    • Zoom Workplace VDI Client per a Windows, versions anteriors a 6.3.14, 6.4.12 i 6.5.10 segons la branca.
    • Zoom Meeting SDK, Zoom Rooms, Zoom Rooms Controller, i altres clients de Zoom Workplace en múltiples plataformes (Windows, macOS, iOS, Linux) abans de la versió posada pegats 6.5.10       

Recomanacions

    • Actualitzar tots els clients de Zoom Workplace, el VDI Client, els SDK i components a la versió més recent publicada 6.5.10 o superior

Es pot trobar informació detallada en el Butlletí de Seguretat de Zoom: https://www.zoom.com/es/trust/security-bulletin/?lang=en-us

Referències